Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Fiches des enjeux au sujet de la transparence au sein du ministère de la Défense nationale et des Forces armées canadiennes

Table des matières

Plaintes contre le MDN et les FAC depuis 2019

Refus d’accès

Durée des enquêtes

Notifications d’atteinte à la vie privée du MDN et des FAC

Collaboration du Commissariat avec le Commissariat à l’information

Recours à Cellebrite par le MDN

Aperçu du processus d’évaluation des facteurs relatifs à la vie privée (EFVP)

EFVP et consultations avec le MDN et les FAC depuis 2019

Transfert de dossiers médicaux des FAC à ACC

Différence entre les plaintes sous le régime de la Loi sur la protection des renseignements personnels et les plaintes sous le régime de la Loi sur l’accès à l’information

Dispositions de la Loi sur la protection des renseignements personnels appliquées aux demandes d’accès à l’information

Exigences de transparence précisées dans la Loi sur la protection des renseignements personnels

Rapport de l’OSSNR sur l’échange de renseignements internes au CST

Recommandations pour la réforme de la Loi sur la protection des renseignements personnels : accessibilité et transparence

Rôle et mandat du Commissariat; pouvoirs du Commissaire

Modèles de financement pour les agents du Parlement

Comparution devant le Comité permanent de la défense nationale du 1er mai 2024

Plaintes contre le MDN et les FAC depuis 2019

Principaux messages

  • Le Commissariat a accepté 290 plaintes contre le ministère de la Défense nationale (MDN) et les Forces armées canadiennes (FAC) au cours des cinq derniers exercices financiers.
  • Plus de la moitié (60 %) de ces plaintes concernaient le délai de traitement des demandes d’accès aux renseignements personnels.
  • Parmi les plaintes acceptées, 22 font toujours l’objet d’une enquête et les autres (268) ont été réglées. Parmi les enquêtes terminées :
    • 48 % (128) des plaintes acceptées ont été résolues par règlement rapide (une forme simple de médiation);
    • 46 % (122) ont été résolues par une enquête sommaire, la majorité d’entre elles étant des plaintes relatives aux délais (110), le reste portant sur des questions d’accès, de conservation ou d’autres motifs de plainte comme des allégations d’utilisation et de communication inappropriées de renseignements personnels;
    • 6 % (18) ont été résolues à l’issue d’une enquête approfondie, la majorité d’entre elles concernant des allégations de collecte, d’utilisation et de communication inappropriées de renseignements personnels (p. ex. plaintes relatives à la vaccination obligatoire dans les FAC).
  • Depuis le 1er avril 2024, nous avons accepté 4 plaintes contre le MDN et les FAC.
  • Dans l’ensemble, le Commissariat n’a rencontré aucun problème important dans la résolution des plaintes portées contre le MDN et les FAC.

Contexte

  • En 2023‑2024, la majorité (67 %, soit 31) des 46 plaintes portant sur les délais ont été résolues à la satisfaction du Commissariat et 15 plaintes ont été considérées comme des présomptions de refus.
  • Un grand nombre des plaintes ont été acceptées par rapport au nombre de plaintes reçues dans la mesure où les plaintes déposées par le public n’entrent pas toutes dans le champ d’application de la Loi sur la protection des renseignements personnels.
2019‑2020 2020‑2021 2021‑2022 2022‑2023 2023‑2024
33 51 53 74 78

Préparé par : Secteur de la conformité

Refus d’accès

Principaux messages

  • Une personne peut se voir refuser l’accès à ses renseignements personnels pour de multiples raisons. La Loi sur la protection des renseignements personnels prévoit des exceptions qui permettent aux institutions fédérales de retenir (article 19 à 28) ou d’exclure (article 69 et 70) les renseignements demandés. Par exemple :
    • la communication pourrait porter préjudice à la conduite des affaires internationales ou à la défense du Canada ou de ses alliés (article 21).
    • les renseignements ont été obtenus au cours d’une enquête licite (article 22.1)
    • les renseignements portent sur un autre individu que celui qui fait la demande (article 26)
    • les renseignements sont protégés par le secret professionnel (article 27)

Contexte

  • En 2023‑2024, le Commissariat a enquêté sur 25 plaintes contre le MDN et les FAC portant sur l’accès et 46 autres portant sur les délais. Parmi ces dernières, 15 ont été considérées comme des présomptions de refus.
  • Une institution qui ne répond pas à une demande dans un délai raisonnable selon la Loi sur la protection des renseignements personnels pourrait, à la suite d’une enquête menée par le Commissariat, se voir reprocher d’avoir refusé l’accès à des renseignements personnels (à défaut de tout engagement de la part de l’institution de répondre dans un délai jugé acceptable par le Commissariat).
  • Une personne qui a déposé une plainte au Commissariat après s’être vu refuser l’accès pourrait, après une enquête et la publication d’un rapport par le Commissariat, demander une audience devant la Cour fédérale (article 41).

Préparé par : Secteur de la conformité

Durée des enquêtes

Principaux messages

  • Pour ce qui est des 85 plaintes déposées contre le MDN et les FAC conformément à la Loi sur la protection des renseignements personnels et résolues en 2023‑2024, le délai de traitement moyen a été d’environ 5 mois :
    • 54 % (46) de ces plaintes ont été résolues en 5,1 mois par un processus de médiation (résolution rapide).
    • 36 % (31) ont été réglées en 2,7 mois par la publication d’un rapport simplifié (enquêtes sommaires).
    • 9 % (8) ont été réglées en 13,9 mois, car elles nécessitaient une enquête plus approfondie.
  • Le MDN et les FAC se montrent généralement coopératifs et les enquêtes les concernant sont menées à bien dans des délais raisonnables.
  • Il est possible que des retards soient constatés dans quelques cas. Cela pourrait se produire, entre autres, quand l’enquête est très complexe (p. ex. dans un cas qui touche plusieurs intervenants, ou lorsqu’il s’agit d’un nouveau problème).

Contexte

  • Deux des enquêtes prises en compte dans notre calcul du temps moyen imparti à une enquête en 2023‑2024 ont fait l’objet de rapports spéciaux au Parlement. Elles ont fait appel à de multiples répondants ou intervenants, ou portaient sur de nombreuses plaintes contre plusieurs institutions fédérales, qui ont toutes dû être réglées en même temps – même lorsque la plainte contre le MDN avait été réglée plus tôt ou que le MDN avait présenté ses observations dans un délai raisonnable :
    • l’enquête sur la collecte par les institutions fédérales du statut vaccinal de leurs employés, notamment le MDN, dans le cadre du rapport spécial sur la pandémie (19 mois);
    • une plainte contre le MDN en lien avec le rapport spécial sur l’atteinte à la vie privée touchant le service CléGC (40 mois).

Préparé par : Secteur de la conformité

Notifications d’atteinte à la vie privée du MDN et des FAC

Principaux messages

  • Depuis le 1er avril 2019, le Commissariat a reçu 10 déclarations d’atteinte à la vie privée du MDN et des FAC. Compte tenu de la quantité de renseignements personnels utilisés par cette organisation, nous craignons que l’absence de détection ou une mauvaise évaluation ne mène à une sous-déclaration des cas d’atteinte à la vie privée.
  • Chaque déclaration d’atteinte à la vie privée par le MDN depuis 2019 n’a touché qu’un nombre relativement faible de personnes, soit entre 1 et 2 500 personnes.
  • Les 10 déclarations d’atteinte à la vie privée reçues depuis 2019 concernent l’accès non autorisé (5), la communication non autorisée (4) et la perte (1) de renseignements personnels.
  • Les interactions entre le MDN et l’Unité d’intervention en cas d’atteinte à la vie privée du Commissariat ont été positives. Le MDN a répondu de manière appropriée aux demandes de l’Unité d’intervention et s’est montré disposé à communiquer l’information.

Contexte

  • Bien que cela ne concerne pas uniquement le MDN et les FAC, le Commissariat est préoccupé par la sous-déclaration des cas d’atteinte à la vie privée dans le secteur public fédéral. Bon nombre des institutions fédérales assujetties à la LPRP qui traitent des renseignements personnels sensibles n’ont signalé que peu ou pas d’atteintes à la protection de la vie privée.
    • Préoccupation de longue date, la question a été soulevée par le Commissariat auprès du Secrétariat du Conseil du Trésor (SCT). En réaction, le SCT a mis à jour ses politiques sur la protection des renseignements personnels et a convenu d’accroître la sensibilisation à ce sujet.
  • Les éléments suivants sont les principales causes d’atteinte à la vie privée :
    • furetage par les employés (37 personnes concernées);
    • fuite dans les bases de données (235 personnes concernées);
    • attaque par rançongiciel (44 personnes concernées);
    • courriel envoyé par erreur (915 personnes concernées);
    • communication de renseignements personnels dans les médias sociaux (3 personnes concernées), omission d’utilisation du champ CCI pour l’envoi de courriel (55 personnes concernées);
    • cyberincident de BGRS/SIRVA (2 300 personnes concernées).
  • Les mesures prises par le MDN pour corriger et atténuer les cas signalés d’atteinte à la vie privée ont généralement été satisfaisantes.

Préparé par : Secteur de la conformité

Collaboration du Commissariat avec le Commissariat à l’information

Principaux messages

  • L’adoption du projet de loi C-58 en juin 2019 a permis de modifier la Loi sur l’accès à l’information (LAI), en conférant notamment au Commissariat à l’information du Canada (CIC) le pouvoir de rendre des ordonnances.
  • La loi prévoit également des dispositions obligeant le CIC à consulter le Commissaire à la protection de la vie privée lorsqu’il a l’intention d’ordonner à une institution fédérale de communiquer des documents qui ont été retenus selon le paragraphe 19(1) de la LAI.
  • Le paragraphe 19(1) de la LAI interdit la communication de renseignements personnels contenus dans les documents demandés aux termes de la LAI.
  • Le Commissariat et le CIC ont signé un protocole d’entente en décembre 2020 pour faciliter la consultation entre nos deux organismes. L’intention était d’établir une liste de circonstances dans lesquelles une consultation entre le CIC et le Commissariat devrait avoir lieu pour garantir que le droit à la vie privée est dûment pris en compte.
  • Conformément à ces modalités, le CIC a consulté le Commissariat 19 fois au cours des 4 dernières années; aucune de ces consultations ne portait sur les documents du MDN et des FAC.

Contexte

  • Article 36.2 (LAI) : S’il a l’intention d’ordonner au responsable d’une institution fédérale de communiquer tout ou partie d’un document que ce dernier refuse de communiquer au titre du paragraphe 19(1), le Commissaire à l’information doit consulter le Commissaire à la protection de la vie privée et peut, dans le cadre de la consultation, lui communiquer des renseignements personnels.
  • Nombre de dossiers reçus au cours des quatre derniers exercices financiers :
    2020‑2021 2 dossiers (caviardé)
    2021‑2022 3 dossiers (caviardé)
    2022‑2023 10 dossiers (caviardé)
    2023‑2024 4 dossiers (caviardé)

Préparé par : Secteur de la conformité

Recours à Cellebrite par le MDN

Principaux messages

  • À la suite de reportages dans les médias, le Commissariat a contacté le MDN en décembre 2023 pour l’interroger plus particulièrement sur son utilisation d’outils de criminalistique numérique comme Cellebrite.
    • Le MDN a répondu le 12 décembre 2023 qu’il utilisait de tels outils pour « soutenir l’exercice légitime des activités de la Défense », notamment les enquêtes de la police militaire, bien qu’il n’ait pas révélé précisément les logiciels utilisés.
  • Le MDN a également indiqué dans sa réponse que plusieurs évaluations des facteurs relatifs à la vie privée étaient en cours « relativement aux activités de la police militaire », notamment une évaluation des activités de contre-ingérence. Nous n’avons pas encore reçu ces EFVP et le MDN n’a pas non plus fourni une date de soumission prévue. Nous continuons à faire le suivi.
  • Le Commissariat recommande aux institutions de le consulter avant de lancer de nouveaux programmes ou activités visant des renseignements personnels ou lorsqu’elles ont des questions relatives à la protection de la vie privée.
  • Bien que les institutions ne soient pas tenues de consulter le Commissariat, elles doivent, conformément à la section 4.2.2 de la Politique sur la protection de la vie privée, informer le Commissariat des initiatives prévues si elles ont une incidence sur la protection de la vie privée.

Contexte

  • Le 6 décembre 2023, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) a décidé de réaliser une étude « concernant l’utilisation d’outils technologiques capables d’extraire les données personnelles de téléphones et d’ordinateurs dans des processus d’enquête » en réponse à un article paru dans les médias sur le même sujet. J’ai comparu devant le comité ETHI au sujet de cette étude le 1er février 2024.
  • En réponse à cette étude, le Commissariat a contacté les 13 institutions fédérales citées dans l’article original pour leur demander des détails sur leur utilisation de ces technologies. Le MDN était l’une de ces institutions.

Préparé par : DSCG

Aperçu du processus d’évaluation des facteurs relatifs à la vie privée (EFVP)

Principaux messages

  • L’obligation pour les institutions fédérales d’élaborer des EFVP pour des activités ou programmes nouveaux ou ayant subi des modifications importantes est actuellement une exigence de la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT.
  • La Directive exige que les institutions fédérales soumettent les EFVP au Commissariat et au SCT. Nous comptons sur les institutions pour qu’elles nous soumettent des EFVP et nous ne les demandons généralement pas de manière proactive. Il arrive que des programmes soient lancés sans EFVP.
  • Chaque EFVP reçue par le Commissariat est examinée et triée en fonction des facteurs de risque relatifs à la protection de la vie privée afin de déterminer les rapports qui feront l’objet d’un examen approfondi et de recommandations officielles.
  • Nos recommandations indiquent les risques ou les lacunes; nos conseils ne sont toutefois pas contraignants et le Commissariat n’approuve pas les EFVP. C’est à l’institution qu’incombe la responsabilité ultime des risques en matière de protection de la vie privée.
  • Parallèlement à l’examen formel des évaluations des EFVP, la Direction des services-conseils au gouvernement mène des consultations afin de fournir des conseils non officiels aux institutions dès le début du développement et tout au long du cycle de vie de leurs programmes et activités.

Contexte

  • Les facteurs de risque du tri sont notamment la sensibilité ou le volume des renseignements personnels concernés, le recours à une nouvelle technologie, l’intérêt du public pour le programme et la question de savoir si le programme concerne des populations vulnérables.
  • En règle générale, nous comptons sur les institutions pour soumettre des EFVP. Nous n’essayons pas de cerner de manière proactive les programmes pour lesquels des EFVP devraient être réalisées.
  • Lorsque nous avons connaissance d’un programme susceptible de porter atteinte à la vie privée pour lequel nous n’avons pas reçu d’EFVP, généralement par le biais des médias, nous contactons souvent l’institution pour obtenir de plus amples informations.
  • Nous demandons aux institutions de répondre à nos recommandations officielles dans un délai de huit semaines. Le délai est souvent respecté, mais pas toujours.

Préparé par : DSCG

EFVP et consultations avec le MDN et les FAC depuis 2019

Principaux messages

  • Depuis mars 2019, la Direction des services-conseils au gouvernement a mené 33 consultations et reçu 21 EFVP du MDN, dont 16 ont été triées pour examen.
  • Les initiatives visées par ces EFVP et ces consultations portaient sur un éventail de sujets, notamment la biométrie, le renseignement de source ouverte, la dotation en personnel et les services internes du MDN et des FAC.
  • En règle générale, le MDN s’est montré ouvert et attentif aux conseils du Commissariat lors de nos interactions. Environ 93 % des recommandations de l’examen des EFVP ont été acceptées, et nous avons reçu des réponses à 100 % de nos demandes d’information.
  • Malgré cela, certaines questions importantes restent en suspens, notamment la position du MDN sur l’application de la Loi sur la protection des renseignements personnels (LPRP) à ses activités à l’étranger et le recours par le MDN à la « prérogative de la Couronne » comme base juridique (non prévue par la loi) pour justifier la collecte d’informations ou de renseignements.
  • D’après les EFVP et les consultations menées avec le Commissariat, il semble que le MDN ait adopté la position selon laquelle la LPRP ne régit pas la collecte de renseignements personnels à l’extérieur du Canada, une position qui nous apparaît préoccupante. Nous tenons régulièrement des discussions sur ce point.

Contexte

  • La question de l’application extraterritoriale de la LPRP a été soulevée pour la première fois en 2020 dans un rapport du Comité des parlementaires sur la sécurité nationale et le renseignement concernant les activités du MDN relatives au renseignement.
  • Le Commissariat a d’abord fourni des commentaires au MDN sur cette question lors de notre examen de la Directive fonctionnelle en 2021 : Directive sur la protection et la gestion de l’information des citoyens canadiens. Nous avons demandé une mise à jour des discussions du MDN avec le ministère de la Justice sur cette question.
  • Cette demande a été réitérée dans notre lettre de recommandation de l’EFVP classifiée de l’entreprise du renseignement de défense en décembre 2023. Le Commissariat a cependant rencontré le MDN le 30 avril 2024 pour en discuter, parmi d’autres questions liées à l’EFVP. Le MDN a été réceptif à nos commentaires et nous nous attendons à d’autres EFVP de la part du MDN ainsi qu’à une discussion continue sur cette question.

Préparé par : DSCG

Transfert de dossiers médicaux des FAC à ACC

Principaux messages

  • Anciens Combattants Canada (ACC) et les Forces armées canadiennes (FAC) administrent une vaste gamme de prestations et de services de santé à l’intention des personnes admissibles.
  • ACC recueille les dossiers médicaux relatifs au service demandé par les FAC afin de déterminer l’admissibilité aux prestations et aux services et de les administrer.
  • Pour gérer les demandes de services de santé, ACC et les FAC utilisent le Service fédéral de traitement des demandes de soins de santé (SFTDSS) qui est administré par un entrepreneur tiers. En 2017, ACC nous a remis une évaluation des facteurs relatifs à la vie privée (EFVP) du SFTDSS.
  • Il semble que le système actuel du SFTDSS présente des difficultés, car il repose en grande partie sur le traitement des demandes papier et la saisie manuelle des données, mais notre analyse a permis de voir que le programme ne soulève pas de problèmes importants en matière de protection de la vie privée.
  • Le Commissariat a également reçu des EFVP d’ACC sur les prestations et services de santé connexes, qui précisent que le transfert des dossiers médicaux relatifs au service des FAC à ACC est facilité grâce à un accord d’échange d’information.
  • Notre examen de ces EFVP n’a pas permis de relever de problèmes de protection de la vie privée liés à ces transferts.

Contexte

  • En mars 2024, le MDN a fourni au Commissariat une EFVP du SFTDSS qui analyse le rôle joué par le MDN pour déterminer l’admissibilité des clients des FAC aux services de santé et assurer l’exactitude des demandes de remboursement des frais de santé.
  • Comme l’actuel contrat du SFTDSS prend fin en 2026, l’EFVP examine à la fois l’état actuel et le développement et la conception d’une nouvelle solution.
  • L’EFVP n’a pas soulevé de problèmes importants en matière de protection de la vie privée et n’a pas fait l’objet d’un examen secondaire.

Préparé par : DSCG

Différence entre les plaintes sous le régime de la Loi sur la protection des renseignements personnels et les plaintes sous le régime de la Loi sur l’accès à l’information

Principaux messages

  • À l’échelle fédérale, je suis chargé d’appliquer la Loi sur la protection des renseignements personnels [LPRP] et le Commissaire à l’information veille à l’application de la Loi sur l’accès à l’information [LAI].
  • Les plaintes relatives à la LPRP déposées auprès du Commissariat concernent soit une personne cherchant à accéder à ses renseignements personnels, soit la manière dont une institution fédérale n’a pas protégé ces renseignements (p. ex. utilisation ou communication inappropriée).
  • Les plaintes déposées auprès du CIC concernent l’accès à des renseignements non personnels détenus par une institution fédérale au nom de la transparence.
  • Contrairement au CIC qui peut exiger des institutions fédérales qu’elles fournissent des renseignements à un plaignant à l’issue d’une enquête (article 36.1 LAI), je ne suis pas autorisé à faire de même, car le Commissariat n’a pas le pouvoir de rendre des ordonnances.

Contexte

  • LPRP : Tout individu, quelle que soit sa nationalité ou le lieu où il se trouve, a le droit de se faire communiquer les renseignements personnels le concernant détenus par une institution fédérale aux termes du paragraphe 12(1) de la LPRP. [article 2 du Décret d’extension no 2 de la Loi sur la protection des renseignements personnels, DORS/89-206; Décret d’extension no 3 de la Loi sur la protection des renseignements personnels, DORS/2021-174]
  • LAI : Les personnes physiques et morales présentes au Canada, ainsi que les citoyens canadiens/résidents permanents situés n’importe où, peuvent avoir accès aux documents détenus par les institutions fédérales aux termes du paragraphe 4(1) de la LAI [Décret d’extension no 1 de la Loi sur l’accès à l’information, DORS/89-207].
  • La LPRP (article 63) et la LAI (article 62) contiennent des dispositions similaires en matière de confidentialité : Les commissaires et leur personnel sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance dans l’exercice de leurs pouvoirs et fonctions.
  • Les plaintes relatives à la LPRP portent souvent sur la protection des renseignements personnels et le maintien de la vie privée; les plaintes relatives à la LAI concernent souvent la communication de renseignements.
  • Alors que les pouvoirs limités du CIC de rendre des ordonnances (c’est-à-dire uniquement sur l’accès) sont suffisants pour répondre à la plupart des plaintes, ce n’est pas le cas pour le Commissariat, étant donné que la plupart de nos plaintes portent sur le non-respect des dispositions relatives à la collecte, à l’utilisation et à la communication, qui peuvent concerner des millions de Canadiennes et de Canadiens. C’est pourquoi nous avons besoin d’un régime d’ordonnances plus large pour les plaintes visant la conformité et l’accès.

Préparé par : Services juridiques

Dispositions de la Loi sur la protection des renseignements personnels appliquées aux demandes d’accès à l’information

Principaux messages

  • Même si la Loi sur l’accès à l’information permet aux Canadiens d’obtenir des renseignements détenus par les institutions fédérales, certaines dispositions de la Loi sur la protection des renseignements personnels s’appliquent toujours pour empêcher que des renseignements personnels ne soient divulgués.
  • Certaines dispositions de la Loi sur la protection des renseignements personnels sont reprises ou citées par renvoi directement dans la Loi sur l’accès à l’information, comme la définition de « renseignements personnels » et la liste des exceptions qui permettent la communication de renseignements personnels sans consentement.
  • La Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information sont conçues comme un « code homogène » et doivent être interprétées de façon harmonieuse suivant un « modèle d’interprétation parallèle » [Leahy c. Canada (Citoyenneté et Immigration), 2012 CAF 227 au paragraphe 68].
  • Le Parlement a veillé à ce que les deux lois reconnaissent que la protection des renseignements personnels l’emporte sur le droit d’accès (sauf dans les cas prévus par la loi) [Cie H.J. Heinz du Canada Ltée c. Canada (Procureur général), 2006 CSC 13 au paragraphe 2].

Contexte

  • L’article 3 de la Loi sur l’accès à l’information (LAI) incorpore par renvoi la définition du terme « renseignements personnels » figurant à l’article 3 de la Loi sur la protection des renseignements personnels.
  • Le paragraphe 19(1) de la LAI stipule que « le responsable d’une institution fédérale est tenu de refuser la communication de documents contenant des renseignements personnels ».
  • Le paragraphe 19(2) de la LAI prévoit néanmoins certaines exceptions où les renseignements personnels peuvent être communiqués, notamment dans les cas suivants : (a) l’individu qu’ils concernent y consent; (b) le public y a accès; (c) la communication est conforme à l’article 8 de la Loi sur la protection des renseignements personnels.
  • Si la Loi sur la protection des renseignements personnels s’applique à un document contenant des renseignements personnels, il en va de même pour la LAI (et vice versa); les deux lois s’appliquent ou aucune ne s’applique. Les deux lois s’appliquent aux renseignements relevant des institutions fédérales.

Préparé par : Services juridiques

Exigences de transparence précisées dans la Loi sur la protection des renseignements personnels

Principaux messages

  • La Loi sur la protection des renseignements personnels joue un rôle clé dans la responsabilisation et la transparence des institutions gouvernementales en autorisant l’accès aux renseignements personnels d’un demandeur (dans la plupart des cas).
  • Contrairement à la partie 2 de la Loi sur l’accès à l’information, qui exige la publication proactive de certains renseignements (p. ex. les dépenses, les documents d’information), aucune disposition de la Loi sur la protection des renseignements personnels n’exige que des renseignements personnels (tels que définis dans cette loi) soient accessibles au public ou soient communiqués de manière proactive.
  • Les protections conférées par la Loi sur la protection des renseignements personnels s’appliquent toujours aux renseignements personnels contenus dans les documents faisant l’objet d’une communication proactive par les institutions fédérales; il faudra donc refuser l’accès aux renseignements personnels et caviarder le contenu des documents.

Contexte

  • Le terme « renseignements personnels », au sens de l’article 3 de la Loi sur la protection des renseignements personnels, s’entend de « renseignements, quels que soient leur forme et leur support, concernant un individu identifiable »; il est défini de la même manière à l’article 3 de la Loi sur l’accès à l’information.
  • L’article 12 de la Loi sur la protection des renseignements personnels accorde aux individus le droit de se faire communiquer les renseignements personnels le concernant et relevant des institutions fédérales.
  • Transparence : L’accès à ses renseignements personnels aux termes de la LPRP permet de savoir comment et pourquoi ils sont utilisés par les institutions fédérales; cela révèle également la quantité de renseignements vous concernant qui ont déjà été recueillis et offre la possibilité de demander que des renseignements personnels erronés soient corrigés.
  • En règle générale, les catégories de documents assujettis à la publication aux termes de la partie 2 de la Loi sur l’accès à l’information, comme les dépenses afférentes aux déplacements, les frais d’accueil ou les documents d’information, ne contiennent pas de « renseignements personnels » au sens de la Loi sur la protection des renseignements personnels. Dans la mesure où ils le sont, ces renseignements doivent être caviardés, sauf si l’une des exceptions prévues à l’article 8(2) s’applique.

Préparé par : Services juridiques

Rapport de l’OSSNR sur l’échange de renseignements internes au CST

Principaux messages

  • En janvier 2024, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a publié son rapport sur l’examen des pratiques d’échange de renseignements au Centre de la sécurité des télécommunications (CST).
  • Le rapport indique que l’échange de renseignements entre les volets de renseignement étranger et de cybersécurité du mandat du CST n’a pas été suffisamment examiné au regard de la conformité aux dispositions de la Loi sur la protection des renseignements personnels ou de la Loi sur le CST, et recommandé que le CST demande un avis juridique sur ces activités.
  • Le Commissariat n’a pas participé, mais nous nous réjouissons de l’occasion qui nous est donnée de soutenir l’OSSNR et un protocole d’entente a été conclu depuis 2021 pour mener des enquêtes conjointes.
  • L’OSSNR serait mieux à même de répondre à toute question posée par le Comité à propos du rapport.

Contexte

  • En examinant l’autorité légale du CST pour l’échange de renseignements personnels entre les aspects de renseignement et de cybersécurité de son mandat, l’OSSNR a conclu que l’échange interne peut être conforme à la Loi sur la protection des renseignements personnels (la Loi) dans certaines circonstances, mais a conseillé au CST d’évaluer le but initial de la collecte.
  • L’OSSNR a recommandé au CST de demander un avis juridique sur les questions suivantes :
    • l’échange interne de renseignements entre les volets de renseignement étranger et de cybersécurité constitue-t-il une utilisation ou une communication de renseignements au sens de la Loi?;
    • ces utilisations ou ces divulgations sont-elles conformes aux dispositions des articles 7 et 8 de la Loi?
  • Le CST a exprimé son désaccord face à la recommandation, soulignant qu’il avait déjà reçu un avis juridique du ministère de la Justice sur la question.
  • En 2016, le Commissariat a examiné l’utilisation des métadonnées par le CST et a recommandé de clarifier les autorisations d’utilisation et de communication, les garanties explicites et les limites de conservation précises. Dans notre mémoire au ministère de la Justice en 2021, nous avons également souligné que les dispositions de la loi relatives à la communication et à l’échange de renseignements devaient être formulées et réglementées de manière plus précise.

Préparé par : PRAP

Recommandations pour la réforme de la Loi sur la protection des renseignements personnels : accessibilité et transparence

Principaux messages

  • Le Parlement et le ministère fédéral de la Justice ont étudié la réforme de la Loi sur la protection des renseignements personnels à plusieurs reprises au fil des ans, et le Commissariat a formulé des recommandations, notamment en ce qui concerne l’amélioration de l’accès et de la transparence.
  • Par exemple, dans le mémoire du Commissariat soumis lors de la récente consultation du ministère de la Justice, nous avons souligné notre soutien aux améliorations proposées pour les mesures de transparence dans la Loi, étant donné le rôle essentiel que joue la transparence en donnant aux citoyens les connaissances nécessaires pour exercer leurs droits.
  • Nous avons également formulé des recommandations supplémentaires :
    • les exceptions au droit d’informer directement les personnes de la collecte doivent être limitées;
    • les avis de confidentialité doivent contenir un minimum de détails, notamment la nature des renseignements recueillis, ainsi que le moment et les raisons pour lesquelles ils le sont;
    • il faut étudier des mesures visant à améliorer l’accès direct.

Contexte

  • ETHI a procédé à des examens législatifs de la Loi sur la protection des renseignements personnels en 2008 et en 2016. Le Commissariat a participé à ces deux examens et a présenté des propositions de recommandations.
  • En septembre 2021, le ministère de la Justice a lancé une consultation sur la modernisation de la Loi sur la protection des renseignements personnels, en publiant un document de travail en ligne. Les propositions suivantes ont été apportées en regard de la transparence : intégration des principes d’ouverture et de transparence; obligation de publier des « avis d’information au public » en cas de collecte indirecte; exigences de publication des programmes de gestion de la protection de la vie privée et des EFVP.
  • Dans notre réponse à la consultation, nous avons exprimé notre soutien à ces propositions et nous avons également recommandé de limiter les exceptions à la notification directe, de fixer des exigences minimales en matière de contenu des avis de confidentialité et d’étudier des mesures visant à améliorer l’accès direct aux renseignements.

Préparé par : PRAP

Rôle et mandat du Commissariat; pouvoirs du Commissaire

Principaux messages

  • Le Commissariat a pour mission de protéger et de promouvoir le droit des personnes à la vie privée.
  • Mon mandat consiste à veiller au respect de la Loi sur la protection des renseignements personnels, qui porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères, et de la LPRPDE, la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
  • En tant qu’agent du Parlement, je travaille de manière indépendante pour enquêter sur les plaintes et les résoudre, formuler des recommandations et des conseils, et promouvoir la compréhension des droits des Canadiens en matière de protection de la vie privée.
  • À l’heure actuelle, les recommandations que le Commissariat adresse aux institutions fédérales ne sont pas contraignantes. Contrairement au Commissaire à l’information, je n’ai pas le pouvoir de rendre une ordonnance ayant force exécutoire.

Contexte

  • Le Commissaire à la protection de la vie privée peut recevoir des plaintes sur toute question visée à l’article 29 de la Loi sur la protection des renseignements personnels (par exemple, une personne s’est vu refuser l’accès à des renseignements personnels qu’elle avait demandés aux termes du paragraphe 12(1)).
  • Le Commissariat à la protection de la vie privée peut lui aussi déposer une plainte s’il est d’avis qu’il y a des motifs suffisants pour mener une enquête (par. 29(3)).
  • Si une plainte est fondée, le Commissaire doit faire part de ses conclusions et de toute recommandation qu’il juge appropriée à l’institution (paragraphe 35 (1)) et doit également faire part des conclusions de l’enquête au plaignant (paragraphe 35(2)).
  • Le Commissaire à la protection de la vie privée doit présenter un rapport annuel au Parlement sur les activités du Commissariat (article 38) et peut présenter des rapports spéciaux au Parlement sur des questions urgentes ou importantes (article 39).
    • Par exemple, en février 2024, le Commissariat a déposé des rapports spéciaux concernant la collecte de renseignements de sources ouvertes par la GRC dans le cadre du projet Wide Awake ainsi que concernant notre enquête sur les divulgations et modifications non autorisées de renseignements personnels détenus par l’Agence du revenu du Canada et Emploi et Développement social Canada à la suite de cyberattaques.

Préparé par : PRAP

Modèles de financement pour les agents du Parlement

Principaux messages

  • Nous avons plaidé en faveur d’un mécanisme de financement stable à long terme qui reflète le rôle indépendant joué par les agents du Parlement et qui garantit également que leurs services sont correctement financés.
  • Il y a actuellement un conflit d’intérêts inhérent au fait que le Commissariat examine le respect des lois gouvernementales concernant la protection de la vie privée et qu’il dépend de ce même gouvernement pour son financement.
  • Un mécanisme de financement assurant un financement stable et adéquat pour aborder rapidement les problèmes émergents serait préférable au processus actuel.

Contexte

  • Les agents du Parlement ont envoyé une lettre au BCP, datée du 31 janvier 2019, pour demander une solution de rechange au processus de mécanisme de financement existant.
  • Tous les agents du Parlement ne disposent pas du même mécanisme de financement. Le directeur parlementaire du budget, par exemple, a la possibilité de demander des fonds directement au président de la Chambre et au Sénat.
  • En 2005, un projet pilote de comité consultatif a été lancé pour mettre à l’essai un nouveau modèle de financement et de surveillance des agents du Parlement.
    • Ce groupe a été créé en réponse aux préoccupations selon lesquelles l’indépendance par rapport au gouvernement pourrait être compromise parce que le Conseil du Trésor détermine le montant des fonds mis à la disposition des agents du Parlement.
  • Dans le rapport Corbett de 2008, il a été conclu que le projet pilote était une réussite et qu’il devrait être rendu permanent, étant donné qu’il a atteint l’objectif fondamental de réduire la perception de conflit d’intérêts inhérente au processus préexistant.

Préparé par : Secteur de la gestion intégrée

Table des matières

Plaintes contre le MDN et les FAC depuis 2019

Refus d’accès

Durée des enquêtes

Notifications d’atteinte à la vie privée du MDN et des FAC

Collaboration du Commissariat avec le Commissariat à l’information

Recours à Cellebrite par le MDN

Aperçu du processus d’évaluation des facteurs relatifs à la vie privée (EFVP)

EFVP et consultations avec le MDN et les FAC depuis 2019

Transfert de dossiers médicaux des FAC à ACC

Différence entre les plaintes sous le régime de la Loi sur la protection des renseignements personnels et les plaintes sous le régime de la Loi sur l’accès à l’information

Dispositions de la Loi sur la protection des renseignements personnels appliquées aux demandes d’accès à l’information

Exigences de transparence précisées dans la Loi sur la protection des renseignements personnels

Rapport de l’OSSNR sur l’échange de renseignements internes au CST

Recommandations pour la réforme de la Loi sur la protection des renseignements personnels : accessibilité et transparence

Rôle et mandat du Commissariat; pouvoirs du Commissaire

Modèles de financement pour les agents du Parlement

Date de modification :