Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Fiches des enjeux au sujet du Budget principal des dépenses pour l’exercice se terminant le 31 mars 2025

Comparution devant le Comité sénatorial permanent des finances nationales

Sur cette page

Secteur de la gestion intégrée

Dans la présente section

Ressources budgétaires du Commissariat

Principaux messages

  • Le financement total proposé pour le Commissariat dans le Budget principal des dépenses de 2024-2025 est de 34 millions de dollars.
  • Cela représente une augmentation de 4,5 millions de dollars par rapport à l’année précédente, qui est attribuable au financement supplémentaire découlant du renouvellement des conventions collectives (2,1 millions de dollars) et au financement temporaire reçu dans le cadre du budget de 2023 (2,4 millions de dollars).
  • Ce financement temporaire a permis au Commissariat de réduire l’arriéré des plaintes et d’entreprendre des enquêtes plus approfondies sur les atteintes à la vie privée, mais nous aurons besoin d’une solution permanente si nous voulons traiter dans leur ensemble le volume et la complexité des problèmes de protection de la vie privée dans le contexte actuel.
  • Voilà pourquoi j’ai recommandé qu’au minimum, le financement temporaire de 5,7 millions de dollars destiné à la réduction de l’arriéré des plaintes et aux enquêtes sur les atteintes à la vie privée soit transformé en financement permanent.
  • Nous utilisons ces fonds pour protéger et promouvoir le droit à la vie privée, notamment en enquêtant sur les plaintes, en évaluant la conformité, en fournissant des conseils et des recommandations et en travaillant en collaboration avec les parties prenantes d’autres administrations.

Contexte

  • Le Budget principal des dépenses de 2024-2025 du Commissariat, qui s’élève à 34 millions de dollars, est réparti comme suit (le budget de 2023-2024 est présenté aux fins de comparaison) :
    Dépenses budgétaires 2023-2024 2024-2025
    M$ % M$ %
    Dépenses liées au personnel (y compris le régime d’avantages sociaux des employés [RASE]) 24,3 83 28,3 83
    Dépense de fonctionnement 4,7 15 5,2 15
    Programme des contributions 0,5 2 0,5 2
    Niveaux de référence totaux 29,5 100 34,0 100

Préparé par : Secteur de la gestion intégrée

Financement du Commissariat dans le cadre du budget de 2023

Principaux messages

  • Le budget de 2023 prévoyait 5,7 millions de dollars sur 2 ans pour que le Commissariat entreprenne des enquêtes plus approfondies sur les atteintes à la vie privée dans les organismes publics et privés. Le Commissariat pourra aussi améliorer les taux de réponse aux plaintes liées à la protection de la vie privée des Canadiennes et des Canadiens.
  • Ce financement temporaire a permis de réaliser de réelles avancées en ce qui concerne ces priorités, mais nous aurons besoin d’une solution permanente si nous voulons nous attaquer au volume et à la complexité des problèmes de protection de la vie privée dans le contexte actuel.
  • Voilà pourquoi j’ai recommandé qu’au minimum, le financement temporaire de 5,7 millions de dollars destiné à la réduction de l’arriéré des plaintes et aux enquêtes sur les atteintes à la vie privée soit transformé en financement permanent.
  • Le budget prévoit également un montant supplémentaire de 15 millions de dollars sur 5 ans pour aider le Commissariat à se préparer à assumer les responsabilités élargies qui découleront du projet de loi C-27.
    • Un financement supplémentaire à long terme sera également nécessaire si le projet de loi C-27 est adopté.

Contexte

  • Le budget de 2023 prévoyait un montant supplémentaire de 5,7 millions de dollars sur 2 ans pour permettre au Commissariat de traiter un nombre croissant d’atteintes à la vie privée signalées et l’arriéré des plaintes.
    2023-2024 2024-2025
    2,84 M$ 2,84 M$
  • Le budget de 2023 a prévu le nouveau financement temporaire ci-dessous, soit de 15 millions de dollars sur 5 ans, pour aider le Commissariat à s’acquitter de ses nouvelles obligations au titre du projet de loi C-27 :
    2023-2024 2024-2025 2025-2026 2026-2027 2027-2028
    2 M$ 4 M$ 4 M$ 3 M$ 2 M$

Préparé par : Secteur de la gestion intégrée

Budget 2024 : répercussions pour le Commissariat

Principaux messages

  • Dans le budget de 2024, le gouvernement a annoncé plusieurs engagements de financement et initiatives législatives qui pourraient avoir des répercussions sur la vie privée.
    • Il s’agit notamment de nouveaux investissements dans l’intelligence artificielle, la sécurité en ligne et la cybersécurité et de modifications législatives pour permettre un meilleur échange d’informations afin de lutter contre le blanchiment d’argent et le financement du terrorisme, et d’un rôle de surveillance pour le Commissariat.
  • Malgré les diverses répercussions que de telles propositions pourraient avoir sur le Commissariat, le budget ne prévoit pas de ressources supplémentaires qui lui sont destinées.
  • Nous avons reçu un nouveau financement temporaire dans le cadre du budget de 2023 pour nous préparer au projet de loi C-27 et pour traiter l’arriéré des plaintes. Toutefois, nous aurons besoin d’une solution à plus long terme pour faire face au volume et à la complexité des questions de protection de la vie privée dans le nouveau contexte.

Contexte

  • Dans le budget de 2024, qui a été présenté à la Chambre des communes le 16 avril, plusieurs propositions susceptibles d’avoir des répercussions sur le Commissariat ont été annoncées, notamment :
    • un investissement de 2,4 milliards de dollars pour « renforcer l’avantage du Canada en matière d’intelligence artificielle », et 50 millions de dollars supplémentaires pour créer un institut pour la sécurité de l’intelligence artificielle;
    • 52 millions de dollars pour la mise en œuvre de la Loi sur les préjudices en ligne;
    • des modifications visant à permettre un meilleur échange de renseignements dans le cadre de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, ce qui entraînera un élargissement du rôle de surveillance du Commissariat;
    • la mise en œuvre d’un nouveau cadre de déclaration pour les transactions de cryptoactifs afin de faciliter l’échange d’informations entre les pays membres de l’Organisation de coopération et de développement économiques (OCDE);
    • 84 millions de dollars pour le Secrétariat du Conseil du Trésor et Bibliothèque et Archives Canada afin de « maintenir le régime relatif à l’accès à l’information et à la protection des renseignements personnels ».
  • Le budget de 2023 prévoyait 15 millions de dollars sur 5 ans pour aider le Commissariat à mettre en œuvre ses nouvelles obligations découlant du projet de loi C-27, et 5,7 millions de dollars sur 2 ans pour faire face au nombre croissant d’atteintes à la vie privée signalées et traiter l’arriéré des plaintes.

Préparé par : PRAP

Répercussions du projet de loi C-27 sur les ressources

Principaux messages

  • Le projet de loi C-27 élargirait les responsabilités du Commissariat, en créerait de nouvelles et nous accorderait également un certain pouvoir discrétionnaire dans la manière dont nous accomplissons notre travail.
  • L’Énoncé économique de l’automne de 2020 prévoyait 80 millions de dollars sur 5 ans, dont une partie a été réservée au Commissariat, pour appuyer la mise en œuvre et l’application de ce qui est maintenant le projet de loi C-27.
    • Plus récemment, le budget de 2023 a prévu 15 millions de dollars sur 5 ans pour nous permettre d’accélérer nos opérations en vue de l’adoption éventuelle de la nouvelle loi.
  • Nous estimons que la mise en œuvre complète du projet de loi C-27 nécessitera un financement annuel permanent d’environ 25 millions de dollars; le gouvernement nous a alloué moins de la moitié de ce montant.

Contexte

  • Le budget de 2023 a prévu le nouveau financement temporaire suivant à cette fin :
    2023-2024 2024-2025 2025-2026 2026-2027 2027-2028
    2 M$ 4 M$ 4 M$ 3 M$ 2 M$
  • Notre estimation actuelle du coût total de la mise en œuvre du projet de loi C-27 est d’environ 25 millions de dollars (à l’exclusion du régime d’avantages sociaux des employés); cela représente plus du double de ce qui a été alloué en guise de financement permanent dans le cadre financier.

Préparé par : Secteur de la gestion intégrée

Allocation des ressources du Commissariat

Principaux messages

  • Le Commissariat continue d’allouer ses ressources de manière prospective afin de prévenir les problèmes de protection de la vie privée avant qu’ils ne surviennent, au lieu de les régler après coup.
  • L’une de nos principales priorités stratégiques est d’optimiser la portée et l’incidence de nos efforts pour protéger et promouvoir le droit à la vie privée.
  • Compte tenu de notre niveau de financement actuel, cela n’est pas toujours possible lorsqu’une part importante de nos ressources doit être consacrée aux enquêtes sur différentes plaintes.
  • Afin d’assurer un équilibre approprié entre la nécessité de promouvoir la conformité et celle de la faire respecter, nous répartissons notre budget à parts presque égales entre nos programmes de promotion et de conformité.

Contexte

  • Le tableau suivant résume le Budget principal des dépenses pour les employés équivalents temps plein par secteur de responsabilité dans le Cadre ministériel des résultats du Commissariat (2023-2024 est présenté à titre de comparaison) :
    Secteur de programme 2023-2024 2024-2025
    M$ ETP M$ ETP
    Promotion 11,2 79 12,1 77
    Conformité 10,5 74 12,9 90
    Services internes 7,8 54 9,0 54
    Niveaux de référence totaux (Budget principal des dépenses) 29,5 207 34,0 221
  • Sur les montants pour 2024-2025, 30,6 millions de dollars doivent être approuvés par le Parlement; les 3,4 millions de dollars restants concernent les prévisions réglementaires pour les avantages sociaux et sont présentés à titre d’information uniquement.

Préparé par : Secteur de la gestion intégrée

Attribution de contrats (dépenses en services professionnels et spéciaux)

Notes d’allocution

  • Comme la portée de l’environnement opérationnel du Commissariat est vaste, il est nécessaire d’avoir des connaissances dans des domaines comme la protection de la vie privée, le droit, les communications, la technologie de l’information, les finances, la gestion des personnes et la gestion de la sécurité.
  • Le Commissariat utilise principalement les services professionnels pour accroître sa capacité de façon ponctuelle et dépense en moyenne 3,2 millions de dollars en services professionnels et spéciaux.
  • L’utilisation des services professionnels et spéciaux est continuellement examinée et évaluée afin qu’elle puisse avoir un maximum d’incidence sur la capacité du Commissariat de remplir son mandat.
  • À la suite de la mise à jour de la Directive sur la gestion de l’approvisionnement du Conseil du Trésor, le Commissariat a apporté plusieurs changements à la gestion des contrats de services professionnels.

Contexte

  • En 2024, afin de maintenir une culture axée sur la responsabilisation et la transparence, le Commissariat a examiné ses données sur les contrats publiées sur le Portail du gouvernement ouvert pour veiller à ce qu’elles soient complètes, exactes et à jour.
  • À l’avenir, les responsables opérationnels (gestionnaires) du Commissariat documenteront et justifieront davantage le recours à des services professionnels.
  • Pour tous les contrats de services professionnels de plus de 40 000 dollars (taxes et frais applicables inclus), les conditions suivantes s’appliquent :
    • les gestionnaires valideront et documenteront qu’aucune autre méthode d’approvisionnement n’est possible;
    • le Commissariat intégrera une attestation des responsables opérationnels conforme aux nouvelles procédures obligatoires, et ce, à compter du 30 septembre 2024.

Préparé par : Secteur de la gestion intégrée

Réaliser des gains d’efficacité

Principaux messages

  • Protéger et promouvoir le droit fondamental à la vie privée de manière à optimiser l’incidence des efforts déployés est l’une des principales priorités que nous avons établies pour le Commissariat dans le cadre de notre plan stratégique actuel.
  • Au cours de l’année écoulée, nous avons pris plusieurs mesures à cette fin, notamment une restructuration de nos activités, l’adoption de notre plan stratégique et une utilisation de plus en plus stratégique de nos pouvoirs d’enquête, comme le lancement d’enquêtes conjointes.
  • Conformément à notre plan stratégique, nous cherchons continuellement des moyens de renforcer l’efficacité, l’adaptabilité et la préparation dans un contexte de protection de la vie privée en constante évolution.

Contexte

  • Restructuration – L’année dernière, nous avons créé deux nouveaux postes : sous-commissaire et avocat général principal (pour faire face au contexte de plus en plus complexe de la protection de la vie privée) et dirigeant principal des services et du numérique (pour mettre en œuvre une nouvelle vision et un nouveau programme numérique). Nous avons aussi créé la Direction des relations internationales, provinciales et territoriales pour renforcer les interactions avec d’autres organismes de réglementation et de protection de la vie privée.
  • Les résultats sont au centre de l’attention – En janvier, nous avons lancé un plan stratégique qui définit trois priorités clés qui guideront notre travail jusqu’en 2027, soit : 1) protéger et promouvoir la vie privée de manière à optimiser l’incidence des efforts déployés, 2) faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, et 3) défendre le droit à la vie privée des enfants.
  • Utilisation stratégique des pouvoirs – Nous avons davantage recours aux enquêtes menées à l’initiative du Commissaire, aux pouvoirs d’application de la loi et à la collaboration en matière d’application de la loi afin d’optimiser rapidement l’incidence des efforts déployés.
  • Transformation numérique – Nous continuons à perfectionner les technologies infonuagiques à l’appui d’un modèle de travail hybride et nous avons lancé une stratégie numérique pour soutenir le Commissariat et ses employés aujourd’hui et à l’avenir, en nous appuyant sur une solide cybersécurité, des données et une gestion moderne de l’information.

Préparé par : Secteur de la gestion intégrée

Modèles de financement des agents du Parlement

Principaux messages

  • En tant qu’agent du Parlement, le Commissariat travaille indépendamment du gouvernement pour fournir des conseils et des recommandations non partisans à la Chambre et au Sénat.
  • Compte tenu de mon rôle, qui consiste à examiner soigneusement le respect de la législation en matière de protection de la vie privée par les pouvoirs publics, les décisions relatives au niveau de financement du Commissariat ne devraient pas relever uniquement du gouvernement en place.
  • Voilà pourquoi je souhaiterais que le Parlement participe davantage aux décisions de financement du Commissariat, ce qui renforcerait son indépendance, favoriserait une transparence accrue et l’aiderait à disposer de ressources suffisantes pour pouvoir remplir son mandat.

Contexte

  • Les agents du Parlement ne sont pas tous financés comme le Commissariat.
    • La procédure de financement pour le Commissariat aux conflits d’intérêts et à l’éthique et le Bureau du directeur parlementaire du budget exclut expressément tout rôle du Conseil du Trésor dans l’élaboration ou l’examen des propositions budgétaires.
    • De même, le Bureau du directeur général des élections reçoit une grande partie de son financement au titre de la Loi électorale du Canada.
  • En janvier 2019, le Commissariat, le Commissariat à l’information du Canada (CIC) et d’autres agents du Parlement ont envoyé une lettre au greffier du Conseil privé pour demander au Bureau du Conseil privé (BCP) de collaborer avec eux au sujet de la mise en place d’autres mécanismes de financement.
  • Dans son rapport de juin 2023, L’état du système d’accès à l’information du Canada, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) a recommandé que le gouvernement établisse un mécanisme de financement indépendant pour le CIC et les agents du Parlement qui en sont actuellement dépourvus.
  • En 2005, à la suite d’une recommandation issue d’un rapport du Comité ETHI sur le financement des agents du Parlement, le Conseil du Trésor a lancé un projet pilote visant à créer un comité consultatif de la Chambre chargé d’examiner les propositions de financement préparées par certains agents. Un rapport publié en 2008 a conclu que le projet pilote avait été couronné de succès et a recommandé que le modèle devienne permanent.

Préparé par : Secteur de la gestion intégrée

Expertise au sein du Commissariat

Principaux messages

  • La portée du contexte opérationnel du Commissariat est vaste et exige des connaissances dans des domaines comme la protection de la vie privée, la technologie de l’information, les finances, la sécurité nationale et le droit.
  • Voilà pourquoi nous nous efforçons de recruter des employés de divers horizons et priorisons la formation et le perfectionnement des employés, ce qui permet de tenir compte du rythme auquel notre contexte évolue.
  • Nous cherchons à embaucher des employés possédant les connaissances et les compétences nécessaires pour nous aider à atteindre les objectifs ambitieux que nous nous sommes fixés dans notre plan stratégique, comme des experts en protection de la vie privée des enfants.
  • Il s’agit également de renforcer notre fonction d’analyse technologique en embauchant du personnel spécialisé dans l’intelligence artificielle et l’intelligence artificielle générative. C’est une priorité pour laquelle nos besoins en formation et en expertise sont exponentiels.

Contexte

  • Étant donné que l’expertise en matière de protection de la vie privée est une compétence très en demande sur le marché du travail, nous adoptons des stratégies novatrices de maintien en poste et des pratiques de recrutement efficaces, et nous continuons de perfectionner les talents internes afin de maintenir les compétences, les engagements et les connaissances de l’organisation.
  • Nous améliorons l’accès au contenu de formation lié à la technologie pour nous assurer que nous suivons la rapide évolution des progrès technologiques et conservons une longueur d’avance sur leurs répercussions sur la vie privée, particulièrement en ce qui concerne l’intelligence artificielle (IA) et l’IA générative, ainsi que la vie privée des enfants.
  • Nous évaluons la pertinence du cadre du Commissariat à l’appui des programmes et des activités de formation, d’apprentissage et de perfectionnement afin de nous assurer qu’il permet au Commissariat de réaliser son mandat et d’atteindre ses objectifs.
  • Nous procédons actuellement à un examen de la structure et des principales descriptions de travail au sein du Secteur de la conformité.

Préparé par : Secteur de la gestion intégrée

Recrutement, maintien en poste et gestion du personnel

Principaux messages

  • Le Commissariat a besoin d’une source de financement stable et à long terme pour perfectionner, attirer et maintenir en poste les talents qui possèdent l’expertise dont nous avons besoin pour remplir notre mandat.
  • Je suis fier de dire que le Commissariat demeure un employeur de choix, en grande partie grâce à nos investissements dans la formation et le perfectionnement des employés, le bien-être et les technologies qui favorisent la collaboration.
  • Nous demeurons déterminés à promouvoir les valeurs de la fonction publique et à renforcer notre culture axée sur la responsabilisation, l’équité, la diversité et l’inclusion afin de tirer parti du plein potentiel de nos employés et d’obtenir de meilleurs résultats pour le Canada et sa population.

Contexte

  • Plan stratégique des ressources humaines – Nous élaborons actuellement un nouveau plan stratégique intégré des ressources humaines (RH) qui sera mis en œuvre plus tard cette année et qui englobera divers aspects des RH, notamment les initiatives liées à l’équité, la diversité et l’inclusion (EDI), le bien-être et les langues officielles.
  • Activités de recrutement – Nous continuons de tirer parti des bassins internes et externes de candidats qualifiés. Nous avons mis en place des processus de recrutement et prévoyons continuer la création d’un répertoire des possibilités d’emploi au niveau des postes clés, tout en continuant d’utiliser divers réseaux sociaux, comme LinkedIn et GCconnex, pour attirer des talents et améliorer notre utilisation des données afin d’éclairer les stratégies de recrutement et de maintien en poste.
  • Travail hybride – Nous continuons de renforcer notre modèle de travail hybride pour assurer une intégration réussie des nouveaux employés et créer un sentiment d’appartenance. Nous continuerons également à veiller à ce que les employés disposent de l’information nécessaire et des outils adaptés et modernes pour favoriser un maximum de souplesse et de productivité, et ce, tant dans les situations de travail à distance que de travail sur place.

Préparé par : Secteur de la gestion intégrée

Retour au bureau

Notes d’allocution

  • En date du 9 septembre 2024, nous avons entièrement mis en œuvre les dispositions se trouvant dans la version mise à jour de l’Orientation concernant la présence prescrite au lieu de travail.
  • Les deux bureaux du Commissariat – l’administration centrale à Gatineau et le bureau régional à Toronto – sont équipés adéquatement et disposent de suffisamment d’espace pour accueillir les employés, conformément à l’orientation mise à jour.
  • Afin qu’il soit possible de tirer un maximum d’avantages de la présence sur place, nous avons créé des espaces de travail axés sur les activités au sein de nos bureaux et offert plus de possibilités pour la réservation d’espaces de bureau fermés.
  • Dans le but d’assurer une collaboration et une conformité maximales, nous avons mis à jour nos directives sur le travail hybride et nos instruments de délégation, et nous avons défini les valeurs de l’organisation dans une charte qui nous aidera à orienter la façon dont nous appliquons le modèle au Commissariat.

Contexte

  • L’Orientation concernant la présence prescrite au lieu de travail a été mise à jour en mai 2024. Elle établit une obligation pour les administrateurs généraux et les administratrices générales de mettre en œuvre une exigence minimale de trois jours par semaine sur le lieu de travail pour tous les employés et de quatre jours par semaine pour les cadres supérieurs.
  • Les dispositions de l’orientation mise à jour devaient être entièrement mises en œuvre au plus tard le 9 septembre 2024.
  • Le suivi du respect de l’orientation par les employés est la responsabilité des gestionnaires; il sera fondé sur les observations des gestionnaires et ce qui est déclaré par les employés. Le Commissariat vérifiera que l’organisation respecte de façon globale l’orientation à l’aide des données des tourniquets.

Préparé par : Secteur de la gestion intégrée

Points saillants du Rapport sur les résultats ministériels de 2022-2023

Principaux messages

  • Nous continuons à travailler à l’atteinte des objectifs ambitieux que nous nous sommes fixés dans le cadre de notre plan ministériel.
  • Nous avons délibérément choisi de viser haut et nous estimons que nous devons demeurer audacieux dans nos aspirations, compte tenu des intérêts en jeu.
  • En 2022-2023, nous avons continué notre travail en vue de préparer le Commissariat aux changements prévus dans notre mandat, tout en œuvrant à la réalisation des objectifs de notre Cadre ministériel des résultats.

Contexte

  • Le dernier Rapport sur les résultats ministériels vise l’exercice 2022-2023 (voir le tableau 3 pour les résultats ministériels complets).
    • Objectifs atteints : deux
      • Pourcentage des recommandations officielles du Commissariat appliquées par les ministères et les organismes.
      • Pourcentage des organisations fédérales et du secteur privé pour lesquelles les conseils et l’orientation prodigués par le Commissariat sont utiles quant à leur atteinte de la conformité.
    • Objectifs non atteints : six
    • Indicateurs n’ayant pas d’objectif : deux
      • Étant donné que les lignes directrices du Commissariat sont fondées sur la loi et qu’elles pourraient rapidement devenir obsolètes à la suite d’une éventuelle transformation du cadre juridique, les deux indicateurs qui mesurent nos conseils offerts aux entreprises et les renseignements fournis aux Canadiens sur les enjeux clés liés à la vie privée n’avaient pas d’objectif.
  • En ce qui concerne les programmes, le Commissariat a atteint deux de ses objectifs.
  • Les données des résultats et des programmes sont publiés dans l’InfoBase du GC (voir le point no 4 dans la table des matières pour le tableau consolidé des résultats des trois derniers exercices).

Préparé par : Secteur de la gestion intégrée

Faits saillants du plan stratégique 2024-2027

Principaux messages

  • En janvier, le Commissariat a lancé un plan stratégique qui définit trois principales priorités qui guideront son travail au cours des trois prochaines années.
  • Nos trois priorités stratégiques sont les suivantes :
    • protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés;
    • faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens;
    • défendre le droit à la vie privée des enfants.
  • Ces priorités, qui se sont dégagées au cours de ma première année de mandat de sept ans, s’appuient sur les contributions de nombreuses parties prenantes mobilisées à cet égard.
  • Le plan stratégique nous permet de concrétiser notre engagement envers un avenir propice à l’innovation, où le droit fondamental à la vie privée est respecté.

Contexte

  • La première priorité consiste à nous adapter à notre contexte opérationnel, lequel est appelé à changer, par exemple à la suite d’éventuelles réformes législatives, et à veiller à utiliser le plus efficacement possible nos ressources et nos pouvoirs de façon à obtenir des résultats optimaux pour le Canada et la population canadienne.
  • La deuxième priorité consiste à renforcer notre capacité à tenir compte des répercussions sur la vie privée des progrès technologiques en constante évolution, en particulier pour ce qui est de l’intelligence artificielle (IA) et de l’IA générative, et à favoriser les innovations technologiques respectueuses de la vie privée.
  • La troisième priorité consiste à mettre l’accent sur la protection et la promotion du droit à la vie privée des enfants, qui sont particulièrement vulnérables à l’ère numérique.
  • Du 22 janvier au 31 mars 2024, le Commissariat a cherché à obtenir les commentaires du public au sujet du plan. Les commentaires reçus guideront la mise en œuvre du plan.

Préparé par : Secteur de la gestion intégrée

Décret d’extension (Loi sur la protection des renseignements personnels)

Principaux messages

  • En juillet 2022, le champ d’application de la Loi sur la protection des renseignements personnels a été élargi pour permettre aux ressortissants étrangers de demander l’accès à leurs renseignements personnels sous le contrôle d’une institution du gouvernement fédéral et de présenter des plaintes connexes au Commissariat.
    • Auparavant, seuls les citoyens canadiens et les personnes présentes au Canada avaient de tels droits.
  • Après deux années d’application du Décret d’extension, le Commissariat a reçu un nombre modeste mais croissant de plaintes découlant de son application, soit environ 300 au total.
  • Toutefois, nous prévoyons que le nombre de plaintes continuera d’augmenter dans les années à venir, ce qui exercera une pression supplémentaire sur nos activités puisque nous n’avons pas reçu de financement permanent à cette fin.

Contexte

  • Le Décret d’extension de la Loi sur la protection des renseignements personnels a été publié le 14 juillet 2021 et est entré en vigueur un an plus tard. À l’époque, on s’attendait à ce qu’il entraîne des centaines de milliers de demandes de renseignements personnels dans l’ensemble du gouvernement, en particulier à Immigration, Réfugiés et Citoyenneté Canada (IRCC).
  • Nous avons également prévu un nombre important de plaintes contre IRCC. Cela ne s’est pas encore concrétisé, mais nous continuons de surveiller la situation et nous prévoyons un volume accru lorsque les demandeurs insatisfaits déposeront des plaintes en vertu du Décret.
  • Le Commissariat collaborera avec le ministère des Finances pour déterminer la meilleure façon de répondre à l’augmentation des demandes si le volume devient ingérable à l’aide des ressources existantes.

Préparé par : Direction des admissions, du règlement et de la conformité

Conformité

Dans la présente section

Enquêtes menées en vertu de la Loi sur la protection des renseignements personnels (en général)

Principaux messages

  • Conformément au paragraphe 29(1) de la Loi sur la protection des renseignements personnels, je reçois et examine les plaintes des personnes qui se sont vu refuser le droit d’accéder à leurs renseignements personnels et de les corriger, ou qui allèguent que leurs renseignements personnels ont été recueillis, utilisés, conservés ou communiqués en contravention de la Loi.
  • Je peux également décider de déposer une plainte, en vertu du paragraphe 29(3), lorsque je suis convaincu qu’il existe des motifs raisonnables d’instruire ou décider, à ma discrétion, de mener des enquêtes, en vertu du paragraphe 37(1), contre toute institution ou organisation fédérale visée par la Loi.
  • L’article 63 m’empêche de discuter des détails des enquêtes en cours ou de les divulguer, mais je peux confirmer que le Commissariat mène une enquête sur :
    • les pratiques contractuelles en lien avec ArriveCAN, et plus précisément les mesures en place pour protéger les renseignements personnels lors de la conception de l’application afin d’évaluer la conformité à la Loi sur la protection des renseignements personnels;
    • une atteinte à la vie privée découlant d’un accès non autorisé au site privé virtuel d’Affaires mondiales Canada;
    • une cyberattaque qui a compromis les renseignements personnels des employés du gouvernement fédéral ayant eu recours aux services de réinstallation retenus par le gouvernement au cours des 24 dernières années.

Contexte

  • Aux termes de l’article 63 de la Loi sur la protection des renseignements personnels, le Commissaire à la protection de la vie privée et les personnes agissant en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance dans l’exercice des pouvoirs et fonctions que leur confère la présente loi.

Préparé par : Secteur de la conformité

Services globaux de relogement Brookfield (BGRS) et Sirva Canada LP

Notes d’allocution

  • En novembre 2023, j’ai commencé à enquêter sur une cyberattaque qui a entraîné une atteinte qui concerne les renseignements personnels d’employés du gouvernement du Canada, de membres des Forces armées canadiennes et de membres du personnel de la Gendarmerie royale du Canada actuels et anciens qui ont eu recours à des services de réinstallation retenus par le gouvernement depuis aussi loin que 1999.
  • L’atteinte concerne des renseignements personnels détenus par Services globaux de relogement Brookfield (BGRS) et Sirva Canada LP, des sociétés affiliées avec lesquelles le gouvernement du Canada a conclu des contrats pour offrir des services de réinstallation aux employés.
  • Étant donné que les parties proviennent à la fois du secteur privé et du secteur public, des enquêtes sont menées en vertu des deux lois :
    • En vertu de la Loi sur la protection des renseignements personnels, nous examinons si les institutions fédérales ont respecté leurs obligations concernant la protection des renseignements personnels de leurs employés.
    • En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, nous évaluons également la pertinence des mesures de protection que BGRS et Sirva avaient mises en place au moment de l’atteinte pour protéger les renseignements personnels des membres du personnel qui ont eu recours aux services de réinstallation.
  • Comme l’enquête est en cours, je ne peux pas fournir d’autres renseignements ou commentaires pour le moment.

Contexte

  • Les ministères du gouvernement du Canada font l’objet d’une enquête en vertu de la Loi sur la protection des renseignements personnels, et BGRS, une institution du secteur privé, fait l’objet d’une enquête en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques.

Préparé par : Secteur de la conformité

Atteintes à la vie privée signalées par Affaires mondiales Canada

Notes d’allocution

  • En février 2024, j’ai annoncé le lancement d’une enquête sur une atteinte à la sécurité des données à Affaires mondiales Canada, et ce, à la suite de la transmission au Commissariat de plusieurs plaintes sur le sujet.
  • L’atteinte concerne une cyberattaque qui s’est produite sur le réseau interne d’Affaires mondiales Canada. En conséquence, les renseignements personnels d’utilisateurs du réseau, dont des employés, ont été compromis après que des individus ont accédé sans autorisation au réseau privé virtuel d’Affaires mondiales Canada.
  • L’enquête porte sur le caractère adéquat des mesures de protection qui étaient en place au moment de l’atteinte pour protéger les renseignements personnels qui relèvent d’Affaires mondiales Canada.
  • Comme l’enquête est en cours, je ne peux pas fournir d’autres renseignements ou commentaires pour le moment.

Contexte

  • Selon les reportages dans les médias, l’atteinte à la sécurité a duré un mois et touché de nombreux employés du gouvernement.
  • CBC a indiqué qu’elle avait obtenu une copie d’un courriel où il était écrit que les systèmes internes avaient été vulnérables entre le 20 décembre 2023 et le 24 janvier 2024. Le Commissariat a été avisé de l’atteinte le 26 janvier.
  • Comme il a été mentionné dans un article médiatique, selon une note envoyée par Affaires mondiales Canada à ses employés, la transmission de courriels ainsi que les fichiers sur les lecteurs personnels et partagés pourraient avoir été compromis.

Préparé par : Secteur de la conformité

ArriveCAN

Notes d’allocution

  • En mars 2024, à la suite d’une plainte reçue concernant le développement de l’application mobile ArriveCAN, le Commissariat a lancé une enquête sur l’Agence des services frontaliers du Canada.
  • L’enquête en cours examine les pratiques contractuelles liées à ArriveCAN, plus précisément les mesures qui étaient en place pendant l’élaboration de l’application pour protéger les renseignements personnels, comme l’exige la Loi sur la protection des renseignements personnels.
  • L’enquête tiendra également compte des points soulevés dans la motion déposée par le Comité permanent des opérations gouvernementales et des prévisions budgétaires de la Chambre des communes.

Contexte

  • Le 14 mars 2024, le Comité permanent des opérations gouvernementales et des prévisions budgétaires (OGGO) a adopté une motion demandant au Commissariat d’enquêter sur l’application ArriveCAN, notamment sur le travail de tous les entrepreneurs et sous-traitants, afin de déterminer si la vie privée et les renseignements personnels des Canadiennes et Canadiens étaient adéquatement protégés.
  • Dans une correspondance datée du 16 mai 2024, nous avons reconnu la motion du comité OGGO et confirmé que notre enquête en cours sur l’Agence des services frontaliers du Canada tiendra compte des points soulevés dans la motion.
  • Le Commissariat avait déjà enquêté sur l’application ArriveCAN dans le cadre d’un rapport spécial sur la pandémie, à la suite d’une plainte concernant des renseignements inexacts. Le Commissariat avait recommandé que l’Agence des services frontaliers du Canada corrige les renseignements dans sa base de données.
    • Le 30 mai 2023, lorsque le rapport spécial a été déposé au Parlement, l’Agence des services frontaliers du Canada a informé le Commissariat qu’elle avait corrigé les renseignements.

Préparé par : Secteur de la conformité

Atteinte à la sécurité des données du CANAFE

Notes d’allocution

  • Le 5 mars 2024, le Centre d’analyse des opérations et déclarations financières du Canada a signalé au Commissariat une atteinte à la sécurité de ses environnements de données à la suite d’un cyberincident qui a touché certains de ses systèmes de déclaration en ligne.
  • À la suite du signalement, le Commissariat a procédé à une évaluation de l’atteinte en fonction des renseignements fournis par le Centre d’analyse des opérations et déclarations financières du Canada afin de déterminer la portée de l’atteinte et son incidence sur les renseignements personnels.
  • Le Centre d’analyse des opérations et déclarations financières du Canada a récemment informé le Commissariat des mesures qu’il a prises pour corriger la situation. Le Commissariat est satisfait des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada.
  • Le Commissariat continuera de surveiller la mise en œuvre par le Centre d’analyse des opérations et déclarations financières du Canada de mesures visant à atténuer les préjudices causés aux personnes touchées et à prévenir de futures atteintes.

Contexte

  • En vertu de la section 4.2.8 de la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor (SCT), les organisations fédérales assujetties à la Loi sur la protection des renseignements personnels doivent signaler les atteintes à la vie privée au Commissariat et au SCT lorsqu’il existe un risque réel de préjudice grave pour une personne touchée.
  • Conformément à la Directive sur les pratiques relatives à la protection de la vie privée du SCT, le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) est tenu de déterminer les mesures d’atténuation appropriées afin de réduire le risque de préjudice pour les individus touchés et de mettre en œuvre les mesures de prévention appropriées afin de réduire le risque d’atteintes futures.
  • La communication entre le CANAFE et le Commissariat à l’égard de l’atteinte s’est bien déroulée. Le CANAFE a communiqué de façon proactive des renseignements pour aider le Commissariat à évaluer l’incident et la réponse du CANAFE.
  • Bien que le Commissariat ait déjà reçu d’autres rapports d’atteinte à la vie privée de la part du CANAFE, c’est la première fois qu’on lui signalait une atteinte liée à un incident informatique.

Préparé par : Secteur de la conformité

Vérification du CANAFE

Notes d’allocution

  • Conformément au paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, le Commissaire à la protection de la vie privée doit procéder à un examen, tous les deux ans, des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada pour protéger les renseignements qu’il reçoit ou recueille.
  • Le Centre d’analyse des opérations et déclarations financières du Canada a résolu plusieurs problèmes relevés lors d’examens antérieurs, mais un examen de 2021 a révélé que deux questions préoccupantes importantes persistaient, soit :
    • la collecte excessive de renseignements personnels par le Centre d’analyse des opérations et déclarations financières du Canada auprès des entités déclarantes;
    • la conservation des renseignements par le Centre d’analyse des opérations et déclarations financières du Canada.
  • Un examen lancé par le Commissariat en 2023 est en cours et réévaluera ces deux questions. L’examen sera achevé au cours des prochaines semaines, mais je ne peux pas en dire davantage pour le moment.

Contexte

  • La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes exige également que le rapport à cet égard soit soumis au Parlement dans les trois mois suivant l’examen.
  • Étant donné que Services partagés Canada héberge l’infrastructure de technologie de l’information du Centre d’analyse des opérations et déclarations financières du Canada (CANAFE), nous avons également collaboré avec le Ministère dans le cadre des examens pour faciliter notre évaluation de la façon dont le CANAFE protège les renseignements personnels sur ses réseaux.

Préparé par : Secteur de la conformité

Enquêtes menées en vertu de la LPRPDE (en général)

Principaux messages

  • Conformément au paragraphe 12(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, nous enquêtons sur les plaintes déposées par des particuliers contre des organisations qui exercent des activités commerciales. S’il existe des motifs raisonnables d’enquêter sur une question visée par la Loi, nous pouvons aussi déposer une plainte en vertu du paragraphe 11(2) de la Loi sur la protection des renseignements personnels et les documents électroniques.
  • Voici les principales enquêtes :
    • Certn – En mai 2024, j’ai lancé une enquête avec mon homologue de la Colombie-Britannique sur Certn, un service qui effectue des vérifications d’antécédents dans le cadre de la sélection de locataires.
    • MindGeek – En février 2024, nous avons publié les conclusions de l’enquête menée par le Commissariat sur Aylo, exploitant de Pornhub et d’autres sites Web.
    • Loblaws – En juillet 2024, j’ai lancé une enquête après avoir reçu plusieurs plaintes dans lesquelles des personnes alléguaient qu’elles n’étaient pas en mesure de supprimer leurs comptes PC Optimum.
    • 23andMe – En juin 2024, j’ai lancé une enquête avec mon homologue du Royaume-Uni sur une atteinte visant 23andMe, un site Web qui offre des tests génétiques directement aux consommateurs.
    • ChatGPT – En mai 2023, j’ai lancé une enquête conjointe avec mes homologues du Québec, de l’Alberta et de la Colombie-Britannique sur OpenAI, l’entreprise à l’origine du robot conversationnel alimenté par l’IA, ChatGPT.
    • TikTok – En février 2023, j’ai lancé une enquête conjointe avec les autorités responsables de la protection de la vie privée du Québec, de l’Alberta et de la Colombie-Britannique afin d’examiner les pratiques de TikTok en matière de protection de la vie privée, en particulier en ce qui concerne les jeunes utilisateurs.

Contexte

  • En raison des obligations en matière de confidentialité, nous ne pouvons transmettre plus de détails sur les entreprises touchées par des enquêtes en cours. Cependant, dans chaque cas (sauf pour Aylo, car nous l’avons déjà fait), nous avons l’intention de publier nos conclusions au cours des prochains mois.

Préparé par : Secteur de la conformité

Aylo

Principaux messages

  • En février 2024, le Commissariat a conclu son enquête sur une plainte contre Aylo (anciennement MindGeek), qui exploite Pornhub et d’autres sites Web pornographiques populaires.
  • La plainte provenait d’une femme dont l’ex-conjoint avait téléversé, à son insu ou sans son consentement, une vidéo intime, des images d’elle ainsi que d’autres renseignements permettant de l’identifier sur Pornhub et d’autres sites Web appartenant à Aylo.
  • Notre principale conclusion est qu’Aylo n’a pas obtenu le consentement de la plaignante avant d’autoriser le téléversement et la divulgation de ses images.
  • Dans le rapport d’enquête, nous avons formulé un certain nombre de recommandations, notamment qu’Aylo cesse de diffuser du contenu intime créé par les utilisateurs jusqu’à ce qu’elle mette en œuvre des mesures pour obtenir un consentement exprès et valable directement de chaque personne qui figure dans le contenu téléversé.
  • Nous discutons actuellement avec Aylo afin d’obtenir un engagement à mettre en œuvre des mesures qui seront conformes à nos recommandations et à la législation canadienne en matière de protection de la vie privée.

Contexte

  • Lorsque le rapport de conclusions d’enquête était sur le point d’être achevé en mai 2023, Aylo a demandé un contrôle judiciaire à la Cour fédérale afin de contester nos conclusions et nos recommandations, et de nous empêcher de terminer et de publier le rapport. Aylo a finalement échoué et nous avons pu publier notre rapport final.
  • En mars 2024, après la publication de notre rapport, Aylo a publié un blogue dans lequel elle indique qu’elle a apporté des modifications à ses exigences en matière de consentement des « co-exécutants » en janvier 2024. Elle n’a pas communiqué avec le Commissariat à ce sujet.

Préparé par : Secteur de la conformité

TikTok

Principaux messages

  • En février 2023, le Commissariat et les commissariats à la protection de la vie privée du Québec, de la Colombie-Britannique et de l’Alberta ont lancé une enquête conjointe sur TikTok.
  • Nous établirons si les pratiques de TikTok sont conformes aux lois canadiennes sur la protection des renseignements personnels, notamment si TikTok a obtenu un consentement valable pour la collecte, l’utilisation et la communication des renseignements personnels.
  • Étant donné l’importance de la protection de la vie privée des enfants, qui est l’une de mes trois priorités stratégiques, les enquêteurs se sont particulièrement intéressés aux pratiques de TikTok en matière de protection de la vie privée des jeunes utilisateurs.
  • Nous prévoyons de publier les résultats de l’enquête dans les prochains mois.

Contexte

  • Cette enquête s’inscrit dans la foulée de recours collectifs, désormais réglés, aux États-Unis et au Canada, et de nombreux reportages dans les médias concernant la collecte, l’utilisation et la communication de renseignements personnels par TikTok.
  • Le paragraphe 11(2) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) stipule que le « commissaire peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la [partie I de la LPRPDE]. »
  • En collaborant avec les commissariats à la protection de la vie privée provinciaux, nous sommes en mesure de tirer parti de nos ressources limitées et de nos capacités distinctes et de mettre en commun les pratiques exemplaires et forces relatives afin d’appliquer de manière plus efficace les lois sur la protection de la vie privée.
  • Les renseignements des enfants sont particulièrement sensibles, nécessitent une attention bien précise et des mesures accrues de protection des renseignements personnels. S’il n’est pas réaliste de s’attendre à ce que les adultes comprennent les règles et les formulaires complexes de consentement en matière de confidentialité, il est inacceptable d’imposer ce fardeau aux enfants, particulièrement lorsque les politiques de TikTok interdisent aux jeunes de moins de 13 ans d’utiliser la plateforme et qu’ils l’utilisent quand même.

Préparé par : Secteur de la conformité

ChatGPT

Principaux messages

  • En mai 2023, le Commissariat a entamé une enquête conjointement avec les commissariats à la protection de la vie privée de l’Alberta, de la Colombie-Britannique et du Québec sur les pratiques d’OpenAI, en ce qui concerne son service ChatGPT.
  • Parmi les questions que nous examinons figurent le consentement et la transparence, l’exactitude, la responsabilité, les finalités appropriées et la limitation de la collecte.
  • Nous prévoyons de publier nos conclusions dans les prochains mois.
  • Il est essentiel que l’intelligence artificielle et les autres technologies émergentes connexes soient développées et déployées de façon responsable et de manière à protéger la vie privée; c’est pourquoi tenir compte des répercussions sur la vie privée de tels progrès technologiques qui se succèdent à un rythme rapide est devenu une priorité pour le Commissariat.

Contexte

  • ChatGPT est un outil de traitement du langage naturel (ou agent conversationnel) utilisant la technologie d’intelligence artificielle. Le modèle linguistique peut répondre à des questions et aider les utilisateurs à effectuer un éventail de tâches telles que la rédaction de courriels et d’essais.
  • En avril 2023, le Commissariat a ouvert une enquête sur ChatGPT, après avoir reçu une plainte alléguant que l’entreprise avait recueilli, utilisé et communiqué les renseignements personnels du plaignant, sans son consentement, dans le cadre de son service commercial de génération de textes. Nous avons mis fin à cette enquête pour donner suite à une plainte commune générale déposée à l’initiative du Commissaire.
  • Plusieurs autorités chargées de la protection des données dans le monde, y compris diverses autorités européennes, ont ouvert des enquêtes sur ChatGPT. Le Comité européen de la protection des données, qui a lancé un groupe de travail dédié à ChatGPT pour échanger de l’information sur les mesures d’application de la loi possibles, a publié un rapport en mai 2024 pour communiquer des points de vue préliminaires sur l’interprétation des dispositions applicables du Règlement général sur la protection des données (RGPD) relativement aux enquêtes en cours du groupe de travail.
  • En tant que membre des groupes de travail de l’Assemblée mondiale pour la protection de la vie privée sur l’IA et la coopération internationale en matière d’application de la loi, le Commissariat échange de l’information et apprend des expériences des autres commissariats à la protection de la vie privée.

Préparé par : Secteur de la conformité

Ticketmaster

Principaux messages

  • Entre le 2 avril et le 18 mai 2024, un auteur de menaces a exploité une brèche de la solution infonuagique de tiers utilisée par Ticketmaster, accédant ainsi aux renseignements personnels de millions de personnes.
  • Les Canadiennes et Canadiens constituent le deuxième groupe démographique le plus touché par l’exploitation de cette brèche; plus de 7,4 millions d’entre eux ont été touchés.
  • À la suite du signalement de l’atteinte, le Commissariat a reçu une plainte et, en juillet 2024, il a lancé une enquête sur Ticketmaster.
  • L’enquête du Commissariat vise à déterminer si Ticketmaster avait mis en place des mesures de protection adéquates pour protéger les renseignements personnels des personnes touchées et si Ticketmaster a avisé celles-ci dès que possible lorsqu’il était raisonnable de croire qu’une violation des mesures de sécurité avait créé un risque réel de préjudice important.
  • Comme cette enquête est toujours en cours, je suis limité dans les renseignements que je peux communiquer.

Contexte

  • Les renseignements personnels en question sont de nature délicate et comprennent des coordonnées et des renseignements relatifs aux cartes de paiement. Pour un sous-groupe de personnes, leur date de naissance, leur numéro de passeport et leur historique d’achats ont également été consultés.
  • La société mère de Ticketmaster, Live Nation Entertainment, Inc., utilise l’environnement de base de données infonuagique de Snowflake pour gérer les renseignements et les transactions des clients. Il est possible, bien que ça n’ait pas été confirmé, que certains des comptes d’employés de Ticketmaster aient été utilisés pour accéder à la base de données au moyen d’une attaque par bourrage d’identifiants (c.-à-d. en utilisant les noms d’utilisateur et les mots de passe déjà compromis pour accéder à l’application).

Préparé par : Secteur de la conformité

Certn

Principaux messages

  • En mai 2024, j’ai lancé une enquête conjointe avec mes homologues de l’Alberta et de la Colombie-Britannique sur Certn (Canada) Inc., une entreprise qui offre aux propriétaires de logements des services de vérification d’antécédents, notamment dans le cadre de la sélection de locataires.
  • De nombreuses plaintes liées à la protection des renseignements personnels ont été transmises au Commissariat par des locataires. Celles-ci sont contre des propriétaires, des gestionnaires immobiliers et des fournisseurs de services de gestion immobilière tiers.
  • L’obligation pour les locataires éventuels de consentir à une vérification approfondie des antécédents pourrait avoir de profondes répercussions sur la capacité des Canadiennes et Canadiens d’obtenir un logement, particulièrement dans un contexte difficile pour le marché locatif.
  • Par conséquent, le Commissariat examine si la collecte, l’utilisation et la communication des renseignements personnels par Certn sont à des fins appropriées, si le consentement obtenu est valide et valable, et si les renseignements obtenus sont exacts.

Contexte

  • Certn exerce ses activités au Canada et à l’étranger. Elle se présente comme une entreprise de technologie qui innove dans tous les aspects du processus de vérification des antécédents.
  • Certn affirme publiquement recueillir, utiliser et communiquer un nombre considérable de renseignements personnels – dont la plupart pourraient être de nature délicate – au moyen de plus de 100 000 bases de données provenant de plus de 200 pays et territoires. Elle dit que bon nombre des sources sont accessibles au public.
  • Les services de Certn comprennent la vérification du casier judiciaire, la vérification du dossier de crédit, la vérification des études et de l’emploi, la vérification des antécédents à l’étranger, la vérification des médias sociaux et ce qu’elle appelle « Softcheck », c.-à-d. la recherche en temps réel d’ensembles de données accessibles au public qu’elle préconise comme étant appropriés pour la sélection des locataires.

Préparé par : Secteur de la conformité

23andMe

Notes d’allocution

  • En juin 2024, le Commissariat a lancé une enquête conjointe avec le Commissariat à l’information du Royaume-Uni sur une atteinte à la sécurité des données à 23andMe, un service qui offre des tests génétiques directement aux consommateurs.
  • L’enquête examinera la pertinence des mesures prises par 23andMe pour protéger l’ADN et les renseignements personnels connexes, des éléments de nature très sensible dont l’entreprise était responsable, l’ampleur des répercussions vécues par les personnes touchées et la question de savoir si l’entreprise a adéquatement avisé les commissariats et les personnes touchées.
  • Dans le cadre de l’enquête, le Commissariat cherchera à comprendre les événements qui ont mené à l’atteinte ainsi que les mesures d’atténuation mises en œuvre par 23andMe pour corriger la situation et réduire le risque d’une future atteinte.
  • Le Commissariat enquête sur cette question conjointement avec le Commissariat à l’information du Royaume-Uni. Ainsi, il sera possible de tirer parti des ressources des deux organisations, de mener l’enquête plus efficacement et de faire en sorte qu’elle ait la plus grande incidence possible.

Contexte

  • En octobre 2023, le Commissariat a reçu le signalement d’une atteinte touchant un grand nombre de Canadiennes et Canadiens ainsi que des millions de personnes dans le monde, notamment au Royaume-Uni.
  • Le Commissaire a lancé une enquête en vertu du paragraphe 11(2) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ayant déterminé qu’il avait des motifs raisonnables de le faire.

Préparé par : Secteur de la conformité

Ratissage du Global Privacy Enforcement Network

Notes d’allocution

  • En juillet 2024, le Commissariat a publié les conclusions de son ratissage pour la protection de la vie privée concernant l’utilisation de mécanismes de conception trompeuse sur des sites Web et des applications. Le ratissage est une initiative annuelle du Global Privacy Enforcement Network.
  • Le Commissariat a coordonné le ratissage de cette année; 26 autorités d’application des lois visant la protection de la vie privée du Canada et de l’étranger ont examiné plus d’un millier de sites Web et d’applications mobiles.
    • Pour la première fois, le ratissage a aussi été coordonné avec l’International Consumer Protection and Enforcement Network.
  • Le constat a été que la grande majorité des sites Web et des applications examinés utilisaient des mécanismes de conception trompeuse pour influencer les choix en matière de confidentialité, notamment des sites ciblant les enfants que le Commissariat a spécialement examinés en collaboration avec les commissariats à la protection de la vie privée de l’Alberta et de la Colombie-Britannique.
  • Le Commissariat a communiqué ou communiquera avec les organisations pour lesquelles il a été constaté que leur site Web ou leur application présentait plusieurs mécanismes de conception trompeuse.

Contexte

  • Le ratissage visait principalement cinq mécanismes de conception trompeuse :
    1. Langage complexe et déroutant – des politiques de confidentialité trop longues ou rédigées dans un langage trop technique;
    2. Obstruction – étapes inutiles entre les utilisateurs et leurs objectifs en matière de protection de la vie privée;
    3. Interférence d’interface – des éléments de conception qui peuvent influencer la perception et la compréhension par les utilisateurs de leurs options en matière de protection de la vie privée;
    4. Harcèlement – des invites répétées demandant aux utilisateurs de prendre des mesures précises susceptibles de porter atteinte à leurs intérêts en matière de protection de la vie privée;
    5. Action forcée – le fait d’exiger des utilisateurs qu’ils communiquent plus de renseignements personnels que ce qui est nécessaire pour fournir ce service, ou de les inciter à le faire par la ruse.

Préparé par : Secteur de la conformité

Collaboration sur l’application de la loi

Principaux messages

  • Dans l’économie numérique, la protection des renseignements personnels contre les risques globaux constitue un objectif commun pour les autorités de protection des données. La collaboration permet aux organismes de réglementation d’accroître leurs capacités et d’amplifier leur impact.
  • Le Commissariat est un leader dans la collaboration en matière d’application de la loi, présidant ou coprésidant des forums tels que le Forum national de collaboration sur l’application de la loi, le Global Privacy Enforcement Network et l’Assemblée mondiale pour la protection de la vie privée.
  • Le Commissariat mène actuellement avec des commissariats provinciaux à la protection de la vie privée une enquête conjointe sur OpenAI (le créateur de ChatGPT), TikTok et Certn, et il mène avec le Commissariat à l’information du Royaume-Uni une enquête conjointe sur une atteinte visant 23andMe.
  • Au cours de la dernière année, le Commissariat a également coordonné le ratissage du Global Privacy Enforcement Network portant sur les mécanismes de conception trompeuse utilisés sur les sites Web et applications. Le Commissariat et 12 autorités mondiales responsables de la protection de la vie privée ont également publié une déclaration commune sur les attentes concernant les mesures de protection que les plateformes en ligne doivent prendre contre l’extraction non autorisée de données.

Contexte

  • Le Commissariat mène actuellement six enquêtes conjointes, dont une sur Open AI, une sur TikTok et une sur Certn.
  • Depuis 2021, le Commissariat a mené à bien deux enquêtes conjointes, celle sur Clearview AI (Alberta, Colombie-Britannique, Québec) en février 2021 et celle sur Tim Hortons (Alberta, Colombie-Britannique, Québec) en juin 2022.
  • Forum national de collaboration sur l’application de la loi (FNCAL) – Il facilite l’échange d’information et l’application de la loi axée sur la collaboration avec les autorités provinciales de protection des données essentiellement semblables.
  • Assemblée mondiale pour la protection de la vie privée (AMVP) – Le groupe de travail sur la collaboration internationale en matière d’application de la loi réunit les autorités mondiales afin de faire progresser la collaboration en matière d’application des lois d’intérêt commun. Le groupe de travail sur la collaboration internationale en matière d’application de la loi a entrepris plusieurs activités conjointes en vue d’améliorer le respect de la vie privée à l’échelle mondiale, comme les Lignes directrices sur le bourrage d’identifiants, les principes sur la technologie de reconnaissance faciale et une déclaration commune sur l’extraction de données.
  • Global Privacy Enforcement Network (GPEN) – Nous hébergeons le site Web et avons dirigé le ratissage pour la protection de la vie privée de cette année, un examen collaboratif de plus de 1000 sites Web et applications par 26 autorités du monde entier sur l’utilisation de modèles de conception trompeuse qui peuvent pousser les utilisateurs à faire des choix moins protecteurs de la vie privée.

Préparé par : Secteur de la conformité

Statistiques et tendances relatives aux atteintes

Principaux messages

  • Conformément à l’article 4.2.8 de la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor, les organisations fédérales assujetties à la Loi sur la protection des renseignements personnels doivent signaler au Commissariat les atteintes à la vie privée lorsqu’il existe un risque réel de préjudice grave pour une personne.
  • Conformément au paragraphe 10.1(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, les organisations assujetties à la Loi sont également tenues de signaler les atteintes au Commissariat.
  • En 2023-2024, le Commissariat a reçu 561 signalements d’atteinte à la vie privée au titre de la Loi sur la protection des renseignements personnels et 693 au titre de la Loi sur la protection des renseignements personnels et les documents électroniques (1 254 au total), soit 28 % de plus que l’année précédente. Les atteintes à la vie privée signalées en 2023-2024 ont touché près de 25 millions de comptes canadiens, soit deux fois plus de comptes que l’année précédente.
  • Près de la moitié (46 %) des signalements émanant du secteur privé reçus en 2023-2024 font état de cyberattaques attribuables à des logiciels malveillants, à la compromission d’identifiants, au piratage ou à l’hameçonnage.
  • Bien que le Commissariat ait constaté que le nombre de signalements d’atteintes a connu une augmentation de 15 % par rapport à la même période l’an dernier (du 30 avril au 30 août), des préoccupations persistent quant au fait que certaines atteintes à la vie privée pourraient passer inaperçues, être mal évaluées et, finalement, ne pas être signalées.

Contexte

  • Le nombre d’atteintes signalées attribuables à des cyberattaques contre des entreprises d’infrastructures essentielles a considérablement augmenté ces dernières années :
  • Atteintes à la vie privée signalées au Commissariat
    Atteintes à la vie privée signalées au Commissariat
    AF LPRPDE LPRP Total Atteintes aux
    infrastructures
    essentielles
    2023-2024 693 561 1254 205
    2022-2023 681 298 979 44
  • Le projet de loi C-26 (Loi sur la protection des cybersystèmes essentiels), un projet de loi actuellement à l’étape de la deuxième lecture au Sénat, obligerait les fournisseurs de services essentiels des secteurs sous réglementation fédérale à signaler les incidents de cybersécurité au Centre de la sécurité des télécommunications.

Préparé par : Secteur de la conformité

Statistiques et tendances relatives aux plaintes

Principaux messages

  • L’une des principales fonctions du Commissariat est de recevoir et d’examiner les plaintes concernant les pratiques des institutions fédérales et des entreprises du secteur privé en matière de traitement des renseignements personnels.
  • En 2023-2024, nous avons reçu un nombre important de plaintes :
    • près de 1 750 au titre de la Loi sur la protection des renseignements personnels (dont 1 113 ont été acceptées);
    • plus de 1 100 au titre de la Loi sur la protection des renseignements personnels et les documents électroniques (dont 446 ont été acceptées).
  • En 2023-2024, nous avons conclu 1 278 enquêtes sous le régime de la Loi sur la protection des renseignements personnels et 405 sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques, soit un total de 1 683 (en hausse de 22 % par rapport à l’année précédente).
  • Près de 90 % des plaintes ont été traitées dans le cadre d’un processus de résolution rapide ou d’enquêtes sommaires.

Contexte

  • Plaintes reçues et acceptées au cours des trois dernières années :
    AF LPRP LPRPDE Total
    Reçues Acceptées Reçues Acceptées Reçues Acceptées
    2023-2024 1749 1113 1108 446 2857 1559
    2022-2023 1461 1241 946 454 2407 1695
  • Il y a diverses raisons qui peuvent expliquer le refus d’une plainte, notamment le fait qu’elle ne relève pas de la compétence du Commissariat.
  • Le nombre global de plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui sont acceptées est plus faible, car le Commissariat a une plus grande latitude pour enquêter (ou ne pas enquêter) et de nombreuses plaintes reçues relèvent de la compétence provinciale.
  • La résolution rapide vise à traiter rapidement une plainte à la satisfaction de la partie plaignante et de la partie intimée.
  • Une enquête sommaire est menée dans les cas où une résolution rapide n’est pas possible, mais où les faits peuvent être confirmés et une conclusion peut être établie sans que des efforts supplémentaires ne soient nécessaires.

Préparé par : Secteur de la conformité

Arriéré du Secteur de la conformité (enquêtes et atteintes)

Principaux messages

  • Le Commissariat a reçu un financement temporaire dans le cadre du budget de 2023 pour améliorer ses taux de réponse aux plaintes relatives à la protection de la vie privée et aux signalements d’atteintes à la vie privée.
  • À la fin de 2023-2024, l’arriéré des enquêtes représentait 152 enquêtes, soit 20 % de toutes les enquêtes en cours. Il s’agit d’une diminution par rapport à 2022-2023, où 239 enquêtes en cours ont été actives pendant plus de 12 mois, ce qui représente 24 % des enquêtes.
    • En 2023-2024, le Commissariat a mené à bien 1 683 enquêtes, une augmentation de 22 % par rapport à 2022-2023, alors que 1 383 enquêtes ont pris fin.
  • En ce qui concerne les atteintes, depuis le début de l’exercice, nous avons évalué et traité 67 % des signalements d’atteintes reçus en respectant notre nouvelle norme de service de six mois, comparativement à 54 % en 2023-2024.
  • Bien que nous soyons déterminés à trouver des façons novatrices d’améliorer l’efficacité, nous continuons à recevoir un volume élevé de plaintes et de signalement d’atteintes, dont plusieurs sont liées à des questions complexes.
  • Depuis le début de l’exercice, nous avons constaté une augmentation de 40 % du nombre de plaintes et de 14 % du nombre d’atteintes par rapport à la même période l’an dernier.
  • Sans un financement permanent supplémentaire et sans modifications législatives qui nous donneraient plus de latitude pour enquêter sur les plaintes et améliorer le signalement des atteintes, l’arriéré risque de demeurer élevé, voire d’augmenter.

Contexte

Arriéré d’enquêtes incomplètes après 12 mois
Exercice Cas liés à la LPRP Cas liés à la LPRPDE Arriéré total
2023-2024 86 66 152
2022-2023 215 24 239
Arriéré d’évaluations incomplètes de signalements d’atteinte après 6 mois
Exercice Cas liés à la LPRP Cas liés à la LPRPDE Arriéré total
2023-2024 88 132 220
2022-2023 107 239 346

Préparé par : Secteur de la conformité

Promotion

Dans la présente section

Services-conseils au gouvernement : activités, statistiques et tendances

Principaux messages

  • Les demandes de soutien adressées à la Direction des services-conseils au gouvernement, le principal point de contact pour les ministères fédéraux qui souhaitent obtenir des conseils sur les initiatives concernant les renseignements personnels, demeurent élevées.
  • La Direction des services-conseils au gouvernement conseille également le Secrétariat du Conseil du Trésor sur l’élaboration de politiques, de directives et de normes du gouvernement central qui permettent l’application de la Loi sur la protection des renseignements personnels.
  • Parmi les tendances récentes que nous avons observées dans les évaluations des facteurs relatifs à la vie privée et les consultations, il y a l’utilisation des services numériques, le partage de données à l’échelle du gouvernement, et l’utilisation de l’intelligence artificielle et de systèmes de reconnaissance faciale.
  • Nos séances de sensibilisation aux enjeux liés à la protection de la vie privée sont toujours très en demande et les employés du gouvernement fédéral y participent activement; un événement organisé conjointement avec le Secrétariat du Conseil du Trésor en mai 2024 a attiré plus de 1 000 participants.

Contexte

  • Volume de travail – Au cours de l’exercice 2023-2024 :
    • La Direction des services-conseils au gouvernement a reçu 265 demandes d’évaluation des facteurs relatifs à la vie privée, demandes de consultation et demandes de conseils de la part des institutions fédérales, soit une augmentation de près de 20 % par rapport à l’exercice précédent.
    • De plus, nous avons reçu 572 avis de communication au titre de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels.
    • Depuis le début de 2024-2025, nous recevons en moyenne plus d’une douzaine de communications par mois pour des consultations, des demandes d’évaluation des facteurs relatifs à la vie privée et d’autres types de demandes, et nous recevons environ 42 avis par mois au titre du paragraphe 8(2).
  • Secrétariat du Conseil du Trésor (SCT) – Nous avons fourni des recommandations au SCT sur de multiples dossiers visant l’orientation du gouvernement central en matière de traitement des renseignements personnels, notamment un guide sur l’utilisation de l’intelligence artificielle générative, un nouveau guide sur la Loi sur la protection des renseignements personnels et de nouvelles directives sur la façon dont les évaluations des facteurs relatifs à la vie privée doivent être effectuées.
  • Sensibilisation – À ce jour, nous avons renforcé les connaissances et la capacité des ministères en matière de protection de la vie privée au moyen de six activités de sensibilisation, et au moins cinq autres activités du genre sont prévues au cours de l’exercice.

Responsable : Services-conseils au gouvernement

Services-conseils à l’entreprise : activités, statistiques et tendances

Principaux messages

  • Une des principales fonctions de Commissariat consiste à fournir des conseils aux entreprises de toutes tailles afin de les aider à respecter leurs obligations en matière de protection de la vie privée au titre de la Loi sur la protection des renseignements personnels et les documents électroniques.
  • Au cours des dernières années, nous avons constaté un intérêt accru de la part des petites et moyennes entreprises qui explorent de nouvelles technologies et d’autres innovations.
  • Alors que le contexte de la protection de la vie privée continue d’évoluer, le Commissariat continuera de collaborer avec les entreprises pour les aider à soutenir l’innovation technologique tout en protégeant la vie privée en tant que droit fondamental.

Contexte

  • La Direction des services-conseils à l’entreprise conseille les entreprises de toutes tailles dans le cadre de deux secteurs de programme : 1) des services-conseils volontaires et 2) des activités de promotion.
  • En 2023-2024, la Direction des services-conseils à l’entreprise a entrepris 16 missions de services-conseils et 79 activités promotionnelles (ateliers sur la protection de la vie privée, expositions, présentations, réunions des parties prenantes, séances de promotion ciblées, etc.).
  • En 2023-2024, 71 % des cas concernaient des petites et moyennes entreprises, qui jouent un rôle essentiel dans la croissance économique et la création d’emplois (ces cas étaient d’environ 55 à 60 % au cours des exercices précédents.)
  • La Direction des services-conseils à l’entreprise continue de collaborer avec des entreprises qui utilisent des technologies nouvelles et avancées et des modèles novateurs d’utilisation et de diffusion des données dans un éventail de secteurs, y compris les neurotechnologies, les technologies de la santé, les technologies financières, le commerce de détail, le marketing, les transports et la sécurité publique. Par exemple, en 2023-2024, 40 % de nos cas concernaient l’intelligence artificielle (IA).
  • Pour optimiser l’incidence des efforts déployés, la Direction des services-conseils à l’entreprise a mis à profit des partenariats au moyen des centres d’innovation et des accélérateurs d’entreprises. Elle a, par exemple, travaillé en collaboration avec 14 partenaires pour atteindre plus de 500 entreprises dans le Canada atlantique et le Yukon.
  • La Direction des services-conseils à l’entreprise a également organisé et accueilli le forum du Commissariat sur la protection de la vie privée à Toronto, auquel ont participé près de 100 professionnels et experts de la protection de la vie privée de partout au Canada.

Responsable : Direction des services-conseils à l’entreprise

Élaboration d’orientations

Principaux messages

  • Les orientations que nous fournissons sont essentielles à notre rôle qui consiste à promouvoir efficacement le respect de la loi et à aider les personnes à comprendre et à exercer leurs droits en matière de protection de la vie privée.
  • Nous continuons à constater un besoin croissant de la part des organisations pour obtenir des conseils et des orientations sur leurs obligations en matière de protection de la vie privée.
  • Nous nous attendons à ce que cette tendance s’accélère si le projet de loi C-27 est adopté, et nous modernisons nos processus d’élaboration des orientations en tenant compte de ce scénario.
  • Nous accueillerions favorablement des responsabilités d’orientation parallèles à l’égard des organisations du secteur public en vertu d’une version réformée de la Loi sur la protection des renseignements personnels.

Contexte

  • Le Commissariat a effectué une analyse comparative internationale concernant la manière dont d’autres autorités chargées de la protection des données élaborent des orientations, ce qui a permis d’éclairer l’élaboration de nos plans visant à mettre en œuvre des processus fondés sur des données probantes, tournés vers l’avenir et qui aboutiront à des orientations pratiques, concrètes et accessibles.
  • En plus de nous préparer à une éventuelle réforme du droit, nous mettons la dernière main à un projet d’orientation sur le traitement des données biométriques pour les secteurs public et privé et à une position sur le contrôle de l’âge découlant d’une consultation publique.
  • Le paragraphe 110(1) du projet de loi C-27 exigerait que le commissaire consulte les parties prenantes, y compris les institutions fédérales concernées, lorsqu’il élabore des documents d’orientation et des outils destinés aux organisations en vue de promouvoir la conformité. Nous examinons actuellement nos processus de consultation et prévoyons de consulter les parties prenantes pour obtenir leurs commentaires.
  • Dans le cadre de la modernisation de la Loi sur la protection des renseignements personnels, le ministère de la Justice a proposé que le Commissariat ait le pouvoir de sensibiliser le public et de formuler des orientations sur l’interprétation et l’application de la Loi, en consultation avec le gouvernement. Nous appuyons la proposition, en présumant que les ressources appropriées seront accordées pour le faire.

Préparé par : PRAP

Affaires parlementaires : activités, statistiques et tendances

Principaux messages

  • À titre d’agent du Parlement et d’ombudsman fédéral de la protection de la vie privée, le Commissariat est souvent appelé à fournir des conseils et des recommandations à divers comités ainsi qu’à des parlementaires.
  • Comme il en a été mentionné lors de notre comparution précédente sur le Budget principal des dépenses cette année, entre avril 2023 et mars 2024, nous :
    • avons comparu 10 fois devant divers comités parlementaires;
    • avons surveillé et examiné 38 projets de loi et études;
    • avons répondu à 14 demandes de parlementaires.
  • En moyenne, je comparais 14 fois par année devant les comités des deux Chambres.

Contexte

  • En 2023-2024, nous étions présents aux comparutions clés suivantes concernant les projets de loi du gouvernement :
    • Le 3 mai 2023 – C-47, Loi no 1 d’exécution du budget de 2023.
    • Le 19 octobre 2023 – C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique
    • Le 12 février 2024 – C-26, Loi concernant la cybersécurité et modifiant la Loi sur les télécommunications
    • Le 23 mai 2024 – C-69, Loi no 1 d’exécution du budget
    • Le 27 mai 2024 – S-210, Loi sur la protection des jeunes contre l’exposition à la pornographie
  • Nous prévoyons d’être occupés par une série d’initiatives et de priorités au cours de la présente session, y compris le suivi continu de l’avancement des projets de loi suivants :
    • C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique
    • C-63, Loi sur les préjudices en ligne
    • C-65, Loi sur la participation électorale

Préparé par : Politiques, recherche et affaires parlementaires

Relations internationales : activités principales

Principaux messages

  • Le renforcement des droits en matière de protection de la vie privée à l’échelle mondiale et les partenariats internationaux contribuent à assurer la protection des renseignements personnels des Canadiens lorsqu’ils franchissent les frontières du pays.
  • Le Commissariat participe à des réseaux internationaux et travaille avec d’autre commissariat à la protection de la vie privée afin d’optimiser les ressources, d’élaborer des positions stratégiques communes et de communiquer les pratiques exemplaires en matière d’application de la loi.
  • L’un de ces réseaux est la Table ronde des autorités de protection des données et de la vie privée du G7, que le Commissariat accueillera en 2025. Pour nous aider à assumer ce rôle, nous collaborons avec des partenaires gouvernementaux clés afin d’appuyer et de promouvoir la vision globale du Canada pour sa présidence du G7.

Contexte

  • Table ronde des autorités de protection des données et de la vie privée du G7 – L’événement de 2024 aura lieu à Rome en octobre. Il y aura trois groupes de travail : Libre circulation des données en toute confiance, Collaboration en matière d’application de la loi et Technologies émergentes, dont le Commissariat assure la présidence.
    • Le Commissariat collabore actuellement avec Affaires mondiales Canada et Innovation, Sciences et Développement économique Canada sur des sujets d’intérêt mutuel à l’appui des objectifs du Canada pour le G7.
  • Assemblée mondiale pour la protection de la vie privée (AMVP) – Le Commissariat préside le Groupe de travail sur la protection des données et d’autres droits et libertés, le Groupe de travail sur la coopération internationale en matière d’application de la loi, et le Groupe de travail sur le citoyen et le consommateur numérique. Il est membre de huit autres groupes de travail, notamment sur l’éthique de l’IA et sur l’éducation numérique.
    • Principales résolutions pour 2023 : sur le prix de la vie privée et des droits de la personne (parrain), sur l’IA et l’emploi (coparrain) et sur les systèmes d’intelligence artificielle générative (coparrain).
  • Autres réseaux clés – 1) Global Privacy Enforcement Network (GPEN); 2) Forum des autorités de protection de la vie privée de la zone Asie-Pacifique; 3) Association francophone des autorités de protection des données personnelles (AFAPDP); 4) Groupe de travail de Berlin.
  • Participation à des forums gouvernementaux internationaux – 1) Sous-groupe sur la protection des données de la Coopération économique Asie-Pacifique; 2) Forum mondial sur les règles relatives aux transferts transfrontaliers de données; 3) groupe de travail sur la gouvernance des données et la protection de la vie privée dans l’économie numérique de l’Organisation de coopération et de développement économiques (OCDE).
  • Protocole d’entente (PE) – Le Commissariat a signé 10 protocoles d’entente bilatéraux, notamment un récent avec la Federal Communications Commission des États-Unis, et trois protocoles d’entente multilatéraux. Il participe également à l’accord de coopération de l’APEC pour l’application transfrontalière de la protection de la vie privée, à l’entente de coopération transfrontalière dans l’application des lois de l’AMVP et à l’entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée.

Préparé par : Relations internationales, provinciales et territoriales

Relations internationales : statistiques et tendances

Principaux messages

  • Il est difficile de comparer les pouvoirs du Commissariat à ceux d’autres autorités de protection des données d’autres pays. La portée des mandats peut varier et la législation sur la protection de la vie privée se trouve à différents niveaux d’évolution dans le monde.
  • Cependant, à certains égards, le Commissariat est un cas particulier à l’échelle mondiale. Par exemple, le Commissariat n’a pas le pouvoir d’émettre des ordonnances ou d’imposer des sanctions en cas d’atteinte à la vie privée. Le projet de loi C-27 remédierait à cette situation, et nous espérons toujours que le Parlement réformera la Loi sur la protection des renseignements personnels et les documents électroniques afin de doter le Commissariat de cet important outil.
  • De même, alors que le signalement obligatoire des atteintes à la vie privée est la norme internationale, je remarque qu’au Canada, la Loi sur la protection des renseignements personnels ne contient aucune exigence du genre pour le secteur public.

Contexte

Les données ci-dessous sont fondées sur le recensement de 2023 de l’Assemblée mondiale pour la protection de la vie privée (AMVP), qui visait les données de 2002 provenant de 78 autorités de protection des données.

  • Financement : Parmi les autorités de protection des données et de la vie privée, 71 % ont déclaré une augmentation de leur budget par rapport à 2021, et seulement 13 % ont connu une diminution de leur budget. En tout, 63 % d’entre elles ont augmenté leur personnel par rapport à l’année précédente.
  • Pouvoirs d’application de la loi : Parmi les autorités de protection des données et de la vie privée, 74 % peuvent imposer des amendes ou des pénalités en cas d’atteinte à la vie privée. Il y a 90 % d’entre elles qui ont le pouvoir d’imposer des sanctions en cas d’infractions civiles ou administratives et d’enquêter à cet égard.
  • Coopération en matière d’application de la loi : Il y a 63 % des autorités de protection des données et de la vie privée qui disposent d’un mécanisme de coopération avec d’autres autorités réglementaires.
    • En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le Commissariat peut collaborer et échanger de l’information avec ses homologues internationaux sous réserve de certaines conditions, notamment l’obligation de conclure un accord écrit. Le Commissariat a conclu 10 protocoles d’entente bilatéraux et 3 multilatéraux.
  • Signalement des atteintes : En tout, 87 % des autorités ont des obligations en matière de déclaration d’atteintes dans leur territoire de compétence et 68 % publient des informations sur les déclarations qu’ils reçoivent, par exemple le nombre total de déclarations reçues, la ventilation par secteur ou les renseignements sur celles qui donnent lieu à des mesures officielles.

Préparé par : Relations internationales, provinciales et territoriales

Direction de l’analyse des technologies : activités, statistiques et tendances

Principaux messages

  • La prise en compte des répercussions des avancées technologiques sur la protection de la vie privée est l’une des priorités stratégiques du Commissariat.
  • À cette fin, le Commissariat étudie différentes technologies pour évaluer leurs répercussions potentielles sur la protection de la vie privée.
  • Le Commissariat dispose d’une équipe d’analystes des technologies de l’information qui mettent à profit leur vaste expertise technologique pour examiner les logiciels malveillants, les composants matériels, les applications mobiles et les appareils d’Internet des objets dans le but de promouvoir la protection de la vie privée par l’utilisation sûre et sécuritaire des technologies numériques par la population canadienne.
  • Le laboratoire d’analyse technologique du Commissariat appuie également les enquêtes de conformité et les recherches liées aux technologies émergentes, notamment l’intelligence artificielle, la biométrie, l’identification numérique ainsi que les technologies d’amélioration de la confidentialité comme la dépersonnalisation.

Contexte

  • La Direction de l’analyse de la technologie appuie le travail du Commissariat, y compris les activités liées à la Loi canadienne anti-pourriel.
  • La Direction de l’analyse de la technologie analyse également les technologies émergentes, comme l’intelligence artificielle générative et les techniques de vérification de l’âge, en collaboration avec d’autres administrations au Canada et à l’étranger.
  • La Direction de l’analyse de la technologie continue de soutenir diverses enquêtes, divers travaux relatifs à des atteintes à la vie privée et diverses initiatives gouvernementales liées à la technologie, à la protection de la vie privée et à la cybersécurité.
  • Par la publication d’articles de blogue, la Direction de l’analyse de la technologie vise également à sensibiliser le public aux répercussions des différentes technologies sur la protection de la vie privée. En 2023-2024, la Direction de l’analyse de la technologie a publié des articles de blogue sur l’informatique quantique, le chiffrement homomorphe et l’équité algorithmique.

Préparé par : Direction de l’analyse de la technologie

Direction des communications : activités principales, statistiques et tendances

Principaux messages

  • Conformément à son mandat de protection et de promotion de la vie privée en tant que droit fondamental, le Commissariat continue de communiquer sur un éventail de questions relatives à la vie privée, notamment la vie privée des jeunes, les enquêtes majeures et les efforts nationaux et internationaux visant à prendre en compte les répercussions des nouvelles technologies sur la vie privée.
  • Compte tenu des changements importants survenus en matière de communication, notre équipe des communications travaille constamment à mieux comprendre les besoins, les intérêts et les attentes changeants des Canadiennes et des Canadiens en ce qui a trait à l’information, et à y répondre.
  • Nous répondons également aux demandes d’information du public et des organisations par l’intermédiaire du Centre d’information du Commissariat.

Contexte

  • Principales statistiques sur les communications pour la période 2023-2024 :
    • 64 discours prononcés ou présentations faites par le commissaire ou le personnel du Commissariat;
    • 106 communiqués de presse, annonces et discours publiés;
    • 11 000 exemplaires de publications du Commissariat distribués (p. ex. des bandes dessinées éducatives);
    • réponse à 120 demandes des médias;
    • 3,1 millions de visites uniques sur notre site Web.
  • Les travaux entrepris en 2023-2024 pour mieux comprendre les changements en matière d’information et de communication et y réagir comprenaient du travail de recherche sur l’opinion publique (entreprises canadiennes), une analyse du contexte public et une analyse éducative liée à la protection de la vie privée des jeunes, du travail de recherche sur les besoins des utilisateurs et des tests d’utilisation visant notre site Web.
  • Les mises à jour dignes de mention au premier trimestre de l’exercice (2024-2025) visent plus de 30 produits médiatiques et discours ainsi que la publication du rapport annuel du Commissaire au Parlement le 6 juin 2024.

Préparé par : Communications

Programme des contributions

Principaux messages

  • Dans le cadre de son Programme des contributions, le Commissariat consacre jusqu’à 500 000 dollars par an à des initiatives de recherche et de sensibilisation du public portant sur un éventail de questions relatives à la protection de la vie privée liées à la Loi sur la protection des renseignements personnels et les documents électroniques.
  • Ces projets indépendants génèrent de l’information, de l’expertise et une compréhension nouvelles pour aider les organisations à renforcer la protection de la vie privée et aider les Canadiennes et les Canadiens à comprendre et à exercer leur droit à la vie privée dans leurs interactions avec le secteur commercial.
  • Chaque année, l’appel de demandes porte sur un thème particulier qui correspond aux priorités du Commissariat. Les thèmes de cette année sont : « Tenir compte des répercussions sur la vie privée des nouvelles technologies » et « Protéger la vie privée des enfants ».

Contexte

  • Créé en 2004, le Programme des contributions a permis de verser près de 10 millions de dollars à différentes organisations pour la recherche sur la protection de la vie privée.
  • Le Programme a financé une grande diversité de projets, notamment ceux du Centre de gouvernance de l’information des Premières Nations (sur la souveraineté des données et la Loi sur la protection des renseignements personnels et les documents électroniques [LPRPDE]), de l’Institut national canadien pour les aveugles (sur le consentement et l’inclusion, la diversité, l’équité et l’accessibilité) et de l’Université Western Ontario (sur la conception trompeuse).
  • Tous les projets doivent être liés à la LPRPDE, puisque le Programme a été créé au titre de cette loi. Les propositions sont évaluées en fonction des avantages par des experts en la matière du Commissariat et, le cas échéant, par des pairs examinateurs externes. La plupart des années, environ 50 000 dollars sont alloués aux demandeurs retenus. La contribution maximale est de 100 000 dollars.
  • En 2020-2021, les modalités du Programme ont été renouvelées pour cinq ans par le ministre de la Justice (jusqu’au 31 mars 2025). Nous travaillons actuellement à la mise à jour des modalités pour le renouvellement.
  • La liste complète des projets financés est publiée sur le site Web du Commissariat, ainsi que des résumés des projets achevés les années précédentes.

Préparé par : Politiques, recherche et affaires parlementaires

Vie privée des enfants

Principaux messages

  • L’une de mes principales priorités stratégiques est de veiller à ce que la vie privée des enfants soit protégée et à ce que les jeunes comprennent leurs droits en matière de vie privée et puissent les exercer.
  • Dans le cadre de cette priorité, le Commissariat a entrepris un certain nombre d’activités clés, notamment :
    • Une enquête sur TikTok a été lancée avec les commissariats à la protection de la vie privée de l’Alberta, du Québec et de la Colombie-Britannique afin d’examiner si ses pratiques sont conformes à la Loi sur la protection des renseignements personnels et les documents électroniques, particulièrement en ce qui concerne ses jeunes utilisateurs.
    • Mes homologues provinciaux et territoriaux et moi-même avons publié une résolution commune appelant les gouvernements et les organisations à faire passer les intérêts des jeunes en premier et recommandant l’adoption de pratiques à cette fin.
    • Une consultation a été menée sur le contrôle de l’âge, un élément qui peut aider à protéger les jeunes en ligne. Nous prévoyons maintenant préparer des directives à ce sujet et celles-ci se baseront sur notre consultation publique.

Contexte

  • Conformément au plan stratégique du Commissariat, nous continuons à développer notre expertise en menant des recherches et des activités de sensibilisation auprès des jeunes afin de cerner les atteintes à la vie privée et de mieux comprendre la façon dont ils perçoivent leur droit à la vie privée.
  • La protection de la vie privée des enfants était l’un des principaux thèmes du Programme des contributions 2024-2025 du Commissariat. Nous avons annoncé du financement de quatre projets axés sur la protection de la vie privée des jeunes, ce qui nous aidera à orienter notre travail à cet égard.
  • Le Commissariat est membre du groupe de travail sur l’éducation au numérique de l’Assemblée mondiale sur la protection de la vie privée et d’un groupe de travail international sur la confirmation de l’âge, où il collabore avec ses homologues internationaux, notamment en échangeant sur les pratiques exemplaires.

Préparé par : Politiques, recherche et affaires parlementaires

Consultation sur le contrôle de l’âge

Notes d’allocution

  • La confirmation de l’âge peut être une technique efficace pour promouvoir la sécurité en ligne auprès des jeunes. En plus de restreindre l’accès à du contenu préjudiciable, la confirmation de l’âge pourrait être utilisée pour diriger les jeunes vers une version d’un service qui utilise des pratiques en matière de données adaptées aux jeunes et aux enfants.
  • Toutefois, le contrôle de l’âge peut aussi avoir des répercussions importantes sur la vie privée de tous les utilisateurs d’Internet.
  • En juin 2024, à l’appui des priorités stratégiques du Commissariat, qui consistent à faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et à défendre le droit à la vie privée des enfants, le Commissariat a lancé une consultation exploratoire sur la question du contrôle de l’âge.
  • La consultation nous permettra de mieux comprendre à la fois les défis posés et les possibilités créées par cette technologie.

Contexte

  • Les répercussions potentielles du contrôle de l’âge sur la vie privée comprennent le suivi de l’utilisation d’Internet et la communication de renseignements permettant l’identification (p. ex. lors d’une atteinte).
  • Notre consultation a pris fin le 10 septembre 2024. Au total, nous avons reçu 35 commentaires provenant de gens de la société civile et du milieu universitaire, de fournisseurs de services de contrôle de l’âge, d’intervenants de services en ligne, de membres d’associations de l’industrie canadienne et de personnes qui souhaitaient transmettre des commentaires.
  • Les prochaines étapes prévues comprendront, au minimum, l’élaboration de recommandations sur l’utilisation et la conception de systèmes de contrôle de l’âge, qui pourraient être publiées au cours de l’exercice.

Préparé par : Politiques, recherche et affaires parlementaires

Forum canadien des organismes de réglementation numérique

Notes d’allocution

  • Le Forum canadien des organismes de réglementation numérique a été créé en juin 2023 pour tirer parti des connaissances et de l’expertise de ses membres. Il vise à améliorer l’échange d’information et la collaboration, s’il y a lieu, sur des sujets d’intérêt commun qui ont trait aux marchés et aux plateformes numériques.
  • En plus du Commissariat, le Bureau de la concurrence, le Conseil de la radiodiffusion et des télécommunications canadiennes et la Commission du droit d’auteur du Canada en sont membres.
  • Comme le Commissariat préside actuellement le Forum canadien des organismes de réglementation numérique, je cherche à tirer parti de la première année du Forum en explorant davantage les enjeux découlant des politiques visant l’intelligence artificielle, le tout, dans l’optique d’élaborer conjointement des documents qui seront publiés à la fin de l’exercice.
  • Grâce à un partenariat et à une collaboration renforcés à long terme, les membres détermineront également les autres enjeux qui transcendent les frontières réglementaires à mesure que nous nous efforcerons de remplir nos mandats individuels.

Contexte

  • Le forum est dirigé par un président qui change chaque année et qui est nommé à l’unanimité par les chefs des membres. En consultation avec d’autres membres, le président est chargé d’établir les priorités stratégiques, les ordres du jour et les échéances; de présider les réunions; et d’obtenir l’accord des membres quant aux activités du forum. Le président est épaulé par un secrétariat et un groupe de travail cadre.
  • Le fait que la Commission du droit d’auteur du Canada devienne membre du Forum a été annoncé le 10 septembre dans un communiqué de presse sur les sites Web du Commissariat et du Forum canadien des organismes de réglementation numérique.
  • En 2024, le Forum canadien des organismes de réglementation numérique est devenu membre du Network of Digital Regulation Cooperation, un forum international qui vise à faciliter l’échange d’information et l’établissement de pratiques exemplaires pour la coopération entre les organismes de réglementation. Les membres comprennent des organisations du Royaume-Uni, de l’Irlande, de l’Australie et des Pays-Bas.

Préparé par : Politiques, recherche et affaires parlementaires

Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor

Principaux messages

  • La Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor exige que les institutions gouvernementales effectuent une évaluation des facteurs relatifs à la vie privée lorsqu’un programme ou une activité est susceptible d’avoir une incidence sur les renseignements personnels. Elle exige également que les institutions communiquent au Commissariat les évaluations des facteurs relatifs à la vie privée qu’elles ont réalisées.
  • Conformément à la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor, les institutions doivent informer le Commissariat des activités et des programmes, nouveaux ou existants, susceptibles d’avoir une incidence sur la vie privée, peu importe si une évaluation des facteurs relatifs à la vie privée est prévue ou non.
  • Malgré ces exigences, nous ne sommes pas toujours consultés ou informés des initiatives susceptibles d’avoir une incidence sur la protection de la vie privée avant leur mise en œuvre.
  • Le Secrétariat du Conseil du Trésor est en train de mettre à jour ses instruments de politique liés à l’évaluation des facteurs relatifs à la vie privée, et ce, en consultation avec le Commissariat. Bien qu’une plus grande clarté soit toujours la bienvenue dans les instruments de politique, l’obligation de mener des évaluations des facteurs relatifs à la vie privée devrait être entérinée dans la loi.

Contexte

  • Les évaluations des facteurs relatifs à la vie privée sont d’une exigence stratégique depuis 2002, mais elles n’ont pas force de loi au titre de la Loi.
  • Dans son document de consultation de novembre 2020 sur la modernisation de la Loi sur la protection des renseignements personnels, le ministère de la Justice a proposé d’ajouter à la Loi l’obligation fondée sur le risque d’effectuer des évaluations des facteurs relatifs à la vie privée ainsi que l’obligation pour les entités fédérales de communiquer ces évaluations une fois qu’elles sont achevées.
  • Le Commissariat a appuyé la proposition, mais il a souligné qu’il devrait conserver une certaine latitude quant à la formulation de recommandations sur les évaluations des facteurs relatifs à la vie privée soumises.
  • Au printemps 2024, le Commissariat a examiné et commenté les ébauches des instruments de politique mis à jour du Secrétariat du Conseil du Trésor (SCT) liés aux évaluations des facteurs relatifs à la vie privée. Le SCT devrait publier les nouveaux documents en septembre 2024.

Préparé par : Politiques, recherche et affaires parlementaires

Services juridiques

Dans la présente section

Litige récent : Facebook (Meta)

Principaux messages

  • Le Commissariat accueille favorablement la décision historique que la Cour d’appel fédérale a rendue par rapport à Facebook. Dans celle-ci, on reconnaît que même les grandes sociétés de données internationales, dont le modèle d’affaires repose sur les données des utilisateurs, doivent respecter la loi canadienne sur la protection des renseignements personnels et protéger le droit fondamental à la vie privée des individus.
  • Tout comme le Commissariat à la protection de la vie privée du Canada l’avait fait dans son enquête en 2019, la Cour d’appel fédérale a conclu que Facebook avait enfreint l’exigence d’obtenir le consentement valable des utilisateurs et n’avait pas suffisamment protégé les renseignements personnels de ces derniers.
  • Conformément aux instructions de la Cour, le Commissariat collaborera avec Facebook pour parvenir à une entente sur les modalités de l’ordonnance corrective.

Contexte

  • En mars 2018, le Commissariat a reçu une plainte visant Facebook qui a été formulée dans le contexte des reportages dans les médias selon lesquels Cambridge Analytica avait eu accès aux renseignements personnels d’utilisateurs de Facebook, sans leur consentement, par l’intermédiaire d’une application tierce (TYDL).
  • Le Commissariat à la protection de la vie privée du Canada et le Commissariat à la protection de la vie privée de la Colombie-Britannique ont enquêté conjointement, ce qui a permis de déterminer que Facebook n’avait pas obtenu le consentement valable de ses utilisateurs avant de communiquer leurs renseignements personnels et qu’il n’avait pas mis en place des mesures de protection adéquates.
  • Le Commissariat a déposé une demande d’audition auprès de la Cour fédérale en vertu de l’article 15 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), demandant, entre autres, une ordonnance obligeant Facebook à corriger ses pratiques pour se conformer à la LPRPDE, car Facebook n’a pas accepté de mettre en œuvre les recommandations du Commissariat.
  • Le 13 avril 2023, la Cour fédérale a rejeté la demande du Commissaire présentée en vertu de l’article 15 et le Commissariat a porté en appel la décision devant la Cour d’appel fédérale.
  • Le 9 septembre 2024, la Cour d’appel fédérale a accueilli l’appel du Commissariat avec dépens et a déclaré que les pratiques de Facebook entre 2013 et 2015 avaient contrevenu à la LPRPDE. Le Commissariat et Facebook doivent faire rapport dans les 90 jours pour indiquer si les parties se sont entendues sur les conditions de l’ordonnance corrective sur consentement.
  • La Cour demeure saisie de l’affaire. Si les parties ne parviennent pas à s’entendre, la Cour les invitera à présenter d’autres observations sur la question des mesures correctives.

Préparé par : Services juridiques

Litige récent : Aylo (MindGeek)

Principaux messages

  • En avril 2023, Aylo (anciennement MindGeek) a présenté une demande de contrôle judiciaire à la Cour fédérale, faisant valoir que l’intention du Commissariat de publier son rapport de conclusions concernant une plainte reçue contre l’entreprise était déraisonnable et injuste.
  • Aylo a ensuite demandé une injonction qui aurait empêché le Commissariat de publier le rapport final des conclusions pendant que la demande de contrôle judiciaire était en cours.
  • En août 2023, la Cour fédérale a rejeté la demande d’injonction d’Aylo, notamment parce qu’elle n’avait pas démontré qu’elle serait irrémédiablement lésée par l’établissement et la publication du rapport. Aylo a fait appel de cette décision.
  • En février 2024, la Cour d’appel fédérale a rejeté à l’unanimité l’appel d’Aylo. Le même jour, Commissariat a publié le rapport final des conclusions.

Contexte

  • En avril 2020, le Commissariat a reçu une plainte contre Aylo, qui n’aurait pas obtenu le consentement de toutes les personnes représentées dans du contenu intime affiché sur ses différents sites Web.
  • Le rapport a révélé qu’Aylo avait enfreint la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en permettant la diffusion de contenu intime sur ses sites Web à l’insu ou sans le consentement des personnes représentées. Le Commissariat a recommandé qu’Aylo mette immédiatement fin à la collecte, à l’utilisation et à la divulgation d’images et de vidéos intimes générées par les utilisateurs jusqu’à ce que l’entreprise ait mis en œuvre des mesures assurant le respect de ses obligations au titre de la LPRPDE.
  • Nous discutons actuellement avec Aylo afin d’obtenir un engagement visant à mettre en œuvre des mesures qui seront conformes à nos recommandations et à la législation canadienne en matière de protection de la vie privée.

Préparé par : Services juridiques

Frais de litige

Principaux messages

  • Les litiges demeurent un outil essentiel pour le Commissariat dans son travail de protection et de promotion de la vie privée. Cela dit, présenter une demande de nature judiciaire ou répondre à une demande de contrôle judiciaire peut s’avérer très coûteux, malgré les efforts déployés pour utiliser les ressources de manière judicieuse.
  • Les frais de litige engagés par le Commissariat ont connu une augmentation importante en 2023-2024. Certes, les coûts ont généralement augmenté au cours des six dernières années, mais ils ont plus que doublé au cours de l’année dernière.
    • Ceci est attribuable à un ensemble particulier de circonstances, notamment des coûts encourus pour deux affaires devant la Cour fédérale et trois devant la Cour d’appel fédérale.
    • La grande majorité de ces coûts a été engagée dans le cadre de l’affaire Aylo, qui a considérablement fait progresser la protection de la vie privée.
  • Bien que les taux de contrôle judiciaire des décisions du Commissariat soient restés relativement stables, si le projet de loi C-27 est adopté, je prévois une augmentation des activités liées aux litiges au cours des premières années en raison des contestations des décisions du Commissariat d’émettre des ordonnances, de recommander des sanctions administratives pécuniaires et d’établir des conclusions d’enquête qui donnent lieu à un nouveau droit pour les personnes d’intenter des poursuites pour obtenir des dommages-intérêts.

Contexte

  • Dépenses du Commissariat liées aux litiges pour les honoraires des avocats externes, par exercice :
    2018-2019 2019-2020 2020-2021 2021-2022 2022-2023 2023-2024
    67 523,19 $ 130 597,50 $ 114 930,49 $ 212 329,02 $ 284 277,14 $ 771 381,86 $
  • Le Commissariat règle de nombreuses plaintes par règlement rapide ou au moyen de ses conclusions et recommandations d’enquête, et le recours à la procédure judiciaire n’est qu’un outil parmi d’autres.
  • L’intervention du Commissariat dans des cas soulevant d’importantes questions d’interprétation de la Loi sur la protection de la vie privée des consommateurs est également susceptible d’augmenter temporairement les frais de litige si le projet de loi C-27 est adopté.

Préparé par : Services juridiques

Projets de loi et amendements

Dans la présente section

Projet de loi C-27

Principaux messages

  • Le projet de loi C-27 répond à de nombreuses préoccupations que le Commissariat et d’autres experts ont soulevées au sujet de la Loi sur la protection des renseignements personnels et les documents électroniques. Par exemple, il élargit les exigences relatives à l’obtention d’un consentement valable et la liste des contraventions passibles de sanctions administratives pécuniaires.
  • Toutefois, je pense qu’il doit aller plus loin pour assurer une meilleure protection des droits des Canadiens en matière de vie privée dans l’environnement numérique, pour promouvoir l’innovation et pour éviter de faire la part trop belle à la réglementation.
  • Le Commissariat a proposé 15 recommandations pour renforcer le projet de loi, notamment celle de reconnaître la protection de la vie privée comme un droit fondamental et en protégeant la vie privée des enfants et l’intérêt supérieur de l’enfant.
  • J’ai trouvé qu’il était très encourageant de voir le Comité permanent de l’industrie et de la technologie adopter certaines de ces recommandations lors de l’étude article par article du projet de loi. Nous continuons de suivre de près les progrès du projet de loi.

Contexte

  • Le Comité permanent de l’industrie et de la technologie (INDU) a entamé l’examen article par article du projet de loi C-27 le 8 avril 2024. À ce jour, le comité INDU a tenu 10 réunions et adopté 10 amendements, dont la plupart sont largement conformes à nos recommandations. Par exemple :
    • Intégrer le préambule du projet de loi dans la Loi sur la protection de la vie privée des consommateurs et le modifier afin de reconnaître le droit fondamental à la vie privée et l’importance de protéger les mineurs et leur intérêt supérieur;
    • modifier la définition du terme « anonymiser » en supprimant les « meilleures pratiques généralement reconnues » et ajouter la norme « aucun risque raisonnablement prévisible dans les circonstances » pour la repersonnalisation;
    • modifier la définition française du terme « dépersonnaliser » pour mieux l’harmoniser avec la définition anglaise;
    • ajouter les définitions des termes « autorité légitime », « mineur », « profilage », « renseignements de nature sensible » et « incidence importante »;
    • modifier la définition de « renseignement personnel » pour y inclure les renseignements qui sont le résultat d’inférences.

Préparé par : Politiques, recherche et affaires parlementaires

Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

  • Alors que la réforme de la loi dans le secteur privé se poursuit, la Loi sur la protection des renseignements personnels n’a malheureusement pas beaucoup changé depuis son entrée en vigueur il y a plus de 40 ans.
  • Dans la mesure du possible, compte tenu de leurs contextes différents, les lois fédérales sur la protection de la vie privée devraient être globalement cohérentes entre elles et avec d’autres cadres mondiaux de protection des données.
  • Une harmonisation des lois des secteurs public et privé améliore la prévisibilité, l’interopérabilité et la cohérence. Des normes communes favoriseraient également les partenariats public-privé et la délocalisation informatique.

Contexte

  • En 2021, le ministère de la Justice a publié un document de consultation proposant une série de réformes de la Loi sur la protection des renseignements personnels. Les propositions précises appuyées par le Commissariat comprenaient :
    • l’ajout d’un énoncé d’objectifs reconnaissant la vaste portée du droit à la vie privée en tant que droit de la personne;
    • une surveillance accrue, ainsi que des recours rapides et efficaces, comme des pouvoirs de rendre des ordonnances et des droits de recours élargis;
    • une définition élargie de « renseignement personnel ».
  • Le Commissariat a également présenté plusieurs recommandations en réponse, notamment :
    • qu’on inclue dans la Loi une définition de « prise de décisions automatisée », un droit à une explication valable et à une intervention humaine, des normes quant à l’explication requise et des obligations légales en matière de traçabilité;
    • que la nouvelle norme « raisonnablement nécessaire » pour la collecte indique clairement que les incidences sur la vie privée doivent être proportionnelles aux intérêts publics en jeu;
    • que les institutions gouvernementales soient tenues de consulter le Commissariat au sujet des projets de loi et de règlement ayant une incidence sur la protection de la vie privée avant qu’ils ne soient présentés.
  • La plus récente mise à jour publique du ministère de la Justice depuis le lancement de la consultation a été la publication d’un rapport « Ce que nous avons entendu » en août 2021 et d’un rapport sur la consultation des Autochtones en 2022 publié en octobre 2023.

Préparé par : Politiques, recherche et affaires parlementaires

Projet de loi C-65 (Loi sur la participation électorale)

Principaux messages

  • Le projet de loi C-65, déposé en mars 2024, ajoute de nouveaux éléments aux politiques sur la protection de la vie privée que les partis politiques sont tenus de mettre en place dans le cadre de leur inscription auprès d’Élections Canada (au titre de la Loi électorale du Canada).
  • Je recommande depuis longtemps que les partis politiques soient assujettis à des règles de fond en matière de protection de la vie privée (p. ex. celles qui figurent dans la Loi sur la protection des renseignements personnels ou la Loi sur la protection des renseignements personnels et les documents électroniques), qui comprennent des mécanismes de recours, d’examen indépendant et de conformité.
  • J’ai hâte faire part de mon point de vue aux parlementaires lorsque le projet de loi C-65 sera étudié en détail au comité.

Contexte

  • Éléments de la loi relatifs à la protection de la vie privée : Le projet de loi C-65 ajoute de nouveaux éléments aux politiques sur la protection de la vie privée que les partis politiques doivent élaborer dans le cadre de leur inscription auprès d’Élections Canada (au titre de la Loi électorale du Canada), notamment :
    • un parti enregistré ou admissible et les personnes agissant au nom du parti doivent se conformer à la politique du parti en matière de protection des renseignements personnels;
    • le non-respect de la politique de confidentialité d’une partie est considéré comme une atteinte;
    • les parties doivent aviser les personnes concernées, en cas d’atteinte à la vie privée, lorsqu’il existe un risque réel de préjudice grave.
  • Comparutions antérieures : lorsque vous avez comparu sur cette question en mai 2023 devant le Comité sénatorial des affaires juridiques et constitutionnelles (sur le projet de loi C-47), vous avez fait remarquer que :
    • malgré les modifications apportées par le projet de loi C-47, les partis politiques n’étaient assujettis à aucune exigence minimale en matière de protection de la vie privée pour régir le traitement des renseignements personnels;
    • les parties devraient respecter les principes de protection de la vie privée reconnus à l’échelle internationale, notamment le recours à un tiers indépendant ayant le pouvoir de vérifier que les principes sont respectés et, si ce n’est pas le cas, de les faire respecter, et de fournir des recours;
    • le projet de loi C-47 autorise plutôt les partis et leurs affiliés à recueillir, utiliser, conserver, communiquer et éliminer des renseignements personnels conformément à leurs propres politiques.

Préparé par : Politiques, recherche et affaires parlementaires

Projet de loi C-63 (Loi sur les préjudices en ligne)

Principaux messages

  • Le gouvernement a déposé le projet de loi C-63, Loi sur les préjudices en ligne, dont l’objectif déclaré est de responsabiliser les services de médias sociaux pour qu’ils s’attaquent au contenu préjudiciable sur leurs plateformes et créent un espace en ligne sécuritaire qui protège tout le monde au Canada, en particulier les enfants.
  • Nous avons fait de la défense du droit à la vie privée des enfants une priorité stratégique du Commissariat, car les enfants doivent pouvoir naviguer en ligne en toute sécurité. Cette priorité recoupe certains éléments du projet de loi C-63 relatifs à la conception de services réglementés adaptés à l’âge des utilisateurs.
  • Le projet de loi C-63 traite également des images intimes communiquées sans consentement, ce qui présente un intérêt pour le Commissariat compte tenu des conclusions que nous avons tirées de l’enquête sur l’affaire Aylo.
    • Dans ce rapport, je recommandais qu’Aylo obtienne le consentement exprès de chaque personne apparaissant dans des images et des vidéos intimes avant que le contenu puisse être téléversé sur ses sites.
  • Je me réjouis de discuter des implications du projet de loi C-63 en matière de protection de la vie privée si je suis appelé à commenter le projet de loi devant le Parlement.

Contexte

  • Le projet de loi C-63 prévoit l’obligation de protéger les enfants. Dans le cadre de cette obligation, l’article 65 stipule que « L’exploitant intègre au service réglementé qu’il exploite toute caractéristique de conception relative à la protection des enfants prévue par règlement, telles que des caractéristiques de conception adaptées à l’âge. » L’alinéa 140(1)o) précise que les réglementations relatives aux caractéristiques de conception peuvent inclure des paramètres de confidentialité pour les enfants.
  • Le projet de loi C-63 établit également une obligation de rendre certains contenus inaccessibles. L’exploitant d’un service réglementé, qu’il s’agisse de contenu signalé par le service lui-même ou par un utilisateur, doit retirer le contenu pour lequel il a des motifs raisonnables de soupçonner qu’il s’agit de contenu représentant de la victimisation sexuelle d’enfants ou perpétuant la victimisation de survivants ou de contenu intime communiqué de façon non consensuelle, dans les 24 heures après l’identification du contenu par l’exploitant (article 67). Le contenu doit rester hors ligne jusqu’à ce que l’exploitant d’un service réglementé ait décidé si le contenu doit rester inaccessible.

Préparé par : Politiques, recherche et affaires parlementaires

Projet de loi S-210 (Loi sur la protection des jeunes contre l’exposition à la pornographie)

Notes d’allocution

  • Le projet de loi S-210 considère comme une infraction le fait de rendre accessible en ligne du matériel sexuellement explicite aux jeunes. L’un des principaux moyens de défense pour éviter qu’une telle situation ne se produise serait qu’une organisation mette en œuvre un système prescrit de vérification de l’âge.
  • Le projet de loi ne prévoit pas de rôle de surveillance pour le Commissariat. Toutefois, comme je l’ai fait remarquer lorsque j’ai comparu devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes, le Commissariat aimerait avoir l’occasion de fournir des conseils sur la réglementation relative à la protection de la vie privée et des renseignements personnels, notamment en ce qui concerne les méthodes prescrites de contrôle de l’âge.
  • Le recours obligatoire au contrôle de l’âge pourrait avoir diverses répercussions sur la vie privée. Il se peut aussi que le Commissariat doive affecter des ressources supplémentaires pour des examens proactifs ou réactifs de différentes technologies de contrôle de l’âge.

Contexte

  • La vérification de l’âge – ou le terme plus vaste « contrôle de l’âge » – est la détermination de l’âge d’un internaute au moyen d’une des nombreuses méthodes possibles, comme l’examen d’un document d’identité ou l’estimation de l’âge fondée sur l’analyse d’une image du visage de l’internaute. Quelle que soit la méthode utilisée, le contrôle de l’âge a des répercussions sur la vie privée des adultes et des jeunes.
  • L’article 7 du projet de loi S-210 prévoit que le gouverneur en conseil peut désigner un organisme ou un service de l’administration fédérale à titre d’agent de l’autorité. Certaines parties prenantes ont demandé si le Commissariat devait être l’organisme d’application de la loi, notamment lors de la comparution du Commissaire devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes.
  • Les répercussions potentielles du contrôle de l’âge sur la vie privée comprennent le suivi de l’utilisation d’Internet et la communication de renseignements permettant l’identification (p. ex. lors d’une atteinte).

Préparé par : Politiques, recherche et affaires parlementaires

Projet de loi S-231 (Loi favorisant l’identification de criminels par l’ADN)

Notes d’allocution

  • En novembre 2023, le Comité sénatorial permanent des affaires juridiques et constitutionnelles a invité le Commissariat à comparaître au sujet du projet de loi S-231.
  • Les fonctionnaires du Commissariat ont fait remarquer à l’époque que le projet de loi élargissait considérablement la portée de la collecte de données génétiques à des fins judiciaires et élargissait l’utilisation de la Banque nationale de données génétiques pour inclure la recherche de liens de parenté.
  • Nous avons recommandé de ne pas apporter ce changement et, après avoir entendu les témoignages de témoins et d’experts, le Comité a retiré du projet de loi les dispositions sur la recherche de liens de parenté.

Contexte

  • Le projet de loi S-231 est parrainé par le sénateur Claude Carignan, président du Comité sénatorial des finances nationales.
  • Portée accrue : Dans sa forme initiale, le projet de loi S-231 pourrait soumettre toute personne à un examen par les forces de l’ordre parce qu’elle a un parent biologique dont le profil génétique se trouve dans la Banque nationale de données génétiques et qu’une correspondance partielle a été établie avec le profil d’un proche. Le projet de loi S-231 exige également le prélèvement d’échantillons d’ADN pour des personnes qui ont commis des infractions non violentes ou particulièrement graves (p. ex. parjure, diffamation ou méfait). Le projet de loi a maintenant été renvoyé à la Chambre pour une étude plus approfondie en comité.
  • Techniques de recherche de liens de parenté : La recherche de liens de parenté fait référence à la recherche délibérée dans une base de données générique pour identifier des parents biologiques (p. ex. parent, enfant, frère ou sœur) dont le profil génétique judiciaire est inconnu. Ce profil est obtenu à partir de preuves recueillies sur les lieux d’un crime, en fonction de correspondances génétiques partielles. La technique soulève des préoccupations au sujet des attentes raisonnables en matière de vie privée des membres de la famille concernés ainsi que de l’exacerbation du racisme systémique dans le système de justice pénale. Les membres du Comité sénatorial permanent des affaires juridiques et constitutionnelles qui ont voté en faveur que ces dispositions soient supprimées du projet de loi à l’étape de l’étude en comité ont cité des témoignages à ce sujet.
  • Participation du Commissariat à la Banque nationale de données génétiques : Le Commissariat, conformément au règlement d’application de la Loi sur l’identification par les empreintes génétiques, a joué un rôle au sein du Comité consultatif de la Banque nationale de données génétiques depuis 2000; il a donné des conseils en matière de protection de la vie privée sur l’utilisation par les forces de l’ordre de données biométriques comme l’ADN. Nous avons également examiné la situation et fourni des conseils liés à la Banque nationale de données génétiques dans le cadre de notre rôle de conseil au sein du gouvernement, notamment en examinant les évaluations des facteurs relatifs à la vie privée et en consultant la Gendarmerie royale du Canada.

Préparé par : Politiques, recherche et affaires parlementaires

Date de modification :