Consultation publique sur la modernisation de la Loi sur la protection des renseignements personnels
Mémoire du Commissariat à la protection de la vie privée du Canada au ministre de la Justice et procureur général du Canada
PAR COURRIEL
Le 22 mars 2021
L’honorable David Lametti, C.P., député
Ministre de la Justice et procureur général du Canada
284, rue Wellington
Ottawa (Ontario) K1A 0H8
MO_CM@justice.gc.ca
Monsieur le Ministre,
Je vous remercie de me donner l’occasion de participer à la consultation publique que le ministère de la Justice du Canada a lancé en novembre 2020, au sujet de la modernisation de la Loi sur la protection des renseignements personnels.
Je soutiens fermement l’objectif du ministère de la Justice de moderniser la loi fédérale sur la protection des renseignements personnels dans le secteur public, et je suis heureux de participer à la consultation sur la réalisation de cet objectif. Vous trouverez ci-joint notre mémoire qui est organisé sous les thèmes suivants : (i) interprétations et définitions, (ii) obligations institutionnelles et (iii) optimisation de l’efficacité réglementaire. Le document comprend nos recommandations visant à améliorer les propositions du ministère qui offrent déjà plusieurs avancées intéressantes.
Je me réjouis de la collaboration continue avec votre ministère à l’égard de cette importante initiative pour les Canadiennes et les Canadiens et pour une solide protection de leur droit à la vie privée.
Je vous prie d’agréer, Monsieur le Ministre, l’expression de ma considération distinguée.
Le commissaire,
(Document original signé par)
Daniel Therrien
p.j.
c.c. : Caroline Maynard, Commissaire à l’Information
I – Introduction
Nous appuyons pleinement l’objectif du ministère de la Justice (le « Ministère ») de moderniser la loi fédérale sur la protection des renseignements personnels dans le secteur public, devenue désuète depuis longtemps, et sommes heureux de participer à la consultation qu’il organise sur la façon d’atteindre cet objectif. Nous sommes encouragés par l’ouverture offerte à la dernière étape de l’initiative, qui permet au public de répondre aux propositions du gouvernement sur la réforme de la loi.
Nous sommes aussi fortement encouragés par le document de consultation que le Ministère a publié en novembre dernier. Ce document exhaustif, fruit d’une sérieuse réflexion, démontre la détermination du gouvernement à procéder à une réforme en profondeurNote de bas de page 1. Des modifications substantielles y sont proposées, qui sont autant d’avancées significatives vers une loi en phase avec les normes modernes présentes dans des lois au Canada et à l’échelle internationale. Cela permettra d’accroître la confiance du public envers le gouvernement fédéral, qui agit ainsi concrètement dans l’intérêt public tout en protégeant le droit à la vie privée.
Propositions clés menant à une amélioration substantielle de la protection des renseignements personnels
Dans le document intitulé Respect, responsabilité, adaptabilité : Consultation publique concernant la modernisation de la Loi sur la protection des renseignements personnels, le Ministère présente de nombreuses propositions susceptibles d’améliorer de façon tangible le positionnement de la loi canadienne dans le secteur public afin de répondre aux besoins modernes des Canadiens, besoins qui sont axés sur les données.
Il s’agit notamment des propositions suivantes.
Un élargissement de la disposition d’objet incorporant un libellé fondé sur les droits. Il est explicitement indiqué dans le document que toute réforme de la Loi sur la protection des renseignements personnels doit reposer sur le respect et la reconnaissance des droitsNote de bas de page 2. On retrouve ensuite une partie du libellé fondé sur les droits que nous avions suggéré, parmi d’autres objectifs clés de la Loi : « protéger la dignité humaine, l’autonomie personnelle et l’autodétermination»Note de bas de page 3 . Même si toutes nos suggestions à cet égard n’ont pas été retenues, nous notons que les changements proposés sont majeurs et qu’ils vont beaucoup plus loin en ce qui concerne l’approche fondée sur les droits que ce qui est présenté dans l’ébauche de la Loi sur la protection de la vie privée des consommateurs (LPVPC) pour le secteur privéNote de bas de page 4. Nous sommes convaincus qu’un cadre juridique où la protection de la vie privée est enchâssée comme un droit de la personne, et comme une protection pour assurer tant le respect d’autres droits démocratiques que la confiance des citoyens envers le gouvernement, est une condition essentielle de la modernisation des lois sur la protection des renseignements personnels dans les secteurs public et privé.
Introduction d’une approche fondée sur des principes. Cela comprend notamment l’introduction de principes dans la Loi sur la protection des renseignements personnels qui permettraient d’améliorer l’harmonisation de cette loi avec d’autres régimes nationaux et internationaux et qui assureraient une réglementation efficace de situations nouvelles ou imprévues. Parmi ces principes se trouverait un nouveau principe de responsabilité, assorti d’exigences concrètes, pour démontrer que des pratiques de gouvernance et de surveillance rigoureuses ont été mises en place, avec une obligation d’assurer la protection de la vie privée dès la conception des programmesNote de bas de page 5, une obligation de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP)Note de bas de page 6 et de nouvelles obligations en matière de tenue de documentsNote de bas de page 7. S’y trouverait également un seuil pertinent pour limiter la collecte, en adéquation avec les normes modernes.
Mesures visant à aborder de front les occasions et les défis technologiques. Cela comprend notamment l’examen des mesures à prendre en ce qui concerne les systèmes décisionnels automatisés, l’intégration des données et les nouvelles approches pour assurer la transparence, en fonction des complexités en jeu, qui devront être évaluées de façon plus approfondieNote de bas de page 8.
Importance accrue accordée à la protection des renseignements personnels. Ces propositions, qui sont nécessaires compte tenu des risques accrus propres à notre société axée sur les données, prennent la forme d’un élargissement de la définition de « renseignements personnels », de l’ajout d’obligations explicites de protection des renseignements, et d’un signalement obligatoire aux individus et au commissaire à la protection de la vie privée de toute atteinte. De même, l’obligation de tenir des registres des atteintes afin de permettre au commissaire d’exercer la surveillance requise permettra de s’assurer que les atteintes sont gérées de façon appropriée et que les risques pour les individus concernés sont atténués.
Avancées significatives sur le plan des mesures permettant d’assurer une véritable surveillance et des recours rapides et efficaces. Il s’agit de propositions constructives, pour lesquelles il faudra prévoir les ressources nécessaires. Il est proposé que le Commissariat joue un rôle plus actif en matière d’orientationNote de bas de page 9, en formulant des avis préalables et en supervisant des projets pilotes, et qu’il dispose d’un pouvoir discrétionnaire accru en matière de communication des résultats des enquêtes sur la conformité. Le Commissariat appuie le cadre de conformité amélioré proposé par le Ministère, qui prévoit (i) des pouvoirs élargis de vérification proactiveNote de bas de page 10 assortis (ii) d’un pouvoir discrétionnaire accruNote de bas de page 11 afin de concentrer ses ressources limitées sur les questions les plus pressantes, et (iii) des recours depuis longtemps nécessaires, sous la forme d’un pouvoir de rendre des ordonnances et d’un élargissement du droit de recours devant la Cour fédérale. Même si nous continuons de préconiser d’autres améliorations afin d’offrir des recours rapides et efficaces en accord avec les normes nationales et internationales, les modifications proposées nous semblent constituer un rééquilibrage important des interactions entre la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information (LAI), récemment modernisée. Nous notons que les pouvoirs de vérification proactive et le pouvoir discrétionnaire mentionnés plus haut vont plus loin que les mesures proposées au projet de loi C-11 en regard de l’objectif d’assurer une véritable surveillance des questions les plus pressantes. De plus, le cadre proposé en matière de pouvoir de rendre des ordonnances, même s’il est limité, est plus simple (et, par conséquent, susceptible d’être à la fois plus efficace et plus rapide pour les Canadiens) que celui figurant dans le projet de LPVPC.
Révision de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information
Comme l’indique le document de consultation du Ministère, le gouvernement fédéral a lancé l’année dernière une révision de la LAINote de bas de page 12. Le Commissariat a présenté au Président du Conseil du Trésor un mémoire à cet égard en décembre 2020Note de bas de page 13. La LAI et la Loi sur la protection des renseignements personnels présentent de nombreuses dispositions similaires, et plusieurs concepts et interprétations s’appliquent aux deux lois. La LAI et la Loi sur la protection des renseignements personnels jouent toutes deux un rôle central dans la préservation du droit à l’information des Canadiens, et leur modernisation devrait se faire de façon concertée. Un gouvernement plus ouvert et plus transparent, mais qui agit aussi en gardien responsable des renseignements personnels des Canadiens, est essentiel pour préserver les fondements de notre démocratie.
Nous attendons donc avec intérêt la suite des examens en cours, tant de la LAI que de la Loi sur la protection des renseignements personnels, et saluons l’occasion qui nous est donnée de collaborer avec les deux ministères responsables, en nous penchant sur les dispositions similaires des deux lois et en formulant des commentaires sur les modifications simultanées qui y sont apportées.
Thèmes abordés dans nos commentaires
Compte tenu des propositions concrètes et constructives qui sont présentées dans le document de consultation, nous traiterons maintenant de certaines nuances importantes qu’il faudrait apporter et présenterons un certain nombre de recommandations. Nos commentaires s’articulent autour de trois thèmes : (i) interprétations et définitions, (ii) obligations institutionnelles et (iii) optimisation de l’efficacité du Commissariat à titre d’autorité de réglementation.
Sous le thème des interprétations et définitions, nous répondons premièrement aux questions posées dans le document de consultation au sujet de la définition des renseignements personnels. En résumé, nous appuyons les mesures proposées par le Ministère en faveur d’une définition plus inclusive et davantage fondée sur des principes. Deuxièmement, nous offrons notre point de vue quant au cadre proposé relativement à l’intérêt public. Nous indiquons que nous sommes d'accord de manière générale avec le critère « raisonnablement requis » parce qu'il est semblable au critère de « nécessité et de proportionnalité », mais suggérons que le nouveau libellé de la loi énonce clairement que l’incidence sur la vie privée doit être proportionnelle à l’intérêt public en jeu. Troisièmement, nous formulons certaines préoccupations pour ce qui est d’accorder une plus grande latitude en matière de collecte des renseignements personnels « accessibles au public ». Quatrièmement, nous préconisons l’adoption de mesures élargies pour faire en sorte que les nouvelles catégories de communication autorisée proposées (p. ex. en ce qui concerne les renseignements personnels anonymisés) soient fondées sur des principes et assujetties à des mesures de contrôle appropriées.
Sous le thème des obligations institutionnelles, nous soulignons en premier lieu l’importance qui doit être accordée à la clarté et à la précision dans l’établissement du seuil justifiant la collecte de renseignements personnels par le gouvernement. Nous abordons ensuite les nouvelles mesures sur la transparence qui sont proposées dans le document de consultation. Puis nous nous intéressons aux ajouts proposés aux exigences de déclaration des atteintes pour que le Commissariat soit avisé en temps utile, ainsi qu’aux obligations en matière de tenue de registres sur les atteintes afin d’uniformiser les dispositions de la Loi sur la protection des renseignements personnels et de la LPRPDE. Nous recommandons également, à la lumière de la consultation que nous avons récemment menée sur l’intelligence artificielle, que le Ministère examine d’autres mesures pour assurer la responsabilisation à l’égard des individus dans les cas d’utilisation de systèmes décisionnels automatisés. Enfin, nous traitons des nouvelles propositions concernant la communication de renseignements personnels, des obligations à respecter pour s’assurer de leur exactitude et des processus organisationnels applicables à la réception des plaintes.
Sous le thème de l’optimisation de l’efficacité réglementaire, tout en reconnaissant la pertinence des propositions présentées par le Ministère, nous n’en constatons pas moins que les améliorations mises de l’avant accusent un retard par rapport aux lois d’autres juridictions relativement à la protection des renseignements personnels, à l’échelle nationale ou internationale. Plus précisément, nous pensons ici aux limites imposées au droit de recours des individus devant les tribunaux et au fait que le pouvoir de rendre des ordonnances serait limité aux questions entourant l’accès, plutôt que de s’appliquer aussi aux atteintes concernant la collecte, l’utilisation et la communication comme c’est le cas pour d’autres autorités de protection des données. Nous concluons notre mémoire en recommandant certaines modifications qui permettraient de réduire au minimum les obligations non discrétionnaires évitables pour le Commissariat, qui nuisent à notre capacité d’affectation de ressources réglementaires limitées pour obtenir un effet maximal pour les Canadiens.
II – Interprétations et définitions
Les principes fondamentaux comme la définition de « renseignements personnels », l’identifiabilité, la notion d’accessibilité au public et l’intérêt public jouent un rôle central dans la Loi pour protéger efficacement les droits des citoyens en matière de renseignements personnels. Depuis l’entrée en vigueur initiale de la Loi, les technologies numériques ont évolué rapidement et d’une façon qu’on n’aurait pas pu prévoir, d’où l’importance cruciale de moderniser les concepts centraux de la Loi et dont l’interprétation doit s’adapter à l’évolution du temps.
Définition de « renseignements personnels »
Nous appuyons les mesures proposées par le Ministère en faveur de l’adoption d’une approche plus inclusive pour définir l’expression « renseignements personnels ». Le Ministère souhaite obtenir des commentaires au sujet de trois propositions pour actualiser la définition de « renseignements personnels » : a) préciser les cas où un individu est « identifiable », b) simplifier la définition en supprimant la référence au fait que les renseignements doivent être consignés, et c) supprimer les exceptions de la définition elle-même. Nous abordons successivement ces propositions ci-dessous.
Préciser les cas où un individu est « identifiable »
Le Ministère veut savoir dans quelle mesure l’adaptation au contexte devrait être prise en compte pour déterminer si un individu est identifiable, par exemple lorsque l’identifiabilité pourrait permettre l’accès à des renseignements confidentiels. Si le contexte doit à l’évidence jouer un rôle, nous notons le danger que représenterait le choix de critères d’identifiabilité trop étroits qui ne seraient pas en phase avec l’évolution rapide de la technologie et la jurisprudence établie. La définition de « renseignements personnels » aux termes de la Loi sur la protection des renseignements personnels doit recevoir une interprétation largeNote de bas de page 14. En raison de la quasi-constitutionnalité de cette loi, les droits qu’elle prévoit doivent recevoir une interprétation large, tandis que les exceptions à ces droits doivent faire l’objet d’une interprétation étroite et précise. Les nouvelles technologies ont grandement facilité l’accès à l’information et la mise en relation d’ensembles de données différents, avec le risque que certains renseignements qui pouvaient au départ être considérés comme anodins ou non personnels mènent à d’importantes révélations. C’est pourquoi nous recommandons que la Loi comprenne une définition de l’« identifiabilité » conforme au critère suivant, établi par la Cour fédérale dans la décision Gordon c. Canada : « Les renseignements seront des renseignements concernant un “individu identifiable” lorsqu’il y a de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources »Note de bas de page 15. La codification de ce critère dans la Loi favorisera une plus grande certitude dans l’interprétation du terme « identifiable » et la prise en compte du contexte. De plus, elle irait dans le même sens que l’ajout récent en Ontario d’une définition du terme « anonymiser » dans la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS)Note de bas de page 16.
Recommandation :
- Les modifications apportées à la définition de « renseignements personnels » dans la Loi devraient inclure un critère applicable au concept d’« identifiabilité » conforme à celui établi dans l’arrêt Gordon c. Canada et permettant une application contextuelle.
Supprimer de la définition l’exigence selon laquelle les renseignements doivent être consignés
Le Ministère souligne que les parties prenantes ont recommandé que soit supprimée dans la Loi l’exigence actuelle selon laquelle les renseignements doivent être consignés, mais demande une rétroaction sur les avantages concrets d’une telle approcheNote de bas de page 17. À notre avis, une telle modification offre deux avantages clés. Premièrement, elle est plus conforme à une loi fondée sur des principes – en accord avec la jurisprudence canadienneNote de bas de page 18 et les normes nationales et internationales sur la protection des renseignements personnelsNote de bas de page 19. Deuxièmement, elle permet d’assurer que les obligations importantes prévues par la Loi s’appliquent également au traitement des renseignements personnels non consignés.
Il est vrai que certains droits et obligations prévus par la Loi, comme le droit d’un individu d’accéder à ses renseignements personnels et de les corriger, ou encore les obligations de conservation, ne peuvent s’appliquer valablement qu’aux renseignements personnels qui sont consignés sous une forme ou une autre. Toutefois, de nombreux autres droits et obligations importants prévus par la Loi peuvent et doivent s’appliquer à tout renseignement personnel, que celui-ci soit consigné ou pas. Par exemple, lorsqu’une institution recherche, visualise, surveille ou communique verbalement des renseignements personnels d’un individu ou y accède, mais sans aller jusqu’à créer un document, elle devrait quand même être tenue de démontrer que la collecte était raisonnablement requise, et se conformer aux autres exigences légales applicables.
Pour tenir compte des réalités modernes de l’ère numérique, la définition de « renseignements personnels » doit aller au-delà du concept qui limiterait ces renseignements à un document. Il n’en reste pas moins que le droit d’accès dépend de la consignation adéquate par les institutions des activités et des décisions clés, ainsi que de la conservation de ces documents. Par conséquent, il est tout aussi important de s’assurer que les institutions aient des obligations de tenue de documents lorsqu’elles utilisent ou communiquent des renseignements personnels d’une façon pouvant avoir une incidence directe sur l’individu. Dans cette mesure, nous appuyons la proposition du Ministère d’élargir le champ d’application de la définition de « fins administratives » et recommandons qu’une obligation de tenue de documents soit associée à de telles pratiques.
Recommandation :
- L’exigence actuelle selon laquelle les renseignements personnels doivent être consignés devrait être supprimée de la définition de « renseignements personnels ».
- Des obligations de tenue de dossiers devraient être imposées lorsque les renseignements personnels sont utilisés ou communiqués d’une façon pouvant avoir une incidence directe sur l’individu, conformément à la proposition du Ministère d’élargir la définition de « fins administratives ».
Supprimer les exceptions de la définition
Le document de consultation propose de supprimer la liste des exceptions figurant actuellement aux alinéas j) à m) de la définition de « renseignements personnels »Note de bas de page 20 . Ces exceptions portent sur les renseignements concernant : une personne en lien avec son poste ou ses fonctions d’employé d’une institution fédérale, un individu qui assure la prestation de services au titre d’un contrat, un conseiller ministériel ou un membre du personnel ministériel, un bénéficiaire d’avantages financiers facultatifs du gouvernement ou un individu décédé depuis plus de 20 ans.
Nous sommes en faveur de cette suppression pour des raisons tant de simplicité que de respect des principes, dans la mesure où aucune modification apportée aux articles 7, 8 et 26 pour autoriser l’utilisation et la communication de tels renseignements n’entraîne un élargissement de ces catégories d’une façon qui porterait atteinte au droit à la vie privée. Nous sommes ouverts à poursuivre les discussions sur toute proposition concrète de modification de ces dispositions.
Pour des raisons similaires, nous recommandons au Ministère de ne pas ajouter une exception à la définition visant à exclure les renseignements commerciaux, comme le propose le document de consultationNote de bas de page 21. Dans le cas où l’entreprise est exploitée par un propriétaire unique, les coordonnées sont souvent à la fois des renseignements commerciaux et des renseignements personnels, ce qui rend difficile la distinction des renseignements propres à chacune de ces catégories, à la différence des autres structures d’entreprise. Avant 2015, les coordonnées des entreprises étaient exclues de la définition de « renseignements personnels » dans la LPRPDE. Toutefois, le Parlement a choisi de supprimer cette exclusion de la définition en 2015. Cette exclusion a été remplacée par une clause d’application beaucoup plus restreinte prévoyant que la LPRPDE « ne s’applique pas à une organisation à l’égard des coordonnées d’affaires d’un individu qu’elle recueille, utilise ou communique uniquement pour entrer en contact – ou pour faciliter la prise de contact – avec lui dans le cadre de son emploi, de son entreprise ou de sa profession »Note de bas de page 22 . Nous sommes favorables à une harmonisation des dispositions de ces deux lois à cet égard.
Recommandation :
- Les coordonnées des entreprises ne devraient être exclues de la définition de « renseignements personnels » que dans la mesure où de tels renseignements sont recueillis, utilisés ou communiqués par une organisation pour entrer en contact ou pour faciliter la prise de contact avec l’individu dans le cadre de son emploi, de son entreprise ou de sa profession, conformément à ce que prévoit la LPRPDE.
Nouvelles dispositions sur l’intérêt public
Le document de consultation propose la suppression de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels et son remplacement par un nouveau cadre autorisant l’utilisation ou la communication de renseignements personnels lorsque cela est « raisonnablement requis » dans l’intérêt public. Aux termes des exigences actuelles, pour qu’une institution puisse exercer son pouvoir discrétionnaire pour autoriser l’utilisation ou la communication de renseignements personnels en vertu de l’alinéa 8(2)m), son responsable doit être d’avis que « des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée » ou que « l’individu concerné en tirerait un avantage certain ». Nous sommes d’avis que cette approche protège le droit à la vie privée des individus et établit généralement un juste équilibre. Cela dit, le Commissariat est ouvert au critère « raisonnablement requis » proposé par le Ministère, avec certaines modifications.
Nous sommes généralement en accord avec la liste des critères servant à déterminer ce qui est « raisonnablement requis » (que nous commentons à la sous-section Seuil justifiant la collecte : « raisonnablement requis »), parce que cela rapprocherait cette norme du seuil de nécessité et de proportionnalité. Des critères clairs et précis dans une nouvelle loi proposée par le Ministère serviraient de guide aux décideurs envisageant une communication de renseignements personnels dans l’intérêt public et pourraient constituer des mesures de protection importantes contre la communication non justifiée de renseignements personnels. Il s’agit d’un aspect particulièrement important, compte tenu de l’absence de définitions permettant d’interpréter ce concept au Canada, tant dans les lois et autres textes législatifs que dans la jurisprudence. L’« intérêt public » est évidemment un concept très général dont la définition peut être difficile, en particulier lorsqu’elle est laissée à l’opinion ou à la discrétion d’un individu.
Cela dit, et tel qu’il est précisé plus loin dans ce mémoire, bien que le quatrième critère servant à déterminer ce qui est « raisonnablement requis » exige des institutions qu’elles considèrent « le degré d’intrusion que représente la collecte par rapport aux intérêts publics en jeu », le fait d’énumérer simplement les facteurs à prendre en compte − sans établir de seuil clair − pourrait ne pas être suffisant pour une utilisation générale et une divulgation de cette nature. Selon nous, une évaluation de proportionnalité devrait être une exigence distincte pour déterminer à quel moment le seuil pour l’utilisation ou la divulgation dans l’intérêt public est atteint, et la Loi devrait préciser que le degré d’intrusion doit être proportionnel aux intérêts publics en jeu.
Dans le document de consultation, nous notons l’intention de préserver, dans les dispositions modifiées sur l’intérêt public, le caractère exceptionnel des autorisations liées aux raisons d’intérêt public en vertu de la Loi actuelle afin qu’il soit impossible d’y recourir de façon systématique ou de manière courante. Nous y sommes favorables et recommandons de ne pas communiquer les renseignements personnels d’un individu à moins d’avoir des arguments impérieux qui justifient de le faireNote de bas de page 23.
En vertu des règles actuelles, les institutions doivent déclarer dans leur rapport annuel le nombre total de communications effectuées aux termes de l’alinéa 8(2)m). Il n’est pas précisé dans le document de consultation si une telle déclaration continuera d’être exigée. L’inclusion d’une obligation similaire de déclarer le recours à la nouvelle disposition sur la communication pour des raisons d’intérêt public représenterait une mesure de transparence souhaitableNote de bas de page 24.
Recommandation :
- Bien que, selon nous, l’alinéa 8(2)m) actuel de la Loi sur la protection des renseignements personnels établit un juste équilibre, nous sommes ouverts à la proposition de le remplacer par un nouveau cadre permettant l’utilisation ou la communication de renseignements personnels lorsque cela est « raisonnablement requis » dans l’intérêt public, sous réserve de nos recommandations décrites à la section « Seuil justifiant la collecte ». En particulier, nous recommandons que le cadre pour l’évaluation du critère « raisonnablement requis » comprenne un libellé plus clair pour préciser que l’incidence sur la vie privée doit être proportionnelle aux intérêts publics en jeu. Un seuil clair pour l’utilisation de la disposition serait ainsi établi.
- Les obligations en matière de rapports publics sur le recours aux autorisations fondées sur des raisons d’intérêt public devraient être maintenues.
Cadre applicable aux renseignements personnels « auxquels le public a accès »
Nous appuyons la proposition du Ministère de définir de façon plus claire les renseignements personnels « auxquels le public a accès » (ou « accessibles au public ») et les règles qui s’y appliquent, plutôt que d’exclure de tels renseignements des exigences de la Loi. Nous sommes aussi tout à fait favorables à la proposition de prévoir des règles spécialisées qui permettraient d’harmoniser les pratiques du secteur public en matière d’utilisation des renseignements personnels auxquels le public a accès avec les attentes raisonnables des individus en matière de respect de la vie privéeNote de bas de page 25.
Le concept de renseignements personnels « auxquels le public a accès » a considérablement évolué depuis l’entrée en vigueur initiale au Canada des lois sur la protection des renseignements personnels. Nous vivons aujourd’hui à une époque où nous partageons davantage de données nous concernant et où, grâce aux progrès de la technologie, il est de plus en plus facile de recueillir, d’analyser et de diffuser des renseignements à notre sujet. Les tribunaux ont reconnu que le fait qu’un renseignement soit accessible au public ne signifie pas nécessairement que nos attentes raisonnables de protection en matière de vie privée diminuentNote de bas de page 26.
Comme nous l’avons souligné, un aspect positif de l’approche proposée est que toutes les règles prévues par la Loi s’appliqueraient aux renseignements personnels auxquels le public a accès, ce qui n’est pas le cas actuellement. Il s’agit là d’une reconnaissance claire du fait que la possibilité d’avoir accès à des renseignements personnels en ligne ne fait pas de ces renseignements des renseignements non personnels, et que les institutions ne peuvent recueillir de renseignements, accessibles au public ou non, à moins d’y être autorisées par la Loi et de respecter le seuil justifiant la collecte prévu par la Loi.
Nous appuyons l’approche proposée par le Ministère d’incorporer dans la Loi sur la protection des renseignements personnels une définition qui tienne compte du contexte dans lequel le public a accès aux renseignements, et la question de savoir si l’individu a des attentes raisonnables en matière de respect de la vie privée relativement aux renseignements en question, sans égard au fait que le public y a accès. Ce type d’approche contextuelle va dans le même sens que celle de la Cour suprême du Canada pour déterminer s’il est raisonnable pour une personne de s’attendre à une protection en matière de vie privée dans un espace public sous l’angle du droit criminelNote de bas de page 27.
Le document de consultation propose que la version modernisée de la Loi définisse trois cas où des renseignements personnels pourraient être considérés comme des renseignements « auxquels le public a accès » :
- lorsqu’ils ont été manifestement rendus publics par la personne à laquelle ils se rapportent;
- lorsqu’ils sont largement et continuellement accessibles à tous les membres du public et que la personne n’a pas d’attente raisonnable en matière de respect de la vie privée relativement aux renseignements en question;
- lorsqu’une autre loi fédérale ou un règlement exige que les renseignements soient accessibles au public.
Le Ministère est d’avis que les attentes raisonnables de respect de la vie privée devraient être prises en considération pour déterminer si le deuxième cas s’applique; toutefois, nous recommandons que l’attente raisonnable d’une personne en matière de respect de sa vie privée soit considérée dans un sens plus large, quelle que soit la façon dont les renseignements ont été rendus accessibles au public. Nous formulons cette recommandation parce que même dans les cas où les renseignements personnels sont accessibles au public, un individu peut conserver un intérêt relativement à la protection de ses renseignements personnels, en particulier en ce qui concerne leur collecte et leur utilisation par le gouvernement fédéral. Une évaluation contextuelle de l’attente raisonnable d’un individu en matière de respect de sa vie privée devrait prendre en considération non seulement les facteurs décrivant de quelle façon, dans quelles circonstances et par qui ils ont été rendus accessibles au public, mais aussi l’intention motivant leur collecte et leur utilisation.
C’est pourquoi il est si important que la Loi sur la protection des renseignements personnels comprenne un cadre rigoureux s’appliquant aux renseignements personnels auxquels le public a accès. La définition proposée par le Ministère constitue un grand pas vers l’atteinte de cet objectif, mais elle pourrait être améliorée par l'ajout explicite du fait que les renseignements personnels accessibles au public n’incluent pas les renseignements à l’égard desquels une personne a des attentes raisonnables en matière de vie privée. Ou encore, les « règles spécialisées » annoncées dans les propositions du Ministère, qui permettraient « d’harmoniser les pratiques du secteur public en matière d’utilisation et de communication des renseignements personnels auxquels le public a accès avec les attentes raisonnables des individus en matière de respect de la vie privée » devraient être claires et efficaces pour assurer la protection de ces attentes.
L’ère numérique présente de nombreuses complexités et, dans ce contexte, les individus peuvent avoir peu de contrôle réel, voire aucun, sur la communication au public de leurs renseignements personnels. À titre d’exemple, un individu n’a pas toujours son mot à dire lorsqu’il s’agit de déterminer quels renseignements le concernant sont largement et continuellement rendus accessibles par d’autres personnes. De même, à cause des complexités des technologies modernes, les individus eux-mêmes peuvent rendre accessibles au public leurs renseignements personnels sans réaliser pleinement la portée de leur accessibilité ou la mesure dans laquelle ces renseignements pourraient être recueillis ou utilisés par des tiers. Même les documents qui doivent être rendus accessibles au public aux termes de la loi, par exemple les dossiers judiciaires, peuvent contenir des renseignements très sensibles qui sont publiés à des fins très particulières, et les individus pourraient ne pas s’attendre raisonnablement à ce que ces renseignements puissent être recueillis, utilisés ou communiqués par le gouvernement à des fins différentes sans que ce dernier porte attention aux circonstancesNote de bas de page 28.
Recommandation :
- La définition de renseignements personnels « auxquels le public a accès » devrait expressément mentionner que les renseignements personnels auxquels le public a accès ne comprennent pas les renseignements à l’égard desquels un individu a une attente raisonnable en matière de protection de la vie privée. Ou encore, toute règle spécialisée concernant les pratiques du secteur public en matière d’utilisation des renseignements personnels auxquels le public a accès devrait être claire et efficace pour assurer la protection de cette attente.
Renseignements personnels anonymisés
En principe, nous appuyons le cadre proposé par le Ministère pour les renseignements anonymisésNote de bas de page 29. Il est proposé dans le document de consultation de définir le concept, de préciser que de tels renseignements demeurent assujettis à la Loi même si leur utilisation et leur communication bénéficient d’une certaine latitude, et de créer une infraction pour la réidentification de renseignements anonymisés ou la tentative de réidentifier de tels renseignements.
Le fait de traiter les renseignements anonymisés comme des « renseignements personnels », comme le propose le Ministère, permettrait d’empêcher que de tels renseignements se retrouvent exclus du champ d’application de la Loi. Étant donné qu’il y a toujours une possibilité que des renseignements anonymisés soient réidentifiés ou qu’ils soient utilisés d’une manière qui pourrait avoir de graves répercussions sur les droits des individus, il est important que les institutions comprennent bien que, même si elles bénéficient d’une marge de manœuvre dans certaines situations, les lois sur la protection des renseignements personnels continuent de s’appliquer à l’utilisation de renseignements anonymisés. Les renseignements anonymisés pourraient être exemptés de l’application de certaines dispositions de la Loi sur la protection des renseignements personnels ou bénéficier d’une application assouplie. Les autres dispositions devraient néanmoins continuer à s’appliquer.
En ce qui concerne la définition elle-même, comme nous le suggérions dans nos propositions pour la prise en compte de l’intelligence artificielle dans la réforme de la LPRPDENote de bas de page 30, la LPRPS de l’Ontario contient une définition d’« anonymiser » qui pourrait être utilisée, mais à laquelle il faudrait incorporer le concept d’« identifiabilité » tel qu’il est établi dans Gordon.
Recommandation :
- La Loi devrait définir les renseignements personnels anonymisés afin de permettre une application plus ciblée et plus nuancée de certaines règles. Par exemple, bien que des renseignements anonymisés puissent être exemptés de certaines dispositions de la Loi sur la protection des renseignements personnels ou bénéficier d’une application assouplie, d’autres dispositions continueraient de s’appliquer.
III – Obligations institutionnelles
Actualiser la Loi pour lui conférer plus de souplesse et une plus grande capacité d’adaptation aux réalités numériques modernes, tout en maintenant le respect du droit à la vie privée, est loin d’être facile. Comme l’affirme le Ministère, malgré les nombreux avantages d’un gouvernement moderne tourné vers le numérique, les Canadiens continuent, à juste titre, de s’attendre à ce que le gouvernement fédéral accède à leurs données pour de bonnes raisons, à ce qu’il y ait des limites à l’utilisation et au partage de ces données et à ce que des mesures de protection soient mises en placeNote de bas de page 31.
Le document de consultation contient plusieurs propositions clés visant à mettre à jour les droits, obligations et règles applicables à la collecte, à l’utilisation et à la communication des renseignements personnels, ou à y apporter des ajouts, pour tenir compte des réalités de l’ère numérique. Dans la section suivante, nous examinons certaines de ces propositions, plus précisément le seuil justifiant la collecte, les obligations en matière de transparence et de déclaration des atteintes, ainsi que les modifications à apporter aux autorisations prévues dans la Loi en matière d’utilisation et de communication. Nous nous appuierons sur les recommandations qui ont été formulées pour réglementer l’intelligence artificielle lors de la consultation sur l’intelligence artificielle dans le secteur privé, que le Commissariat a menée récemmentNote de bas de page 32.
Seuil justifiant la collecte : « raisonnablement requis »
L’un des changements les plus substantiels que propose le Ministère est d’intégrer dans la Loi certains principes fondamentaux et largement reconnus de la protection des données, afin de rendre les règles plus précisesNote de bas de page 33. En ce qui concerne la collecte, le Ministère propose d’intégrer à la Loi un nouveau principe de « détermination des fins de la collecte », en plus du principe de « limitation de la collecte » afin de restreindre les types et la quantité de renseignements personnels que les organismes publics fédéraux peuvent recueillir. Aux termes de la norme proposée pour la justification de la collecte, un organisme public fédéral ne pourrait recueillir des renseignements personnels que s’il lui est « raisonnablement requis » de le faire dans le cadre de ses fonctions ou activités, ou si la collecte de ces renseignements est expressément autorisée par une autre loi fédérale.
La norme largement reconnue tant à l’échelle provinciale au Canada qu’à l’échelle internationale (p. ex. RGPD, Nouvelle-ZélandeNote de bas de page 34) est que les renseignements personnels recueillis par les organisations doivent être « nécessaires » pour les programmes qu’elles administrent et les services qu’elles fournissentNote de bas de page 35. Selon le document de consultation, même si le terme « raisonnablement requis » diffère de celui que l’on retrouve dans d’autres instruments sur la protection des données, cette norme en matière de collecte serait en pratique « essentiellement équivalente aux normes internationales reconnues »Note de bas de page 36 . S’il reste à voir si ces deux normes seront interprétées en pratique de la même façon, nous convenons que « raisonnablement requis » est une norme qui peut fonctionner si son but est d’ajouter de la clarté à la Loi tout en produisant des résultats similaires aux principes de nécessité et de proportionnalité établis de longue date.
Cadre pour l’évaluation du critère « raisonnablement requis »
Le Ministère propose quatre éléments clés que les institutions seraient tenues de prendre en compte pour déterminer si une collecte est « raisonnablement requise » :
- les fins exactes de la collecte, et plus particulièrement s’il s’agit ou non d’une question d’application de la loi ou de sécurité nationale;
- les mécanismes ou moyens employés pour recueillir les renseignements;
- la possibilité ou non de recourir à des manières moins invasives de réaliser les fins prévues à un coût comparable et avec des avantages comparables pour la population;
- la mise en équilibre entre, d’une part, le caractère invasif de la collecte et, d’autre part, les intérêts publics en jeu.
Ces facteurs sont communs au critère « raisonnablement requis » qui est proposé pour le cadre relatif à l’intérêt public, à l’exception de l’ajout d’un critère de protection pour l’utilisation ou la divulgation dans l’intérêt public. Nous formulons ci-dessous des observations sur trois des facteurs proposés pour ce cadre, et nous recommandons des modifications devant s’appliquer également aux dispositions proposées sur la collecte et sur l’intérêt public.
i) Les fins exactes de la collecte, et plus particulièrement s’il s’agit ou non d’une question d’application de la loi ou de sécurité nationale
Le premier facteur porte sur la détermination des fins exactes de la collecte. La détermination des fins occupe une place prépondérante dans le processus visant à établir si un renseignement personnel est requis dans un contexte donné. Il sera important que le test prévu par la loi : 1) garantisse que l'objectif public de la fonction ou de l'activité en question soit défini avec une précision suffisante pour permettre une évaluation véritable de ce qui est raisonnablement requis dans un contexte donné, et 2) que la fonction ou l'activité spécifique pour laquelle la collecte est raisonnablement requise ait une base légale claire. Une fin exagérément large peut conduire à une collecte excessive. Comme l’a souligné la Cour suprême du Canada, si l’objectif est formulé de façon trop large, on risque d’en exagérer l’importance et d’en compromettre l’analyseNote de bas de page 37. De plus, bien qu'il puisse être sous-entendu que la fonction ou l'activité doit avoir un fondement légal, comme c'est le cas avec l'actuel article 4 de la Loi, en référence à un programme ou une activité d'exploitation, nous avons vu cette disposition interprétée de façon généreuse au fil des ans. Le fait d'exiger que les fins identifiées soient clairement liées à une autorité légale inciterait les institutions à s'assurer qu'elles ont identifié des motifs légaux valables pour la collecte de renseignements personnels.
Dans le cadre que nous avons élaboré pour guider les institutions fédérales dans leur évaluation des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privéeNote de bas de page 38, il est précisé que même dans des circonstances difficiles, les institutions fédérales doivent continuer de s’assurer que leurs mesures sont nécessaires et proportionnelles, c’est-à-dire qu’elles sont essentiellement fondées sur des données probantes, qu’elles sont nécessaires pour la fin particulière déterminée et qu’elles n’ont pas une portée excessive. Dans ce contexte, nous avons souligné l’importance de veiller à ce que la fin visée en matière de santé publique, qui sous-tend une mesure susceptible de porter atteinte à la vie privée, repose sur des fondements scientifiques et soit définie avec un certain degré de précision. Il ne suffit pas de faire valoir des préoccupations reliées à la santé publique de façon générale.
Les trois premiers éléments du paragraphe 5(1) du RGPD constituent un modèle intéressant en ce sens. L’alinéa 5(1)a) précise que les données à caractère personnel doivent être « traitées de manière licite, loyale et transparente », l’alinéa 5(1)b) mentionne des « finalités déterminées, explicites et légitimes » et l’alinéa 5(1)c) exige que les données à caractère personnel soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
ii) La possibilité ou non de recourir à des manières moins invasives de réaliser les fins prévues à un coût comparable et avec des avantages comparables pour la population
Le troisième critère dans le cadre proposé porte sur l’existence de moyens moins intrusifs de réaliser les fins prévues « à un coût comparable et avec des avantages comparables ». Nous souhaitons souligner qu’il serait tout à fait inacceptable que des coûts légèrement plus élevés puissent justifier des mesures plus intrusives dans la vie privée. La question de savoir s’il existe des moyens moins intrusifs de réaliser les mêmes fins est indéniablement un élément pertinent d’une évaluation de la proportionnalité. Les institutions peuvent tenir compte des coûts dans cette analyse, mais l’exigence selon laquelle le coût doit être « comparable » ne reconnaît pas le fait que, dans certains cas, il pourrait être acceptable d’assumer des coûts plus élevés pour assurer le respect du droit à la vie privée. Le coût n’est que l’un des nombreux facteurs qui doivent être pris en compte dans l’évaluation du moyen le moins intrusif d’atteindre une fin. Statistique Canada a fait valoir la réduction des coûts comme facteur pour justifier une collecte de renseignements personnels à grande échelle auprès d’une agence d’évaluation du crédit et d’institutions financières, mais notre enquête a conclu que l’organisation n’avait pas démontré que les projets en question étaient proportionnels à l’invasion de la vie privée qui s’ensuivait et que d’autres solutions portant moins atteinte à la vie privée n’étaient pas raisonnablement disponiblesNote de bas de page 39.
iii) La mise en équilibre entre, d’une part, le caractère invasif de la collecte et, d’autre part, les intérêts publics en jeu
Le quatrième facteur dans le cadre proposé exigerait que les institutions fédérales tiennent compte de la mise en équilibre entre, d’une part, le caractère invasif de la collecte et, d’autre part, les intérêts publics en jeu. Il s’agit en effet d’un facteur important pour réaliser une évaluation de la proportionnalité qui permette de garantir que les avantages prévus de la collecte sont évalués par rapport à l’intrusion dans la vie privée. À cet égard, nous croyons qu’il serait plus clair d’inclure un libellé qui précise que le caractère invasif doit être proportionnel aux intérêts publics en jeu. L’ajout de cette exigence explicite de proportionnalité servant à déterminer si une collecte est « raisonnablement requise » aurait pour effet de limiter le risque de collecte abusive de renseignements personnels. Ainsi, les risques pour la vie privée que pourraient présenter des initiatives gouvernementales seraient évalués avec attention dès le départ, et les institutions s’assureraient que la collecte est juste, non arbitraire et proportionnée quant à sa portée. Cela exigerait aussi de faire une évaluation objective de l’importance du besoin particulier d’ordre public qui sous-tend la demande. Plus l’incidence potentielle sur la vie privée est importante, plus l’objectif public devrait être urgent et important.
Enfin, nous suggérons d’inclure un nouveau facteur final à l’alinéa v), soit « tout autre facteur pertinent dans les circonstances », simplement pour souligner le fait que la liste de facteurs n’est pas une liste exhaustive de toutes les conditions qui doivent être évaluées afin de déterminer si une collecte de renseignements est raisonnablement requise dans les circonstances.
Recommandation :
Les facteurs à prendre en compte pour évaluer le caractère « raisonnablement requis » devraient être modifiés pour inclure les éléments suivants :
- les fins exactes, explicites et licites de la collecte, notamment si les renseignements personnels qui doivent être recueillis sont limités à ce qui serait raisonnablement requis pour atteindre ces fins
et plus particulièrement s’il s’agit ou non d’une question d’application de la loi ou de sécurité nationale; - les mécanismes ou moyens employés pour recueillir les renseignements;
- la possibilité ou non de recourir à des manières moins invasives de réaliser les mêmes fins prévues
à un coût comparable et avec des avantages comparables pour la population; - si l’atteinte à la vie privée de l’individu ou à ses autres droits et intérêts fondamentaux est proportionnelle aux
la mise en équilibre entre, d’une part, le caractère invasif de la collecte et, d’autre part, lesintérêts publics en jeu. - tout autre facteur pertinent dans les circonstances.
Obligations en matière de transparence
Nous sommes favorables aux améliorations en matière de transparence qui sont proposées dans le document de consultation. La transparence est essentielle pour habiliter les citoyens en leur donnant les connaissances nécessaires pour exercer leurs droits. Elle oblige également le gouvernement à se responsabiliser à l’égard de ses méthodes de traitement des renseignements personnels. Il s’agit d’aspects essentiels d’un cadre efficace de protection des données.
Cependant, les institutions ne sont pas tenues d’aviser les individus de leurs collectes de données et de leurs fins lorsqu’elles recueillent des renseignements à leur sujet auprès d’une source indirecte. Au fil des années, les nouvelles technologies ont rendu la collecte indirecte de renseignements personnels plus attrayante en raison de son efficacité, de son exactitude, de son faible coût et de sa commodité pour les institutions et les citoyens. Nous avons observé une augmentation des cas de collecte indirecte, à la fois des collectes ciblées et massives, qui sont une source de préoccupations possible pour les citoyensNote de bas de page 40.
Le document de consultation propose diverses façons d’élargir la collecte indirecte de renseignements au sujet des individus, notamment la capacité de recueillir des renseignements accessibles au public et de recueillir des renseignements auprès d’autres institutions fédérales (comme dans le cas d’initiatives d’intégration des données). Comme l’indique le document, ces méthodes de collecte sont favorisées par l’évolution des technologies − pensons notamment à la commodité d’un modèle « une fois suffit ». Cependant, cette augmentation des cas de collecte indirecte peut faire en sorte que les citoyens ne sauront plus exactement quels renseignements ont été recueillis à leur sujet, à quel moment ou à quelles fins, et auront une moins grande capacité de demander des comptes au gouvernement.
Le document de consultation propose ce qui suit :
La Loi pourrait également prévoir le droit de toute personne d’être avisée lorsque ses renseignements personnels sont recueillis par un organisme public fédéral. La Loi pourrait préciser les éléments que l’avis en question devrait absolument comporter. Toutefois, la Loi pourrait aussi fixer des limites raisonnables à ce droit, notamment dans les cas suivants : si l’individu a déjà été avisé; si l’organisme public fédéral est autorisé à recueillir des renseignements personnels auprès d’une autre source que l’individu; si la collecte de renseignements personnels relève d’une question d’application de la loi ou de sécurité nationale; ou si la transmission d’un avis est pratiquement impossible, risque de nuire à l’objet de la collecte ou de rendre celle-ci inutile, ou risque de se traduire par la collecte de renseignements inexacts.
L’élimination des deuxième et troisième exceptions ci-dessus améliorerait considérablement le régime de transparence. Il serait toujours possible de refuser de communiquer des renseignements aux citoyens dans les cas où cette communication est impossible ou risque de nuire à l’objet de la collecte ou de rendre celle-ci inutile (p. ex. pour des questions liées à l’application de la loi et à la sécurité nationale, dans certaines circonstances). De meilleurs « registres de renseignements personnels » et énoncés de confidentialité sur un site Web, même s’ils sont bien conçus, ne permettent pas aux citoyens de bien comprendre, dans le contexte, quels renseignements ont été recueillis à leur sujet, quand ils ont été recueillis et à quelles fins.
D’autres pays qui ont mis en place de plus vastes moyens de collecte indirecte de renseignements personnels ont reconnu cette difficulté et ont adopté des approches novatrices pour combler cette lacune en matière de transparence. Nous conseillons vivement de chercher d’autres innovations afin de combler le manque de connaissances des citoyens, qui résulte inévitablement du recours accru à la collecte indirecte.
Recommandation :
- D’autres mesures visant à améliorer la transparence devraient être envisagées, notamment :
- limiter les exceptions au droit de recevoir un avis direct lors de la collecte de renseignements (notamment, en éliminant certaines exceptions au droit de recevoir un avis dans le cas d’une collecte indirecte);
- exiger que les avis indiquent quels renseignements ont été recueillis, à quel moment et dans quel contexte, ainsi que les fins auxquelles ils peuvent être utilisés ou communiqués;
- chercher des façons d’améliorer l’accès direct des individus aux renseignements que les ministères ont recueillis à leur sujet, et préciser à quel moment ils ont été recueillis et à quelles fins ils sont utilisés ou communiqués.
Rapports sur les atteintes à la vie privée dans le secteur public
Nous sommes très favorables aux propositions du Ministère visant à prévoir un principe de « mesure de sécurité », une obligation relative à la tenue de documents sur les atteintes, et l’obligation de signaler les cas d’atteinte au Commissariat et d’en aviser les individus touchés lorsque l’atteinte pose un risque de préjudice grave pour l’individuNote de bas de page 41. Ces mesures prennent acte de l’augmentation importante des risques de communication non intentionnelle ou non autorisée, de perte et de vol des renseignements personnels détenus par le gouvernement, et d’accès à ceux-ci.
Pour garantir que le régime proposé de présentation de rapports sur les atteintes à la vie privée au Commissariat permette d’assurer une véritable surveillance, nous croyons qu’il faut adopter un libellé plus précis dans la Loi sur l’échéancier de ces rapports. Plutôt que d’utiliser l’expression « dès que possible », nous croyons que les institutions devraient signaler les atteintes au Commissariat « dans les meilleurs délais et au plus tard dans les sept jours civils après que l’institution ait pris connaissance de l’atteinte ». Des échéanciers clairs et courts pour le signalement des atteintes permettraient une intervention efficace, préciseraient ce que la loi attend des institutions et correspondraient aux normes internationales modernesNote de bas de page 42.
Les individus devraient également être avisés le plus rapidement possible qu’ils sont touchés par une atteinte, puisqu’ils sont les parties directement concernées et qu’ils doivent savoir quelles mesures correctives (le cas échéant) ils peuvent ou doivent prendre dans les circonstances. Cependant, nous reconnaissons que l’imposition d’un délai maximal pour la transmission d’un avis aux individus pourrait entraîner la communication de renseignements préliminaires qui pourraient porter à confusion ou être incorrects. C’est pourquoi nous recommandons que ces avis soient exigés seulement dans les meilleurs délais. De plus, une définition claire et cohérente du seuil applicable aux atteintes à déclarer permettrait d’assurer une certaine cohérence avec la LPRPDE et la LPVPC proposée. Nous recommandons donc d’utiliser l’expression « risque réel de préjudice grave » dans les deux lois.
Les rapports sur les atteintes à la vie privée reçus par le Commissariat sont parfois incomplets. Lorsqu’il a cherché à obtenir des renseignements supplémentaires, le Commissariat a parfois eu de la difficulté à accéder aux rapports d’enquête internes et de tiers sur les atteintes à la vie privée, car les organisations invoquent parfois le secret professionnel de l’avocat ou le privilège relatif au litige. Nous recommandons donc l’ajout d’une disposition qui exigerait des institutions qu’elles communiquent au Commissariat les rapports d’enquête internes et de tiers sur les atteintes à la vie privée, y compris les documents et les rapports à l’égard desquels le secret professionnel de l’avocat est invoqué. Cette disposition faciliterait grandement la possibilité d’assurer une surveillance efficace et en temps opportun (en évitant au Commissariat d’avoir à engager de nouveau tous les efforts liés à ces exercices internes). Conformément à la jurisprudence de la Cour suprême, une telle exception devrait être « suffisamment claire, explicite et non équivoque pour traduire l’intention du législateur d’écarter le secret professionnel de l’avocat »Note de bas de page 43. Par souci de clarté, la disposition pourrait préciser qu’une institution ne serait pas réputée avoir renoncé à son privilège en fournissant de tels rapports au Commissariat.
Recommandation :
- Le Commissariat devrait obtenir l’accès à tous les rapports préparés par les institutions ou pour elles au sujet de la cause d’une atteinte à la vie privée et des leçons apprises à la suite de celle-ci.
- Les organismes publics fédéraux devraient aviser le Commissariat dans les meilleurs délais et au plus tard dans les sept jours civils, après avoir pris connaissance de l’atteinte.
- Le seuil de déclaration des atteintes devrait être conforme à celui de la LPRPDE et de la LPVPC, c’est-à-dire lorsqu’il existe un « risque réel de préjudice grave » pour les individus.
Prise de décision automatisée
Le document de consultation indique qu’il pourrait être souhaitable d’ajouter à la loi certains droits et certaines exigences de responsabilisation en ce qui a trait aux systèmes décisionnels automatisés, comme les outils d’intelligence artificielle (IA)Note de bas de page 44. Nous croyons que cette approche est justifiée en raison des risques particuliers pour la protection de la vie privée qui sont associés à de tels systèmes, comme leur capacité potentielle à déduire ou à prédire les caractéristiques des individus ou à utiliser ces renseignements pour déterminer automatiquement l’attribution de certains crédits ou programmes.
Les décisions automatisées peuvent soulever des problèmes d’équité, d’exactitude et de discrimination. L’utilisation de renseignements personnels à l’aide d’outils d’IA pour influencer le comportement des individus peut également avoir des répercussions plus vastes sur la liberté et la démocratie. Le document de consultation indique explicitement qu’une réforme de la Loi sur la protection des renseignements personnels doit se fonder sur le respect et la reconnaissance des droits, et propose d’énoncer clairement dans la disposition d’objet que l’un des objectifs qui sous-tendent la Loi consiste à protéger la dignité humaine, l’autonomie personnelle et l’autodéterminationNote de bas de page 45. L’ajout de droits s’appliquant spécifiquement à la prise de décision automatisée favoriserait l’atteinte de cet objectif et éviterait des retombées négatives en aval sur les individus.
Cette approche permettrait aussi de faire en sorte que la loi demeure neutre sur le plan technologique en offrant une protection à l’égard de la prise de décision automatisée, plutôt que de se concentrer sur une technologie d’IA particulière.
Le document de consultation propose que la Loi sur la protection des renseignements personnels soit harmonisée avec les instruments de politique fédéraux sur la prise de décision automatisée, afin que les individus soient informés des situations où ils interagissent avec ces systèmes, des types et des sources de renseignements personnels utilisés par ces systèmes, et de la manière dont ceux-ci fonctionnentNote de bas de page 46. Il y a un avantage à harmoniser la loi avec de tels éléments de la Directive sur la prise de décision automatisée (DPDA), afin de rationaliser les exigences, de favoriser la conformité et de mieux reconnaître les droits. Comme le note Teresa Scassa dans une publication à paraître : [TRADUCTION] « Les exigences en matière de respect des directives s’appliquent à l’interne au gouvernement, tout comme les sanctions. Des directives ne créent pas de droits donnant ouverture à des recours judiciaires pour les individus »Note de bas de page 47. L’ajout d’obligations en matière de protection de la vie privée dans la loi, plutôt que l’adoption d’une directive, peut donc être un meilleur moyen d’atteindre l’objectif prévu d’assurer la reconnaissance des droits. Établir dans la loi des droits qui seraient neutres sur le plan technologique pour la prise de décisions automatisée n’empêcherait pas l’élaboration d’orientations sur l’exercice de ces droits dans la pratique. Cela fournirait, au contraire, un cadre utile pour répondre aux questions soulevées par les nouvelles technologies et les nouvelles utilisations de la prise de décision automatisée, ce qui faciliterait l’adoption d’une approche cohérente et fondée sur des principes.
La DPDA prévoit des obligations précises qui sont importantes pour gérer les risques d’atteinte à la vie privée, y compris l’intervention humaine et des explications valables pour les décisions. Ces obligations font également partie de nos recommandations sur la réglementation de l’IA en vertu de la LPRPDE, formulées à la suite de notre consultation publique sur l’IA. Même si la méthode axée sur les risques qui est utilisée pour imposer ces obligations dans la DPDA pourrait ne pas convenir à une loi, nous recommandons que les individus se voient accorder dans la loi le droit de contester les décisions automatisées auprès d’une personne et le droit de recevoir des explications. Ces questions sont particulièrement importantes dans le secteur public pour assurer la justice naturelle et l’équité procédurale.
Un droit à une explication valable pourrait ressembler à celui qui est prévu aux articles 13, 14 et 15 du RGPD, qui exige que les responsables du traitement des données fournissent aux personnes « des informations utiles concernant la logique sous-jacente » dans toute prise de décision automatisée, y compris le profilageNote de bas de page 48. Nous recommandons également que la loi définisse une norme renforcée quant à l’explication requise, comme suit : (i) permettre aux individus de comprendre la nature de la décision dont ils font l’objet et les renseignements personnels en cause, et (ii) les règles qui définissent le traitement et les caractéristiques principales de la décision. Toutefois, lorsque des secrets commerciaux ou une classification de sécurité peuvent empêcher de donner une telle explication, les organisations pourraient se fonder sur les trois facteurs suivants pour donner une explication adéquate : (i) les types de renseignements personnels recueillis ou utilisés, (ii) la pertinence de ces renseignements, et (iii) leur incidence possible sur l’individuNote de bas de page 49.
L’objectif final d’un droit à une explication valable consiste à traiter des scénarios potentiels où des algorithmes de boîte noire et des renseignements personnels inconnus sont utilisés pour déterminer automatiquement le sort d’une personne. Ce droit offrirait une voie de recours et garantirait le respect de la dignité humaine en veillant à ce que l’organisation soit tenue de pouvoir expliquer, en termes compréhensibles, le raisonnement qui sous-tend une décision en particulierNote de bas de page 50.
Responsabilité démontrable à l’égard de la prise de décision automatisée
Les autres mesures de responsabilisation proposées comprennent l’obligation d’effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) pour les activités de profilage automatisées ou manuelles qui utilisent des renseignements sensibles ou d’autres activités présentant un risque élevé pour la protection des renseignements personnelsNote de bas de page 51. Le Ministère propose aussi d’ajouter, même si cela ne s’applique pas précisément à l’IA ou à la prise de décision automatisée, l’obligation de tenir compte de la vie privée au moment d’élaborer des programmes et des activités (un concept appelé « protection des renseignements personnels dès la conception »)Note de bas de page 52. Ces obligations, ainsi qu’une portée élargie pour les « fins administratives » prévues dans la Loi afin de s’assurer que la disposition s’applique à la conception et au développement de systèmes d’intelligence artificielle, sont des éléments positifs d’un cadre de responsabilité démontrable pour l’IA.
L’obligation de tenir compte de la protection des renseignements personnels dès la conception serait conforme à l’approche législative moderne, telle qu’on la trouve dans le RGPD et le projet de loi no 64Note de bas de page 53. De plus, les EFVP sont des outils utiles lorsqu’il s’agit d’intégrer la protection de la vie privée et les droits de la personne dès la conception des systèmes d’IA. Elles permettent aussi à l’autorité de réglementation d’examiner les évaluations, lesquelles peuvent attester de la diligence raisonnable dont l’organisation a fait preuve avant de mettre en œuvre l’activité d’IA.
Plus précisément, dans le contexte de la prise de décision automatisée, une exigence en matière de « traçabilité » permettrait à un ministère de retrouver les renseignements personnels utilisés par une machine pour prendre une décision. Cette exigence faciliterait l’exercice des droits susmentionnés, à savoir le droit de recevoir des explications et le droit de demander une intervention humaine, et permettrait d’atténuer les effets de la prise de décisions par une boîte noire. Une telle responsabilisation est particulièrement importante dans le contexte du secteur public. Le projet de loi no 64 du Québec et les modifications récemment apportées à la LPRPS de l’Ontario comprennent des exigences en matière de traçabilité. De nombreux intervenants qui ont participé à la consultation publique du Commissariat sur l’IA étaient également en faveur de cette recommandation.
Déductions en tant que méthode de collecte
Nous sommes aussi en faveur de la proposition selon laquelle le fait de tirer des déductions (inférences) à propos d’un individu constitue une collecte de renseignements personnels. Il s’agit là d’un élément important pour protéger les droits de la personne parce que les déductions peuvent mener à toutes sortes de révélations sur l’affinité politique, les intérêts, la classe économique et la race, entre autres. De telles déductions se font souvent à l’insu d’une personne et sont utilisées pour prendre des décisions à son sujet. Comme pour tous les autres renseignements personnels, les déductions seraient assujetties au seuil de limitation de la collecte, ainsi qu’au critère selon lequel la collecte doit être « raisonnablement requise » pour une fin donnée et être équitable et proportionnelle dans le contexte.
Dans l’ensemble, pour atténuer les risques de violations de la vie privée associées à la prise de décision automatisée et pour donner effet aux droits individuels, la Loi devra définir la prise de décision automatisée afin de créer des mesures de protection qui s’y appliqueront.
Recommandation :
- La Loi devrait définir la prise de décision automatisée.
- La loi devrait inclure le droit à une explication valable et le droit de demander une intervention humaine à l’égard de l’utilisation de la prise de décision automatisée, comme le prévoit actuellement la Directive sur la prise de décision automatisée du SCT.
- Une norme précise devrait être définie quant à l’explication requise, de manière à permettre aux individus de comprendre : (i) la nature de la décision dont ils font l’objet, et les renseignements personnels en cause, et (ii) les règles qui définissent le traitement et les caractéristiques principales de la décision.
- Lorsque des secrets commerciaux ou une classification de sécurité empêchent de donner une telle explication, les renseignements suivants devraient au moins être fournis : (i) les types de renseignements personnels recueillis ou utilisés, (ii) la pertinence de ces renseignements, et (iii) leur incidence possible sur l’individu.
- La loi devrait imposer aux institutions une obligation de consigner et d’effectuer le traçage des renseignements personnels utilisés dans la prise de décision automatisée.
Communication et échange de renseignements
Il y a actuellement plus d’une douzaine de dispositions dans l’article 8 de la Loi qui permettent l’échange de renseignements personnels sans obtenir le consentement préalable de l’individu en question. Certaines de ces exceptions sont vastes; par exemple, des renseignements peuvent être communiqués à toute autre fin établie dans les lois fédérales ou leurs règlements (alinéa 8(2)b)). D’autres sont étroites et précises, par exemple, dans le cas du recouvrement d’une créance (alinéa 8(2)l)). En plus de cette grande variation dans la portée de la communication des renseignements, il y a également des différences importantes dans les mécanismes de responsabilisation et de transparence qui sont rattachés à ces dispositions.
Le document de consultation propose d’ajouter d’autres exceptions et d’apporter des modifications qui, selon leur libellé précis et leur mode de réglementation, pourraient élargir les dispositions existantes sur la communication de renseignements en vertu de la Loi.
Au vu de l’ampleur des communications de renseignements envisagées dans le document de discussion, nous avons résumé nos commentaires et recommandations relativement à certaines dispositions précises :
Proposition | Observations du Commissariat | |
---|---|---|
Usages compatibles | Les usages compatibles, dont il est question à l’alinéa 8(2)a) de la Loi, sont souvent invoqués auprès du Commissariat afin de justifier la communication ou l’utilisation de renseignements. Nous avons vu dans le passé que les institutions fédérales peuvent interpréter ce concept de façon trop large (c’est-à-dire que les fins qui leur semblent compatibles peuvent, en fait, avoir seulement un lien ténu entre elles). La proposition du Ministère, dans sa formulation actuelle, améliorerait la rigueur de cette disposition, ce qui est souhaitable. Nous sommes très favorables à l’ajout des critères proposés pour souligner les facteurs à prendre en considération, notamment le lien entre les fins initiales et les nouvelles fins; le contexte dans lequel les renseignements personnels ont initialement été recueillis; la nature des renseignements personnels visés; les possibles conséquences et avantages pour les individus; et l’existence de mesures de protection ou d’atténuation des risques. Selon nous, faire en sorte que les exigences actuelles en matière d’avis deviennent une exigence de tenue de documents, en veillant à ce que le commissaire à la protection de la vie privée puisse vérifier de façon proactive ces documents, tel que le propose le ministère de la Justice, permet toujours une responsabilité démontrable pour les usages compatibles. |
|
Communication de renseignements pour l’intégration de données | Cette nouvelle exception proposée pour la communication de renseignements sans le consentement des individus est décrite comme une exception qui permet au gouvernement de communiquer, de relier et d’analyser des données afin d’obtenir de nouvelles informations permettant de mieux soutenir les initiatives de prestation de services, l’élaboration des politiques, la planification des systèmes, l’affectation des ressources et le suivi du rendement. Il s’agit d’objectifs légitimes. Cependant, il devrait y avoir des limites et des mesures de protection appropriées pour encadrer la communication de masse de renseignements sensibles et le regroupement de « profils » à facettes multiples sur des individus. Le document de consultation fait référence aux dispositions sur l’intégration de données énoncées dans la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) de l’Ontario, mais il n’indique pas si des mesures de protection et de surveillance aussi précises que ceux prévus en Ontario s’appliqueraient. Nous recommandons que le Ministère aille dans ce sens, compte tenu de l’ampleur et de l’étendue des communications de renseignements. Les mesures en question comprennent l’adoption de normes en matière de protection des données établies au départ avec l’autorité de protection des données, des rapports annuels sur les activités d’intégration de données, l’utilisation de mesures de protection techniques (y compris l’anonymisation et le chiffrement), des limites s’appliquant à la conservation des données, et un rôle bien défini pour le commissaire, y compris des pouvoirs exécutoires. Le Commissariat est favorable à l’idée de faire de ces exigences des conditions préalables dans la Loi (comme c’est le cas dans les paragraphes 49.3(1) et (2) de la LAIPVP), plutôt que de considérer ces exigences comme l’un des facteurs à évaluer pour déterminer si l’intégration de données est « raisonnablement requise ». |
|
Communication de renseignements au plus proche parent d’un individu pour des motifs de compassion | Nous sommes d’accord avec les motifs invoqués par le ministère de la Justice au soutien de cette exception. | |
Communication de renseignements en cas d’urgence ou de menace grave pour la sécurité publique ou celle d’un individu | Nous croyons qu’il serait justifié d’ajouter cette exception compte tenu des circonstances atténuantes dans lesquelles l’exigence de communiquer de tels renseignements peut survenir. Toutefois, des dispositions semblables dans des lois analogues provinciales visent les menaces précises pour la santé et la sécurité des personnes, plutôt que sur le risque pour le public en général, et leur libellé reconnait l’importance de la protection de la vie privée malgré l’existence d’une menace graveNote de bas de page 54. L’idéal serait un libellé moins large, qui précise l’urgence de communiquer les renseignements tout en reconnaissant l’importance de la vie privée des individus. | |
Préciser la signification de l’alinéa 8(2)c) concernant la communication de renseignements personnels à l’appui des activités des cours et des tribunaux | Dans la loi actuelle, l’alinéa 8(2)c) autorise la communication de renseignements lorsqu’exigée par subpoena, mandat ou ordonnance. L’ajout d’autres activités judiciaires ne change pas la nature de la disposition même si elle en élargit la portée. Nous sommes généralement favorables à cette disposition, à la condition que la communication de renseignements demeure limitée aux renseignements pertinents aux litiges. | |
Remplacer le régime des organismes d’enquête prévu à l’alinéa 8(2)e) par un modèle comme celui prévu par la LPRPDE | Nous sommes d’accord avec l’élimination des procédures de pré-approbation des organismes d’enquête proposée par le ministère de la Justice, constatant par ailleurs qu’elle pourrait considérablement augmenter le nombre de ces organismes et accroître la communication de renseignements personnels. Il serait donc important que la définition d’ « organisme d’enquête » demeure étroite. Si les exigences d’approbation préalables sont éliminées, nous recommandons que les nouvelles exigences de tenue de documents qui sont envisagées pour les « usages compatibles » et la communication « dans l’intérêt public » soient élargies pour s’appliquer à cette disposition (à la fois pour l’institution qui communique l’information et l’institution destinataire), et que la production de rapports annuels sur le recours à cette disposition soit envisagée. | |
Établir une distinction entre la communication de renseignements avec des gouvernements étrangers et les autres communications de renseignements selon l’alinéa 8(2)f) | Le Commissariat soutient la proposition du Ministère concernant l’alinéa 8(2)f), selon laquelle il faudrait établir une distinction entre la communication de renseignements à des gouvernements étrangers et la communication de renseignements à d’autres organismes. Nous convenons également que la communication de renseignements devrait être autorisée aux termes d’ententes écrites comprenant des exigences minimales de base. Toutefois, le document de consultation ne fait pas mention d’un examen ou d’une consultation auprès du Commissariat sur les ententes de communication de renseignements. Comme nous l’avons signalé au Comité ETHI, nous continuons de croire que la Loi doit « (e)xiger que toutes les communications d’information visées par les alinéas 8(2)a) et f) de la Loi sur la protection des renseignements personnels soient régies par des accords écrits comprenant des éléments bien précis. En outre, tous les accords nouveaux ou modifiés devraient être soumis à l’examen du Commissariat à la protection de la vie privée du Canada (le Commissariat), et les accords existants devraient pouvoir être examinés sur demande »Note de bas de page 55. |
|
Nouvelle disposition sur la communication qui duplique l’alinéa 8(2)i) pour Statistique Canada | Cette nouvelle disposition est décrite comme une disposition qui étend à Statistique Canada « à des fins de statistique et de recherche » les autorisations déjà accordées à Bibliothèque et Archives Canada à des fins d’archivage. Même si l’utilisation de renseignements à des fins d’archivage crée un certain risque à la vie privée (de par leur conservation prolongée), cette utilisation est très différente des activités de Statistique Canada (qui créent de nouveaux liens entre les données pour des fins statistiques) et qui créent des risques beaucoup plus importants pour la vie privéeNote de bas de page 56. De plus, les mesures de protection contenues dans l’exception actuelle pour la communication aux fins de recherche sont absentes de son extension aux fins statistiquesNote de bas de page 57. Dans le cadre d’une telle exception, il n’y aurait vraisemblablement pas de limite aux renseignements personnels que Statistique Canada pourrait recueillir, que ce soit à des fins statistiques ou de recherche. Nous ignorons pourquoi les autorisations qui sont actuellement prévues dans la loi sont insuffisantes pour permettre aux institutions de communiquer des renseignements personnels à Statistique Canada. C’est pourquoi nous recommandons de ne pas adopter cette exception proposée. |
|
Préciser le libellé de l’alinéa 8(2)j) sur la communication de renseignements aux fins de recherche et de statistique | Même si nous sommes favorables à l’adoption d’une nouvelle exigence selon laquelle le dirigeant d’une institution serait tenu d’inclure des mesures de sécurité ou de confidentialité dans les ententes de communication de renseignements aux fins de statistique, nous ignorons si et comment cette disposition pourrait s’appliquer aux services d’intégration de données, dont la principale fonction semble aussi de mener des recherches et des analyses statistiques Des précisions seraient utiles pour comprendre le lien entre cette disposition et celle portant sur les services d’intégration des données. |
Recommandation :
- Dans le cas de la communication de renseignements aux services d’intégration de données, nous recommandons l’adoption de mesures de protection comme celles énoncées dans la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) de l’Ontario, notamment : des normes en matière de données, des rapports annuels, des mesures de protection techniques (y compris l’anonymisation), des limites s’appliquant à la conservation des données, et un rôle bien défini pour le Commissariat, y compris des pouvoirs exécutoires accrus.
- Pour ce qui est de la communication de renseignements en cas d’urgence ou de menaces graves pour la sécurité publique ou la sécurité d’un individu, nous recommandons un libellé moins large qui précise l’urgence de communiquer les renseignements tout en reconnaissant l’importance de la vie privée des individus.
- Dans le cas de la communication de renseignements à des organismes d’enquête qui ne seraient plus pré-autorisés, nous recommandons que le terme « organisme d’enquête » soit défini étroitement, que la responsabilité soit renforcée par la tenue de documents à la fois pour l’institution qui communique l’information et l’institution destinataire, un examen mené par le Commissariat, et que la production de rapports annuels sur le recours à cette disposition soit envisagée.
- Pour ce qui est de la communication de renseignements à des gouvernements étrangers, nous recommandons que des ententes de communication de renseignements écrites soient exigées, qu'elles contiennent des exigences minimales de base énoncées dans la loi, et que les institutions soient tenues de présenter ces ententes au Commissariat aux fins d’examen.
- Nous recommandons de ne pas adopter la disposition s’inspirant du modèle de l’alinéa 8(2)i) actuel pour permettre la communication de renseignements à Statistique Canada aux fins de statistique ou de recherche.
Possibilité de porter plainte
Nous sommes favorables à la proposition visant à ajouter un principe de « possibilité de porter plainte » dans la Loi. Cela dit, pour réaliser pleinement les avantages de l’adoption d’un tel principe, nous recommandons qu’il soit formulé, comme c’est le cas dans la LPRPDE ou la LPVPC, comme une disposition exigeant que l’institution elle-même mette en place des mécanismes pour répondre aux plaintes liées à la protection de la vie privée. L’objectif visé ne serait pas d’accroître le fardeau administratif, mais plutôt de fournir une approche plus efficace en temps opportun, à la fois pour les institutions et pour les individus, afin de pouvoir se pencher sur les préoccupations de ces derniers. Le recours au processus plus intensif de dépôt d’une plainte officielle auprès du Commissariat pourrait ainsi être évité dans bien des cas (ou on pourrait accélérer le processus, si la question n’est toujours pas résolue avant le dépôt d’une plainte officielle). Cela permettrait aussi d’améliorer l’efficacité du principe de responsabilité − en augmentant la responsabilisation directe des institutions à l’égard des personnes qui font état de préoccupations.
Conformément à l’idée d’encourager des moyens plus efficaces pour traiter les questions liées à la vie privée, il conviendrait d’envisager, dans l’examen à venir des dispositions en matière d’accès de la Loi sur la protection des renseignements personnels, des incitatifs pour la divulgation proactive ou informelle. On pourrait aussi examiner comment une telle divulgation proactive et informelle pourrait s’accompagner d’un allégement correspondant de la charge de travail pour les demandes d’accès formelles visant les mêmes renseignements. Nous serions heureux de discuter davantage de cette question.
Recommandation :
- Pour se conformer au principe de possibilité de porter plainte, les institutions devraient mettre en place des mécanismes pour répondre aux plaintes liées à la protection de la vie privée, de manière à favoriser une résolution efficace et en temps opportun des préoccupations des citoyens, le cas échéant.
- La Loi devrait promouvoir l’utilisation de mécanismes informels pour permettre aux individus d'accéder aux renseignements personnels que détiennent les institutions fédérales à leur sujet.
IV – Optimisation de l’efficacité réglementaire
Comme nous l’avons souligné dans notre introduction, nous sommes très favorables aux propositions constructives contenues dans le document de consultation qui portent sur une surveillance efficace menée par le Commissariat. Ces propositions constituent des progrès importants et pragmatiques. C’est pourquoi nous nous concentrons sur deux questions résiduelles. Il s’agit notamment de la portée des pouvoirs d’ordonnance et de la réduction des obligations non discrétionnaires pour le Commissariat.
Recours en Cour fédérale
Nous accueillons favorablement la proposition visant à élargir le pouvoir de contrôle actuel de la Cour fédérale pour qu’il comprenne les plaintes portant sur la collecte, l’utilisation, la communication, la conservation ou la protection des renseignements personnels. Cette proposition reconnaît l’importance pour les individus de disposer d’un droit de recours efficace.
Nous croyons que ce droit de recours pourrait être amélioré s’il n’était pas limité, comme il est proposé, aux questions qui sont considérées comme non résolues. Cela améliorerait l’accès à la justice des individus en leur permettant d’intenter un recours dans une plus vaste gamme de situations, notamment lorsque le Commissariat refuse d’enquêter.
Un modèle possible est le régime de la Loi sur les langues officielles (LLO). En vertu de l’article 77 de la LLO, après qu’une personne a saisi le commissaire d’une plainte, elle peut former un recours devant la Cour dans trois situations :
- lorsque le plaignant a reçu les conclusions de l’enquête;
- lorsque le plaignant a été informé de la décision du commissaire de refuser d’ouvrir ou de poursuivre l’enquête;
- lorsque le plaignant n’a pas été informé des conclusions de l’enquête ou de la décision dans les six mois suivant le dépôt de sa plainte.
Recommandation :
- Le droit de recours d’un individu à la Cour fédérale ne devrait pas se limiter aux questions non résolues et devrait plutôt s’inspirer du modèle de l’article 77 de la Loi sur les langues officielles (LLO).
Pouvoirs exécutoires appropriés
Le document de consultation propose d’accorder au Commissariat à la protection de la vie privée le pouvoir de rendre des ordonnances semblables à celles du Commissariat à l’information du Canada, notamment en ce qui a trait aux plaintes concernant le refus d’une demande d’accès aux renseignements personnels.
Nous accueillons favorablement la proposition du Ministère visant à nous accorder des pouvoirs exécutoires. Cependant, le fait de limiter ces pouvoirs aux cas de refus de demandes d’accès (comme pour le Commissariat à l’information) ne tient pas compte de la différence de contexte. Alors que de telles ordonnances offrent un recours efficace à presque toutes les personnes touchées dans les cas examinés par le Commissariat à l’information, elles n’offrent un tel recours qu’à une petite fraction des individus touchés par les dossiers examinés par le Commissariat à la protection de la vie privée. En effet, les plaintes relatives à l’accès touchent seulement quelques centaines de Canadiens chaque année, alors que les enquêtes que mène notre commissariat sur le non-respect des dispositions sur la collecte, l’utilisation et la communication de renseignements peuvent toucher des millions de CanadiensNote de bas de page 58.
Nous croyons que la comparaison la plus pertinente n’est pas avec le Commissariat à l’information mais avec la portée des pouvoirs conférés aux autres autorités de protection de la vie privée au pays et à l’étranger. Ailleurs dans le monde, des régimes de protection des renseignements personnels qui se fondent sur un modèle juridique comme le nôtre (au Royaume-Uni, en Irlande, en Australie et en Nouvelle-Zélande) permettent aux autorités semblables à la nôtre, indépendantes du gouvernement, de rendre des ordonnances à l’encontre d’organismes du secteur public et d’organismes gouvernementaux. Au Canada, il existe des régimes semblables au Québec, en Alberta, en Colombie-Britannique et, plus récemment, en Ontario. Cette dernière province a récemment ajouté un cadre d’intégration des données dans la version modifiée de sa loi (LAIPVP) permettant au commissaire d’ordonner au service visé de cesser ou de modifier la pratique ou procédure ou d’en adopter une nouvelle, voire d’ordonner la destruction des renseignements personnels.
Recommandation :
- Le pouvoir de rendre des ordonnances du Commissariat ne devrait pas se limiter au refus des demandes d’accès; il devrait aussi s’appliquer à la collecte, à l’utilisation et à la communication de renseignements personnels par les institutions fédérales.
Réduction des obligations non discrétionnaires évitables
Nous accueillons favorablement les propositions dans le document de consultation visant à élargir le rôle du commissaire à la protection de la vie privée d’un point de vue proactif et consultatif, ainsi que du point de vue de l’application de la loi. Un organisme de réglementation efficace est un organisme qui aide les entités réglementées à se conformer à la loi, mais qui a aussi la capacité de prendre des mesures d’exécution significatives en cas de non-respect.
Un organisme de réglementation efficace a également la capacité de faire des choix en ce qui concerne ses priorités, ses activités et l’affectation de ses ressources. Ajouter de nouvelles responsabilités à une liste d’obligations déjà très exhaustive risque d’épuiser les ressources limitées du Commissariat, ce qui pourrait nuire à la capacité de ce dernier de remplir efficacement son mandat, au détriment des Canadiens.
Dans cette optique, nous avons déterminé un certain nombre d’améliorations possibles au régime actuel et au régime proposé qui pourraient accorder au Commissariat une plus grande discrétion pour gérer ses ressources limitées de manière à atteindre l’objectif global de devenir un organisme de réglementation souple et efficace.
Collaboration avec des homologues ayant des responsabilités réglementaires
Le Commissariat se réjouit de voir que le document de consultation propose d’améliorer notre capacité de collaborer avec des homologues ayant des responsabilités réglementaires, comme nous le demandons depuis longtemps. Le Commissariat a généralement été à l’avant-plan du mouvement en faveur d’une collaboration accrue entre les organismes de surveillance au cours de la dernière décennie. Il a d’ailleurs souligné l’importance d’une surveillance effectuée en réseau, au vu de la grande quantité de renseignements échangés entre les ministères et de la fréquence à laquelle plusieurs organismes collaborent au sein de groupes de travail ou d’équipes intégrées d’application de la loi.
Cela dit, il importe de faire une distinction juridique cruciale entre la souplesse de la loi et la latitude de consulter lorsque cela s’avère raisonnablement requis, par opposition à une obligation de consulter dans tous les cas, comme le document semble le proposer. Nous craignons que cette exigence entraîne la communication inutile de renseignements personnels sans raison valable. De plus, elle ajouterait un fardeau opérationnel sur le plan logistique. Cette exigence se répercuterait non seulement sur le Commissariat, mais aussi (si l’exigence est réciproque, et nous supposons qu’elle le sera aux fins de cohérence) à tous les autres organismes de surveillance impliqués. Les organismes de surveillance doivent avoir la discrétion d’échanger des renseignements pour profiter de leur expertise mutuelle, éviter le dédoublement des tâches, collaborer au besoin, et aller de l’avant rapidement et de façon indépendante lorsqu’une question relève précisément de leur champ de compétence. Il est tout aussi important que chaque organisme de surveillance conserve son autonomie, tout en profitant des connaissances spécialisées que chaque organisme de surveillance peut offrir. Le statut du Commissariat en tant qu’agent du Parlement autonome et indépendant est essentiel pour préserver cette crédibilité.
Recommandation :
- La Loi sur la protection des renseignements personnels devrait permettre la consultation d’organismes de surveillance pertinents et d’autres organismes de réglementation, sans imposer de consultation obligatoire.
Surveillance des décisions en réponse aux demandes d’accès aux renseignements personnels vexatoires
Reprenant des modifications qui ont été faites récemment à la LAI, le document de consultation propose d’accorder aux institutions le pouvoir discrétionnaire de refuser de répondre aux demandes d’accès aux renseignements personnels qui sont vexatoires ou abusives. Nous convenons qu’il s’agit d’une disposition raisonnable, mais il faut s’assurer qu’elle soit appliquée convenablementNote de bas de page 59. Le Ministère propose actuellement un mécanisme de surveillance relativement extraordinaire (qui n'est en place pour aucune autre disposition de la Loi sur la protection des renseignements personnels), qui consiste à exiger des institutions qu’elles obtiennent l’approbation directe du Commissariat pour chacune de ces décisions. Bien que nous ne soyons pas fermement opposés à ce régime de surveillance, nous faisons respectueusement remarquer qu’il pourrait mieux convenir d’appliquer le même modèle de surveillance que celui utilisé pour les autres refus d’accès aux demandeurs. Plus précisément, de telles décisions pourraient être prises par les institutions responsables, mais assujetties à une surveillance ex post facto du Commissariat au moyen des mécanismes de plainte habituels – auxquels s’ajouterait le pouvoir de rendre des ordonnances en matière d’accès proposé par le Ministère afin de prévenir les abus potentiels.
Il convient de noter que le régime de surveillance extraordinaire proposé par le Ministère est semblable à celui introduit dans la LAI en réponse aux préoccupations soulevées par divers intervenants, qui ont fait valoir que les institutions pourraient avoir recours à cette disposition de manière intensive (voire abusive). Il n’y a cependant rien à ce jour pour indiquer que cela se soit avéréNote de bas de page 60. En Ontario, où des décisions semblables peuvent être prises par les responsables des institutions provinciales et municipales, assujetties aux mécanismes de surveillance habituels du commissaire à l’information et à la protection de la vie privée (CIPVP) de cette province, les appels liés à un refus d’accès en raison d'une demande jugée « frivole ou vexatoire », en vertu de la Loi sur l’accès à l’information et la protection de la vie privée (LAIVP) et de la Loi sur l’accès à l’information municipale et la protection de la vie privée (LAIMPVP) de l’Ontario, représentent moins de 2 % de tous les appels interjetés pour des questions liées à l’accèsNote de bas de page 61.
Recommandation :
- L’approbation du refus de répondre aux demandes vexatoires devrait être donnée par les institutions elles-mêmes, mais cette décision demeurerait assujettie à un examen par le Commissariat, que ce soit à la suite de plaintes présentées par des individus ou en vertu des pouvoirs d’enquête et de vérification discrétionnaires du commissaire.
Obligation continue d’examiner les mesures de protection du CANAFE
Un autre exemple problématique de contrainte similaire actuellement imposée au Commissariat est le cas du paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT). Selon ce paragraphe, le commissaire à la protection de la vie privée doit examiner, tous les deux ans, les mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) pour protéger les renseignements que cet organisme reçoit ou recueille. Un organisme de réglementation efficace ne devrait pas effectuer une vérification d’une tranche très étroite des activités d’une seule organisation pour évaluer sa conformité de cette façon, comme le fait le Commissariat auprès du CANAFE. Nous avons déjà le pouvoir, en vertu de l’article 37 de la Loi sur la protection des renseignements personnels, d’examiner les pratiques de toute institution fédérale, ce qui inclut le CANAFE; la disposition de la LRPCFAT est donc superflue. Ce dédoublement législatif impose une contrainte inefficace à des ressources déjà limitées.
Recommandation :
- Une modification devrait être apportée à la LRPCFAT, à la suite de l’adoption de nouvelles dispositions dans la Loi sur la protection des renseignements personnels, afin d’éliminer l’exigence selon laquelle le Commissariat doit mener des examens bisannuels des mesures du CANAFE, étant donné que nous avons le pouvoir en vertu de la Loi (article 37) d’examiner les pratiques de toutes les institutions, à notre discrétion.
Examen par le Commissariat des évaluations des facteurs relatifs à la vie privée
Nous sommes fortement en faveur de l’intégration d’obligations liées aux évaluations des facteurs relatifs à la vie privée (EFVP) dans la Loi, notamment l’obligation proposée de transmettre les EFVP au Commissariat aux fins d’examen et de recommandation. Toutefois, étant donné que le volume d’EFVP produites par les institutions devrait être très important − même en appliquant l’approche fondée sur les risques qui est proposée −, la proposition visant à confier au Commissariat l’obligation de formuler des recommandations dans un délai précis exigerait des ressources considérables. En plus d’affecter les ressources appropriées à cette fonction, il importera aussi d’accorder une certaine discrétion au Commissariat pour s’assurer que l’examen des EFVP en temps opportun n’accapare pas ses ressources réglementaires limitées et qu’il est en mesure d’effectuer des examens ciblés des EFVP selon les priorités, pour se concentrer sur les dossiers présentant les plus grands risques.
Il convient de noter qu’en vertu du cadre stratégique actuel sur les EFVP, le Commissariat n’est pas tenu de formuler des recommandations sur toutes les EFVP reçues. Néanmoins, toutes les EFVP sont examinées pour évaluer les risques et font l’objet d’un tri. Elles servent à informer le Commissariat des pratiques du gouvernement et des risques connexes pour la protection de la vie privée. Lorsqu’elles sont effectuées correctement, les EFVP permettent à une institution de mener un exercice interne de détermination et d’atténuation des risques, et ne devraient pas nécessiter l’intervention du Commissariat dans tous les cas. Elles sont également conçues pour être évolutives, ce qui signifie qu’il n’est pas toujours nécessaire que le Commissariat commente chaque version. Cela dit, il est utile de transmettre les mises à jour au Commissariat pour le tenir au courant des activités gouvernementales.
Recommandation :
- Les institutions devraient être tenues par la loi de préparer des évaluations des facteurs relatifs à la vie privée et de les soumettre au Commissariat, qui devrait se voir accorder la discrétion de formuler ou non des recommandations.
Consultation législative et réglementaire
À l’heure actuelle, les politiques exigent qu’un avis soit donné au Commissariat sur toutes les initiatives prévues, y compris les projets de loi, les règlements, les politiques et les programmes qui se rapportent à la Loi ou qui peuvent avoir une incidence sur la protection des renseignements personnels des Canadiens.
Plusieurs lois de provinces et d’autres pays exigent maintenant explicitement que les institutions consultent leur autorité de protection des données quand elles préparent unprojet de loi. Par exemple, à Terre-Neuve-et-Labrador, l’Access to Information and Protection of Privacy Act exige que le commissaire soit consulté lorsqu’un projet de loi pourrait avoir une incidence sur l’accès à l’information ou la protection de la vie privée, et ce, dès que possible avant la date de l’avis du dépôt du projet de loi devant la Chambre d’assemblée, ou au plus tard à cette dateNote de bas de page 62. Le commissaire doit indiquer au ministre si le projet de loi pourrait avoir une incidence sur l’accès à l’information ou la protection de la vie privée et il peut se prononcer publiquement sur un projet de loi. De même, le RGPD exige que « les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitementNote de bas de page 63 ».
Dans le même ordre d’idées, nous recommandons que le Commissariat soit avisé à l’avance de tout projet de loi ou de règlement qui pourrait avoir une incidence sur la protection de la vie privée et qu’il soit consulté à ce sujet avant le dépôt du projet en question.
En accordant au commissaire à la protection de la vie privée une discrétion dans l’exercice de ses autres fonctions, des ressources seraient libérées pour d’autres mesures importantes pour la protection des renseignements personnels, comme la participation à des consultations de cette nature.
Recommandation :
- Les institutions fédérales devraient être tenues de consulter le Commissariat au sujet de projets de loi et de règlements ayant une incidence sur la protection de la vie privée avant leur dépôt.
- Date de modification :