Faits saillants du rapport annuel 2022-2023 du Commissaire à l’intention des fonctionnaires
Le 19 septembre, 2023
Les bulletins portant sur la Loi sur la protection des renseignements personnels visent à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à communiquer cette information à vos collègues.
Le rapport annuel au Parlement 2022-2023 du Commissaire à la protection de la vie privée du Canada a été déposé le 19 septembre.
Dans son message, le Commissaire Philippe Dufresne définit les priorités stratégiques du Commissariat, qui ont pris forme au cours de la première année de son mandat :
- suivre la rapide évolution des progrès technologiques, et conserver une longueur d’avance sur ce plan, pour cerner les répercussions sur la vie privée, particulièrement en ce qui concerne l’intelligence artificielle (IA) et l’IA générative;
- protéger la vie privée des enfants de sorte qu’ils puissent bénéficier de la technologie et être actifs en ligne, mais qu’ils le fassent en toute sécurité et sans crainte d’être ciblés ou manipulés, ou encore de subir un préjudice;
- se préparer à une éventuelle réforme législative si le Parlement adopte le projet de loi C-27, la Loi sur la mise en œuvre de la Charte du numérique.
Le Commissaire fait remarquer que le dernier sondage mené par le Commissariat à la protection de la vie privée auprès de la population canadienne laisse entendre que les Canadiennes et les Canadiens se soucient des répercussions des nouvelles technologies sur leur vie privée : 93 % d’entre eux sont préoccupés dans une certaine mesure par la protection de leur vie privée, et la moitié estime ne pas en savoir assez pour connaître l’incidence que les nouvelles technologies pourraient avoir sur leur vie privée. Cependant, ils veulent et doivent avoir la certitude que leur droit à la vie privée est protégé afin de pouvoir se sentir en confiance pour participer librement à l’économie numérique.
Enquêtes sous le régime de la Loi sur la protection des renseignements personnels
Le rapport annuel présente un résumé d’un certain nombre d’enquêtes, dont les suivantes :
- Enquête sur la collecte et l’utilisation par la Société canadienne des postes de renseignements personnels dans le cadre du programme Marketing Intelliposte
- Enquête sur l’utilisation de la généalogie génétique par l’Agence des services frontaliers du Canada pour établir le pays d’origine d’une personne détenue depuis une période prolongée aux fins de son renvoi
- Enquête sur la communication de renseignements personnels par l’Agence des services frontaliers du Canada au Commissariat à l’information du Canada à l’appui d’une demande en vertu de l’article 6.1 de la Loi sur l’accès à l’information de ne pas donner suite à 2 demandes d’accès à l’information
- Enquête sur le traitement des renseignements personnels par Transports Canada dans le cadre du Programme iVZE et sur l’approbation en cours par le Secrétariat du Conseil du Trésor du fichier de renseignements personnels
- Enquête sur la collecte et la communication par le Service correctionnel du Canada de renseignements personnels d’une personne sur Facebook en lien avec le congé 699
- Enquête sur la divulgation du rapport d’aptitude au travail du plaignant, y compris des renseignements médicaux personnels et de nature délicate, à son équipe de gestion au sein de la Commission de l’immigration et du statut de réfugié du Canada
- Enquête portant sur une atteinte à la vie privée à Immigration, Réfugiés et Citoyenneté Canada
- Enquête sur une atteinte à la vie privée au Secrétariat du Conseil du Trésor du Canada; selon cette enquête, une évaluation appropriée du dommage doit être globale et tenir compte d’un éventail de facteurs déterminants, dont ceux-ci : le ou les destinataires des renseignements personnels visés par l’atteinte, le degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements personnels aient été, soient ou puissent être utilisés à mauvais escient.
- Rapport spécial au Parlement : Protéger la vie privée pendant une pandémie
Atteintes sous le régime de la Loi sur la protection des renseignements personnels
Au cours du dernier exercice, le Commissariat a reçu 298 déclarations d’atteinte, comparativement à 463 l’année précédente.
Les atteintes déclarées étaient principalement liées à la perte de renseignements personnels (44 %). Certaines atteintes étaient liées à la communication non autorisée (33 %), dont la majorité était causée par une erreur d’un employé – par exemple, l’utilisation de la copie conforme (c. c.) au lieu de la copie conforme invisible (c. c. i.) lors de l’envoi d’un courriel de masse. L’accès non autorisé, qui est à l’origine de 22 % des atteintes déclarées, comprend la consultation de renseignements par des employés n’ayant pas de droits d’accès, une utilisation abusive des droits d’accès, ou le résultat de stratagèmes de piratage psychologique.
À retenir : Ces types d’erreurs font ressortir la nécessité de renforcer la mise en œuvre des politiques de protection de la vie privée. Il faut s’assurer que les employés qui traitent des renseignements personnels sensibles ont la formation nécessaire à cet égard et que des mesures de protection technologiques sont mises en place rapidement.
Comme par le passé, la majorité des déclarations que le Commissariat reçoit proviennent des mêmes institutions fédérales, et le nombre d’atteintes déclarées par le secteur public fluctue d’une année à l’autre. Le Commissariat demeure préoccupé par la sous-déclaration, car bon nombre des institutions fédérales assujetties à la Loi sur la protection des renseignements personnels qui traitent des renseignements personnels sensibles n’ont jamais déclaré d’atteinte au Commissariat. La possibilité que les personnes dont les renseignements personnels ont été compromis n’aient pas été avisées de la situation est tout aussi préoccupante, puisque ces dernières ne peuvent prendre rapidement les mesures qui s’imposent pour réduire tout préjudice, le cas échéant, comme changer leurs mots de passe, être aux aguets de courriels frauduleux, etc.
Seulement une atteinte signalée dans le secteur public concernait une cyberattaque, comparativement à 278 cyberattaques signalées dans le secteur privé. Le Centre de la sécurité des télécommunications a indiqué qu’il bloquait des milliards de cybertentatives par jour contre les réseaux du gouvernement du Canada. C’est pourquoi le Commissariat trouve préoccupant que les cyberattaques (utilisation de maliciels, attaques d’hameçonnage et autres) soient sous-déclarées par les institutions publiques.
À retenir : Il est important d’être attentif à la possibilité de cyberattaques, de se protéger contre celles-ci et de les signaler rapidement aux personnes touchées et au Commissariat à la protection de la vie privée, qui a l’expertise nécessaire pour épauler les institutions fédérales dans de telles situations.
Le Commissariat continue de recevoir un grand nombre d'évaluations des facteurs relatifs à la vie privée (EFVP) et de demandes de consultation de la part des institutions fédérales. L’an dernier, 180 EFVP et demandes de consultation ont été reçues au total.
Vous voulez en savoir plus?
Vous pouvez trouver dans notre site Web de l’information pour vous aider à Réagir à une atteinte à la vie privée dans une institution fédérale.
Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée vous permettra de gérer efficacement les risques d’atteinte à la vie privée dans le cadre du processus d’évaluation des facteurs relatifs à la vie privée. Vous pouvez aussi joindre la Direction des services-conseils au gouvernement du Commissariat à cette adresse : scg-ga@priv.gc.ca.
Ne manquez pas nos prochains Bulletins sur la LPRP en vous abonnant à notre fil RSS.
- Date de modification :