Responsabilité du gouvernement en matière de renseignements personnels
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Réforme de la Loi sur la protection des renseignements personnels
Juin 2006
Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (ON)
K1A 1H3
Tél. (613) 947-1698, 1 800 282-1376
Télécopieur (613) 947-6850
AST (613) 992-9190
La présente publication est également disponible sur notre site Web, à l’adresse www.priv.gc.ca.
RÉSUMÉ
La Loi sur la protection des renseignements personnels est une loi de première génération qui n’a fait l’objet d’aucune modification majeure depuis son adoption en 1982.
En septembre dernier, le commissaire à l’information du Canada a soumis des propositions relatives à une mise à jour de la Loi sur l’accès à l’information : application plus étendue, transparence et reddition de comptes accrues du gouvernement à l’égard de ses fonds de renseignements et mandat plus large en matière de recherche et de sensibilisation du grand public. Ces propositions ont tout autant de valeur pour le Commissariat à la protection de la vie privée du Canada (CPVP).
Les défis qui surgissent aujourd'hui par rapport à la protection des renseignements personnels dans un gouvernement moderne sont exacerbés par la mondialisation accrue et les préoccupations grandissantes en matière de sécurité nationale. À ces dernières s’ajoutent les attentes de plus en plus élevées de la population à l’égard du respect du gouvernement fédéral du droit fondamental qu’est la protection de la vie privée. Le gouvernement fédéral n’est pas le seul à être confronté à ces défis – pas plus que ne l’est la fédération canadienne. Ces enjeux sont le lot de plusieurs juridictions et défient même les notions de frontières nationales et l’exercice de la souveraineté.
Certains observateurs ont constaté que le gouvernement fédéral impose au secteur privé des normes beaucoup plus élevées qu’il ne le fait pour ses propres activités de collecte, d’utilisation et de communication de renseignements personnels. Cette situation est problématique, particulièrement lorsque l'on sait que le gouvernement canadien a obtenu des pouvoirs extraordinaires notamment dans le domaine de la sécurité nationale en matière de protection de la vie privée des citoyens par le biais d’une série de mesures législatives et de changements dans l’appareil gouvernemental.
Les Canadiennes et les Canadiens, les dirigeants élus et non élus, ainsi que des groupes de la société civile représentant les intérêts sociétaux généraux, devraient participer à une discussion approfondie, réfléchie et sensée sur la réforme de la Loi sur la protection des renseignements personnels.
Pour être efficace, une politique ne peut pas être élaborée dans un contexte de vide juridique. La faiblesse des lois actuelles a créé un tel vide juridique. Aussi, la Loi sur la protection des renseignements personnels devra-t-elle être modifiée pour combler cette lacune. Le cadre de gestion de la protection de la vie privée fait partie intégrante de toute pratique de gestion et de protection saine de l’information, mais ses impératifs ne sont pas enchâssés dans la loi.
Les initiatives liées aux nouvelles technologies, comme le gouvernement en ligne, ont une incidence sur la protection des renseignements personnels, parce que les limites de cette structure de données s’estompent. Si nous voulons créer des bases de données globales ou fusionner des bases de données existantes renfermant des renseignements personnels, il faut intégrer la protection et la sécurité de ces renseignements à l’étape de la conception des nouvelles technologies et des nouveaux systèmes.
L’obligation de rendre compte à laquelle les institutions gouvernementales doivent se conformer devrait être renforcée pour répondre aux exigences en matière de transparence.
Les comités parlementaires devraient recevoir l’appui nécessaire pour examiner les pratiques du gouvernement fédéral relativement aux renseignements personnels.
Il est devenu urgent de moderniser la Loi sur la protection des renseignements personnels afin de traiter la question de la circulation transfrontalière des données. La Loi devrait renfermer un libellé précis afin d’indiquer les responsabilités des personnes qui transfèrent des renseignements personnels à l’extérieur de la fonction publique fédérale, vers d’autres juridictions. Elle devrait aussi traiter de la question de l’efficacité des mesures de protection dans ces autres juridictions.
La Loi ne prévoit pas de normes sévères en matière de communication des renseignements personnels. La plupart des lois sur la protection des données interdisent la communication de renseignements détenus par le gouvernement à un État étranger sauf dans des circonstances très précises. Cette norme devrait prévaloir au Canada. La Loi devrait indiquer clairement les exigences à inclure dans tout accord, ainsi que les exigences en matière de reddition de comptes et d’établissement de rapports relativement à ces accords.
En outre, la Loi sur la protection des renseignements personnels devrait à tout le moins indiquer clairement qu'une institution gouvernementale qui recourt à l'impartition demeure responsable des renseignements personnels, et que ces derniers sont considérés être sous le contrôle de cette institution.
La Commission européenne a publié il y a plusieurs années des directives sur les contrats et s’attend à ce que ces directives soient respectées. À présent, les multinationales, inspirées par la Sarbanes-Oxley Act aux États-Unis, adoptent des pratiques de vérification de plus en plus rigoureuses. Le gouvernement du Canada doit lui aussi se conformer à ces normes. Avec la publication de lignes directrices par le Secrétariat du Conseil du Trésor en 2005, il vient tout juste d’entreprendre ce processus.
La Loi sur la protection des renseignements personnels énonce les droits fondamentaux des Canadiennes et des Canadiens dans leurs rapports avec le gouvernement fédéral. La Cour suprême du Canada a reconnu à maintes reprises que les intérêts en matière de vie privée justifient une protection en vertu de la Charte; elle a déclaré que la Loi avait un statut quasi constitutionnel. L’importance des droits fondamentaux est d'autant plus grande dans le contexte des nouveaux pouvoirs conférés à l’État par la Loi antiterroriste. Il est inconcevable que, de nos jours, les droits protégés en vertu de la Loi sur la protection des renseignements personnels soient subordonnés à d’autres dispositions législatives.
La Loi sur la protection des renseignements personnels devrait également comporter des dispositions visant à assurer une transparence, une responsabilité et une surveillance accrues des activités des organismes chargés de la sécurité nationale, notamment en prévoyant des exigences de rapports au Parlement plus strictes.
La commissaire à la protection de la vie privée a un rôle d’ombudsman, mais aucun pouvoir de rendre des ordonnances. Les limites de la Loi sur la protection des renseignements personnels ont souvent nuit à notre capacité de jouer pleinement notre rôle d’ombudsman. La question du pouvoir de rendre des ordonnances devra faire l’objet d’un examen minutieux dans le contexte de la réforme de la Loi sur la protection des renseignements personnels. La Loi devrait accorder expressément à la commissaire à la protection de la vie privée le pouvoir d’entreprendre un processus de médiation et de conciliation, comme le fait déjà la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Bien que la fonction principale du CPVP en vertu de la Loi sur la protection des renseignements personnels et la LPRPDE est de mener des enquêtes et des vérifications, le CPVP a également le mandat de faire progresser le droit à la protection de la vie privée par d’autres moyens – par la recherche, la communication et la sensibilisation du grand public.
Il est nécessaire d'élargir la portée de la Loi sur la protection des renseignements personnels de plusieurs façons :
- Au cours des années, le gouvernement a mis sur pieds plusieurs entités qui ne sont pas assujetties à la Loi sur la protection des renseignements personnels ni à la LPRPDE. Comme la Loi sur la protection des renseignements personnels a un statut de loi quasi constitutionnel, toute entité qui utilise des fonds publics devrait y être assujettie à moins d’en être spécifiquement exclue par le Parlement.
- La définition de « renseignements personnels » devrait être élargie de manière à inclure tous les renseignements sur une personne identifiable, que ces renseignements soient ou non enregistrés.
- La Cour fédérale devrait pouvoir examiner non seulement les refus d’accès à des renseignements personnels détenus par le gouvernement, mais aussi les plaintes portant sur la collecte, l’utilisation ou la communication inappropriée de renseignements personnels. La Cour fédérale devrait également avoir le pouvoir d’évaluer les dommages-intérêts contre les institutions responsables.
- Le droit d’accès, de correction et d’annotation relatif à des renseignements personnels détenus par le gouvernement devrait être étendu à toute personne, incluant les personnes se trouvant à l’extérieur du territoire canadien.
L’élaboration d’un cadre efficace de gestion de la protection de la vie privée qui réglementerait la collecte, l’utilisation et la communication de renseignements personnels fait partie depuis longtemps des préoccupations du CPVP. Les lacunes de la Loi sur la protection des renseignements personnels sont très évidentes comparativement aux pratiques équitables en matière de traitement des renseignements retrouvés dans la LPRPDE.
- Les institutions gouvernementales devraient recueillir seulement les renseignements personnels qui sont raisonnables et nécessaires à une fin particulière. Elles devraient préciser l’autorité selon laquelle les renseignements sont recueillis, l’utilisation qui en sera faite, s’ils seront échangés et avec qui ils le seront, les conséquences du refus de fournir les renseignements et le droit de déposer une plainte.
- Les renseignements recueillis peuvent être utilisés seulement aux fins pour lesquelles ils ont été recueillis ou pour un usage compatible avec ces fins. Une vérification du critère du « lien raisonnable et direct » devrait être effectuée dans le cas d’un usage compatible.
- La Loi ne traite pas adéquatement des obligations d’une institution gouvernementale qui communique des renseignements personnels sans le consentement de la personne concernée par ces renseignements. Dans la mesure du possible, l’institution devrait avoir l’obligation d’informer la personne de la communication de ces renseignements.
- Un examen détaillé des dispositions permettant la communication de renseignements sans le consentement de la personne concernée par ces renseignements devrait être effectué en vue de renforcer et de préciser le libellé de ces dispositions.
Le couplage de données est depuis longtemps une préoccupation du CPVP. Beaucoup croient que l’établissement de liens ou le regroupement de renseignements personnels constitue l’une des plus grandes menaces à la protection de la vie privée auxquelles nous sommes confrontés de nos jours. Bien que le Secrétariat du Conseil du Trésor ait mis en œuvre une politique sur le couplage de données en 1989, un grand nombre de gestionnaires de programme en ignoraient l’existence lorsqu'ils ont été questionnés à ce sujet en 2004. La loi doit clairement indiquer les principes qui gouvernent le couplage de données et les responsabilités des parties intéressées.
Le cadre qui devrait s'appliquer en vertu de la Loi sur la protection des renseignements personnels pour accorder à une personne le droit d’avoir accès aux renseignements la concernant devrait viser à maximiser la transparence du gouvernement tout en répondant aux besoins légitimes en matière de sécurité nationale et de protection du secret et garantir une responsabilité maximale du gouvernement envers le Parlement et la population canadienne.
La commissaire à la protection de la vie privée, tout comme le responsable d’institution fédérale sur la recommandation de la commissaire, devrait avoir la possibilité de rejeter toute demande qui est futile, vexatoire ou entachée de mauvaise foi.
La Loi sur la protection des renseignements personnels devrait prévoir comme le fait la Loi sur l’accès à l’information des sanctions pour la destruction, la modification, la falsification ou la dissimulation de documents.
L’expression « renseignements personnels auxquels le public a accès » devrait être définie dans la Loi sur la protection des renseignements personnels comme elle l’a été dans la LPRPDE. Les renseignements personnels figurant dans les registres gouvernementaux devraient uniquement être communiqués de manière et à des fins compatibles avec les fins spécifiques pour lesquelles les registres sont tenus.
La nécessité de réformer la Loi sur la protection des renseignements personnels se fait de plus en plus pressante au fil des ans.
Il nous faut une loi adaptée aux complexités de la gouvernance contemporaine, une loi qui comporte une structure efficace de réduction des risques que posent les nouvelles technologies à la protection des renseignements personnels, qui favorise la responsabilité à l’égard du public, et qui permette au Parlement d’assumer pleinement son rôle de gardien des valeurs fondamentales du Canada, y compris notre droit à la protection de leur vie privée.
INTRODUCTION
Le 20 octobre 2005, lorsque la commissaire à la protection de la vie privée a comparu devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnel et de l’éthique pour présenter les rapports annuels du Commissariat, le Comité l’a invitée à soumettre des propositions de réforme de la Loi sur la protection des renseignements personnels. En réponse à cette requête, la commissaire à la protection de la vie privée est fière de remettre le présent document, qui renferme des commentaires sur les facteurs justifiant la nécessité d’une réforme de la Loi sur la protection des renseignements personnels, ainsi que des propositions et des recommandations générales de changements à apporter à la Loi. Le but de ce document est de présenter les grandes lignes du fondement des politiques et de l'orientation stratégique qui constituent la pierre angulaire d’une réforme essentielle – et très attendue – de la Loi sur la protection des renseignements personnels.
La Loi sur la protection des renseignements personnelsNote de bas de page 1 est une loi de première génération qui n’a fait l’objet d’aucune modification majeure depuis son adoption en 1982. Le contexte de la protection de la vie privée a changé de façon draconienne au cours des deux dernières décennies, mais la Loi n’a pas été modifiée en conséquence. Dans plusieurs pays, il existe un écart important entre l’appareil législatif et les défis que pose actuellement la gestion de la protection de la vie privée autant pour les organisations du secteur privé que pour les organismes du secteur public. Lorsqu'il devient trop important, ce décalage nuit à une gouvernance efficace et entraîne des risques importants pour l’État, la société civile et l’économie. À certains égards, le gouvernement fédéral a atteint ce niveau avec la Loi sur la protection des renseignements personnels.
De rapides changements technologiques sont survenus dans toutes les sphères du gouvernement et dans les activités qu’il régit. Les gouvernements et bon nombre d’organisations conçoivent actuellement de multiples systèmes élaborés en vue de recueillir, de compiler et d’échanger des renseignements. Nos habitudes de consommation sont enregistrées, tout comme notre utilisation des programmes et avantages gouvernementaux, nos habitudes de voyage, etc. Pratiquement tous les aspects de notre vie de citoyens, d’étudiants, de travailleurs, de chefs de famille, de contribuables et de consommateurs sont surveillés d’une façon ou d’une autre. Les réalités de l’informatique ubiquiste et les phénomènes connexes comme l’omniprésence des caméras vidéo de surveillance réduisent notre espace privé et favorisent encore plus la collecte de renseignements personnels pour toute une gamme d’utilisations, dont certaines sont légitimes, d’autres non. Alors que certaines de ces intrusions sont favorables à notre ethos démocratique et au renforcement de nos institutions, d’autres le sont beaucoup moins.
Les défis qui surgissent aujourd'hui par rapport à la protection des renseignements personnels dans un gouvernement moderne sont exacerbés par la mondialisation accrue et les préoccupations grandissantes en matière de sécurité nationale. À ces dernières s’ajoutent les attentes de plus en plus élevées de la population à l’égard du respect du gouvernement fédéral de son droit fondamental à la protection de la vie privée. Les préoccupations du grand public sur ces questions sont exposées en détail dans les sondages effectués par des spécialistes des sondages privésNote de bas de page 2. Le gouvernement fédéral n’est pas le seul à être confronté à ces défis – pas plus que ne l’est la fédération canadienne. Ces enjeux sont le lot de beaucoup de juridictions et défient même les notions de frontières nationales et l’exercice de la souveraineté.
Depuis sa nomination, la commissaire à la protection de la vie privée a demandé au ministre de la Justice, par écrit et en personne, d’entamer la réforme essentielle – et très attendue – de la Loi sur la protection des renseignements personnels. Le présent document traite des questions examinées avec le ministre de la Justice.
Nous avons examiné les propositions relatives à la mise à jour de la Loi sur l’accès à l’information présentées par le commissaire à l’information lors de sa comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique le 29 septembre 2005. Ces propositions concernaient une application plus étendue, une transparence et une reddition de comptes accrues du gouvernement à l’égard de ses fonds de renseignements et un mandat plus large en matière de recherche et de sensibilisation du grand public. Ces propositions auraient tout autant de valeur pour le Commissariat à la protection de la vie privée.
Les propositions dans le présent document sont fondées également sur les recommandations de l’honorable Gérard V. La Forest dans son rapport du 15 novembre 2005 sur l'évaluation d'une possible fusion des commissariats à l’information et à la protection de la vie privéeNote de bas de page 3.
Depuis l’entrée en vigueur de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)Note de bas de page 4 en 2001, la pression augmente sans cesse pour que le gouvernement garantisse une protection similaire des renseignements personnels autant dans le secteur public que dans le secteur privé. Bon nombre des propositions faites ici sont inspirées des normes très élevées qui sont prévues dans la LPRPDE. En fait, certains observateurs ont noté que le gouvernement fédéral impose au secteur privé des normes beaucoup plus élevées qu’il ne le fait pour ses propres activités de collecte, d’utilisation et de communication de renseignements personnels. Cette situation est problématique, particulièrement lorsqu'on sait que le gouvernement canadien a obtenu des pouvoirs extraordinaires en matière de protection des renseignements personnels des citoyens par le biais d’une série de mesures législativesNote de bas de page 5 et de changements dans l’appareil gouvernemental (création de Sécurité publique et Protection civile Canada, de Ressources humaines et Développement des compétences Canada, de Développement social Canada et de Service Canada, changements à la législation habilitante de l’Agence des services frontaliers du Canada, etc.). Comme le CPVP l’a soutenu à plusieurs reprises, ces changements dans les pouvoirs et les structures du gouvernement n’ont pas toujours été accueillis par un effort comparable pour renforcer la surveillance et le contrôle des activités du gouvernement. En d’autres mots, il y a une scission entre les infrastructures de surveillance mises en place (dont beaucoup d’aspects sont encore en élaboration, par exemple, le concept de « l’accès légal »Note de bas de page 6) et l’architecture de surveillance et de gouvernance nécessaires pour empêcher d’autres atteintes au droit à la vie privée et à la protection des renseignements personnels des citoyens et résidents du Canada.
En raison de ses lacunes, la Loi sur la protection des renseignements personnels ne comporte aucune mesure de prévention contre l’utilisation abusive ou la mauvaise gestion des renseignements personnels par les gestionnaires et les employés de l’État ou par des « parties » intéressées de l’extérieur. La Loi ne peut pas réduire efficacement les risques inhérents aux vastes et complexes systèmes conçus et mis en place pour recueillir, traiter, regrouper et échanger des renseignements personnels concernant des Canadiennes et des Canadiens, des résidents et des voyageurs au Canada. Contrairement aux activités du secteur privé, les citoyens et les visiteurs ne peuvent pas toujours s’exclure de l’application de plusieurs programmes et services du gouvernement fédéral. En raison du rôle unique du gouvernement et du contrôle qu’il exerce sur la prestation d’une vaste gamme de programmes et de services, sur lesquels des millions de personnes se fient sans avoir d’autre choix, le gouvernement entretient une relation de confiance particulière avec les citoyens et les visiteurs. Il a aussi une responsabilité de fiduciaire et de gardien relativement aux volumineux fonds de renseignements qu’il détient sur nous comme citoyens. Compte tenu de cette relation de confiance, il devient indispensable qu’un solide cadre législatif soit conçu et mis en œuvre pour réglementer la collecte, l’utilisation et la communication de renseignements personnels. Ce n’est pas ce qui prévaut actuellement.
Le Canada est généralement considéré comme un chef de file dans le domaine de la protection de la vie privée. La communauté internationale a salué l’adoption de la LPRPDE et elle voit là une mesure législative novatrice. Les institutions uniques que le Canada a engendrées (les commissariats et les bureaux de l’ombudsman), avec des mandats axés sur la médiation, la conciliation et la solution pragmatique aux problèmes, ainsi que la collaboration avec les industries et les gouvernements, ont été considérées par beaucoup comme un modèle efficace, à mi-chemin entre la philosophie du laisser-aller de certains pays et l’approche hautement directive et coercitive d’autres États. Le leadership du Canada est à risque si le gouvernement fédéral maintient le statu quo. Il est possible que des citoyens contrariés, incapables d’obtenir des recours en vertu de la Loi sur la protection des renseignements personnels, à l’exception des cas d’atteinte au plus élémentaire des droits, soit suite à un refus d’avoir accès aux renseignements personnels les concernant, entreprennent des démarches en vertu de la LPRPDE chaque fois que le gouvernement du Canada impartit des services au secteur privé, parce qu’ils savent que le secteur privé doit satisfaire à des normes plus élevées que ne doit le faire le gouvernement fédéralNote de bas de page 7.
PARTIE I — Hypothèses préliminaires pour nos propositions de réforme du CPVP
A. Consultations générales requises pour guider la politique en matière de protection de la vie privée
En raison de l’importance capitale de la Loi sur la protection des renseignements personnels pour déterminer la relation « informationnelle » entre le Canada et ses citoyens, ainsi que le statut quasi constitutionnel de cette loi, le CPVP estime que le gouvernement fédéral et le Parlement canadien devraient faire participer des Canadiennes et des Canadiens, des dirigeants élus et non élus ainsi que des groupes de la société civile représentant les intérêts sociétaux généraux à une discussion approfondie sur la réforme de la Loi sur la protection des renseignements personnels. Un tel examen a eu lieu en 1987, mais les recommandations formulées dans le rapport intitulé Une question à deux voletsNote de bas de page 8 et dans le témoignage entendu par le Comité permanent de la Justice n’ont jamais été adoptées.
Le CPVP a à maintes reprises mis l’accent sur la nécessité d’un débat public réfléchi sur les lois en matière de protection de la vie privée, que celles-ci s’appliquent aux activités gouvernementales ou à des activités du secteur privé. Les discussions sur la protection de la vie privée ont été sporadiques et ciblées depuis l’examen de 1987; elles ont consisté en des consultations très limitées sur les enjeux concernant le commerce électronique avant l’adoption de la LPRPDE et la seule audience devant un comité du Sénat sur la proposition de charte du droit à la vie privée tenues sous la présidence de la sénatrice Sheila Finestone en 1995-1996Note de bas de page 9. Aucune consultation publique soutenue n’a été menée, même si des changements drastiques sont actuellement apportés à la façon dont les citoyens et leur identité numérisée sont traités par le gouvernement en ligne, par l’appropriation, à des fins diverses, de données provenant des dossiers électroniques de santé, et par les nouvelles mesures de surveillance de la population à des fins de santé et de sécurité publique. Les citoyens doivent savoir quelles informations sont détenues à leur endroit, mais le gouvernement fédéral n’aborde pas cette réalité. Au CPVP, comme nous traitons quotidiennement avec les citoyens, nous pouvons confirmer que très peu de gens comprennent réellement qu'ils vivent dans un monde comparable à une vaste mer de renseignements. Cette situation va à l'encontre d’une démocratie; il incombe au gouvernement fédéral de sensibiliser le grand public à ces enjeux et de favoriser des débats publics constructifs en vue de trouver des solutions.
Ces enjeux n’ont pas encore fait l’objet de débats publics. Quel genre de régime de gestion de la vie privée les Canadiennes et les Canadiens veulent-ils réellement? Quelle protection de leurs renseignements personnels attendent-ils de leur gouvernement national? Quel rôle le Parlement doit-il jouer pour s’assurer que les ministères et les organismes respectent les principes des lois en matière de protection des renseignements personnels? Quelles sont les menaces actuelles relatives au droit à la vie privée des citoyens canadiens et des résidents que renferment les nouvelles lois ou nouveaux systèmes visant à scruter davantage leur quotidien, sans les informer des conséquences envahissantes ou en les privant pratiquement d’avoir recours aux mesures correctives? Voilà des questions fondamentales qui façonnent notre avenir dans tous les aspects de notre vie de citoyen. Ces questions vont aussi façonner notre souveraineté nationale et notre identité collective.
B. La Loi sur la protection des renseignements personnels doit prévoir des mesures incitatives satisfaisantes
Pour favoriser le débat sur ces questions, le CPVP a consacré deux chapitres entiers de son rapport annuel 2004-2005 à la nécessité d’une réforme de la Loi sur la protection des renseignements personnels et à la nécessité d’élaborer un cadre de gestion de la protection de la vie privée pour le gouvernement fédéral. La réforme de la Loi et la gestion de la protection de la vie privée sont complémentaires; elles doivent progresser au même rythme. Les orientations que nous proposons pour la réforme de la Loi sur la protection des renseignements personnels et pour la gestion de la protection de la vie privée se renforcent mutuellement. Dans une large mesure, nous considérons que la réforme de la Loi doit offrir un cadre détaillé et solide qui incite fortement l’ensemble des institutions fédérales à prendre les mesures suivantes :
- établir des normes strictes et testées empiriquement pour l’élaboration de procédures et de systèmes qui vont réduire au minimum l’accès non autorisé aux données et protéger les renseignements personnels contre la mauvaise gestion et l’utilisation abusive par des employés du gouvernement;
- élaborer des indicateurs de rendement afin de soumettre des rapports sur l’efficacité de ces systèmes aux autorités exécutives et législatives du gouvernement et pour garantir que la population canadienne soit adéquatement informée de ces mesures et de leur incidence sur la protection des renseignements personnels;
- favoriser le partage et la mise en œuvre de pratiques exemplaires de gestion de la protection des renseignements personnels dans l’ensemble du gouvernement fédéral et promouvoir l’exercice de l’orientation de la gestion, l’autocorrection, la prévention et la gestion du risque;
- définir des paramètres de traitement généraux (comme la tenue d’évaluation des facteurs relatifs à la vie privée et des évaluations de la menace et des risques) afin de garantir que des mécanismes de contrôle et de suivi adéquats (y compris le recours à la vérification interne et à la surveillance de la gestion) sont en place pour réduire au minimum les risques d’atteinte à la vie privée qu’entraînerait la création de vastes systèmes interexploitables utilisés par plusieurs juridictions et organisations;
- promouvoir la codification des pratiques des professionnels de la protection de la vie privée qui contribuent à l’élaboration de ces systèmes et procédures au moyen d’un processus de certification et d’accréditation soigneusement élaboré et authentifié, ainsi que par l’établissement de codes d’éthique dont les professionnels œuvrant dans le domaine de la gestion de la protection de la vie privée ont besoin dans leur pratique;
- favoriser un processus d’apprentissage continu dans le domaine de la gestion de la protection de la vie privée à l’échelle du gouvernement fédéral par l’acquisition de compétences en gestion des renseignements personnels dans les différentes sphères du secteur public (les ressources humaines, les services juridiques, la gestion financière, les subventions et les contributions, et tout autre type de transferts de fonds, de gestion des paiements, etc.) où sont traités des renseignements de nature très délicate. En d’autres mots, la Loi sur la protection des renseignements personnels devrait comporter des principes normatifs qui guideraient l’élaboration d’un programme de base pour les gestionnaires et le personnel de l’AIPRP, les spécialistes des ÉFVP, etc. Actuellement, la Loi n’énonce pas de tels principes.
Pour être efficace, une politique ne peut pas être élaborée dans un contexte de vide juridique. La faiblesse des lois actuelles a créé un tel vide juridique. Aussi, la Loi sur la protection des renseignements personnels devra-t-elle être modifiée pour combler cette lacune. Le cadre de gestion de la protection de la vie privée fait partie intégrante de toute pratique de gestion et de protection efficace de l’information.
La Division des politiques de l’information, de la protection des renseignements personnels et de la sécurité du Conseil du Trésor dirige actuellement l’élaboration d’une architecture de système intégrée pour la gestion de l’identité. Cette initiative a pour but de créer une voie de communication protégée ainsi qu’une série d’applications qui vont garantir :
- la gestion intégrée de l’identité (y compris l’authentification);
- la transformation et l’intégration des opérations et des services;
- l’interopérabilité technique et informative qui permettra le transfert de grandes quantités de renseignements personnels;
- la mise en commun d’opérations, de technologies, de règles et de processus dans des domaines clés (p. ex., la sécurité, la protection de la vie privée et la technologie) qui vont réglementer l’ensemble des activités d’échange de données;
- la détermination de l’étendue des politiques et l’élaboration de normes et de lignes directrices aux fins de la réglementation de la circulation des renseignements;
- la définition d’exigences de gestion intégrée pour la sécurité et la protection des renseignements personnels à l’échelle du gouvernement fédéral.
L’élaboration de cette architecture intégrée est une initiative de transformation qui aura une incidence importante sur la protection des renseignements personnels des Canadiennes et des Canadiens et des résidents. Cette initiative a été lancée en l’absence d’un cadre normatif rigoureux fondé en loi qui devrait être prévu par la Loi sur la protection des renseignements personnels. Nous proposons que le Secrétariat du Conseil du Trésor (SCT), l’organisme chargé de mettre en œuvre la politique de protection de la vie privée au gouvernement fédéral, joue un rôle de leader dans l’élaboration d’un cadre de gestion de la protection de la vie privée. Le SCT ne peut cependant pas s’acquitter efficacement de cette responsabilité sans cadre juridique et sans suffisamment de ressources. Afin d'être efficace dans ce rôle, le SCT a besoin du pouvoir bidirectionnel d’une Loi sur la protection des renseignements personnels modernisée, ce qui relève de la responsabilité du ministère de la Justice. Bien que le SCT mérite des félicitations pour l’excellent travail qu’il a accompli récemment relativement à la prestation de meilleurs conseils sur l’impartition des activités gouvernementales liées aux renseignements personnels, comme il est expliqué plus en détail ci-dessous, la Loi sur la protection des renseignements personnels, avec ses nombreuses lacunes, n’accorde pas les pouvoirs ou les paramètres qui permettraient d’élaborer ce cadre de gestion. Bien que les efforts du SCT soient louables, ils demeurent essentiellement fondés sur des politiques et, par conséquent, perdus dans les aléas des procédures administratives et soumis à la volonté des dirigeants. Les Canadiennes et les Canadiens méritent mieux que cela, tout comme les élus qui les représentent.
Le CPVP prévoit que, d’ici à ce que la Loi sur la protection des renseignements personnels ait été modifiée, le SCT aura mis en œuvre, de bas en haut, beaucoup de politiques et de lignes directrices ascendantes en matière de protection de la vie privée. Cette approche fondamentale, inductive et pragmatique est celle qui a été utilisée pour la LPRPDE : un comité, formé de représentants de l’industrie et du gouvernement, de consommateurs et de travailleurs, a rédigé l’ébauche d’un code qui a été adopté comme norme nationale du Canada et intégré par la suite aux dispositions législatives. Cette approche, où loi et pratique vont de pair, donne de bons résultats.
Le Commissariat constate que le gouvernement du Canada a plus que jamais besoin d’entreprendre de vastes consultations sur la réforme de la Loi sur la protection des renseignements personnels, mais sollicite aussi la participation des parlementaires au débat.
PARTIE II — Réforme de la Loi sur la protection des renseignements personnels — Thèmes généraux
A. Cadre adapté et approprié pour le respect des obligations en matière de protection de la vie privée
1. Gouvernement en ligne / Cybergouvernement
La Canada a connu un succès remarquable dans sa transition vers le gouvernement en ligne. Selon un sondage annuel sur le rendement des gouvernements à l’échelle internationaleNote de bas de page 10, le Canada s’est classé au premier rang sur 22 pays pour la cinquième année consécutive. La prestation de services en direct aux Canadiennes et aux Canadiens est une priorité du gouvernement et devrait réduire le chevauchement des renseignements et améliorer la qualité des services aux citoyens. Nous devons toutefois être vigilants; le cybergouvernement est désormais une réalité, tandis que le cadre juridique de protection des renseignements personnels accuse un retard considérable à l’égard de cette nouvelle donne.
Le gouvernement en ligne a une incidence sur la protection de la vie privée. Lorsque les organismes et les programmes du gouvernement et des différents paliers de gouvernements tiennent chacun leurs propres activités, il se crée des « murs » entre eux. La loi habilitante de certains programmes limite l’accès à l’information et l’échange de données. La Loi sur la protection des renseignements personnels autorise l’échange de données, avec l’appui de la politique sur le couplage de donnéesNote de bas de page 11, mais cette politique est depuis longtemps désuète. De plus, il n’existe aucun mécanisme efficace de vérification et de contrôle pour assurer son application.
De plus en plus, les lois habilitantes sont modifiées pour permettre l’échange de données (p. ex., la loi habilitante de l’Agence des services frontaliers du Canada (ASFC)Note de bas de page 12). La protection des renseignements personnels des citoyens se retrouve davantage dans les silos qui font partie intégrante de la structure de gestion des données. Les bases de données distinctes créées à des fins particulières étaient effectivement séparées parce qu’il était difficile de naviguer à travers les structures de la TI. Toutefois, ces silos sont en train de disparaître à mesure que les moteurs de recherche s’améliorent, que les bases de données deviennent accessibles en direct et que le formatage commun devient la norme. Les silos, qui offraient leur propre structure de protection de la vie privée et qui venaient compenser la faiblesse des lois et l’inefficacité des politiques, vont cesser d’exister.
Les exigences du cybergouvernement pourraient anéantir ces protections. La ségrégation des données va possiblement à l’encontre du concept du gouvernement en ligne; il ne fait pas de doute qu’elle est moins efficace et moins pratique.
Lorsque les barrières s’écroulent, une personne qui a besoin d’un renseignement précis peut subitement avoir accès à une multitude d’informations. Par exemple, un employé qui traite une demande de pension d’invalidité du Régime de pensions du Canada (RPC) a besoin de renseignements sur la santé du demandeur. Les autres fonctionnaires n’ont cependant pas besoin de ces renseignements; ils ne devraient pas y avoir accès.
Le gouvernement en ligne peut nécessiter des systèmes interexploitables qui regroupent les renseignements personnels et les rendent accessibles à un plus grand nombre d'utilisateurs et à des fins plus nombreuses. Plus il y a de renseignements, d’accès et d’utilisateurs, plus les citoyens sont à la merci d’une surveillance gouvernementale ou bureaucratique excessive. Des renseignements peuvent être combinés pour révéler d’autres aspects de la vie des citoyens et créer des profils. L’établissement de profils est le propre des sociétés de surveillance. Les dossiers sur des personnes, qui font le suivi de leurs activités et de leurs interactions avec le gouvernement, n’ont pas leur place dans une société ouverte et démocratique.
Évidemment, même si des bases de données séparées peuvent avoir une protection intégrée contre l’utilisation de renseignements personnels ou l’établissement de profils pour des fins autres que celles qui sont prévues, elles ne constituent pas l’unique solution. Si nous voulons créer des bases de données globales ou fusionner des bases de données existantes renfermant des renseignements personnels, il faut intégrer la protection et la sécurité de ces renseignements à l’étape de la conception des nouvelles technologies et des nouveaux systèmes.
Une autre préoccupation suscitée par le gouvernement en ligne est la sécurité des renseignements. Par exemple, nous savons que les institutions fédérales n’offrent pas la sécurité informatique essentielle à la protection des renseignements personnels des Canadiennes et des Canadiens qui circulent dans l’environnement du cybergouvernement. En février 2005, la vérificatrice générale du Canada a publié un rapport sur la sécurité des technologies de l’informationNote de bas de page 13 (TI), son premier rapport depuis la vérification de 2002. Elle a constaté que malgré d’encourageants signes d’amélioration, les progrès réalisés ne sont pas satisfaisants. Elle a conclu que le gouvernement ne répond pas encore à ses propres normes de sécurité des TI. Les examens et les évaluations de la sécurité des TI effectués au cours des deux dernières années ont révélé de graves lacunes dans les contrôles de l’accès aux données, aux programmes et aux réseaux. Malgré la portée et les ressources limitées du CPVP pour effectuer des vérifications dans ce domaine, nous avons pu observer ce même phénomène parce qu’un grand nombre de plaintes pour atteinte à la vie privée que nous traitons résultent des lacunes dans les pratiques de traitement et de protection des données.
La vérificatrice générale a exhorté le gouvernement du Canada à évaluer adéquatement les menaces et les risques en matière de sécurité des TI, à élaborer des plans d’action visant à combler les lacunes et à se conformer pleinement aux politiques et aux normes de sécurité des TI. La Loi sur la protection des renseignements personnels doit refléter ces obligations en exigeant que les institutions gouvernementales protègent adéquatement les renseignements personnels qu’elles recueillent, utilisent ou communiquent.
Enfin, le gouvernement en ligne suscite également des préoccupations sur l’authentification des clients. Les gouvernements ont souvent besoin d’identifier les personnes avec lesquelles ils traitent, surtout lorsqu’il s’agit de personnes accédant à des prestations ou à des programmes par voie électronique. Ils se tournent donc vers des solutions comme l’identification électronique (epass) et les cartes à puces.
Les méthodes d’authentification présentent de nombreux problèmes sur le plan de la protection de la vie privée. Les cartes à puces, par exemple, permettent d’entreposer ou de consulter des quantités énormes de renseignements personnels liés à différents programmes et services. Une carte unique renfermant toute l’information sur les interactions d’une personne avec le gouvernement pourrait accélérer la centralisation et l’échange de renseignements personnels et porter le problème des bases de données à un niveau jamais atteint. Sans oublier les préoccupations liées au vol d'identité qu'entraînerait l'utilisation d'un tel dossier de renseignements, à la fois portatif et central.
Le cybergouvernement pourrait être le catalyseur de la réforme de la Loi sur la protection des renseignements personnels en vue d’en faire un cadre de gestion de la protection de la vie privée beaucoup plus efficace. La Loi doit prévoir des contrôles plus stricts de l’accès au bassin de renseignements. Une loi efficace devrait aussi exiger en premier lieu une meilleure justification lorsqu’il s’agit de recueillir des renseignements, une justification qui doit être clairement énoncée. Cette loi devrait exiger également une conformité beaucoup plus rigoureuse au principe selon lequel des renseignements personnels doivent être utilisés seulement aux fins pour lesquelles ils sont recueillis.
2. Obligation de rendre compte
L’obligation de rendre compte prévue à l’article 72 de la Loi sur la protection des renseignements personnels devrait être renforcée afin d’assurer une plus grande transparence. Selon l’article 72, le responsable de chaque institution fédérale doit, à la fin de chaque exercice, établir, pour présentation au Parlement, un rapport annuel sur l’application de la Loi au sein de son institution. De l’avis du CPVP, ce rapport n’est pas assez exhaustif pour qu’il soit utile au Parlement, au Commissariat et aux Canadiennes et Canadiens. Le rapport consiste habituellement en un collage de statistiques sur le nombre de demandes d’accès à des renseignements personnels reçues et traitées pendant un exercice. Il renferme rarement de l’information détaillée sur les pratiques et les politiques de protection des renseignements personnels envisagées ou mises en œuvre par l’institution gouvernementale. Le rapport ne fait presque jamais état des problèmes et des enjeux auxquels l’organisme fait face. Ce type de renseignements s’avère néanmoins celui que le CPVP considère le plus utile pour déterminer si les ministères et organismes gouvernementaux sont sensibilisés à la question de la protection des renseignements personnels.
Le CPVP voit d’un bon œil les lignes directrices récemment publiées par le Conseil du Trésor du Canada au sujet des rapports concernant la protection des renseignements personnelsNote de bas de page 14. Selon ces lignes directrices, les administrateurs généraux doivent soumettre des rapports détaillés sur un vaste éventail de responsabilités en matière de gestion de la protection de la vie privée, y compris les responsabilités figurant dans les politiques du Conseil du Trésor sur l’évaluation des facteurs relatifs à la vie privéeNote de bas de page 15 et sur le couplage de donnéesNote de bas de page 16. Comme il est possible que ces politiques figurent un jour dans la Loi sur la protection des renseignements personnels, l’obligation de rendre compte prévue à l’article 72 de la Loidevrait s’appliquer à toutes les activités de ce genre des institutions gouvernementales.
Le CPVP souligne que le gouvernement du Canada et le Parlement devraient, dans leur examen sur l’éventualité d’une réforme de la Loi sur la protection des renseignements personnels, nonobstant les exigences particulières des organismes chargés de la sécurité nationale, inclure des dispositions visant à établir des règles équitables sur les rapports de gestion de la protection de la vie privée qui s’appliqueraient à l’ensemble du gouvernement fédéral. Le CPVP note également que les comités permanents du Parlement devraient disposer de l’appui et des ressources nécessaires pour examiner les pratiques du gouvernement fédéral relativement aux renseignements personnels. Ces exigences comprendraient, sans s’y limiter, l’obligation d’effectuer des évaluations des facteurs relatifs à la vie privée (ÉFVP) pour les politiques et les programmes nouveaux ou modifiés en profondeur (y compris les nouvelles dispositions législatives) Elles comprendraient aussi l’obligation de soumettre un rapport sur les ÉFVP dans les rapports annuels présentés conformément à l’article 72, et lorsqu’il est approprié de le faire, par le biais des Rapports ministériels sur le rendement et autres déclarations de la direction à l’intention des organismes centraux et du Parlement.
B. Circulation transfrontalière des données — de gouvernements à gouvernements
Au cours des deux dernières décennies, il y a eu une augmentation marquée de la circulation de renseignements personnels du gouvernement canadien à des gouvernements étrangers, surtout depuis les événements du 11 septembre 2001. Il est devenu urgent de moderniser la Loi sur la protection des renseignements personnels afin d’examiner la question de la circulation transfrontalière des données. La Loi devrait renfermer un libellé précis définissant les responsabilités des personnes qui transfèrent des renseignements personnels à l’extérieur de la fonction publique fédérale vers d’autres juridictions. Elle devrait aussi traiter la question de l’efficacité des mesures de protection dans ces autres juridictions.
L’alinéa 8(2)f) de la Loi autorise la communication de renseignements personnels aux termes d’une entente ou d’un accord conclu entre le gouvernement du Canada et celui d’un État étranger.
Cette disposition impose seulement deux obligations à l’institution qui communique des renseignements personnels : premièrement la communication doit se faire aux termes d’un accord ou d’une entente, et deuxièment en vue de l’application d’une loi ou pour la tenue d’une enquête licite. Au premier abord, la disposition semble, surtout avec l’utilisation du mot « accord », permettre la communication de données personnelles à un pays étranger en supposant que celui-ci utilisera les données à une fin autorisée par une de ses lois, le tout validé par une simple poignée de main. En effet, la Loi n’oblige pas l’institution qui communique les renseignements à indiquer les fins précises auxquelles sont utilisés ces renseignements, mais simplement à s’assurer qu'ils serviront à l’application d’une loi. Cette institution n’a pas non plus l’obligation de s’assurer que les données personnelles communiquées à un pays étranger seront traitées de manière confidentielle. La Loi ne mentionne tout simplement pas que l’institution doit exercer un certain contrôle sur les données échangées avec un État étranger.
Il est tout à fait contraire à l’esprit de la Loi sur la protection des renseignements personnels qu’une institution gouvernementale communique des renseignements personnels à une autre institution ou échelon du gouvernement sans qu'un examen minutieux et obligatoire permette de déterminer les raisons pour lesquelles les renseignements sont nécessaires, les fins auxquelles ils seront utilisés, sous quelle autorisation est effectuée la requête, et s’il existe des mesures adéquates pour protéger les renseignements. La plupart des lois sur la protection des données interdisent la communication de renseignements détenus par le gouvernement à un État étranger, sauf dans des circonstances très précises. Cette norme devrait prévaloir au Canada, surtout à la lumière des nouvelles menaces qui pèsent, en raison de la USA PATRIOT Act,Note de bas de page 17 sur les données fournies par le gouvernement canadien aux autorités américaines.
L’alinéa 8(2)f) de la Loi accuse un retard considérable à l’égard des normes internationales qui régissent la circulation transfrontalière des renseignements personnels. Par exemple, la Directive 95/46/CENote de bas de page 18 interdit aux États membres d’échanger des données personnelles avec un pays à l’extérieur de l’Union européenne, à moins que le pays qui importe ces données ait pris des mesures pour « assurer un niveau de sécurité approprié ». Le niveau de sécurité approprié que doit assurer le pays importateur est déterminé par l’examen de certains facteurs, y compris la nature des données, le but de la communication, les règlements généraux et sectoriels en vigueur dans l’autre pays, les règles professionnelles (codes d’éthique) et les mesures de sécurité que doit respecter l’autre pays. Les pays membres sont également autorisés à échanger des renseignements personnels avec un pays dont les lois ne procurent pas un niveau de sécurité approprié si des mesures de protection adéquates ont été garanties par le pays importateur au moyen d’un contrat ou d’un autre instrument juridique bilatéral, c’est-à-dire si des mesures de sécurité visant à protéger les données ont été garanties dans le cadre d’une entente. La Loi sur la protection des renseignements personnels devrait préciser les exigences devant figurer dans tout accord selon lequel des renseignements personnels seront communiqués à une juridiction étrangère.
Reconnaissant la portée générale des dispositions de la Loi sur la protection des renseignements personnels en matière de communication de renseignements, le SCT a tenté d’éclaircir quelque peu ce que les institutions gouvernementales sont tenues de faire pour communiquer des renseignements personnels en vertu de l’alinéa 8(2)f). Les lignes directricesNote de bas de page 19 du SCT prévoient que la communication doit se faire conformément à une entente ou à un accord écrit qui renferme les éléments suivants :
- une description des renseignements personnels à échanger;
- les objectifs pour lesquels les renseignements sont échangés et utilisés;
- un énoncé de toutes les mesures de protection administratives, techniques et matérielles nécessaires à la protection du caractère confidentiel des renseignements, surtout en ce qui concerne leur usage et leur communication;
- un énoncé précisant si les renseignements reçus par l’institution fédérale seront assujettis aux dispositions de la Loi sur la protection des renseignements personnels;
- un énoncé précisant si les renseignements communiqués par l’institution fédérale seront assujettis aux dispositions de la Loi sur la protection des renseignements personnels;
- un énoncé indiquant que l’échange de renseignements prendra fin si le destinataire communique de façon inopportune les renseignements personnels échangés;
- le nom, le titre et la signature de l’agent autorisé de l’institution qui fournit les renseignements personnels et de celle qui les reçoit, ainsi que la date de l’ententeNote de bas de page 20.
Bien que ces éléments constituent un bon point de départ, un cadre bien structuré s’impose pour certaines combinaisons de dispositions législatives et de règlements. En plus des lignes directrices du SCT, le cadre de gestion doit aussi permettre d’évaluer l’exactitude et la fiabilité des données ainsi que les délais de conservation des renseignements. Il doit également permettre de restreindre la communication de renseignements uniquement aux renseignements nécessaires, d’informer de la communication, dans la mesure du possible, les personnes auxquelles se rapportent les renseignements, d'obliger l’importateur de données à informer l’expéditeur des données d'une seconde communication (y compris une communication accidentelle ou non autorisée) et d’effectuer des vérifications de la conformité. Afin d’assurer la transparence, le grand public devrait avoir accès aux ententes d’échange de renseignements. En effet, les Canadiennes et les Canadiens ont le droit de savoir dans quelle mesure leurs renseignements personnels traversent les frontières et tombent entre les mains de gouvernements étrangers.
L’alinéa 8(2)f) devrait être modifié de manière à prévoir à ce que des renseignements personnels puissent être communiqués uniquement à des fins d’application ou d’exécution d’une loi ayant un lien raisonnable et direct avec la fin pour laquelle les renseignements ont été initialement obtenus.
L’article 77 de la Loi, qui porte sur le pouvoir d’établir des règlements, devrait être modifié de manière à inclure une disposition autorisant le gouverneur en conseil à décréter des règlements qui prescrivent la forme et le contenu des ententes d’échange de renseignements.
Comme il est indiqué dans le Rapport annuel 2003-2004, le CPVP a effectué un examen préliminaire de la portée des ententes d’échange de renseignements conclues entre le Canada et les États-Unis. Sur 21 ententes conclues par 18 ministères et organismes fédéraux, environ le tiers était raisonnablement bien rédigé, couvrant la plupart des éléments décrits ci-dessus. Plusieurs de ces ententes ne respectaient pas avec variance les principes et les normes des pratiques exemplaires en matière de sécurité et de protection de la vie privée.
Voici d’importantes lacunes relevées :
- Plusieurs d’ententes ne comportent pas de liste des données ni de description des renseignements personnels qui seront échangés.
- Dans la majorité des ententes, les modalités en matière de protection des données sont générales, énonçant simplement que les échanges feront l’objet d’un contrôle visant à garantir que les renseignements seront utilisés de la manière autorisée et traités en toute confidentialité.
- Seulement la moitié des ententes examinées comportaient une mise en garde contre les tiers, c’est-à-dire un énoncé précisant que les renseignements obtenus dans le cadre de l’entente ne seront pas communiqués à un tiers sans l’autorisation écrite préalable de la partie ayant fourni ces renseignements.
- La majorité des ententes examinées ne faisaient aucune mention des questions d’utilisation ou de communication non autorisée, de conservation et de destruction des renseignements personnels.
- Seulement trois des ententes examinées comportaient une modalité relative à la vérification permettant au fournisseur des données d’évaluer périodiquement le niveau de conformité aux modalités de l’entente.
Le CPVP a déterminé que la circulation transfrontalière des renseignements, tout particulièrement les échanges avec les États-Unis, constituait une priorité stratégique. Le Commissariat effectue actuellement une vérification de la circulation transfrontalière de renseignements personnels entre l’Agence des services frontaliers du Canada (ASFC) et les États-Unis. Cette vérification a pour but de déterminer la mesure dans laquelle l’ASFC contrôle et protège adéquatement la communication de renseignements personnels à des pays étrangers, surtout aux États-Unis. Le Commissariat examinera le contrôle qu’exerce l’ASFC sur la communication de renseignements personnels aux États-Unis, y compris la détection et le traitement de toute communication inappropriée. Une fois cette vérification terminée, le CPVP sera plus en mesure d’évaluer les droits et les mesures de protection qui s’appliquent aux renseignements personnels et de déterminer des moyens précis de renforcer la Loi sur la protection des renseignements personnels.
Le Commissariat souligne qu’il serait opportun que le gouvernement du Canada et le Parlement envisagent une série de mesures législatives progressives offrant un niveau approprié de protection des renseignements personnels de la population canadienne et des résidents canadiens qui sont communiqués à d’autres gouvernements, y compris des exigences clairement définies en matière de reddition de comptes et d’établissement de rapport à l’intention des ministères et organismes gouvernementaux.
C. Impartition et partenariats entre le secteur public et le secteur privé pour la prestation des services et des programmes
Le CPVP a fait part au SCT de ses préoccupations relatives aux pratiques d’impartition du gouvernement fédéral à la suite de la consultation menée par le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique sur l’incidence de la USA PATRIOT Act sur l’impartition ayant court dans cette province. Les résultats de l’enquête du commissaire ont été publiés dans un rapport intitulé Privacy and the USA PATRIOT Act – Implications for British Columbia Public Sector Outsourcing diffusé en octobre 2004Note de bas de page 21.
Le CPVP a mené des consultations actives auprès du SCT l’année dernière sur des enjeux en matière d’impartition au niveau fédéral; le CPVP s’est montré très satisfait des progrès réalisés par le SCT, lesquels progrès ont mené à la publication récente d’un document d’orientationNote de bas de page 22 qui comprend une liste de contrôle de la protection de la vie privée à l’intention des ministères.
Il est évident que des efforts considérables ont été déployés pour produire ce document; ces efforts sont appuyés par le CPVP. Les normes établies vont au-delà des exigences de la Loi sur la protection des renseignements personnels à presque tous les égards, et le SCT poursuit manifestement ses travaux d’élaboration d’un cadre de gestion de la protection de la vie privée qui reflète non pas la norme nettement inférieure de la Loi sur la protection des renseignements personnels, mais bien les exigences actuelles en matière de sécurité et de protection de la vie privée, ainsi que les attentes du grand public.
Au cours des dix dernières années, les sociétés multinationales se sont penchées sur un défi à relever : se conformer aux dispositions législatives toujours plus nombreuses en matière de protection des données qui s’appliquaient aux renseignements en leur possession. Ces sociétés ont cherché à consigner leurs échanges de données et à renforcer leurs restrictions en matière d’impartition. La Commission européenne a publié il y a quelques années des directives sur les contrats et elle s’attend à ce que ces directives soient respectées. Les multinationales, désormais inspirées par la Sarbanes-Oxley ActNote de bas de page 23 aux États-Unis, adoptent des pratiques de vérification de plus en plus rigoureuses. Le gouvernement du Canada doit lui aussi se conformer à ces normes. Aussi, les conseils prodigués par le SCT sur l’octroi des contrats étaient très attendus et arrivent à point nommé.
Le document du SCT renferme ce qui suit :
- une évaluation détaillée des risques de l’impartition afin de déterminer le choix à faire lors de la passation d’un marché et à déterminer si les données doivent être envoyées à l’extérieur du Canada;
- un guide pour aider l’utilisateur à franchir l’étape de la DP (demande de propositions), incluant des questions, des listes de contrôle et des modèles de documents ;
- un test « d’atteinte à la vie privée » facile à remplir qui traite de la nature délicate des renseignements, des attentes des citoyens ainsi que de la probabilité et de la gravité du préjudice;
- un résumé des modalités de libre-échange applicables.
La Loi sur la protection des renseignements personnels devrait à tout le moins être modifiée pour indiquer clairement qu'une institution gouvernementale qui recourt à l'impartition pour le traitement de renseignements personnels demeure responsable de ces renseignements, et que ces derniers sont considérés être sous le contrôle de l'institution. La Loi sur la protection des renseignements personnels ne contient aucune disposition en ce sens.
À l’instar de l’article 30 de la B.C. Freedom of Information and Protection of Privacy ActNote de bas de page 24, la Loi sur la protection des renseignements personnels fédérale devrait exiger que les organismes publics prennent des arrangements de sécurité raisonnables contre des risques comme l’accès, la collecte, l’utilisation, la communication ou la destruction non autorisées de renseignements personnels. Cette obligation de l’institution demeure en vigueur lorsque les renseignements sont transmis à des tiers. Une disposition semblable existe dans la LPRPDENote de bas de page 25. Cette proposition reflète la recommandation 7 faite par le commissaire de la Colombie-Britannique au gouvernement fédéralNote de bas de page 26.
Il faudrait également envisager d’ajouter à la Loi sur la protection des renseignements personnels des interdictions et des sanctions pénales pour empêcher la communication de renseignements personnels découlant d'une ordonnance d’un tribunal étranger ou d’une autre autorité étrangère. Cette recommandation reflète la recommandation 8 du commissaire de la Colombie-BritanniqueNote de bas de page 27, ajoutée depuis à la loi de la C.-B. par le projet de loi 73, qui a eu force de loi le 21 octobre 2004Note de bas de page 28. Dans l’ensemble, le projet de loi 73 :
- étend les restrictions qui s’appliquent déjà aux organismes publics, aux fournisseurs de services et à leurs employés;
- impose des restrictions aux organismes publics et aux fournisseurs de services qui entreposent, consultent ou communiquent des renseignements personnels à l’extérieur du Canada;
- exige des organismes publics et des fournisseurs de services qu’ils signalent toute demande de communication de renseignements personnels venant de l’étranger;
- protège les « dénonciateurs » qui signalent une demande de communication de renseignements personnels venant de l’étranger;
- considère comme une infraction, toute contravention aux nouvelles dispositions en matière de protection de la vie privée et comprend l’imposition d’amendes.
Il faudrait expliquer plus clairement dans la loi les obligations des entrepreneurs du secteur privé assujettis aux lois en matière de protection des renseignements personnels qui s’appliquent au secteur privé. En général, l’approche actuelle consiste à respecter les normes les plus strictes. Par exemple, si la LPRPDE impose certaines restrictions à un entrepreneur, ces restrictions doivent figurer dans les modalités du marché conclu avec l’organisme du secteur public.
Le Commissariat suggère au gouvernement du Canada et au Parlement de modifier la Loi sur la protection des renseignements personnels afin qu'il y soit clairement indiqué que les renseignements sont considérés comme demeurant sous le contrôle de l’institution gouvernementale et que celle-ci demeure responsable des renseignements personnels traités à l’extérieur.
D. Cadre de responsabilisation exhaustif pour les organismes chargés de la sécurité nationale
Dans ses documents présentés aux comités parlementaires qui ont effectué un examen suivant l’entrée en vigueur de la Loi antiterroristeNote de bas de page 29, le CPVP a souligné ce qui suit :
« Les Canadiennes et les Canadiens sont de plus en plus conscients des enjeux relatifs à la protection des renseignements personnels et s’attendent à une approche raisonnable et équilibrée des stratégies nationales en matière de lutte antiterroriste. La tendance indique que le public exige davantage de reddition de comptes et de transparence de la part des organismes chargés de la sécurité nationale, et de surveillance sur ces derniers. »Note de bas de page 30
Les modifications à la Loi sur la protection des renseignements personnels proposées dans le présent document sont conformes à ces objectifs de reddition de comptes, de transparence et de surveillance.
La Loi sur la protection des renseignements personnels énonce les droits fondamentaux des Canadiennes et des Canadiens dans leurs rapports avec le gouvernement fédéral. La Cour suprême du Canada a reconnu à maintes reprises que les intérêts en matière de protection de la vie privée justifient une protection en vertu de la CharteNote de bas de page 31 et a déclaré que la Loi avait un statut quasi constitutionnelNote de bas de page 32. L’importance de ces droits est d'autant plus grande depuis que l’État s’est vu octroyer de nouveaux pouvoirs par la Loi antiterroriste. Il est donc inconcevable que, de nos jours, les droits protégés en vertu de la Loi sur la protection des renseignements personnels soient subordonnés à d’autres dispositions législatives. La LPRPDE prévaut sur toute autre disposition législative, à moins d’une dérogation expresse du ParlementNote de bas de page 33. Il devrait en être de même pour la Loi sur la protection des renseignements personnels, ce qui non seulement placerait cette loi sur un pied d’égalité avec la LPRPDE, mais aussi confirmerait le statut quasi constitutionnel du droit à la protection des renseignements personnels protégé par la Loi sur la protection des renseignements personnels.
La Loi sur la protection des renseignements personnels et la LPRPDE ont été modifiées à la suite de l’adoption de la Loi antiterroriste, qui prive les citoyens de leur droit à la vie privée dans les cas où le procureur général du Canada a délivré un certificat en vertu de l’article 38.13 de la Loi sur la preuve au CanadaNote de bas de page 34. Selon cet article, le procureur général peut déroger à une décision d’un tribunal exigeant la communication de renseignements personnels. Dans sa présentation, le Commissariat plaide en faveur de la révocation de l’article 38.13 parce que certains aspects des procédures prévues à l'article 38 vont à l’encontre des principes d’équité des procédures et de transparence des tribunaux. Avec l’annulation de l’article 38.13, les processus habituels prévus dans la Loi sur la protection des renseignements personnels et la LPRPDE pourraient et devraient s’appliquer de nouveau.
Dans ses présentations sur la législation habilitante pour le nouveau ministère de la Sécurité publique et de la Protection civileNote de bas de page 35, le CPVP a exhorté un rôle de leadership plus solide pour le ministre relativement à la gestion et à la protection des renseignements personnels entre les entités du portefeuilleNote de bas de page 36. Bien que nos suggestions n’aient pas été adoptées, nous estimons qu’il conviendrait de réexaminer les concepts dans le contexte de la réforme de la Loi sur la protection des renseignements personnels. De façon générale, il faudrait envisager de modifier la Loi sur la protection des renseignements personnels afin d’obliger les ministères et organismes gouvernementaux, en particulier ceux dont le mandat est lié à la sécurité nationale, à élaborer et à mettre en place un cadre de gestion de la protection de la vie privée prévoyant une capacité de vérification interne en cette matière, ainsi qu'une structure définie des rôles et de la reddition de comptes selon lesquels les responsabilités de leadership relatives à la vie privée incomberaient au responsable de l’institution. Les cadres de gestion de la sécurité, comme la nouvelle série de normes ISO/CEI 27001Note de bas de page 37, précisent tous qu’à moins qu’une responsabilité ne soit explicitement assignée à quelqu’un, personne n’a de comptes à rendre; il en va de même pour la protection de la vie privée. Cette lacune dans la Loi a assurément eu des conséquences à la fois sur la sécurité nationale et le droit à la vie privée.
Le CPVP recommande que dans leurs délibérations sur la réforme de la Loi sur la protection des renseignements personnels, le gouvernement du Canada et le Parlement envisagent une modification des dispositions pertinentes de la Loi afin de garantir davantage de transparence, de reddition de comptes et de surveillance des activités des organismes chargés de la sécurité nationale, notamment en prévoyant des exigences de rendre compte au Parlement plus rigoureuses. En d’autres mots, le principe de la proportionnalité devrait s’appliquer : si le gouvernement du Canada se dote de pouvoirs accrus pour recueillir, utiliser, communiquer, traiter, échanger et rassembler des renseignements personnels sur les citoyens et les résidents du Canada, il doit respecter des normes plus strictes en matière de reddition de comptes et d’obligation de rendre compte envers le Parlement. Ces exigences doivent aussi être reflétées dans les lettres de mandat et les objectifs de rendement des ministres et des sous-ministres ainsi que dans toute la chaîne de reddition de comptes du cadre de responsabilisation de gestion. Une réforme de la Loi sur la protection des renseignements personnels permettra d’intégrer les nouvelles normes au cadre de responsabilisation, à l'image des changements apportés à la Loi sur la gestion des finances publiquesNote de bas de page 38 en vue d’améliorer les pratiques de gestion financière.
Selon la logique et les pratiques de la fonction de contrôleur moderne, l’actualisation de la Loi sur la protection des renseignements personnels devrait comporter des dispositions obligeant expressément les ministères chargés de la sécurité nationale à mettre à profit leur capacité de contrôle interne (y compris, mais sans s’y limiter, la vérification interne) en vue de renforcer leurs pratiques de gestion de la protection de la vie privée. Compte tenu de l’ampleur des pouvoirs des organismes chargés de la sécurité nationale et des conséquences négatives possibles sur la vie des citoyens, la Loi sur la protection des renseignements personnels pourrait comporter des dispositions particulières en matière de rapports et de responsabilité applicables à ces organismes. La nouvelle Loi pourrait également prévoir des paramètres généraux pour le Parlement afin de lui permettre, par l’entremise des comités permanents et du nouveau Comité des parlementaires sur la sécurité nationale, d'exercer les activités de surveillance qui lui incombent en matière d’utilisation, de collecte et de communication de renseignements personnels. Par son expertise et ses connaissances en matière de protection de la vie privée, le CPVP contribuerait aux travaux du Parlement dans l’exercice de ces fonctions.
PARTIE III — Réforme de la Loi sur la protection des renseignements personnels — Modifications conceptuelles de la Loi
A. Modèle d'ombudsman
L’efficacité du modèle choisi pour le Commissariat a toujours suscité des critiques et certaines préoccupations. Selon la Loi sur la protection des renseignements personnels, la commissaire à la protection de la vie privée a un rôle d’ombudsman, mais aucun pouvoir de rendre des ordonnances. Dans le secteur public, les gouvernements utilisent le modèle d’ombudsman comme mécanisme crucial pour réglementer leurs propres activités et rendre des comptes sur ces activités.
La Cour suprême du Canada a décrit le rôle de l’ombudsman dans la cause Lavigne c. Canada (Commissariat aux langues officielles) :
« L’ombudsman n’est pas l’avocat du plaignant. Il a le devoir d’examiner les deux côtés du litige, apprécier les torts et recommander les moyens d’y remédier. Il privilégie la discussion et l’entente à l’amiableNote de bas de page 39. »
Tout comme les organismes d’enquête, les ombudsmans sont investis d’importants pouvoirs : interviewer qui ils veulent, rassembler des éléments de preuve et examiner tous les dossiers dont ils ont besoin pour arriver à une conclusion. La Cour d’appel fédérale a reconnu que l’obligation de confidentialité de la commissaire vis-à-vis les parties, laquelle obligation est prévue dans la loi, est une caractéristique essentielle d’un modèle d’ombudsman efficaceNote de bas de page 40.
Contrairement à d’autres organismes apparemment similaires, un bureau de l’ombudsman ne délivre pas d’ordonnances et n’inflige pas de pénalités. L’ombudsman règle les différends par la persuasion en se servant de ses compétences, ses connaissances et son impartialité. Son bureau n’est pas un tribunal ni un petit palais de justice; son approche moins formelle rend le processus moins intimidant pour les citoyens et moins coûteux pour toutes les parties en cause.
Comme ombudsman indépendant, la commissaire à la protection de la vie privée fait fonction d’enquêteuse et de vérificatrice, avec le plein pouvoir de mener des vérifications de suivi sur des causes fondées et de surveiller l’observation de la loi.
Cependant, la capacité de la commissaire à la protection de la vie privée de jouer pleinement le rôle d’ombudsman a souvent été réduite par les limites de la Loi sur la protection des renseignements personnels. Par exemple, la Loi l’autorise à demander à la Cour d’examiner une plainte uniquement lorsqu’il s’agit d’une plainte pour accès à des renseignements personnels indûment refusé. La Loi ne renferme aucune disposition relative à l’examen par la Cour des activités du gouvernement en matière de collecte, d’utilisation, de communication ou de destruction inappropriée de renseignements personnels des Canadiennes et des Canadiens.
Les problèmes que peuvent poser le modèle d’ombudsman paraissent aussi évidents que ses avantages. Le succès de ce modèle dépend de la persuasion et de la discussion coopérative. Les recommandations d’un ombudsman doivent être respectées, dûment prises en considération et mises en œuvre, sauf dans des cas exceptionnels, autrement, il est impossible d’assurer un équilibre, d’aider les citoyens et de régler les problèmes. L’indifférence du gouvernement à l’égard des contestations et des préoccupations du CPVP met en danger le droit fondamental à la vie privée des Canadiennes et des Canadiens.
Toutefois, le modèle prévoyant la délivrance d’ordonnances comporte également des difficultés. Dans son rapport, M. La Forest tire la conclusion suivante :
« Un modèle quasijudiciaire prévoyant la délivrance d’ordonnances risque de devenir trop formaliste, et d’aboutir à un processus presque aussi coûteux et gruge-temps que les instances judiciaires. On peut également soutenir que l’absence du pouvoir de rendre des ordonnances permet à l’ombudsman conventionnel d’adopter une position plus ferme à l’égard du gouvernement qu’une autorité quasi judiciaire. Il y a également un certain intérêt à confier le règlement des questions litigieuses d’accès et de protection de la vie privée aux tribunaux, où les instances sont généralement publiquesNote de bas de page 41. »
M. La Forest a cependant souligné qu’il est possible que le modèle prévoyant la délivrance d’ordonnances s’avère un moyen plus efficace de faire valoir les principes sous-jacents à la Loi sur la protection des renseignements personnels (et de la LPRPDE); le modèle a été utilisé avec succès dans plusieurs provinces, sans qu’il ne devienne trop officiel. Les commissaires à la protection de la vie privé du Canada, qu’ils soient ou non investis du pouvoir de délivrer des ordonnances, tentent d’abord de régler les plaintes de manière informelle par la conciliation, la médiation et d’autres méthodes de résolution de différends.
M. La Forest en est venu à la conclusion, à laquelle souscrit le CPVP, que la possibilité de conférer à la commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances devrait être examinée plus en détail. Il recommande également, ce à quoi le CPVP souscrit encore, que la Loi sur la protection des renseignements personnels accorde expressément à la commissaire à la protection de la vie privée le pouvoir d’entreprendre une médiation et une conciliation, comme le fait déjà la LPRPDE.
La question du pouvoir de rendre des ordonnances devra être examinée scrupuleusement dans le contexte de la réforme de la Loi sur la protection des renseignements personnels. Dans quelle mesure le pouvoir de rendre des ordonnances peut-il améliorer notre capacité de promouvoir des changements positifs et de renforcer les pratiques de gestion des renseignements personnels du gouvernement fédéral dans l’ensemble des activités liées aux données personnelles?
Des défis de taille et des problèmes complexes sont soulevés par la circulation transfrontalière des données, les initiatives du cybergouvernement qui nécessitent la création de banques de données volumineuses, par l’impartition de services impliquant l'accès aux renseignements personnels de citoyens et de bénéficiaires de programmes sociaux, et par les pratiques de couplage de données et d’établissement de liens qui permettent aux organismes gouvernementaux d’établir des profils de personnes et de leurs activités. Dans quelle mesure le pouvoir de rendre des ordonnances permettrait-il au CPVP, comme organisme conseiller du Parlement et au service de la société, de mieux promouvoir des pratiques de gestion efficaces des renseignements personnels au gouvernement fédéral? Quelles seraient les caractéristiques générales de ce pouvoir? Comment serait-il utilisé? À quoi ferait-il appel? Quelles en seraient les conséquences sur les ressources – Quelles compétences et capacités nous faudrait-il acquérir? De nombreuses questions complexes doivent être abordées quant à la forme que prendrait ce pouvoir.
Les conséquences de ce pouvoir sur les autres aspects du rôle d’ombudsman actuel du CPVP devront aussi être évaluées. Y a-t-il des contradictions inhérentes entres la capacité de rendre des décisions exécutoires et les multiples facettes du rôle d’ombudsman (éducateur, examinateur et vérificateur, enquêteur, etc.)?
En outre, cet examen devrait s'inspirer de l’expérience d’autres juridictions canadiennes. Dans quelle mesure le concept de tribunal multifonctionnel similaire aux modèles de l’Alberta et de la Colombie-Britannique s’appliquerait-il dans le contexte fédéral, particulièrement dans les secteurs clés de la sécurité nationale et de la sécurité publique? Quels défis un tel modèle présenterait-il dans les secteurs à juridiction partagée, dont les politiques en matière de santé sont un bon exemple?
De plus, les conséquences plus vastes d’ordre systémique et relationnel du pouvoir de rendre des ordonnances devraient faire l’objet d’un examen. Quelle serait l’incidence d’un nouveau modèle sur les pouvoirs de la Cour fédérale?
Il faudrait analyser l’ensemble de nos connaissances sur le concept et les pratiques des tribunaux administratifs afin d’évaluer, à la fois sur le plan théorique et pratique, l’efficacité d’autres modèles (p. ex., celui des tribunaux multifonctionnels) pour la protection des renseignements personnels au gouvernement fédéral et de déterminer la valeur de ces modèles comparativement au modèle actuel.
B. Recherche et sensibilisation du grand public
Même si notre fonction principale selon la Loi sur la protection des renseignements personnels et la LPRPDE est celle d’enquêter sur des plaintes et de les régler, nous devons également faire progresser le droit à la protection de la vie privée par d’autres moyens – par la recherche, la communication et la sensibilisation du grand public. La Loi sur la protection des renseignements personnels ne donne pas à la commissaire le mandat de sensibiliser les citoyens au droit à la vie privée quant aux renseignements personnels les concernant que détiennent des institutions fédérales. Par contre, la LPRPDE confère au CPVP le mandat explicite de sensibiliser le grand public à ses droits relatifs aux renseignements personnels que détiennent des entreprises privées. La commissaire devrait, en vertu de ces deux lois, être investie du pouvoir de sensibiliser les entreprises, le gouvernement et le grand public.
Ainsi, la Loi sur la protection des renseignements personnels doit être modifiée de manière à doter la commissaire du mandat explicite d'effectuer des recherches et de rédiger des rapports sur des enjeux en matière de protection des renseignements personnels, de sensibiliser le grand public relativement au droit à la vie privée et d’évaluer les répercussions des propositions législatives sur la protection des renseignements personnels.
La Loi pourrait être modifiée afin d’autoriser expressément la commissaire à mener les activités suivantes :
- effectuer ou commander des recherches afin de favoriser le respect de la Loi;
- élaborer et réaliser des programmes d’information et d’éducation du grand public, de compréhension et de reconnaissance des objectifs de la Loi afin de favoriser des débats publics documentés sur les enjeux relatifs à la protection de la vie privée;
- promouvoir les objectifs de la Loi par tous les moyens qu’elle juge appropriés;
- faire part de ses observations à propos de l’incidence des lois proposées ou des programmes des organismes sur la protection de la vie privée;
- communiquer des renseignements au sujet des activités des institutions gouvernementales par d’autres moyens que le rapport annuel.
Dans son rapport, M. La Forest explique que la commissaire à la protection de la vie privée
« participe plus souvent à des débats de haut niveau relativement aux conséquences à long terme structurelles, et souvent transnationales, sur la vie privée des lois et politiques existantes ou proposées, telles que la réaction du pouvoir exécutif aux menaces que font peser le crime organisé et le terrorisme, ainsi qu’en ce qui a trait à l’incidence des technologies modernes de surveillance et de cueillette de renseignementsNote de bas de page 42. »
Il incombe également à la commissaire « de sensibiliser le public à ses droits à l’accès et à la protection de sa vie privée et de l’informer des menaces que font peser sur ces droits les progrès technologiques et l’évolution sociale et législativeNote de bas de page 43. »
M. La Forest recommande expressément ce qui suit, ce à quoi souscrit le CPVP :
- « La Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels devraient être modifiées de manière à conférer aux commissaires le pouvoir explicite de commenter les programmes gouvernementaux touchant les questions à l’égard desquelles ils ont compétence. Idéalement, le gouvernement devrait se voir imposer l’obligation corrélative de solliciter, le plus tôt possible, l’avis des commissaires relativement à ces programmes. »
- « La Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels devraient être modifiées de manière à reconnaître que les commissaires ont notamment pour fonction de sensibiliser le public et d’effectuer des recherches relevant de leur mandatNote de bas de page 44. »
PARTIE IV — Réforme de la Loi sur la protection des renseignements personnels — Élargir la portée de la Loi
A. Étendre la juridiction
Lorsqu’elles ont été adoptées, la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information devaient ensemble rendre le gouvernement plus transparent, donc plus responsable envers les citoyens. Toutefois, telles qu’elles ont été adoptées, ces deux lois s’appliquent uniquement aux ministères et aux entités ou autres organismes gouvernementaux mentionnés dans une annexe de la Loi sur la protection des renseignements personnels. La question de savoir quelles entités devaient figurer à l’annexe a suscité beaucoup de débats et de confusion, et ce, dès le départ.
Au cours des années, le gouvernement a créé de nombreuses entités qui ne sont assujetties ni à la Loi sur la protection des renseignements personnels ni à la LPRPDENote de bas de page 45. Au fur et à mesure que le gouvernement crée de nouvelles institutions, des débats s’ensuivent pour déterminer si ces nouvelles institutions doivent être incluses dans l’annexe. Ces entités prennent la forme de conseils, de tribunaux, de commissions, de fondations, etc. Elles peuvent fonctionner à titre de sociétés ou d'entreprises communes financées à la fois par le gouvernement fédéral et un gouvernement provincial. Le Commissariat tente actuellement d’obtenir plus de détails sur l’ampleur de cette lacune.
Le commissaire à l’information a abordé la question de l’assujettissement limité. Dans sa présentation de septembre 2005, il propose que toutes les entités pour lesquelles des fonds publics sont utilisés soient assujetties à la Loi sur l’accès à l’information, à moins d’en être spécifiquement exclues par le Parlement, c’est-à-dire :
- tous les ministères et ministères d’État du gouvernement du Canada;
- tous les organismes et commissariats entièrement ou en partie financés par crédits parlementaires;
- tous les organismes et commissariats entièrement ou presque entièrement détenus par le gouvernement du Canada;
- tous les organismes et commissariats énumérés dans les annexes I, I.1, II et III de la Loi sur la gestion des finances publiques;
- tous les organismes et commissariats qui exécutent des fonctions ou fournissent des services dans un secteur de juridiction fédérale et qui sont essentiels à l’intérêt public sur le plan de la santé, de la sécurité ou de la protection de l’environnement.
Puisque le comité a approuvé la proposition et reconnaît le lien entre les deux lois, le CPVP prévoit que le comité reconnaîtra que la Loi sur la protection des renseignements personnels devrait refléter la totalité du concept de « l’assujettissement à moins d’une exclusion explicite ».
B. Protéger les renseignements non enregistrés
La technologie a prouvé que la définition de renseignements personnelsNote de bas de page 46 qu’on trouve dans la Loi sur la protection des renseignements personnels – c’est-à-dire des « renseignements enregistrés, quels que soient leur forme ou leur support » – est désuète : les renseignements non enregistrés, comme ceux obtenus d’un contrôle électronique en temps réel (caméra de surveillance en direct) ou d’échantillons biologiques, échappent à la portée de la Loi. Néanmoins, les technologies peuvent recueillir des renseignements intelligibles sur des personnes identifiables. C’est pourquoi ces renseignements requièrent une protection juridique. À notre avis, l’expression « renseignements personnels » devrait bénéficier d’une définition plus large afin d’inclure les renseignements sur une personne identifiable, que les renseignements soient ou non enregistrés.
Selon nous, la proposition est pragmatique. La LPRPDE et certaines lois provinciales en matière de protection de la vie privée s’appliquent aux renseignements non enregistrés. Par exemple, une entreprise de sécurité des Territoires du Nord-Ouest a installé sur le toit de son immeuble quatre caméras de sécurité dirigées vers une intersection principale à Yellowknife. Pendant plusieurs jours, 24 heures sur 24, des employés ont surveillé ce qui se passait et ont signalé certains incidents à la police locale. Le but de la surveillance était de faire une démonstration des services de l’entreprise pour faire fructifier ses affaires.
Bien que les protestations du public aient rapidement mis fin à la démonstration, le commissaire avait le pouvoir de faire une enquête en vertu de la LPRPDE et de rendre des conclusions qui ont été utiles à d’autres organisations. Le commissaire a conclu que même si la surveillance des lieux publics pouvait être appropriée pour des raisons de sécurité, il faut : 1) prouver que ce besoin est réel; 2) que la surveillance soit effectuée par une autorité publique légitime qui prend toutes les mesures nécessaires et conformes aux lois en matière de protection de la vie privée.
La Loi sur la protection des renseignements personnels n’aurait pas permis de mener une enquête dans un cas pareil parce qu’aucun enregistrement vidéo n’a été produit. Le CPVP a donc entrepris de discuter avec des agents d’exécution de la loi en vue de définir une série de principes de gouvernance visant à réglementer l’utilisation de caméras de surveillance dans des endroits publics. Les discussions se sont prolongées parce que la Loi sur la protection des renseignements personnels ne permet pas d’établir des normes d’utilisation et d’avis pour de telles situations. La nouvelle Loi devra être applicable à l’imagerie numérique et aux applications biométriques des nouvelles activités de surveillance et de contrôle de l’exécution de la loi. Dans sa forme actuelle, elle ne l’est pas.
C. Renforcer les révisions judiciaires
La commissaire à la protection de la vie privée peut traiter des plaintes relatives à toute la gamme de droits et de mesures de protection prévus dans la Loi sur la protection des renseignements personnels, y compris les plaintes pour collecte, utilisation ou communication inappropriée de renseignements personnels, pour défaut de conserver des données à jour et exactes ou pour conservation ou destruction inappropriée de données, ou encore les plaintes liées à un refus d’accès à des renseignements ou de correction de renseignements. La commissaire peut faire des recommandations à l’institution gouvernementale visée par une plainte et demander à être informée des mesures correctives pour ensuite en faire part au plaignant.
Dans l'éventualité où la réponse de l’institution n’est pas satisfaisante, la commissaire à la protection de la vie privée n’a aucun pouvoir (sauf celui de publier la conclusion dans un rapport annuel) d’exiger que l'institution remédie à la situation. La Loi permet une révision judiciaire seulement dans les cas où l’institution refuse d’accorder à une personne l’accès à ses renseignements personnels. Même si la commissaire conclut que la plainte pour collecte, utilisation ou communication inappropriée de renseignements personnels est justifiée, ni elle ni la Cour n’a le pouvoir de fournir un recours. Ce fait a été récemment confirmé par une décision de la Cour fédéraleNote de bas de page 47. Cette restriction signifie aussi que la Cour fédérale ne peut pas fournir l’orientation nécessaire, applicable à toutes les institutions gouvernementales, sur ce qui constitue une collecte, une utilisation ou une communication inappropriée de renseignements personnels.
Plus particulièrement, l’utilisation ou la communication inappropriée de renseignements personnels risque de causer de l’embarras ou d’autres torts à la personne concernée par les renseignements. Toutefois, contrairement à la LPRPDE, la Loi sur la protection des renseignements personnels ne prévoit aucun recours pour des dommages résultant de mesures gouvernementales.
Les citoyens, ou la commissaire agissant en leur nom, devraient pouvoir demander à la Cour d’examiner, après la tenue d'une enquête, les activités du gouvernement en matière de collecte, d’utilisation ou de communication de renseignements personnels. De plus, la Cour devrait avoir le pouvoir d’évaluer les dommages-intérêts contre les institutions responsables.
D. Étendre le droit d’accès
La Loi sur la protection des renseignements personnels accorde aux citoyens et aux résidents le droit d’accès à des renseignements personnels les concernant que détient une institution gouvernementale, ainsi que le droit de demander d’apporter des corrections à ces renseignements ou de les annoter. Dans sa forme actuelle, la Loi exige que la personne soit en territoire canadien pour profiter de ces droits, ce qui signifie que les passagers de transporteurs aériens, les personnes faisant une demande d’immigration, les étudiants étrangers et beaucoup d’autres ressortissants étrangers n’ont aucun droit de prendre connaissance des renseignements à leur sujet figurant dans les dossiers du gouvernement canadien, de faire corriger au besoin ces renseignements ou de connaître la façon dont ils seront utilisés ou communiqués.
Comme l’a mentionné le CPVP dans son Rapport annuel 2004-2005, cette pratique n’est pas conforme à la pratique internationale. Par exemple, la directive 95/46/CE de la Communauté européenne prévoit que le droit d’accès doit être accordé à toute personne, indépendamment de sa nationalité ou de son lieu de résidence.
Il devient de plus en plus difficile de justifier une entrave au droit d’accès face à la mobilité internationale et à l’échange de données personnelles qui s’ensuit. En janvier 2005, le groupe de travail de l’Union européenne créé en vertu de l’article 29 de la directive 95/46/CE a publié un avis selon lequel le Canada offre un niveau de protection adéquat quant à la transmission des données du dossier passager et du Système d’information préalable sur les voyageurs par les transporteurs aériens à l’Agence des services frontaliers du Canada (ASFC). Cet avis a été fondé sur un examen de la loi canadienne (la Loi sur la protection des renseignements personnels) ainsi que sur de nombreux engagements pris par l’ASFC. Un de ces engagements relatifs aux renseignements personnels consiste à accorder, sur le plan administratif, une grande portée au droit d’accès, de correction et d’annotation prévu par la Loi sur la protection des renseignements personnels aux personnes ne se trouvant pas en territoire canadien.
L’avis recommande aussi de déterminer si l’extension du droit d’accès doit être prévue dans la Loi sur la protection des renseignements personnels. Le groupe de travail a souligné l’importance du traitement non discriminatoire des citoyens de l’UE à cet égard et a demandé que la Loi soit modifiée le plus rapidement possible.
PARTIE V — Réforme de la Loi sur la protection des renseignements personnels — Renforcement de la Loi
A. Cadre pour la collecte, l’utilisation et la communication de renseignements personnels
L’élaboration d’un régime efficace de gestion de la protection de la vie privée qui réglementerait la collecte, l’utilisation et la communication de renseignements personnels est depuis longtemps une préoccupation du CPVP.
La Loi sur la protection des renseignements personnels renferme une version très atténuée des principes relatifs à l’équité dans le traitement des renseignements personnels et ne prévoit pas de contrôles des pratiques de gestion de l’information du gouvernement fédéral; ou alors, elle prévoit des contrôles beaucoup trop indulgents. Les lacunes de la Loi sont très évidentes comparativement aux principes détaillés relatifs à l'équité dans le traitement des renseignements personnels retrouvés dans la LPRPDE.
Dans son rapport, M. La Forest fait référence à la jurisprudence de la Cour suprême du Canada qui indique clairement que les renseignements recueillis par le gouvernement demeurent fondamentalement la propriété de la personne à laquelle ils se rapportent et qu’ils doivent demeurer confidentiels et être utilisés uniquement aux fins pour lesquelles ils ont été communiquésNote de bas de page 48. M. La Forest presse le gouvernement de s’engager à être ouvert et transparent dans l'intérêt de la responsabilité démocratique et à appliquer le principe voulant que les renseignements que le gouvernement recueille sur une personne sont confidentiels et que ces renseignements soient, avec un minimum de raisons péremptoires, utilisés uniquement aux fins pour lesquelles ils sont recueillis.
Collecte de renseignements personnels
Selon l’article 4 de la Loi sur la protection des renseignements personnels, les « seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ». Une façon plus efficace de définir le droit à la vie privée, davantage représentatif des lois actuelles en matière de protection des données, est d’exiger que les institutions recueillent seulement les renseignements qui sont nécessaires et raisonnables pour leurs programmes ou activités. Cette approche est celle adoptée en vertu de la LPRPDENote de bas de page 49 et par d’autres juridictions au Canada et à l’étranger. Bien que la politique du Conseil du TrésorNote de bas de page 50 ait consisté à interpréter la Loi sur la protection des renseignements personnels de cette façon, ce droit fondamental devrait être explicitement énoncé dans les lois, et non être relégué aux aléas des énoncés de politiques.
Conformément au paragraphe 5(1), une institution est tenue de recueillir des renseignements personnels destinés à des « fins administratives » directement auprès de la personne concernée « chaque fois que possible »Note de bas de page 51. On entend par « fin administrative » un processus de prise de décisions qui touche directement la personne.
Cette obligation de recueillir les renseignements directement auprès de la personne qu’ils concernent ne s’applique pas aux renseignements recueillis par le gouvernement qui ne sont pas destinés à des fins administratives – même si ces fins peuvent affecter la personne. Les renseignements recueillis de source indirecte et à l’insu de la personne concernée peuvent servir à élaborer des politiques, des pratiques et des procédures qui, en bout de ligne, pourraient avoir une incidence sur la personne ou le groupe de personnes auquel le gouvernement détermine que cette personne appartient (p. ex., tranche de revenu et profil de formation). La Loi sur la protection des renseignements personnels doit se doter d’un cadre applicable aux renseignements recueillis à des fins non administratives, y compris des dispositions pour l’émission d'avis et le consentement de la personne concernée.
En outre, l’article 5 autorise le responsable d’une institution fédérale à décider à sa discrétion de recueillir des renseignements directement ou indirectement en appliquant de manière sélective le critère de la mesure du possible. La collecte de renseignements personnels auprès d’autres sources que la personne concernée doit demeurer une exception manifeste. Pour cette raison, nous suggérons que le paragraphe 5(1) soit modifié de manière à indiquer clairement qu’une institution est tenue de recueillir les renseignements qui seront utilisés à des fins administratives directement auprès de la personne qu’ils concernent, sauf autorisation contraire prévue dans les exceptions claires et précises énoncées dans la Loi sur la protection des renseignements personnels.
Selon le paragraphe 5(2) de la Loi sur la protection des renseignements personnels, une institution gouvernementale est tenue d’informer une personne auprès de qui elle recueille des renseignements personnels la concernant des fins auxquelles ces renseignements sont destinés. Il s’agit ici d’une version très atténuée du droit fondamental à la vie privée. Ce droit devrait être élargi afin d’exiger que les institutions gouvernementales précisent sous quelle autorité les renseignements sont recueillis, l’utilisation qui en sera faite, les institutions avec lesquelles ils seront échangés, les conséquences d’un refus de les fournir et le droit de la personne concernée de déposer une plainte en vertu de la Loi sur la protection des renseignements personnels.
Enfin, il serait utile de se doter d’orientations sur la façon dont les renseignements sont recueillis directement auprès de la personne concernée. Comme la technologie se développe et change rapidement, les risques d’atteintes à la vie privée non prévues sont de plus en plus possibles et envisagés. Il faut indiquer clairement qu'une institution gouvernementale autorisée à recueillir des renseignements personnels doit procéder à la collecte de la façon la moins envahissante possible et de manière à assurer un maximum de transparence, en plus de limiter la collecte aux renseignements nécessaires.
Utilisation des renseignements personnels
L’article 7 de la Loi sur la protection des renseignements personnels oblige une institution gouvernementale à utiliser des renseignements personnels uniquement aux fins auxquelles ils ont été recueillis ou pour un usage compatible avec ces fins. Bien qu'essentielle à la Loi, la notion « d'usage compatible » est sans doute l'une des notions les plus problématiques de la Loi. Malgré le fait que ce problème ait été relevé il y a près de vingt ans, lors de l’examen de 1987Note de bas de page 52, aucune amélioration n’a été apportée à cet égard, sinon l’assurance que cette erreur ne serait pas répétée lors de l’élaboration de la LPRPDE.
Dans l'éventualité où la notion « d’usage compatible » serait conservée dans la Loi sur la protection des renseignements personnels, elle devra être définie de manière claire et limitée. L’ «usage compatible » dans le cadre du mandat général d’une institution gouvernementale ne constitue pas une justification suffisante, et en aucun cas, on ne peut faire appel au couplage de données sous prétexte qu’il constitue un usage compatible.
Les institutions gouvernementales doivent se rappeler qu’une utilisation proposée doit être compatible avec la fin à laquelle les renseignements ont été recueillis et que cette fin doit avoir un lien direct avec un de leurs programmes ou une de leurs activités spécifiques. C’est donc le programme ou l’activité qui sert de point de référence pour déterminer si une utilisation donnée de renseignements personnels répond à la notion « d’usage compatible » et non le mandat général de l’institution.
En somme, nous recommandons que l’article 4 soit modifié de manière à exiger que les renseignements personnels recueillis par une institution gouvernementale soient raisonnables et nécessaires afin de répondre à un de ses programmes ou une de ses activités. Une vérification du critère du « lien raisonnable et direct » devrait être effectuée dans le cas d’un usage compatible.
Communication de renseignements personnels
a) Informer la personne concernée
Le paragraphe 8(2) de la Loi sur la protection des renseignements personnels établit les circonstances particulières dans lesquelles les institutions gouvernementales peuvent communiquer des renseignements personnels sans le consentement de la personne qu’ils concernent. Mais la Loi ne traite pas adéquatement des obligations des institutions qui communiquent des renseignements personnels dans ces circonstances. Dans la mesure du possible, l’institution devrait obligatoirement informer la personne de la communication des renseignements.
L’obligation de mettre la personne concernée au fait de la communication des renseignements n’annulerait pas la capacité de l’institution gouvernementale de communiquer les renseignements personnels sans le consentement de la personne si nécessaire. Dans les cas où il convient d’aviser la personne avant la communication des données, l’avis préalable peut permettre à cette personne de contester la communication avant qu’elle ne soit effectuée. Comme l’a indiqué le commissaire Bruce Phillips dans le Rapport annuel 1991-1992 :
« La Loi sur l’accès à l’information prévoit un mécanisme servant à alerter les tiers – des compagnies, par exemple – quand des renseignements commerciaux délicats qui les concernent peuvent faire l’objet d’un échange d’information. La Loi sur la protection des renseignements personnels, elle, ne reconnaît pas de droit analogue aux individus quand des renseignements personnels délicats qui les concernent sont communiqués. Est-ce que les renseignements personnels ne méritent pas d’être au moins aussi bien protégés contre les divulgations abusives que les renseignements commerciaux?Note de bas de page 53
À ce jour, la question demeure sans réponse.
Les institutions gouvernementales ne devraient pas pouvoir communiquer des renseignements personnels dans les cas où la personne concernée doit être mise au courant de la communication, tant que cette personne n’a pas pu se prévaloir de façon raisonnable de la possibilité de donner son consentement ou de s’opposer à la communication – à moins que le défaut de communiquer immédiatement les renseignements ne donne lieu à un préjudice identifiable. L’institution conserverait le droit de communiquer les renseignements malgré l’opposition de la personne, sous réserve d’un examen judiciaire qui serait mené à la demande de cette personne.
Dans certains cas, il peut s’avérer impossible d'aviser une personne à l'avance de la communication de ses renseignements personnels, mais il serait approprié de l'informer sans délai suite à la communication des renseignements. Lorsque le défaut de communiquer immédiatement les renseignements personnels pourrait causer un préjudice identifiable, par exemple, l’organisation pourrait informer la personne par écrit de la communication après coup. Bien que cette façon de procéder ne donne pas à l’intéressé la possibilité de contester la communication en vue de l’empêcher, elle ajouterait un certain degré de transparence et de responsabilité aux pratiques de gestion de l’information d’une institution.
Une communication de renseignements personnels sans le consentement de la personne qu’ils concernent ou sans préavis constituerait donc une exception selon le paragraphe 8(2) plutôt qu’une option par défaut.
Nous recommandons que le paragraphe 8(2) fasse l’objet d’un examen approfondi qui permettra de déterminer dans quels cas un avis devrait absolument être donné avant la communication, dans quels cas un avis pourrait être donné après la communication, et les cas d’exception où il conviendrait de pas de donner un avis.
b) Communications autorisées
Un examen détaillé des dispositions du paragraphe 8(2) autorisant la communication de renseignements personnels devrait être effectué afin de renforcer et de clarifier le libellé de ces dispositions. De façon générale, celles-ci manquent de précision, comme le révèlent les exemples suivants :
- L’alinéa 8(2)a) autorise une institution gouvernementale à communiquer des renseignements personnels sans le consentement de la personne concernée si cette communication se fait aux fins pour lesquelles l’institution les a obtenus ou pour un usage compatible avec ces fins. Conformément à nos suggestions visant à restreindre et à clarifier les dispositions en matière de collecte et d’utilisation des renseignements personnels, cet alinéa devrait être modifié afin de prévoir un critère de « lien raisonnable et direct » à appliquer à la communication des renseignements.
- L’alinéa 8(2)b) autorise une institution gouvernementale à communiquer des renseignements personnels à toute fin qui est conforme à une loi du Parlement ou à un règlement fédéral qui autorise cette communication. Un des meilleurs exemples de la faiblesse de cette disposition est peut-être celui qu’a donné la Cour d’appel fédérale en 2000 dans la cause E-311Note de bas de page 54. La Cour a conclu dans cette cause que la disposition de communication contenue dans l’alinéa 8(2)b) de la Loi sur la protection des renseignements personnels permettait « ?au législateur de conférer à tout ministre (par exemple), au moyen d’une loi donnée, un large pouvoir discrétionnaire quant à la forme et au fond relativement à la communication de renseignements que son ministère a recueillis? ». Le commissaire à la protection de la vie privée avait demandé sans succès une interprétation plus limitée de cette disposition selon laquelle les détails des communications autorisées devaient être prévus dans la loi, plutôt que de laisser la décision à la discrétion de l’institution. Le CPVP suggère que l’alinéa 8(2)b) soit modifié de manière à exiger que la loi applicable prévoie de mieux définir les situations dans lesquelles des renseignements personnels peuvent être communiqués.
- L’alinéa 8(2)f) autorise une institution gouvernementale à communiquer des renseignements personnels aux termes d’une entente ou d’un accord conclu entre le gouvernement du Canada et le gouvernement d’une province ou d’un pays étranger. Tel que discuté en détail à la Partie II du présent document, cet alinéa devrait indiquer plus précisément les paramètres de ce type d’échange de renseignements et indiquer quels genres de modalités devraient inclure les accords ou ententes pour garantir la protection de la vie privée des personnes concernées.
Il y a également eu beaucoup de problèmes d’interprétation liés à d’autres dispositions en matière de communication du paragraphe 8(2), dont beaucoup, sinon la plupart, pourraient être réglés si le libellé de la Loi était plus précis.
B. Activités de couplage, de regroupement et de forage de données
Le couplage de données est depuis longtemps une préoccupation du CPVP. Plusieurs croient que l’établissement de liens ou le regroupement de renseignements personnels constitue l’une des plus grandes menaces à la vie privée auxquelles nous sommes confrontés de nos jours. Les préoccupations en matière de vie privée relatives au couplage de données remontent aussi loin que l’examen de la Loi sur la protection des renseignements personnels effectué par le Parlement en 1987Note de bas de page 55, et qui a donné lieu à la recommandation que le gouvernement établisse des règles de base pour le couplage de données. Ces règles ont pris la forme d’une politique du SCT publiée en 1989.
Selon la politique du SCT sur le couplage de données, les ministères et organismes fédéraux sont tenus d’informer le CPVP de toute proposition de couplage de données. Comme il est indiqué dans le Rapport annuel 2004-2005, peu d’activités de couplage sont réellement déclarées, probablement en raison de la confusion dans les ministères au sujet des activités pour lesquelles ils ont l’obligation de rendre des comptes.
Dans le modèle d’évaluation des facteurs relatifs à la vie privée (ÉFVP) élaboré par le SCTNote de bas de page 56, on demande aux ministères d’indiquer s’ils font du couplage de données. Les entrevues réalisées en 2004 auprès d’utilisateurs d’outils d’évaluation ont révélé que bon nombre de gestionnaires de programmes ignoraient l’existence de la politique sur le couplage de données. En outre, il y a toujours eu beaucoup de confusion quant à savoir si le couplage de données inclut uniquement le couplage traditionnel de données ou s’il inclut également la liaison de données, le profilage et le forage de données. Il n’existe pas non plus de distinction claire entre le couplage de données à des fins administratives et le couplage de données à des fins non administratives. Le terme même évoque des images de bandes de données comparées entre elles, avec un nombre limité d’expressions à rechercher. Le forage des données se faisait peut-être de cette façon en 1985, mais ce n’est plus ce qu’on entend en 2005 par gestion et exploitation des données. Il est temps que la Loi sur la protection des renseignements personnels soit adaptée à la réalité.
Le SCT effectue actuellement un examen de la politique sur le couplage de données. Le CPVP a été consulté, et la réponse du SCT à nos préoccupations a été positive. Nous attendons avec grand intérêt les résultats des travaux du SCT qui, nous l’espérons, entraîneront d’importants changements à cette politique et pourront servir de fondement à la rédaction de toute disposition législative en matière de couplage de données.
Malgré les améliorations prévues à la politique, il y a encore lieu de prévoir dans la loi un cadre permettant de définir les principes réglementant le couplage de données et les responsabilités des parties en cause. Les lois devraient comprendre des éléments de base, comme des définitions, l’obligation de donner un avis préalable au CPVP et le pouvoir de la commissaire d’empêcher le couplage de données si celui-ci ne satisfait pas aux normes établies.
Ces mesures sont justifiées, puisque la Loi sur la protection des renseignements personnels ne prévoit pas de contrôles efficaces. En 2000, la Cour d’appel fédérale a rendu une importante décisionNote de bas de page 57 démontrant l’utilité très limitée de la Loi sur la protection des renseignements personnels pour le contrôle de la communication continue de renseignements recueillis à une seule fin, mais utilisés pour des activités de couplage de données à une fin complètement différente. La Cour a conclu que la Loi sur la protection des renseignements personnels avait permis, par le biais du couplage de données, la communication de renseignements relatifs aux douanes aux fins d’un programme d’enquête n’ayant aucun lien avec la raison de la collecte initiale de ces renseignements – pour déterminer si les personnes auxquelles les renseignements se rapportaient touchaient des prestations d’assurance-emploi pendant qu’elles se trouvaient à l’étranger. L’année suivante, la Cour suprême du Canada a confirmé la décision de la Cour d’appel fédéraleNote de bas de page 58.
En ce qui concerne le couplage de données effectué à des fins de recherche et de statistiques, on trouve un bon exemple de cadre de travail dans les lois adoptées pour le ministère du Développement social et le ministère des Ressources humaines et du Développement des compétencesNote de bas de page 59. Ce cadre a été adapté en raison des préoccupations qu’avait formulées le CPVP relativement à des activités de liaison de données à l’ancien ministère du Développement des ressources humaines.
Les principes directeurs de ce cadre de travail comprennent un examen de différentes questions comme l’objet de l’analyse ou de la recherche, la possibilité d’accomplir le travail sans obtenir les renseignements, ainsi que l’obligation de déterminer si l’analyse ou la recherche est dans l’intérêt du public. Le cadre de travail empêche également les employés des ministères, à moins d’autorisation du ministre, d’utiliser des renseignements qui permettraient d’identifier une personne. De plus, tout renseignement utilisé à des fins d’analyse, de recherche ou d’évaluation des politiques ne peut être utilisé à des fins administratives. Le CPVP est très satisfait de l’élaboration de tels modèles, mais estime néanmoins que les lois devraient tenir compte de l’obligation de prendre les mesures adéquates de protection et d’émission d'avis pour les activités de couplage de données, ainsi que l’obligation de rendre publiquement des comptes sur de telles activités.
Le CPVP recommande que le gouvernement du Canada et le Parlement définissent, dans une Loi sur la protection des renseignements personnels réformée, les principes qui réglementent le couplage des données et les responsabilités des parties intéressées. Les dispositions législatives devraient comprendre des principes de base tels des définitions, l’obligation d’informer à l’avance le CPVP des activités de couplage de données et un pouvoir, accordé à la commissaire, d’interrompre toute activité de couplage qui ne se fait pas conformément aux normes établies. Le CPVP suggère également que la définition du couplage de données soit exhaustive afin d’y inclure le forage et le regroupement de données, que ceux-ci soient effectués par des organismes fédéraux ou acquis des fournisseurs privés. Dans bon nombre de pays, on constate une augmentation de la vente de profils à des organismes gouvernementaux par des entreprises de regroupement de données dans le cadre de vérifications courantes de la fiabilité et de la sécurité. Bien que nous n’ayons pas été informés de cas spécifiques touchant les juridictions fédérale, provinciales/territoriales ou municipales, il serait étonnant que le Canada fasse exception à cette tendance.
C. Renforcement du droit d’accès aux renseignements personnels
Le 29 septembre 2005, le commissaire à l’information du Canada a présenté ses recommandations pour la réforme de la Loi sur l’accès à l’information. La Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information comportent de nombreuses exceptions parallèles du droit d’accès à l’information.
Le Commissariat à l’information du Canada a déclaré que ses objectifs visaient à maximiser la transparence du gouvernement, tout en demeurant conséquent aux besoins légitimes en matière de sécurité nationale et de protection de secret, et à garantir une responsabilité maximale du gouvernement envers le Parlement et la population canadienne.
Ces objectifs s’appliquent tout autant au cadre que devrait prévoir la Loi sur la protection des renseignements personnels afin d’accorder à toute personne le droit d’accès aux renseignements la concernant. En plus de la transparence et de la responsabilité, l’application de la Loi sur la protection des renseignements personnels fait intervenir d’importants enjeux sur le plan de l’équité, ce qui justifie la nécessité de maximiser, dans la mesure du possible, la communication de toute activité du gouvernement relative aux renseignements personnels.
Le commissaire à l’information a fait des propositions visant à renforcer le droit d’accès à l’information en rendant les exceptions discrétionnaires plutôt qu’obligatoires et en introduisant la notion du critère de préjudice pour les cas où ce critère n’existe pas déjà. Une autre de ses propositions consiste à considérer les documents confidentiels du Cabinet comme des exceptions, plutôt que comme une exclusion, sous réserve de l’examen habituel par le commissaire à l’information et par la Cour fédérale. Le CPVP est impatient de discuter avec le commissaire à l’information en vue de déterminer s’il conviendrait d’apporter des changements parallèles à la Loi sur la protection des renseignements personnels. En outre, le CPVP suggère que lorsque les parlementaires examineront la réforme proposée pour la Loi sur l’accès à l’information, ils prennent dûment en considération le droit d’accès aux renseignements personnels prévu par la Loi sur la protection des renseignements personnels.
D. À propos d'une éventuelle utilisation abusive de la Loi
Le commissaire à l’information a proposé une modification de la Loi sur l’accès à l’information qui, sur sa recommandation, autoriserait le responsable d’une institution gouvernementale à rejeter une demande d’accès à l’information considérée futile, vexatoire ou contraire aux objectifs de la Loi.
Le CPVP a connu plusieurs cas où le droit d’accès prévu par la Loi sur la protection des renseignements personnels est clairement invoqué, non pas dans le but d’obtenir des renseignements, mais plutôt dans un intérêt personnel ou en vue de cibler certaines personnes ou institutions à des fins qui ne justifient en rien une telle demande de renseignements. La modification proposée à la Loi sur l’accès à l’informationNote de bas de page 60 s’appliquerait également à la Loi sur la protection des renseignements personnels.
De même, le droit de déposer une plainte auprès de la commissaire à la protection de la vie privée peut aussi faire l’objet d’abus. La commissaire devrait avoir le droit de régler, à sa discrétion et de manière appropriée, toute plainte futile, vexatoire ou entachée de mauvaise foi. La LPRPDENote de bas de page 61comporte déjà (une disposition à cet effet). Il faut aussi tenir compte des principes de la diligence raisonnable et de l’équité des procédures dans la détermination de ce qui constitue une plainte futile, vexatoire ou entachée de mauvaise foi soumise par un citoyen.
De plus, il pourrait être important d’accorder à la Commissaire à la protection de la vie privée davantage de pouvoir discrétionnaire de traiter de façon sommaire certaines plaintes ou catégories de plaintes. Ce pouvoir est une caractéristique partagée par plusieurs nouveaux régimes réglementaires et permettrait une utilisation plus stratégique de nos ressources limitées.
E. Destruction de documents
La Loi sur l’accès à l’information prévoit des sanctions pour toute personne qui détruit, modifie, falsifie ou dissimule délibérément un document, ou encore donne à quelqu’un l’ordre de le faire, avec l’intention d’entraver le droit d’accès à l’information prévu par la Loi. La Loi sur la protection des renseignements personnels devrait comprendre une disposition similaire et prévoir aussi des sanctions pour dissimulation de mesures allant à l’encontre de son application.
F. Renseignements personnels auxquels le public a accès
Une des exceptions aux dispositions de la Loi sur la protection des renseignements personnels relatives à l’utilisation et à la communication de renseignements porte sur les renseignements personnels « auxquels le public a accès »Note de bas de page 62. Cette question a fait couler beaucoup d’encre au cours des dernières années. Il est clair que les documents conservés dans des endroits comme les archives publiques et les bibliothèques sont généralement considérés comme accessibles au public. Toutefois, il n’en est pas de même pour les documents qui, bien que théoriquement à la disposition du public, ne sont pas facilement accessibles ou visibles. En règle générale, la position du CPVP est la suivante : une information devrait être considérée publique seulement si elle est raisonnablement accessible à tout le monde. L’exception à la Loine devrait pas être interprétée de façon large, au point de ne pas tenir compte de la protection de la vie privée, seulement parce que quelque part, quelqu’un pourrait avoir accès à l’information. L’expression « renseignements auxquels le public a accès » devrait être définie dans la Loi sur la protection des renseignements personnels.
Dans la LPRPDE, un règlement définit l’expression « renseignements auxquels le public a accès »Note de bas de page 63, limitant ainsi l’information qu’une organisation peut recueillir, utiliser ou communiquer sans le consentement de la personne concernée. Les renseignements personnels qui figurent dans un répertoire professionnel ou public, dans un registre public ou dans un dossier d’un organisme judiciaire ou quasi judiciaire peuvent être recueillis, utilisés et communiqués seulement si la collecte, l’utilisation et la communication de ces renseignements sont directement liées à la raison pour laquelle ils ont été rendus publics. Il serait tout aussi approprié que de telles restrictions s’appliquent aux pratiques du gouvernement fédéral.
Le fait que certaines institutions gouvernementales sont tenues par la loi de rendre certains renseignements accessibles représente également un enjeu. À titre d'exemple, le registre des faillites ou celui des lobbyistes doit, pour des raisons de transparence et de responsabilité, être accessibles aux citoyens.
Très peu de registres gouvernementaux contrôlent les circonstances dans lesquelles sont effectuées les communications de renseignements ou les usages que peuvent en faire les personnes qui ont obtenu ces renseignements. Pour éviter les abus comme les communications en bloc à des fins de marketing, la Loi sur la protection des renseignements personnels devrait prévoir que les renseignements personnels figurant dans les registres gouvernementaux soient uniquement communiqués de manière et à des fins compatibles avec les fins pour lesquelles les registres sont tenus. Les institutions ne devraient pas être autorisées à communiquer tous les renseignements se trouvant dans les registres, ni même à les rendre accessibles pour inspection sans exercer de contrôles spécifiques. Ces préoccupations ont pris des proportions alarmantes avec la facilité d’accès qu’offre Internet.
CONCLUSION
Avec les années, les commissaires à la protection de la vie privée ont défendu avec éloquence bon nombre des causes mentionnées dans le présent document. La nécessité de réformer la Loi sur la protection des renseignements personnels se fait de plus en plus pressente au fil des ans. Beaucoup de dirigeants du secteur public ont consacré énormément de temps et d’efforts en vue de cette réforme. Les questions qui sont soulevées ici montrent la nécessité d’examiner le rôle institutionnel du CPVP. Dans une large mesure, les pouvoirs qui sont conférés au CPVP prédétermineront son efficacité dans les années à venir. Voici ce qu’il faudrait :
- l’adoption progressive de dispositions législatives qui identifieraient et régleraient les complexités de la gouvernance contemporaine au Canada, où le secteur public traite de plus en plus avec le secteur privé dans l’intérêt commun;
- une Loi sur la protection des renseignements personnels qui représente un cadre efficace pour parvenir à minimiser les risques d’atteinte au droit à la vie privée dans un gouvernement qui adopte de nouvelles technologies et applications;
- une Loi sur la protection des renseignements personnels qui constituerait un fondement solide à la responsabilité à l’égard du public;
- une Loi sur la protection des renseignements personnels qui permettrait au Parlement d’assumer pleinement son rôle de gardien de nos valeurs fondamentales, y compris notre droit à la protection de la vie privée.
Il est à espérer que les thèmes généraux abordés dans le présent document faciliteront la définition des enjeux et stimuleront les débats publics et l’intérêt à l’égard de la nécessité de réformer la Loi sur la protection des renseignements personnels.
- Date de modification :