Fiche des enjeux au sujet du Budget principal des dépenses 2024-2025
Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique
Ressources budgétaires du Commissariat
Principaux messages
- Le financement total proposé pour le Commissariat dans le Budget principal des dépenses de 2024-2025 est de 34 millions de dollars.
- Cela représente une augmentation de 4,5 millions de dollars par rapport à l’année précédente, qui est attribuable au financement supplémentaire découlant du renouvellement des conventions collectives (2,1 millions de dollars) et au financement temporaire reçu dans le cadre du budget de 2023 (2,4 millions de dollars).
- Ce financement temporaire a permis au Commissariat de réduire l’arriéré des plaintes et d’entreprendre des enquêtes plus approfondies sur les atteintes à la vie privée, mais nous aurons besoin d’une solution permanente si nous voulons traiter dans leur ensemble le volume et la complexité des problèmes de protection de la vie privée dans le contexte actuel.
- Voilà pourquoi j’ai recommandé qu’au minimum, le financement temporaire de 5,7 millions de dollars destiné à la réduction de l’arriéré des plaintes et aux enquêtes sur les atteintes à la vie privée soit rendu permanent.
- Nous utilisons ces fonds pour protéger et promouvoir le droit à la vie privée, notamment en enquêtant sur les plaintes, en évaluant la conformité, en fournissant des conseils et des recommandations et en travaillant en collaboration avec les parties prenantes d’autres administrations.
Contexte
- Le Budget principal des dépenses de 2024-2025 du Commissariat, qui s’élève à 34 millions de dollars, est réparti comme suit (le budget de 2023-2024 est présenté aux fins de comparaison) :
2023-2024 2024-2025 Dépenses budgétaires M$ % M$ % Dépenses liées au personnel (incluant le RASE) 24,3 83 28,3 83 Dépense de fonctionnement 4,7 15 5,2 15 Programme des contributions 0,5 2 0,5 2 Niveaux de référence totaux 29,5 100 34,0 100
Préparé par : Secteur de la gestion intégrée
Financement dans le cadre du budget de 2023
Principaux messages
- Le budget de 2023 prévoyait 5,7 millions de dollars sur deux ans pour que le Commissariat entreprenne des enquêtes plus approfondies sur les atteintes à la vie privée dans les organismes publics et privés. Le Commissariat pourra aussi améliorer les taux de réponse aux plaintes liées à la protection de la vie privée des Canadiennes et des Canadiens.
- Ce financement temporaire a permis de réaliser de réelles avancées en ce qui concerne ces priorités, mais nous aurons besoin d’une solution permanente si nous voulons nous attaquer au volume et à la complexité des problèmes de protection de la vie privée dans le contexte actuel.
- Voilà pourquoi j’ai recommandé qu’au minimum, le financement temporaire de 5,7 millions de dollars destiné à la réduction de l’arriéré des plaintes et aux enquêtes sur les atteintes à la vie privée soit rendu permanent.
- Le budget prévoit également un montant supplémentaire de 15 millions de dollars sur cinq ans pour aider le Commissariat à se préparer à assumer les responsabilités élargies que lui confère le projet de loi C-27, montant auquel nous n’avons pas encore eu accès.
- Un financement supplémentaire à long terme sera également nécessaire si le projet de loi C-27 est adopté.
Contexte
- Le budget de 2023 prévoyait un montant supplémentaire de 5,7 millions de dollars sur deux ans pour permettre au Commissariat de traiter un nombre croissant d’atteintes à la vie privée signalées et l’arriéré des plaintes.
2023-2024 2024-2025 2,84 M 2,84 M - Le budget de 2023 a prévu le nouveau financement temporaire suivant pour aider le Commissariat à s’acquitter de ses nouvelles obligations au titre du projet de loi C‑27 :
2023-2024 2024-2025 2025-2026 2026-2027 2027-2028 2 M 4 M 4 M 3 M 2 M
Préparé par : Secteur de la gestion intégrée
Répercussions du projet de loi C-27 sur les ressources
Principaux messages
- Le projet de loi C-27 élargirait les responsabilités du Commissariat, en créerait de nouvelles et nous accorderait également un certain pouvoir discrétionnaire dans la manière dont nous accomplissons notre travail.
- L’Énoncé économique de l’automne de 2020 prévoyait 80 millions de dollars sur cinq ans, dont une partie a été réservée au Commissariat, pour appuyer la mise en œuvre et l’application de ce qui est maintenant le projet de loi C-27.
- Plus récemment, le budget de 2023 a prévu 15 millions de dollars sur cinq ans pour nous permettre d’accélérer nos opérations en vue de l’adoption éventuelle de la nouvelle loi.
- Nous estimons que la mise en œuvre complète du projet de loi C-27 nécessitera un financement annuel permanent d’environ 25 millions de dollars; le gouvernement nous a alloué moins de la moitié de ce montant.
Contexte
- (Caviardé)
- Le budget de 2023 a prévu le nouveau financement temporaire suivant à cette fin :
2023-2024 2024-2025 2025-2026 2026-2027 2027-2028 2 M 4 M 4 M 3 M 2 M - Notre estimation actuelle du coût total de la mise en œuvre du projet de loi C-27 est d’environ 25 M$ (à l’exclusion du régime d’avantages sociaux des employés); cela représente plus du double de ce qui a été alloué en guise de financement permanent dans le cadre financier.
Préparé par : Secteur de la gestion intégrée
Allocation des ressources
Principaux messages
- Le Commissariat continue d’affecter ses ressources de manière prospective afin de prévenir les problèmes de protection de la vie privée avant qu’ils ne surviennent, au lieu de les régler après coup.
- L’une de nos principales priorités stratégiques est de maximiser la portée et l’impact de nos efforts pour protéger et promouvoir le droit à la vie privée.
- Compte tenu de notre niveau de financement actuel, cela n’est pas toujours possible lorsqu’une part importante de nos ressources doit être consacrée aux enquêtes sur différentes plaintes.
- Afin d’assurer un équilibre approprié entre la nécessité de promouvoir la conformité et celle de la faire respecter, nous répartissons notre budget à parts presque égales entre nos programmes de promotion et de conformité.
Contexte
- Le tableau suivant résume le Budget principal des dépenses pour les employés équivalents temps plein par secteur de responsabilité dans le Cadre ministériel des résultats du Commissariat (2023-2024 est présenté à titre de comparaison) :
2023-2024 2024-2025 Secteur de programme M$ ETP M$ ETP Promotion 11,2 79 12,1 77 Conformité 10,5 74 12,9 90 Services internes 7,8 54 9,0 54 Niveaux de référence totaux (Budget principal des dépenses) 29,5 207 34,0 221 - Sur les montants pour 2024-2025, 30,6 millions de dollars doivent être approuvés par le Parlement; les 3,4 millions de dollars restants concernent les prévisions réglementaires pour les avantages sociaux et sont présentés à titre d’information uniquement.
Préparé par : Secteur de la gestion intégrée
Modèles de financement des agents du Parlement
Principaux messages
- En tant qu’agent du Parlement, le Commissariat travaille indépendamment du gouvernement pour fournir des conseils et des recommandations non partisans à la Chambre et au Sénat.
- Compte tenu de mon rôle, qui consiste à examiner soigneusement le respect de la législation en matière de protection de la vie privée par les pouvoirs publics, les décisions relatives au niveau de financement du Commissariat ne devraient pas relever uniquement du gouvernement en place.
- Voilà pourquoi je souhaiterais que le Parlement participe davantage aux décisions de financement du Commissariat, ce qui renforcerait notre indépendance, favoriserait une transparence accrue et nous aiderait à disposer de ressources suffisantes pour que nous puissions remplir notre mandat.
Contexte
- Les agents du Parlement ne sont pas tous financés comme le Commissariat. Par exemple, la procédure de financement pour le Commissariat aux conflits d’intérêts et à l’éthique et le Bureau du directeur parlementaire du budget exclut expressément tout rôle du Conseil du Trésor dans l’élaboration ou l’examen des propositions budgétaires. De même, le Bureau du directeur général des élections reçoit une grande partie de son financement au titre de la Loi électorale du Canada.
- En janvier 2019, le Commissariat, le Commissariat à l’information du Canada (CIC) et d’autres agents du Parlement ont envoyé une lettre au greffier du Conseil privé pour demander au BCP de collaborer avec eux au sujet de la mise en place d’autres mécanismes de financement.
- Dans son rapport de juin 2023 sur l’état du système d’accès à l’information du Canada, le Comité ETHI a recommandé que le gouvernement établisse un mécanisme de financement indépendant pour le CIC et les agents du Parlement qui en sont actuellement dépourvus.
- En 2005, à la suite d’une recommandation issue d’un rapport du Comité ETHI sur le financement des agents du Parlement, le Conseil du Trésor a lancé un projet pilote visant à créer un comité consultatif de la Chambre chargé d’examiner les propositions de financement préparées par certains agents. Un rapport publié en 2008 a conclu que le projet pilote avait été couronné de succès et a recommandé que le modèle devienne permanent.
Préparé par : Secteur de la gestion intégrée
Expertise au sein du Commissariat
Principaux messages
- La portée du contexte opérationnel du Commissariat est vaste et exige des connaissances dans des domaines comme la protection de la vie privée, la TI, les finances, la sécurité nationale et le droit.
- Voilà pourquoi nous nous efforçons de recruter des employés de divers horizons et priorisons la formation et le perfectionnement des employés, compte tenu du rythme auquel notre contexte évolue.
- Nous cherchons à embaucher des employés possédant les connaissances et les compétences nécessaires pour nous aider à atteindre les objectifs ambitieux que nous nous sommes fixés dans notre plan stratégique, comme des experts en protection de la vie privée des enfants.
- Il s’agit également de renforcer notre fonction d’analyse technologique en embauchant du personnel spécialisé dans l’intelligence artificielle (IA) et l’IA générative. C’est une priorité pour laquelle nos besoins en formation et en expertise sont exponentiels.
Contexte
- Étant donné que l’expertise en matière de protection de la vie privée est une compétence très en demande sur le marché du travail, nous adoptons des stratégies novatrices de maintien en poste et des pratiques de recrutement efficaces, et nous continuons de perfectionner les talents internes afin de maintenir les compétences, le dévouement et les connaissances de l’organisation.
- Nous améliorerons l’accès au contenu de formation lié à la technologie pour nous assurer que nous suivons la rapide évolution des progrès technologiques et conservons une longueur d’avance sur leurs répercussions sur la vie privée, particulièrement en ce qui concerne l’intelligence artificielle (IA) et l’IA générative, ainsi que la vie privée des enfants.
- Nous évaluerons la pertinence du cadre du Commissariat à l’appui des programmes et des activités de formation, d’apprentissage et de perfectionnement afin de nous assurer qu’il permet au Commissariat de réaliser son mandat et d’atteindre ses objectifs.
- Nous procédons actuellement à un examen de la structure et des principales descriptions de travail au sein du Secteur de la conformité.
Préparé par : Secteur de la gestion intégrée
Recrutement, maintien en poste et gestion du personnel
Principaux messages
- Le Commissariat a besoin d’une source de financement stable et à long terme pour perfectionner, attirer et conserver les talents et l’expertise dont nous avons besoin pour remplir notre mandat.
- Je suis fier de dire que le Commissariat demeure un employeur de choix, en grande partie grâce à nos investissements dans la formation et le perfectionnement des employés, le bien-être et les technologies qui favorisent la collaboration.
- Nous demeurons déterminés à promouvoir les valeurs de la fonction publique et à renforcer notre culture axée sur la responsabilisation, l’équité, la diversité et l’inclusion afin de tirer parti du plein potentiel de nos employés et d’obtenir de meilleurs résultats pour le Canada et les Canadiens.
Contexte
- Plan stratégique des ressources humaines : Nous prolongeons le plan des ressources humaines, le plan sur l’équité, la diversité et l’inclusion (EDE) et le plan pour les langues officielles jusqu’à ce qu’un nouveau plan stratégique intégré pour les ressources humaines soit mis en œuvre plus tard cette année. Ce plan englobera divers éléments relatifs aux ressources humaines, y compris les initiatives sur l’EDE, le bien-être et les langues officielles.
- Activités de recrutement : Nous continuons de tirer parti des bassins internes et externes de candidats qualifiés. Nous avons mis en place des processus de recrutement et prévoyons de créer un répertoire des possibilités d’emploi au niveau des postes clés, tout en continuant d’utiliser divers réseaux sociaux, comme LinkedIn et GCconnex, pour attirer des talents et améliorer notre utilisation des données afin d’éclairer les stratégies de recrutement et de maintien en poste.
- Travail hybride : Nous continuons de renforcer notre modèle de travail hybride pour assurer une intégration réussie et créer un sentiment d’appartenance, mais aussi pour favoriser une image de marque et une réputation positives pour notre organisation. Nous continuerons également à veiller à ce que les employés disposent de l’information nécessaire et des outils adaptés et modernes pour faciliter un maximum de flexibilité et de productivité du télétravail et du travail sur place.
Préparé par : Secteur de la gestion intégrée
Réaliser des optimisations
Principaux messages
- Protéger et promouvoir le droit fondamental à la vie privée de manière à optimiser l’incidence des efforts déployés est l’une des principales priorités que nous avons établies pour le Commissariat dans le cadre de notre plan stratégique actuel.
- Au cours de l’année écoulée, nous avons pris plusieurs mesures à cette fin, notamment une restructuration de nos activités, l’adoption de notre plan stratégique et une utilisation de plus en plus stratégique de nos pouvoirs d’enquête, comme les enquêtes conjointes.
- Conformément à notre plan stratégique, nous cherchons continuellement des moyens de renforcer l’efficacité, l’adaptabilité et la préparation dans un contexte de protection de la vie privée en constante évolution.
Contexte
- Restructuration : l’année dernière, nous avons créé deux nouveaux postes : sous-commissaire et avocat général principal (pour faire face au contexte de plus en plus complexe de la protection de la vie privée) et dirigeant principal des services et du numérique (pour mettre en œuvre une vision et un programme numériques). Nous avons aussi créé la Direction des relations internationales, provinciales et territoriales pour renforcer les interactions avec d’autres organismes de réglementation et de protection de la vie privée.
- Les résultats sont au centre de l’attention : En janvier, nous avons lancé un plan stratégique qui définit trois priorités clés qui guideront notre travail jusqu’en 2027 :
- protéger et promouvoir la vie privée de manière à optimiser l’incidence des efforts déployés,
- aborder et défendre la vie privée en cette période de changement technologique, et
- défendre les droits des enfants en matière de vie privée.
- Utilisation stratégique des pouvoirs : Nous avons davantage recours aux enquêtes menées à l’initiative du commissaire, aux pouvoirs d’application de la loi et à la collaboration en matière d’application de la loi afin d’optimiser rapidement l’incidence des efforts déployés.
- Transformation numérique : Nous continuons à perfectionner les technologies infonuagiques à l’appui d’un modèle de travail hybride et nous avons lancé une stratégie numérique pour soutenir le Commissariat et ses employés aujourd’hui et à l’avenir, en nous appuyant sur une solide cybersécurité, des données et une gestion moderne de l’information.
Préparé par : Secteur de la gestion intégrée
Points saillants du Rapport sur les résultats ministériels de 2022-2023
Principaux messages
- Nous continuons à travailler à l’atteinte des objectifs ambitieux que nous nous sommes fixés dans le cadre de notre plan ministériel.
- Nous avons délibérément choisi de viser haut et nous estimons que nous devons demeurer audacieux dans nos aspirations, compte tenu des intérêts en jeu.
- En 2022-2023, nous avons continué notre travail en vue de préparer le Commissariat aux changements prévus dans notre mandat, tout en œuvrant à la réalisation des objectifs de notre Cadre ministériel des résultats.
Contexte
- Les résultats les plus récents qui sont accessibles au public sont ceux de 2022-2023 (voir la TdM no 3 pour les résultats ministériels complets).
- Objectifs atteints : 2
- Pourcentage des recommandations officielles du Commissariat appliquées par les ministères et les organismes.
- Pourcentage des organisations fédérales et du secteur privé pour lesquelles les conseils et l’orientation prodigués par le Commissariat sont utiles quant à leur atteinte de la conformité.
- Objectifs non atteints : 6
- Indicateurs n’ayant pas d’objectif : 2
- Étant donné que les lignes directrices du Commissariat sont fondées sur la loi et qu’elles pourraient rapidement devenir obsolètes à la suite d’une éventuelle transformation du cadre juridique, les 2 indicateurs qui mesurent nos conseils offerts aux entreprises et les renseignements fournis aux Canadiens sur les enjeux clés liés à la vie privée n’avaient pas d’objectif.
- Objectifs atteints : 2
- En ce qui concerne les programmes, le Commissariat a atteint 2 de ces objectifs.
- Les résultats au niveau des conséquences et des programmes sont publiés dans l’InfoBase du GC. (Voir TdM no 4 pour le tableau consolidé de tous les résultats des trois derniers exercices.)
Préparé par : Secteur de la gestion intégrée
Faits saillants du plan stratégique 2024-2027
Principaux messages
- En janvier, le Commissariat a lancé un plan stratégique qui définit trois principales priorités qui guideront notre travail au cours des trois prochaines années.
- Nos trois priorités stratégiques sont (1) protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés, (2) faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, ainsi que (3) défendre le droit à la vie privée des enfants.
- Ces priorités, qui se sont dégagées au cours de ma première année de mandat de sept ans, s’appuient sur les contributions de nombreuses parties prenantes mobilisées à cet égard.
- Le plan stratégique nous permet de concrétiser notre engagement envers un avenir propice à l’innovation, où le droit fondamental à la vie privée est respecté.
Contexte
- La première priorité consiste à nous adapter à notre contexte opérationnel, lequel est appelé à changer, par exemple à la suite d’éventuelles réformes législatives, et à veiller à utiliser le plus efficacement possible nos ressources et nos pouvoirs de façon à obtenir des résultats optimaux pour le Canada et la population canadienne.
- La deuxième priorité consiste à renforcer notre capacité à tenir compte des répercussions sur la vie privée des progrès technologiques en constante évolution, en particulier pour ce qui est de l’IA et de l’IA générative, et à favoriser les innovations technologiques respectueuses de la vie privée.
- La troisième priorité consiste à mettre l’accent sur la protection et la promotion du droit à la vie privée des enfants, qui sont particulièrement vulnérables à l’ère numérique.
- Du 22 janvier au 31 mars 2024, le Commissariat a sollicité les commentaires du public au sujet du plan. Les commentaires reçus guideront la mise en œuvre du plan.
Préparé par : Secteur de la gestion intégrée
Décret d’extension (Loi sur la protection des renseignements personnels)
Principaux messages
- En juillet 2022, le champ d’application de la Loi sur la protection des renseignements personnels a été élargi pour permettre aux ressortissants étrangers de demander l’accès à leurs renseignements personnels sous le contrôle d’une institution du gouvernement fédéral et de présenter des plaintes connexes au Commissariat. Auparavant, seuls les citoyens canadiens et les personnes présentes au Canada avaient de tels droits.
- Jusqu’à présent, le Commissariat a reçu un nombre modeste de plaintes à la suite de l’ordonnance d’extension, soit environ 270 au total.
- Toutefois, nous prévoyons que le nombre de plaintes continuera d’augmenter dans les années à venir, ce qui exercera une pression supplémentaire sur nos activités puisque nous n’avons pas reçu de financement permanent à cette fin.
Contexte
- Le Décret d’extension de la Loi sur la protection des renseignements personnels a été publié le 14 juillet 2021 et est entré en vigueur un an plus tard. À l’époque, on s’attendait à ce qu’il entraîne des centaines de milliers de demandes de renseignements personnels dans l’ensemble du gouvernement, en particulier à Immigration, Réfugiés et Citoyenneté Canada (IRCC).
- Nous avons également prévu un nombre important de plaintes contre IRCC. Cela ne s’est pas encore concrétisé, mais nous continuons de surveiller la situation et nous prévoyons un volume accru lorsque les demandeurs insatisfaits déposeront des plaintes en vertu du Décret.
- Dans le cadre du budget de 2022, un financement temporaire (d’un an) pour imprévus de (caviardé) a été réservé pour le Commissariat, auquel il est possible d’accéder au moyen d’une demande de report de fonds si nous constatons une augmentation marquée des plaintes.
- Le Commissariat collaborera avec le ministère des Finances pour déterminer la meilleure façon de répondre à l’augmentation des demandes si le volume devient ingérable compte tenu des ressources existantes.
Préparé par : Secteur de la gestion intégrée
Enquêtes menées en vertu de la Loi sur la protection des renseignements personnels (en général)
Principaux messages
- Conformément au paragraphe 29(1) de la Loi sur la protection des renseignements personnels, je reçois et examine les plaintes des personnes qui se sont vu refuser le droit d’accéder à leurs renseignements personnels et de les corriger, ou qui allèguent que leurs renseignements personnels ont été recueillis, utilisés, conservés ou divulgués en contravention de la Loi.
- Je peux également décider de déposer une plainte, en vertu du paragraphe 29(3), lorsque je suis convaincu qu’il existe des motifs raisonnables d’instruire ou décider, à ma discrétion, de mener des enquêtes, en vertu du paragraphe 37(1), contre toute institution ou organisation fédérale visée par la Loi.
- L’article 63 m’empêche de discuter des détails des enquêtes en cours ou de les divulguer, mais je peux confirmer que le Commissariat mène une enquête sur :
- les pratiques contractuelles en lien avec ArriveCAN, et plus précisément les mesures en place pour protéger les renseignements personnels lors de la conception de l’application afin d’évaluer la conformité à la LPRP;
- une atteinte à la vie privée découlant d’un accès non autorisé au site privé virtuel d’Affaires mondiales Canada;
- une cyberattaque qui a compromis les renseignements personnels des employés du gouvernement fédéral ayant eu recours aux services de réinstallation retenus par le gouvernement au cours des 24 dernières années.
Contexte
- Aux termes de l’article 63 de la Loi sur la protection des renseignements personnels, le Commissaire à la protection de la vie privée et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance dans l’exercice des pouvoirs et fonctions que leur confère la présente loi.
Préparé par : Secteur de la conformité
Enquêtes menées en vertu de la LPRPDE (en général)
Principaux messages
- Conformément au paragraphe 12(1) de la LPRPDE, nous enquêtons sur les plaintes déposées par des particuliers contre des organisations qui exercent des activités commerciales.
- S’il existe des motifs raisonnables d’enquêter sur une question visée par la Loi, nous pouvons déposer une plainte en vertu du paragraphe 11(2) de la LPRPDE.
- MindGeek : En février 2024, nous avons publié les conclusions de l’enquête menée par le Commissariat sur Aylo, exploitant de Pornhub et d’autres sites Web.
- TikTok : En février 2023, nous avons ouvert une enquête conjointe avec les autorités responsables de la protection de la vie privée du Québec, de l’Alberta et de la Colombie-Britannique afin d’examiner les pratiques de TikTok en matière de protection de la vie privée, en particulier en ce qui concerne les jeunes utilisateurs.
- ChatGPT : En mai 2023, nous avons entamé une enquête conjointe avec mes homologues du Québec, de l’Alberta et de la Colombie-Britannique sur OpenAI, l’entreprise à l’origine du robot conversationnel alimenté par l’IA, ChatGPT.
- Give-Send-Go : Nous menons une enquête sur la brèche de février 2022 sur le site Web de financement participatif Give-Send-Go, qui a permis de divulguer les données personnelles des donateurs du « Convoi de la liberté ».
- Lorsque les enquêtes sont en cours, en raison d’obligations de confidentialité, nous ne pouvons pas fournir plus de détails, mais dans chaque cas, nous avons l’intention de publier nos conclusions au cours des prochains mois.
Contexte
- Le commissaire a déposé des plaintes concernant ChatGPT d’OpenAI et TikTok, conformément au paragraphe 11(2) de la LPRPDE (caviardé).
- L’enquête relative au site Web Give-Send-Go a débuté en avril 2022 et se poursuit à l’heure actuelle. Le Commissariat a récemment achevé la collecte de renseignements, (caviardé), et rédige actuellement le rapport préliminaire.
Préparé par : Secteur de la conformité
ChatGPT
Principaux messages
- En mai 2023, le Commissariat a entamé une enquête conjointement avec ses homologues de l’Alberta, de la Colombie-Britannique et du Québec sur les pratiques d’OpenAI, en ce qui concerne son service ChatGPT.
- Parmi les questions que nous examinons figurent le consentement et la transparence, l’exactitude, la responsabilité, les finalités appropriées et la limitation de la collecte.
- Comme cette enquête est toujours en cours, je suis limité dans les renseignements que je peux communiquer.
- Cela dit, je peux dire que dans le cadre de cette enquête, nous cherchons à nous assurer que l’IA est développée et déployée de manière responsable et respectueuse de la vie privée, conformément à l’une des trois priorités stratégiques du Commissariat.
Contexte
- ChatGPT est un outil de traitement du langage naturel, ou agent conversationnel, utilisant la technologie d’intelligence artificielle (IA). Le modèle linguistique peut répondre à des questions et aider les utilisateurs à effectuer des tâches telles que la rédaction de courriels et d’essais.
- En avril 2023, le Commissariat a ouvert une enquête sur ChatGPT, après avoir reçu une plainte alléguant que l’entreprise avait recueilli, utilisé et communiqué les renseignements personnels du plaignant, sans son consentement, dans le cadre de son service commercial de génération de textes. Nous avons mis fin à cette enquête pour donner suite à une plainte commune générale déposée à l’initiative du Commissaire. (caviardé).
- Plusieurs autorités chargées de la protection des données dans le monde, y compris diverses autorités européennes (comme l’autorité italienne), ont ouvert des enquêtes sur ChatGPT. Le Comité européen de la protection des données a mis en place un groupe de travail sur ChatGPT afin d’échanger des renseignements sur d’éventuelles mesures d’application de la loi.
- En tant que membre du groupe de travail sur l’IA de l’Assemblée mondiale pour la protection de la vie privée, nous échangeons des connaissances et tirons parti de l’expérience de nos homologues.
Préparé par : Secteur de la conformité
TikTok
Principaux messages
- Le Commissariat, ainsi que les autorités chargées de la protection de la vie privée du Québec, de la Colombie-Britannique et de l’Alberta, ont lancé une enquête conjointe sur TikTok en février 2023.
- Nous établirons si les pratiques de TikTok sont conformes aux lois canadiennes sur la protection des renseignements personnels et, plus précisément, si TikTok a obtenu un consentement éclairé pour la collecte, l’utilisation et la communication de renseignements personnels.
- Étant donné l’importance de la protection de la vie privée des enfants, qui est l’une des trois priorités stratégiques du Commissariat, les enquêteurs se sont particulièrement intéressés aux pratiques de TikTok en matière de protection de la vie privée des jeunes utilisateurs.
- Nous visons à publier les résultats de l’enquête au cours des prochains mois.
Contexte
- Cette enquête s’inscrit dans la foulée de recours collectifs, désormais réglés, aux États-Unis et au Canada, et de nombreux reportages dans les médias concernant la collecte, l’utilisation et la communication de renseignements personnels par TikTok.
- Le paragraphe 11(2) de la LPRPDE stipule que le « commissaire peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la [partie I de la LPRPDE]. »
- En collaborant avec ses homologues provinciaux, nous sommes en mesure de tirer parti de ses ressources limitées et de ses capacités distinctes et de mettre en commun les pratiques exemplaires et forces relatives afin d’appliquer de manière plus efficace les lois sur la protection de la vie privée.
- Les renseignements des enfants sont particulièrement sensibles, nécessitent une attention bien précise et requièrent des mesures accrues de protection des renseignements personnels. S’il n’est pas réaliste d’attendre des adultes qu’ils comprennent les formulaires de consentement et les règles complexes en matière de protection de la vie privée et en assument la responsabilité, il est tout simplement inacceptable d’imposer un tel fardeau aux enfants.
Préparé par : Secteur de la conformité
Aylo (MindGeek)
Principaux messages
- En février 2024, le Commissariat a conclu son enquête sur une plainte contre Aylo (anciennement MindGeek), qui exploite Pornhub et d’autres sites Web pornographiques populaires.
- La plainte émanait d’une femme dont l’ex-partenaire avait téléversé une vidéo intime et des images d’elle, ainsi que d’autres renseignements d’identification, sur Pornhub et d’autres sites Web appartenant à Aylo, à son insu et sans son consentement.
- Notre principale conclusion est qu’Aylo n’a pas obtenu le consentement de la plaignante avant d’autoriser le téléversement et la divulgation de ses images.
- Nous avons formulé un certain nombre de recommandations, notamment qu’Aylo cesse de diffuser du contenu intime créé par les utilisateurs jusqu’à ce qu’elle mette en œuvre des mesures pour obtenir un consentement explicite et éclairé directement de chaque personne qui figure dans le contenu téléversé.
Contexte
- Lorsque le rapport de conclusions d’enquête était sur le point d’être achevé en mai 2023, Aylo a demandé un contrôle judiciaire à la Cour fédérale afin de contester nos conclusions et nos recommandations et de nous empêcher de terminer et de publier le rapport.
- Aylo a finalement échoué et nous avons pu publier notre rapport final.
- Nous avons connaissance d’un billet de blogue publié en mars 2024, après la publication de notre rapport, dans lequel Aylo indique que des changements ont été apportés à ses exigences en matière de consentement des « co-exécutants » en janvier 2024.
- À ce jour, nous n’avons pas eu l’occasion d’évaluer ces changements pour déterminer s’ils sont conformes à nos recommandations ou à la loi canadienne sur la protection des renseignements personnels.
Préparé par : Secteur de la conformité
Collaboration sur l’application de la loi
Principaux messages
- Dans l’économie numérique, la protection des renseignements personnels contre les risques globaux constitue un objectif commun pour les autorités de protection des données. La collaboration permet aux organismes de réglementation d’accroître leurs capacités et d’amplifier leur impact.
- Le Commissariat est un leader dans la collaboration en matière d’application de la loi, présidant ou coprésidant des forums tels que le Forum national de collaboration sur l’application de la loi (FNCAL), l’Assemblée mondiale pour la protection de la vie privée et le Global Privacy Enforcement Network (GPEN).
- Au cours de la dernière année, les mesures d’application concertée qui ont été prises comprennent les enquêtes menées conjointement avec nos collègues provinciaux sur OpenAI (créateur de ChatGPT) et TikTok, ainsi qu’une déclaration commune, avec douze autorités mondiales de protection de la vie privée, concernant les attentes à l’égard des plateformes en ligne en matière de protection contre l’extraction non autorisée de données.
Contexte
- Le Commissariat a lancé cinq enquêtes conjointes depuis juin 2022 : Tiktok (Alberta, Colombie-Britannique, Québec) en février 2023; Open Ai (Alberta, Colombie-Britannique, Québec) en mai 2023; (caviardé)
- Au cours des trois dernières années (depuis 2021), le Commissariat a mené à bien deux enquêtes conjointes : Clearview AI (Alberta, Colombie-Britannique, Québec) en février 2021 et Tim Hortons (Alberta, Colombie-Britannique, Québec) en juin 2022.
- Deux autres enquêtes menées à terme comprenaient l’échange de renseignements avec les partenaires : Corefour (Ontario, juin 2021) et Biron (Québec, mai 2022).
- FNCAL : Facilite l’échange de renseignements et la collaboration avec les provinces concernées au sujet de l’application de la loi.
- Assemblée mondiale pour la protection de la vie privée : Le groupe de travail sur la collaboration internationale en matière d’application de la loi réunit les autorités mondiales afin de faire progresser la collaboration en matière d’application des lois d’intérêt commun.
- GPEN : Nous hébergeons le site Web et avons dirigé le ratissage pour la protection de la vie privée de cette année, un examen collaboratif de plus de 1000 sites Web et applications par 26 autorités du monde entier sur l’utilisation de modèles de conception trompeurs qui peuvent pousser les utilisateurs à faire des choix moins protecteurs de la vie privée.
- Exemples récents d’application non formelle de la loi : Le groupe de travail sur la collaboration internationale en matière d’application de la loi a entrepris plusieurs activités conjointes en vue d’améliorer le respect de la vie privée à l’échelle mondiale, comme les Lignes directrices sur le bourrage d’identifiants, les principes sur la technologie de reconnaissance faciale et une déclaration commune sur l’extraction de données.
Préparé par : Secteur de la conformité et IPT
Conformité : statistiques et tendances sur les atteintes
Principaux messages
- Conformément au paragraphe 10.1(1) de la LPRPDE et à l’article 4.2.8 de la Politique sur la protection de la vie privée du SCT, les organisations assujetties à la LPRPDE ou à la Loi sur la protection des renseignements personnels (LPRP) doivent signaler au Commissariat les atteintes à la vie privée lorsqu’il existe un risque réel de préjudice grave pour une personne.
- En 2023-2024, nous avons reçu 561 signalements d’atteinte à la vie privée au titre de la LPRP et 693 au titre de la LPRPDE (1 254 au total), soit 28 % de plus que l’année précédente (979). Les atteintes signalées en 2023-2024 ont touché près de 25 millions de comptes canadiens.
- Près de la moitié (46 %) des signalements émanant du secteur privé font état de cyberattaques attribuables à des logiciels malveillants, à la compromission d’identifiants, au piratage ou à l’hameçonnage.
- Le Commissariat demeure préoccupé par la possibilité que des atteintes à la vie privée ne soient pas détectées ou soient mal évaluées et qu’au bout du compte, elles ne soient pas signalées.
Contexte
- Le nombre d’atteintes signalées attribuables à des cyberattaques contre des entreprises d’infrastructures essentielles a considérablement augmenté ces dernières années :
Atteintes à la vie privée signalées au Commissariat AF LPRPDE LPRP Total Atteintes aux infrastructures essentielles 2023-2024 693 561 1 254 205 2022-2023 681 298 979 44 - Le projet de loi C-26 (Loi sur la protection des systèmes cybernétiques essentiels), que le Comité permanent de la sécurité publique et nationale (SÉCU) a récemment renvoyé à la Chambre, exigera que les fournisseurs de services essentiels dans les secteurs réglementés par le gouvernement fédéral signalent les incidents de cybersécurité au Centre de la sécurité des télécommunications.
- Lors de notre comparution devant le comité SÉCU de février 2024 sur le projet de loi C-26, nous avons demandé une certaine souplesse pour assurer la coordination avec d’autres organismes de réglementation lorsque les atteintes concernent les renseignements personnels.
Préparé par : Secteur de la conformité
Statistiques et tendances relatives aux plaintes
Principaux messages
- L’une des principales fonctions du Commissariat est de recevoir et d’examiner les plaintes concernant les pratiques des institutions fédérales et des entreprises du secteur privé en matière de traitement des renseignements personnels.
- En 2023-2024, nous avons reçu un nombre important de plaintes :
- près de 1 750 au titre de la Loi sur la protection des renseignements personnels (dont 1 113 ont été acceptées);
- plus de 1 100 au titre de la LPRPDE (dont 446 ont été acceptées).
- En 2023-2024, nous avons conclu 1 278 enquêtes sous le régime de la LPRP et 405 sous le régime de la LPRPDE, soit un total de 1 683 (en hausse de 22 % par rapport à l’année précédente).
- Près de 90 % de ces dossiers ont fait l’objet d’une enquête sommaire ou d’un règlement rapide, qui vise à régler les problèmes à la satisfaction des plaignants et des intimés.
- Une enquête sommaire est entreprise lorsqu’un règlement rapide n’est pas possible, mais que les faits peuvent être traités sans un effort plus important.
Contexte
- Plaintes reçues et acceptées au cours des trois dernières années :
LPRP LPRPDE Total AF Reçues Acceptées Reçues Acceptées Reçues Acceptées 2023-2024 1 749 1 113 1 108 446 2 857 1 559 2022-2023 1 461 1 241 946 454 2 407 1 695 2021-2022 2 923 906 894 427 3 817 1 333 - Remarque : Le volume plus élevé que la normale des plaintes relatives à la Loi sur la protection des renseignements personnels reçues en 2021-2022 est lié aux demandes de visa auprès d’Immigration, Réfugiés et Citoyenneté Canada.
- Le nombre de plaintes déposées au titre de la LPRPDE qui sont acceptées est dans l’ensemble inférieur à celui des plaintes au titre de la LPRP, car le Commissariat dispose d’une plus grande marge de manœuvre pour décider du moment où il convient de donner suite à une plainte et parce qu’un grand nombre des plaintes reçues ne relèvent pas de la compétence du Commissariat en matière d’enquête.
Préparé par : Secteur de la conformité
Arriérés du Secteur de la conformité
Principaux messages
- Le Commissariat a reçu un financement temporaire dans le cadre du budget de 2023 pour améliorer ses taux de réponse aux plaintes relatives à la protection de la vie privée et aux signalements d’atteintes à la vie privée.
- En 2022-2023, le Commissariat a procédé à un examen diagnostique de la manière dont les ressources étaient affectées au sein du Secteur de la conformité et a cerné des améliorations aux processus, notamment l’utilisation de l’automatisation (par exemple, la mise à jour de nos formulaires de signalement d’atteintes et de plainte en ligne afin de réduire les efforts de saisie des données).
- À la fin de 2023-2024, l’arriéré représentait 20 % (152) de toutes les enquêtes en cours. Il s’agit d’une baisse par rapport à 2022-2023, alors que 24 % (239) des enquêtes en cours étaient actives depuis plus de 12 mois.
- En 2023-2024, le Commissariat a mené à bien 1 683 enquêtes, ce qui représente une augmentation de 22 % par rapport à 2022-2023, alors que 1 383 enquêtes ont été clôturées.
- Bien que le Commissariat continue de trouver des façons novatrices d’améliorer son efficacité, nous continuons de recevoir un grand nombre de plaintes, dont bon nombre concernent des questions de plus en plus complexes en matière de protection de la vie privée.
- En l’absence d’un financement permanent supplémentaire permettant de conserver les talents et l’expertise, et de modifications législatives donnant au Commissariat plus de marge de manœuvre pour enquêter, l’arriéré risque de demeurer élevé.
Contexte
AF | Cas liés à la LPRP | Cas liés à la LPRPDE | Arriéré total |
2023-2024 | 86 | 66 | 152 |
2022-2023 | 215 | 24 | 239 |
2021-2022 | 73 | 28 | 101 |
Préparé par : Secteur de la conformité
Services-conseils au gouvernement : activités, statistiques et tendances
Principaux messages
- Les demandes de soutien adressées à la Direction des services-conseils au gouvernement (SCG), principal point de contact pour les ministères fédéraux qui souhaitent obtenir des conseils sur les initiatives concernant les renseignements personnels, demeurent élevées.
- La Direction des SCG transmet également au SCT les conseils du Commissariat sur l’élaboration des politiques, directives et normes du gouvernement central visant à rendre opérationnelle la Loi sur la protection des renseignements personnels.
- Nous constatons un intérêt croissant pour les services numériques et l’intelligence artificielle dans l’ensemble du gouvernement, en particulier pour le contrôle des frontières, l’immigration et l’application de la loi. L’utilisation de l’IA pour la dotation en personnel et la surveillance des données relatives aux employés est également en augmentation.
- Nos séances de sensibilisation aux questions de protection de la vie privée sont toujours très prisées et très suivies par les employés du gouvernement fédéral. Par exemple, une activité organisée en mai 2023 dans le cadre de la semaine de sensibilisation à la protection de la vie privée, en collaboration avec le SCT, a attiré plus de 900 participants.
Contexte
- Volume de travail : L’année dernière, nous avons reçu un total de 265 évaluations des facteurs relatifs à la vie privée (EFVP), demandes de consultation et demandes de renseignements de la part d’institutions fédérales, en hausse par rapport à 216 l’année précédente. Il s’agit notamment de 123 EFVP, soit une augmentation de 38 % depuis 2019, et de 572 préavis de communication au titre de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels (intérêt public ou avantage pour la personne), poursuivant une tendance de volumes élevés de préavis de communication au titre de l’alinéa 8(2)m), le Commissariat en recevant régulièrement plus de 400 par an.
- SCT : Nous avons consulté le SCT sur plus d’une douzaine de dossiers pour obtenir des conseils du gouvernement central sur le traitement des renseignements personnels à l’échelle du gouvernement, y compris des conseils sur l’IA générative et un guide en langage clair sur la Loi sur la protection des renseignements personnels.
- Sensibilisation : Nous avons renforcé les connaissances et les capacités en matière de protection de la vie privée dans 127 ministères grâce à dix activités de sensibilisation axées sur l’évaluation des risques de protection de la vie privée et les EFVP.
Préparé par : Direction des services-conseils au gouvernement
Étude du Comité ETHI : Utilisation par le gouvernement fédéral d’outils technologiques permettant d’extraire des données sur des appareils mobiles et ordinateurs
Principaux messages
- Je félicite le Comité pour son travail continu sur ce sujet important, qui a souligné la nécessité d’adapter à l’ère moderne notre législation sur la protection de la vie privée dans le secteur public.
- Le Commissariat a appris par les médias que certains ministères et organismes fédéraux utilisaient des outils de criminalistique numérique.
- Nous continuons à collaborer avec les institutions pour mettre à jour les évaluations des facteurs relatifs à la vie privée existantes ou en élaborer de nouvelles au besoin. Il s’agit d’un processus continu, mais nos conversations ont été positives jusqu’à présent.
Contexte
- En décembre 2023, le Comité ETHI a adopté une motion visant à étudier l’utilisation par le gouvernement fédéral d’outils technologiques capables d’extraire des données personnelles d’appareils mobiles et d’ordinateurs, à la suite d’un reportage de Radio-Canada sur l’utilisation de « logiciels espions » par 13 ministères et organismes fédéraux. Depuis, ETHI a tenu six réunions sur le sujet.
- Le commissaire a comparu devant le Comité le 1er février et a résumé les conclusions initiales du Commissariat, à savoir que :
- seulement trois des institutions ont réalisé une EFVP officielle, tandis que huit ont indiqué qu’elles avaient commencé à travailler sur une nouvelle EFVP ou qu’elles envisageaient de mettre à jour une EFVP existante afin de couvrir l’utilisation de la nouvelle technologie.
- Le Commissariat a depuis rencontré trois des institutions citées dans l’article de presse au sujet de leurs plans de réalisation d’EFVP concernant ces outils.
- Le Commissariat a également écrit aux treize institutions (à la demande du Comité ETHI) pour leur demander de répondre à trois questions de suivi. Nous avons fait part de nos conclusions à ETHI dans une lettre soumise au Comité le 8 mars.
- La dernière réunion du Comité sur cette étude a eu lieu le 21 mars, où il a entendu la présidente du Conseil du Trésor, Anita Anand, qui a souligné que les dirigeants des institutions sont responsables de la mise en œuvre des exigences de la Loi sur la protection des renseignements personnels et des politiques du SCT.
- Elle a également indiqué que le SCT a l’intention de publier une mise à jour de la directive sur les EFVP; les fonctionnaires du Commissariat sont consultés au sujet d’une première ébauche de cette directive.
Préparé par : PRAP/DSCG
Services-conseils à l’entreprise : Activités, statistiques et tendances
Principaux messages
- Une des principales fonctions de Commissariat consiste à fournir des conseils aux entreprises de toutes tailles afin de les aider à respecter leurs obligations en matière de protection de la vie privée au titre de la LPRPDE.
- Au cours des dernières années, nous avons constaté un intérêt accru de la part des petites et moyennes entreprises qui explorent de nouvelles technologies et d’autres innovations.
- Alors que le paysage de la protection de la vie privée continue d’évoluer, le Commissariat continuera de collaborer avec les entreprises pour les aider à soutenir l’innovation technologique tout en protégeant la vie privée en tant que droit fondamental.
Contexte
- La Direction des services-conseils à l’entreprise conseille les entreprises de toutes tailles dans le cadre de deux secteurs de programme : 1) des services-conseils volontaires et 2) des activités de promotion. En 2023-2024, la Direction des services-conseils à l’entreprise a entrepris 16 missions de services-conseils et 79 activités promotionnelles (ateliers sur la protection de la vie privée, expositions, présentations, réunions des parties prenantes, séances de promotion ciblées, etc.).
- En 2023-2024, 71 % des cas concernaient des petites et moyennes entreprises, qui jouent un rôle essentiel dans la croissance économique et la création d’emplois. (Ces cas étaient passés d’environ 55 % à 60 % au cours des années précédentes.)
- La Direction des services-conseils à l’entreprise continue de collaborer avec des entreprises qui utilisent des technologies nouvelles et avancées et des modèles novateurs d’utilisation et de diffusion des données dans un éventail de secteurs, y compris les neurotechnologies, les technologies de la santé, les technologies financières, le commerce de détail, le marketing, les transports et la sécurité publique. Par exemple, en 2023-2024, 40 % de nos cas concernaient l’IA.
- Pour optimiser l’incidence des efforts déployés, la Direction des services-conseils à l’entreprise a mis à profit des partenariats par l’entremise des centres d’innovation et des accélérateurs d’entreprises. Elle a, par exemple, travaillé en collaboration avec 14 partenaires pour atteindre plus de 500 entreprises dans le Canada atlantique et le Yukon.
- La Direction des services-conseils à l’entreprise a également organisé et accueilli le forum du Commissariat sur la protection de la vie privée à Toronto, auquel ont participé près de 100 professionnels et experts de la protection de la vie privée de partout au Canada.
Préparé par : Direction des services-conseils à l’entreprise
Élaboration d’orientations
Principaux messages
- Les orientations que nous fournissons sont essentielles à notre rôle qui consiste à promouvoir efficacement le respect de la loi et à aider les personnes à comprendre et à exercer leurs droits en matière de protection de la vie privée.
- Nous continuons à constater une demande croissante de la part des organisations pour obtenir des conseils et des orientations sur leurs obligations en matière de protection de la vie privée.
- Nous nous attendons à ce que cette tendance s’accélère si le projet de loi C-27 est adopté, et nous avons récemment modernisé nos processus d’élaboration des orientations en tenant compte de ce scénario.
- Nous serions heureux d’avoir des responsabilités parallèles en ce qui concerne la publication d’orientations pour les organisations du secteur public dans le cadre d’une réforme de la Loi sur la protection des renseignements personnels.
Contexte
- Le Commissariat a effectué une analyse comparative internationale concernant la manière dont d’autres autorités chargées de la protection des données élaborent des orientations, ce qui a permis d’éclairer l’élaboration de nos plans visant à mettre en œuvre des processus fondés sur des données probantes, tournés vers l’avenir et qui aboutiront à des orientations pratiques, concrètes et accessibles.
- En plus de nous préparer à la réforme de la Loi, nous mettons la dernière main à l’ébauche d’orientation sur le traitement des données biométriques pour les secteurs public et privé, à la suite d’une consultation publique. Nous prévoyons également d’élaborer des orientations à l’intention des organisations sur la confirmation de l’âge.
- Dans le cadre de la modernisation de la Loi sur la protection des renseignements personnels, le ministère de la Justice a proposé que le Commissariat ait le pouvoir de sensibiliser le public et de donner des orientations sur l’interprétation et l’application de la Loi, en consultation avec le gouvernement.
- Le paragraphe 110(1) du projet de loi C-27 exigerait que le commissaire consulte les parties prenantes, y compris les institutions fédérales concernées, lorsqu’il élabore des documents d’orientation et des outils destinés aux organisations en vue de promouvoir la conformité. Nous examinons actuellement nos processus de consultation et prévoyons de consulter les parties prenantes pour obtenir leurs commentaires.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Affaires parlementaires : activités, statistiques et tendances
Principaux messages
- À titre d’agent du Parlement et d’ombudsman fédéral de la protection de la vie privée, le Commissariat est souvent appelé à fournir des conseils et des recommandations aux comités parlementaires et aux députés.
- Depuis notre précédente comparution devant ce comité concernant le Budget principal des dépenses en mai 2023, nous :
- avons comparu dix fois devant des comités permanents, dont quatre fois devant ce comité;
- avons surveillé et examiné près de 38 projets de loi et études;
- avons répondu à 14 demandes individuelles de députés.
- En moyenne, je comparais quatorze fois par an devant différents comités de la Chambre et du Sénat.
Contexte
- En 2023-2024, nous étions présents aux comparutions clés suivantes concernant les projets de loi du gouvernement :
- Le 3 mai 2023 : C-47, Loi no 1 d’exécution du budget de 2023.
- Le 19 octobre 2023 : C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique.
- Le 12 février 2024 : C-26, Loi concernant la cybersécurité et modifiant la Loi sur les télécommunications.
- Nous prévoyons d’être occupés par une série d’initiatives et de priorités au cours de la présente session, y compris le suivi de l’avancement des projets de loi suivants :
- C-27 (Loi de 2022 sur la mise en œuvre de la Charte du numérique)
- C-63 (Loi sur les préjudices en ligne)
- C-65 (Loi sur la participation électorale)
- C-26 (Loi sur la protection des cybersystèmes essentiels)
- S-231 (Loi favorisant l’identification de criminels par l’ADN)
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Budget 2024 : Répercussions pour le Commissariat
Principaux messages
- Dans le budget de 2024, le gouvernement a annoncé plusieurs engagements de financement et initiatives législatives qui pourraient avoir des répercussions sur la vie privée.
- Il s’agit notamment de nouveaux investissements dans l’intelligence artificielle, la sécurité en ligne et la cybersécurité et de modifications législatives pour permettre un meilleur échange d’informations afin de lutter contre le blanchiment d’argent et le financement du terrorisme, avec un rôle de surveillance pour le Commissariat.
- Malgré les diverses répercussions que de telles propositions pourraient avoir sur le Commissariat, le budget ne prévoit pas de ressources supplémentaires pour nous.
- Nous avons reçu un nouveau financement temporaire dans le cadre du budget de 2023 pour nous préparer au projet de loi C-27 et pour régler notre arriéré des plaintes. Toutefois, nous aurons besoin d’une solution à plus long terme pour faire face au volume et à la complexité des questions de protection de la vie privée dans le nouveau Contexte.
Contexte
- Le budget de 2024, qui a été présenté à la Chambre des communes le 16 avril, a annoncé plusieurs propositions susceptibles d’avoir des répercussions sur le Commissariat, notamment :
- un investissement de 2,4 milliards de dollars pour « renforcer l’avantage du Canada en matière d’IA », et 50 millions de dollars supplémentaires pour créer un institut de la sécurité de l’IA;
- 52 millions de dollars pour la mise en œuvre de la Loi sur les préjudices en ligne;
- des modifications visant à permettre un meilleur échange de renseignements dans le cadre de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, ce qui entraînera un élargissement du rôle de contrôle du Secrétariat;
- la mise en œuvre d’un nouveau cadre de déclaration pour les transactions de crypto-actifs afin de faciliter l’échange d’informations entre les pays membres de l’OCDE
- 84 millions de dollars pour le Secrétariat du Conseil du Trésor et Bibliothèque et Archives Canada afin de « maintenir le régime relatif à l’accès à l’information et à la protection des renseignements personnels ».
- Le budget de 2023 prévoyait 15 millions de dollars sur cinq ans pour aider le Commissariat à mettre en œuvre ses nouvelles obligations au titre du projet de loi C‑27, et 6 millions de dollars sur deux ans pour faire face au nombre croissant d’atteintes à la vie privée signalées et à l’arriéré des plaintes.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Relations internationales : Activités principales
Principaux messages
- Le renforcement des droits en matière de protection de la vie privée à l’échelle mondiale et les partenariats internationaux contribuent à assurer la protection des renseignements personnels des Canadiens lorsqu’ils sont traités à l’extérieur des frontières du pays.
- Le Commissariat participe à des réseaux internationaux et collabore avec ses homologues afin d’optimiser les ressources, d’élaborer des positions stratégiques communes et de partager les pratiques exemplaires en matière d’application de la loi.
- L’un de ces réseaux est la table ronde des autorités de protection des données et de la vie privée du G7, que le Commissariat se réjouit d’accueillir en 2025. Pour nous aider à assumer ce rôle, nous collaborons avec des partenaires gouvernementaux clés afin d’appuyer et de promouvoir la vision globale du Canada pour sa présidence du G7.
Contexte
- Table ronde des autorités de protection des données et de la vie privée du G7 : La réunion annuelle aura lieu à Rome en octobre. Il y aura trois groupes de travail : 1) Libre circulation des données en toute confiance; 2) Collaboration en matière d’application de la loi; 3) Technologies émergentes, dont le Commissariat assure la présidence.
- Dernière mise à jour : Le 25 avril, nous avons communiqué avec Affaires mondiales Canada et ISDE pour participer au processus de planification et faciliter la collaboration à l’appui des objectifs du Canada au sein du G7 lors de la table ronde des autorités de protection des données et de la vie privée du G7.
- Assemblée mondiale pour la protection de la vie privée : Le Commissariat préside du Groupe de travail sur la protection des données et des autres droits et libertés, du Groupe de travail sur la coopération internationale en matière d’application de la loi et du Groupe de travail sur les citoyens et les consommateurs numériques. Il est membre de 8 autres groupes de travail de l’Assemblée mondiale pour la protection de la vie privée, notamment sur l’éthique de l’IA et sur l’éducation numérique.
- Principales résolutions pour 2023 : sur le prix de la vie privée et des droits de la personne (parrain), sur l’IA et l’emploi (coparrain) et sur les systèmes d’IA générative (coparrain).
- Autres réseaux clés : 1) Global Privacy Enforcement Network (GPEN); 2) Forum des autorités de protection de la vie privée de la zone Asie-Pacifique; 3) Association francophone des autorités de protection des données personnelles; 4) Common Thread Network; et 5) Groupe de travail de Berlin.
- Participation à des forums gouvernementaux internationaux : 1) Sous-groupe sur la protection des données de la Coopération économique Asie-Pacifique; 2) Forum mondial sur les règles relatives aux transferts transfrontaliers de données; 3) groupe de travail sur la gouvernance des données et la protection de la vie privée dans l’économie numérique de l’OCDE.
- Protocoles d’entente : Le Commissariat a signé neuf protocoles d’entente bilatéraux et trois protocoles d’entente multilatéraux portant sur l’assistance mutuelle en matière d’application de la loi : 1) Accord de coopération de l’APEC pour l’application transfrontalière de la protection de la vie privée; 2) Entente de coopération transfrontalière dans l’application des lois de l’Assemblée mondiale pour la protection de la vie privée (AMVP); 3) Entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée.
Préparé par : IPT
Relations internationales : Statistiques et tendances
Principaux messages
- Il est difficile de comparer le Commissariat à d’autres autorités de protection des données à l’échelle mondiale. La portée des mandats peut varier et la législation sur la protection de la vie privée se trouve à différents niveaux d’évolution dans le monde.
- Cela dit, le Commissariat est un cas particulier dans le monde, dans la mesure où il n’a pas le pouvoir d’émettre des ordonnances ou d’imposer des sanctions en cas d’atteinte à la vie privée. Le projet de loi C-27 remédierait à cette situation, et nous espérons toujours que le Parlement réformera la LPRPDE afin de doter le Commissariat de cet important outil.
- Le signalement obligatoire des atteintes est la norme internationale. Certes, le Canada dispose d’un système de signalement obligatoire dans le secteur privé, mais nous continuons à demander qu’il en soit de même dans le secteur public.
Contexte
Les données sont fondées sur le recensement de 2023 de l’AMVP, qui visait les données de 2022 des membres de l’AMVP :
- Financement : Parmi les autorités de protection des données et de la vie privée, 71,1 % ont déclaré une augmentation de leur budget par rapport à l’année précédente, et seulement 12,8 % ont connu une diminution de leur budget. En tout, 62,8 % d’entre elles ont augmenté leur personnel par rapport à l’année précédente.
- Le Commissariat a reçu un financement temporaire de 6 millions de dollars sur deux ans dans le cadre du budget de 2023 pour résorber l’arriéré des plaintes et traiter les atteintes, et 15 millions de dollars sur cinq ans pour mettre en œuvre la Loi sur la protection de la vie privée des consommateurs (LPVPC) (pas encore accessible).
- Pouvoirs d’application de la loi : 74 % des autorités de protection des données et de la vie privée peuvent imposer des amendes ou des pénalités en cas d’atteinte à la vie privée. En tout, 90 % ont le pouvoir d’imposer des sanctions en cas d’infractions civiles/administratives et d’enquêter à cet égard.
- Le projet de loi C-27 conférerait au Commissariat des pouvoirs d’application de la loi accrus, mais tant que la LPRPDE n’aura pas été réformée, le Canada (au fédéral) demeurera une exception.
- Coopération en matière d’application de la loi : En tout, 63 % des autorités de protection des données et de la vie privée disposent d’un mécanisme de coopération avec d’autres autorités réglementaires.
- En vertu de la LPRPDE, le Commissariat peut collaborer et échanger des renseignements avec ses homologues internationaux sous réserve de certaines conditions, notamment l’obligation de conclure un accord écrit avec l’autre partie. Le Commissariat a conclu neuf protocoles d’entente bilatéraux et trois multilatéraux.
- Signalement des atteintes : En tout, 87 % des autorités ont des obligations en matière de déclaration d’atteintes dans leur territoire de compétence, et 68 % publient des informations sur les déclarations d’atteintes qu’ils reçoivent, par exemple le nombre total de déclarations reçues, la ventilation par secteur ou les détails de celles qui donnent lieu à des mesures officielles.
Préparé par : IPT
Direction de l’analyse des technologies : activités, statistiques et tendances
Principaux messages
- La prise en compte des répercussions des avancées technologiques sur la protection de la vie privée, en particulier en ce qui concerne l’IA, est l’une des priorités stratégiques du Commissariat.
- À cette fin, le Commissariat étudie différentes technologies pour évaluer leurs répercussions potentielles sur la protection de la vie privée.
- Le Commissariat dispose d’une équipe d’analystes des TI qui mettent à profit leur vaste expertise technologique pour examiner les logiciels malveillants, les composants matériels, les applications mobiles et les appareils d’Internet des objets dans le but de promouvoir la protection de la vie privée par l’utilisation sûre et sécuritaire des technologies numériques par les Canadiens.
- Le laboratoire d’analyse technologique du Commissariat appuie également les enquêtes de conformité et les recherches liées aux technologies émergentes, notamment l’intelligence artificielle, la biométrie, l’identification numérique ainsi que les technologies d’amélioration de la confidentialité comme la dépersonnalisation.
Contexte
- La Direction de l’analyse de la technologie (DAT) appuie le travail du Commissariat, y compris les activités liées à la Loi canadienne anti-pourriel.
- La DAT analyse également les technologies émergentes, comme l’IA générative et les techniques de vérification de l’âge, en collaboration avec d’autres administrations au Canada et à l’étranger.
- La DAT continue de soutenir diverses enquêtes, divers travaux relatifs à des atteintes à la vie privée et diverses initiatives gouvernementales liées à la technologie, à la protection de la vie privée et à la cybersécurité.
- Par la publication d’articles de blogue, la DAT vise également à sensibiliser le public aux répercussions des différentes technologies sur la protection de la vie privée. En 2023-2024, la DAT a publié des articles de blogue sur l’informatique quantique, le chiffrement homomorphe et l’équité algorithmique.
Préparé par : Direction de l’analyse de la technologie
Direction des communications : activités, statistiques et tendances
Principaux messages
- Conformément à son mandat de protection et de promotion de la vie privée en tant que droit fondamental, le Commissariat continue de communiquer sur un éventail de questions relatives à la vie privée, notamment la vie privée des jeunes, les enquêtes majeures et les efforts nationaux et internationaux visant à prendre en compte les répercussions des nouvelles technologies sur la vie privée.
- Compte tenu des changements importants survenus dans le paysage de la communication, notre équipe des communications travaille constamment à mieux comprendre les besoins, les intérêts et les attentes changeants des Canadiens en matière d’information, et à y répondre.
- Nous répondons également aux demandes d’information du public et des organisations par l’entremise du Centre d’information du Commissariat.
Contexte
- Principales statistiques sur les communications pour la période 2023-2024 :
- 2 548 demandes d’information reçues par le centre d’information.
- 64 discours prononcés ou présentations faites par le commissaire ou le personnel du Commissariat.
- 106 communiqués de presse, annonces et discours publiés.
- 11 000 exemplaires de publications du Commissariat distribués (par exemple, des bandes dessinées éducatives).
- Réponse à 120 demandes des médias
- 3,1 millions de visites uniques sur notre site Web.
- Les travaux entrepris en 2023-2024 pour mieux comprendre et aborder les changements dans le paysage de l’information et des communications comprenaient du travail de recherche sur l’opinion publique (entreprises canadiennes), une analyse du Contexte public et une analyse éducative liée à la protection de la vie privée des jeunes, du travail de recherche sur les besoins des utilisateurs et des tests de convivialité de notre site Web.
Préparé par : Direction des communications
Programme des contributions
Principaux messages
- Dans le cadre de son Programme des contributions, le Commissariat consacre jusqu’à 500 000 dollars par an à des initiatives de recherche et d’éducation du public sur un éventail de questions relatives à la protection de la vie privée liées à la LPRPDE.
- Ces projets indépendants génèrent de l’information, de l’expertise et une compréhension nouvelles qui peuvent aider les organisations à renforcer la protection de la vie privée et aider les Canadiens à exercer leur droit à la vie privée dans leurs interactions avec le secteur commercial.
- Chaque année, l’appel de demandes porte sur un thème particulier qui correspond aux priorités du Commissariat. Les thèmes de cette année sont : « Tenir compte des répercussions sur la vie privée des nouvelles technologies » et « Protéger la vie privée des enfants »
Contexte
- Créé en 2004, le Programme des contributions a versé près de 10 millions de dollars à différentes organisations pour la recherche sur la protection de la vie privée.
- Le Programme a financé une grande diversité de projets, notamment ceux du Centre de gouvernance de l’information des Premières Nations (sur la souveraineté des données et la LPRPDE), de l’Institut national canadien pour les aveugles (sur le consentement et l’inclusion, la diversité, l’équité et l’accessibilité) et de l’Université de Western Ontario (sur les interfaces truquées).
- Tous les projets doivent être liés à la LPRPDE, puisque le Programme existe au titre de cette loi. Les propositions sont évaluées en fonction des avantages par des experts en la matière du Commissariat et, le cas échéant, par des pairs examinateurs externes. La plupart des années, environ 50 000 dollars sont alloués aux demandeurs retenus. La contribution maximale est de 100 000 dollars.
- En 2020-2021, les modalités du Programme ont été renouvelées pour cinq ans par le ministre de la Justice (jusqu’au 31 mars 2025).
- La liste complète des projets financés est publiée sur le site Web du Commissariat, ainsi que des résumés des projets achevés les années précédentes.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Vie privée des enfants
Principaux messages
- L’une de mes principales priorités stratégiques est de veiller à ce que la vie privée des enfants soit protégée et à ce que les jeunes comprennent leurs droits en matière de vie privée et puissent les exercer.
- L’année dernière, mes homologues de l’Alberta, du Québec et de la Colombie-Britannique et moi-même avons lancé une enquête sur TikTok afin de déterminer si les pratiques de l’organisation sont conformes aux lois sur la protection de la vie privée, en mettant particulièrement l’accent sur les pratiques de TikTok en matière de protection de la vie privée concernant les jeunes utilisateurs.
- Des organisations nous ont indiqué qu’il serait utile de clarifier nos attentes en matière de protection de la vie privée des enfants. Nous avons entrepris des activités dans ce but :
- En octobre dernier, mes homologues provinciaux et territoriaux et moi-même avons publié une résolution conjointe appelant les gouvernements et les organisations à faire passer les intérêts des jeunes en premier et recommandant l’adoption de pratiques précises à cette fin.
- Le Commissariat est en train d’élaborer des orientations et mènera des consultations sur des sujets comme la confirmation de l’âge.
Contexte
- Conformément au plan stratégique du Commissariat, nous continuerons à développer notre expertise en menant des recherches et des activités de sensibilisation auprès des jeunes afin de cerner les atteintes à la vie privée et de mieux comprendre la façon dont ils perçoivent leur droit à la vie privée.
- La protection de la vie privée des enfants était l’un des principaux thèmes du Programme des contributions 2024-2025 du Commissariat. Cela permettra de financer d’importants travaux de recherche visant à mieux comprendre la vie privée des jeunes.
- Le Commissariat siège au Groupe de travail sur l’éducation numérique de l’Assemblée mondiale pour la protection de la vie privée et à un groupe de travail international sur la confirmation de l’âge, dans le cadre duquel nous collaborons et avec nos homologues internationaux et échangeons des pratiques exemplaires avec eux.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor
Principaux messages
- La Directive sur l’évaluation des incidences sur la vie privée du SCT exige que les institutions gouvernementales effectuent une EFVP lorsqu’un programme ou une activité est susceptible d’avoir une incidence sur les renseignements personnels. Elle exige également que les institutions communiquent au Commissariat les EFVP qu’elles ont réalisées.
- Conformément à la Politique sur la protection de la vie privée du SCT, les institutions doivent informer le Commissariat des activités et des programmes, nouveaux ou existants, susceptibles d’avoir une incidence sur la vie privée, peu importe si une EFVP est prévue ou non.
- Malgré ces exigences, nous ne sommes pas toujours consultés ou informés des initiatives susceptibles d’avoir une incidence sur la protection de la vie privée avant leur mise en œuvre.
- Le Conseil du Trésor est en train de mettre à jour sa directive et a consulté le Commissariat. Une clarté accrue est toujours la bienvenue, mais l’obligation de réaliser des EFVP devrait également être inscrite dans la loi.
Contexte
- Les EVFP sont d’une exigence stratégique depuis 2002, mais elles n’ont pas force de loi au titre de la Loi sur la protection des renseignements personnels.
- En mars 2024, la présidente du Conseil du Trésor, Anita Anand, a comparu devant ETHI dans le cadre de l’étude en cours sur l’utilisation par le gouvernement fédéral d’outils technologiques capables d’extraire des données personnelles d’appareils mobiles et d’ordinateurs. Durant sa comparution, elle a comparé les EFVP à une « liste de vérification » et a indiqué qu’elles n’étaient « pas obligatoires ».
- Lors de la même comparution, le sous-ministre du Conseil du Trésor (et dirigeant principal de l’information du Canada) Dominic Rochon a reconnu que, dans sa forme actuelle, la Directive sur l’évaluation des incidences sur la vie privée laisse aux ministères une certaine « marge de manœuvre » pour déterminer s’ils doivent effectuer une EFVP lors de la mise en œuvre de nouvelles technologies ou de nouveaux logiciels.
- Dans son plus récent document de consultation sur la modernisation de la Loi sur la protection des renseignements personnels, le ministère de la Justice a proposé d’inclure dans la Loi une obligation d’effectuer une EFVP, ainsi qu’une exigence selon laquelle les EFVP devraient être communiquées au Commissariat pour obtenir des avis et des recommandations, que le Commissariat devrait fournir dans des délais prescrits.
- Le SCT a transmis au Commissariat une première ébauche d’une directive mise à jour sur l’EFVP afin de recueillir nos commentaires, et nous continuons de communiquer avec le SCT à ce sujet. La publication est prévue pour cet été.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Litiges en cours : Facebook (Meta)
Principaux messages
- En 2018, le Commissariat a reçu une plainte visant Facebook qui a été formulée dans le Contexte des reportages dans les médias selon lesquels Cambridge Analytica avait eu accès aux renseignements personnels d’utilisateurs de Facebook, sans leur consentement, par l’intermédiaire d’une application tierce (TYDL).
- Les enjeux au cœur de cette affaire sont étroitement liés au droit fondamental à la vie privée des Canadiennes et des Canadiens et à leur capacité de participer en toute confiance à notre société numérique.
- Le Commissariat a porté en appel la décision de la Cour fédérale, car l’affaire soulève d’importantes questions quant à l’interprétation et à l’application des lois sur la protection des renseignements personnels au Canada, lesquelles gagneraient à être clarifiées par la Cour d’appel fédérale.
Contexte
- Le Commissariat à la protection de la vie privée du Canada et le Commissariat à la protection de la vie privée de la Colombie-Britannique ont enquêté conjointement, ce qui a permis de déterminer que Facebook n’avait pas obtenu le consentement valable de ses utilisateurs avant de divulguer leurs renseignements personnels et qu’il n’avait pas mis en place des mesures de protection adéquates.
- Le Commissariat a déposé une demande d’audition auprès de la Cour fédérale en vertu de l’article 15 de la LPRPDE, demandant, entre autres, une ordonnance obligeant Facebook à corriger ses pratiques pour se conformer à la LPRPDE, car Facebook n’a pas accepté de mettre en œuvre les recommandations du Commissariat.
- En avril 2020, Facebook a déposé une demande de contrôle judiciaire du processus d’enquête du Commissariat et du rapport de conclusions qui en a résulté.
- Le 13 avril 2023, la Cour fédérale a rejeté la demande de contrôle judiciaire déposée par Facebook. La Cour a estimé que le Commissariat n’avait pas enfreint l’équité procédurale et que l’enquête n’était pas hors délai. Cette décision ne fait pas l’objet d’un appel.
- Le 13 avril 2023, la Cour a également rejeté la demande présentée par la commissaire en vertu de l’article 15, estimant qu’il n’y avait pas suffisamment de preuves pour conclure que Facebook n’avait pas respecté la LPRPDE. Le Commissariat a interjeté appel devant la Cour d’appel fédérale.
- L’appel a été entendu le 21 février 2024. La Cour d’appel fédérale n’a pas encore rendu sa décision.
Préparé par : Services juridiques
Litiges en cours : Aylo (MindGeek)
Principaux messages
- En avril 2023, Aylo (anciennement MindGeek) a présenté une demande de contrôle judiciaire às la Cour fédérale, faisant valoir que l’intention du Commissariat de publier son rapport de conclusions concernant une plainte reçue contre l’entreprise était déraisonnable et injuste.
- Aylo a ensuite demandé une injonction qui aurait empêché le Commissariat de publier le rapport final des conclusions pendant que la demande de contrôle judiciaire était en cours.
- En août 2023, la Cour fédérale a rejeté la demande d’injonction d’Aylo, notamment parce qu’elle n’avait pas démontré qu’elle serait irrémédiablement lésée par l’établissement et la publication du rapport. Aylo a fait appel de cette décision.
- En février 2024, la Cour d’appel fédérale a rejeté à l’unanimité l’appel d’Aylo. Le même jour, Commissariat a publié le rapport final des conclusions.
Contexte
- En avril 2020, le Commissariat a reçu une plainte contre Aylo, qui n’aurait pas obtenu le consentement de toutes les personnes représentées dans du contenu intime affiché sur ses différents sites Web. Après enquête, le Commissariat a informé Aylo en mars 2023 de son intention d’établir et de publier le rapport de conclusions de l’enquête sur la plainte.
- Le rapport a révélé qu’Aylo avait enfreint la LPRPDE en permettant la diffusion de contenu intime sur ses sites Web à l’insu ou sans le consentement des personnes représentées.
- Le Commissariat a recommandé qu’Aylo mette immédiatement fin à la collecte, à l’utilisation et à la divulgation d’images et de vidéos intimes générées par les utilisateurs jusqu’à ce que l’entreprise ait mis en œuvre des mesures assurant le respect de ses obligations au titre de la LPRPDE. À ce jour, Aylo n’a pas accepté de se conformer aux recommandations.
Préparé par : Services juridiques
Frais de litige
Principaux messages
- Les litiges demeurent un outil essentiel pour le Commissariat dans son travail de protection et de promotion de la vie privée. Cela dit, présenter une demande de nature judiciaire ou répondre à une demande de contrôle judiciaire peut s’avérer très coûteux, malgré les efforts déployés pour utiliser les ressources de manière judicieuse.
- Les frais de litige engagés par le Commissariat ont connu une augmentation importante en 2023-2024. Certes, les coûts ont généralement augmenté au cours des six dernières années, mais ils ont plus que doublé au cours de l’année dernière.
- Ceci est attribuable à un ensemble particulier de circonstances, avec des coûts encourus pour deux affaires devant la Cour fédérale et trois devant la Cour d’appel fédérale.
- La grande majorité de ces coûts a été engagée dans le cadre de l’affaire Aylo, qui a considérablement fait progresser la protection de la vie privée.
- Bien que les taux de contrôle judiciaire des décisions du Commissariat soient restés relativement stables, si le projet de loi C-27 est adopté, le Commissariat prévoit une augmentation des activités liées aux litiges au cours des premières années en raison des contestations des décisions du Commissariat d’émettre des ordonnances, de recommander des sanctions administratives pécuniaires et d’établir des conclusions d’enquête qui donnent lieu à un nouveau droit pour les personnes d’intenter des poursuites pour obtenir des dommages-intérêts.
Contexte
- Dépenses du Commissariat liées aux litiges pour les honoraires des avocats externes, par année financière :
2018-2019 2019-2020 2020-2021 2021-2022 2022-2023 2023-2024 67 523 $ 130 598 $ 114 930 $ 212 329 $ 284 277 $ 771 382 $ - Le Commissariat règle de nombreuses plaintes par règlement rapide ou au moyen de ses conclusions et recommandations d’enquête, et le recours à la procédure judiciaire n’est qu’un outil parmi d’autres.
- L’intervention du Commissariat dans des cas soulevant d’importantes questions d’interprétation de la LPVPC est également susceptible d’augmenter temporairement les frais de litige si le projet de loi C-27 est adopté.
Préparé par : Services juridiques
Projet de loi C-27
Principaux messages
- Le projet de loi C-27 répond à de nombreuses préoccupations que le Commissariat et d’autres experts ont soulevées au sujet de la LPRPDE. Par exemple, il élargit les exigences relatives à l’obtention du consentement éclairé et la liste des contraventions passibles de sanctions administratives pécuniaires.
- Toutefois, je pense qu’il doit aller plus loin pour assurer une meilleure protection des droits des Canadiens en matière de vie privée dans l’environnement numérique, pour promouvoir l’innovation et pour éviter de faire la part trop belle à la réglementation.
- Le Commissariat a proposé 15 recommandations pour renforcer le projet de loi, notamment celle de reconnaître la protection de la vie privée comme un droit fondamental et en protégeant la vie privée des enfants et l’intérêt supérieur de l’enfant.
- Nous avons été très encouragés de voir le Comité tenir compte de ces recommandations, ainsi que d’autres formulées par le Commissariat, dans ses amendements au projet de loi. Nous continuons de suivre de près les progrès du projet de loi.
Contexte
- Le Comité permanent de l’industrie et de la technologie (INDU) a entamé l’examen article par article du projet de loi C-27 le 8 avril 2024. À ce jour, le Comité INDU a tenu sept réunions et adopté huit amendements, dont la plupart sont largement conformes à nos recommandations. Par exemple :
- Intégrer le préambule du projet de loi dans la Loi sur la protection de la vie privée des consommateurs et le modifier afin de reconnaître le droit fondamental à la vie privée et l’importance de protéger les mineurs et leur intérêt supérieur;
- modifier la définition du terme « anonymiser » en supprimant les « meilleures pratiques généralement reconnues » et ajouter la norme « aucun risque raisonnablement prévisible dans les circonstances » pour la repersonnalisation;
- modifier la définition française du terme « dépersonnaliser » pour mieux l’harmoniser avec la définition anglaise;
- ajouter les définitions des termes « autorité légitime », « mineur » et « profilage »;
- modifier la définition de « renseignement personnel » pour y inclure les renseignements qui sont le résultat d’inférences.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Réforme de la Loi sur la protection des renseignements personnels
Principaux messages
- Alors que la réforme de la loi dans le secteur privé se poursuit, la Loi sur la protection des renseignements personnels n’a malheureusement pas beaucoup changé depuis son entrée en vigueur il y a plus de 40 ans.
- Dans la mesure du possible, compte tenu de leurs Contextes différents, les lois fédérales sur la protection de la vie privée devraient être globalement cohérentes entre elles et avec d’autres cadres mondiaux de protection des données.
- Une harmonisation accrue des lois des secteurs public et privé permettrait d’améliorer la prévisibilité, l’interopérabilité et la cohérence.
- Des normes communes seraient également plus propices aux partenariats public-privé et à la délocalisation informatique.
Contexte
- En 2021, le ministère de la Justice a publié un document de consultation proposant une série de réformes de la Loi sur la protection des renseignements personnels. Les propositions précises appuyées par le Commissariat comprenaient :
- l’ajout d’un énoncé d’objectifs reconnaissant la vaste portée du droit à la vie privée en tant que droit de la personne;
- une surveillance accrue, ainsi que des recours rapides et efficaces, comme des pouvoirs de rendre des ordonnances et des droits de recours élargis;
- une définition élargie de « renseignement personnel ».
- Le Commissariat a également présenté plusieurs recommandations en réponse, notamment :
- qu’on inclue dans la Loi une définition de « prise de décisions automatisée », un droit à une explication valable et à une intervention humaine, des normes quant à l’explication requise et des obligations légales en matière de traçabilité;
- que la nouvelle norme « raisonnablement nécessaire » pour la collecte indique clairement que les incidences sur la vie privée doivent être proportionnelles aux intérêts publics en jeu;
- que les institutions gouvernementales soient tenues de consulter le Commissariat au sujet des projets de loi et de règlement ayant une incidence sur la protection de la vie privée avant qu’ils ne soient présentés.
- La plus récente mise à jour publique du ministère de la Justice depuis le lancement de la consultation a été la publication d’un rapport « ce que nous avons entendu » en août 2021 et d’un rapport sur la consultation des Autochtones en 2022 publié en octobre 2023.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Projet de loi C-63 (Loi sur les préjudices en ligne)
Principaux messages
- Le gouvernement a déposé le projet de loi C-63, Loi sur les préjudices en ligne, dont l’objectif déclaré est de responsabiliser les services de médias sociaux pour qu’ils s’attaquent au contenu préjudiciable sur leurs plateformes et créent un espace en ligne sécuritaire qui protège tout le monde au Canada, en particulier les enfants.
- Nous avons fait de la défense du droit à la vie privée des enfants une priorité stratégique du Commissariat, car les enfants doivent pouvoir naviguer en ligne en toute sécurité. Cette priorité s’harmonise avec les éléments du projet de loi C-63 relatifs à la conception de services réglementés adaptés à l’âge des utilisateurs.
- Le projet de loi C-63 traite également des images intimes communiquées sans consentement, ce qui présente un intérêt pour Commissariat compte tenu des conclusions que nous avons tirées de l’enquête sur l’affaire Aylo.
- Dans le rapport de conclusions que j’ai publié, je recommandais qu’Aylo obtienne le consentement exprès de chaque personne apparaissant dans des images et des vidéos intimes avant que le contenu puisse être téléversé sur ses sites.
- Je me ferai un plaisir de discuter plus en détail des répercussions du projet de loi C-63 en matière de protection de la vie privée si je suis appelé à commenter le projet de loi au Parlement.
Contexte
- Le projet de loi C-63 prévoit l’obligation de protéger les enfants. Dans le cadre de cette obligation, l’article 65 stipule que « L’exploitant intègre au service réglementé qu’il exploite toute caractéristique de conception relative à la protection des enfants prévue par règlement, telles que des caractéristiques de conception adaptées à l’âge. » L’alinéa 140(1)o) précise que les réglementations relatives aux caractéristiques de conception peuvent inclure des paramètres de confidentialité pour les enfants.
- Le projet de loi C-63 établit également une obligation de rendre certains contenus inaccessibles. L’exploitant d’un service réglementé, qu’il s’agisse de contenu signalé par le service lui-même ou par un utilisateur, doit retirer le contenu pour lequel il a des motifs raisonnables de soupçonner qu’il s’agit de contenu représentant de la victimisation sexuelle d’enfants ou perpétuant la victimisation de survivants ou de contenu intime communiqué de façon non consensuelle, dans les 24 heures après l’identification du contenu par l’exploitant (article 67). Le contenu doit rester hors ligne jusqu’à ce que l’exploitant d’un service réglementé ait décidé si le contenu doit rester inaccessible.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
Projet de loi C-65 (Loi sur la participation électorale)
Principaux messages
- Le projet de loi C-65, déposé en mars 2024, ajoute de nouveaux éléments aux politiques sur la protection de la vie privée que les partis politiques sont tenus de mettre en place dans le cadre de leur inscription auprès d’Élections Canada (au titre de la Loi électorale du Canada).
- Lors de comparutions antérieures sur cette question, j’ai recommandé que les partis politiques soient assujettis à des règles de fond en matière de protection de la vie privée (p. ex., celles qui figurent dans la Loi sur la protection des renseignements personnels ou dans la LPRPDE) qui prévoient des mécanismes de recours, d’examen indépendant et de conformité.
- J’ai hâte de partager mon point de vue avec les parlementaires lorsque le projet de loi C-65 sera étudié en détail au comité.
Contexte
- Éléments de la loi relatifs à la protection de la vie privée : Le projet de loi C-65 ajoute de nouveaux éléments aux politiques sur la protection de la vie privée que les partis politiques doivent élaborer dans le cadre de leur inscription auprès d’Élections Canada (au titre de la Loi électorale du Canada), notamment :
- un parti enregistré ou admissible et les personnes agissant au nom du parti doivent se conformer à la politique du parti en matière de protection des renseignements personnels;
- le non-respect de la politique de confidentialité d’une partie est considéré comme une atteinte;
- les parties doivent aviser les personnes concernées, en cas d’atteinte à la vie privée, lorsqu’il existe un risque réel de préjudice grave.
- Comparutions antérieures : lorsque vous avez comparu sur cette question en mai 2023 devant le Comité sénatorial des affaires juridiques et constitutionnelles (sur le projet de loi C-47), vous avez fait remarquer que :
- malgré les modifications apportées par le projet de loi C-47, les partis politiques n’étaient assujettis à aucune exigence minimale en matière de protection de la vie privée pour régir le traitement des renseignements personnels ni à aucune surveillance indépendante de leurs pratiques en matière de protection de la vie privée;
- le projet de loi C-47 autorise plutôt les partis et leurs affiliés à recueillir, utiliser, conserver, divulguer et éliminer des renseignements personnels conformément à leurs propres politiques.
Préparé par : Direction des politiques, de la recherche et des affaires parlementaires
- Date de modification :