Renseignements sur les atteintes à la vie privée et sur la manière d'y répondre

Qu’est-ce qu’une atteinte à la vie privée?

Une atteinte à la vie privée suppose l’accès non autorisé à des renseignements personnels ou la collecte, l'utilisation ou la communication non autorisée de tels renseignements. Ces activités sont « non autorisées » lorsqu’elles contreviennent aux lois applicables en matière de protection des renseignements personnels, telles que la LPRPDE, ou aux lois provinciales similaires en matière de protection des renseignements personnels. Certains des cas les plus courants d'atteinte à la vie privée surviennent lorsque des renseignements personnels de clients, de patients ou d’employés, sont volés, perdus ou communiqués par erreur (p. ex., lorsqu’un ordinateur renfermant des renseignements personnels est volé ou que des renseignements personnels sont accidentellement transmis par courriel aux mauvaises personnes). Une atteinte à la vie privée peut également découler d’une erreur de procédure ou d’une défaillance opérationnelle.

Comment nous pouvons aider

Malheureusement, les atteintes à la vie privée sont de plus en plus courantes. Ces dernières années, des centaines de milliers de Canadiennes et de Canadiens ont été touchés par des atteintes à la vie privée. Et les conséquences pour les personnes touchées peuvent être importantes.

Au Canada, la notification des atteintes à la vie privée est facultative, et les organisations doivent évaluer la situation et décider elles-mêmes d’une réponse appropriée. Toutefois, les organisations communiquent souvent avec le CPVP pour obtenir des conseils ou signaler une atteinte, et nous avons mis au point certains outils pour les aider.

Que fait le CPVP lorsque survient une atteinte à la vie privée?

Lorsque le CPVP apprend l’existence d’une atteinte à la vie privée (dans les rapports annuels précédents, on les nommait « incidents »), que ce soit par l’entremise de l’organisation elle-même ou par une autre source, nous ouvrons un dossier d’ « incident ». Règle générale, nous surveillons de tels incidents; il ne s’agit pas d’un processus aussi profond qu’une enquête. En fait, nous voulons savoir ce qui s’est passé, quelles mesures sont prises pour remédier à la situation, quelles mesures ont été prises pour éviter une répétition du problème, et si les personnes concernées ont été avisées de l’atteinte ou si une telle notification est envisagée. Nous pouvons aussi faire des suggestions à l’organisation. Le directeur général, LPRPDE, envoie une lettre à l’organisation lorsque le dossier d’incident est fermé. Nous ne rendons pas de conclusions.    

Il arrive qu’un dossier d’incident soit transformé en enquête sur une plainte. C’est le cas lorsque le CPVP reçoit une plainte. À l’occasion, le commissaire peut prendre l’initiative d’une plainte. Cette situation ne se produit qu’en des circonstances exceptionnelles lorsque, par exemple, l’atteinte est très sérieuse, qu’elle semble être systémique ou que l’organisation ne semble pas y réagir de façon adéquate.

Il est arrivé par le passé que le Commissariat reçoive de nombreuses plaintes au sujet d’un problème et décide de prendre l’initiative d’une plainte (plutôt que d’ouvrir plusieurs enquêtes). Par contre, les plaignants doivent être en accord avec cette façon de faire, puisqu’ils abandonnent ainsi leurs droits de recours auprès de la Cour fédérale.

Réforme législative

Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a effectué le premier examen quinquennal obligatoire de la LPRPDE à la fin de 2006. L’une des préoccupations exprimées par les membres du Comité ainsi que par plusieurs témoins qui ont comparu devant le Comité avait trait à la réaction appropriée des organisations en cas d'atteinte à la vie privée. Les cas très médiatisés d’atteintes aux renseignements personnels survenus à la fin de 2006 ont souligné la gravité de cette question.

Le commissaire à la protection de la vie privée du Canada a demandé au Comité de recommander que la LPRPDE soit modifiée de façon à inclure une disposition sur les notifications d'atteinte à la vie privée. Dans son rapport, le Comité a reconnu l’importance de cette question et a recommandé une approche différente ^{Note de bas de page 1}.