Questions et réponses supplémentaires
Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) du 1er février 2024
Table des matières
- Q1. Quels sont ces outils? Comment fonctionnent-ils? [TA]
- Q2. Quels sont les inconvénients liés à l’utilisation de ces outils? Que doivent savoir les Canadiens? [TA]
- Q3. Dans quelle mesure ces outils sont-ils disponibles au Canada? Sommes-nous préoccupés par leur disponibilité au Canada? [TA]
- Q4. Que font les autres pays et les autorités chargées de la protection des données (APD) concernant ces outils, le cas échéant? [PRAP]
- Q5. Qu’a fait le CPVP après la publication de l’article de la SRC? [SCIF]
- Q6. Sommes-nous satisfaits des réponses fournies par les ministères? [SCIF]
- Q7. Quelles sont nos principales préoccupations? [SCIF/TA]
- Q8. Sur la base de ce que nous savons, les allégations contenues dans l’article de la SRC sont-elles (ou non) fondées? [SCIF]
- Q9. Quel est l’état d’avancement du dossier sur les outils d’enquête sur appareil (OEA)? Ce problème est-il résolu? Sommes-nous rassurés de savoir que Pegasus n’est pas disponible pour le secteur public? Avons-nous des enquêtes en cours à ce sujet? [CONFORMITÉ/TA/SCIF]
- Q10. Quel a été l’engagement du CPVP à l’égard du Programme national d’intégration des technologies (PNIT) de la GRC? [AG/Conformité]
- Q11. Si une organisation consultait SCG et utilisait des outils de criminalistique numériques de la même manière que le CPVP, SCG conclurait-il à la nécessité de mener une EFVP? [SCIF/TA]
- Q12. En ce qui concerne les ministères répertoriés dans le rapport de la SRC, quelles sont les diverses façons dont ces outils sont utilisés (c’est-à-dire les types de programmes ou d’activités)? Lesquels nécessitent une EFVP? Les ministères ont-ils effectué une EFVP lorsqu’ils étaient censés le faire et ont-ils informé le CPVP du programme? [SCIF]
- Q13. Combien de temps faut-il pour réaliser une EFVP? Qu’implique la préparation d’une EFVP? [SCIF]
- Q14. Qu’a fait le CPVP pour cerner et atténuer les répercussions sur la vie privée découlant de l’utilisation d’outils de criminalistique numériques? [TAD]
- Q15. Pouvez-vous fournir des exemples d’outils de criminalistique numériques et établir une différence avec les logiciels espions? [TAD]
- Q16. Que pensez-vous des « actions clés en matière d’IA » des États-Unis suite au décret exécutif du président Biden sur l’IA? [PRAP]
- Q17. Avez-vous des inquiétudes quant à la façon dont cette technologie a été acquise? Le processus général d’approvisionnement du gouvernement du Canada, tel qu’il se présente actuellement, prévoit-il suffisamment de mesures de protection de la vie privée? [SCIF]
- Q18. Les employés ont-ils des attentes en matière de respect de la vie privée lorsqu’ils utilisent leur téléphone ou leur ordinateur au travail? Un employeur peut-il fouiller leurs appareils sans mandat et sans que la personne le sache ou n’y consente? Une autorisation judiciaire est-elle nécessaire pour ce type d’activités? Est-il vrai que les données contenues dans les appareils du gouvernement appartiennent à l’employeur? Quelles sont les obligations de l’employeur fédéral en matière de protection de la vie privée en vertu de la Loi sur la protection de la vie privée en ce qui concerne la surveillance des employés? [PRAP/juridique]
- Q19. Ce qui est rapporté dans les médias est-il cohérent avec ce que les ministères ont dit au CPVP en termes d’utilisation de ces outils? [SCIF]
- Q20. Est-il possible d’utiliser des outils de criminalistique numériques sur l’appareil d’une personne à son insu (c’est-à-dire subrepticement ou à distance)? [TAD]
- Q21. Donnez quelques exemples où les ministères pourraient utiliser les outils de criminalistique numériques de manière appropriée (en supposant qu’ils aient réalisé une EFVP)? [TOUT LE MONDE]
- Q22. Si la Loi sur la gestion des finances publiques autorise le président de Services partagés Canada (SPC) à mener ce type d’enquêtes, est-il toujours nécessaire de procéder à une EFVP? [Services juridiques/GA]
- Q23. Quelles sont les meilleures pratiques recommandées par le CPVP pour garantir la sécurité des renseignements personnels saisis? [GA/TAD]
- Q24. Donnez-nous un exemple, au cours des cinq dernières années, d’un ministère qui a effectué une EFVP et qui nous a consultés avant le déploiement d’un outil de criminalistique numérique? [GA]
- Q25. La Loi sur la protection des renseignements personnels dans le secteur privé du Québec comporte-t-elle des obligations en matière d’emploi? [Juridique]
- Q26. La résolution FPT sur la protection de la vie privée des employés sur les lieux de travail modernes s’applique-t-elle dans ce cas? [PRAP].
- Q27. L’Assemblée mondiale pour la protection de la vie privée (AMPVP) a-t-elle adopté une résolution sur la protection de la vie privée des employés? [PRAP]
- Q28. Quels sont les critères que vous prenez en compte pour déterminer s’il y a lieu d’ouvrir une enquête à l’initiative du commissaire? [Conformité]
- Q29. Les trois institutions qui ont soumis une EFVP l’ont-elles soumise au CPVP (ou seulement au SCT) et, dans l’affirmative, en sont-elles satisfaites? [GA]
Q1. Quels sont ces outils? Comment fonctionnent-ils? [TA]
- Les outils de criminalistique numériques (OCN) peuvent être considérés comme un ensemble de solutions logicielles et matérielles spécialisées utilisées pour saisir et analyser des preuves numériques (p. ex. disques durs, téléphones cellulaires, etc.) à l’appui d’une enquête ou dans le cadre de l’analyse technique d’un système donné.
- Lorsqu’ils sont utilisés en combinaison avec des procédures établies/documentées concernant l’acquisition, la manipulation, le traitement, le stockage et l’élimination des preuves numériques, ces outils peuvent aider à tirer des conclusions susceptibles de faire l’objet d’une contestation judiciaire.
- Grâce aux outils de criminalistique numériques, il est possible :
- d’extraire et d’examiner l’intégralité des fichiers d’un dispositif donné (par exemple, le disque dur d’un ordinateur portable ou d’un serveur, ou un téléphone cellulaire) d’une manière qui soit valide sur le plan de l’expertise judiciaire;
- de récupérer des données supprimées;
- d’analyser les propriétés et les métadonnées d’un fichier donné, telles que, sans s’y limiter, la date de création, de modification ou de suppression du fichier; s’il s’agit d’un fichier exécutable, d’une image, d’un document Word ou d’un autre type de fichier;
- de créer une chronologie d’événements, par exemple lorsque des comptes d’utilisateurs ont été utilisés, que des sites Web ont été consultés, que des attributs du système d’exploitation ont été modifiés, que des programmes lancés automatiquement au démarrage de l’ordinateur ont été créés et exécutés pour la dernière fois; et bien d’autres choses encore;
- de vérifier que les preuves acquises précédemment ont été adéquatement expurgées (« nettoyées ») avant d’être éliminées.
- Les logiciels espions et les outils d’enquête sur appareil (OEA) partagent souvent les mêmes capacités techniques, comme la possibilité d’enregistrer secrètement les frappes au clavier, d’activer un microphone ou une caméra, de réaliser des captures d’écran, d’exfiltrer des fichiers, etc.
- La principale différence réside dans le fait que les logiciels espions sont déployés illégalement, alors que les OEA sont déployés en vertu d’une autorisation judiciaire, comme un mandat de perquisition, par des entités comme des organismes d’application de la loi.
Q2. Quels sont les inconvénients liés à l’utilisation de ces outils? Que doivent savoir les Canadiens? [TA]
- L’article initial de la CBC qualifiait à tort les outils de criminalistique numériques de « logiciels espions » utilisés par 13 ministères du gouvernement du Canada. Cette affirmation tend à faire croire aux Canadiens qu’un grand nombre de ministères se livrent à une surveillance secrète et non autorisée des Canadiens et qu’ils agissent au-delà du mandat qui leur a été confié par la loi, ce qui est tout à fait inexact.
- Il est important de noter que les outils de criminalistique numériques NE SONT PAS des logiciels espions. Ils sont utilisés de manière délibérée et manifeste pour soutenir divers mandats législatifs. Dans certains cas, comme l’utilisation d’outils de criminalistique numériques par des organismes d’application de la loi, des autorisations supplémentaires doivent être demandées, comme un mandat de perquisition pour recueillir des preuves numériques (par exemple, des ordinateurs portables, des ordinateurs de bureau, des téléphones cellulaires).
- Ces outils sont également utilisés pour protéger les Canadiens et leurs données, par exemple au cours d’une enquête sur une cyberinfraction.
Q3. Dans quelle mesure ces outils sont-ils disponibles au Canada? Sommes-nous préoccupés par leur disponibilité au Canada? [TA]
- Les outils de criminalistique numériques sont largement disponibles au Canada.
- Ils sont utilisés par les organismes d’application de la loi, les ministères du gouvernement du Canada dans le cadre de l’exécution de leur mandat législatif ou d’enquêtes administratives, les intervenants en cas d’incidents cybernétiques, les chercheurs en matière de cybersécurité et de protection de la vie privée (y compris les universitaires), les cabinets d’avocats et les spécialistes de la récupération des données.
- Alors qu’un certain nombre d’outils de criminalistique numériques peuvent être achetés par n’importe qui, certains étant même de source ouverte, d’autres (ou certaines fonctionnalités) sont réservés aux organismes d’application de la loi et aux organismes gouvernementaux.
- Le CPVP ne craint pas la disponibilité en soi des outils de criminalistique numériques au Canada. Cependant, le Commissariat pourrait avoir des inquiétudes quant à la manière dont les outils de criminalistique numériques sont utilisés par les organisations et à la mise en place de mesures appropriées en matière de protection de la vie privée.
Q4. Que font les autres pays et les autorités chargées de la protection des données (APD) concernant ces outils, le cas échéant? [PRAP]
- L’utilisation de logiciels espions, et en particulier de Pegasus, a fait l’objet d’une grande attention ces dernières années. Il convient de noter un rapport du Conseil de l’Europe datant de 2022 qui porte sur Pegasus et ses répercussions sur les droits de la personne, y compris le respect de la vie privée.Note de bas de page 1
- En 2021, le Commissariat à l’information (ICO) du Royaume-Uni a publié un rapport d’enquête sur l’extraction de données de téléphones cellulaires par la police, dans lequel il formule un certain nombre de recommandations pertinentes, notamment que la police traite les renseignements personnels de manière équitable, transparente et légale, et que seules les données nécessaires sont recueillies.Note de bas de page 2
- De façon plus générale, en 2021, l’Assemblée mondiale sur la protection de la vie privée a adopté une résolution (que nous avons parrainée) décrivant les conditions permettant de garantir que tout type d’accès légitime des autorités publiques aux renseignements personnels détenus par le secteur privé à des fins liées à la sécurité nationale ou à la sûreté publique contribue également à la préservation du droit à la vie privée et au soutien de l’État de droit.Note de bas de page 3
- Cette résolution appelle également les gouvernements et les organisations internationales à engager des discussions visant à réglementer la vente, l’exportation et l’utilisation de technologies permettant un accès particulièrement intrusif et disproportionné aux données personnelles des individus, en particulier au contenu et aux données des communications électroniques.
Q5. Qu’a fait le CPVP après la publication de l’article de la SRC? [SCIF]
- Après la publication de l’article de la SRC, Services-conseils au gouvernement (SCG) a envoyé une demande d’information à treize institutions fédérales en réponse à la couverture médiatique de leur utilisation d’outils technologiques capables d’extraire secrètement des données personnelles à partir d’appareils mobiles.
- Nous avons demandé à chaque institution de répondre à trois questions :
- Quel programme utilise la technologie citée dans l’article?
- Des renseignements personnels sont-ils recueillis dans le cadre du programme?
- Quelles évaluations de la protection de la vie privée ont été réalisées pour ce programme et la technologie connexe?
Q6. Sommes-nous satisfaits des réponses fournies par les ministères? [SCIF]
- SCG a reçu des réponses à notre demande d’information de la part des treize institutions énumérées dans la motion de l’ETHI.
- Nous sommes convaincus que les institutions qui ont répondu ont fourni des réponses raisonnablement complètes à nos questions.
- Nous constatons que les équipes chargées de l’Accès à l’information et de la protection des renseignements personnels (AIPRP) de nombreuses institutions semblent ne pas avoir été informées de l’utilisation de ces outils et ont dû effectuer leurs propres exercices d’établissement des faits auprès des équipes chargées des programmes.
- Bien que nous soyons déçus d’apprendre que, dans certains cas, les évaluations des facteurs relatifs à la vie privée (EFVP) n’ont pas été effectuées alors qu’elles auraient dû l’être, il est encourageant de constater que la plupart de ces institutions ont entamé ce travail à l’heure actuelle.
Q7. Quelles sont nos principales préoccupations? [SCIF/TA]
- La plupart des programmes décrits par les institutions dans leurs réponses satisfont clairement aux conditions requises pour faire l’objet d’une évaluation des facteurs relatifs à la vie privée (EFVP). En effet, ces programmes recueillent des renseignements personnels en vue de prendre des décisions administratives à l’égard de personnes. Malgré cela, la plupart des institutions n’ont pas réalisé ou mis à jour des EFVP avant d’utiliser ces outils technologiques.
- Il semble y avoir un manque de sensibilisation et de motivation pour réaliser des EFVP complètes dans l’ensemble des secteurs de programmes. Cela s’explique peut-être du fait que les EFVP relèvent actuellement d’une politique et non d’une obligation légale.
- Cette constatation renvoie à une préoccupation de plus grande ampleur, à savoir qu’il n’est pas urgent de procéder à des EFVP avant de lancer des programmes ou de s’engager dans des activités portant atteinte à la vie privée. Cela peut également s’expliquer par le manque de ressources disponibles pour les mener à bien.
Q8. Sur la base de ce que nous savons, les allégations contenues dans l’article de la SRCNote de bas de page 4 sont-elles (ou non) fondées? [SCIF]
- Toutes les institutions qui ont répondu à notre demande d’information, sauf une, ont confirmé qu’elles utilisaient les outils technologiques en question pour recueillir des renseignements personnels. SCG peut confirmer que parmi les institutions qui ont répondu, seules trois d’entre elles ont réalisé une EFVP formelle aux fins d’examen par le CPVP en janvier 2024.
- Bien que la description de la technologie en tant que « logiciel espion » ne soit pas tout à fait juste, il appert, sur la base des informations que nous avons reçues des institutions, que bon nombre de ces institutions fédérales n’ont pas effectué d’EFVP alors qu’elles auraient dû le faire.
- Nous ne disposons pas des détails complets du programme, mais seulement des réponses qui nous ont été fournies au cours des dernières semaines, depuis la publication de l’article. Notre évaluation se fonde uniquement sur ces réponses et non sur un examen ou une consultation approfondie.
Q9. Quel est l’état d’avancement du dossier sur les outils d’enquête sur appareil (OEA)? Ce problème est-il résolu? Sommes-nous rassurés de savoir que Pegasus n’est pas disponible pour le secteur public? Avons-nous des enquêtes en cours à ce sujet? [CONFORMITÉ/TA/SCIF]
- Actuellement, nous n’avons aucune enquête liée aux OEA ou à Pegasus.
- Les organisations et les institutions doivent s’assurer de respecter les exigences en matière de protection de la vie privée lors de l’utilisation de technologies.
- Peu après ma comparution devant le Comité ETHI dans le cadre de son étude sur les outils d’enquête sur appareil utilisés par la GRC en août 2022, le Commissariat a bénéficié d’une séance d’information de la GRC sur son utilisation des outils d’enquête sur appareil.
- Lors de cette réunion et au cours de l’année qui a suivi, nous avons rappelé à la GRC la nécessité de soumettre une évaluation des facteurs relatifs à la vie privée.
- Nous avons reçu l’EFVP le 12 septembre 2023 et émis une lettre de recommandation le 4 décembre 2023.
- (caviardé).
- Nous avons demandé aux institutions de fournir une réponse à nos recommandations pour le 12 février 2024. Nous effectuerons un suivi si nous ne recevons pas de réponse à cette date.
Q10. Quel a été l’engagement du CPVP à l’égard du Programme national d’intégration des technologies (PNIT) de la GRC? [AG/Conformité]
- Depuis 2021, soit depuis que SCG et l’Unité de surveillance de la conformité (USC) ont assisté à une présentation sur le PNIT, le CPVP s’est engagé auprès de la GRC concernant la réalisation de son PNIT.
- L’USC du CPVP a collaboré régulièrement avec la GRC pendant plus d’un an afin de surveiller et d’évaluer la mise en œuvre des recommandations formulées à la suite de notre enquête sur l’utilisation de Clearview AI par la GRC. Au cours de ces réunions, l’USC a reçu des mises à jour régulières sur le PNIT et, à son tour, a fourni des commentaires et des conseils.
- SCG a également fourni des conseils sur le PNIT et a été informée de son utilisation lors de consultations sur des technologies ayant fait l’objet de processus du PNIT.
- Le 31 mars 2023, nous avons clôturé le dossier de l’USC après avoir déterminé que la GRC avait mis en œuvre nos recommandations de manière satisfaisante.
Contexte :
- Le PNIT est né en partie de l’enquête du CPVP sur l’utilisation par la GRC de la technologie de reconnaissance faciale de Clearview AI. La GRC a reconnu qu’elle ne disposait pas d’un système centralisé lui permettant de trouver, d’évaluer et de faire le suivi des technologies nouvelles et en émergence. (Lien en référence)
Engagement de la CMU :
- En se fondant sur l’enquête sur Clearview, nous avons formulé huit recommandations que la GRC a accepté de mettre en œuvre. Par exemple, la recommandation 3 exigeait que, dans un délai de 12 mois, la GRC mette en place des systèmes et des procédures pour s’assurer que toutes les nouvelles collectes de renseignements personnels au sein de la GRC fassent l’objet d’un suivi interne fiable, de telle sorte que ces systèmes et ces procédures puissent éclairer, de manière significative, le processus décisionnel de la GRC concernant ces collectes, et qu’ils puissent également en être éclairés. (Lien en référence)
- (caviardé)
- (caviardé)
Enquête concernant le projet Wide Awake (PWA)
- Le Commissariat mène actuellement une enquête sur une plainte concernant le projet Wide Awake de la GRC (collecte de renseignements de source ouverte). Étant donné que l’enquête est en cours, nous ne pouvons fournir aucun autre renseignement.
Q11. Si une organisation consultait SCG et utilisait des outils de criminalistique numériques de la même manière que le CPVP, SCG conclurait-il à la nécessité de mener une EFVP? [SCIF/TA]
- Non, une EFVP ne serait pas nécessaire si une organisation utilisait des outils de criminalistique numériques de la même manière que le CPVP.
- Le CPVP n’utilise pas d’outils de criminalistique numériques pour prendre une décision concernant une personne.
- Les EFVP sont menées sur des programmes plutôt que sur des outils, et cet outil ne représente pas une modification substantielle de nos processus d’enquête actuels.
- Cela dit, nous discutons actuellement de la possibilité d’entreprendre une EFVP pour le Programme de conformité du CPVP, et ce pour diverses raisons, notamment les changements potentiels apportés aux processus qui pourraient résulter de la mise en œuvre du projet de loi C-27, le fait que le Programme de conformité n’a jamais fait l’objet d’une EFVP et l’utilisation croissante d’outils technologiques pour soutenir notre travail.
- Les EFVP sont des documents « évolutifs ». Nous encourageons les institutions à évaluer si une nouvelle EFVP ou une EFVP mise à jour devrait ou pourrait être menée, de façon continue, sur un programme de longue date. L’introduction de nouveaux outils pourrait être l’occasion d’entamer ces discussions.
Contexte
- Comme le Programme de conformité du CPVP a vu le jour avant l’obligation de mener une EFVP (2002), il n’a fait l’objet d’aucune EFVP. SCG recommande souvent aux institutions, lors de l’introduction d’un outil technologique ou d’une modification à un programme de longue date, d’examiner s’il est possible de procéder à une EFVP pour l’ensemble des programmes qui n’ont peut-être jamais été évalués en fonction des risques d’atteinte à la vie privée, puisqu’ils ont vu le jour avant l’entrée en vigueur de l’exigence.
Q12. En ce qui concerne les ministères répertoriés dans le rapport de la SRC, quelles sont les diverses façons dont ces outils sont utilisés (c’est-à-dire les types de programmes ou d’activités)? Lesquels nécessitent une EFVP? Les ministères ont-ils effectué une EFVP lorsqu’ils étaient censés le faire et ont-ils informé le CPVP du programme? [SCIF]
- Les outils de criminalistique numériques sont actuellement utilisés par les ministères répertoriés dans le rapport de la SRC, soit pour exercer leur mandat d’exécution de la loi, soit pour des enquêtes administratives ou des activités de cybersécurité ou par des spécialistes de la récupération de données.
- Les renseignements personnels recueillis sont principalement utilisés à l’appui d’enquêtes, ou dans le cadre de l’analyse technique d’un système donné.
Lesquels nécessitent une EFVP?
- Bureau de la sécurité des transports (BST) : Oui, le BST utilise des outils de criminalistique numériques dans le cadre de son programme d’enquête sur les transports. L’utilisation de ces outils devrait faire l’objet d’une EFVP, car elle peut conduire à la prise d’une décision à l’égard d’une personne.
- Environnement et Changement climatique Canada (ECCC) : Oui, sur autorisation des tribunaux dans le cadre d’un mandat de perquisition, ECCC utilise des outils de criminalistique numériques au cours de leurs enquêtes pour leurs programmes d’exécution de la loi et du renseignement. L’utilisation de ces outils devrait faire l’objet d’une EFVP.
- Agence des services frontaliers du Canada (ASFC) : Oui, l’ASFC utilise des outils de criminalistique numériques dans le cadre de son programme d’enquêtes criminelles. L’utilisation de ces outils devrait faire l’objet d’une EFVP, car elle peut conduire à la prise d’une décision à l’égard d’une personne.
- Pêches et Océans Canada (MPO) : Oui, Pêches et Océans Canada utilise des outils de criminalistique numériques pour son programme de conservation et de protection et son programme de cybersécurité. L’utilisation de ces outils devrait faire l’objet d’une EFVP, car elle peut conduire à la prise d’une décision à l’égard d’une personne.
- Agence du revenu du Canada (ARC) : Oui, l’ARC utilise ces outils de criminalistique numériques dans le cadre de son programme d’enquêtes criminelles. L’utilisation de ces outils devrait faire l’objet d’une EFVP, car les renseignements personnels recueillis peuvent conduire à la prise d’une décision à l’égard d’une personne.
- Gendarmerie royale du Canada (GRC) : Oui, la GRC utilise les outils de criminalistique numériques principalement dans le cadre de son programme national de criminalistique numérique pour remplir ses mandats en matière d’enquêtes criminelles et de sécurité nationale, et de police de protection. Cela nécessiterait une EFVP, car les renseignements personnels recueillis peuvent conduire à la prise d’une décision à l’égard d’une personne.
- Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) : Oui, le CRTC utilise des outils de criminalistique numériques pour faire respecter la Loi canadienne anti-pourriel (LCAP). Ces outils sont utilisés dans des circonstances très strictes et limitées, dans le cadre d’enquêtes, et uniquement avec un mandat approuvé par un juge de paix. Le CRTC a effectué une EFVP en 2014.
- Défense nationale (MDN) : Oui, le MDN utilise les outils de criminalistique numériques pour appuyer les activités de défense légitime et au cours d’enquêtes licites. Cela devrait faire l’objet d’une EFVP, si les renseignements personnels recueillis peuvent conduire à la prise d’une décision à l’égard d’une personne. Cependant, il n’est pas certain que ce soit le cas d’après les réponses reçues.
- Services partagés Canada (SPC) : Oui, SPC utilise les outils de criminalistique numériques pour leurs enquêtes administratives portant sur les employés du gouvernement. Cette utilisation devrait faire l’objet d’une EFVP, car les renseignements personnels recueillis peuvent conduire à la prise d’une décision à l’égard d’une personne. Cependant, il n’est pas certain que ce soit le cas d’après les réponses reçues.
- Ressources naturelles Canada (RNCan) : Non, RNCan n’utilise pas les outils de criminalistique numériques achetés. Aucune EFVP n’est donc nécessaire tant que RNCan n’utilisera pas ces outils.
- Affaires mondiales Canada (AMC) : Oui, AMC utilise les outils de criminalistique numériques pour mener des enquêtes administratives portant sur les employés du gouvernement. L’utilisation de ces outils devrait faire l’objet d’une EFVP, car les renseignements personnels recueillis peuvent conduire à la prise d’une décision à l’égard d’une personne. Cependant, il n’est pas certain que ce soit le cas d’après les réponses reçues.
- Service correctionnel Canada (SCC) : Il est possible que SCC utilise les outils de criminalistique numériques pour examiner les dispositifs électroniques de contrebande saisis sur les délinquants à des fins de renseignement. L’utilisation de ces outils devrait faire l’objet d’une EFVP, car les renseignements personnels recueillis peuvent conduire à la prise d’une décision à l’égard d’une personne. Nous notons que SCC a précédemment effectué une évaluation de la « liste de contrôle de l’EFVP » et a conclu qu’aucune EFVP n’était nécessaire. Cependant, il n’est pas certain que ce soit le cas d’après les réponses reçues.
- Bureau de la concurrence du Canada : Oui, le Bureau de la concurrence du Canada utilise ces outils dans le cadre de son mandat d’application de la Loi sur la concurrence, notamment au cours des procédures d’enquête ou de l’exécution de mandats de perquisition. Cela devrait faire l’objet d’une EFVP, car les renseignements personnels recueillis peuvent conduire à la prise d’une décision à l’égard d’une personne. Cependant, il n’est pas certain que ce soit le cas d’après les réponses reçues.
Q13. Combien de temps faut-il pour réaliser une EFVP? Qu’implique la préparation d’une EFVP? [SCIF]
- La taille et la portée d’une EFVP peuvent varier considérablement en fonction de la complexité du programme. Par exemple, l’EFVP d’un programme très simple qui présente peu de risques et traite un nombre très limité de renseignements personnels peut être très brève, alors que l’EFVP d’un projet complexe qui implique de nombreux partenaires, des renseignements de nature délicate et des utilisations complexes peut nécessiter beaucoup plus de temps.
- Cela dit, le respect des exigences essentielles d’une EFVP, telles qu’elles sont énoncées à l’annexe C de la Directive sur l’évaluation des facteurs relatifs à la vie privée, ne devrait pas être une lourde tâche.
- Les exigences de base consistent à déterminer et à évaluer les principaux éléments fondamentaux d’un programme, comme la description, l’autorisation judiciaire, la sensibilité des renseignements personnels en cause, toute technologie utilisée, la manière dont les renseignements personnels peuvent être transmis, ainsi que des éléments, comme une analyse des renseignements personnels recueillis et un flux de données.
- Les EFVP devraient également inclure la documentation d’autres éléments clés d’un programme, comme les politiques et les procédures, les énoncés de confidentialité, l’évaluation des risques technologiques, les avis juridiques, les ententes sur l’échange de renseignements, etc.
- Plus important encore, il est essentiel de se rappeler qu’une EFVP est un processus d’évaluation des risques et pas seulement un rapport. En suivant le processus d’EFVP, les institutions ont la possibilité d’évaluer les risques et de les atténuer au fur et à mesure. Cela représente beaucoup moins d’efforts que de découvrir un risque après la mise en œuvre.
Q14. Qu’a fait le CPVP pour cerner et atténuer les répercussions sur la vie privée découlant de l’utilisation d’outils de criminalistique numériques? [TAD]
- Selon lui, le CPVP n’a pas besoin d’effectuer d’EFVP pour son utilisation des OCN dans le cadre de ses enquêtes, car aucun des éléments déclencheurs pour mener une EFVP n’est présent :
- le CPVP n’utilise pas les OCN pour évaluer les renseignements personnels et prendre des décisions qui ont une incidence sur une personne;
- le programme d’enquête du CPVP n’a pas été modifié;
- les examens réalisés à l’aide des OCN sont effectués à l’interne, au CPVP;
- les OCN ne nécessitent pas une modification du programme d’enquête ou des activités du CPVP ayant une incidence sur la protection de la vie privée.
- Le CPVP a eu recours aux outils de criminalistique numériques pour la tenue d’activités, comme des enquêtes sur les atteintes à la protection des renseignements personnels ou des enquêtes systémiques. Ces outils ont été utilisés spécifiquement pour acquérir des preuves numériques, analyser les fichiers situés sur les preuves acquises et élaborer une chronologie des événements.
- L’utilisation des OCN par le CPVP est sans incidence sur les personnes.
- L’introduction des OCN n’a pas engendré de changements ayant une incidence sur la vie privée dans le cadre du Programme d’enquête. Au contraire, ces outils ont accéléré la vitesse à laquelle une enquête peut être menée.
- Le CPVP exerce un contrôle strict sur les personnes qui peuvent utiliser les OCN et dans quel contexte. Il contrôle également qui, au sein du Commissariat, peut accéder aux données et aux conclusions qui s’y rapportent et les consulter.
Q15. Pouvez-vous fournir des exemples d’outils de criminalistique numériques et établir une différence avec les logiciels espions? [TAD]
- Les outils de criminalistique numériques peuvent être considérés comme un ensemble de solutions logicielles et de matérielles spécialisées utilisées pour saisir et analyser des preuves numériques à l’appui d’une enquête ou dans le cadre de l’analyse technique d’un système donné.
- Les outils de criminalistique numériques ont en commun la capacité d’acquérir des preuves numériques, de récupérer des fichiers supprimés, d’analyser des fichiers d’intérêt et d’élaborer une chronologie des événements.
- Certains outils de criminalistique numériques sont conçus à des fins plus générales, comme Magnet Forensic Axiom, qui peut être utilisé pour analyser à la fois les disques durs et les appareils mobiles, tandis que d’autres, comme UFED de Cellebrite, sont conçus à des fins spécifiques, par exemple pour les appareils mobiles exclusivement.
- Ces outils nécessitent presque toujours un accès physique à l’appareil. Toutefois, certains outils (Magnet Forensic Axiom) ont la capacité d’effectuer des acquisitions à distance lorsque l’accès physique est compliqué, par exemple dans le cas d’un hôte résidant dans le nuage ou d’un système complexe couvrant plusieurs serveurs dans un centre de données.
- Les logiciels espions et les outils d’enquête sur appareil (OEA) constituent une catégorie d’outils totalement différente, dans la mesure où ils sont déployés à distance et utilisés de manière secrète. Si les logiciels espions et les OEA partagent souvent les mêmes capacités techniques, comme la collecte de fichiers, l’activation du microphone ou de la caméra d’un appareil, l’enregistrement des frappes au clavier, etc., ils diffèrent quant à l’autorisation judiciaire sous laquelle ils sont utilisés. Les logiciels espions sont utilisés illégalement par les auteurs de menace, tandis que les OEA sont utilisés à la suite d’une autorisation judiciaire, comme un mandat de perquisition.
- Pegasus et DarkComet sont des exemples de logiciels espions.
- Les questions concernant l’utilisation spécifique des OEA doivent être adressées à la GRC, au cas où elle serait invitée à se présenter devant ce comité.
Q16. Que pensez-vous des « actions clés en matière d’IA » des États-Unis suite au décret exécutif du président Biden sur l’IA? [PRAP]
- Le décret exécutif du président Biden sur l’IA demeure une mesure très positive, promettant des avancées sur des sujets, comme l’éducation en matière d’IA, la discrimination algorithmique et les technologies permettant d’accroître la protection de la vie privée.
- Bon nombre des « actions clés en matière d’IA », récemment mises de l’avant par le gouvernement, servent davantage les intérêts des États-Unis. Ces actions clés, ainsi que d’autres développements futurs découlant du décret, sont susceptibles de relever le niveau de sécurité des développeurs d’IA, engendrant, par le fait même, une protection accrue à l’endroit des particuliers aux États-Unis et dans le monde entier.
- Cela dit, je crois que le Canada a encore la possibilité d’être un chef de file mondial en matière d’innovation et de gouvernance dans le domaine de l’intelligence artificielle. Pour y parvenir, il est important que nous établissions un cadre législatif robuste pour les technologies de l’intelligence artificielle, y compris une législation modernisée sur la protection de la vie privée.
Q17. Avez-vous des inquiétudes quant à la façon dont cette technologie a été acquise? Le processus général d’approvisionnement du gouvernement du Canada, tel qu’il se présente actuellement, prévoit-il suffisamment de mesures de protection de la vie privée? [SCIF]
- Interrogées par les médias, certaines institutions fédérales ont suggéré que les questions soient adressées à Services partagés Canada (SPC) en tant qu’acheteur des outils en question. Cela soulève plusieurs préoccupations : premièrement, l’idée que le rôle d’acheteur de SPC n’enlève pas aux institutions fédérales la responsabilité d’entreprendre une EFVP avant le déploiement d’outils, lorsqu’une telle évaluation est justifiée. Cela soulève également la notion de « diligence raisonnable » dans la sélection et l’achat de tels outils, une importante préoccupation dans le cas de Clearview et du projet Wide Awake.
- La Direction des services-conseils au gouvernement du Commissariat a déjà souligné à SPC l’importance de définir clairement les rôles et les responsabilités en matière de protection de la vie privée dans les ententes sur l’échange de renseignements conclus avec les ministères clients. Nos recommandations soulignaient l’absence de responsabilité claire en matière d’évaluation de la sécurité, de suivi des journaux de vérification et d’obligations générales en matière de protection de la vie privée.
- Bien qu’il ait tenté d’assurer un suivi, le Commissariat n’a pas reçu de réponse à ses recommandations.
Q18. Les employés ont-ils des attentes en matière de respect de la vie privée lorsqu’ils utilisent leur téléphone ou leur ordinateur au travail? Un employeur peut-il fouiller leurs appareils sans mandat et sans que la personne le sache ou n’y consente? Une autorisation judiciaire est-elle nécessaire pour ce type d’activités? Est-il vrai que les données contenues dans les appareils du gouvernement appartiennent à l’employeur? Quelles sont les obligations de l’employeur fédéral en matière de protection de la vie privée en vertu de la Loi sur la protection de la vie privée en ce qui concerne la surveillance des employés? [PRAP/juridique]
- Les employés ont droit au respect de leur vie privée au travail, même s’ils se trouvent dans les locaux de leur employeur et/ou utilisent les appareils de leur employeur, tels que les ordinateurs et les téléphones cellulaires. L’année dernière, le Commissariat a mis à jour son guide sur la protection de la vie privée au travail.Note de bas de page 5 Ce guide comprend une nouvelle section sur la surveillance des employés. Dans nos lignes directrices, nous insistons sur le fait que toute surveillance des employés doit être limitée à des fins spécifiques, ciblées et appropriées aux circonstances.
- Les mesures de surveillance devraient tenir compte d’une évaluation des risques d’atteinte à la vie privée et de toute mesure d’atténuation, notamment en limitant la collecte aux renseignements nécessaires aux fins énoncées et en veillant à ce que la mesure qui empiète le moins sur la vie privée soit utilisée selon la situation. Bien qu’il existe un certain nombre de mesures technologiques pour surveiller les employés, toutes les mesures ne sont pas nécessairement les plus efficaces pour atteindre les objectifs souhaités ou ne sont pas nécessairement les moyens qui empiètent le moins sur la vie privée pour atteindre les fins énoncées.
- Lors de l’évaluation du droit à la vie privée dans le contexte de l’emploi, la question est moins celle de la propriété des données que celle de savoir si les employés conservent un intérêt en matière de protection de la vie privée à l’égard des données générées en milieu de travail. La Loi sur la protection des renseignements personnels indique clairement que les employés ont des droits relatifs aux renseignements personnels les concernant détenus par les institutions fédérales. Par exemple, un particulier, y compris un employé du gouvernement, a le droit d’accéder à ses renseignements personnels, y compris aux renseignements personnels détenus par son employeur du gouvernement fédéral (par. 12(1) de la LPRP).
- Étant donné la grande quantité de renseignements personnels que les ordinateurs et les téléphones cellulaires peuvent contenir, les tribunaux ont toujours estimé que les fouilles de ces appareils créaient une attente raisonnable en matière de respect de la vie privée et que, par conséquent, elles nécessitaient généralement un mandat. Toutefois, les employeurs ont des raisons légitimes de recueillir, d’utiliser et de divulguer des renseignements personnels sur leurs employés; ils peuvent envisager une surveillance électronique et d’autres formes de contrôle pour prévenir le harcèlement sur le lieu de travail ou maintenir des infrastructures essentielles. Dans de tels contextes purement réglementaires, il peut être possible pour les employeurs de fouiller les appareils utilisés par les employés sans mandat. Cependant, même dans des contextes réglementaires, un mandat sera nécessaire pour se conformer à la Charte, lorsque l’objectif prédominant de la fouille est de découvrir une responsabilité criminelle.
- Qu’un mandat soit nécessaire ou non, les employeurs n’ont pas carte blanche : la Charte, la Loi sur la protection des renseignements personnels et la politique du SCT réglementent toutes la surveillance des employés par les institutions fédérales. La Loi sur la protection des renseignements personnels impose notamment des limites à la collecte, à l’utilisation et à la divulgation de renseignements personnels. La politique du SCT exige des employeurs qu’ils restreignent la collecte de renseignements à ceux qui sont liés aux programmes ou activités des institutions fédérales, et qui sont « manifestement nécessaires ».
- Enfin, la transparence sur les possibilités de surveillance des employés est fondamentale. Les employeurs doivent informer les employés du but, de la nature, de l’étendue et des raisons de la surveillance, ainsi que des conséquences possibles pour les travailleurs, à moins qu’il ne s’agisse d’une situation exceptionnelle.
Contexte (au besoin)
Jurisprudence pertinente
- La fouille d’un ordinateur peut être très invasive et peut susciter une attente raisonnable en matière de respect de la vie privée (R. c. Morelli, [2010] 1 R.C.S. 253).
- Des considérations similaires s’appliquent aux téléphones cellulaires (R. c. Marakah, 2017 SCC 59 au paragraphe 35).
- Lorsque le but prédominant d’une fouille est lié à une responsabilité criminelle, la « panoplie complète » des protections de l’article 8 de la Charte s’applique (R. c. Jarvis, [2002] 3 R.C.S. 757; R. c. Ling, [2002] 3 R.C.S. 814).
- La question de savoir dans quelle mesure les protections de l’article 8 de la Charte s’appliquent à la surveillance en milieu de travail est également en cours d’examen par la Cour suprême dans l’affaire : Conseil scolaire du district de la région de York c. Fédération des enseignements et des enseignantes de l’élémentaire de l’Ontario, 2023 CanLII 19753 (SCC).
- Dispositions pertinentes de la Loi sur la protection des renseignements personnels :
- Article 4 : lien direct à un programme ou à une activité.
- Article 5 : exigences générales pour la collecte directe (art. 5(1)), et principe de finalité (art. 5(2)), (sous réserve des exceptions prévues à l’art. 5(3).
- Articles 7 et 8 : obligation de consentement général pour l’utilisation (art. 7) et la divulgation (art. 8) sous réserve des exceptions énumérées.
- Directive sur les pratiques relatives à la protection de la vie privée du SCT : L’article 4.2.9 exige que la collecte soit limitée à ce qui est « directement lié et manifestement nécessaire aux programmes ou aux activités de l’institution fédérale ».
Q19. Ce qui est rapporté dans les médias est-il cohérent avec ce que les ministères ont dit au CPVP en termes d’utilisation de ces outils? [SCIF]
- Les réponses des institutions sont généralement cohérentes avec ce qui a été rapporté dans l’article de la SRC du 31 janvier 2024 sur le sujet.
- Il a été rapporté que « de nombreux ministères » utilisent ces outils pour des enquêtes sur des allégations de violations de la loi en vertu d’un mandat de perquisition, tandis que d’autres utilisent les outils sans mandat pour des enquêtes internes sur l’utilisation d’appareils gouvernementaux. Cela correspond aux réponses des institutions.
- Il a également été signalé que les institutions ont agi conformément aux exigences découlant des dispositions législatives et des politiques, bien qu’elles n’aient pas réalisé d’EFVP. Cela correspond aux réponses qu’elles ont fournies au CPVP.
Contexte
- Cinq institutions ont spécifiquement mentionné détenir un mandat pour leurs enquêtes (ARC, ECCC, CRTC, Bureau de la concurrence et GRC).
- Trois institutions ont spécifiquement mentionné l’utilisation de cette technologie pour des enquêtes administratives internes (MPO, SPC et AMC).
Q20. Est-il possible d’utiliser des outils de criminalistique numériques sur l’appareil d’une personne à son insu (c’est-à-dire subrepticement ou à distance)? [TAD]
- La possibilité existe, mais la probabilité est faible. Il existe trois (3) scénarios possibles dans lesquels cela pourrait se produire :
- Un ministère qui entreprend une enquête administrative à l’encontre d’un employé sans l’avertir qu’il fait l’objet d’une enquête, et lorsque l’employé en question cesse d’utiliser les appareils appartenant à l’État, des outils de criminalistique numériques sont utilisés pour obtenir des images de ces appareils. Des questions spécifiques concernant les procédures d’un ministère donné lors de la conduite d’enquêtes administratives et leur utilisation d’outils de criminalistique numériques devraient leur être adressées lorsqu’ils viendront témoigner devant ce comité.
- Un organisme d’application de la loi pourrait pénétrer subrepticement dans le logement d’un suspect en son absence, puis utiliser des outils de criminalistique numériques pour acquérir des preuves numériques situées à l’intérieur du logement. Cette opération serait effectuée en vertu d’une autorisation judiciaire, telle qu’un mandat de perquisition.
- Un service de renseignement étranger hostile pourrait pénétrer subrepticement dans le logement d’un suspect canadien en son absence, puis utiliser des outils de criminalistique numériques pour obtenir des renseignements à partir des dispositifs numériques situés dans le logement. Cette pratique serait illégale.
Q21. Donnez quelques exemples où les ministères pourraient utiliser les outils de criminalistique numériques de manière appropriée (en supposant qu’ils aient réalisé une EFVP)? [TOUT LE MONDE]
- Dans l’exercice de leur mandat législatif.
- Dans le cadre d’une enquête administrative, lorsqu’il existe des motifs raisonnables de penser qu’une politique a été violée par un employé.
- Lors de la conduite d’évaluations nécessaires, y compris une EFVP et des évaluations de la sécurité.
- De même, nous notons que toute utilisation d’une telle technologie doit s’accompagner de transparence. Si l’utilisation d’un outil de criminalistique numérique constitue une mesure potentielle qu’un ministère pourrait prendre en cas de non-respect présumé d’une politique, les employés devraient en être informés de la même manière qu’ils sont informés de la présence ou de l’utilisation potentielle d’autres outils pouvant porter atteinte à la protection de la vie privée, tels que la vidéosurveillance.
Q22. Si la Loi sur la gestion des finances publiques autorise le président de Services partagés Canada (SPC) à mener ce type d’enquêtes, est-il toujours nécessaire de procéder à une EFVP? [Services juridiques/GA]
- Oui, il est toujours nécessaire d’effectuer une évaluation des incidences sur le marché, même si l’on dispose d’une autorisation judiciaire pour mener un programme.
- L’article 4 de la Loi sur la protection des renseignements personnels exige que la collecte de renseignements personnels par une institution fédérale soit directement liée à un programme ou à une activité opérationnelle. Le pouvoir de SPC de mener une enquête en vertu de la Loi sur la gestion des finances publiques est pertinent par rapport à son pouvoir de recueillir des renseignements personnels dans le cadre d’une telle enquête en vertu de la Loi sur la protection des renseignements personnels.
- Toutefois, cette question est distincte de celle qui consiste à savoir s’il convient d’effectuer une EFVP en rapport avec cette activité particulière. Par exemple, la politique du Conseil du Trésor exige la tenue d’une EFVP dans un certain nombre de circonstances, notamment lorsque des renseignements personnels peuvent être utilisés dans le cadre d’un processus de prise de décision qui touche directement une personne. Les institutions fédérales doivent donc garder à l’esprit que le fait d’autoriser la collecte de renseignements personnels ne dispense pas de la nécessité d’examiner si une EFVP doit être effectuée dans des circonstances particulières.
- Une EFVP est un processus distinct qui évalue les risques pour la protection de la vie privée associés à la mise en œuvre d’une initiative ou d’un programme donné. Les EFVP sont des outils d’évaluation des risques qui garantissent que les programmes autorisés sont mis en œuvre de la manière la moins intrusive possible pour la protection de la vie privée.
- Si l’on prend l’exemple d’un programme d’enquête, une institution doit être légalement autorisée à mener un tel programme. Toutefois, une EFVP guiderait l’institution dans la mise en œuvre de ce programme, y compris des facteurs, comme la collecte de renseignements personnels minimale requise pour atteindre les objectifs du programme, la manière dont ces renseignements seront stockés et sauvegardés, les personnes qui auront accès à ces renseignements, etc.
Q23. Quelles sont les meilleures pratiques recommandées par le CPVP pour garantir la sécurité des renseignements personnels saisis? [GA/TAD]
- L’accès aux éléments de preuve recueillis à l’aide d’outils de criminalistique numériques ou aux résultats de leur analyse doit être soumis au principe strict du besoin de connaître.
- Il convient de mettre en place des contrôles d’accès physiques et logiques rigoureux pour la collecte, le stockage et l’élimination des preuves recueillies à l’aide d’outils de criminalistique numériques afin de réduire le risque d’accès non autorisé.
- Les mécanismes de sécurité utilisés pour protéger les éléments de preuve acquis doivent faire l’objet d’une vérification et d’un examen périodiques afin de détecter les accès non autorisés et de s’assurer qu’ils reflètent les meilleures pratiques de l’industrie.
Q24. Donnez-nous un exemple, au cours des cinq dernières années, d’un ministère qui a effectué une EFVP et qui nous a consultés avant le déploiement d’un outil de criminalistique numérique? [GA]
- Non. À notre connaissance, toutes les institutions utilisaient la technologie avant de faire appel au Commissariat ou de réaliser une EFVP.
Contexte
- Au début de 2021, nous avons été consultés par deux institutions après la publication d’un article antérieur : la Gendarmerie royale du Canada (GRC) et l’Agence des services frontaliers du Canada (ASFC).
PIA-001711 - Utilisation par la GRC de Graykey, un outil de criminalistique numérique pour appareil mobile.
- Consultation en janvier 2021 portant sur Graykey (qui a depuis été racheté par Magnet Forensics), Cellebrite et d’autres outils de criminalistique numériques pour appareil mobile, une suite d’outils technologiques aux capacités variées, qui sont utilisés pour déverrouiller les appareils mobiles.
- Dans le cadre de notre recommandation, nous avons insisté sur la nécessité de procéder à une évaluation formelle de la protection de la vie privée et sur l’importance de mettre en place des mesures de protection pour empêcher tout accès non autorisé ou toute utilisation abusive de ces outils.
- Aucune EFVP n’a été reçue.
PIA-001710 - Utilisation de Graykey par l’ASFC.
- Consultation en février 2021 sur la technologie de déverrouillage des appareils mobiles. Les agents des services frontaliers (ASF) peuvent fournir les appareils saisis aux employés de l’Unité informatique judiciaire pour qu’ils les déverrouillent, ou un employé de l’Unité informatique judiciaire peut apporter la technologie à la frontière afin de déverrouiller un appareil.
- L’ASFC a utilisé la technologie de déverrouillage des appareils 11 fois en 2020 et 16 fois en 2019 dans le cadre de la gestion des frontières.
- Nous n’avons pas donné de conseils spécifiques lors de la consultation.
- Aucune EFVP n’a été reçue à ce sujet.
Q25. La Loi sur la protection des renseignements personnels dans le secteur privé du Québec comporte-t-elle des obligations en matière d’emploi? [Juridique]
- La Loi sur la protection des renseignements personnels dans le secteur privé du Québec contient un certain nombre de dispositions qui s’appliquent également dans le contexte de l’emploi, créant ainsi certaines obligations en matière de protection de la vie privée pour les employeurs et certains droits pour les employés.
- Les dispositions imposant des obligations de transparence aux organisations, notamment dans le cadre de la surveillance des employés, sont particulièrement intéressantes. Lorsqu’une organisation a l’intention d’utiliser une technologie permettant d’identifier, de localiser ou de profiler des personnes, elle doit d’abord signifier son intention d’utiliser une telle technologie et expliquer comment cette technologie est activée. La définition du terme « profilage » employé dans la loi fait spécifiquement référence à « l’analyse du rendement d’une personne au travail » à titre d’exemple.
- En outre, lorsqu’une organisation a l’intention de recueillir des renseignements personnels à l’aide d’une telle technologie, elle doit publier une politique expliquant clairement l’utilisation proposée de cette technologie et la collecte proposée de renseignements personnels, puis rendre ces informations disponibles sur le site Web de l’organisation, le cas échéant, en plus de diffuser la politique par tout moyen approprié pour atteindre les personnes concernées.
Contexte
Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1
8.1. En plus des informations devant être fournies suivant l’article 8, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci doit, au préalable, l’informer :
(1) du recours à une telle technologie; et
(2) des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.
Le profilage s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.
8.2. La personne qui recueille par un moyen technologique des renseignements personnels doit publier sur le site Internet de l’entreprise, le cas échéant, et diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Elle fait de même pour l’avis dont toute modification à cette politique doit faire l’objet.
Q26. La résolution FPT sur la protection de la vie privée des employés sur les lieux de travail modernes s’applique-t-elle dans ce cas? [PRAP]
- Oui, cette résolution s’applique.
- Tout en reconnaissant qu’une certaine quantité de renseignements personnels sur les employés est raisonnable et peut même être nécessaire pour garantir la responsabilité, la résolution souligne l’importance de protéger les droits à la vie privée des employés et les préjudices potentiels qui peuvent survenir lorsque ces droits ne sont pas respectés sur le lieu de travail.
- Plus précisément, elle invite les employeurs à respecter les principes de raisonnabilité, de nécessité et de proportionnalité lorsqu’ils envisagent de recueillir ou d’utiliser des renseignements concernant leurs employés.
- De plus, elle invite les employeurs à fournir aux employés des renseignements clairs sur la manière de s’opposer à la collecte, à l’utilisation ou à la divulgation de leurs renseignements personnels, de contester les décisions prises à leur sujet et d’exercer leurs droits en matière d’accès.
- En mai 2023, le Commissariat a mis à jour son document d’orientation sur le milieu du travail et a présenté un certain nombre de conseils à l’intention des employeurs. Ce document, ainsi que la résolution FPT, contient des informations importantes qui peuvent aider les employeurs à protéger les droits à la vie privée.
Contexte
- Résolution FPT sur la protection de la vie privée des employés sur les lieux de travail modernes
- Document d’orientation sur la protection des renseignements personnels au travail
Q27. L’Assemblée mondiale pour la protection de la vie privée (AMPVP) a-t-elle adopté une résolution sur la protection de la vie privée des employés? [PRAP]
- Oui, en octobre 2023, l’AMPVP a publié une résolution sur l’intelligence artificielle et l’emploi, que le CPVP a coparrainée. L’objectif de cette résolution est de mettre en évidence les considérations relatives à l’utilisation de l’IA dans les activités liées à l’emploi, comme le recrutement, la surveillance et la gestion, ou la cessation d’emploi des employés.
- Si les rédacteurs de cette résolution n’avaient peut-être pas à l’esprit les outils d’extraction de données, nombre des points soulignés restent valables, notamment le fait que le traitement des données doit être licite, loyal et transparent, et que des mesures de protection doivent être mises en place pour éviter une surveillance disproportionnée des employés.
- Les outils d’extraction de données peuvent avoir leur place dans le contexte de l’emploi. Cependant, comme il a été fait mention pour l’IA, lorsque l’utilisation de tels outils est opaque, inadaptée, inadéquate ou inappropriée, elle peut entraîner des préjudices ou une violation des droits et libertés fondamentaux, y compris la vie privée, la dignité humaine et l’égalité.
Contexte
- Résolution de l’AMPVP sur l’IA et l‘emploi [en anglais seulement].
Q28. Quels sont les critères que vous prenez en compte pour déterminer s’il y a lieu d’ouvrir une enquête à l’initiative du commissaire? [Conformité]
- En vertu de la LPRPDE et de la Loi sur la protection de la vie privée, le commissaire peut déposer une plainte s’il estime qu’il existe des motifs raisonnables d’enquêter sur une affaire.
- Pour déterminer s’il y a lieu de mener une ELC, nous examinons le niveau de risque pour la vie privée des Canadiens et la stratégie la plus efficace pour contrer ce risque.
- Le risque est déterminé en fonction des facteurs, notamment :
- l’incidence sur le droit à la vie privée des Canadiens en général,
- l’incidence sur les personnes touchées,
- le champ d’action de l’organisation en question,
- si l’affaire comporte des questions nouvelles ou systémiques justifiant un examen.
Contexte
Paragraphe 11(2) de la LPRPDE. | Paragraphe 29(3) de la Loi sur la protection des renseignements personnels |
---|---|
Plaintes émanant du commissaire (2) Le commissaire peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente partie. |
Plaintes émanant du commissaire (3) Le Commissaire à la protection de la vie privée peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente loi. |
Q29. Les trois institutions qui ont soumis une EFVP l’ont-elles soumise au CPVP (ou seulement au SCT) et, dans l’affirmative, en sont-elles satisfaites? [GA]
- Les trois institutions ont soumis leur EFVP au CPVP.
- (caviardé)
- (caviardé)
- (caviardé)
- Date de modification :