Vérification du Programme de protection des passagers de Transports Canada
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Article 37 de la Loi sur la protection des renseignements personnels
Novembre 2009
La présente vérification a été effectuée en conformité avec les pratiques, les politiques et le mandat législatif du Commissariat à la protection de la vie privée du Canada.
Ce rapport peut être consulté sur notre site Web à l’adresse www.priv.gc.ca.
Pour obtenir des exemplaires de rapports ou d’autres publications du Commissariat à la protection de la vie privée :
Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3
Téléphone : 613-995-8210 ou 1-800-282-1376
Télécopieur : 613-947-8210
Courriel : publications@priv.gc.ca
Points principaux
Champs d’examen
La vérification visait à examiner si Transports Canada (le Ministère) dispose de mesures de contrôle et de protection adéquates pour recueillir, utiliser, communiquer, conserver, éliminer, protéger et assurer l’exactitude des renseignements personnels dans le cadre du Programme de protection des passagers. L’élément central du Programme de protection des passagers est la Liste des personnes précisées, aussi connue au Canada sous le nom de « liste des personnes interdites de vol ».
Constatations
Transports Canada recueille et utilise des renseignements personnels dans le cadre du Programme de protection des passagers, conformément à la Loi sur la protection des renseignements personnels et à la Loi sur l’aéronautique.
Le sous-ministre de Transports Canada ne dispose pas de l’information complète pour soutenir sa décision d’ajouter un nom à la Liste des personnes précisées ou de le rayer de celle-ci. Cela pourrait susciter des questions quant au processus décisionnel si un dossier incomplet devait entraîner une modification incorrecte de la Liste des personnes précisées.
En règle générale, Transports Canada a en place des mesures physiques, des programmes de formation et des autorisations de sécurité adéquats pour protéger les renseignements personnels dans le cadre du Programme de protection des passagers. Cependant, Transports Canada n’a pas démontré que l’application de la Liste des personnes précisées utilisé pour communiquer des renseignements relatifs à la Liste des personnes précisées aux transporteurs aériens a été certifié et accrédité de manière à être conforme aux normes de sécurité du gouvernement. Un système de technologie de l’information n’ayant reçu ni certification ni accréditation est plus susceptible de présenter des faiblesses non détectées en matière de sécurité, ce qui pourrait rendre vulnérables les renseignements personnels recueillis dans le cadre du Programme de protection des passagers.
À l’heure actuelle, les transporteurs aériens ne sont pas tenus d’aviser Transports Canada des atteintes à la sécurité des renseignements personnels.
Transports Canada n’a pas encore entrepris, dans le contexte de ses activités de surveillance, de vérifier si les compagnies aériennes connaissent et respectent toutes les exigences du Règlement sur le contrôle de l’identité (RCI) liées au traitement et à la protection des renseignements relatifs à la Liste des personnes précisées communiqués par le Ministère. En outre, deux transporteurs aériens utilisent la version papier de cette liste, ce qui représente également un risque de communication inappropriée.
Pertinence
Le Programme de protection des passagers fait intervenir des renseignements personnels hautement sensibles permettant d’identifier les personnes qui, selon Transports Canada, représentent une menace immédiate à la sûreté aérienne.
Inscrire un nom sur la Liste des personnes précisées et ensuite refuser à cette personne l’accès à un aéronef constituent de graves décisions. La décision de refuser l’accès à un aéronef pourrait avoir des répercussions négatives sur la réputation de la personne touchée, ses perspectives d’emploi et sa capacité de se déplacer à l’avenir.
La présente vérification a pour but d’évaluer le caractère adéquat des pratiques de Transports Canada en ce qui concerne le traitement et la protection des renseignements personnels dans le cadre du Programme.
Introduction
1. Bien que la sûreté aérienne ait toujours constitué une priorité pour les gouvernements et les compagnies aériennes, les attentats terroristes du 11 septembre 2001 ont incité à la prise de nouvelles mesures plus élargies dans ce domaine partout dans le monde. Le Canada n’a pas fait exception. Le gouvernement du Canada a créé plusieurs programmes de sécurité nationale ayant des répercussions sur la vie privée des Canadiennes et des Canadiens. Parmi les programmes adoptés ces dix dernières années, notons celui sur l’information préalable sur les voyageurs, qui oblige les transporteurs aériens à recueillir des renseignements détaillés sur leurs passagers, l’instauration de nouvelles mesures de contrôle des passagers et la création de programmes destinés aux voyageurs fiables, comme NEXUS.
2. De nombreux programmes de sécurité nationale exigent la collecte de renseignements personnels sur un grand nombre de voyageurs dans le but d’arrêter un petit nombre de terroristes et de criminels. Certaines des mesures prises ont aussi mené à la création d’une liste de passagers considérés comme présentant un risque élevé. Ces personnes ciblées pourraient faire l’objet de contrôles plus intensifs et de restrictions des déplacements.
3. Le Programme de protection des passagers (le Programme) est un programme de contrôle des passagers mis en œuvre le 18 juin 2007. La Loi sur l’aéronautique, modifiée en 2004, constitue le fondement juridique du Programme.
4. L’objectif déclaré de Transports Canada pour le Programme est d’accroître la sûreté aérienne en réduisant la menace d’activités terroristes ou criminelles à bord des vols en provenance ou à destination du Canada. Aux termes de la Loi sur l’aéronautique, « sûreté aérienne » englobe aussi les aéronefs, les aéroports, les installations aéronautiques et la sécurité du public, des passagers et de l’équipage.
5. La Liste des personnes précisées (la Liste) sert aux transporteurs aériens canadiens et étrangers et à Transports Canada comme outil de contrôle pour empêcher les personnes dont le nom figure sur la liste de monter à bord de vols nationaux ou internationaux en provenance ou à destination du Canada dans les aéroports désignés par l’Administration canadienne de la sûreté du transport aérien.
6. Le Règlement sur le contrôle de l’identité de Transports Canada modifié en 2008 détaille la procédure de contrôle des passagers que doivent suivre les transporteurs aériens au nom de Transports Canada dans le cadre du Programme, ainsi que les obligations des transporteurs par rapport à la protection des renseignements en question.
7. Le Programme de protection des passagers est un programme secret; Transports Canada ajoute des noms à la Liste à l’insu des intéressés. Le Programme nécessite aussi la collecte et la communication de renseignements personnels sensibles en provenance ou à l’intention de la Gendarmerie royale du Canada (GRC) et du Service canadien du renseignement de sécurité (SCRS) à l’insu des intéressés et sans leur consentement.
8. De 2005 à 2006, le Commissariat à la protection de la vie privée du Canada s’est penché sur deux évaluations des facteurs relatifs à la vie privée portant sur le Programme, l’une en provenance de Transports Canada et l’autre en provenance de Sécurité publique et Protection civile Canada au nom du SCRS et de la GRC. À l’époque, le Commissariat à la protection de la vie privée a formulé plusieurs recommandations à ces organisations en vue d’éliminer ou d’atténuer quelques‑unes des plus graves répercussions du Programme sur la vie privée. Transports Canada, le SCRS et la GRC ont mis en œuvre de nombreuses recommandations du Commissariat peu de temps après.
9. Parmi les changements effectués par Transports Canada, notons :
- la création du Règlement sur le contrôle de l’identité afin d’établir des normes obligatoires pour les transporteurs aériens relativement au traitement et à la protection des renseignements personnels;
- la hausse de l’âge minimal pour subir un contrôle des passagers, qui est passé de 12 à 18 ans;
- l’établissement d’échéanciers de conservation des renseignements personnels et l’inclusion de renseignements concernant le Programme de protection des passagers dans Info Source;
- la mise en œuvre de procédures de fonctionnement normalisées pour le Bureau de réexamen et pour les agents du renseignement en devoir de Transports Canada;
- l’enregistrement de détails des appels provenant des transporteurs aériens concernant la Liste des personnes précisées, y compris toute correspondance positive ou négative;
- diffusion d’un résumé de l’évaluation des facteurs relatifs à la vie privée et des réponses aux questions du Commissariat à la protection de la vie privée au sujet du Programme sur le site Web de Transports Canada dans le but d’informer le grand public.
Fonctionnement du Programme
10. Le Programme de protection des passagers est un programme centralisé géré à l’administration centrale de Transports Canada, à Ottawa; il emploie environ 20 personnes. Des employés de TC qui travaillent dans le domaine des technologies de l’information et des opérations de sûreté aérienne soutiennent aussi le Programme. En 2007, Transports Canada estimait les coûts de mise en œuvre du Programme à 13,8 millions $ pour les cinq premières années, et à 2,9 millions $ par année par la suite.
11. Dans le cadre du Programme, les compagnies aériennes vérifient l’identité des passagers en fonction de la Liste des personnes précisées de Transports Canada, qui contient les noms des personnes qui, selon Transports Canada, pourraient représenter une menace immédiate à la sûreté aérienne si elles devaient monter à bord d’un avion.
12. Transports Canada dresse la Liste à l’aide des renseignements fournis par la GRC et le SCRS. Des hauts représentants de Transports Canada, du SCRS et de la GRC forment le Groupe consultatif sur la Liste des personnes précisées (le Groupe consultatif). Le Groupe consultatif se réunit régulièrement pour revoir la liste actuelle, pour échanger des renseignements au sujet de candidats potentiels pour la LPP et pour recommander au sous-ministre de Transports Canada des noms à ajouter à la Liste ou à rayer de celle-ci.
13. Le paragraphe 4.81(1) de la Loi sur l’aéronautique précise que « [l]e ministre ou le fonctionnaire du ministère des Transports qu’il autorise » peut demander aux transporteurs aériens de fournir des renseignements « à l’égard de toute personne qu’il précise ». Il s’agit de l’unique renvoi à des « personnes précisées » dans la Loi sur l’aéronautique. L’ensemble des noms de ces personnes constitue la Liste des personnes précisées qu’utilisent les transporteurs aériens et Transports Canada pour contrôler l’identité des passagers.
14. Dans les dossiers que nous avons examinés, le sous-ministre de Transports Canada prenait la décision finale au sujet des ajouts et des retraits à la Liste des personnes précisées.
15. Selon le Règlement sur le contrôle de l’identité, les compagnies aériennes doivent comparer tous les noms des passagers à ceux inscrits sur la Liste des personnes précisées au moment de l’enregistrement. Si le nom d’un passager correspond à un nom inscrit sur la Liste, les représentants de la compagnie aérienne demanderont au passager de fournir une pièce d’identité, tel un passeport, sur laquelle figurent son nom, sa date de naissance et son sexe. Transports Canada nous a informés que la plupart des transporteurs aériens utilisaient un système automatisé pour vérifier l’identité des passagers en fonction de la Liste des personnes précisées. Dans toutes les compagnies aériennes assujetties au Programme, à l’exception de deux compagnies plus petites, le système de réservation envoie un signal électronique à l’agent de la compagnie lorsqu’il y a correspondance entre les renseignements concernant un passager et ceux qui figurent sur la Liste. Ce signal avertit l’agent de communiquer avec son bureau de la sécurité pour recevoir des directives.
16. L’accès aux renseignements contenus dans la Liste est restreint à un petit nombre de responsables de la sécurité de la compagnie aérienne et n’est pas autorisé au personnel de première ligne de la compagnie, sauf dans le cas des deux compagnies aériennes susmentionnées. Si un agent de la sécurité de la compagnie aérienne confirme que le nom, la date de naissance et le sexe du passager correspondent à ceux qui figurent sur la Liste, un représentant désigné de la ligne aérienne doit immédiatement en aviser le Centre des opérations et de soutien du renseignement de Transports Canada par téléphone.
17. Une fois informé de la correspondance par la compagnie aérienne, le Ministère procède à sa propre vérification afin de confirmer si le passager identifié par la compagnie est bien la personne visée par la Liste. Le Ministère compare d’autres renseignements obtenus auprès de la compagnie aérienne avec les renseignements contenus dans les dossiers plus détaillés du Ministère relativement à la Liste des personnes précisées. Le paragraphe 4.81(1) de la Loi sur l’aéronautique autorise Transports Canada à recueillir des renseignements personnels supplémentaires concernant des personnes précisées auprès des transporteurs aériens.
18. Parmi les 34 éléments de données personnelles énumérés dans la Loi, on retrouve le nom, la date de naissance, le sexe, l’adresse et la citoyenneté du passager, ainsi que son numéro de passeport, de visa et de billet, son itinéraire, sa destination, son siège et ses bagages.
19. Si l’agent de Transports Canada détermine qu’il y a bel et bien correspondance, il doit prendre la décision de permettre ou de refuser l’embarquement.
20. Lorsqu’une personne se voit refuser l’embarquement en vertu du paragraphe 4.76 de la Loi sur l’aéronautique, le Ministère lui émet sur‑le‑champ un avis officiel. Cette directive d’urgence expose le motif du refus d’embarquement et souligne que la personne a le droit de présenter une demande de réexamen à Transports Canada. Le processus de réexamen a pour objet de revoir la décision du sous-ministre d’ajouter cette personne à la Liste.
21. Dans le cas d’une demande de réexamen, il incombe à la personne de fournir des motifs pour un réexamen. La personne doit aussi donner son consentement à ce que Transports Canada communique ses renseignements personnels au SCRS, à la GRC, aux organismes d’application de la loi et à Citoyenneté et Immigration Canada afin de vérifier l’exactitude des renseignements fournis.
22. Le Bureau de réexamen de Transports Canada embauche des conseillers contractuels en matière de sécurité pour étudier les demandes de réexamen et formuler des demandes de réexamen au sous-ministre quant à la pertinence d’avoir ajouté la personne à la Liste.
23. La personne peut aussi demander à la Cour fédérale du Canada un contrôle judiciaire de la décision de Transports Canada. À ce jour, une telle demande n’a été présentée à la Cour qu’une seule fois.
Objet de la vérification
24. La vérification visait principalement à déterminer si Transports Canada dispose de mesures de contrôle et de protection adéquates pour recueillir, utiliser, communiquer, conserver, éliminer, protéger et assurer l’exactitude des renseignements personnels dans le cadre du Programme de protection des passagers.
25. La vérification n’avait pas pour but d’examiner l’efficacité du Programme ou la fiabilité des renseignements utilisés pour déterminer si le nom d’individus particuliers devrait figurer ou non sur la Liste des personnes précisées, car ces deux questions ne relèvent pas du mandat du Commissariat. Enfin, la vérification ne visait pas à examiner les pratiques de traitement des renseignements personnels des compagnies aériennes, bien que nous nous soyons penchés sur le rôle de surveillance de Transports Canada à cet égard.
26. Il est important de préciser qu’un passager à destination ou en provenance du Canada peut se voir refuser l’accès à un aéronef en fonction d’une autre liste que la Liste des personnes précisées de Transports Canada. La liste d’interdiction de vol des États-Unis et la liste de terroristes des Nations Unies sont deux listes pouvant servir à contrôler l’identité des passagers aériens et pouvant entraîner un refus d’embarquement pour ceux qui y sont nommés. Par exemple, Abousfian Abdelrazik, un citoyen canadien, s’est vu coincé au Soudan et incapable de regagner le Canada pendant de nombreuses années parce que son nom figurait sur la liste de terroristes des Nations Unies. Ces autres listes ne sont pas visées par le mandat de la commissaire à la protection de la vie privée.
Observations et recommandations
27. Pour évaluer les pratiques de Transports Canada en matière de protection des renseignements personnels en fonction de nos divers critères de vérification, nous avons effectué des entrevues avec les responsables du PPP au sein de plusieurs domaines de programme, observé les processus dans la mesure du possible et visité des installations. Nous avons également examiné des documents tels que des diagrammes et des descriptions de flux de données, des procédures de fonctionnement normalisées, des ententes entre partenaires, le mandat et les comptes rendus de réunion du Groupe consultatif, des documents de formation, des formulaires, des rapports d’incident du Centre des opérations et de soutien du renseignement, des échéanciers et des procédures de conservation ainsi que des dossiers opérationnels du bureau de réexamen.
Transports Canada dispose de mécanismes adéquats pour encadrer la collecte de manière à protéger les renseignements personnels
28. Les articles 4 et 5 de la Loi sur la protection des renseignements personnels régissent la collecte de renseignements personnels. Aux termes de l’article 4, une institution fédérale peut seulement recueillir les renseignements personnels qui ont un lien direct avec ses programmes ou ses activités. Avec quelques exceptions, l’article 5 oblige les institutions à recueillir les renseignements personnels directement auprès de la personne concernée et à informer celle‑ci des fins auxquelles les renseignements sont destinés.
29. Dans le cadre de notre vérification, nous nous attendions par conséquent à ce que Transports Canada ne recueille des renseignements personnels qu’aux fins du Programme de protection des passagers et des activités de celui‑ci en conformité avec l’article 4 de la Loi sur la protection des renseignements personnels. Nous nous attendions également à ce que Transports Canada informe la personne concernée des fins de la collecte, sauf dans les cas où les exceptions prévues à l’alinéa 5(3)b) de la Loi sur la protection des renseignements personnels permettaient d’agir autrement.».
30. Enfin, nous nous attendions à ce que des mécanismes soient en place à Transports Canada pour assurer la collecte appropriée de renseignements personnels en conformité avec les dispositions susmentionnées.
31. Nous avons constaté que les renseignements recueillis par Transports Canada sont liés au Programme et à ses activités. Nous avons également vu que Transports Canada recueille les renseignements personnels directement auprès des voyageurs, qu’il leur explique les fins de la collecte et qu’il obtient leur consentement si possible — par exemple des renseignements recueillis pour appuyer une demande de réexamen.
32. Lorsque Transports Canada recueille des renseignements personnels auprès des compagnies aériennes, du SCRS et de la GRC, il le fait sans en informer la personne concernée ni obtenir son consentement. Cependant, ces collectes de renseignements précises effectuées sans le consentement de la personne concernée sont permises en vertu des exceptions indiquées au paragraphe 5(3) de la Loi sur la protection des renseignements personnels. Le fait d’informer des personnes représentant peut‑être une menace pour la sûreté aérienne que des renseignements les concernant sont recueillis risquerait « de contrarier les fins ou de compromettre l’usage auxquels les renseignements sont destinés », comme il est mentionné à l’alinéa 5(3)b) de la Loi sur la protection des renseignements personnels.
33. Nous avons également constaté que, pour veiller à ne recueillir que les renseignements personnels dont il a besoin pour gérer le Programme, Transports Canada dispose de procédures de fonctionnement et de formulaires normalisés, ainsi que d’ententes avec des partenaires.
Transports Canada dispose de mécanismes acceptables pour gérer l’usage des renseignements personnels
34. L’usage et la communication des renseignements personnels sont réglementés par les articles 7 et 8 de la Loi sur la protection des renseignements personnels. En général, ces articles permettent aux ministères et organismes fédéraux d’utiliser et de communiquer les renseignements personnels, dans le cadre de l’exécution de leurs programmes et activités, avec le consentement de la personne concernée et aux seules fins auxquelles les renseignements ont été recueillis.
35. Les articles 7 et 8 de la Loi sur la protection des renseignements personnels prévoient bon nombre d’exceptions permettant l’utilisation et la communication de renseignements personnels sans le consentement de la personne concernée. L’alinéa 8(2)b) de la Loi sur la protection des renseignements personnels donne un exemple où la communication des renseignements personnels sans le consentement de la personne concernée est autorisée « aux fins qui sont conformes avec les lois fédérales ou ceux de leurs règlements qui autorisent cette communication » (comme le paragraphe 4.81(3) de la Loi sur l’aéronautique,qui autorise Transports Canada à communiquer au SCRS et à la GRC les renseignements liés au Programme de protection des passagers).
36. Nous nous attendions à ce que les activités d’usage et de communication de Transports Canada dans le cadre du Programme soient conformes aux exigences des articles 7 et 8 de la Loi sur la protection des renseignements personnels. Nous nous attendions également à ce que des mécanismes adéquats soient en place au Ministère pour assurer l’usage et la communication appropriés des renseignements personnels.
37. Nous avons constaté que le Ministère communique sélectivement les renseignements personnels aux responsables qui en ont besoin pour exécuter le Programme et que seuls les renseignements personnels essentiels au fonctionnement du Programme sont transmis. Au sein de chacune des unités administratives du Programme, l’usage et la communication des renseignements personnels sont restreints à un petit nombre de responsables.
38. La majorité des pratiques de communication de Transports Canada se sont avérées adéquates, mais la communication aux transporteurs aériens des renseignements qui se trouvent sur la Liste des personnes précisées fait partie des exceptions. Comme il est mentionné plus loin, nous mettons en cause le manque d’activités de supervision de Transports Canada visant à vérifier si les compagnies aériennes traitent et protègent adéquatement les renseignements de la Liste des personnes précisées qui leur sont communiqués par le Ministère. La question est particulièrement préoccupante en ce qui a trait à deux compagnies aériennes de moindre envergure, qui impriment des copies de la Liste qui pourraient être égarés.
Transports Canada dispose de mécanismes de gestion de la conservation des renseignements personnels
39. La conservation et le retrait des renseignements personnels sont assujettis aux paragraphes 6(1) et 6(3) de la Loi sur la protection des renseignements personnels. Le paragraphe 6(1) prévoit la conservation des renseignements personnels à des fins administratives pendant une période déterminée par règlement. Le Règlement sur la protection des renseignements personnels prescrit une période de conservation d’au moins deux ans. Le paragraphe 6(3) exige que les renseignements personnels soient retirés conformément aux règlements et aux instructions ou directives applicables.
40. Soulignons que le retrait des renseignements personnels est également assujetti aux exigences des articles 12 et 13 de la Loi sur la Bibliothèque et les Archives du Canada. Ces dispositions obligent les organismes à avoir une autorisation de disposition des documents approuvée par l’archiviste national pour tous les dossiers de programme.
41. Nous nous attendions à ce que Transports Canada se conforme aux paragraphes 6(1) et 6(3) de la Loi sur la protection des renseignements personnels et qu’il dispose de mécanismes permettant de conserver et de retirer les renseignements personnels de façon appropriée.
42. Transports Canada conserve les renseignements personnels en fonction de l’échéancier de conservation du Ministère, et nous avons déterminé que les employés de Transports Canada étaient au courant de cet échéancier. La période de conservation de cinq ans touchant divers types de renseignements liés au Programme de protection des passagers est appropriée compte tenu des exigences du Programme et de celles du paragraphe 6(1) de la Loi sur la protection des renseignements personnels. Nous n’avons pu vérifier si Transports Canada respecte l’échéancier de conservation, car le Programme est relativement nouveau, ce qui fait que la majorité des documents n’ont pas encore franchi la période de conservation de cinq ans après laquelle ils seront envoyés à Bibliothèque et Archives Canada.
Des mécanismes sont en place pour assurer l’exactitude de la Liste des personnes précisées
43. Le paragraphe 6(2) de la Loi sur la protection des renseignements personnels met en évidence l’obligation du Ministère de veiller à ce que les renseignements personnels utilisés à des fins administratives soient les plus à jour, exacts et complets possible. L’article 3 de la Loi sur la protection des renseignements personnels définit les « fins administratives » comme la « destination de l’usage de renseignements personnels concernant un individu dans le cadre d’une décision le touchant directement ».
44. La qualité des renseignements du Programme de protection des passagers est essentielle pour que la décision d’ajouter un nom à la Liste des personnes précisées ou d’en retirer un soit fondée. Des renseignements exacts sont également nécessaires pour établir une correspondance valide entre un nom sur la Liste et un passager qu’une compagnie aérienne soupçonne de faire partie de la Liste.
45. Nous nous attendions à ce que Transports Canada se conforme aux exigences du paragraphe 6(2) de la Loi sur la protection des renseignements personnels, selon lesquelles les renseignements personnels utilisés pour prendre des décisions administratives doivent être les plus à jour, exacts et complets possible.
46. Nous nous attendions également à ce que Transports Canada dispose de mécanismes pour faire en sorte que les renseignements soient exacts, à jour et complets.
47. Nous avons interviewé le personnel de Transports Canada et examiné des dossiers liés à la Liste des personnes précisées ainsi que des rapports d’incident et des notes des réunions du Groupe consultatif, et rien ne laisse croire que les renseignements recueillis, utilisés ou communiqués par Transports Canada sont inexacts. Transports Canada reçoit de la GRC et du SCRS des renseignements personnels destinés à l’identification de personnes précisées et il se fie à ces organismes pour s’assurer que les renseignements fournis sont exacts, complets et à jour.
48. Transports Canada utilise divers mécanismes de contrôle décrits dans des ententes et des mandats relatifs au SCRS et à la GRC pour assurer la qualité des renseignements concernant la Liste des personnes précisées. Ces ententes et mandats donnent l’occasion au SCRS, à la GRC, aux fonctionnaires de Transports Canada et à leurs représentants au sein du Groupe consultatif de remettre en cause l’exactitude de tout renseignement au sujet d’une personne actuellement sur la Liste des personnes précisées ou que l’on propose d’ajouter à la liste. Les mandats du SCRS et de la GRC obligent aussi ces organismes à examiner les nominations à la Liste tous les 30 jours. En outre, ils précisent que toute erreur ou modification nécessaire en matière de renseignements liés à la Liste des personnes précisées doit être signalée au Groupe consultatif le plus rapidement possible pour que des correctifs soient apportés.
49. En utilisant de nombreux éléments d’information pour déterminer s’il existe une correspondance entre les renseignements de la Liste des personnes précisées et ceux d’un passager, Transports Canada pourrait diminuer les risques de mauvaises correspondances (c.‑à‑d. de faux positifs) et la possibilité d’une identification erronée d’un passager, qui empêcherait celui‑ci de monter à bord d’un avion.
50. Dans le cadre du Programme, un « faux positif » désigne un cas où un passager ne présentant aucun risque pour la sécurité est associé par erreur à une personne qui se trouve sur la Liste. L’erreur humaine ou l’utilisation de renseignements inexacts pourraient en être la cause.
51. Lorsqu’un employé d’une compagnie aérienne identifie un voyageur comme étant une personne qui pourrait potentiellement figurer sur la Liste, Transports Canada doit vérifier s’il y a correspondance en comparant des renseignements personnels choisis parmi les dossiers de la Liste des personnes précisées avec des renseignements additionnels sur le passager obtenus du transporteur. Par exemple, Transports Canada pourrait vérifier si un numéro de passeport de la Liste des personnes précisées correspond à un numéro dont dispose une compagnie aérienne dans son système de réservation de billets. Transports Canada peut vérifier un ou plusieurs éléments d’information jusqu’à ce qu’une correspondance ou une non‑correspondance soit établie.
Le sous‑ministre n’obtient pas tous les renseignements nécessaires pour prendre une décision relativement à la Liste des personnes précisées
52. Le sous-ministre de Transports Canada prend la décision d’ajouter des noms à la Liste des personnes précisées ou d’en retirer. Ces décisions sont prises à la lumière des conseils et des renseignements fournis par le Conseil consultatif.
53. Nous n’avons décelé aucun problème d’inexactitude des renseignements de Transports Canada liés au Programme de protection des passagers lors de notre vérification, mais nous avons constaté que le Groupe consultatif ne fournissait pas au sous-ministre de l’information aussi complète que celle sur laquelle le Groupe consultatif se base pour en arriver à ses recommandations. Ainsi, le sous-minitre ne reçoit pas de copie des documents et des notes de réunion, ni toutes les raisons justifiant les recommandations du Groupe consultatif.
54. Envoyer un dossier complet à un fonctionnaire délégué qui prend une décision administrative importante permet d’assurer qu’il dispose de suffisamment de renseignements pour examiner la situation et se faire sa propre idée, et ce, que les éléments d’information appuient la recommandation ou non.
55. La procédure de Transports Canada d’envoyer un dossier incomplet au sous-ministre pourrait avoir des conséquences graves et peut‑être irréparables sur la capacité d’assurer sa subsistance, la réputation et la possibilité de voyager de la personne concernée.
Recommandation : Avant qu’une décision soit prise quant à l’ajout ou au retrait de noms sur la Liste des personnes précisées, le Groupe consultatif sur la Liste des personnes précisées devrait donner assez de renseignements au sous‑ministre ou à un autre fonctionnaire délégué ayant l’autorisation d’agir à cet égard.
Réponse de la direction de Transports Canada : « Transports Canada est d’accord avec cette recommandation. Même si des changements aux procédures ont été mis en œuvre en février 2009 (au moment de la vérification), afin de fournir au décideur tous les renseignements dont il a besoin pour prendre une décision éclairée, le Groupe consultatif sur la Liste des personnes précisées n’a formulé aucune recommandation à l’intention du sous-ministre concernant l’ajout ou le retrait du nom d’une personne sur la Liste dans le cadre du nouveau processus avant la fin de l’étape de l’examen de la vérification. » [traduction]
Transports Canada dispose de mesures physiques, de programmes de formation et d’autorisations de sécurité pour protéger les renseignements personnels dans le cadre du Programme de protection des passagers
56. L’objet de la Loi sur la protection des renseignements personnels, comme il est mentionné à l’article 2, est « de compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales [...] ».
57. La Loi sur la protection des renseignements personnels ne contient pas de dispositions plus précises sur la protection des renseignements personnels. Par contre, le Secrétariat du Conseil du Trésor (SCT) a établi bon nombre de politiques à ce sujet, y compris sur les renseignements personnels détenus par le gouvernement fédéral. Mentionnons la Politique du gouvernement sur la sécurité, la Politique sur la gestion de l’information gouvernementale ainsi que d’autres exigences plus précises en matière de protection. La Politique sur la sécurité du gouvernement a remplacé la Politique du gouvernement sur la sécurité le 1er juillet 2009, mais c’est la Politique du gouvernement sur la sécurité qui était en vigueur durant notre vérification.
58. Nous nous attendions à ce que Transports Canada respecte la Politique du gouvernement sur la sécurité et les politiques, normes et autres directives connexes.
59. Notre vérification était surtout axée sur la sécurité matérielle, administrative et du personnel ainsi que sur la sécurité des technologies de l’information. Pour ce qui est de la sécurité physique, nous avons visité les lieux pour évaluer la qualité des divers mécanismes de contrôle comme les agents de sécurité, les zones d’accès restreint et les coffres de sécurité approuvés conformément à la Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor.
60. En ce qui a trait à la sécurité administrative, nous avons vérifié si Transports Canada disposait d’exigences appropriées en matière d’avis d’atteinte à la vie privée qui étaient destinées aux transporteurs aériens, en vertu des Lignes directrices sur les atteintes à la vie privée du Conseil du Trésor.
61. Relativement à la sécurité du personnel, nous avons examiné si les cotes de sécurité détenues par les employés responsables du Programme étaient appropriées compte tenu de la nature et de la sensibilité des renseignements traités, conformément à la Norme sur la sécurité du personnel du Conseil du Trésor.
62. Quant à la sécurité des technologies de l’information, nous avons examiné les environnements d’exploitation et de développement ainsi que les contrôles de l’accès, en conformité avec la norme de Gestion de la sécurité des technologies de l’information.
63. Nous avons constaté que l’approche globale de Transports Canada relative à la protection des renseignements personnels conservés dans le cadre du Programme assure la sécurité de ces derniers. Les activités de Transports Canada liées au Programme sont centralisées. Elles sont menées dans des zones sécurisées auxquelles ne peuvent accéder qu’un petit nombre d’employés qui détiennent les cotes de sécurité suffisamment élevées (secret ou très secret) et qui ont reçu une formation sur la protection des renseignements. Des agents de sécurité, des cartes d’accès et d’identité, des cadenas, des coffres et une politique en matière de rangement du bureau protègent les renseignements liés au Programme dans les zones sécurisées. À une exception près, Transports Canada a pris des mesures adéquates pour assurer la sécurité du périmètre et la sécurité interne de ses systèmes de technologies de l’information pour le Programme. Nous avons aussi cerné deux problèmes relatifs à la sécurité des renseignements communiqués aux transporteurs aériens.
64. Nos préoccupations concernant les mesures de sécurité actuellement en vigueur à Transports Canada dans le cadre du Programme sont liées à l’application informatique de la Liste des personnes précisées, aux procédures d’avis d’atteinte à la vie privée des transporteurs aériens ainsi qu’à la supervision effectuée par Transports Canada relativement à la manipulation et à la protection des renseignements sur la Liste par les transporteurs.
Transports Canada ne peut pas démontrer que l’application informatique de la Liste des personnes précisées a été certifiée et accréditée de manière à correspondre aux normes de sécurité du gouvernement
65. Les compagnies aériennes doivent utiliser la liste de noms fournie par Transports Canada la plus exacte en tout temps. L’application de la Liste des personnes précisées est le système informatique du Ministère qui permet de diffuser rapidement les mises à jour des renseignements relatifs à la Liste des personnes précisées aux transporteurs aériens nationaux et étrangers pour veiller à ce que les renseignements des passagers soient comparés à des renseignements actuels.
66. Nous nous attendions à ce que Transports Canada respecte la norme opérationnelle de Gestion de la sécurité des technologies de l’information, selon laquelle les systèmes de technologies de l’information du gouvernement doivent faire l’objet d’un processus de certification et d’accréditation.
67. La certification sert à vérifier si les exigences de sécurité établies pour un système ou service de technologies de l’information particulier sont respectées et si les contrôles et mesures de protection fonctionnent comme prévu. L’accréditation vise à confirmer si la direction a autorisé le fonctionnement du système ou service et si elle a accepté le risque résiduel en se fondant sur les éléments probants de la certification.
68. Transports Canada a été incapable de démontrer qu’il dispose d’un processus formel de certification et d’accréditation visant l’application de la Liste de personnes précisées, comme l’exigent les normes de technologies de l’information du gouvernement. Par conséquent, le Ministère court le risque que le système héberge des failles de sécurité non détectées qui pourraient mettre en cause l’intégrité des renseignements personnels conservés dans le cadre du Programme.
69. En vérifiant le fonctionnement de l’application, nous avons trouvé un exemple de fonction de contrôle de TI qui ne fonctionnait pas comme prévu. La lacune était liée à un changement apporté à la programmation du système qui affectait les droits d’accès. Le changement a été apporté sans avoir été testé pour confirmer que la programmation fonctionnait correctement.
70. Nous avons constaté que l’absence de tests avant l’instauration a empêché de détecter une erreur qui interdisait l’accès aux données de l’application pour le personnel autorisé de Transports Canada. Cependant, cette vulnérabilité du mécanisme de contrôle pourrait avoir eu l’effet inverse, c’est‑à‑dire qu’une personne qui n’aurait normalement pas le pouvoir de mettre à jour la Liste aurait pu se voir attribuer des droits d’accès aussi importants par erreur. Si une telle situation se produisait, elle pourrait provoquer une atteinte à la vie privée concernant des renseignements délicats.
71. Le Ministère nous a informés que son processus de gestion du changement lui fournit actuellement des mécanismes de contrôle des technologies de l’information équivalant à un processus de certification et accréditation. Cependant, l’erreur de programmation survenue durant la vérification pourrait avoir été évitée si un processus officiel de certification et accréditation avait été en place pour l’application de la Liste des personnes précisées.
Recommandation : Nous recommandons que Transports Canada se conforme aux exigences du gouvernement relatives à la sécurité des technologies de l’information en élaborant un processus officiel de certification et accréditation et en lui assujettissant l’application de la Liste des personnes précisées.
Réponse de la direction de Transports Canada : « Transports Canada respecte la norme de Gestion de la sécurité des technologies de l’information (GSTI). Toutefois, il a accepté de revoir ses processus et, au besoin, de les modifier en se fondant sur les pratiques exemplaires, les lignes directrices, etc., pour assurer leur certification et accréditation. Transports Canada assujettira l’application de la Liste des personnes précisées à tout processus révisé de certification et d’accréditation d’ici le 31 décembre 2009. » [traduction]
Les transporteurs aériens ne sont pas tenus de signaler les atteintes à la protection des renseignements personnels
72. Une atteinte à la vie privée peut comprendre la collecte, l’usage, la communication, la modification ou le retrait inapproprié ou non autorisé de renseignements personnels. Une seule atteinte à la vie privée par une compagnie aérienne relativement à des renseignements délicats liés à la Liste des personnes précisées pourrait nuire considérablement à la vie privée de la personne ou des personnes nommées sur la liste. Elle pourrait aussi ébranler fortement la confiance du public envers le Programme de protection des passagers et nuire à la réputation de ce dernier. La Politique du gouvernement sur la sécurité oblige les institutions du gouvernement à prendre des mesures adéquates pour éviter les atteintes à la vie privée touchant les renseignements personnels des Canadiennes et Canadiens.
73. Il n’y a pas d’exigence précise voulant qu’une tierce partie, comme une compagnie aérienne, doive signaler une atteinte à la vie privée à l’organisme qui a recueilli les renseignements, par exemple Transports Canada. Cependant, les Lignes directrices sur les atteintes à la vie privée du Secrétariat du Conseil du Trésor mentionnent que les marchés ou les ententes sur l’échange d’information avec de tierces parties devraient comprendre l’ « obligation d’informer immédiatement l’institution gouvernementale de toute atteinte à la vie privée ».
74. Nous nous attendions à ce que les compagnies aériennes, à titre de pratique exemplaire, soient tenues de signaler à Transports Canada les atteintes à la vie privée concernant la manipulation de renseignements délicats liés à la Liste des personnes précisées.
75. Nous avons constaté que le Règlement sur le contrôle de l’identité n’exige pas le signalement des atteintes à la vie privée à Transports Canada.
Recommandation : Transports Canada devrait modifier sa réglementation relative au contrôle de l’identité de sorte à exiger que les transporteurs aériens signalent au Ministère les atteintes à la vie privée impliquant la manipulation ou la protection de renseignements personnels liés à la Liste des personnes précisées.
Réponse de la direction de Transports Canada : « Bien que les transporteurs aériens ne soient pas tenus par règlement de signaler les infractions qui les concernent, le Ministère cherche à appliquer au secteur de la sécurité aérienne une approche axée sur un système de gestion de la sûreté. Selon cette approche, les transporteurs aériens cerneraient les lacunes et les vulnérabilités au sein de leurs opérations, notamment à l’égard de la protection et du traitement des renseignements personnels liés à la Liste des personnes précisées. Ils devraient combler les lacunes, prendre les mesures qui s’imposent et assurer un suivi sur l’efficacité des mesures adoptées.
« Transports Canada procède actuellement à une révision de l’ensemble des règlements, mesures et normes sur la sûreté aérienne. Dans le cadre de cet examen, il pourrait envisager la nécessité d’établir des dispositions prévoyant l’autosignalement des infractions. » [traduction]
Transports Canada n’a pas vérifié si les transporteurs aériens protègent adéquatement les renseignements personnels
76. Comme il a été mentionné précédemment, notre vérification ne visait pas les pratiques des transporteurs aériens relatives au traitement des renseignements personnels, mais nous avons examiné le rôle que joue Transports Canada dans la supervision des pratiques des transporteurs aériens liées à l’accès, la collecte, l’utilisation, la communication, l’exactitude et la protection des renseignements personnels.
77. Le Règlement sur le contrôle de l’identité prévoit un certain nombre d’obligations en ce qui concerne l’accès, l’utilisation et la communication par les transporteurs aériens des renseignements relatifs au Programme de protection des passagers, ainsi qu’à l’exactitude de ces renseignements.
78. Nous nous attendions à ce que les activités de surveillance de Transports Canada nous assurent que les transporteurs aériens traitent et protègent les renseignements personnels comme l’exigent le Règlement sur le contrôle de l’identité.
79. Nous avons constaté que peu de temps après le début du Programme sur la protection des passagers en 2007, les Opérations de sûreté de l’aviation de Transports Canada ont commencé à inspecter les transporteurs aériens dans de nombreux aéroports partout dans le monde. En examinant un échantillon des rapports d’inspection de Transports Canada, nous avons découvert que les activités de surveillance du Ministère étaient centrées principalement sur la mesure dans laquelle les transporteurs aériens utilisaient la Liste sur les personnes précisées comme outil pour contrôler les passagers. Nous avons également constaté que les inspections n’étaient pas centrées sur la façon dont les transporteurs aériens traitaient et protégeaient la Liste conformément au Règlement sur le contrôle de l’identité.
80. Nous avons également constaté que deux petits transporteurs aériens ne disposaient pas d’un système automatisé leur permettant de jumeler les renseignements sur les passagers avec ceux de la Liste des personnes précisées. Ces transporteurs impriment des copies de la Liste pour le personnel des points de service aux aéroports où ils exercent leurs activités.
81. Étant donné que Transports Canada n’a pas mené d’activités d’inspection relativement au traitement et à la protection des renseignements personnels par ces transporteurs aériens, il ne peut fournir l’assurance que ces renseignements personnels sensibles ne pourraient pas être utilisés ou communiqués de façon inappropriée.
82. Si la Liste des personnes précisées était communiquée publiquement, par exemple, un tel incident aurait une incidence sérieuse sur les personnes nommées et la réputation du Programme de protection des passagers.
Recommandation : Transports Canada devrait élargir ses activités de surveillance réglementaire afin de vérifier si les transporteurs aériens se conforment à toutes les exigences du Règlement sur le contrôle de l’identité dans la mesure où elles sont liées au traitement et à la protection des renseignements relatifs à la Liste des personnes précisées.
Réponse de la direction de Transports Canada : « Transports Canada est d’accord avec cette recommandation. Même si ces activités élargies n’étaient pas en place au moment de la vérification, depuis juin 2009, le Ministère vérifie si les transporteurs aériens se conforment à toutes les exigences du Règlement sur le contrôle de l’identité en ce qui concerne le traitement et la protection des renseignements liés à la Liste des personnes précisées. » [traduction]
Conclusion
83. Nous concluons qu’à l’égard de la majorité des éléments essentiels, Transports Canada se conforme aux dispositions pertinentes de la Loi sur la protection des renseignements personnels, la Loi sur l’aéronautique, et autres règlements et politiques concernant le traitement et la protection des renseignements personnels dans le cadre du Programme de protection des passagers.
84. Cependant, nous avons constaté d’importantes vulnérabilités en matière de protection des renseignements personnels qui nécessitent l’attention de la direction de Transports Canada :
- On ne fournit pas au sous-ministre de Transports Canada de l’information complète pour soutenir sa décision d’ajouter des noms à la Liste des personnes précisées ou de les en retirer.
- L’application utilisée pour transférer les renseignements relatifs à la Liste aux transporteurs aériens n’a pas fait l’objet d’un processus officiel de certification et d’accréditation.
- Les transporteurs aériens ne sont pas tenus de signaler à Transports Canada les atteintes à la sécurité des renseignements personnels relatifs au Programme de protection des passagers.
- Transports Canada n’a pas encore élargi ses activités de surveillance afin de vérifier si les transporteurs aériens traitent et protègent adéquatement les renseignements relatifs à la Liste des personnes précisées communiqués par le Ministère.
85. En comblant ces lacunes de façon appropriée, Transports Canada renforcerait son cadre de gestion de la vie privée et de la sécurité pour la protection des renseignements personnels sensibles des Canadiennes et Canadiens dans le cadre du Programme de protection des passagers.
86. Transports Canada a répondu favorablement à nos recommandations relatives au Programme de protection des passagers. Il a apporté des modifications afin de se conformer aux recommandations ayant trait aux renseignements à fournir au sous‑ministre, ainsi qu’au rôle du Ministère en matière de surveillance des compagnies aériennes dans le cadre du Programme.
87. Le Ministère s’est engagé à entreprendre des activités pour améliorer ses pratiques de manière à renforcer la protection des renseignements personnels délicats des Canadiennes et Canadiens.
88. Finalement, le Ministère s’est aussi engagé à revoir ses processus de certification et d’accréditation et à les modifier en se fondant sur les pratiques exemplaires et les lignes directrices. Toutefois, nous constatons encore que Transports Canada n’a pas démontré, au cours de la vérification, qu’il avait mis en place un processus documenté de certification et d’accréditation correspondant à la définition énoncée dans les politiques du gouvernement sur la sécurité.
89. Nous effectuerons un suivi de cet exercice de vérification dans deux ans pour vérifier les progrès accomplis par Transports Canada dans la mise en œuvre de son plan en réponse à nos recommandations.
Au sujet de la vérification
Objectif
L’objectif de la vérification était de déterminer si Transports Canada dispose de contrôles et de mesures de sécurité adéquats pour les renseignements personnels dans le cadre du Programme de protection des passagers.
Portée et approche
Les activités de vérification ont été menées à l’administration centrale de Transports Canada, à Ottawa. Au cours de la vérification, nous avons examiné les activités et les documents relatifs au Programme pour la période allant de juin 2007 à mars 2009.
La portée de la vérification s’est étendue à cinq secteurs de programme de Transports Canada : Groupe consultatif sur la Liste des personnes précisées; Centre des opérations et de soutien du renseignement; Direction générale de l’informatique (y compris l’application de la Liste des personnes précisées); Bureau de réexamen; et Opérations de sûreté de l’aviation.
La vérification a évalué les pratiques et les contrôles de Transports Canada en matière de traitement et de protection des renseignements personnels, tout au long du cycle de vie des renseignements, soit de la collecte au retrait.
Les vérificateurs ne se sont pas penchés sur le traitement et la protection des renseignements personnels assurés par les transporteurs aériens, mais ils ont examiné le rôle de surveillance de Transports Canada en la matière relativement au Programme de protection des passagers.
En outre, la vérification n’a pas évalué l’efficacité du Programme de protection des passagers, ni la pertinence de l’ajout ou non à la Liste des personnes précisées des noms de personnes spécifiques, car ces questions ne relevaient pas du mandat de la commissaire à la protection de la vie privée.
L’approche de vérification avec Transports Canada comprenait l’examen des politiques, pratiques, contrôles administratifs et mesures de protection pour les divers secteurs de programme examinés. Les documents examinés comprenaient un éventail diversifié de procédures normales d’exploitation, d’ententes, de documents sur le déroulement du travail, de documents de formation, de formulaires et de dossiers.
Nous avons interviewé du personnel clé de la direction et des points de service afin d’acquérir une compréhension globale du Programme de protection des passagers et de ses activités et de mesurer leurs connaissances en matière de protection des renseignements personnels et de sécurité.
Nous avons également visité divers locaux de Transports Canada et examiné des processus relatifs au Programme de protection des passagers ainsi que des documents de programme comme des rapports d’inspection, des rapports d’incident, des dossiers de réexamen, et vérifié les contrôles du système de l’application de la Liste des personnes précisées en fonction de nos secteurs d’intérêt.
Secteurs d’intérêt
- Nous nous attendions à ce que Transports Canada se conforme aux articles 4, 5, 7 et 8 de la Loi sur la protection des renseignements personnels et à ce qu’il dispose de contrôles pour la collecte, l’usage et la communication des renseignements personnels.
- Nous nous attendions à ce que Transports Canada se conforme aux paragraphes 6(1) et (3) de la Loi sur la protection des renseignements personnels et à ce qu’il dispose de contrôles pour la conservation et le retrait des renseignements personnels.
- Nous nous attendions à ce que Transports Canada se conforme au paragraphe 6(2) de la Loi sur la protection des renseignements personnels et à ce qu’il dispose de contrôles permettant de veiller à ce que les renseignements personnels utilisés aux fins de la prise de décisions administratives dans le cadre du Programme de protection des passagers, soient les plus à jour, exacts et complets possible.
- Nous nous attendions à ce que Transports Canada se conforme aux politiques, aux normes et aux exigences connexes en matière de sécurité et à ce qu’il ait recours à des mesures de sécurité pour le matériel et les technologies de l’information afin de protéger les renseignements personnels utilisés dans le Programme de protection des passagers tout au long de son cycle de vie.
- Nous nous attendions à ce que Transports Canada surveille les activités menées par les transporteurs aériens dans le cadre du Programme de protection des passagers, afin que les renseignements relatifs à la Liste des personnes précisées soient traités et protégés conformément au Règlement sur le contrôle de l’identité et à l’article 2 de la Loi sur la protection des renseignements personnels.
Normes
La vérification a été effectuée en conformité avec les pratiques, les politiques et le mandat législatif du Commissariat à la protection de la vie privée du Canada. Le Commissariat adhère aux normes de vérification recommandées par l’Institut canadien des comptables agréés.
Équipe de vérification
Directeur général, Vérification et revue : Steven Morgan
Gestionnaire/responsable de la vérification : Tom J. Fitzpatrick
Agent principal de vérification et revue : Garth Cookshaw
Conseiller principal : William (Bill) Wilson
Supports de substitution
- PDF (104 Ko) Accessibilité non vérifiée
- Date de modification :