À l’intention des fonctionnaires : principaux points à retenir du rapport annuel 2020-2021 du commissaire
Le 9 décembre 2021
Les Bulletins de la Loi sur la protection des renseignements personnels sont destinés à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à communiquer cette information à vos collègues.
Le plus récent rapport annuel du commissaire à la protection de la vie privée du Canada a été déposé au Parlement aujourd’hui. Le rapport annuel fait le point sur les difficultés croissantes en matière de protection de la vie privée et sur la meilleure voie à suivre pour l’avenir.
Dans son rapport, le commissaire Daniel Therrien demande au gouvernement de profiter du renouvellement de son mandat pour faire entrer le Canada dans l’ère moderne en adoptant des lois sur la protection des renseignements personnels fondées sur les droits qui intégreront les valeurs canadiennes et favoriseront l’innovation responsable.
« Au cours de mon mandat, il est devenu évident que nous avons besoin d’un cadre de protection de la vie privée plus rigoureux pour protéger les droits des Canadiens dans un monde de plus en plus numérique. Un tel cadre leur permettrait de participer en toute sécurité à l’économie numérique et d’adopter avec confiance les nouvelles technologies », écrit le commissaire Therrien dans son message contenu dans le rapport annuel.
« Comme société, nous devons projeter nos valeurs dans nos lois sur le numérique. Nos citoyens ne s’attendent à rien de moins de leurs institutions publiques. C’est à cette condition que la confiance en l’économie numérique, abimée par de nombreux scandales, reviendra. »
Le rapport présente également des données statistiques sur les plaintes et les atteintes, de l’information sur notre travail de consultation auprès des entreprises et du gouvernement, ainsi que des résumés d’enquêtes. Il traite de la collaboration du gouvernement fédéral avec le Commissariat dans divers dossiers, dont ceux portant sur le suivi et le traçage des cas de COVID-19, les contrôles frontaliers et les initiatives d’aide financière pendant la crise économique.
Nous encourageons les fonctionnaires fédéraux à lire le rapport, et nous soulignons, ci-dessous, quelques points à retenir pour les institutions fédérales.
Recoupements entre les secteurs public et privé
La ligne de démarcation entre les institutions gouvernementales et les entreprises du secteur privé devient de plus en plus floue en raison de l’interconnexion de l’économie numérique et de la facilité de produire, d’utiliser et de communiquer les renseignements. Nous observons un nombre croissant d’enjeux qui touchent à la fois les secteurs public et privé. Cette situation soulève d’importantes questions concernant la protection de la vie privée, d’où la nécessité d’apporter une certaine uniformité dans les lois sur la protection des renseignements personnels qui seront modernisées.
Ces recoupements ont été mis au jour au cours de notre enquête sur la collecte de renseignements par la Gendarmerie royale du Canada (GRC) auprès de Clearview AI. En juin 2021, le Commissariat a déposé un rapport spécial au Parlement pour communiquer ses conclusions à l’issue d’une enquête portant sur l’utilisation, par la GRC, d’une base de données faisant appel à la technologie de reconnaissance faciale de Clearview AI. Cette entreprise de technologie avait elle-même fait auparavant l’objet d’une enquête du Commissariat.
Selon notre enquête, l’utilisation par la GRC de la technologie de reconnaissance faciale pour effectuer des centaines de recherches dans une base de données compilée illégalement par Clearview AI constitue une infraction à la Loi sur la protection des renseignements personnels (LPRP).
Nous avons également constaté des lacunes graves et systémiques dans les politiques et les systèmes de la GRC concernant le suivi, l’identification, l’examen et le contrôle des nouvelles collectes de renseignements personnels au moyen de technologies innovantes.
Il s’agit d’un autre exemple de la façon dont les relations contractuelles et les partenariats public‑privé faisant intervenir des technologies numériques créent des complications et des risques supplémentaires sur le plan de la protection de la vie privée.
Le commissaire a encouragé le Parlement à modifier la LPRP afin de préciser que les institutions fédérales ont l’obligation de s’assurer que les tiers auprès desquels elles recueillent des renseignements personnels ont agi conformément à la loi.
Points à retenir
- Les activités des institutions fédérales doivent se limiter à celles que la loi leur permet d’exercer et doivent respecter les lois applicables, y compris la Loi sur la protection des renseignements personnels.
- Les institutions devraient réaliser des évaluations des pratiques de collecte de données par des tiers, afin de veiller à ce que tout renseignement personnel soit recueilli ou utilisé conformément à la loi.
- Une institution fédérale ne peut recueillir de renseignements personnels auprès d’un tiers si celui-ci les a recueillis illégalement.
Surveillance des médias sociaux
En 2020‑2021, nous avons examiné une évaluation des facteurs relatifs à la vie privée (EFVP) et mené un processus de consultation auprès d’Immigration, Réfugiés et Citoyenneté Canada (IRCC) sur ses activités de surveillance des médias sociaux.
IRCC surveille les plateformes de médias sociaux pour recueillir des données sur les publications et les commentaires se rapportant à son mandat, à ses politiques et à ses activités. Cette surveillance ne vise pas à recueillir des renseignements concernant des individus ou des clients du Ministère. IRCC a indiqué utiliser des outils de surveillance pour déterminer si des renseignements inexacts sur les politiques et les pratiques d’immigration canadiennes sont diffusés sur les plateformes de médias sociaux et, au besoin, contrer cette désinformation au moyen de messages de communication.
Nous avons recommandé à IRCC de s’assurer que des mesures sont en place pour limiter la collecte des renseignements personnels dans les sites de médias sociaux à ceux qui sont manifestement nécessaires pour les activités gouvernementales légitimes et les fins déclarées du programme. Nous lui avons aussi recommandé d’évaluer régulièrement son utilisation des outils de surveillance des médias sociaux pour déterminer si une utilisation continue est justifiée en tant qu’activité nécessaire, proportionnelle et efficace. Enfin, nous avons recommandé à IRCC de faire preuve de transparence envers le public concernant cette activité en affichant dans son site Web un avis de confidentialité clair, en publiant dans son fichier de renseignements personnels une description de l’utilisation des renseignements recueillis dans les sites de médias sociaux et en publiant un résumé de l’EFVP.
Nous avons donné des avis similaires à d’autres institutions, car le gouvernement manifeste un intérêt croissant pour la surveillance des médias sociaux.
Points à retenir
- Les institutions ne sont pas autorisées à recueillir des renseignements personnels n’ayant aucun lien direct avec leurs programmes ou activités, même lorsque le public y a accès.
- Il incombe également aux institutions de s’assurer que les renseignements personnels utilisés pour prendre une décision touchant un individu sont aussi à jour et exacts que possible.
Enquêtes
Le rapport annuel fait ressortir plusieurs enquêtes en vertu de la LPRP susceptibles d’intéresser les fonctionnaires :
- Une institution communique des renseignements personnels sensibles concernant une employée sans son autorisation
- Enquête sur le recours par la GRC à la technologie de reconnaissance faciale de Clearview AI
- Engagement de la GRC à améliorer la protection de la vie privée dans le cadre de la vérification des antécédents en vue d’un travail auprès de personnes vulnérables
Vous voulez en savoir plus?
Vous pouvez trouver dans notre site Web de l’information sur ce à quoi s’attendre au cours d’une enquête sur une plainte.
Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée vous permettra de gérer efficacement les risques d’atteinte à la vie privée dans le cadre du processus d’EFVP. Vous pouvez aussi joindre la Direction des services‑conseils au gouvernement du Commissariat à cette adresse : scg-ga@priv.gc.ca.
Ne manquez pas nos prochains Bulletins de la LPRP en vous abonnant à notre fil RSS.
- Date de modification :