Fiches des enjeux, Budget principal des dépenses

Ressources budgétaires du Commissariat

Principaux messages

Le Commissariat à la protection de la vie privée du Canada est un agent du Parlement indépendant financé par le gouvernement dont la mission est de protéger et de promouvoir le droit à la vie privée. Les Canadiens ont donc l’assurance qu’il y a un défenseur de leur droit à la vie privée qui aborde de manière autonome les questions en la matière; un principe fondamental des sociétés démocratiques.
Le Commissariat a reçu 30,2 M$ pour l’exercice 2021-2022, dont 500 000 dollars pour son programme de contributions, afin d’atteindre ces objectifs.
Ce financement permet au Commissariat de protéger et de promouvoir le droit des personnes à la vie privée. Le tout en étudiant les plaintes, en recourant aux tribunaux, en conseillant le gouvernement sur les risques d’atteinte à la vie privée et en sensibilisant le public.
Les ressources allouées au Commissariat démontrent qu’au cours des dernières années nous nous sommes davantage tournés vers l’avenir en privilégiant les activités proactives.

Contexte

Budget principal des dépenses : Le tableau ci-dessous présente les dépenses prévues et les équivalents temps plein (ETP) prévus pour chaque responsabilité principale du cadre ministériel des résultats du Commissariat et pour les services internes. Le Budget principal des dépenses du Commissariat pour 2021-2022 est de 30,2 M$.

Dépenses liées au personnel, incluant le RASE = 24,6 M$ (ou 81 %)
Dépense de fonctionnement = 5,1 M$ (ou 17 %)
Programme des contributions = 0,5 M$ (ou 2 %)

La répartition par programme du montant de 30,2 M$ est comme suit :

Programme	M$	ETP
Programme de promotion	11,46	79
Programme de conformité	10,80	79
Services internes	7,97	54
NIVEAUX DE RÉFÉRENCE TOTAUX/BPD	30,23	212

Financement principal : Le Commissariat a reçu 30,2 M$ pour l’exercice 2021-2022, dont 500 000 dollars pour son programme de contributions. De ce montant, une part de 27,1 M$ requiert l’approbation du Parlement. Le montant résiduel de 3,1 M$ correspond aux prévisions réglementaires pour les avantages sociaux qui ne nécessitent pas une approbation additionnelle. Il est mentionné à titre d’information.

Préparé par : Secteur de la gestion intégrée

Allocation des ressources

Principaux messages

Les ressources allouées au Commissariat démontrent qu’au cours des dernières années nous nous sommes davantage tournés vers l’avenir en privilégiant les activités proactives.
Notre objectif est d’avoir une incidence plus vaste et plus positive sur le droit à la vie privée d’un plus grand nombre de Canadiens. Or, ce n’est pas toujours possible lorsque nous accordons une grande partie de notre attention aux enquêtes sur les plaintes individuelles.
Les fonds ont été répartis de manière presque égale entre les programmes de promotion et de conformité afin de concilier les besoins de proactivité et de respect de la conformité.

Contexte

Le Budget principal des dépenses du Commissariat pour 2021-2022, qui s’élève à 30,2 M$, est le suivant :

Dépenses liées au personnel, incluant le RASE = 24,6 M$ (ou 81 %)
Dépense de fonctionnement = 5,1 M$ (ou 17 %)
Programme des contributions = 0,5 M$ (ou 2 %)

La répartition par programme du montant de 29,7 M$ est la suivante :

Programme	M$	ETP
Programme de promotion	11,46	79
Programme de conformité	10,80	79
Services internes	7,97	54
NIVEAUX DE RÉFÉRENCE TOTAUX/BPD	30,23	212

Répartition du financement alloué dans le cadre du budget de 2019 :

Programme	2021-2022 M$
Programme de conformité	0,68
Programme de promotion	1,97
Services internes	0,53
Fonds retenus par l’administration centrale (RASE et locaux)	0,82
Total du financement	4,00

Préparé par : Secteur de la gestion intégrée

Résultats du financement supplémentaire (budget de 2019)

Principaux messages

Le Commissariat a reçu une augmentation permanente de 15 % (ou 4 M$) de son financement et un financement temporaire additionnel de 1,1 M$ pour deux ans (2019-2020 et 2020-2021) afin d’améliorer le respect des obligations dans le cadre législatif actuel.
Ces nouvelles ressources nous ont certainement aidés à réduire l’écart entre nos capacités et ce dont les Canadiens ont besoin en matière de protection de la vie privée. Cependant, cet écart demeure très important.
Malgré tous nos efforts et l’obtention de ressources, un grand nombre d’enjeux liés à la protection de la vie privée continuent de ne pas faire l’objet de directives actualisées ou de directives tout court. Seulement un faible pourcentage des atteintes signalées au Commissariat fait l’objet d’un examen approfondi.

Contexte

Octroi de financement pour la mise en œuvre de la mesure du budget de 2019

Programme	2020-2021 (M$)	2021-2022 (M$)
Programme de conformité	1,46 $	0,68 $
Programme de promotion	2,06 $	1,97 $
Services internes	0,53 $	0,53 $
Fonds retenus par l’administration centrale (RASE et locaux)	1.05 $	0.82 $
Total du financement	5,10 $	4,00 $

Les fonds ont été utilisés pour renforcer notre capacité à :

Réduire l’arriéré global de plaintes de plus de 12 mois
- 91 % atteint en mars 2021 (l’objectif est de 90 %)
Améliorer la rapidité des enquêtes
- Environ 51 % des dossiers de plaintes fermés dans le respect de nos normes de service en 2020-2021, et 61 % en 2019-2020 (l’objectif est de 75 %) (la clôture d’anciens dossiers a une incidence sur le résultat)
Augmenter le pourcentage de signalements d’atteinte examinés de manière plus approfondie par le Commissariat
- 4 % pour les infractions à la LPRP et à la LPRPDE (l’objectif est de 15 % pour la LPRP et 40 % pour la LPRPDE)
Informer les Canadiens au sujet des enjeux de protection de la vie privée, de leurs droits et de la manière de les exercer, et à guider les ministères et les organisations quant à la façon de respecter leurs obligations en matière de protection de la vie privée.
- publier des documents d’orientation au sujet de 5 des 30 enjeux clés en matière de protection de la vie privée sur notre liste
- mettre à jour 30 documents d’orientation
Produire 29 documents d’orientation supplémentaires sous diverses formes (blogues, vidéos) pour répondre à un besoin nouveau (comme le document d’orientation sur la protection de la vie privée et l’éclosion de la COVID-19)
Soutenir notre travail proactif avec l’industrie en jouant un rôle consultatif
- Nous avons tenu 32 consultations et 93 dialogues depuis avril 2019

Préparé par : Services de gestion intégrée En consultation avec : PRAP

Suffisance du financement supplémentaire du projet de loi C‑11 (2021)

Principaux messages

L’énoncé économique de l’automne 2020 réserve 62 M$ sur cinq ans et 18 M$ en permanence pour l’application de la Loi sur la protection de la vie privée des consommateurs. Le Commissariat recevra une partie de ces fonds.
Dans une lettre adressée à ce comité en mai 2018, j’ai indiqué qu’une augmentation du budget de 23 M$ par année pourrait être nécessaire pour avoir une véritable incidence sur la protection du droit à la vie privée des Canadiens en vertu de la LPRPDE.
Comme la LPVPC prévoit un certain nombre de nouvelles responsabilités du Commissariat et nous accorde peu de souplesse pour gérer nos priorités et notre charge de travail, nous nous attendons à ce que les fonds qui ont été mis de côté soient insuffisants pour que le Commissariat s’acquitte correctement de ses nouvelles responsabilités, comme présentées actuellement dans le projet de loi C‑11.

Contexte

Vous avez écrit à ETHI le 29 mai 2018 pour fournir des renseignements supplémentaires sur le Budget principal des dépenses 2018-2019. Dans votre lettre, vous indiquez que pour avoir un véritable effet sur la protection du droit à la vie privée des Canadiens, le Commissariat aurait besoin d’une augmentation de budget de 23 M$ (90 %) par an. Cette augmentation est comparable à celle que le parlement et le gouvernement du Royaume-Uni ont récemment octroyé à son Information Commissioner’s Office.
Le Commissariat a réussi à obtenir 4 M$ de financement permanent dans le cadre du budget fédéral 2019.
La mise à jour économique de l’automne 2020 a alloué le financement total suivant au titre de la LPVPC au Commissariat afin d’« appuyer la mise en œuvre et l’application de la loi dans le secteur privé » :

2020-2021	2021-2022	2022-2023	2023-2024	2024-2025	2025-2026
0	9M	16M	19M	18M	18M

Préparé par : Secteur de la gestion intégrée

Gestion des personnes

Principaux messages

Nous continuons à investir dans nos stratégies de gestion du personnel pour nous assurer que nous avons les bonnes personnes au bon endroit pour réussir en tant qu’organisation.
Nous nous efforçons de maintenir et d’améliorer notre capacité à fournir des services aux Canadiens dans les deux langues officielles en établissant des normes élevées en matière de bilinguisme au sein de l’organisation.
Nous investissons dans nos employés et les soutenons en ces temps incertains et c’est un objectif prioritaire de l’année à venir.

Contexte

Plan stratégique des ressources humaines : En avril 2020, le plan stratégique des ressources humaines de 2020-2023 a été lancé. Il décrit les mesures que le Commissariat prendra pour rester un employeur de choix qui attire et retient les employés ayant les compétences nécessaires dans un cadre promouvant l’inclusion et la diversité requises.
- Nos priorités pour la première année étaient axées sur les profils de compétences, un programme de perfectionnement, l’examen du cadre de dotation, les stratégies visant à maintenir un bilinguisme fonctionnel, les moyens de recruter et de conserver les employés issus de groupes visés par l’équité en matière d’emploi et la sensibilisation à la diversité et à la santé mentale.
- En 2021-2022, nous mettrons en œuvre la deuxième année de notre plan de RH pour faire en sorte que le Commissariat dispose d’un effectif agile et diversifié.
Initiatives pancanadiennes de gestion du personnel du gouvernement du Canada : En 2021-2022, le Commissariat répondra activement à l’appel à l’action du greffier du Conseil privé en faveur de la lutte contre le racisme, de l’équité et de l’inclusion dans la fonction publique fédérale. Il renforcera également son engagement à réduire l’insécurité linguistique au travail suivant le rapport du CLO.
Langues officielles : En 2020-2021, le Commissariat a continué d’investir dans le programme de formation linguistique afin de maintenir des normes d’excellence tout en soutenant le perfectionnement professionnel du personnel. De plus, le Commissariat a exercé son leadership pour répondre à la pandémie dans les deux langues officielles et en soutenant les employés afin de s’assurer que leurs droits en matière de LO sont respectés.

Préparé par : Secteur de la gestion intégrée

Impact de la COVID-19 sur le Commissariat

Principaux messages

Le Commissariat a répondu rapidement et efficacement au défi soulevé par la pandémie en envoyant presque tous ses employés en télétravail pendant qu’il maintenait ses activités.
Nous assurions que notre système de technologie de l’information (TI) fonctionne sans heurt afin de continuer d’offrir nos services aux Canadiens.
Nos interactions avec le secteur public et les institutions gouvernementales se sont considérablement accrues alors que ceux-ci ont demandé nos conseils sur les répercussions sur la vie privée des initiatives en réponse à la pandémie.
Compte tenu de la pandémie actuelle, le Commissariat devra continuer à fonctionner dans un environnement de travail à distance pendant un certain temps, mais nous réfléchissons également et nous nous préparons à ce que sera l’environnement de travail dans un contexte post-pandémique.

Contexte

Lignes directrices sur le télétravail : Le Commissariat a publié des lignes directrices en février 2020 qui lui ont permis de passer facilement au travail à distance lorsque la pandémie a frappé.
Communication efficace : Étant donné que la communication est essentielle en ces temps incertains, nous avons fréquemment communiqué avec les employés dans les deux langues officielles simultanément et avons eu des discussions constructives avec la gestion et les membres du comité de vérification. La communication est ouverte avec les représentants du personnel (par exemple, les membres de la SST et les syndicats) et nous recevons des commentaires positifs.
Protocole en milieu de travail : En réponse à la pandémie de COVID-19, le Commissariat a mis en place un protocole en milieu de travail, élaboré conformément aux orientations émises par l’Agence de la santé publique du Canada (ASPC) et les agences centrales, afin de garantir en tout temps la santé et la sécurité de son personnel et de ses visiteurs.
Réponse à la COVID-19 – Dépenses : En réponse à la pandémie de COVID-19, nous avons déclaré 2,7 M$ de dépenses liées à des efforts ciblés du personnel pour nous pencher sur les enjeux liés à la confidentialité et pour traiter les questions ministérielles relativement à la COVID-19.
Retour au bureau : Le Commissariat poursuit les discussions avec de nombreux partenaires, tels que les autorités de santé publique et les organismes centraux, concernant la gestion de la pandémie et un retour au bureau en toute sécurité. Nous préparons le terrain et avons consulté les employés pour établir ce à quoi pourrait ressembler le lieu de travail du futur.

Préparé par : Secteur de la gestion intégrée

Réaliser des économies

Principaux messages

Au cours des dernières années, nous avons entrepris un certain nombre d’initiatives importantes pour nous assurer que nos ressources et nos activités limitées sont utilisées de façon optimale pour produire des résultats pour les Canadiens.
Ces initiatives incluaient notamment la restructuration du Commissariat, la mise en place du cadre ministériel des résultats en 2018-2019 et l’utilisation de nos pouvoirs de manière plus stratégique.
Nous cherchons continuellement des moyens de tirer parti de la technologie pour offrir des services aux Canadiens et accroître l’efficacité de nos opérations.

Contexte

L’accent mis sur les résultats : nous avons présenté le nouveau cadre ministériel des résultats du Commissariat en 2018-2019, qui redéfinit les résultats souhaités et repense la façon de mesurer les résultats obtenus. Nous avons changé d’approche en matière de protection de la vie privée, mettant davantage l’accent sur la capacité d’action des citoyens et sur la collaboration proactive et constructive avec les organisations des secteurs public et privé.
Exercice des pouvoirs : Nous avons fait un usage stratégique de nos pouvoirs officiels, y compris de notre pouvoir de mener des enquêtes à la demande du commissaire, ce qui nous a permis de mieux protéger les droits à la vie privée des Canadiens dans le cadre législatif actuel.
Restructuration : Nous avons entrepris un examen de notre structure organisationnelle pour nous assurer que nos ressources limitées et nos activités sont harmonisées de façon optimale pour produire des résultats pour les Canadiens. Nous avons également développé une capacité de veille stratégique fondée sur les renseignements opérationnels.
Transformation numérique : Nous avons poursuivi la mise en œuvre de notre stratégie numérique, notamment en exploitant les services infonuagiques lorsque cela est possible et en permettant le télétravail.

Préparé par : Secteur de la gestion intégrée

Résultats du cadre ministériel des résultats (CMR)

Principaux messages

Nous avons récemment terminé notre troisième année de mesure de nos réalisations par rapport à notre cadre ministériel des résultats. Les résultats pour 2020-2021 seront disponibles lors de la publication de notre rapport sur les résultats ministériels de 2020-2021 plus tard cette année.
Nous avons délibérément placé la barre haut. Nos objectifs sont ambitieux, car nous estimons que nous devons être audacieux dans nos aspirations compte tenu des attentes des Canadiens.
Dans l’ensemble, nous avons fait des progrès, mais malgré tous nos efforts et l’ajout de ressources, le Commissariat ne peut pas atteindre toutes ses cibles.

Contexte

CMR du Commissariat : décrit en détail le travail du Commissariat, les résultats que nous essayons d’obtenir pour la population canadienne, ainsi que la façon dont nous évaluerons les progrès et mesurerons la réussite. Les résultats les plus récents disponibles publiquement sont ceux de 2019-2020 (CMR complet en annexe) :
- Surpassé 3 cibles : Pourcentage de Canadiens qui lisent l’information communiquée par le Commissariat et la trouvent utile 71 % (objectif 70 %); Pourcentage d’adoption des recommandations faites par le Commissariat sur les projets de loi et les études qui ont trait à la vie privée 68 % (objectif 60 %); Pourcentage des organisations fédérales et du secteur privé pour lesquelles les conseils et l’orientation prodigués par le Commissariat sont utiles quant à leur atteinte de la conformité 71 % (objectif 70 %).
- Atteint 1 des cibles : Pourcentage d’organismes du secteur privé qui ont une bonne ou une excellente connaissance de leurs obligations en matière de protection de la vie privée 85 % (objectif 85 %).
- Manqué 2 cibles : Pourcentage de plaintes auxquelles une réponse a été donnée selon les normes de service 61 % (objectif 75 %); Pourcentage des recommandations officielles du Commissariat appliquées par les ministères et les organismes 85 % (objectif 80 %).
- Fait peu de progrès dans la réalisation de deux objectifs fixés pour 2021 : Pourcentage d’enjeux clés liés à la vie privée qui font l’objet d’information communiquée aux Canadiens sur la façon dont ils peuvent exercer leur droit à la vie privée 27 % (objectif 90 %); Pourcentage d’enjeux clés en matière de protection de la vie privée pour lesquels les organisations reçoivent des conseils sur la façon de respecter leurs responsabilités en matière de protection de la vie privée 27 % (objectif 90 %).
Les résultats des programmes sont publiés et disponibles sur l’InfoBase du GC. Notez que de nombreux indicateurs au niveau du programme n’avaient pas de cibles précises avant 2020-2021. Comme de nombreux indicateurs étaient nouveaux, le Commissariat avait besoin de données de référence de 2018-2019 et 2019-2020 pour fixer des cibles. (Résumé en annexe)

Préparé par : Secteur de la gestion intégrée

Arriérés du Secteur de la conformité

Principaux messages

En 2019, le Commissariat a reçu un financement temporaire pour l’aider à réduire l’arriéré d’enquêtes sur les plaintes de plus d’un an. Nous avons dépassé nos objectifs de 2019 et avons réduit l’arriéré de plaintes remontant à plus de 12 mois de 91 %.
Les résultats que nous avons pu obtenir lorsqu’on nous a confié des fonds supplémentaires, malgré les perturbations de la pandémie mondiale, parlent d’eux-mêmes.
Pourtant, sans le pouvoir discrétionnaire voulu en ce qui concerne ses enquêtes sur les plaintes, les pressions de l’arriéré persisteront. Le projet de loi C‑11 ne tient pas suffisamment compte de ce point.

Contexte

Progression du traitement de l’arriéré

Exercice	Arriéré de plaintes au titre de la LPRP	Arriéré de plaintes au titre de la LPRPDE	Total des cas accumulés	Baisse par rapport à 2018-2019 (%)
2018-2019	260	64	324	-
2019-2020	115	52	167	48 %
2020-2021	15	14	29	91 %

Nous avons réduit l’arriéré de plaintes en mettant en oeuvre un certain nombre de mesures, y compris :
- Une amélioration de l’efficacité des procédures, notamment en amont du processus de traitement des plaintes. Nous avons notamment créé un formulaire de plainte en ligne amélioré qui a permis de simplifier et d’automatiser la réception et le tri des plaintes.
- Une augmentation temporaire des ressources du Commissariat prévue dans le budget fédéral de 2019. Nous avons embauché des employés contractuels et redistribué des dossiers, ce qui nous a permis de renforcer notre capacité. Nous avons ainsi pu nous concentrer sur les dossiers qui dataient et ceux qui risquaient de s’accumuler.
- Des conclusions de présomption de refus sont formulées lorsque les ministères ne répondent pas aux demandes d’accès, ce qui permet aux plaignants de saisir la Cour fédérale de l’affaire.

Préparé par : Secteur de la conformité

Statistiques et tendances sur les atteintes

Principaux messages

Au total, les secteurs public et privé fédéraux ont soumis plus de 1 000 rapports d’atteinte à la vie privée l’an dernier (les atteintes au titre de la LPRPDE représentant 74 % de ce nombre).
La rapidité est un défi permanent, puisqu’environ 40 % des rapports du secteur privé sont soumis au moins trois mois après l’atteinte. Cette tendance, ainsi que d’autres que nous avons observées, a alimenté notre analyse de la réforme de la loi.
Depuis de nombreuses années, nous demandons que le signalement des atteintes à la vie privée devienne obligatoire en vertu de la Loi sur la protection des renseignements personnels, afin de lutter contre le faible taux de signalement dans le secteur public fédéral, un problème systémique. Nous sommes heureux de constater que notre recommandation figure dans les propositions du ministère de la Justice sur la modernisation de la Loi sur la protection des renseignements personnels.
Les rapports d’atteintes à la vie privée sont des outils importants, car ils permettent au Commissariat de s’assurer que les mesures d’atténuation appropriées pour protéger les Canadiens sont appliquées à la suite d’une atteinte à la vie privée, et ils constituent par ailleurs une source précieuse de renseignements opérationnels.
Nous avons enquêté et continuons d’enquêter sur des atteintes majeures de la vie privée, comme celles sur Desjardins, Capital One et CléGC.

Contexte

Atteintes à la vie privée signalées en vertu de la LPRP et de la LPRPDE entre 2015-2016 et 2020-2021

EXERCICE LPRPDE LPRP

2020-2021 795 280

2019-2020 678 341

2018-2019 315 155

2017-2018 116 286

2016-2017 95 147

2015-2016 115 298

EXERCICE	LPRPDE	LPRP
2020-2021	795	280
2019-2020	678	341
2018-2019	315	155
2017-2018	116	286
2016-2017	95	147
2015-2016	115	298

Préparé par : Secteur de la conformité

Collaboration sur l'application de la loi

Principaux messages

Dans un monde marqué par une numérisation croissante, plusieurs autorités de protection des données ont l’objectif commun de protéger les renseignements personnels à l’extérieur de leurs frontières.
Le Commissariat est un chef de file de la coopération avec des autorités à l’échelle nationale et internationale en matière d’application de la loi, et joue un rôle clé sur des tribunes comme l’Assemblée mondiale pour la protection de la vie privée (AMVP), le réseau mondial d’application des lois de protection de la vie privée (Global Privacy Enforcement Network [GPEN]) et le Forum des autorités de protection de la vie privée de la zone Asie-Pacifique (Asia Pacific Privacy Authorities [APPA] Forum).
Sur le plan national, le Commissariat a participé à plus d’enquêtes conjointes qu’à tout autre moment de son histoire. Citons par exemple les enquêtes touchant Desjardins, Clearview et Tim Hortons.

Contexte

AMVP : Nous coprésidons deux groupes de travail : i) le Digital Citizen and Consumer Working Group, qui préconise une plus grande coopération interréglementaire concernant les points de contact entre les sphères réglementaires de la vie privée, de la protection des consommateurs et de la concurrence; et ii) le groupe de travail sur la coopération internationale en matière d’application de la loi, qui se concentre sur la collaboration sur ce plan.
GPEN : Siège au comité exécutif et a introduit le ratissage international pour la vie privée, qui en est maintenant à sa 8^e année.
APPA : Membre actif, nous développons des partenariats, discutons des pratiques exemplaires, et échangeons de l’information sur les technologies émergentes et les changements dans la réglementation sur la vie privée.
FNCAL : Nous présidons le Forum national de collaboration sur l’application de la loi, qui facilite la collaboration entre le Commissariat et les autorités de l’Alberta, de la Colombie-Britannique et du Québec.
Exemples d’application de la loi : Nous avons enquêté sur Desjardins aux côtés de nos homologues du Québec. Notre enquête sur Cadillac Fariview a été menée conjointement avec l’Alberta et la Colombie-Britannique. Notre enquête conjointe sur Clearview AI était la première avec les commissaires des trois provinces dotées de lois sur la protection des renseignements personnels dans le secteur privé : Alberta, Colombie-Britannique et Québec. Les enquêtes du Commissariat sur Facebook et AggregateIQ ont été menées conjointement avec le commissariat de la Colombie-Britannique.

Préparé par : Secteur de la conformité

Enquêtes menées en vertu de la Loi sur la protection des renseignements personnels

Principaux messages

Atteintes à la vie privée visant l’Agence de revenu du Canada (ARC) et CléGC : Nous avons lancé des enquêtes après que le Secrétariat du Conseil du Trésor du Canada (SCT) a révélé publiquement que CléGC, un service utilisé dans une trentaine d’institutions fédérales, et des comptes de l’ARC avaient été victimes d’attaques de bourrage de justificatifs au début de l’année.
Organisme UNIS / Emploi et Développement social Canada (EDSC) : Nous avons reçu des plaintes contre l’organisme UNIS et EDSC concernant des renseignements personnels recueillis en lien avec la Bourse canadienne pour le bénévolat étudiant. Nous enquêtons sur ces plaintes.
Clearview AI et la Gendarmerie royale du Canada (GRC) : Nous sommes heureux qu’en réponse à notre enquête conjointe, Clearview AI n’offrira plus ses services de reconnaissance faciale au Canada. Elle a aussi suspendu indéfiniment son contrat avec la GRC, son dernier client au Canada.

Contexte

Atteintes à la vie privée visant l’ARC et CléGC : Comme il s’agit d’une enquête en cours, nous ne pouvons fournir aucun détail supplémentaire pour le moment.
Organisme UNIS / Emploi et Développement social Canada : Nous enquêtons sur les plaintes reçues contre EDSC en vertu de la Loi sur la protection des renseignements personnels et sur celles visant l’organisme UNIS, en vertu de la LPRPDE.
Clearview AI et la GRC : L’enquête sur l’utilisation par la GRC de la technologie de reconnaissance faciale de Clearview AI en vertu de la LPRP est presque terminée.

Préparé par : Secteur de la conformité

Enquête en vertu de la LPRPDE en cours

Principaux messages

Tim Hortons : Le Commissariat et ses homologues provinciaux du Québec, de la Colombie-Britannique et de l’Alberta ont lancé une enquête conjointe sur une application mobile de commande de Tim Hortons. Cette enquête fait suite à des reportages dans les médias qui ont soulevé la manière dont cette appli pourrait recueillir et utiliser les données sur les déplacements des personnes alors qu’elles vaquent à leurs occupations quotidiennes.
Capital One : Nous avons lancé une enquête sur la fuite de données chez Capital One après avoir reçu des plaintes de la part de consommateurs canadiens. Capital One a informé le Commissariat qu’elle avait été victime d’une atteinte à la vie privée dans le cadre de laquelle les renseignements personnels y compris, dans certains cas, le numéro d’assurance sociale, de six millions de ses clients canadiens ont été touchés.
Organisme UNIS / Emploi et Développement social Canada : Nous avons reçu des plaintes contre l’organisme UNIS et EDSC concernant des renseignements personnels recueillis en lien avec la Bourse canadienne pour le bénévolat étudiant. Nous enquêtons sur ces plaintes.

Contexte

Tim Hortons : Comme il s’agit d’une enquête en cours, aucun détail supplémentaire n’est disponible pour l’instant.
Capital One : Comme il s’agit d’une enquête en cours, aucun détail supplémentaire n’est disponible pour l’instant.
Organisme UNIS / Emploi et Développement social Canada : Nous enquêtons sur les plaintes reçues contre EDSC en vertu de la Loi sur la protection des renseignements personnels et sur celles visant l’organisme UNIS, en vertu de la LPRPDE.

Préparé par : Secteur de la conformité

Élaboration d’orientations

Principaux messages

L’augmentation permanente du financement de 15 % reçue en 2019 a permis au Commissariat d’accroître sa capacité à protéger la vie privée des Canadiens dans le contexte de la croissance exponentielle de l’économie numérique.
En 2020-2021, nous avons préparé des documents d’orientation contenant : conseils sur les notifications d’atteinte à la vie privée à l’intention des personnes; mise à jour complète de notre document d’orientation s’adressant aux institutions fédérales sur les EFVP (évaluations des facteurs relatifs à la vie privée); des conseils propres à la pandémie et des conseils pour les fabricants d’appareils d’IdO.
Nous continuons à nous concentrer sur la préparation de documents d’orientation touchant à des questions relatives à la protection de la vie privée. Ainsi, cette année, nous avons l’intention de publier des documents d’orientation sur la biométrie et sur l’utilisation de la reconnaissance faciale par les organismes d’application de la loi, conjointement avec nos partenaires provinciaux et territoriaux.

Contexte

Documents d’orientation publiés au cours de l’exercice 2019-2020 :
- La protection de la vie privée et l’éclosion de la COVID-19 : orientations sur les lois fédérales applicables (mars 2020)
- Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée (mars 2020)
- Guide à l’intention des entreprises qui font du cybermarketing (janvier 2020)
- Lignes directrices conjointes du Commissariat et du directeur général des élections pour aider les partis politiques à protéger les renseignements personnels des Canadiens (avril 2019)
- Réception d’un avis d’atteinte à la vie privée (septembre 2019)
Statut des principaux documents d’orientation :
- Nous élaborons présentement un document d’orientation sur la biométrie dans les secteurs public et privé. D’autres documents sont en cours de préparation, mais leur publication est retardée en raison du projet de loi C‑11; il faut inclure des lignes directrices sur les technologies financières (FinTech), le suivi en magasin, les voitures connectées, et des lignes directrices à l’intention des développeurs d’applications éducatives pour les écoles primaires et secondaires.
- Nous procéderons également à une consultation publique à l’égard de nos lignes directrices conjointes sur l’utilisation de la reconnaissance faciale par les organismes d’application de la loi, en collaboration avec nos homologues provinciaux et territoriaux. Nous prévoyons de publier une ébauche ce printemps.

Préparé par : PRAP

Affaires parlementaires

Principaux messages

Nous sommes fréquemment sollicités par des députés et les commissions parlementaires pour fournir notre expertise en matière de protection de la vie privée.
En raison de la COVID-19, la dernière année parlementaire a été bouleversée; nous avons été moins présents que d’habitude.
Au cours de l’exercice 2020-2021, nous :
- avons comparu à trois reprises devant des comités permanents, dont une fois devant l’Assemblée nationale du Québec;
- avons surveillé et examiné dix-sept projets de loi et études parlementaires;
- avons répondu à douze demandes individuelles de députés.

Contexte

Comparutions importantes en 2020-2021 :
- Comité PROC : Fonctions parlementaires et pandémie de COVID-19 (question de la sécurité sur Internet), 29 avril 2020;
- Comité INDU : Réponse canadienne à la pandémie de COVID-19 (question de la recherche des contacts), 29 mai 2020;
Assemblée nationale du Québec, Commission des institutions : Projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 24 septembre 2020.
Les questions de confidentialité portées à notre attention par les parlementaires au cours du dernier exercice :
- Réformes potentielles des lois sur la protection de la vie privée (projets de loi C‑11 au Canada et 64 au Québec), sécurité sur Internet, recherche de contacts, services bancaires ouverts et vol d’identité.

Préparé par : PRAP

International (général)

Principaux messages

Collaborer avec d’autres organismes de réglementation nous aide à mieux protéger les Canadiens dans un monde sans frontières.
Les renseignements personnels des Canadiens qui se retrouvent à l’extérieur du Canada aux fins de traitement sont mieux protégés si le droit à la vie privée est davantage respecté ailleurs dans le monde, et si le Commissariat dispose de partenariats avec des autorités étrangères.
Le Commissariat collabore depuis longtemps avec ses homologues internationaux afin de mettre en commun des ressources, d’élaborer des politiques communes, de partager des pratiques exemplaires, et de faire respecter de manière plus efficace les lois sur la protection des renseignements personnels, au Canada et à l’étranger.
Nous collaborons avec d’autres autorités en participant à des groupes de travail internationaux, en adoptant des résolutions conjointes, en publiant des déclarations communes et en collaborant avec nos homologues en matière d’application de la loi.

Contexte

AMVP

Président du volet du groupe de travail sur la stratégie de politiques de cette assemblée sur le lien entre le respect de la vie privée et d’autres droits et libertés qui élabore un texte explicatif sur la vie privée et les droits de la personne.
Coprésident du « Digital Citizens and Consumers Working Group »
Coprésident du groupe de travail sur la coopération internationale en matière d’application de la loi
Membre d’autres groupes de travail de l’AMVP, dont les suivants : groupes sur l’éthique et l’IA, l’éducation numérique, l’avenir de la conférence, les métriques, la Covid-19 et la reconnaissance faciale.
Co-proposeur de la résolution de 2020 sur une plus grande responsabilité dans l’élaboration et l’utilisation de la technologie de reconnaissance faciale et des systèmes d’intelligence artificielle, et les défis de la vie privée soulevés par la COVID-19.

Autres réseaux d’autorités : 1) Forum des autorités de protection de la vie privée de la zone Asie-Pacifique (Asia Pacific Privacy Authorities [APPA] Forum); 2) Association francophone des autorités de protection des données personnelles (AFAPDP); 3) Common Thread Network (CTN); 4) Groupe de travail de Berlin.

Participation à des tribunes internationales gouvernementales : 1) le Groupe de travail sur la sécurité de l’information et la vie privée dans l’économie numérique (groupe de l’OCDE); 2) le sous-groupe de l’Association économique de la zone Asie-Pacifique (Asia-Pacific Economic Cooperation [APEC]) sur la protection des données.

Préparé par : PRAP

Programme des contributions

Principaux messages

Le Programme finance des projets de recherche ou d’initiatives connexes d’application des connaissances afin de favoriser l’expertise et la compréhension d’un large éventail de questions relatives à la vie privée dans le cadre de la LPRPDE.
Ces projets génèrent de nouvelles informations et compréhension pour aider les organisations à mieux protéger les renseignements personnels et les Canadiens à protéger leur vie privée. L’année dernière, la plupart des projets financés concernaient l’IA. Par exemple, un projet (du Groupe CSA) a examiné les conséquences de l’IA sur le droit à la vie privée des enfants, et un autre (de l’UQAM) portait sur le développement responsable de l’apprentissage automatique du point de vue de la vie privée.
Depuis ses débuts en 2004, le Programme a alloué environ 7 millions de dollars à près de 160 projets.
L’année dernière, 11 projets sur 43 propositions ont été retenus; les bénéficiaires de cette année seront annoncés prochainement.

Contexte

Orientation du programme : Les projets financés permettront de faire progresser les priorités du Commissariat en matière de protection de la vie privée, qui visent principalement à répondre aux préoccupations des Canadiens en la matière. Tous les projets doivent être axés sur la LPRPDE, puisque le programme découle de cette dernière.
Financement : Tous les projets sont évalués sur la base de leur mérite par des experts en la matière du Commissariat et, à l’occasion, lorsque cela est nécessaire pour valider nos évaluations, par des pairs externes. Le budget annuel du Programme des contributions s’élève à 500 000 $. Presque tous les ans, jusqu’à 50 000$ sont accordés à chaque projet et une somme maximale de 100 000 $ par organisme bénéficiaire.
Modalités des programmes : Le ministre de la Justice a renouvelé les modalités du programme pour cinq ans en 2020-2021. La liste complète des projets qui ont reçu un financement se trouve sur le site Web du Commissariat. S’y trouvent également les résumés de tous les projets terminés financés au fil des ans.

Préparé par : PRAP

Avis du gouvernement – Statistiques et tendances

Principaux messages

La Direction des services-conseils au gouvernement (DSCG) a été créée pour accroître les consultations avec les institutions et fournir des conseils proactifs, et ainsi faciliter l’atténuation des risques d’atteinte à la vie privée associés aux programmes et aux activités du gouvernement par un engagement précoce et fréquent.
Les institutions ont été très réceptives : nous avons été consultés 109 fois en 2020-2021, comparativement à 66 fois en 2019-2020 et 48 en 2018-2019.
C’est le signe que les institutions obtiennent des bénéfices quand elles s’adressent à la DSCG. Cela montre également que les institutions n’ont pas en interne l’expertise pour répondre à leurs besoins en ce qui touche aux questions de protection de la vie privée.
Au cours de l’année écoulée, nous nous sommes attachés à soutenir les activités menées en réponse à la pandémie de COVID-19. Nous avons notamment examiné l’application Alerte COVID et procédé à des consultations sur la télémédecine et la thermographie, entre autres sujets. Pendant la pandémie, Santé Canada, l’ASPC et EDSC ont beaucoup consulté la DSCG pour obtenir des conseils sur les dossiers COVID pendant la pandémie.
Les institutions demandent conseil auprès de la DSCG sur des dossiers complexes et techniquement difficiles dont les délais sont courts dans tous les domaines, y compris l’application de la loi et la sécurité publique.

Contexte

Statistiques sur les consultations : Au cours de l’exercice 2020-2021, nous avons ouvert 109 nouveaux dossiers de consultation, dont 28 pour des programmes et activités liés à la COVID-19.
EFVP : En 2020-2021, nous avons reçu à la fois des EFVP et des évaluations de la conformité aux lois (ECL) sur la protection des renseignements personnels, une évaluation moins rigoureuse autorisée par la politique provisoire du SCT pour les initiatives urgentes liées à la COVID-19. Nous avons reçu 81 évaluations au total : 65 EFVP et 16 ECL.
Avis : La DSCG a reçu 491 avis de divulgations de renseignements personnels dans l’intérêt public, ou dans des circonstances qui ont bénéficié à la personne, contre 611 au cours de l’exercice 2019-2020. Il s’agit d’une légère baisse, mais elle s’inscrit dans la tendance que nous avons observée ces dernières années, à savoir un grand nombre de divulgations d’intérêt public.

Préparé par : Services-conseils au gouvernement

Services-conseils au gouvernement - activités principales

Principaux messages

La Direction des services-conseils au gouvernement (DSCG) fournit des conseils et des recommandations aux institutions à la suite d’un examen des EFVP, d’ententes de communication d’information et, de plus en plus, de consultations encore plus précoces avec les organismes fédéraux au moment où les initiatives sont conceptualisées et élaborées.
- Les dossiers sont complexes et variés et font de plus en plus appel aux technologies émergentes et aux liens avec le secteur privé.
La DSCG consulte aussi régulièrement le SCT sur l’élaboration de politiques, de directives et de normes pangouvernementales.

Contexte

Application Alerte COVID : a consulté Santé Canada pendant le développement de l’application pour s’assurer que les risques liés à la vie privée étaient pris en compte. Le travail se poursuit au fur et à mesure de la mise à jour de l’application.
Systèmes d’aéronef télépiloté de la GRC (drones) : a donné des conseils sur la formation de la GRC concernant l’utilisation de drones afin que l’intrusion soit nécessaire, proportionnelle à la situation et minimale et que les renseignements personnels recueillis soient comptabilisés. La GRC a révisé ses politiques sur la base de nos conseils. Notre travail est en cours.
Banque nationale de données génétiques de la GRC : est en cours de modification afin de permettre aux membres d’une famille de fournir volontairement leur ADN pour retrouver des personnes disparues et identifier des restes humains. Sur nos conseils, la GRC a révisé les formulaires de consentement des donneurs volontaires pour les rendre plus clairs et a inclus des mesures de protection de la vie privée dans les accords de transmission de profils d’ADN et d’autres renseignements personnels sensibles avec d’autres pays.
Cadre canadien d’intervention policière collaborative en matière de violence sexuelle : Suivant notre recommandation, l’Association canadienne des chefs de police a inclus des dispositions relatives au signalement des atteintes à la vie privée dans les ententes de confidentialité signées par les membres des comités d’examen des cas de violence sexuelle.
VidCruiter : étant donné l’utilisation accrue des plateformes numériques d’entrevue à distance pour la dotation en personnel, nous avons fait plusieurs recommandations à Justice Canada, à l’Agence spatiale canadienne, à Santé Canada, au MPO, à Infrastructure Canada et à EDSC afin de protéger la vie privée.

Préparé par : Services-conseils au gouvernement

Direction des services-conseils à l’entreprise

Principaux messages

La Direction des services-conseils à l’entreprise (DSCE) s’engage de manière proactive auprès des entreprises pour les aider à évaluer les conséquences de leur travail sur la vie privée, et pour examiner les répercussions des nouvelles technologies et des nouveaux modèles d’entreprise sur la vie privée avant leur déploiement sur le marché.
Le fait d’aborder les questions de vie privée en amont permet d’atténuer les risques qui y sont liés, d’éviter les problèmes de conformité et d’assurer la prévisibilité réglementaire.
70 % des organisations avec lesquelles nous avons eu des contacts l’année dernière étaient des PME. La plupart des entreprises faisant appel à nos services-conseils mettaient en œuvre des projets à forte dimension technologique avec beaucoup de données.
Notre relation avec les PME est essentielle, car nombre d’entre elles ne disposent pas des ressources nécessaires pour prendre en compte les questions de protection de la vie privée de manière proactive.

Contexte

Sensibilisation : Malgré les perturbations causées par la COVID-19, la DSCE a mené à bien les consultations déjà entamées, a lancé 13 nouvelles consultations et a organisé 33 événements virtuels, notamment des expositions, des présentations, des réunions avec les intervenants et des séances consultatives dédiées aux entreprises en phase de démarrage dans le cadre d’une initiative novatrice :

Clinique sur la protection de la vie privée – plateforme innovante créée pour fournir des conseils en protection de la vie privée aux PME. En 2020-2021, la DSCE a organisé une clinique sur la protection de la vie privée en collaboration avec un centre d’innovation à Waterloo, en Ontario, et a fourni des conseils en matière de protection de la vie privée à sept organisations en démarrage.
ORSMEN – en 2020-2021, la DSCE a poursuivi son partenariat de longue date avec le Réseau des petites et moyennes entreprises de l’Ontario (Ontario Region Small and Medium Enterprise Network [ORSMEN]) afin d’atteindre les PME et de leur fournir des conseils utiles en matière de protection de la vie privée.

Consultations clés :

Application MILA COVID : Certaines mesures adoptées après notre consultation : utiliser les renseignements personnels dans le but strictement défini et restreint d’atténuer la crise de santé publique; limiter l’utilisation de l’application dans le temps, c’est-à-dire jusqu’à la fin de la pandémie; communiquer uniquement des données regroupées et désidentifiées au gouvernement, si adopté.
Organisations de technologies de la santé : La DSCE a formulé 24 recommandations à une entreprise canadienne possédant un produit de pointe, qui a volontairement demandé des conseils pour la conception de la prochaine génération de ce produit.
Prise de la température : En réponse à la proposition d’un détaillant d’introduire des contrôles de température dans ses établissements afin de minimiser la propagation de la COVID-19, la DSCE a fourni des conseils sur la conception et la mise en œuvre proposées.

Préparé par : Services-conseils à l’entreprise

Statistiques et tendances en matière de communication

Principaux messages

La Direction des communications soutient les efforts du Commissariat pour informer la population et bien lui faire comprendre les questions relatives à la protection de la vie privée en mettant en œuvre des stratégies pluriannuelles visant à sensibiliser les particuliers à leur droit à la vie privée et les fonctionnaires et les entreprises à leurs obligations.
Parmi nos activités, citons des sondages d’opinion; des relations avec les médias; la production de publications, de vidéos et d’infographies; la participation à des événements et la publication de contenus sur notre site Web et sur les médias sociaux.
Nous tenterons de sensibiliser les groupes vulnérables, comme les jeunes et les personnes âgées. Par exemple, nous avons réalisé un roman graphique pour les jeunes, notre publication la plus populaire, qui a été traduit par des organisations au Mexique, en Italie et en Suisse. Nous menons également des campagnes dans les bibliothèques et avons parlé de la protection de la vie privée avec des groupes de personnes âgées.

Contexte

Statistiques clés : En 2020-2021, nous avons prononcé 35 discours/présentations, publié 33 communiqués et annonces et distribué 1 452 publications. Il y a eu 2,5 millions de visites sur le site Web, dont plus de 26 000 visites sur les blogues, et nous avons répondu à 300 demandes des médias.

Centre d’information :

Nombre de demandes : L’année dernière, nous avons reçu 7 090 demandes d’information, et nous ne suffisons pas à la tâche pour répondre aux demandes d’informations et de conseils sur les droits et obligations en matière de protection de la vie privée.
Types de demandes :
- La majorité des demandes émanent de particuliers qui souhaitent savoir si les organisations recueillent trop d’informations ou les utilisent sans consentement, et qui expriment également des inquiétudes quant à de potentielles violations.
- 8 % des demandes proviennent d’organisations du secteur privé et portent sur des sujets tels que les mesures de dépistage de la COVID-19, le transfert transfrontalier d’informations personnelles, la protection des renseignements personnels et les exigences en matière de notification des violations.

Résultats du sondage semestriel auprès des entreprises : Notre sondage semestriel auprès des entreprises a montré que les grandes entreprises sont plus susceptibles d’avoir des politiques/procédures en place pour évaluer les risques liés à la vie privée. D’autres résultats ont souligné la nécessité d’accorder plus d’attention à la protection de la vie privée.

Préparé par : Communications

Direction de l’analyse des technologies (DAT)

Principaux messages

La DAT soutient les travaux du Commissariat visant à évaluer les répercussions de la technologie sur la vie privée, pour que nous contribuions à faire profiter les Canadiens des avantages des technologies numériques en toute sécurité.
Parmi les travaux récents de ce groupe, citons l’évaluation des nouvelles technologies mondiales de recherche des contacts, l’application Alerte COVID et le soutien aux enquêtes concernant Cadillac Fariview et Desjardins.
Pour améliorer notre capacité, la DAT travaille à l’expansion et à la modernisation de notre laboratoire technologique.

Contexte

Demandes d’analyse : D’avril 2020 à mars 2021, 159 demandes d’aide ont été ouvertes ou déposées auprès de la DAT.
- Quarante-cinq pour cent (45 %) des demandes concernent les politiques et la promotion
- Quarante-six pour cent (46 %) concernent la conformité
- Neuf pour cent (9 %) sont affectés à d’autres activités de soutien technique interne
- Soixante-sept pour cent (67 %) de ces demandes ont été traitées et fermées; les autres restent des dossiers actifs et une aide est encore accordée dans ces cas.
Agrandissement et modernisation du laboratoire technologique : L’agrandissement et la modernisation de notre laboratoire technologique permettront de mieux réaliser les activités des deux domaines de programme, la conformité (y compris les activités liées à la LCAP) et les politiques et la promotion.
- Les nouvelles capacités permettront de renforcer les protections, de réaliser les activités d’enquête, de développer la recherche et de diffuser des informations et orientations générales.
Programme Solutions innovatrices Canada : La DAT a récemment conclu un partenariat officiel avec Innovation, Sciences et Développement économique Canada, dans le cadre du programme Solutions innovantes Canada, et a mis à l’essai une plateforme logicielle alimentée par l’intelligence artificielle qui offre de nouveaux moyens de prodiguer des soins aux personnes souffrant d’une déficience intellectuelle ou une déficience de développement, y compris l’autisme.
- Cette innovation est un outil pratique à la disposition de chaque membre d’une équipe de soins auprès d’une personne atteinte d’une déficience, y compris les parents, les éducateurs, les thérapeutes, les professionnels de soutien direct et les gestionnaires de soins, pour transmettre des informations, dialoguer les uns avec les autres, élaborer des interventions personnalisées et améliorer les résultats à long terme. L’outil est composé d’une application mobile, d’un dispositif portable et de l’environnement dorsal basé sur Python.

Préparé par : DAT

Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

Nous sommes heureux de constater que le processus de réforme de la loi semble être véritablement en marche avec la récente consultation publique du ministère de la Justice sur la modernisation de la Loi sur la protection des renseignements personnels.
Un certain nombre de propositions du ministère de la Justice sur la réforme de la Loi sur la protection des renseignements personnels apporteraient des changements favorables à la Loi pour faire face aux risques pour la vie privée que représentent les technologies émergentes, notamment l’inclusion d’un langage fondé sur les droits dans un préambule révisé.
On y trouve également des obligations renforcées en matière de respect de la vie privée dès la conception et des EFVP ainsi que des mesures de surveillance importantes telles que des pouvoirs de vérification proactive, un pouvoir de rendre des ordonnances simple et efficace (bien que de portée limitée). Ce sont tous des mécanismes nécessaires pour assurer la conformité.
Dans notre mémoire, nous proposons quelques modifications pour améliorer le seuil de collecte et le cadre des renseignements personnels accessibles au public, et nous recommandons d’inclure les éléments clés de la réglementation de l’intelligence artificielle dans une Loi sur la protection des renseignements personnels modernisée.

Contexte

Cadre applicable aux renseignements personnels « accessibles au public » : La définition pourrait être améliorée en déclarant explicitement le fait que les renseignements personnels accessibles au public n’incluent pas les renseignements à l’égard desquels une personne a des attentes raisonnables en matière de vie privée.
Intelligence artificielle : Nous recommandons d’inclure dans la Loi une définition de la prise de décision automatisée ainsi qu’un droit à une explication significative et à une intervention humaine en rapport avec son utilisation, une norme établie pour le niveau d’explication requis et des obligations de consigner et d’effectuer le traçage.
Seuil justifiant la collecte : Nous pensons que la norme de collecte « raisonnablement nécessaire » permet généralement d’atteindre un bon équilibre, mais nous avons proposé des modifications clés pour en accroître la clarté (notamment le fait que les objectifs établis soient spécifiques, explicites et légaux et le fait d’inclure une évaluation explicite de la proportionnalité, entre autres).

Préparé par : PRAP

Réforme de la LPRPDE (projet de loi C‑11)

Principaux messages

Le projet de loi C‑11 est le résultat des efforts déployés pour mettre sur pied une réforme que tout le monde attendait avec impatience. Malheureusement, malgré les ambitieux objectifs visés, nous considérons que le projet de loi sous sa forme actuelle représenterait globalement un pas en arrière dans le domaine de la protection de la vie privée.
Parmi les principaux problèmes de la nouvelle loi se trouve le fait qu’elle n’a pas de recours rapides et efficaces pour les particuliers, en raison de sanctions administratives pécuniaires considérablement restreintes, du tribunal et du manque de pouvoir discrétionnaire du commissaire.
Le projet de loi C‑11 imposerait plusieurs nouvelles responsabilités sans pouvoir discrétionnaire accru, ce qui réduirait notre capacité à faire une utilisation stratégique des ressources et à établir l’ordre de priorité de nos activités en fonction des risques pour les Canadiens.
Même si ces nouvelles fonctions étaient dotées de ressources adéquates, le Commissariat devrait avoir le pouvoir discrétionnaire légal de gérer les activités et d’en établir la priorité en fonction du risque, en maximisant les ressources limitées pour produire les résultats les plus efficaces pour les Canadiens. Ce pouvoir discrétionnaire existe dans les lois sur la protection de la vie privée d’autres juridictions.

Contexte

L’adoption d’une approche stratégique fondée sur le risque est essentielle à une réglementation efficace.
Les nouvelles responsabilités non discrétionnaires introduites dans le projet de loi C‑11 comprennent l’obligation pour le Commissariat d’approuver les codes, de fournir des conseils aux organisations sur les programmes de gestion des renseignements personnels à leur demande et de consulter les intervenants concernés sur toutes les directives.
D’autres juridictions accordent une discrétion accrue aux organismes de protection des données pour gérer leur travail, ce qui leur permet d’établir les activités prioritaires et de dialoguer de manière plus constructive avec les intervenants. Par exemple, ce pouvoir discrétionnaire est prévu en Alberta et en Colombie-Britannique ainsi que dans l’Union européenne et en Nouvelle-Zélande.
Il est possible d’obtenir les avantages d’un dialogue proactif sans qu’il soit obligatoire et dépendant de la demande, ce qui exige beaucoup de ressources au détriment d’autres fonctions.

Préparé par : PRAP

Application Alerte COVID

Principaux messages

Nos échanges avec Santé Canada sur l’application Alerte COVID a permis de concevoir une application qui respecte tous les principes de base de protection de la vie privée de notre cadre.
Malgré tout, le gouvernement a affirmé à l’époque que les lois sur la protection de la vie privée ne s’appliquaient pas, car il était peu probable que des informations personnelles soient recueillies par l’application.
Nous avons recommandé de faire en sorte que l’utilisation de l’application reste volontaire et que les informations recueillies pour la recherche de contacts ne soient pas utilisées à d’autres fins.
- D’autres juridictions ont pris des mesures législatives et réglementaires pour s’assurer que la recherche de contacts reste volontaire et que les informations utilisées sont limitées à l’objectif pour lequel elles ont été recueillies.

Contexte

Utilisation par les provinces : L’application peut être utilisée pour signaler un diagnostic dans 8 provinces : Ontario, Manitoba, Terre-Neuve et Labrador, Nouveau-Brunswick, Nouvelle-Écosse, Île-du-Prince-Édouard, Saskatchewan et Québec. L’Alberta a décidé de ne pas utiliser l’application fédérale. Le caractère volontaire de son utilisation est un principe clé de la déclaration commune des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée sur les principes pour les applications de traçage des contacts et autres applications similaires.
Dialogue continu : La DSCG communique régulièrement avec Santé Canada au sujet de l’application et du portail. Santé Canada s’est engagé à consulter le Commissariat sur les modifications à l’appli. Le Commissariat participera à une vérification (évaluation) conjointe de l’application avec Santé Canada afin d’en évaluer l’efficacité; les détails restent à déterminer.
État actuel de l’évaluation du programme : La DSCG travaille avec Santé Canada sur une évaluation conjointe de l’application qui devrait être achevée d’ici la fin de 2021. L’évaluation portera spécifiquement sur la nécessité et la proportionnalité, l’efficacité et l’adhésion continue aux principes FPT.

Préparé par : DSCG/PRAP

Devant les tribunaux – Facebook

Principaux messages

Notre enquête a révélé que Facebook n’a pas réussi à obtenir un consentement valable et a enfreint les principes d’équité dans le traitement de l’information relativement au consentement, aux mesures de sécurité et à la reddition de compte de la LPRPDE.
Comme Facebook a refusé de mettre en œuvre nos recommandations, nous demandons à la Cour fédérale de rendre une ordonnance exécutoire pour obliger Facebook à prendre des mesures pour corriger ses pratiques en matière de protection de la vie privée et à se conformer à la LPRPDE.
Nous attendons la décision de la Cour sur deux contestations préliminaires avant de pouvoir entendre l’affaire sur le fond.
Nous n’avons pas d’autres commentaires pour le moment.

Contexte

Enquête : Le 25 avril 2019, le Commissariat a publié son rapport de conclusions sur son enquête concernant la conformité à la LPRPDE de l’application FB « This is Your Digital Life » (TYDL) et de Cambridge Analytica, un cabinet-conseil politique britannique. Le Commissariat a conclu que Facebook a contrevenu aux principes d’équité dans le traitement de l’information relativement au consentement, aux mesures de protection, et à la reddition de compte de l’annexe 1 de la LPRPDE. Nous avons également constaté que, en ce qui concerne les téléchargements de l’application TYDL par les utilisateurs après le 18 juin 2015, Facebook n’a pas obtenu de consentement valable au sens de l’article 6.1 de la LPRPDE.
Conclusions de l’enquête : Facebook a contesté les conclusions de l’enquête et a refusé de donner suite aux recommandations du Commissariat pour corriger les lacunes relevées. Par conséquent, le Commissariat a présenté une demande en vertu de l’article 15 de la LPRPDE devant la Cour fédérale contre Facebook.
Contrôle judiciaire : Facebook a présenté une demande de contrôle judiciaire distincte qui conteste notre décision d’enquêter et de poursuivre l’enquête ainsi que le processus d’enquête lui-même et cherche à annuler le rapport de conclusions. Nous avons déposé une requête en vue de radier cette demande. En même temps, FB a demandé à la Cour de radier certaines parties de la preuve par affidavit du Commissariat dans notre demande en vertu de l’article 15 de la LPRPDE. La Cour a entendu ces contestations préliminaires les 19 et 21 janvier 2021. Nous attendons la décision du tribunal.

Préparé par : Services juridiques

Devant les tribunaux – Renvoi visant Google

Principaux messages

En 2018, le Commissariat a demandé à la Cour fédérale de vérifier si le moteur de recherche de Google est soumis à la LPRPDE lorsqu’il indexe des pages Web et présente des résultats de recherche en réponse à des requêtes portant sur le nom d’une personne.
Cette question a été soulevée dans le cadre d’une plainte dans laquelle une personne alléguait que Google avait enfreint la LPRPDE en affichant de manière proéminente des liens vers des articles la concernant lorsque son nom était recherché, alléguant que les articles étaient périmés et inexacts et divulguaient des informations sensibles.
Google affirme que la LPRPDE ne s’applique pas dans ce contexte.
À la suite de consultations publiques, le Commissariat a estimé, dans son projet de prise de position sur la réputation en ligne, que la LPRPDE prévoit un droit à la désindexation (suppression des liens des résultats de recherche sans supprimer le contenu lui-même) sur demande dans certains cas. Cela concerne généralement aux pages Web contenant des renseignements inexacts, incomplets ou désuets.
La Cour fédérale a entendu l’affaire les 26 et 27 janvier 2021; la Cour n’a pas encore rendu son jugement et nous ne pouvons pas faire de commentaires supplémentaires sur cette question pour le moment.

Contexte

Plainte : En 2017, nous avons reçu une plainte par un individu alléguant que Google contrevient à la LPRPDE en continuant d’afficher de manière visible des liens menant à des articles de presse en ligne le concernant dans les résultats de recherches lorsque l’on fait une recherche concernant son nom. Le plaignant allègue que les articles sont périmés et inexacts et qu’ils divulguent des informations sensibles (orientation sexuelle et condition médicale grave). Il soutient que Google lui a causé un préjudice direct en liant les articles à son nom.

Position de principe : En 2018, le Commissariat a publié un projet de position de principe sur la réputation en ligne dans le cadre d’une consultation continue sur la façon dont la loi sur la protection de la vie privée pourrait remédier aux préjudices subis par les personnes en raison de l’exposition accrue des renseignements personnels en ligne. Dans ce document, nous avons déclaré que nous croyons que la LPRPDE s’applique aux moteurs de recherche. Le document reste un projet et ne sera pas achevé avant la conclusion de la procédure de renvoi.

Litige : En 2018, Google a contesté la position du Commissariat selon laquelle la LPRPDE s’applique à son moteur de recherche. En octobre 2018, nous avons demandé à la Cour de déterminer si, à la base, la LPRPDE s’applique au moteur de recherche de Google.

Préparé par : Services juridiques

Passeports vaccinaux

Principaux messages

L’utilisation des passeports vaccinaux doit être nécessaire et proportionnelle; fondée sur des données probantes et nécessaire à l’atteinte d’un objectif précis. Au cœur de la discussion sur le passeport vaccinal se trouve la nécessité de démontrer l’efficacité, c’est-à-dire que les personnes vaccinées sont effectivement moins susceptibles de transmettre le virus.
Pour que les entreprises puissent recueillir le statut vaccinal d’une personne comme condition d’entrée, la collecte devrait être autorisée en vertu de la LPRPDE. Entre autres choses, la collecte devrait être conforme à l’article 5(3) de la LPRPDE.
Il existe de nombreuses preuves indiquant que la mise en place d’un système d’attestation vaccinale peut avoir une incidence disproportionnée sur les populations vulnérables et certains groupes. Par exemple, l’accès à la technologie numérique, aux formes d’identification, aux tests et aux vaccins est déjà inégal et les passeports vaccinaux pourraient renforcer les inégalités existantes en l’absence d’initiatives plus larges pour y remédier.

Contexte

En raison de la pandémie de COVID-19, de nombreux pays ont exploré divers régimes de passeport vaccinal ou attestation vaccinale dans le but de faciliter le retour à la normale, notamment l’Estonie, l’Islande, l’Espagne, Israël, les États-Unis et le Royaume-Uni.
Le 6 avril 2021, l’Organisation mondiale de la Santé a déclaré « qu’elle ne souhaite pas la mise en œuvre des passeports vaccinaux ou que ceux-ci soient une condition d’entrée dans un pays, car elle est incertaine à ce stade-ci que les vaccins empêchent la transmission ».
Le 16 avril 2021, la D^re Nemer, conseillère scientifique en chef du premier ministre, a fait remarquer que les passeports vaccinaux pourraient faciliter le retour à la normale. Elle s’est exprimée davantage sur leur utilisation potentielle pour faciliter les voyages, mais elle a également mentionné qu’une solution nationale nécessiterait une harmonisation entre tous les ordres de gouvernement.
La D^re Nemer a en outre indiqué que l’efficacité des vaccins pour prévenir d’autres transmissions n’avait pas été démontrée.

Préparé par : Services-conseils au gouvernement

Décret sur l’obligation de s’isoler et ArriveCAN

Principaux messages

Nous avons reçu de l’ASPC plusieurs évaluations de la conformité aux lois (ECL) sur la protection des renseignements personnels pour des mesures soutenant le décret sur l’obligation de s’isoler, y compris l’application ArriveCan. Nous avons évalué ces mesures en fonction du cadre du Commissariat et nous sommes convaincus que l’approche est conforme aux pouvoirs de l’ASPC en vertu de la Loi sur la mise en quarantaine et qu’elle se limite à l’objectif de prévenir l’introduction de la COVID-19 au Canada.
L’ASPC est ouverte à nos conseils sur les ententes de communication d’information avec ses partenaires et sur l’importance d’avis de confidentialité clairs. Nous continuons à consulter l’ASPC sur les mesures de protection et les limites de l’utilisation des renseignements personnels recueillis.
Nous prévoyons de recevoir et d’examiner d’autres ECL sur la protection des renseignements personnels de l’ASPC pour les mesures frontalières supplémentaires qu’elle a introduites, notamment les tests obligatoires dans les aéroports et les séjours à l’hôtel.

Contexte

Le décret sur l’obligation de s’isoler : La Loi sur la mise en quarantaine et le décret sur l’obligation de s’isoler obligent les voyageurs entrant au Canada à se mettre en quarantaine pendant 14 jours et à fournir des coordonnées, des plans de quarantaine et des auto-évaluations des symptômes à leur arrivée. Des renseignements personnels supplémentaires sont recueillis pendant la période de quarantaine de 14 jours par l’intermédiaire de l’application ArriveCAN ou du portail Web.

Objectif de l’appli : L’application ArriveCAN contribue au respect du décret sur l’obligation de s’isoler en permettant aux voyageurs de fournir des informations, avant et après leur arrivée au Canada, en format numérique, réduisant ainsi le recours aux formulaires papier qui entraînaient des inefficacités pour le gouvernement dans le suivi effectué auprès des voyageurs pendant leur période de quarantaine. Plus précisément, l’application permet de réduire de 9 à 2 jours le délai moyen entre la date d’entrée d’une personne au Canada et la date de la communication de l’ASPC aux autorités de santé publique pour commencer le traçage des contacts.

D’autres ECL prévus : L’ASPC avait indiqué qu’elle soumettrait, dans les mois à venir, 8 (6 nouveaux et 2 mis à jour) ECL supplémentaires concernant divers aspects de cette initiative.

Échange d’information : L’ASPC partage l’information avec les autorités de santé publique de la province ou du territoire où la personne est en quarantaine. L’information peut également être divulguée à la GRC et à d’autres organismes d’application de la loi au Canada à des fins d’application de la mise en quarantaine.

Préparé par : Services-conseils au gouvernement

Reconnaissance faciale

Principaux messages

D’après de récentes enquêtes réalisées par le Commissariat, la RF constitue une technologie puissante qui présente de sérieux risques pour la vie privée.
Parmi ces risques figure la violation du droit fondamental d’une personne à accéder aux espaces publics et privés, y compris aux espaces en ligne, sans craindre d’être identifiée, surveillée et suivie à chaque instant par des entités privées et gouvernementales.
L’utilisation de la RF crée également des risques de partialité et de discrimination à l’égard de certains groupes, et peut limiter la capacité d’une personne à se prévaloir d’autres droits et libertés démocratiques.
La communauté mondiale de la protection de la vie privée a reconnu ces risques en adoptant une résolution sur l’utilisation de la RF lors de la dernière conférence annuelle de l’AMVP. Le Commissariat participe à un groupe de travail, formé dans le cadre de cette résolution, afin d’élaborer un ensemble général de principes politiques et d’attentes concernant l’utilisation de la RF.

Contexte

Plaintes : Le Commissariat a récemment mené deux enquêtes sur l’utilisation de la RF en vertu de la LPRPDE : Clearview AI et Cadillac Fariview. En outre, le Commissariat enquête actuellement sur l’utilisation de la RF par la GRC en vertu de la Loi sur la protection des renseignements personnels.
Directives : À l’heure actuelle, le Commissariat collabore avec ses homologues provinciaux et territoriaux à la préparation de directives conjointes sur l’utilisation de la RF par les services de police. Nous envisageons de mener une consultation publique concernant la version définitive de ces directives dans les mois à venir.
International : Le 15 octobre 2020, lors de la conférence annuelle de l’AMVP, une résolution sur la RF a été adoptée à l’unanimité. Cette résolution oblige l’AMVP à travailler à l’élaboration d’un ensemble de principes et d’attentes convenus concernant l’utilisation des renseignements personnels dans la technologie de reconnaissance faciale. L’AMVP doit notamment déterminer où la RF pose le plus grand risque pour la protection des données et le droit à la vie privée, ainsi que formuler des recommandations sur l’atténuation potentielle de ces risques.

Préparé par : PRAP

Circulation transfrontalière des données

Principaux messages

La LPRPDE ne répond pas adéquatement aux risques pour la vie privée posés par les flux internationaux de données, et le projet de loi C‑11, dans sa forme actuelle, ne comblerait pas ces lacunes.
La plupart des lois modernes sur la protection de la vie privée traitent explicitement et séparément des flux transfrontaliers de données, notamment les lois de l’Australie et de la Nouvelle-Zélande, et le Règlement général sur la protection des données (RGPD).
Le projet de loi C‑11 n’établit pas de mécanisme exhaustif pour régir les flux transfrontaliers de données. Il devrait être modifié pour contenir de telles dispositions, afin que les droits et obligations soient clairement définis et respectés.
À l’instar du RGPD, des lois de l’Australie et de la Nouvelle-Zélande, ainsi que du projet de loi 64 du Québec, le projet de loi C‑11 devrait également être élargi pour englober les « divulgations » à l’extérieur du pays. De même, il devrait imposer des obligations de transparence aux organismes étrangers qui transfèrent les renseignements personnels de Canadiens à l’extérieur du pays et les exposent ainsi à des risques d’atteinte à la vie privée.

Contexte

Le paragraphe 11(1) du projet de loi C‑11 obligerait les organismes qui transfèrent des données à s’assurer que leur fournisseur de services offre une protection essentiellement équivalente à celle qu’ils seraient tenus d’offrir en vertu de la Loi. Le principe 4.1.3 de la LPRPDE exige que les organisations qui transfèrent des données fournissent un « degré comparable de protection ».
Le projet de loi C‑11 s’appuie sur l’utilisation de moyens contractuels (ou autres) pour offrir une protection « essentiellement équivalente », par opposition à « par voie contractuelle ou autre » dans la LPRPDE. D’autres territoires de compétence offrent un certain nombre d’options à cet égard, notamment des mécanismes tels que les décisions d’adéquation, les clauses contractuelles types, les codes de conduite ou des règles ou des régimes d’entreprise contraignants.
Le Commissariat recommande qu’un mécanisme distinct visant à régir les flux transfrontaliers de données traite des considérations élaborées dans le document de Teresa Scassa concernant : 1) à qui s’appliquent les obligations; 2) la responsabilité; 3) les conditions à remplir et 4) les protections dans l’État de destination.

Préparé par : PRAP

Intelligence artificielle (IA)

Principaux messages

L’intelligence artificielle a un immense potentiel, mais elle doit être mise en œuvre de façon à respecter la vie privée, l’égalité et les autres droits de la personne.
À notre avis, une cadre réglementaire approprié pour l’IA :
- rendrait possible l’utilisation des informations personnelles pour des intérêts publics et commerciaux légitimes, y compris pour la formation de l’IA; mais uniquement si la protection de la vie privée est inscrite dans le cadre approprié des droits de la personne;
- établirait des dispositions distinctes pour la prise de décision automatisée qui garantissent la transparence et l’équité (l’explication et la contestation), et,
- exigerait des entreprises qu’elles fassent preuve de responsabilité démontrable à la demande de l’autorité de réglementation, ultimement par l’entremise d’inspections proactives et d’autres mesures d’application de la loi.
La LPRPDE ne contient aucune de ces mesures et est mal adaptée à l’environnement de l’IA. C‑11 ne contient qu’une obligation d’explication pour les décisions automatisées, mais sans aucune norme sur ce que cette explication devrait comporter.

Contexte

En janvier 2020, le Commissariat a lancé une consultation publique. Nous avons reçu 86 soumissions au total et avons tenu deux séances de consultation en personne à Montréal et à Toronto.
Le rapport de synthèse, intitulé Un cadre réglementaire pour l’IA, contient nos principales recommandations en matière de réglementation de l’IA et est disponible sur notre site Web.
Nous avons également commandé un rapport distinct d’un expert reconnu en IA que nous avons publié, celui-ci a orienté nos recommandations et tenu compte des commentaires des intervenants lors de la consultation.
Plus largement, le Commissariat collabore avec les autorités internationales de protection des données au sein de groupes de travail sur l’IA par l’intermédiaire de l’Assemblée mondiale pour la protection de la vie privée, un forum international de commissaires à la protection des données et de la vie privée.

Préparé par : PRAP

Cadillac Fairview

Principaux messages

Notre enquête sur Cadillac Fariview a révélé que l’entreprise a utilisé des caméras dissimulées intégrées dans des kiosques d’information numériques dans 12 centres commerciaux pour recueillir les images des clients, et a utilisé la technologie de reconnaissance faciale (RF) pour deviner leur âge et leur sexe.
Les visiteurs n’avaient aucune raison de s’attendre à ce que leurs renseignements biométriques de nature sensible soient recueillis et utilisés de cette manière, et ils n’ont pas consenti à cette collecte ou à cette utilisation.
Les images ont été supprimées, mais les renseignements biométriques de 5 millions de visiteurs ont été envoyés à un fournisseur de services tiers et stockés dans une base de données centralisée sans que l’on sache pourquoi.
Nous demeurons inquiets du fait que Cadillac Fariview ait refusé notre demande de s’engager à obtenir le consentement explicite et valable des visiteurs si elle décide de redéployer la technologie à l’avenir.

Contexte

Lois et règlements provinciaux : Il s’agissait d’une enquête conjointe avec l’Alberta et la Colombie-Britannique, et impliquait un partage d’informations avec le Québec. Nos conclusions ont été publiées en octobre 2020.
Objectifs de la collecte : Les informations personnelles ont été recueillies aux fins d’observation des modèles de circulation des visiteurs du centre commercial et de prédiction de données démographiques (par exemple, l’âge et le sexe). À l’insu de Cadillac Fariview, une base de données biométriques comprenant 5 millions de représentations numériques biométriques des visages a également été créée et gérée par un producteur tiers.
Conclusions : Cadillac Fariview a cessé d’utiliser cette technologie et a fait savoir qu’elle ne prévoyait pas pour l’instant de reprendre l’utilisation. Nous craignons que Cadillac Fariview ne recommence tout simplement cette pratique, ou une pratique similaire, et que nous devions soit aller devant les tribunaux, soit lancer une nouvelle enquête sur la question.
Réforme des lois sur la vie privée : Le refus de Cadillac Fariview de s’engager à obtenir un consentement explicite et valable pour l’utilisation éventuelle de cette technologie démontre que nous avons besoin de plus pouvoirs en matière de protection de la vie privée des Canadiens, notamment le pouvoir de rendre des ordonnances et les SAP.

Préparé par : Secteur de la conformité

Clearview AI

Principaux messages

Nous avons constaté que Clearview n’a pas obtenu de consentement pour la collecte, l’utilisation et la divulgation de millions d’images de Canadiens qu’elle a prélevées de sites Web ou de profils biométriques qu’elle a générés.
Nous avons également constaté que ses pratiques s’apparentaient à une surveillance de masse continue et qu’elles visaient des fins inappropriées.
Clearview a contesté nos conclusions et a refusé de suivre nos recommandations. Des outils réglementaires plus forts, y compris des pouvoirs d’ordonnance et des SAP, sont nécessaires pour aider à garantir la conformité d’entreprises comme Clearview. Le projet de loi C‑11 ne répond pas adéquatement à ces lacunes en raison de son régime de SAP.

Contexte

Coopération provinciale : Il s’agissait d’une enquête conjointe avec l’Alberta, la Colombie-Britannique et le Québec. Notre rapport de conclusions a été publié le 2 février 2021.
Résumé : Clearview a fourni des services d’identification à l’aide de son produit de reconnaissance faciale à 48 organisations canadiennes, qui ont effectué collectivement des milliers de recherches. Clearview a recueilli plus de trois milliards d’images partout dans le monde.
Consentement : Elle n’a pas demandé de consentement pour l’utilisation des renseignements personnels des individus, affirmant que ces renseignements étaient « accessibles au public ». Les entreprises de médias sociaux ont déclaré que Clearview avait violé leurs conditions de service en procédant à ce ratissage et nous avons constaté que les renseignements n’étaient pas accessibles au public, au sens des règlements pertinents.
Objectifs : Clearview a recueilli sans discernement, utilisé et divulgué des renseignements personnels afin de permettre à des organisations tierces qui se sont abonnées à son service d’identifier des personnes en téléchargeant des photos à la recherche d’une correspondance.
Conclusions : Clearview a accepté de se retirer du marché canadien et de cesser d’offrir ses services aux Canadiens. À la fin de notre enquête, Clearview a refusé de suivre l’une ou l’autre des recommandations formulées par les commissariats, qui lui demandaient notamment de (i) s’engager à ne pas revenir sur le marché canadien; (ii) mettre fin à la collecte, à l’utilisation et à la communication d’images et de matrices biométriques; et (iii) supprimer les images et les matrices biométriques recueillies qu’elle a en sa possession.

Préparé par : Secteur de la conformité

Atteinte chez Facebook

Principaux messages

Les médias ont rapporté en avril 2021 que les renseignements d’environ 533 millions d’utilisateurs de Facebook ont été rendus publics.
L’ensemble de données comprendrait des renseignements sur 3,5 millions de Canadiens. L’ensemble des données avait été mis en vente dès le 6 juin 2020.
Facebook n’a pas soumis de rapport d’atteinte à la vie privée au commissariat pour cette affaire et nous sommes actuellement en communication avec l’entreprise.
Nous avons reçu une plainte liée à cette affaire et nous étudions actuellement les prochaines étapes. Nous ne sommes pas en mesure de fournir de détails supplémentaires pour le moment.

Contexte

Les données ont été prélevées des comptes Facebook des personnes concernées en profitant d’une vulnérabilité.
Après avoir détecté ce problème en août 2019, Facebook a apporté des modifications pour corriger la vulnérabilité en septembre 2019.
Les données comprenaient une variété de renseignements sur les profils Facebook et des coordonnées. Selon Facebook, les données ne comprenaient pas de renseignements financiers, de renseignements sur la santé ou de mots de passe.

Préparé par : Secteur de la conformité

Enquête sur l’atteinte à la vie privée chez Desjardins

Principaux messages

En mai 2019, Desjardins a notifié au Commissariat une atteinte aux mesures de sécurité qui a finalement touché près de 9,7 millions d’individus au Canada ainsi qu’à l’étranger. Le Commissariat a lancé une enquête en collaboration avec la Commission d’accès à l’information du Québec.
Notre enquête a conclu que Desjardins a contrevenu à la LPRPDE en ce qui concerne les principes de responsabilité, de la conservation, et des mesures de sécurité.
Tous les six mois, Desjardins fournira au Commissariat des rapports d’étape sur la mise en œuvre d’un plan d’action complet à la suite de cette atteinte à la vie privée.

Contexte

Les noms et prénoms, dates de naissance, numéros d’assurance sociale, adresses de résidence, numéro de téléphone, adresse courriel et historiques de transactions font partie des renseignements personnels compromis.
L’atteinte a été commise par un des employés de Desjardins. Celui-ci a exfiltré des renseignements personnels pendant une période d’au moins 26 mois.
Nous nous sommes concentrés sur les mesures de protection de Desjardins et sur sa responsabilité sur le plan des politiques et de la formation pour protéger les renseignements personnels. De plus, étant donné que certains documents dataient de plusieurs décennies, nous avons également examiné ses politiques de conservation et de destruction.
Points importants de cette enquête :
- Si les organisations doivent se prémunir contre les vecteurs d’attaque externes, elles doivent aussi regarder à l’intérieur.
- Pour que les politiques et les procédures soient efficaces, la formation et la sensibilisation des employés sont essentielles pour les concrétiser.
- Les risques peuvent être réduits en appliquant de bonnes pratiques de conservation des données.

Préparé par : Secteur de la conformité

Vérification de l’identité

Messages clés

L’une des façons de prévenir l’usurpation d’identité et la fraude consiste à vérifier l’identité en ligne d’une personne en utilisant un identifiant numérique fiable et sécurisé. Un identifiant numérique peut également aider les Canadiens à accéder en toute sécurité aux services en ligne.
Le 15 septembre 2020, le Conseil canadien d’identification et d’authentification numérique (CCIAN) a lancé le Cadre de confiance pancanadien (CCP). Le cadre est conçu pour aider les entreprises et les gouvernements à développer des outils et des services qui permettent de vérifier les renseignements relatifs à une opération particulière ou à un ensemble d’opérations.
Au cours de l’année, le commissariat a suivi le développement du CCP du CCIAN et du CCP du profil du secteur public (DASP) du SCT.
Du système bancaire ouvert à la santé en ligne, les services d’identification numérique représentent un élément clé de l’économie numérique. Jusqu’à présent, les banques et les firmes de télécommunication ont pu tirer parti des services d’identification numérique existants pour aider les Canadiens.

Contexte

Un identifiant numérique est un ensemble de traits et de caractéristiques associés à un individu ou à une organisation identifiable de manière unique, stocké et authentifié dans la sphère numérique, et utilisé pour des transactions, des interactions et des représentations en ligne.
Le CCP est au stade de validation du principe. Plus récemment, le Commissariat a participé à un groupe de travail du CCIAN sur l’utilisation éthique et acceptable de la biométrie dans l’écosystème de l’identification numérique.
La norme « CAN/CIOSC 103-1 : 2020 Confiance et identité numériques - Première partie » est une norme accréditée par SPC. La norme a récemment été publiée et précise les exigences minimales et l’ensemble des contrôles requis pour créer et maintenir la confiance dans les systèmes et services numériques qui, dans le cadre du mandat d’une organisation, affirment et/ou utilisent l’identité et les justificatifs d’identité dans les données relatives aux personnes et aux organisations.

Préparé par : ANALYSE DE LA TECHNOLOGIE

Suivi de l’enquête portant sur Statistique Canada

Principaux messages

Pour donner suite à notre enquête de 2019, nous avons fourni à Statistique Canada des directives pour l’aider à remanier le Projet de renseignements sur le crédit et le Projet relatif aux transactions financières.
Dans le cas du projet de renseignements sur le crédit, notre enquête a révélé que même si Statistique Canada avait le pouvoir légal de recueillir des renseignements personnels, il n’avait pas démontré que la collecte était nécessaire ou proportionnelle.
Notre enquête a soulevé des inquiétudes quant au fait que le projet relatif aux transactions financières, s’il était mis en œuvre, dépasserait l’autorité légale de Statistique Canada. Le projet a été arrêté pendant notre enquête.
Nous avons également noté des problèmes de transparence et des menaces internes. Nous avons demandé à Statistique Canada d’accroître la transparence de sa collecte de renseignements personnels, de s’attaquer aux risques liés aux vulnérabilités internes et nous avons recommandé que les projets susmentionnés soient interrompus et remaniés.
Nous conseillons actuellement Statistique Canada dans le cadre de la refonte de ces projets.

Contexte

Le Commissariat a affecté une ressource à temps plein pour aider Statistique Canada (StatCan) à mettre en œuvre nos recommandations afin de s’assurer que les collectes de renseignements personnels proposées sont nécessaires pour atteindre un objectif public important et qu’elles sont proportionnelles à l’incidence sur la vie privée.
À l’automne 2020, StatCan nous a fourni des plans de projet remaniés. Des progrès ont été réalisés dans l’intégration des principes de nécessité et de proportionnalité. Toutefois, comme StatCan a adopté une approche en plusieurs phases, il n’a pas été en mesure de répondre aux questions clés concernant les dernières phases de la mise en œuvre.
Nous avons demandé à StatCan de s’engager avec nous lorsque plus de renseignements seront disponibles et avant de mettre en œuvre les phases finales respectives des projets.

Préparé par : Secteur de la conformité

Pornhub et MindGeek

Principaux messages

Le Commissariat a suivi votre étude sur la « Protection de la vie privée et de la réputation sur des plateformes comme Pornhub ». Nous reconnaissons les nombreuses et les sérieuses préoccupations qui ont été soulevées concernant la vie privée et les questions connexes, car il s’agit de renseignements personnels très sensibles.
Le Commissariat a reçu une plainte concernant le consentement à la collecte, à l’utilisation et à la divulgation d’images intimes sur les sites Web de MindGeek et a ouvert une enquête.
Notre enquête étant en cours, je ne peux pas commenter davantage les détails de la plainte pour le moment.
Cela dit, il est de la plus haute importance que les sites Web qui recueillent, utilisent ou divulguent des images intimes se conforment à la loi, pour minimiser les atteintes à la vie privée et respecter le droit fondamental des Canadiens à la vie privée.

Contexte

ETHI a commencé son étude le 1^er février 2021 et a tenu plus de cinq réunions sur le sujet avec plus de 20 témoins. Les questions abordées comprennent la vérification de l’âge et de l’identité; diffusion non autorisée d’images intimes; et les examens manuels combinés à des logiciels d’intelligence artificielle pour supprimer les contenus mineurs et non consensuels.
Le Toronto Star a publié un article sur la plainte (en anglais seulement) en question en janvier 2021.
Comme indiqué dans l’enquête Ashley Madison (2016) sur les sites de rencontres pour adultes, il est crucial que les organisations qui détiennent des renseignements personnels sur support électronique adoptent des processus, des procédures et des systèmes clairs et appropriés pour traiter les risques liés à la sécurité des renseignements, soutenus par une expertise adéquate (interne ou externe). C’est particulièrement important lorsqu’il s’agit de renseignements sensibles dont la communication pourrait porter gravement atteinte à la réputation des personnes touchées ou leur causer préjudice autrement.

Préparé par : PRAP En consultation avec : Direction des enquêtes sur la conformité à la LPRPDE

Plainte contre des partis politiques fédéraux

Principaux messages

Le Commissariat a conclu que les activités du Parti libéral, du Parti conservateur et du NPD, visées par la plainte, ne sont pas assujetties à la LPRPDE parce qu’elles n’ont pas de caractère commercial.
Bien que la vente d’objets promotionnels, d’adhésions et de billets inclue un élément d’échange, le Commissariat n’est pas persuadé que ces transactions constituent des activités commerciales étant donné le contexte dans lequel évoluent les partis politiques fédéraux.
Même si ces transactions-là étaient considérées comme étant commerciales, le Commissariat n’aurait pas la compétence d’enquêter sur les pratiques générales des partis politiques fédéraux liées à la publicité politique et concernant les électeurs.
Le Commissariat a souligné à plusieurs reprises la nécessité d’assujettir les partis politiques à une loi qui comporte des obligations fondées sur des principes de protection de la vie privée reconnus à l’échelle internationale, et d’assurer qu’un tiers indépendant ait l’autorité de vérifier la conformité.

Contexte

Nous avons reçu la plainte contre les trois principaux partis politiques fédéraux le 22 août 2019. Les autres destinataires de la plainte étaient : Élections Canada, le Bureau de la concurrence, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique.
Malgré les observations exhaustives de la part du plaignant dans cette affaire, nous sommes parvenus à la conclusion que la LPRPDE ne s’applique pas aux activités des partis politiques fédéraux faisant l’objet de la plainte, étant donné la nature non commerciale de ces activités.
Pour en arriver à sa conclusion dans cette affaire, le Commissariat a examiné attentivement les nombreuses représentations du plaignant sur l’activité commerciale et celles reçues du NPD et du Parti libéral du Canada. Le Parti conservatesur du Canada n’a pas fourni de réponse à cet égard.

Préparé par : Secteur de la conformité

Date de modification :: 2021-09-03

Fiches des enjeux, Budget principal des dépenses

Table des matières

Ressources budgétaires du Commissariat

Principaux messages

Contexte

Allocation des ressources

Principaux messages

Contexte

Résultats du financement supplémentaire (budget de 2019)

Principaux messages

Contexte

Suffisance du financement supplémentaire du projet de loi C‑11 (2021)

Principaux messages

Contexte

Gestion des personnes

Principaux messages

Contexte

Impact de la COVID-19 sur le Commissariat

Principaux messages

Contexte

Réaliser des économies

Principaux messages

Contexte

Résultats du cadre ministériel des résultats (CMR)

Principaux messages

Contexte

Arriérés du Secteur de la conformité

Principaux messages

Contexte

Statistiques et tendances sur les atteintes

Principaux messages

Contexte

Collaboration sur l'application de la loi

Principaux messages

Contexte

Enquêtes menées en vertu de la Loi sur la protection des renseignements personnels

Principaux messages

Contexte

Enquête en vertu de la LPRPDE en cours

Principaux messages

Contexte

Élaboration d’orientations

Principaux messages

Contexte

Affaires parlementaires

Principaux messages

Contexte

International (général)

Principaux messages

Contexte

Programme des contributions

Principaux messages

Contexte

Avis du gouvernement – Statistiques et tendances

Principaux messages

Contexte

Services-conseils au gouvernement - activités principales

Principaux messages

Contexte

Direction des services-conseils à l’entreprise

Principaux messages

Contexte

Statistiques et tendances en matière de communication

Principaux messages

Contexte

Direction de l’analyse des technologies (DAT)

Principaux messages

Contexte

Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

Contexte

Réforme de la LPRPDE (projet de loi C‑11)

Principaux messages

Contexte

Application Alerte COVID

Principaux messages

Contexte

Devant les tribunaux – Facebook

Principaux messages

Contexte