Cadre juridique

Loi sur la protection des renseignements personnels (L.R.C. (1985), ch. P-21)

Lien : Loi sur la protection des renseignements personnels

Aperçu

• La Loi sur la protection des renseignements personnels (LPRP) est la loi qui établit le droit à la vie privée des personnes interagissant avec le gouvernement fédéral. Elle régit la façon dont les institutions fédérales recueillent, utilisent et communiquent des renseignements personnels. Elle confère aussi à la personne le droit d’accéder aux renseignements personnels que détient le gouvernement fédéral à son sujet.
• La LPRP s’applique à toutes les institutions fédérales énumérées en annexe de celle-ci, aux sociétés d’État, et au CPVP lui‑même.
• Le CPVP enquête sur les plaintes déposées aux termes de la LPRP contre des institutions fédérales et, après enquête, il fait rapport de ses conclusions et recommandations au plaignant et à l’institution mise en cause. Le CPVP a aussi le pouvoir de vérifier, de sa propre initiative, qu’une institution fédérale respecte la LPRP.
• Au terme de l’enquête du CPVP, la personne ou, dans certains cas, le CPVP peut demander à la Cour fédérale d’examiner la décision d’une institution fédérale de lui refuser l’accès aux renseignements personnels la concernant. La LPRP ne prévoit pas de mécanisme précis permettant de porter d’autres affaires – comme la collecte, l’utilisation ou la communication de renseignements personnels par une institution fédérale – devant la Cour fédérale.
• Un commissaire spécial à la protection de la vie privée nommé par le CPVP vérifie que le CPVP respecte lui aussi ses obligations découlant de la LPRP.
• Le président du Conseil du Trésor est chargé, entre autres, de donner des instructions et des lignes directrices aux institutions fédérales concernant l’application de la Loi et de son règlement.
• Le ministre de la Justice est responsable de certains règlements pris en vertu de la LPRP, ainsi que du processus de réforme de celle-ci.

Principales dispositions

• Les institutions fédérales ne peuvent recueillir que les renseignements personnels qui ont un lien direct avec leurs programmes ou activités – article 4.
• De plus, les institutions fédérales sont généralement tenues de recueillir auprès de la personne elle‑même les renseignements personnels destinés à des fins administratives la concernant – paragraphe 5(1).
• La personne doit être informée des fins auxquelles les renseignements sont recueillis, sous réserve de certaines exceptions – paragraphe 5(2).
• Les institutions fédérales ne doivent utiliser et communiquer des renseignements personnels qu’avec le consentement de l’intéressé, et uniquement aux fins auxquelles les renseignements ont été obtenus ou à des fins compatibles avec celles-ci, ou encore en application d’une exception – articles 7 et 8.
• Les renseignements personnels qui sont utilisés à des fins administratives doivent être conservés pendant une période réglementaire et gardés suffisamment exacts – paragraphes 6(1) et 6(2).
• Les institutions fédérales sont tenues de procéder au retrait des renseignements personnels relevant d’elles conformément aux instructions ou aux directives émises par le président du Conseil du Trésor – paragraphe 6(3).
• Les institutions fédérales doivent verser les renseignements personnels dans des fichiers de renseignements personnels et décrire le contenu de ces fichiers dans un répertoire publié par le président du Conseil du Trésor – articles 10 et 11.
• Les institutions fédérales doivent donner à une personne l’accès aux renseignements personnels la concernant, sous réserve de certaines exceptions – articles 12 à 28.

Pour en savoir plus

• Aperçu des lois sur la protection des renseignements personnels au Canada
• Survol de la Loi sur la protection des renseignements personnels
• À quoi s’attendre au cours d’une enquête sur une plainte en vertu de la Loi sur la protection des renseignements personnels

Préparé par : Direction des services juridiques

---

Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5)

Lien : Loi sur la protection des renseignements personnels et les documents électroniques

Aperçu

• La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale sur la protection des renseignements personnels dans le secteur privé. Elle établit les règles de base concernant la façon dont les entreprises doivent traiter les renseignements personnels dans le cadre d’activités commerciales. La LPRPDE protège également les renseignements personnels des employés d’installations, d’ouvrages et d’entreprises fédérales (p. ex., banques, entreprises de télécommunications, chemins de fer).
• L’annexe 1 de la LPRPDE énonce divers « principes d’honnêteté en matière de renseignements » que doivent respecter les organisations, conformément au paragraphe 5(1).
• Ces principes ont d’abord été énoncés dans un code modèle produit par l’Association canadienne de normalisation.
• On a dit d’ailleurs que [Traduction] « le Code est au cœur de la Loi, et il est essentiel de le lire en premier pour comprendre comment s’applique l’ensemble des dispositions législatives ».^{Note de bas de page 1}
• La partie 1 de la LPRPDE énonce des obligations supplémentaires et des modifications à l’annexe.
• Le CPVP enquête sur les plaintes, effectue des vérifications en application de la LPRPDE et fait rapport de ses conclusions et recommandations. À la fin d’une enquête, le plaignant ou, dans certains cas, le CPVP peut porter l’affaire devant la Cour fédérale.
• La LPRPDE s’applique à toutes les organisations menant des activités commerciales, à quelques exceptions près, et qui ont un lien réel et substantiel avec le Canada. S’il a été déclaré qu’une province a des lois essentiellement similaires, la LPRPDE ne s’y applique pas à la collecte, à l’utilisation ou à la communication de renseignements personnels, mais elle continue de s’appliquer aux renseignements recueillis, utilisés ou communiqués d’une province à l’autre ou d’un pays à l’autre. Consultez : Lois provinciales qui peuvent s’appliquer à la place de la LPRPDE.
• Le ministre de l’Innovation, des Sciences et du Développement économique est le ministre responsable de la LPRPDE.

Principales dispositions

• Une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins acceptables – paragraphe 5(3).
• Les organisations doivent avoir obtenu un consentement valable pour la collecte, l’utilisation et la communication de renseignements personnels et en avoir indiqué les fins à l’avance – article 6.1; articles 4.2 et 4.3 de l’annexe 1.
• Toutefois, les organisations peuvent recueillir, utiliser et communiquer des renseignements personnels sans consentement dans certaines circonstances définies – articles 7 à 7.4.
• Les organisations sont responsables des renseignements personnels qu’elles détiennent et doivent faire preuve de transparence au sujet de leurs politiques et de leurs pratiques – articles 4.1 et 4.8 de l’annexe 1.
• Les organisations doivent limiter leur collecte de renseignements personnels à ce qui est nécessaire aux fins déterminées et limiter leur utilisation et leur communication à ces fins – articles 4.4 à 4.5 de l’annexe 1). On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées – articles 4.5 de l’annexe 1.
• Les organisations doivent s’assurer que les renseignements personnels sont suffisamment exacts – article 4.6 de l’annexe 1.
• Les organisations doivent avoir établi des mesures de sécurité pour la protection des renseignements personnels et aviser les personnes concernées et le CPVP de toute atteinte aux mesures de sécurité qui présente un risque réel de préjudice grave à leur endroit – articles 10.1 à 10.3; article 4.7 de l’annexe 1.
• Les organisations doivent permettre aux personnes qui le demandent d’accéder aux renseignements personnels les concernant, sous réserve de certaines exceptions – article 4.9 de l’annexe 1; articles 8 à 10.
• Les organisations doivent avoir des procédures permettant à une personne de porter plainte pour non-respect des principes de l’annexe 1 – article 4.10 de l’annexe 1.

Pour en savoir plus

• Aperçu des lois sur la protection des renseignements personnels au Canada
• Survol de la LPRPDE
• Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE
• Bulletins sur l’interprétation de la LPRPDE
• Guide sur le processus de traitement des plaintes en vertu de la LPRPDE

Préparé par : Direction des services juridiques

---

Loi sur l’accès à l’information (L.R.C. (1985), ch. A-1)

Lien : Loi sur l’accès à l’information

Aperçu

• La Loi sur l’accès à l’information (LAI) prévoit un droit d’accès aux documents du gouvernement, sous réserve de certaines exceptions.
• Le CPVP est assujetti à la LAI et doit répondre en temps opportun aux demandes d’accès à l’information qu’il reçoit. La LAI exige également que certains documents du CPVP soient publiés de façon proactive.
• C’est le commissaire à l’information et, ultimement, la Cour fédérale qui veillent au respect de la LAI.
• Le commissaire à l’information peut consulter le CPVP et, dans certains cas, est tenu de le faire lorsqu’il examine le refus d’une institution fédérale de communiquer des renseignements personnels à un demandeur.

Principales dispositions

• Le CPVP est tenu de refuser de communiquer tout document demandé en application de la LAI qui contient des renseignements obtenus ou créés par lui dans le cadre d’une enquête ou d’une vérification – paragraphe 16.1(1). Toutefois, une fois que l’enquête ou la vérification et toutes les instances afférentes, le cas échéant, sont terminées, le CPVP ne peut invoquer cette disposition pour refuser de communiquer un document contenant des renseignements créés par lui ou pour son compte dans le cadre d’une enquête ou d’une vérification – paragraphe 16.1(2).
• La LAI établit les procédures entourant la consultation du CPVP par le commissaire à l’information au cours de ses enquêtes, et la participation du CPVP aux procédures subséquentes en Cour fédérale – dispositions 35(2), 36(1.1), 36.2, 37(2), 41(4) et 41.2.

Informations supplémentaires

• Le CPVP et le Commissariat à l’information du Canada ont conclu un protocole d’entente en 2020 portant sur les consultations entre leurs bureaux dans le cadre d’enquêtes menées en application de la LAI.

Préparé par : Direction des services juridiques

---

« Loi canadienne anti-pourriel »

Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications (L.C. 2010, ch. 23)

Lien : Loi canadienne anti-pourriel

Aperçu

• La Loi canadienne anti-pourriel (LCAP) est la loi fédérale qui traite des pourriels et d’autres menaces électroniques.
• Le CPVP partage avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau de la concurrence fédéral la responsabilité de faire respecter la LCAP.
• Le CRTC est responsable des règles de fond de la LCAP concernant l’envoi de messages électroniques commerciaux, la modification des données de transmission et l’installation de programmes informatiques sans consentement.
• Pour le CPVP, le principal effet de la LCAP est l’introduction de règles découlant de la LPRPDE en ce qui concerne la collecte d’adresses électroniques et les logiciels espions.
• La LCAP confère également au Commissariat le pouvoir de coordonner ses activités et de coopérer avec le CRTC, le Bureau de la concurrence et ses homologues internationaux.

Principales dispositions

• Une organisation ne peut généralement pas invoquer d’exceptions à la LPRPDE lorsqu’elle recueille et utilise des adresses électroniques au moyen d’un programme informatique (collecte d’adresses) ou lorsqu’elle recueille et utilise des renseignements personnels au moyen d’un accès illégal à un système informatique (logiciels espions). – LPRPDE, article 7.1.

Pour en savoir plus

• Responsabilités incombant au Commissariat en vertu de la LCAP

Préparé par : Direction des services juridiques

---

Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (L.C. 2019, ch. 13, art. 2) et Loi sur la communication d’information ayant trait à la sécurité du Canada (L.C. 2015, ch. 20, art. 2)

Lien :

• Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement
• Loi sur la communication d’information ayant trait à la sécurité du Canada

Aperçu

• L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR), établi en 2019, a le mandat législatif d’examiner les activités du Service canadien du renseignement de sécurité et du Centre de la sécurité des télécommunications.
• L’OSSNR a aussi pour mandat d’examiner les activités de sécurité nationale et de renseignement d’autres ministères et organismes fédéraux, ainsi que les questions dont il est saisi par un ministre. Cela comprend, sans s’y limiter, la Gendarmerie royale du Canada, le ministère de la Défense nationale et le ministère de la Justice.
• Les communications d’institutions fédérales en lien avec la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) sont aussi examinées par l’OSSNR.
• La Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (LOSSNR) et la LPRP autorisent la coordination des enquêtes du CPVP et des examens de l’OSSNR.
• La LCISC a pour objet « d’encourager les institutions fédérales à communiquer entre elles de l’information et de faciliter une telle communication, afin de protéger le Canada contre des activités portant atteinte à la sécurité du Canada ».

Principales dispositions

LOSSNR

• Les paragraphes 15.1(1) de LOSSNR et 37(5) de la Loi sur la protection des renseignements personnels autorisent la coordination des examens de l’OSSNR et des enquêtes du CPVP.

LCISC

• Le paragraphe 5(1) de la LCISC autorise la communication d’information liée à la sécurité nationale aux responsables des institutions fédérales figurant en annexe.
• L’alinéa 5(1)a) exige « que la communication aidera à l’exercice de la compétence ou des attributions de l’institution fédérale destinataire prévues par une loi fédérale ou une autre autorité légitime à l’égard d’activités portant atteinte à la sécurité du Canada ».
• L’alinéa 5(1)b), dont le CPVP a examiné l’application conjointement avec l’OSSNR en 2020, exige que « l’incidence [...] sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances ». [Caviardé]

Informations supplémentaires

• En juin 2021, l’OSSNR et le CPVP ont signé un protocole d’entente venant appuyer l’intention des deux bureaux de collaborer sur des questions d’intérêt mutuel (Protocole d’entente concernant la coordination des activités entre le Commissariat à la protection de la vie privée du Canada et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement). Ce protocole d’entente énonce les procédures, les rôles et les responsabilités entourant la coordination des activités et l’échange d’information dans le cadre de la collaboration entre le CPVP et l’OSSNR.

Préparé par : Direction des services juridiques

---

Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes et règlements connexes (L.C. 2000, ch. 17)

Lien : Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes et règlements connexes

Aperçu

• La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) impose aux organisations lui étant assujetties certaines activités de conformité, comme l’identification des clients et la tenue de documents. De plus, certaines opérations doivent être déclarées au Centre d’analyse des opérations et déclarations financières du Canada (CANAFE).
• Le CANAFE est tenu de se conformer à la LPRP et aux obligations particulières de la LRPCFAT concernant la collecte, l’utilisation et la communication des renseignements qu’il reçoit.
• Tous les deux ans, conformément au paragraphe 72(2) de la LRPCFAT, le CPVP est tenu d’examiner les mesures prises par le CANAFE pour protéger les renseignements qu’il reçoit ou recueille en vertu de la LRPCFAT, et de faire rapport au Parlement des résultats de cet examen.

Principales dispositions

• Les entités assujetties à la LRPCFAT sont tenues de déclarer les opérations douteuses au CANAFE – article 7.
• La LRPCFAT précise les rapports et les renseignements que le CANAFE doit recevoir, évaluer et analyser, ainsi que le moment où il peut en disposer – article 54.
• La LPRPDE prévoit une exception au consentement à la communication de renseignements au CANAFE – LPRPDE, alinéa 7(3)c.2).

Pour en savoir plus

• Rapport annuel au Parlement 2020-2021, Annexe 6 : Examen du Centre d’analyse des opérations et déclarations financières du Canada
• La LPRPDE et la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT)

Préparé par : Direction des services juridiques

---