Sélection de la langue

Recherche

Points saillants du rapport annuel 2021-2022 du Commissaire à l’intention des fonctionnaires

Le 5 octobre 2022

Les Bulletins de la Loi sur la protection des renseignements personnels sont destinés à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à communiquer cette information à vos collègues.


Le plus récent rapport annuel au Parlement du Commissaire à la protection de la vie privée du Canada a été déposé le 29 septembre.

Dans son message, le Commissaire Philippe Dufresne décrit la vision qui orientera son mandat. Il mentionne :

« […] [à titre] de Commissaire, je vais promouvoir et mettre en œuvre une vision qui fait valoir ce qui suit :

  1. la protection de la vie privée est un droit fondamental;
  2. la protection de la vie privée est un moyen pour favoriser l’intérêt public et appuyer l’innovation et la compétitivité du Canada;
  3. la protection de la vie privée est un moyen pour accentuer la confiance des Canadiens envers leurs institutions et un moteur pour la participation et la contribution de ceux-ci à une économie numérique vigoureuse.

Cette vision repose sur le fait que les Canadiens veulent pouvoir participer activement et en toute connaissance de cause au monde numérique, sans être obligés de choisir entre cette participation et leur droit fondamental à la vie privée. Les Canadiens devraient être en mesure de bénéficier des initiatives d’intérêt public et des avancées économiques rendues possibles grâce aux nouvelles technologies, tout en ayant l’assurance que leurs lois et leurs institutions sont là pour protéger adéquatement leurs renseignements personnels. Bref, la protection de la vie privée est fondamentale, elle sert d’importants intérêts publics et privés et permet de susciter la confiance nécessaire.

Pour concrétiser cette vision, nous devrons déployer sans relâche des efforts sur plusieurs fronts : la défense des intérêts, l’application de la loi, la protection, la promotion et la sensibilisation. Le Commissariat ne pourra pas y parvenir seul. C’est pourquoi nous comptons travailler et nouer des relations solides et efficaces avec des intervenants du domaine de la protection des renseignements personnels, des représentants des secteurs public et privé qui sont des champions en la matière ainsi qu’avec nos homologues au pays et à l’étranger. »

Nous encourageons les fonctionnaires fédéraux à lire le rapport. De plus, nous soulignons, ci-dessous, quelques points à retenir pour les institutions fédérales.

Atteintes en vertu de la Loi sur la protection des renseignements personnels 

Au cours du dernier exercice, le Commissariat a reçu 463 déclarations d’atteinte à la vie privée, dont la plupart concernaient la perte (278) ou la communication non autorisée (132) de renseignements personnels.

La majorité des déclarations, plus précisément 93 % d’entre elles, étaient liées à une erreur humaine. Par exemple, des employés avaient envoyé par erreur des renseignements personnels par courriel ou par la poste à la mauvaise adresse, mal géré des données ou des documents en utilisant une solution ou un raccourci inapproprié, perdu des renseignements ou bien les avaient stockés au mauvais endroit. Il y a donc lieu de croire que les politiques ou les procédures de sécurité adoptées par l’institution en question n’ont peut-être pas été suivies ou appliquées.

Ces types d’atteintes à la vie privée montrent qu’il ne suffit pas de mettre en place des politiques et des directives pour protéger les renseignements personnels. Les politiques et les directives sont efficaces uniquement si elles sont mises en œuvre et suivies fidèlement. Il est essentiel que les renseignements personnels soient gérés correctement tout au long de leur cycle de vie – au moment de la collecte, de l’utilisation et du retrait. À cette fin, la sensibilisation et la mobilisation des employés sont cruciales. Un moment de distraction peut entraîner une atteinte à la vie privée. Les employés doivent rester vigilants lorsqu’ils traitent des renseignements personnels.

Nous sommes toujours préoccupés par le fait que les institutions du secteur public ne déclarent que très peu de cyberattaques, y compris les attaques par maliciel et par hameçonnage. Nous n’avons reçu que cinq déclarations de cette nature en 2021-2022, c’est-à-dire neuf déclarations de moins que l’année précédente.

Dans le cadre de nos examens des déclarations d’atteinte, nous constatons de plus en plus d’atteintes causées par des cyberattaques qui touchent à la fois les secteurs public et privé. Trois des cinq déclarations reçues par le Commissariat en 2021-2022 concernaient des entreprises du secteur privé qui fournissent des services aux institutions fédérales.

L’une de nos enquêtes concernait une atteinte mettant en cause des images de plaques d’immatriculation captées aux postes frontaliers. Pour en savoir plus, nous vous invitons à lire la version intégrale de notre Rapport de conclusions. Voici des points à retenir en ce qui concerne les renseignements personnels et l’élaboration de contrats par les institutions.

Points à retenir

  • Les obligations en matière de protection de la vie privée s’appliquent aussi bien aux renseignements personnels traités par une institution qu’à ceux traités par un entrepreneur agissant en son nom. En pareil cas, la protection de la vie privée est une responsabilité partagée.
  • Cette enquête souligne l’importance de la collaboration entre les spécialistes des programmes, des contrats et de la protection de la vie privée pour déterminer si les renseignements recueillis dans le cadre de la prestation de programmes et de services sont considérés comme des renseignements personnels et pour élaborer des contrats comportant des clauses appropriées de protection de la vie privée. 

Nous avons également mené une enquête au sujet d’une plainte portant sur une communication non autorisée dans le cadre d’une enquête sur la violence en milieu de travail. Nous avons dégagé les quelques points à retenir présentés ci-dessous. Veuillez lire notre Rapport de conclusions pour en savoir plus.

Points à retenir

  • La violence et le harcèlement en milieu de travail sont des enjeux graves pour les victimes présumées, les auteurs présumés et les organisations qui ont des responsabilités importantes en matière de sécurité sur le lieu de travail. Il doit y avoir concordance manifeste entre, d’une part, la façon dont les limites de la confidentialité sont expliquées dans les politiques et les communications destinées aux intéressés et, d’autre part, le moment où les communications sont faites et la façon dont on procède alors en réalité afin de réaliser des fins valables.
  • Pour qu’une communication constitue un « usage compatible » autorisé sous le régime de la Loi sur la protection des renseignements personnels, elle doit avoir un lien suffisamment direct avec la fin pour laquelle les renseignements ont été obtenus à l’origine de sorte qu’une personne puisse raisonnablement s’attendre à ce que ceux-ci soient utilisés de cette manière. 

Vous voulez en savoir plus?

Vous pouvez trouver dans notre site Web de l’information pour vous aider à Réagir à une atteinte à la vie privée dans une institution fédérale.

Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée vous permettra de gérer efficacement les risques d’atteinte à la vie privée dans le cadre du processus d’évaluation des facteurs relatifs à la vie privée. Vous pouvez aussi joindre la Direction des services‑conseils au gouvernement du Commissariat à cette adresse : scg-ga@priv.gc.ca.


Ne manquez pas nos prochains Bulletins de la LPRP en vous abonnant à notre fil RSS.

Date de modification :