Conférence 2018 de l’Association canadienne d’accès à l’information et de protection des renseignements personnels (ACAP)
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Commentaire lors de la Conférence 2018 de l’ACAP
Le 26 novembre 2018
Ottawa (Ontario)
Allocution prononcée par Brent Homan
Sous-commissaire, Conformité
(Le texte prononcé fait foi)
Introduction
Bonjour! Merci pour m’avoir invité pour vous parler du Commissariat à la protection de la vie privée et des enjeux sur lesquels le CPVP s’est penché au cours de la dernière année. Je comprends que quelqu’un du CPVP prend la parole chaque année à cette conférence depuis 1988 et je suis heureux de continuer cette tradition.
Aujourd’hui, je voudrai commencer en faisant le point sur notre structure organisationnelle. Je passerai ensuite à une discussion sur les atteintes à la vie privée dans le secteur public et nos processus de conformité. Finalement, je vais partager quelques observations sur le projet de loi C-58 et je vais laisser quelques minutes à la fin pour répondre aux questions.
Pour ceux d’entre vous qui ne le savent pas, j’ai passé la majeure partie de mon temps au CPVP, à l’application de la loi dans le secteur privé. Avant de poursuivre, j’aimerais dire que même si j’occupe le poste de sous-commissaire depuis peu, j’ai été enchanté et enthousiasmé par le riche éventail de questions liées à la protection de la vie privée et aux travaux dans le secteur public. Il est difficile d’équilibrer les questions d’accès à l’information et de protection de la vie privée. De plus, les questions de protection de la vie privée auxquelles est confronté le secteur public se recoupent avec les questions fondamentales des droits de la personne et chevauchent de plus en plus les domaines de la sécurité nationale et de l’application de la loi, qui sont au cœur des préoccupations des Canadiens en matière de vie privée.
Les réponses aux questions relatives à la protection de la vie privée ne sont pas toujours faciles à trouver. Mais c’est le défi qui anime beaucoup d’entre vous chaque jour. Les bureaux de l’AIPRP prennent régulièrement des décisions difficiles sur les mêmes questions que celles auxquelles le Commissariat et d’autres intervenants sont confrontés dans le cadre d’enquêtes et devant les tribunaux. En ce qui a trait à la complexité et au volume, les questions de protection de la vie privée n’ont jamais été aussi importantes, ce qui a entraîné d’énormes charges de travail au Commissariat qui, par extension et association, se reflètent également dans votre travail. Je vous remercie donc sincèrement du travail que vous accomplissez dans ce domaine pour tous les Canadiens.
Présentation de la structure organisationnelle
Comme ma collègue Sue Lajoie, directrice exécutive de la Direction de la conformité, a mentionné l’année dernière, notre Commissariat a modifié son approche, passant d’un modèle largement réactif fondé sur les plaintes à un modèle plus proactif.
L’ampleur et le rythme des progrès technologiques et leur utilisation dans les entreprises et le gouvernement impactent grandement la capacité des citoyens à protéger leur vie privée. L’innovation dans les secteurs de l’analyse de données, de l’intelligence artificielle, de la biométrie et de l’Internet des objets crée de nouveaux risques très complexes pour la vie privée.
Par conséquent, l’objectif du Commissariat est d’avoir une incidence plus vaste et plus positive sur le droit à la vie privée d’un grand nombre de Canadiens. Ce n’est pas toujours possible lorsque nous accordons notre attention aux enquêtes sur les plaintes individuelles.
À l’appui de cette philosophie, au cours de la dernière année, le Commissariat a fait l’objet d’un examen organisationnel. Nous avons apporté des changements à nos fonctions de programme et à nos rapports hiérarchiques internes, et nous avons commencé à nous tourner vers l’avenir en réorientant l’équilibre de nos activités vers des efforts plus proactifs.
C’est pourquoi notre travail se répartit désormais entre deux secteurs de programme : la promotion et la conformité. Les activités visant à aider les institutions et les organisations à s’acquitter de façon proactive de leurs obligations en vertu de la législation fédérale sur la protection des renseignements personnels relèveront du Programme de promotion, tandis que celles liées au règlement des questions de conformité existantes relèveront du Programme de conformité.
Sur le plan structurel, notre organisation compte maintenant trois secteurs, dont chacun est dirigé par un sous-commissaire. Laissez-moi vous les présenter brièvement.
Premièrement, nous avons le Secteur de la gestion intégrée, dirigé par Daniel Nadeau, qui regroupe nos fonctions opérationnelles internes comme les ressources humaines, les finances et la planification stratégique intégrée.
Ensuite, nous avons le Secteur de la conformité, dirigé par moi-même, qui s’occupe des travaux relatifs à l’application de la loi, auparavant effectués par les directions des enquêtes liées à la LPRPDE et à la LPRP.
Tout en continuant de faire enquête sur les plaintes, nous prenons également des mesures d’application proactive de la loi pour le Secteur de la conformité. Celles-ci ciblent les questions de vie privée systémiques, chroniques ou propres à un secteur qui nous semblent susceptibles de porter gravement atteinte à la vie privée des Canadiens.
Le Secteur de la conformité offre toute une série d’outils d’application de la loi officiels et informels, allant des ratissages aux enquêtes, en passant par les vérifications. Pour mettre les choses en contexte, un ratissage permet d’effectuer un examen de haut niveau d’un thème choisi en matière de protection de la vie privée et engendre des changements positifs en matière de protection de la vie privée grâce à une application non officielle de la loi. Historiquement, nous n’avons effectué des ratissages que dans le secteur privé, examinant des thèmes tels que la protection de la vie privée des enfants et les applications mobiles. Cela dit, nous considérons que des concepts proactifs comme le ratissage sont pleinement transférables à notre surveillance du secteur public et nous explorons actuellement des projets connexes. Par exemple, nous explorons des options pour donner suite à notre étude sur la déclaration des atteintes dans le secteur public, dont je vous parlerai dans quelques instants.
Finalement, nous avons le Secteur de la promotion, dirigé par Gregory Smolynec, qui s’occupe à la fois des entreprises et du gouvernement, et qui comprend les politiques, la recherche, les affaires parlementaires, les communications et les services-conseils.
Le Secteur de la promotion adopte une approche globale pour aider les institutions et les organisations à respecter leurs obligations en vertu des lois, en mettant l’accent sur l’éducation et l’engagement proactif.
Pour vous donner une idée des activités entreprises pour le Secteur de la promotion, je vais rapidement passer en revue certaines responsabilités des directions des services-conseils au gouvernement et à l’entreprise.
La Direction services-conseils au gouvernement conseille les institutions fédérales et entreprend diverses initiatives de sensibilisation auprès d’elles afin de les encourager à respecter leurs obligations en vertu de la Loi sur la protection des renseignements personnels.
Cela comprend notre travail d’examen des évaluations des facteurs relatifs à la vie privée, des ententes sur l’échange de renseignements et des communications de renseignements personnels dans l’intérêt public. Nous organisons également d’autres initiatives de sensibilisation, comme des séances thématiques sur la gestion des risques liés à la vie privée. Sous l’égide de la Direction des services-conseils au gouvernement, nous avons l’intention de continuer à sensibiliser davantage les institutions, toujours en veillant à ce que la protection de la vie privée soit un élément essentiel de la conception des programmes dans le cadre de l’offre de services aux Canadiens par les institutions.
L’an dernier, la Direction des services-conseils au gouvernement a terminé une série de séances de mobilisation des intervenants avec le personnel des secteurs de programme et de l’Accès à l’information et protection des renseignements personnels du gouvernement fédéral pour nous aider à diriger nos efforts alors que nous réorientons nos services-conseils. Nous avons apprécié les discussions franches et le dialogue ouvert avec les institutions, et nous gardons à l’esprit les suggestions formulées alors que nous poursuivons notre travail de sensibilisation, qui comprendra également la révision de notre guide des attentes en matière d’EFVP et l’élaboration d’un outil en ligne d’EFVP.
La Direction services-conseils au gouvernement est disponible pour fournir des conseils en matière de protection de la vie privée dès le début de l’élaboration du programme, y compris en dehors du processus officiel d’EFVP; je vous encourage donc à demander de l’aide si vous en avez besoin.
La Direction des services-conseils à l’entreprise entreprend des consultations et des engagements proactifs auprès des organisations afin d’aider les entreprises à innover d’une manière qui respecte la vie privée. Par exemple, plus tôt cette année, nous avons lancé le premier projet consultatif concernant Sidewalk Toronto. Comme vous le savez peut-être, Sidewalk Toronto est une initiative de ville intelligente entreprise par Waterfront Toronto et Sidewalk Labs, une entreprise appartenant à Alphabet, une filiale de Google.
Le Commissariat favorise le règlement des questions de protection de la vie privée dès le début et la résolution coopérative des problèmes, hors du cadre officiel de la loi. Elle permet d’éviter les enquêtes longues et coûteuses, d’aider les organisations à atténuer les risques futurs en matière de protection de la vie privée et de permettre à tous de tirer profit de l’innovation.
Réputation
Avant de passer aux atteintes à la vie privée, j’aimerais vous parler rapidement d’un sujet que notre Commissariat a exploré au cours de la dernière année, soit la protection de la vie privée et la réputation en ligne.
Les sites dont le but explicite est d’humilier – ou faire chanter – des individus causent un préjudice évident et feront souvent les manchettes. Et souvent, les profils en ligne sont utilisés pour prendre des décisions clés concernant l’emploi, le crédit, le logement ou la vie personnelle d’un individu. Toutefois, les renseignements sont susceptibles d’être désuets, présentés hors contexte ou simplement faux.
Dans le dernier rapport annuel du Commissariat, qui a été déposé au Parlement à la fin du mois de septembre, nous avons cherché à répondre à la question suivante : En tant que société, pensons-nous que la réputation mérite d’être protégée contre les nouveaux risques que posent les renseignements en ligne? Dans l’affirmative, quelle forme cette protection devrait-elle prendre?
Bien entendu, nous sommes d’avis que la réponse à la question est oui. Nous avons présenté notre réponse initiale dans notre exposé de position provisoire sur la réputation en ligne, publié en janvier dernier.
Nous avons adopté l’approche de l’application de la loi existante – la LPRPDE – et n’avons pas cherché à inventer une nouvelle loi ou à justifier l’importation de solutions trouvées dans d’autres pays. Nous en sommes venus à plusieurs conclusions, dont l’une est que les Canadiens ont la possibilité de demander aux moteurs de recherche de désindexer les pages Web. Cela correspond à la notion de « droit à l’oubli » de l’Union européenne.
Nous sommes conscients que cette position n’est pas universelle. Nous avons reçu plusieurs plaintes concernant des résultats de recherche Google en vertu de la LPRPDE. Google a affirmé que la Loi ne s’applique pas et que si la LPRPDE exigeait que des articles soient désindexés, elle serait inconstitutionnelle.
En octobre, afin d’obtenir plus de précisions, nous avons déposé un avis de demande auprès des Cours fédérales, dans le but de savoir si la LPRPDE s’applique au moteur de recherche de Google.
Nous cherchons notamment à savoir si le service de moteur de recherche de Google recueille, utilise ou communique des renseignements personnels dans le cadre d’activités commerciales et si Google pourrait être exclu du champ d’application de la LPRPDE au motif qu’il le fait uniquement à des fins journalistiques ou littéraires.
Comme l’affaire est devant les tribunaux, les enquêtes sur les plaintes relatives au déréférencement seront suspendues en attendant le résultat, et le CPVP attendra que le processus soit terminé avant de prendre position sur la réputation en ligne.
Atteintes à la vie privée
Passons maintenant à la question des atteintes à la vie privée.
Ce sur quoi je veux me concentrer aujourd’hui, c’est la déclaration des atteintes à la vie privée dans le secteur public, ou l’absence de telles déclarations. En toute franchise, nous sommes profondément préoccupés et quelque peu déçus par l’état des choses relativement à la déclaration des atteintes à la vie privée dans le secteur public au niveau fédéral.
Comme vous le savez, d’après la Politique sur la protection de la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor du Canada (SCT), les institutions fédérales sont tenues d’aviser le Commissariat et le SCT de toute atteinte substantielle à la vie privée. On parle ici d’une atteinte qui porte sur des renseignements personnels sensibles et qu’il serait raisonnable de penser qu’elle pourrait causer un dommage grave aux personnes concernées, ou qui touche un grand nombre de personnes.
Le Commissariat utilise les rapports d’atteinte que lui adressent les institutions fédérales pour s’assurer que les intérêts des Canadiens ont bel et bien été pris en compte et pour aider les institutions à atténuer les préjudices causés aux Canadiens qui découlent de ces atteintes.
Afin d’avoir une bonne idée de la situation en matière de déclaration obligatoire des atteintes à la vie privée au cours des dix dernières années, j’aimerais qu’on jette un coup d’œil aux chiffres.
- Comme vous pouvez le constater, il y a eu une augmentation constante du nombre d’atteintes signalées depuis 2008-2009.
- Mais au moment où l’obligation de déclarer les atteintes à la vie privée a été annoncée et est entrée en vigueur, nous avons constaté une hausse importante de nos chiffres.
- Puis, en 2016-2017, le nombre de rapports est tombé à moins de la moitié de ce qu’il était l’année précédente.
- En 2017-2018, le nombre de nos rapports d’atteinte à la vie privée a encore augmenté, mais près du quart de ces atteintes proviennent d’une seule institution dont les rapports ont été retardés d’un an.
- En date de la mi-novembre, nous nous attendons à recevoir 138 rapports d’atteinte, ce qui représente encore une fois une diminution du volume.
Compte tenu de l’environnement du secteur public, où les renseignements personnels sont de plus en plus détenus et utilisés au service des Canadiens et en se fondant uniquement sur les chiffres, il semble qu’il existe une réticence systémique croissante à reconnaître et à déclarer les atteintes.
Il revient aux institutions fédérales de décider si une atteinte est substantielle et si elle doit être déclarée. Bien que cela soit vrai, il est clair que ce ne sont pas toutes les institutions qui s’y conforment.
Nous continuons toutefois d’être informés d’incidents qui semblent être de graves atteintes par d’autres moyens, comme les médias.
Il y a également un écart remarquable dans la nature des atteintes qui sont déclarées. La très grande majorité des atteintes dans le secteur public déclarées sont d’origine non malveillante. En d’autres termes, les atteintes déclarées sont le plus souvent liées à la perte ou à la divulgation accidentelle.
Presque aucune des atteintes déclarées ne résulte d’un cyberincident. Cela pourrait indiquer que les institutions gouvernementales disposent de mesures de protection technologiques suffisamment solides pour prévenir les atteintes substantielles à la cybersécurité.
Pourtant, le gouvernement a déclaré que « les cyberattaques sont de plus en plus omniprésentes, sophistiquées et efficaces ».Note de bas de page 1
De plus, les rapports indiquent que le gouvernement du Canada bloque chaque jour une moyenne de plus de 600 millions de tentatives de détermination ou d’exploitation des vulnérabilités de ses réseaux. Les données les plus récentes montrent que 2 500 cyberattaques parrainées par l’État sont détectées chaque année et que 2 % d’entre elles sont couronnées de succès.Note de bas de page 2 Cela représente un cyberincident réussi par semaine. Combien d’entre eux mettaient en cause des renseignements personnels?
Il semble qu’il y ait là un énorme fossé.
Comme nous nous étions engagés à le faire l’an dernier, nous avons entrepris une évaluation de la situation générale du secteur public en matière de déclaration des atteintes à la vie privée. Notre examen a soulevé des préoccupations quant au sérieux des institutions fédérales en matière de protection de la vie privée. Il est clair que certaines atteintes substantielles ne sont pas déclarées et, qui plus est, d’autres encore passent fort probablement tout à fait inaperçues au sein de nombreuses institutions.
Nous avons demandé la collaboration d’une dizaine d’institutions fédérales et examiné leurs procédures concernant les atteintes à la vie privée. Le Commissariat n’a pas exercé ses pouvoirs d’enquête officiels, ce qui signifie que la participation des institutions était volontaire. À cet égard, nous tenons à les remercier pour leur temps, leurs efforts et leurs observations sincères.
Bon nombre d’entre vous représentent le bureau d’accès à l’information et de protection des renseignements personnels de vos institutions respectives. Par extension, vous êtes familiers avec les renseignements personnels et comprenez ce qui constitue une atteinte substantielle à la vie privée. Cependant, bon nombre des institutions ont reconnu que leurs travailleurs de première ligne ne comprennent pas pleinement ce qui constitue un renseignement personnel ni les obligations leur incombant en vertu de la Loi. Il s’agit sans doute d’une lacune critique en matière de connaissances.
De constater qu’il existe de la confusion quant à savoir si un passeport canadien représente en soi des renseignements personnels de nature délicate nous a beaucoup inquiétés. C’est assez étrange étant donné sa valeur marchande!
Même si la déclaration des atteintes à la vie privée est obligatoire depuis quatre ans, nous avons constaté que les procédures de détection et d’examen des atteintes à la vie privée font défaut et que certaines institutions n’ont pas de procédures approuvées en la matière.
De plus, les institutions prétendaient ne pas disposer des outils appropriés pour évaluer le risque de dommages ou de préjudice aux personnes, et se concentraient plutôt sur le risque pour la réputation de l’institution. Nous sommes tout à fait d’accord avec eux. Des outils inadéquats mènent à des résultats insatisfaisants.
Notre examen a également confirmé que les mesures de protection des TI pour les nouveaux systèmes ne sont pas toujours ce qu’elles devraient être. Les constatations de l’enquête du Commissariat sur le système de paye de Phénix, qui a permis de déterminer que les atteintes étaient le résultat d’une combinaison de tests inadéquats, d’erreurs de codage et du manque de surveillance et de contrôle du système, en témoignent clairement.
Nous avons également entendu dire que les institutions étaient frustrées par le manque d’uniformité dans l’orientation et les directives concernant les atteintes à la vie privée. En outre, elles sont parfois ignorées et considérées comme insuffisantes.
Nous avons partagé nos conclusions au Secrétariat du Conseil du Trésor, qui, à son tour, a offert des engagements.
Nous attendons un plan d’action du SCT qui énoncera des mesures précises visant à renforcer la gestion des atteintes dans l’ensemble du gouvernement. Ce travail inclura une revue de ses politiques et ses outils touchant les atteintes pour tous les employés fédéraux.
Le SCT s’est aussi engagé à prendre des mesures pour sensibiliser les employés à ce qui constitue des renseignements personnels et la responsabilité en matière de déclaration des atteintes. Pour cet exercice de sensibilisation la priorité sera accordée aux technologues et les spécialistes de la sécurité.
Comme vous le savez, aucune obligation législative n’existe qui exige la déclaration des atteintes au-delà de la politique du SCT. Nous demandons depuis bien des années une réforme de la Loi sur la protection des renseignements personnels, plus précisément l’ajout de dispositions sur les mesures de sécurité et la déclaration obligatoire des atteintes. Le SCT s’est aussi engagé à travailler avec le ministère de la Justice pour rendre obligatoire la déclaration des atteintes dans le cadre de l’examen de la Loi.
Nous demandons aux institutions gouvernementales, dont bon nombre sont représentées par vous ici, de tirer parti des conclusions de cette étude et d’établir des priorités pour combler ces lacunes. La protection des renseignements personnels des Canadiens est en jeu.
Il est compréhensible que les institutions ne veuillent pas devenir le prochain foyer d’atteintes. Les institutions qui ont du succès renforcent leur crédibilité et tirent des leçons des atteintes. Il est important de noter que des politiques et des pratiques solides en matière d’atteinte à la vie privée sont essentielles à l’intégrité des programmes gouvernementaux et à l’établissement de la confiance des citoyens à l’égard de ces programmes. Par contre, la meilleure façon de détruire la confiance et la crédibilité de votre institution, c’est de ne pas déclarer une atteinte à la vie privée qui finit par devenir connue ou publique, et c’est souvent le cas.
Le Commissariat continue d’accorder la priorité à la gestion des atteintes à la vie privée dans le secteur public cette année. Au cours des prochains mois, le Commissariat lancera un nouveau formulaire de déclaration des atteintes à la vie privée afin de faciliter la déclaration et d’apporter plus de clarté au processus.
Nous mettrons également sur pied d’autres initiatives, comme la formulation de conseils et l’examen plus approfondi des domaines de préoccupation que nous avons déterminés au cours de l’étude, comme la gestion des passeports.
Opérations de conformité
En plus d’accorder la priorité à la déclaration d’atteintes à la vie privée, nous portons un regard critique aux processus qui nous permettent de mieux servir les Canadiens.
Nous prévoyons que le nouveau formulaire de plainte en ligne permettra aux plaignants de mieux comprendre le processus et le rôle du Commissariat dans la gestion des plaintes liées à la vie privée.
Nous examinons également d’autres moyens de renforcer notre fonction de triage des plaintes. Par exemple, les gens qui communiquent avec nous pour nous faire part d’un problème sont invités à en parler tout d’abord avec l’institution, afin de trouver des pistes de solutions.
Une fois que nous aurons accepté une plainte, nous continuerons également de fermer de nombreux dossiers grâce au processus de « règlement rapide », un mécanisme d’enquête efficace qui donne les meilleurs résultats possible pour toutes les personnes concernées. Pour les gens qui déposent une plainte, cela signifie que leurs problèmes seront traités rapidement. Pour les institutions, ils peuvent éviter un processus souvent long et coûteux.
Aujourd’hui environ les deux tiers de toutes les plaintes réglées l’ont été grâce au « règlement rapide ».
J’aimerais maintenant passer à un autre domaine d’application et je vous exhorte à en prendre bonne note. Nous modifions également notre approche en ce qui concerne les enquêtes sur les délais. Il s’agit de plaintes concernant des allégations selon lesquelles une institution a répondu à une demande d’accès en vertu de la Loi sur la protection des renseignements personnels après l’expiration des délais prescrits par la loi.
Par le passé, nous ne considérions généralement pas que ces enquêtes étaient terminées tant que le plaignant n’avait pas reçu les renseignements demandés. Cela a souvent entraîné des retards déraisonnablement longs. À l’avenir, nous chercherons à habiliter les plaignants qui participent dans le processus d’enquête ayant un délai.
Qu’est-ce que cela signifie pour les institutions? Dans les cas où nous avons tenté en vain de faire en sorte que l’institution fournisse au plaignant une réponse à sa demande en vertu de la Loi sur la protection des renseignements personnels, nous considérons que la non-réponse de l’institution constitue un refus présumé de l’accès à l’information. L’étape suivante est la publication d’un rapport final détaillant ce point, que le plaignant peut ensuite porter devant les tribunaux.
Conformément à cette approche, la semaine dernière, nous avons émis 14 présomptions de refus, et nous continuerons de le faire lorsque nous le jugerons approprié. Pour être clairs, nous préférons travailler en collaboration avec des institutions qui font preuve de bonne foi, de coopération et de progrès. Mais lorsqu’il y a des délais déraisonnables, notre obligation est d’appliquer la loi et de donner aux Canadiens les moyens d’exercer leur droit à la vie privée. Je vous exhorte donc à examiner si vos bureaux ont des plaintes concernant des délais non respectés et à vous efforcer de les régler en conséquence.
Pour en venir à la gestion des plaintes relatives à la protection de la vie privée en général, j’aimerais vous assurer qu’en utilisant l’éventail complet des outils de conformité disponibles, notre objectif est de le faire judicieusement, en choisissant le bon outil pour la bonne situation.
Par exemple, dans de nombreux cas, les représentations habituelles des institutions sont suffisantes pour mener une enquête solide. Certains d’entre vous le savent peut-être pour avoir participé personnellement à une enquête.
Toutefois, dans certains cas, nous pouvons juger qu’une visite sur place est nécessaire pour apprécier pleinement et efficacement les questions en litige dans une enquête. Je suis sûr que vous connaissez tous les longues chaînes de courriels qui s’étendent sur plusieurs semaines et qui, selon vous, auraient pu être remplacées par une simple conversation en personne. J’aime beaucoup ces interactions en personne et il est bien possible qu’elles deviennent de plus en plus nombreuses.
Les visites sur place ne sont que l’un des pouvoirs officiels que nous confère la Loi sur la protection des renseignements personnels. D’autres pouvoirs nous sont conférés, comme la possibilité d’exiger des documents. Nous avons commencé à considérer le recours à ces pouvoirs de façon plus fréquente dans le secteur privé, et de même, nous chercherons à déployer ces autres pouvoirs officiels de façon appropriée et proportionnée dans le secteur public.
Projet de loi C-58
Avant de conclure, je ferai quelques commentaires au sujet du projet de loi C-58 – Loi modifiant la Loi sur l’accès à l’information. Nous en avons parlé à la conférence de l’an dernier.
Notre commissaire est heureux que le gouvernement prenne des mesures concrètes pour moderniser la Loi sur l’accès à l’information. La transparence et l’ouverture sont fondamentales pour permettre aux citoyens de participer pleinement à un système démocratique.
Cependant, le projet de loi C-58 dans sa forme actuelle suscite des préoccupations. La commissaire à l’information est la championne de l’accès à l’information, mais le CPVP joue un rôle central dans le respect du droit à la vie privée des Canadiens.
Une partie de l’équilibre actuel entre l’accès à l’information et la protection de la vie privée réside dans le fait que les commissaires ont des pouvoirs égaux. Tel qu’il est rédigé, le projet de loi dérange l’équilibre en donnant à la commissaire à l’information le pouvoir de rendre des ordonnances.
Oui, le projet de loi prévoit un avis officiel au CPVP et des recours juridiques quand le Commissariat à l’information donne des ordonnances officielles concernant la divulgation de renseignements personnels. Mais la vie privée peut aussi être touchée en dehors des ordonnances officielles.
Par exemple, le Commissariat à l’information du Canada peut recommander que des renseignements personnels soient communiqués sans ordonnance, ou une institution peut décider de communiquer des renseignements personnels pour éviter une ordonnance du Commissariat. Dans de tels cas, le Commissariat à la protection de la vie privée ne serait pas avisé ou n’aurait pas la possibilité d’intervenir, même si le Commissariat à l’information du Canada et le CPVP peuvent diverger sur des questions juridiques clés concernant l’équilibre entre l’accès à l’information et la protection des renseignements personnels.
La commissaire à l’information et le commissaire à la protection de la vie privée conviennent que ce dernier devrait être consulté lorsque la protection de la vie privée et l’accès à l’information sont en jeu. Comme vous le savez peut-être, la commissaire à l’information et notre commissaire ont recommandé des changements afin d’atteindre un meilleur équilibre, et le ministre Brison s’est dit disposé à envisager positivement ces changements.
- Premièrement, notre bureau aimerait être consulté lorsque le Commissariat à l’information a l’intention de rendre une ordonnance de communication de renseignements qui ont fait l’objet d’une exception en vertu de l’exception relative aux renseignements personnels ou de l’article 19 de la Loi sur l’accès à l’information.
- Deuxièmement, la commissaire à l’information devrait avoir le pouvoir discrétionnaire de nous consulter à toute étape de son enquête lorsqu’elle le juge nécessaire ou souhaitable.
- Enfin, nous aimerions recevoir le rapport final de toute enquête menée par le Commissariat à l’information dans les cas où le CPVP a été consulté.
En fin de compte, l’accès à l’information et la protection de la vie privée sont des objectifs parallèles qui peuvent et devraient être conciliés. Il s’agit d’un code de droits à l’information transparent et aucun des deux ne devrait avoir préséance sur l’autre. En d’autres termes, ce sont les deux faces d’une même médaille.
Conclusion
En conclusion, en modifiant notre structure organisationnelle et en veillant à ce que nous appliquions proportionnellement les outils de conformité dont dispose le CPVP, nous espérons que les Canadiens commenceront à se sentir plus autonomes et à contrôler ce qui arrive à leurs renseignements personnels.
De nombreux défis nous attendent si on veut maintenir et regagner la confiance des Canadiens dans la façon dont on protège les renseignements personnels, particulièrement à l’ère numérique. L’ampleur et la vitesse des progrès technologiques, tout en créant des possibilités remarquables, mettent énormément de pression sur la capacité des individus à protéger leur vie privée.
Merci de votre temps. J’aimerais prendre le temps qu’il me reste pour répondre à vos questions.
- Date de modification :