Sélection de la langue

Recherche

Questions et réponses supplémentaires au sujet du budget principal des dépenses 2024-2025

Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique



Q 1 : Technologie HikVision et caméras de surveillance

Quels sont les points de vue/analyses du CPVP quant aux caméras Hikvision et à la technologie sous-jacente? Le Commissariat analyse-t-il cette technologie?

Réponse / Principaux messages

  • À la suite d’une demande d’un député, le CPVP a entrepris une analyse technique exhaustive relativement à de l’équipement d’enregistrement vidéo Hikvision sélectionné afin de cerner tous les risques possibles liés à la protection de la vie privée et à la sécurité.
  • L’acquisition de l’équipement HikVision a récemment été conclue.
  • Le CPVP entreprend maintenant l’analyse, laquelle devrait prendre environ huit semaines.

Contexte

  • Motivation : En décembre 2023, le député René Villemure a demandé au CPVP d’entreprendre un examen en matière de protection de la vie privée et de sécurité relativement à l’équipement d’enregistrement vidéo (p. ex., caméras de sécurité, enregistreurs vidéos réseau, etc.) produit par l’entreprise HikVision établie en Chine, à la suite de reportages médiatiques préoccupants quant aux risques que présente l’utilisation de cet équipement.
    • Une question à inscrire au Feuilleton (Q-2430) a également été déposée par M. Villemure le 14 mars 2024 afin de déterminer si des ministères fédéraux se sont procuré des caméras de surveillance produites par HikVision et dans l’affirmative, si une évaluation des facteurs relatifs à la vie privée (EFVP) a été effectuée.
  • (caviardé)
  • Plan de mise à l’essai : Le CPVP a créé un plan détaillé de mise à l’essai qui présente la méthodologie à utiliser pour évaluer les risques que présente l’utilisation des technologies HikVision pour la protection de la vie privée et la sécurité.
  • Sujets de la mise à l’essai : Le plan d’essai cible trois composantes clés : l’enregistreur vidéo réseau, les caméras réseau et les applications connexes pour les plateformes de bureau et mobiles.
  • Échéanciers pour la mise à l’essai : Nous croyons que nous serons en mesure de procéder à l’analyse en huit semaines environ, après quoi nous ferons part de nos conclusions. Ces échéanciers pourraient changer en raison de difficultés techniques imprévues qui pourraient se présenter au cours de l’analyse.

Préparé par : Analyse de la technologie


Q 2 : Technologie Hikvision – EFVP ou consultation

A-t-on consulté le Commissariat quant à l’utilisation de caméras ou de la technologie Hikvision? Avez-vous reçu une EFVP? Vous seriez-vous attendu à en recevoir une?

Réponse / Principaux messages

  • Aucun ministère fédéral n’a consulté le Commissariat quant à l’utilisation de la technologie Hikvision, et aucune EFVP ne lui a été envoyée.
  • Nous n’avons pas communiqué avec les institutions ciblées comme s’étant procuré des caméras Hikvision, mais nous avons encouragé toutes les institutions menant des activités pouvant porter atteinte au droit à la vie privée à consulter de façon proactive le Commissariat. Le CPVP pourrait également adopter une communication proactive.
  • Le CPVP s’attend à ce que les ministères fédéraux respectent la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor (SCT) du Canada et qu’ils collaborent avec le Commissariat avant la mise en œuvre de programmes ou d’initiatives qui pourraient avoir une incidence sur la protection de la vie privée. Cela pourrait se faire soit par le biais d’une consultation officielle, soit dans le contexte d’une évaluation des facteurs relatifs à la vie privée.
  • Des EFVP ne sont généralement pas réalisées concernant des outils technologiques, mais plutôt des programmes et des initiatives. Cependant, l’introduction d’une nouvelle technologie dans un programme existant peut représenter une modification importante et donner l’occasion à une institution de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) pour l’ensemble du programme et d’évaluer les risques liés à la protection de la vie privée liés aux programmes existants qui n’ont peut-être pas fait l’objet d’une évaluation antérieure ou de mettre à jour une EFVP existante.

Contexte

  • La Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT exige que les institutions mènent des EFVP pour les programmes ou les activités qui utilisent des renseignements personnels dans le cadre d’un processus décisionnel touchant directement un individu. Bien que les institutions fédérales doivent envoyer les EFVP réalisées au Commissariat et au SCT, nous n’avons pas le pouvoir de les approuver ou de les entériner. 
  • Le SCT est chargé de surveiller la conformité à la Directive. Le Commissariat a le pouvoir d’examiner la conformité aux articles 4 à 8 de la Loi sur la protection des renseignements personnels. Il pourrait vérifier les processus d’EFVP des ministères et en faire rapport au Parlement, mais cela se ferait dans le cadre d’une procédure distincte.
  • Nous avons des contacts réguliers avec les bureaux de l’accès à l’information et de la protection des renseignements personnels pour la plupart des institutions, mais nous ne pouvons fournir des conseils et des recommandations que sur les programmes qui nous sont communiqués et sur la base des renseignements qui nous sont fournis.

Préparé par : Direction des services-conseils au gouvernement


Q 3 : Question à inscrire au Feuilleton relativement au modèle hybride

Pour faire suite à la question à inscrire au Feuilleton du 3 mai, le CPVP a-t-il été consulté par le SCT relativement au modèle de main-d’œuvre hybride, notamment sur les risques potentiels d’atteinte à la vie privée et à la protection des données? Avons-nous reçu des avis d’atteinte pertinents?

Réponse / Principaux messages

  • Le SCT a consulté le CPVP au sujet d’une version antérieure de l’orientation sur la protection de la vie privée relativement aux exigences de présence sur le lieu de travail.
  • Le CPVP recommande aux institutions fédérales d’envisager le moyen d’application de la nouvelle directive qui porte le moins atteinte à la vie privée.
  • Nous constatons que l’orientation mise à jour met l’accent sur le respect de la vie privée des employés et n’encourage pas la mise en œuvre de régimes de surveillance proactive. Les institutions qui souhaitent mettre en place une forme de surveillance proactive des employés doivent préparer une évaluation des facteurs relatifs à la vie privée.
  • Bien que cela ne soit pas directement lié au modèle de travail hybride, le Commissariat enquête sur une cyberattaque à Affaires mondiales Canada après que des personnes non autorisées ont accédé au réseau privé virtuel de ce ministère. Bien qu’il y ait pu en avoir davantage, aucune autre atteinte à la vie privée pouvant être attribuable aux risques créés par les employés travaillant à distance n’a été signalée au CPVP.

Contexte

  • Le CPVP a présenté au SCT des recommandations visant à assurer que la vérification de la présence des employés respecte leur vie privée. Par exemple, nous avons recommandé de limiter la collecte de renseignements personnels à ce qui est nécessaire et d’aviser les employés quant aux renseignements personnels qui pourraient être recueillis et utilisés dans le but de vérifier leur présence au bureau.
  • Parmi les atteintes pouvant être pertinentes, le CPVP enquête sur une atteinte à Affaires mondiales Canada. L’enquête est en cours et nous ne sommes pas en mesure pour le moment de conclure que le RPV compromis est directement attribuable au modèle de travail hybride ou au travail à distance.
  • Les atteintes dans le secteur public sont signalées conformément à une directive du SCT, et non à une mesure législative. Nous avons recommandé que le signalement des atteintes soit une exigence législative.

Préparé par : Direction des services-conseils au gouvernement/Direction des admissions, du règlement et de la conformité


Q 4 : Utilisation des nouvelles technologies par le CPVP

De quelle façon le CPVP utilise-t-il les nouvelles technologies?

Réponse / Principaux messages

  • Étant donné que l’une des priorités du Commissariat est de faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques, il est important de joindre le geste à la parole en montrant comment notre organisme peut exploiter efficacement la technologie.
  • Étant donné l’évolution rapide des technologies, nous devons adopter une approche vigilante afin de comprendre, de cibler et d’atténuer les risques et d’établir les pratiques exemplaires quant à la mise en œuvre et à l’utilisation des technologies.
  • Des analystes du laboratoire technologique acquièrent et maintiennent de l’expertise dans ce domaine pour faire en sorte que nous restions au fait des nouvelles technologies.
  • Nous mettons également en commun nos expériences et notre expertise avec nos partenaires internationaux relativement à des questions comme l’intelligence artificielle et la technologie de vérification de l’âge par exemple.

Contexte

  • Parmi nos utilisations actuelles des technologies, mentionnons les suivantes :
    • la création et le déploiement d’un portail pour la présentation en ligne d’évaluations des facteurs relatifs à la vie privée,
    • un outil électronique pour évaluer le risque réel de préjudice grave dans le contexte d’atteintes liées à la sécurité des données personnelles,
    • la mise à profit du nuage afin de mieux satisfaire à nos exigences et obligations en matière de gestion de l’information.
  • Nous prévoyons également mettre à jour notre formulaire de plainte en ligne afin de faciliter la présentation par une personne de plaintes au CPVP en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi sur la protection des renseignements personnels.
  • Nous sommes en train d’examiner notre site Web afin de s’assurer qu’il est axé sur l’utilisateur et qu’il permet aux personnes et aux entreprises de trouver rapidement et facilement des renseignements pertinents en fonction de leurs besoins.
  • Nous n’avons pas déployé l’intelligence artificielle (IA) générative, mais nous évaluons l’utilisation potentielle d’outils d’IA.

Préparé par : Secteur de la gestion intégrée


Q 5 : Projet de loi C-70 (Loi sur la lutte contre l’ingérence étrangère)

A-t-on consulté le CPVP pour l’élaboration du projet de loi C-70? Quels sont nos points de vue?

Réponse / Principaux messages

  • Le projet de loi C-70, qui a été déposé le 6 mai 2024, traite de la question de l’ingérence étrangère au Canada. Le projet de loi est complexe et il modifie de nombreuses autres lois; notre analyse est en cours.
  • J’ai rencontré le sous-ministre de Sécurité publique Canada en décembre 2023 pour discuter du Registre pour la transparence en matière d’influence étrangère (le Registre).
    • Sécurité publique Canada a également consulté la Direction des services-conseils au gouvernement relativement au Registre en janvier 2024.
  • Sécurité publique Canada a fait savoir qu’une EFVP est en cours pour le Registre; le Commissariat l’examinera avec intérêt lorsqu’elle sera terminée.
  • J’ai également rencontré le directeur du Service canadien du renseignement de sécurité (SCRS) en mars 2024 pour discuter d’un large éventail de questions, dont des modifications proposées à la Loi sur le SCRS.

Contexte

  • Décembre 2023 – Sécurité publique Canada a présenté un aperçu du Registre et a indiqué qu’un cadre législatif proposé avait été préparé.
    • La conversation a principalement porté sur l’importance de tenir compte de la nécessité et de la proportionnalité et sur les enjeux liés au bureau proposé du commissaire à la transparence en matière d’influence étrangère, dont les mécanismes de conformité.
  • Janvier 2024 – La discussion avec Sécurité publique Canada a principalement porté sur les renseignements personnels recueillis dans le cadre d’enquêtes relativement à des cas de non-conformité soupçonnés. Nous avons notamment recommandé ce qui suit :
    1. mettre en œuvre des mesures pour s’assurer que les renseignements personnels sont obtenus d’une source fiable ou encore vérifier les renseignements personnels ou confirmer leur exactitude avant leur utilisation;
    2. être prudent quant à l’utilisation de renseignements personnels accessibles au public pour vérifier les allégations de non-conformité; et
    3. s’assurer que le Registre est conçu de façon à protéger les renseignements personnels en prévoyant des mesures comme des ententes d’échange de renseignements, des mesures de protection techniques et des protocoles en cas d’atteinte.

Préparé par : Direction des services-conseils au gouvernement

Date de modification :