Rapport annuels au Parlement concernant la Loi sur la protection des renseignements personnels 2004-2005

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3

(613) 995-8210, 1 800 282-1376
Téléc. (613) 947-6850
ATS (613) 992-9190

© Ministre des Travaux publics et Services gouvernementaux Canada 2005
No de cat. IP50-2005
ISBN 0-662-68763-9

Cette publication est également disponible sur notre site Web à www.priv.gc.ca, ainsi que le Rapport annuel concernant la Loi sur la protection des renseignements personnels et les documents électroniques 2004.

Octobre 2005

L’honorable Daniel Hays, sénateur
Président
Sénat du Canada
Ottawa

Monsieur,

J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1^er avril 2004 au 31 mars 2005 conformément à la Loi sur la protection des renseignements personnels.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

Octobre 2005

L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa

Monsieur,

J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1^er avril 2004 au 31 mars 2005 conformément à la Loi sur la protection des renseignements personnels.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

Avant-propos

Si la protection de la vie privée avait atteint sa pleine vigueur au Canada, les rapports annuels du Commissariat à la protection de la vie privée constitueraient un compte rendu détaillé d’interventions réussies pour défendre les droits des personnes, de vérifications d’institutions fédérales bien gérées, jouissant de processus opérationnels matures qui intègrent les exigences en matière de protection de la vie privée, et d’une analyse exhaustive de la politique sur les nouveaux systèmes d’information et les technologies. Dans la réalité, les rapports du Commissariat ont souvent donné l’impression d’une longue litanie sur la constante érosion de droits et l’assaut des nouvelles technologies de surveillance sur la vie des Canadiennes et des Canadiens, et notre impuissance à renverser cette tendance.

Ce ne sera pas différent cette année. Le phénomène de l’impartition et les associations public-privé nous portent de plus en plus à croire que le secteur privé détient des données sur les Canadiennes et les Canadiens, même lorsque celles-ci sont sous le contrôle du gouvernement.

De façon générale, nous sommes satisfaits des résultats de nos interventions, et de la coopération des entreprises et du gouvernement dans nos tentatives d’assurer le respect de pratiques équitables en matière d’information et des prescriptions de la loi ; mais les menaces à la protection de la vie privée semblent se multiplier tel un virus virulent qui pourrait prendre le dessus.

Si nous devions transmettre un message d’importance cette année, c’est que nous ne laisserons pas cela arriver. Nous sommes prêts, et nous comptons sur l’appui de toutes les institutions afin de nous aider à traiter ces enjeux, ainsi qu’à préserver et à maintenir la protection de la vie privée des personnes de ce pays.
Les Canadiennes et les Canadiens sont inquiets ; ils s’attendent à ce que nous appliquions la loi et à ce que le gouvernement respecte les valeurs inhérentes à notre constitution, comme le démontrent de récents sondages. Nous ferons notre part, mais la défense du droit fondamental à la protection de l’information repose sur un changement dans les politiques publiques, comme celui qui a été amorcé dans le domaine de l’environnement. Au cours des vingt dernières années, il est devenu évident que la pollution est néfaste, et l’habitude de recycler est entrée dans nos mœurs. La même prise de conscience doit se faire à l’égard des renseignements personnels : il est néfaste de recueillir des renseignements personnels sans consentement, de les communiquer avec indifférence, et de cacher au public les pratiques utilisées en matière de renseignements.

Trois thèmes principaux reviendront dans ce rapport, car ils constituent les enjeux les plus importants auxquels nous avons fait face : la sécurité et l’appétit démesuré pour les renseignements personnels et les mesures de surveillance qui ont surgi depuis le 11 septembre 2001 ; l’échange de renseignements et l’impartition du traitement des données outre-frontières et l’impératif de réformer la Loi sur la protection des renseignements personnels. Que vous lisiez ce rapport à titre de personne au sein du grand public, de fonctionnaire ou de parlementaire, nous avons un message à vous transmettre :

Il est grand temps de vous préoccuper de la protection de la vie privée avant qu’il ne soit trop tard. La participation des citoyennes et des citoyens au débat déterminera la direction que prendra notre pays en regard de la protection des renseignements personnels. Faites votre part pour contrôler la circulation des renseignements personnels de tous et chacun. Nous sommes là pour aider, mais nous ne pouvons accomplir la tâche seuls.

Notre mandat aux multiples facettes

Le Commissariat à la protection de la vie privée (CPVP) veille au respect de la Loi sur la protection des renseignements personnels à laquelle sont assujetties les institutions fédérales, et de la LPRPDE, qui régit le traitement des renseignements personnels dans le cadre des activités commerciales du secteur privé.

Le Parlement a investi le Commissariat du mandat de veiller à ce que le secteur public fédéral et le secteur privé (dans la plupart des provinces) rendent compte du traitement qu’ils font des renseignements personnels, et à ce que le public soit informé de son droit à la protection de la vie privée. Ce mandat n’est pas toujours compris.

En sa qualité d’ombudsman indépendant, le Commissariat agit à titre :

• d’enquêteur et de vérificateur possédant les pleins pouvoirs d’enquêtes et pouvant déposer des plaintes, mener des activités de vérification et s’assurer du respect des deux lois ;
• de sensibilisateur du grand public et de défenseur, ayant la double responsabilité de sensibiliser les entreprises à leurs obligations en vertu de la LPRPDE, et d’aider le public à comprendre son droit à la protection de ses données personnelles ;
• de chercheur et d’expert des enjeux en matière de protection de la vie privée auprès du Parlement, du gouvernement et des entreprises ; et
• de défenseur des principes en matière de protection de la vie privée dans les litiges ayant trait à l’application et à l’interprétation des deux lois régissant la protection des renseignements personnels. Nous analysons également les répercussions des projets de loi et des propositions gouvernementales sur les lois et les politiques.

Bien que la Loi sur la protection des renseignements personnels ne confère pas à la commissaire à la protection de la vie privée un mandat statutaire officiel de sensibilisation du grand public, la commissaire doit souvent informer celui-ci, ainsi que le gouvernement, en vue de s’acquitter de son mandat de responsabilisation des ministères et organismes du gouvernement fédéral en matière de traitement des renseignements personnels.

Point de vue de la politique

Guichet du Parlement pour la protection de la vie privée

À titre d’agente du Parlement, la commissaire à la protection de la vie privée relève directement du Sénat et de la Chambre des communes. Ainsi, le CPVP tient lieu de guichet du Parlement sur les questions de protection de la vie privée. Par l’entremise de la commissaire, des commissaires adjoints et des autres représentants du CPVP, le Commissariat porte à l’attention des parlementaires les enjeux ayant une incidence sur le droit à la protection de la vie privée des Canadiennes et des Canadiens. Pour ce faire, le CPVP dépose des rapports annuels au Parlement, se présente devant les comités du Sénat et de la Chambre des communes afin d’expliquer les répercussions des mesures législatives et des initiatives gouvernementales proposées sur la protection de la vie privée, et de dégager et d’analyser les enjeux qui, à son avis, doivent être portés à l’attention du Parlement.

Le Commissariat aide également le Parlement à être mieux informé en ce qui concerne la protection de la vie privée, en agissant à titre de ressource ou de centre d’expertise sur ces questions. À ce titre, il doit répondre à une vaste correspondance et à de nombreuses demandes de renseignements de sénateurs et de députés.

Présentations devant les comités parlementaires

Les présentations devant les comités du Sénat et de la Chambre des communes constituent un élément clé de notre rôle de guichet du Parlement sur des questions de protection de la vie privée. Au cours de la période visée par ce rapport, la commissaire à la protection de la vie privée et les autres représentants du CPVP se sont présentés onze fois devant des comités parlementaires : six fois pour des projets de loi ayant une incidence sur la protection de la vie privée, quatre fois pour des questions ayant trait à la gestion et aux activités du Commissariat et une fois devant un comité sénatorial examinant les enjeux liés aux consommateurs dans le secteur des services financiers.

En 2004-2005, le CPVP s’est présenté devant des comités parlementaires traitant des projets de lois suivants :

• Projet de loi C-2, Loi modifiant la Loi sur la radiocommunication (6 mai 2004)
• Projet de loi C-12, la Loi sur la quarantaine (18 novembre 2004)
• Projet de loi C-22, Loi constituant le ministère du Développement social et modifiant et abrogeant certaines lois (9 décembre 2004)
• Projet de loi C-23, Loi constituant le ministère des Ressources humaines et du Développement des compétences et modifiant et abrogeant certaines lois (9 décembre 2004)
• Projet de loi C-11, la Loi sur la protection des fonctionnaires dénonciateurs d’actes répréhensibles (14 décembre 2004)
• Projet de loi C-13, Loi modifiant le Code criminel, la Loi sur l’identification par les empreintes génétiques et la Loi sur la défense nationale (8 février 2005)
• Projet de loi S-18, Loi modifiant la Loi sur la statistique (24 février 2005)

En ce qui concerne la gestion et les opérations du Commissariat, les représentants du CPVP se sont présentés devant les comités parlementaires en 2004-2005 pour discuter des sujets suivants :

• Rapport annuel et budget principal des dépenses 2003-2004 (17 novembre 2004)
• Budget supplémentaire des dépenses (1^er décembre 2004)
• Mécanismes de financement des agents du Parlement (10 février 2005)
• Rôle et fonctionnement du CPVP (16 février 2005)

Autres activités de liaison avec le Parlement

Le CPVP a lancé plusieurs autres initiatives au cours de la dernière année dans le but d’offrir de meilleurs conseils au Parlement sur des enjeux en matière de protection de la vie privée.

En mai 2004, nous avons créé une fonction de liaison avec le Parlement afin d’améliorer nos relations avec le Parlement. Cette fonction relève de la Direction de la recherche et politique et reflète la volonté du CPVP de cibler ses activités parlementaires de façon à fournir aux députés et aux sénateurs des conseils éclairés et judicieux sur les politiques.

L’une des priorités de la dernière année a été d’améliorer notre façon d’évaluer, de surveiller et de prévoir l’activité parlementaire. Le CPVP a instauré un nouveau système amélioré pour suivre de près l’évolution des projets de loi au Parlement et pour rester à l’affût de nouveaux développements qui présenteraient un intérêt sur les plans de la promotion et de la protection du droit à la vie privée. L’objectif : ériger des ponts entre le CPVP et les ministères afin de leur faire part de nos observations plus tôt dans le processus législatif, au moment où nos commentaires peuvent être pris en compte de manière plus efficace. Lorsqu’un projet de loi a été déposé à la Chambre des communes, il est souvent trop tard pour repenser la façon d’aborder les enjeux en matière d’information.

Cette année, le Commissariat a répondu à une vaste correspondance et de nombreuses demandes de renseignements de sénateurs et de députés. La commissaire et les commissaires adjoints ont également rencontré en privé les sénateurs et les députés qui souhaitaient discuter de questions de politiques en matière de protection de la vie privée ou mieux connaître le fonctionnement du Commissariat.

Vers la fin de 2004, le CPVP a tenu, avec le Commissariat à l’information et en collaboration avec la Direction de la recherche de la Bibliothèque du Parlement, une séance d’information pour les parlementaires et leur personnel sur les rôles et les mandats des deux commissariats. L’assistance était nombreuse à la séance d’information et celle-ci a soulevé beaucoup de questions chez les participants. Nous sommes d’avis que de telles séances d’information contribuent à une plus grande sensibilisation aux enjeux relatifs à la protection de la vie privée sur la Colline du Parlement, et nous envisageons de tenir d’autres séances du genre à l’avenir.

Priorités pour l’année qui vient

Le Commissariat prévoit une charge de travail élevée dans le domaine des affaires parlementaires pour le prochain exercice. De nombreux projets de loi d’intérêt pour le CPVP sont attendus au cours de la prochaine session, et l’examen parlementaire prévu par la loi de la Loi sur la protection des renseignements personnels et les documents électroniques doit débuter en 2006. Le CPVP prévoit jouer un rôle constructif au cours de cet examen en conseillant judicieusement les parlementaires qui feront l’étude du fonctionnement de la Loi au cours de ses premières années de mise en application, et des modifications et améliorations possibles.

Le CPVP continuera de suivre avec intérêt l’examen parlementaire de la Loi antiterroriste. Au cours de l’exercice 2005-2006, la commissaire à la protection de la vie privée s’est présentée à deux reprises devant des comités à ce sujet, d’abord devant un Comité spécial du Sénat procédant à l’examen de la Loi (9 mai 2005), ensuite devant un sous-comité du Comité permanent de la justice de la Chambre des communes (1^er juin 2005).

Afin d’agir efficacement à titre d’agent du Parlement, nous sommes d’avis qu’il faut entretenir de bonnes relations de travail avec les ministères et les organismes fédéraux. Le CPVP prévoit mettre davantage l’accent sur l’identification et la communication des préoccupations en matière de protection de la vie privée au moment où le gouvernement élabore certaines initiatives, plutôt que d’attendre qu’elles fassent leur entrée au Parlement, afin d’accroître les chances que ces préoccupations soient prises en considération.

Sécurité nationale

En mai 2004, le Parlement a promulgué la Loi sur la sécurité publique. Cette loi, présentée pour une première fois en novembre 2001 dans la foulée des attentats terroristes du 11 septembre, autorise le ministre des Transports, le commissaire de la Gendarmerie royale du Canada (GRC) et le directeur du Service canadien du renseignement de sécurité (SCRS) à demander aux transporteurs aériens et aux exploitants de systèmes de réservation de services aériens de leur fournir, sans mandat, certains renseignements relatifs aux passagers. Cette mesure peut paraître justifiée compte tenu des risques que représentent les terroristes pour le transport aérien, mais l’utilisation qu’en font les autorités n’est pas uniquement liée à la lutte antiterroriste ou à la sécurité des transports. La Loi sur la sécurité publique permet aussi d’utiliser ces renseignements pour identifier les passagers recherchés en vertu d’un mandat et pour un large éventail d’infractions criminelles ordinaires. En d’autres mots, les mesures de lutte antiterroriste servent à combler les lacunes de l’application ordinaire de la loi, nivelant par le bas le modèle généralement exigé des autorités responsables de son application.

Une autre disposition prévue dans la Loi sur la sécurité publique modifie la LPRPDE afin d’autoriser les organisations du secteur privé à recueillir des renseignements personnels sans le consentement du client et à les communiquer au gouvernement et aux organismes chargés de l’application de la loi et de la sécurité nationale. Les modifications ne s’appliquent pas uniquement aux sociétés de transport, mais à toutes les organisations assujetties à la LPRPDE – institutions financières, entreprises de télécommunications et détaillants. La communication de renseignements personnels sont une façon efficace de s’assurer le concours des organisations du secteur privé en s’appropriant celles-ci et en les mettant au service des forces de l’ordre, ce qui estompe dangereusement la démarcation entre le secteur privé et l’État.

Ce n’est pas seulement le secteur privé qui est intégré aux activités d’application de la loi ; la logique de la lutte antiterroriste s’immisce également dans les initiatives plus conventionnelles en matière d’application de la loi et de sécurité publique. Cet état d’esprit menace d’éroder notre droit à la vie privée et nos autres libertés parce que les contraintes opérationnelles des organismes de sécurité nationale – par exemple, l’obligation d’obtenir une autorisation judiciaire – sont souvent plus faibles que celles régissant les organismes chargés de l’application de la loi.

Les débats sur la sécurité publique ne sont pas nouveaux. Ils ont cours depuis des années et remontent certainement plus loin que le 11 septembre. Toutefois, nous entendons aujourd’hui des messages explicites sur « les services de police axés sur le renseignement » et sur la vigilance comme moyens d’empêcher les terroristes de faire la loi dans notre société. Qu’il y ait prolifération de ces messages alors qu’il n’y a pas d’attention équivalente à l’égard de la nécessité de protéger les libertés civiles s’avère inquiétant. On observe maintenant une acceptation générale des divers types de surveillance et une dérive marquée vers une diminution de nos libertés civiles. Un État qui permet de façon régulière la présence de menaces à l’endroit des libertés civiles et du droit à l’autonomie consacré dans la Charte se retrouve en terrain glissant.

Si notre société se doit d’agir face aux préoccupations légitimes en matière de sécurité, nous devons aussi nous prémunir des marchands de peurs et de l’intolérance qui menacent une démocratie libérale.

Loi antiterroriste

La Loi antiterroriste (adoptée en automne 2001) requiert un examen parlementaire après trois ans. Le Sénat a nommé un comité spécial pour effectuer cet examen, tandis que la Chambre des communes l’a porté devant le Sous-comité de la Sécurité publique et nationale du Comité permanent de la justice, des droits de la personne, de la sécurité publique et de la protection civile.

En prenant part à cet examen, nous en formulons les questions les plus importantes, à savoir : les pouvoirs additionnels en matière d’application de la loi et de surveillance sont-ils nécessaires et proportionnels aux menaces qu’ils sont censés traiter – Les avantages en matière de sécurité qui en découlent justifient-ils le sacrifice de la protection de la vie privée et d’autres droits ?

Plusieurs défis se posent pour la préparation de cet examen, dont celui d’essayer de déterminer si les pouvoirs extraordinaires que la Loi antiterroriste confère aux organismes chargés de l’application de la loi et de la sécurité nationale sont réellement nécessaires et efficaces. Nous n’avons trouvé aucune évaluation empirique de leur efficacité à détecter, à prévenir ou à dissuader les actes terroristes. Notre défi est plus grand encore : lorsque le gouvernement a accordé de nouveaux pouvoirs aux organismes chargés de l’application de la loi et de la sécurité nationale, il a également diminué la transparence et l’imputabilité.

La Loi antiterroriste ne peut pas être considérée seule. Au printemps 2005, nous avons exhorté les deux comités chargés de l’examen de la Loi à adopter une vision élargie de leur mandat afin d’examiner l’incidence cumulative sur le droit à la vie privée des Canadiennes et des Canadiens de toutes les mesures adoptées dans la foulée des attentats du 11 septembre – modifications à la Loi sur l’aéronautique (adoptées en fin d’année 2001), la Loi sur la sécurité publique et la Loi sur l’immigration et la protection des réfugiés.

Circulation transfrontalière des renseignements personnels

La Loi antiterroriste n’est nullement l’unique initiative du gouvernement qui menace la vie privée. Le gouvernement recueille, analyse et échange plus de renseignements personnels, avec le concours de la technologie, des nouvelles lois, de la réorganisation gouvernementale et d’une plus grande collaboration avec les États étrangers. La circulation de renseignements personnels entre les ministères et les organismes gouvernementaux a vraisemblablement augmenté de manière considérable, tant au pays qu’à l’extérieur du Canada.

Tous ces facteurs ont entraîné un changement fondamental dans l’équilibre entre la sécurité nationale, l’application de la loi et la protection des renseignements, et ont donné lieu à une diminution de la protection de la vie privée et des procédures équitables pour les personnes.

En avril 2004, le gouvernement du Canada a lancé sa tout première politique de sécurité nationale. La politique promettait la création d’un « centre d’évaluation intégrée des menaces » pour faciliter la collecte, l’analyse et l’échange de renseignements et d’autres informations. Le centre relève du SCRS, mais ses employés proviennent de plusieurs ministères et organismes.

Le gouvernement a subi une restructuration, d’où la création du nouveau ministère de la Sécurité publique et de la Protection civile Canada et de nouveaux organismes dont l’Agence des services frontaliers du Canada (ASFC). Cette réorganisation entraînera l’intensification de l’échange de renseignements entre des entités autrefois distinctes.

Certains ont affirmé que la Loi sur la protection des renseignements personnels entravait la communication critique de renseignements personnels. La Loi sur la protection des renseignements personnels n’a pas besoin d’être modifiée en vue de faciliter l’échange d’information – cela est déjà possible. Elle doit l’être afin de contrer la surveillance accrue et la collecte ponctuelle de données à grande échelle que nous observons.

La réforme de la Loi sur la protection des renseignements personnels n’est pas une idée nouvelle. On la réclame depuis la fin des années 1980, bien avant la surveillance et les technologies de l’information d’aujourd’hui. Plutôt que de renforcer la Loi, le gouvernement en a affaibli les dispositions par des mesures telles que celles prévues dans la Loi antiterroriste.

Intégrer les systèmes d’information

L’investissement du gouvernement dans les systèmes intégrés d’information qui collectent et analysent une grande quantité de renseignements personnels sur nos habitudes de voyage, nos transactions financières et même, dans certains cas, sur les personnes que nous fréquentons, se fait de manière de plus en plus difficile à déceler. Les systèmes analysent et explorent les données personnelles en vue de repérer des modèles de comportement suggérant la possibilité qu’une personne présente un danger pour la sécurité, blanchit de l’argent ou finance un groupe terroriste.

Tandis que les organismes chargés de l’application de la loi et de la sécurité nationale recueillent davantage de renseignements, à partir de sources plus nombreuses, sur un plus grand nombre de personnes, le risque que des autorités prennent des décisions en se fondant sur des renseignements d’une exactitude douteuse ou pris hors contexte augmente. Les usages abusifs, les interprétations fautives et les communications inappropriées de renseignements personnels peuvent avoir des conséquences néfastes et préjudiciables pour les personnes, les familles, et même les communautés.

Le problème s’aggrave lorsque les dispositions de non-divulgation et le manque de transparence nous empêchent de déterminer à quel moment le système a failli et les raisons pour lesquelles une personne a été injustement ciblée.

Il n’est pas surprenant de constater que l’optique de la « frontière intelligente » en sécurité transfrontalière ait fait s’accroître la coopération et l’échange de renseignements avec les États-Unis. Par exemple, les deux pays ont mis sur pied des équipes intégrées de police des frontières et de police maritime, qui sont des organismes d’application de la loi, afin de coordonner leurs efforts dans la lutte contre les activités criminelles transfrontalières et terroristes.

Par contre, les Canadiennes et les Canadiens sont de plus en plus préoccupés par l’échange de renseignements personnels avec les États-Unis, particulièrement lorsque l’on tient compte du manque de surveillance de la part des organismes et des départements fédéraux américains sur la collecte, l’utilisation et la communication de renseignements personnels. De plus, la Privacy Act of 1974 des États-Unis ne s’applique pas aux ressortissants étrangers, ce qui prive les Canadiennes et les Canadiens ainsi que les citoyens et citoyennes d’autres pays de certaines protections relatives aux renseignements personnels – dont le droit à l’accès et à la correction – en vertu des lois américaines. Lors d’un sondage des Associés de recherche EKOS, commandé par le Commissariat en mars 2005, 85 p. 100 des gens interrogés ont affirmé qu’ils étaient très ou modérément préoccupés par le transfert de renseignements personnels entre des organismes du gouvernement canadien et des gouvernements étrangers en vue de protéger la sécurité nationale.

L’incidence de la USA PATRIOT Act

Ces préoccupations ont été mises en évidence par une disposition de la USA PATRIOT Act (article 215), laquelle autorise un tribunal spécial à secrètement rendre une ordonnance obligeant « la production de toute chose concrète », dont possiblement les renseignements personnels d’une personne, au Federal Bureau of Investigation (FBI). La Loi interdit aussi à quiconque qui se voit signifier une telle ordonnance secrète de révéler s’y être conformé, ou même de révéler qu’une telle ordonnance existe.

En 2004, le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, David Loukidelis, a annoncé qu’il cherchait à savoir si la USA PATRIOT Act permettait aux autorités américaines d’avoir accès à des renseignements personnels de la population de la Colombie-Britannique, par l’impartition des opérations du secteur public à des fournisseurs de services du secteur privé liés aux États-Unis qui en ont la garde ou le contrôle.

Le commissaire de la Colombie-Britannique a commencé l’examen à la suite d’une proposition selon laquelle une filiale canadienne d’une entreprise américaine se chargerait de l’administration des régimes provinciaux de soins médicaux et d’assurance-médicaments. Les détracteurs de la proposition ont fait valoir que cela pourrait possiblement permettre à des organismes américains tels que le FBI d’obtenir, de l’entreprise américaine, les renseignements personnels des Canadiennes et des Canadiens en vertu de la USA PATRIOT Act.

En août 2004, nous avons présenté un mémoire au commissaire de la Colombie-Britannique intitulé « Communication transfrontalière de renseignements sur les Canadiens et les Canadiennes – Répercussions de la USA PATRIOT Act ». Le mémoire expliquait qu’une entreprise détenant les renseignements personnels de résidants canadiens vivant au Canada n’avait pas l’obligation de répondre à une ordonnance d’un tribunal afin de fournir ces renseignements à un gouvernement ou un organisme étranger, même si l’entreprise est une filiale d’une entreprise basée dans un pays étranger. En fait, l’entreprise contreviendrait à la LPRPDE si elle communiquait des renseignements personnels sans le consentement de la personne concernée. Seule une exception en vertu d’une loi donnée peut autoriser la communication de renseignements personnels, telle que les modifications apportées à la Loi sur l’aéronautique qui permettent aux transporteurs aériens de communiquer à un État étranger les renseignements qu’ils détiennent sur des passagers.

La LPRPDE prévoit une plus vaste protection et exige que les organisations qui communiquent des renseignements personnels à un tiers aux fins de traitement utilisent « un contrat ou autres moyens » afin de s’assurer que des entreprises situées à l’étranger procurent une protection des renseignements personnels comparable à celle du Canada.

Toutefois, le mémoire reconnaît que les entreprises détenant les renseignements personnels de Canadiennes et de Canadiens se trouvant à l’étranger doivent se conformer aux lois de ce pays et devraient communiquer les renseignements personnels s’il y avait une ordonnance de la cour. Cela signifie qu’une entreprise canadienne qui impartirait le traitement de renseignements personnels aux États-Unis exposerait de fait les renseignements aux lois américaines.

Le gouvernement de la Colombie-Britannique a réagi à la controverse en adoptant une loi modifiant la Loi sur l’accès à l’information et la protection des renseignements personnels (traduction libre) et neuf autres lois. Cette loi impose des limites aux organismes publics et aux fournisseurs de services de la Colombie-Britannique quant à la conservation et à la communication de renseignements personnels à l’extérieur du Canada, ainsi qu’à l’accès à ceux-ci.

Bien entendu, les lois de la C.-B. ne protègent pas les renseignements personnels que le gouvernement fédéral transfert à l’extérieur du pays ; la LPRPDE ne s’y applique pas non plus. Nous exhortons le gouvernement fédéral à étudier les circonstances dans lesquelles il permet aux renseignements personnels des Canadiennes et des Canadiens d’être traités à l’extérieur du Canada et d’expliquer aux Canadiennes et aux Canadiens la nature de ces transferts. La commissaire a fait valoir que « les Canadiens et les Canadiennes ont besoin de comprendre véritablement la mesure dans laquelle leurs renseignements personnels sont transférés par-delà les frontières, et la mesure dans laquelle les renseignements personnels qui les concernent peuvent être mis, et sont mis, à la disposition des gouvernements étrangers et des organisations étrangères ».

Au début de 2005, nous avons effectué un suivi en faisant parvenir une lettre au président du Conseil du Trésor exhortant le gouvernement à examiner l’incidence de l’impartition du traitement des renseignements personnels et à élaborer des clauses contractuelles protégeant les renseignements personnels communiqués à des tiers aux fins de traitement.

La vérification de l’Agence des services frontaliers du Canada

Nous avons également entrepris la planification de la vérification de l’Agence des services frontaliers du Canada (ASFC) qui se penchera sur l’échange de renseignements personnels avec les États-Unis. Les objectifs généraux de la vérification consisteront à « évaluer la mesure dans laquelle l’ASFC contrôle et protège adéquatement la communication des renseignements personnels des Canadiens à des gouvernements étrangers ou à leurs institutions ». Un élément important sera l’établissement de rapports et de mises en correspondance, dans la mesure du possible, relativement aux renseignements des Canadiennes et des Canadiens que l’ASFC communique aux États-Unis et les raisons sous-jacentes.

La vérification permettra d’étudier plusieurs systèmes opérationnels importants que l’ASFC utilise pour traiter les renseignements personnels recueillis et échangés avec ses homologues américains. La vérification évaluera aussi la robustesse globale de la gestion de la protection de la vie privée à l’ASFC, et la façon dont celle-ci rend compte de ses responsabilités en matière de gestion de la protection de la vie privée au Parlement et au public.

En somme, la commissaire à la protection de la vie privée ne s’oppose pas à la lutte antiterroriste et à l’amélioration de la sécurité ; nous ne nous opposons pas à l’échange de renseignements personnels. Toutefois, nous devons nous assurer que les mesures prises en vue d’accroître la sécurité ne diminuent pas, en bout de ligne, les libertés qui définissent la société que nous défendons. Il nous faut des lois bien élaborées, une surveillance et une imputabilité accrue – et des mesures de contrôle et de contrepoids efficaces.

Lorsque les droits sont restreints sans amélioration de la sécurité, tout le monde y perd. Par contre, l’accroissement de la sécurité sans érosion du droit légitime à la vie privée est une formule gagnante pour tous.

Réforme de la Loi sur la protection des renseignements personnels

Dans cette section, nous donnerons un aperçu de la situation et expliquerons certains éléments importants que le gouvernement doit prendre en considération pour actualiser la Loi sur la protection des renseignements personnels, c’est-à-dire pour entreprendre la réforme tant attendue.

Le tableau en matière de protection de la vie privée est infiniment plus complexe aujourd’hui qu’il ne l’était il y a dix ans. Face à la mondialisation croissante et à l’impartition à grande échelle du traitement et de la conservation des renseignements personnels, la Loi sur la protection des renseignements personnels du Canada fait preuve d’un retard déplorable.

Les technologies de l’information courantes de nos jours – Internet et les nouvelles technologies de surveillance telles que la vidéo numérique, les réseaux reliés, les systèmes de localisation mondiale, les boîtes noires dans les voitures, le dépistage génétique, les identificateurs biométriques et l’identification par radiofréquence – n’existaient pas au moment de l’entrée en vigueur, en 1983, de la Loi sur la protection des renseignements personnels. C’est un euphémisme que de qualifier la Loi de surannée quand il s’agit de faire face aux réalités d’aujourd’hui – il est plus juste de la comparer à un cheval de trait se démenant pour suivre des appareils technologiques frôlant la vitesse de la lumière.

De nouvelles technologies conçues pour surveiller les personnes ou capables de le faire, sont chose courante et ne sont pas réservées à l’usage des organismes chargés de l’application de la loi et de la sécurité nationale. Des entreprise, des personnes – même votre nouvelle voiture – recueillent des données personnelles par l’entremise de caméras de surveillance, de logiciels espions, de l’exploration de données et de capteurs infrarouges détectant la chaleur, souvent sans que vous ne le sachiez ou sans votre consentement.

Les renseignements personnels sont devenus une marchandise lucrative. La protection de ces renseignements, en particulier dans le secteur public, est un défi continu pour les défenseurs de la protection de la vie privée – un défi d’autant plus difficile si l’on considère que la Loi sur la protection des renseignements personnels du Canada ne prévoit aucune mesure exécutoire de contrôle sur l’exportation de renseignements personnels.

Un long cheminement

Dès les années 60, les Canadiennes et les Canadiens ont commencé à se questionner sur la relation entre les renseignements, la protection de la vie privée et le pouvoir politique. Ils ont commencé à craindre que l’usage croissant des ordinateurs n’entraîne la perte de l’individualité ou la conformité obligatoire.

En 1971, face aux préoccupations grandissantes, le ministère de la Justice et l’ancien ministère des Communications ont lancé un groupe de travail conjoint afin d’étudier les répercussions sociales et légales de la technologie informatique. De cette étude est né le rapport décisif L’ordinateur et la vie privée. Les recommandations émises dans ce rapport ont mené, en 1978, à l’inclusion du droit à la vie privée dans la Loi canadienne sur les droits de la personne.

L’actuelle Loi sur la protection des renseignements personnels a été fondée sur ce droit et l’a renforcé. Elle reflète en plus les lignes directrices en matière de protection de la vie privée adoptées en 1980 par l’Organisation de coopération et de développement économiques (OCDE), dont le Canada est membre.

Le Canada est signataire de plusieurs instruments internationaux qui mettent l’accent sur l’importance ultime de la protection de la vie privée. La Déclaration universelle des droits de l’homme et le Pacte international relatif aux droits civils et politiques mentionnent tous deux le droit à la protection de la loi contre des immixtions arbitraires dans la vie privée. La Cour suprême du Canada elle-même étoffe progressivement le droit à la vie privée par l’entremise de la Charte canadienne des droits et libertés. Mais face aux menaces du XXIe siècle, la Loi sur la protection des renseignements personnels est désuète et souvent inadéquate pour protéger les données dans le secteur public.

Cela aurait pu être évité. En 1987, trois ans après la mise en vigueur de la Loi sur la protection des renseignements personnels, le Parlement a procédé à l’examen prévu par la loi et a déposé un rapport détaillé recommandant que des modifications considérables soient apportées à la Loi. Dix ans plus tard, un autre comité parlementaire a recommandé qu’une révision importante soit effectuée. Les commissaires à la vie privée ont déposé une série de mémoires et de rapports, signalant les obstacles au droit à la vie privée des Canadiennes et des Canadiens que pose la technologie.

Les faiblesses sont encore plus manifestes lorsque nous comparons la Loi sur la protection des renseignements personnels – une loi de première génération sur la protection des données – à la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). En fait, on pourrait remédier à plusieurs préoccupations du Commissariat à la protection de la vie privée en adoptant des dispositions similaires à celles de la LPRPDE.

Le nouveau paradigme de la sécurité nationale

Tel qu’il a été mentionné plus tôt dans ce rapport, il semble qu’après les attentats du 11 septembre 2001 la sécurité nationale ait éclipsé tout le reste. Bien entendu, les Canadiennes et les Canadiens veulent assurer leur sécurité, ainsi que celle de leurs alliés. Comme toujours, le risque est que la grande expansion des systèmes de surveillance gruge de façon continue notre droit à la vie privée (entre autres droits), réduise nos attentes raisonnables en matière de protection de la vie privée et d’autonomie, et néglige la question cruciale qui consiste à savoir où s’impose la limite.

La Loi antiterroriste et la Loi de 2002 sur la sécurité publique ont toutes deux contribué à créer un environnement favorisant une plus vaste surveillance des personnes et des institutions. Une grande partie des renseignements de nature hautement sensible concernant la vie de personnes, de familles et de communautés est stockée dans des systèmes intégrés d’information auxquels les milieux chargés du maintien de l’ordre et de la sécurité ont facilement accès.

L’incidence cumulative des nouvelles lois est inquiétante. Premièrement, les pouvoirs de surveillance des organismes chargés de la sécurité et de l’application de la loi ont été exagérément élargis. Deuxièmement, les dispositions limitant l’usage de ces pouvoirs de surveillance – y compris par les tribunaux – ont été indûment réduites. Finalement, l’imputabilité et la transparence gouvernementales ont été considérablement réduites aussi. Nous prenons des risques en essayant de défendre notre société par des moyens qui abrogent les libertés fondamentales qui la définissent.

Circulation transfrontalière des données

La Loi sur la protection des renseignements personnels doit aujourd’hui se débattre dans un monde où la « mondialisation » signifie bien plus que le commerce international de marchandises ; la « mondialisation » signifie aussi une circulation à grande échelle de renseignements personnels à l’extérieur de nos frontières aux fins de traitement et de stockage par les gouvernements et le secteur privé. Dans les faits, cela signifie que les renseignements personnels quittent l’abri des lois canadiennes pour se retrouver dans un possible néant juridique.

Comme il l’a été mentionné plus haut, la communication de renseignements personnels d’un gouvernement à un autre a augmenté de façon régulière, en particulier depuis le 11 septembre 2001 ; il en est de même pour la communication de renseignements par le gouvernement à des compagnies à l’étranger. Aucune disposition de la Loi sur la protection des renseignements personnels ne s’applique à des tiers situés outre-mer qui détiennent et traitent les renseignements personnels des Canadiennes et des Canadiens. Présentement au Conseil du Trésor, aucune politique ne régit les institutions gouvernementales en cette matière, même si certaines politiques sont à l’étude. Bien que nous accueillions favorablement les nouvelles politiques, le libellé de la Loi sur la protection des renseignements personnels devrait spécifiquement définir les responsabilités des instances qui communiquent les renseignements personnels à l’extérieur du secteur public et, bien entendu, à l’extérieur du Canada.

Une autre répercussion de l’impartition est que les renseignements personnels des Canadiennes et des Canadiens seraient mis à la portée de la USA PATRIOT Act, problème soulevé plus tôt dans ce rapport. Comme le Canada et les États-Unis possèdent déjà moult ententes d’échange de renseignements à grande échelle à des fins d’application de la loi et de sécurité, on pourrait croire que les répercussions sur l’échange de renseignements et les dossiers du gouvernement sont faibles. Toutefois, si une institution ou entreprise canadienne décidait de traiter et de stocker des données sur ses clients aux États-Unis, les renseignements seraient alors à la portée des organismes américains, ce qui annulerait la protection fournie par la Loi sur la protection des renseignements personnels et la LPRPDE.

Le gouvernement en ligne ou cybergouvernement

La Loi sur la protection des renseignements personnels doit également lutter contre la pression des organismes gouvernementaux – et le public, disons-le – pour fournir des services gouvernementaux en ligne. En fait, le succès du Canada en cette matière est remarquable. Selon une enquête annuelle sur la performance des gouvernements à l’échelle internationale, menée par Accenture, une entreprise offrant des conseils en gestion et des services technologiques, le Canada s’est hissé en première position parmi 22 pays pour la cinquième année consécutive. Offrir des services en direct aux Canadiennes et aux Canadiens est une priorité du gouvernement et devrait assurer moins de répétitions inutiles d’information et un meilleur service aux citoyennes et aux citoyens.

Toutefois, les demandes du cybergouvernement menacent de mettre fin aux silos de renseignements, lesquels fournissent leur propre protection structurelle. Les silos de données sont peut-être contraires au concept de gouvernement en ligne ou cybergouvernement ; il ne fait aucun doute qu’ils sont « moins efficients ». Ils dupliquent les renseignements, et on ne peut pas se déplacer de l’un à l’autre.

En revanche, le cybergouvernement pourrait requérir des systèmes interopérables qui créent un bassin de renseignements personnels et mettent ceux-ci à la disposition d’un plus grand nombre d’usagers à des fins plus nombreuses. Plus il y a de renseignements, de visites et d’usagers, plus les personnes sont vulnérables à la surveillance excessive, qu’elle soit gouvernementale ou bureaucratique.

Sommes-nous en mesure d’accepter ce qui constitue en fait un fichier personnel détaillé et de faire confiance au gouvernement pour qu’il n’en fasse pas un usage inapproprié? Si oui, comment?

Le cybergouvernement procurera peut-être l’élan critique nécessaire pour faire de la Loi sur la protection des renseignements personnels un cadre de protection de la vie privée beaucoup plus efficace. La Loi doit établir des contrôles plus sévères d’accès au bassin de renseignements. Une meilleure loi exigerait une justification plus adéquate de la collecte de renseignements, a priori, par une justification clairement énoncée. Une meilleure loi exigerait également une adhésion plus rigoureuse au principe selon lequel les renseignements personnels doivent être utilisés uniquement pour les fins auxquelles ils ont été recueillis.

Le cybergouvernement est présent, mais la loi est toujours loin derrière. Si le gouvernement souhaite devenir le plus branché avec ses citoyennes et citoyens, il doit également assurer une plus grande protection de ces derniers.

Élargir la portée de la Loi sur la protection des renseignements personnels

Il n’y a pas que les années écoulées qui ont aveuli la Loi sur la protection des renseignements personnels. Peut-être plus cruciale encore est la fonction de la loi, qui est de protéger les données plutôt que la vie privée en tant que telle. Bien qu’elle ait un certain mordant, la loi n’arrive pas, dans certaines circonstances, à faire mieux que d’ « émettre des grognements ». La Loi est essentiellement un ensemble de vérifications et de contrepoids au pouvoir gouvernemental. Elle prévoit une série de pratiques équitables de traitement de l’information pour réglementer les activités du gouvernement fédéral se rapportant à la collecte, à l’utilisation et à la communication de données personnelles concernant des personnes. Et la Loi donne à ces personnes le droit d’accès à cette information.

Étendre la juridiction

Il existe présentement des lacunes dans les champs d’application de la Loi sur la protection des renseignements personnels : plusieurs institutions, dont notre Commissariat, ne sont pas assujettis aux lois régissant la protection des renseignements personnels. Au fil des ans, le gouvernement fédéral a créé de nombreuses entités qui ne semblent ni assujetties à la Loi sur la protection des renseignements personnels ni à la LPRPDE ; elles y échappent. Ces entités prennent la forme de conseils, de tribunaux, de commissions, de fondations, d’institutions et de corporations. Elles fonctionnent en association ou conjointement et sont financées par les gouvernements fédéraux et provinciaux. À notre avis, une telle situation affaiblit considérablement le contrôle qu’exerce le Parlement sur la protection des renseignements personnels. Pour le prochain exercice, nous avons entrepris une vérification afin de déterminer et de confirmer l’ampleur des lacunes, et d’évaluer les risques de façon plus détaillée. À ce jour, nous avons identifié plus de 30 entités qui ne sont pas clairement assujetties aux lois sur la protection des renseignements personnels.

Alors que le gouvernement crée de nouvelles institutions, un débat s’ensuit à savoir s’il faut ou non ajouter celles-ci à la liste des institutions visées. Compte tenu que le processus est malhabile et que le droit est suffisamment vital à une démocratie, il est permis de croire qu’il est justifié de donner préséance à la Loi sur la protection des renseignements personnels sur toute autre loi du Parlement. La Loi s’appliquerait donc à toutes les institutions fédérales à moins qu’une loi habilitante ou toute autre loi ministérielle ne déclare expressément qu’elle l’emporte sur la Loi sur la protection des renseignements personnels. Une disposition similaire apparaît déjà à la LPRPDE.

Protéger les renseignements non enregistrés

La technologie a démontré de façon éloquente que le fait de limiter l’application de la Loi sur la protection des renseignements personnels aux renseignements personnels « enregistrés sous quelque forme que ce soit » est périmé.

La définition restrictive place les renseignements non enregistrés, tels que la surveillance électronique en temps réel (caméras de surveillance en direct) ou les échantillons biologiques, au-delà de la portée de la Loi. Pourtant, les technologies peuvent produire des données intelligibles au sujet de personnes identifiables qui devraient bénéficier d’une protection juridique.

Il est possible de modifier cette proposition ; certaines lois provinciales régissant la protection des renseignements personnels et la LPRPDE s’appliquent aux renseignements non enregistrés. Par exemple, une entreprise de sécurité des Territoires du Nord-Ouest et du Nunavut a installé quatre caméras de sécurité sur le toit de son édifice, l’objectif dirigé sur une des intersections principales de Yellowknife. Pendant plusieurs jours, 24 heures par jour, le personnel a visionné la transmission en direct et rapporté un certain nombre d’incidents à la police locale. Cette activité de surveillance visait à démontrer l’efficacité du service de l’entreprise et à mousser les affaires de celle-ci.

Bien que les protestations du public aient rapidement mis fin à cette démonstration, la commissaire était habilitée à enquêter et à émettre des conclusions en vertu de la LPRPDE, laquelle fournit des conseils pratiques à d’autres organisations. La commissaire a conclu que même si la surveillance des places publiques était appropriée pour des raisons de sécurité publique, il faut d’abord en démontrer la nécessité, s’assurer qu’elle soit exécutée par les autorités publiques légitimes, et inclure toutes les mesures de protection licites en matière de protection de la vie privée.

Étendre le droit d’accès

La mondialisation signifie également que les institutions gouvernementales canadiennes détiennent maintenant des renseignements personnels concernant des ressortissants étrangers. Par exemple, l’ASFC recueille de l’information préalable sur les voyageurs/dossier passager pour les voyageurs venant au Canada. Les renseignements comprennent le nom, la date de naissance, la citoyenneté, le passeport ou le numéro de document de voyage, l’information sur la réservation et l’itinéraire du voyageur. Les transporteurs aériens recueillent les renseignements des passagers au point d’embarquement et les font parvenir à l’ASFC avant l’arrivée du vol.

Toutefois, seules les personnes en territoire canadien ont le droit, en vertu de la Loi sur la protection des renseignements personnels, de demander l’accès aux renseignements personnels les concernant. Cela signifie que des passagers de transporteurs aériens outre-mer, ainsi que des personnes faisant une demande d’immigration, des étudiants étrangers et plusieurs autres étrangers dont les renseignements figurent dans les dossiers gouvernementaux canadiens, n’ont, selon la Loi, aucun droit d’examiner ces renseignements, de connaître la manière dont ils sont utilisés ou communiqués, ou de porter plainte auprès de la commissaire à la protection de la vie privée.

Il devient de plus en plus difficile de justifier une entrave au droit d’accès face à la mobilité internationale et à l’échange de données personnelles qui s’ensuit. Il ne semble pas non plus que cette entrave soit justifiée lorsque d’autres pays accordent le droit d’accès aux Canadiennes et aux Canadiens. Par exemple, la Directive européenne en matière de droit à la vie privée (à laquelle 25 pays membres se conforment) accorde le droit d’accès à « toute personne concernée » – c’est-à-dire toute personne dont des renseignements personnels sont détenus par une entité européenne.

La collecte de renseignements personnels de passagers par l’ASFC a mis en lumière les faiblesses de la Loi sur la protection des renseignements personnels et les difficultés à assurer un traitement équitable des renseignements personnels. Bien que l’ASFC ait accepté d’étendre administrativement ce droit aux citoyennes et aux citoyens qui ne se trouvent pas en territoire canadien, le groupe de travail de l’Union européenne et la commissaire à la protection de la vie privée préféreraient que tous se voient accorder l’accès en vertu de la Loi.

Contrôle efficace du couplage de données

Bien que l’usage que fait le gouvernement du couplage de données (ou
« interconnexion des ordinateurs ») constitue vraisemblablement la plus grande menace à la protection de la vie privée des personnes, la Loi sur la protection des renseignements personnels reste silencieuse en ce qui a trait à cette pratique. Les commissaires à la protection de la vie privée (soutenus par les comités parlementaires) ont tous reconnu les dangers inhérents à la collecte excessive ou non justifiée de données. Tous ont fait la recommandation d’apporter des modifications à la Loi sur la protection des renseignements personnels afin de s’assurer que les institutions gouvernementales relient les dossiers personnels dans des systèmes discrets uniquement lorsqu’il est possible d’en démontrer la nécessité, et sous la surveillance permanente et vigilante de la commissaire à la protection de la vie privée du Canada. Ces recommandations n’ont pas été exécutées.

Il est vrai que toutes les améliorations à la Loi ne nécessitent pas de modifications législatives ; des directives administratives ou des directives relatives aux politiques peuvent souvent remplir ce mandat. En 1989, le Conseil du Trésor a fait part de lignes directrices présentant les démarches que les ministères devraient prendre avant de procéder au couplage de données, y compris la présentation d’une proposition détaillée à la commissaire à la protection de la vie privée aux fins d’examen. Compte tenu du peu de propositions de couplage de données qu’a reçues le Commissariat à la protection de la vie privée – et compte tenu que la pratique est vraisemblablement répandue – il est grand temps de prévoir des obligations à cet effet dans la Loi.

Limiter la collecte

Limiter la collecte est un principe fondamental de tout acte législatif régissant la protection de l’information. La Loi sur la protection des renseignements personnels oblige les institutions gouvernementales à recueillir uniquement les renseignements personnels « directement reliés » à un programme ou à une activité autorisé par le Parlement. Cela accorde au gouvernement une marge de manœuvre pour concevoir des programmes en ayant en tête un ensemble défini de renseignements personnels. Un contrôle plus rigoureux encore consisterait à exiger que les institutions démontrent que les renseignements sont nécessaires au programme ou aux activités.

Bien que le Conseil du Trésor interprète ainsi la Loi sur la protection des renseignements personnels, le Parlement devrait apporter des amendements à la Loi afin que ce sujet ne soit plus matière à interprétation.

Transparence gouvernementale

La Loi sur la protection des renseignements personnels oblige les institutions gouvernementales à informer les personnes des raisons pour lesquelles leurs renseignements personnels sont recueillis. Toutefois, cette mesure ne respecte pas vraiment le droit des personnes à exercer un contrôle sur la collecte, l’utilisation et la communication de leurs renseignements personnels.

Une explication plus éclairée et plus juste en regard des principes modernes en matière de protection des données devrait préciser :

1. l’instance autorisée à recueillir les renseignements personnels ;
2. l’utilisation possible des renseignements personnels ;
3. les institutions auxquelles les renseignements personnels pourraient être communiqués ;
4. si les renseignements sont discrétionnaires ou obligatoires ;
5. les conséquences dans l’éventualité où les renseignements ne sont pas fournis ; et
6. le droit de la personne de porter plainte en vertu de la Loi sur la protection des renseignements personnels.

« Accessible au public »

Une exception aux dispositions de la Loi sur la protection des renseignements personnels en matière d’utilisation et de communication touche les renseignements « accessibles au public », par exemple les renseignements disponibles dans les archives publiques, les bibliothèques et les musées. Toutefois, ces renseignements comprennent également ceux que l’on retrouve dans les registres publics tels que le registre des faillites et le registre des lobbyistes. S’il existe de bonnes raisons de rendre ces collectes accessibles au public – transparence et imputabilité – rares sont les bureaux d’enregistrement, s’il en est, qui contrôlent les détails des renseignements qu’ils communiquent ou les utilisations subséquentes de ces renseignements. Cette situation a donné lieu à des abus tels que la communication massive de renseignements personnels contenus dans les registres à des fins de marketing.

Le Parlement devrait apporter des modifications à la Loi sur la protection des renseignements personnels qui autoriseraient la communication de renseignements personnels contenus dans ces registres uniquement pour des raisons qui correspondent aux fins initiales pour lesquelles le registre a été établi.

Repenser les dispositions relatives à la communication

La démonstration la plus probante de la faiblesse de l’actuelle Loi sur la protection des renseignements personnels en ce qui a trait à la communication de renseignements personnels provient sans doute de la Cour d’appel fédérale, en 2000, dans l’affaire E-311 (Le commissaire à la protection de la vie privée c. le procureur général du Canada). La Cour a conclu que la disposition en matière de communication prévue à l’alinéa 8(2)b) de la Loi sur la protection des renseignements personnels habilitait le Parlement à conférer à n’importe quel ministre (par l’entremise d’un acte législatif) de vastes pouvoirs discrétionnaires en matière de communication de renseignements recueillis par le ministère dudit ministre.

Le commissaire à la protection de la vie privée a fait valoir que la Loi sur la protection des renseignements personnels oblige le ministre à communiquer les renseignements personnels uniquement aux fins pour lesquelles ils ont été recueillis ou pour un usage correspondant à ces fins. Toutefois, la Cour d’appel en est venue à la conclusion que l’alinéa 8(2)b) de la Loi n’impose pas une telle restriction. L’année suivante, la Cour suprême a déclaré être essentiellement d’accord avec ce jugement.

La Loi sur la protection des renseignements personnels énonce également au paragraphe 8(2) les circonstances spécifiques selon lesquelles les institutions gouvernementales peuvent communiquer des renseignements personnels sans le consentement de la personne. Notamment la communication à des organismes d’enquête désignés, aux Archives publiques, aux députés en vue d’aider des électeurs, à des gouvernements provinciaux ou étrangers, et à des fins de recherche et de statistiques.

Certaines circonstances paraissent trop permissives. Par exemple, l’alinéa 8(2)f) autorise des communications en vertu d’une entente ou d’un arrangement entre le gouvernement du Canada et le gouvernement d’une province ou d’un pays étranger. Cette disposition se doit d’être beaucoup plus précise en ce qui a trait aux paramètres définissant une telle communication, et donner des conseils sur les types de dispositions contractuelles nécessaires pour protéger les renseignements personnels.

Lorsque les Canadiennes et les Canadiens communiquent des renseignements au gouvernement canadien ou à un consulat à l’étranger, ils s’attendent à ce que ces renseignements ne soient pas indûment remis entre les mains d’un État étranger. Le libellé actuel de l’alinéa 8(2)f) est de portée générale et son interprétation est laissée à la discrétion des ministères. Il devrait exiger un examen complet des raisons pour lesquelles l’État étranger requiert ces renseignements, de l’utilisation qui en sera faite, de l’autorité qui en fait la demande, des mesures en place et de leur efficacité pour protéger les renseignements, y compris des dispositions interdisant la communication à des tiers. En attendant la réforme de la Loi sur la protection des renseignements personnels, la commissaire à la protection de la vie privée encourage fortement les institutions gouvernementales à ce qu’elles s’imposent des normes plus sévères.

Après plus de 20 ans à surveiller l’administration de la Loi sur la protection des renseignements personnels, il s’avère évident que les dispositions en matière de communication nécessitent un examen et une révision en profondeur.

Habiliter la commissaire à la protection de la vie privée
S’éloigner du rôle de simple « ombudsman »

La Loi sur la protection des renseignements personnels confère à la commissaire à la protection de la vie privée du Canada les pouvoirs d’un ombudsman, sans pouvoirs inhérents à l’application de la loi. Toutefois, la commissaire à la protection de la vie privée peut, dans certaines circonstances, demander l’aide de la Cour fédérale. Si le modèle de l’ombudsman a fait preuve d’efficacité pour éviter les situations de confrontation afin d’encourager l’application de la loi, le fait de faire appel à l’équité et au bon sens n’est efficace que dans la mesure où cela engendre la conformité.

Des modèles dans plusieurs juridictions au Canada et à l’étranger accordent à la personne en charge les outils pour lui permettre de contraindre au respect de la loi. Le Parlement voudra peut-être examiner les avantages à accorder de tels pouvoirs à la commissaire à la protection de la vie privée du Canada.

Activités de recherche et de sensibilisation du grand public

Pendant plusieurs années, les commissaires à la protection de la vie privée qui se sont succédé ont fait valoir que les menaces naissantes à l’endroit de la protection de la vie privée des Canadiennes et des Canadiens justifiaient un discours éclairé et efficace pour la défense de la protection de la vie privée. Le Commissariat a besoin de pouvoirs et de ressources pour mener des activités de recherche et élaborer des rapports sur les enjeux relatifs à la protection de la vie privée, sensibiliser le grand public à son droit à la vie privée, et évaluer l’incidence sur la protection de la vie privée des projets de loi.

Bien que le Parlement ait entendu ces arguments au cours de la rédaction de la LPRPDE – et à quel point les outils se sont avérés utiles –, la commissaire ne s’est pas vu octroyer le même mandat de sensibilisation du grand public sous le régime de la Loi sur la protection des renseignements personnels. La commissaire devrait détenir les mêmes pouvoirs de sensibilisation des entreprises, du gouvernement et du public en vertu des deux lois.

Renforcer les révisions judiciaires

Finalement, les plaignants – et la commissaire à la protection de la vie privée – peuvent uniquement obtenir un examen judiciaire et un droit de recours suite à un refus d’accès à leurs renseignements personnels. Dans les faits, cela signifie que des allégations de collecte, d’utilisation ou de communication inappropriées ne peuvent être contestées en Cour. Cela signifie également que les avantages qui seraient associées à l’émission de directives de la Cour à l’endroit des institutions gouvernementales sont perdus. La Loi sur la protection des renseignements personnels ne prévoit pas non plus de recours pour des préjudices causés par les interventions du gouvernement.

Même après que la commissaire a reconnu que la plainte était justifiée, la Cour fédérale a décidé, en mars 2005 (Murdoch c. Canada (Gendarmerie royale du Canada)) que ni la Cour, ni la commissaire à la protection de la vie privée n’avaient de pouvoirs autres que ceux prévus par la Loi sur la protection des renseignements personnels.

Les personnes, ou la commissaire agissant en leur nom, devraient être en mesure de demander à la Cour d’examiner les activités du gouvernement en matière de collecte, d’utilisation et de communication de renseignements personnels. De même la commissaire, à titre de plaignante, devrait pouvoir s’adresser à la Cour pour l’examen de toute affaire qui entre dans le champ d’application de la Loi sur la protection des renseignements personnels. Et la Cour devrait être habilitée à fixer des dommages-intérêts pour les institutions prises en défaut.

Cadre de gestion de la protection de la vie privée

Élaborer un cadre de gestion de la protection de la vie privée à l’intention du gouvernement fédéral

Qu’est-ce qu’un cadre ?

En règle générale, les cadres de travail servent de plan pour aider les institutions fédérales à atteindre les résultats souhaités. Ils établissent des objectifs et des politiques ; ils décrivent les systèmes, les procédures et les mesures de rendement nécessaires pour atteindre ces objectifs. S’ils sont bien conçus et mis en application, les cadres peuvent être des instruments puissants en vue de montrer aux institutions la meilleure façon de mener une activité et la façon d’organiser et d’allouer les ressources pour obtenir des résultats.

Bien que le concept ne soit pas nouveau dans les milieux de la gestion, il l’est lorsqu’il s’agit de l’appliquer sur le plan de la protection de la vie privée. Il faudrait concevoir un modèle de cadre de gestion de la protection de la vie privée à l’échelle gouvernementale pour aider les ministères à protéger les renseignements personnels qu’ils contrôlent en identifiant les risques inhérents à la protection de la vie privée et en identifiant les façons de minimiser ces risques.

L’intérêt du CPVP pour les cadres de gestion de la protection de la vie privée

Le Commissariat cherche constamment à améliorer la manière de gérer la protection de la vie privée au gouvernement. Nous le faisons en présumant que :

• la Loi sur la protection des renseignements personnels (en dépit d’une réforme nécessaire) ne devrait pas empêcher la gestion améliorée de la protection de la vie privée ;
• des améliorations peuvent être obtenues au moyen de politiques et de lignes directrices ; et
• le Secrétariat du Conseil du Trésor (SCT), comme lieu des politiques en matière de protection de la vie privée, devrait s’assurer que les ministères et les organismes fédéraux rencontrent des normes élevées en matière de gestion de la protection de la vie privée.

Par exemple, en août 2004, le Commissariat a présenté un mémoire au gouvernement sur les répercussions de la USA PATRIOT Act. Nous y suggérions que le gouvernement fédéral examine les circonstances dans lesquelles il permettrait que les renseignements personnels des Canadiennes et des Canadiens soient traités à l’extérieur du Canada, donc hors de la protection de la Loi sur la protection des renseignements personnels.

La commissaire à la protection de la vie privée a, par la suite, écrit au président du Conseil du Trésor pour lui demander son soutien en cette matière.

En réponse à la lettre de la commissaire, le SCT a entrepris un examen des arrangements pris par le gouvernement fédéral en matière d’impartition des renseignements personnels. Il a aussi commencé à élaborer des modèles de clauses contractuelles à l’usage des ministères afin de réduire les risques potentiels à la protection de la vie privée relatifs aux renseignements personnels traités par des entreprises américaines ou par des sociétés affiliées basées aux États-Unis et assujetties à la USA PATRIOT Act. Cette initiative est extrêmement importante, et le SCT s’attend à ce que le travail soit terminé sous peu.

Le Commissariat a également suggéré que le SCT examine les pratiques de couplage et d’assemblage de données qu’effectue le gouvernement fédéral, réexamine la politique surannée sur le couplage de données (1989) et renforce les exigences relatives à l’établissement de rapports au titre de la Loi sur la protection des renseignements personnels. Toutes ces activités sont en cours et nous les accueillons favorablement. Nous sommes également satisfaits des exigences relatives à l’établissement de rapports formulées par le SCT en avril 2005.

Les lignes directrices sur l’établissement de rapports suggèrent une volonté à l’égard d’une gestion renforcée de la protection de la vie privée. Lorsque ces lignes directrices auront été mises à l’épreuve, le Commissariat prévoit examiner en profondeur l’établissement de rapports sur la protection de la vie privée afin de déterminer quels rapports annuels et données statistiques expliquent le plus clairement les activités et les enjeux sur la protection de la vie privée, et soutiennent une gestion solide de celle-ci.

Bien que chacune de ces initiatives soit considérable, ensemble, elles expriment la nécessité d’une approche davantage détaillée et cohérente de la gestion de la protection de la vie privée au gouvernement fédéral. Un cadre de gestion de la protection de la vie privée permettrait d’atteindre cet objectif.

En quoi un cadre de gestion de la protection de la vie privée est-il efficace ?

Premièrement, ce sont le SCT et les ministères – et non le Commissariat – qui ont la responsabilité d’assurer la mise en place d’un cadre de gestion adéquat de la protection de la vie privée. La conception et la mise en œuvre de cadres doivent être initiées à l’interne plutôt qu’imposées de l’extérieur. Un organisme de surveillance externe tel que le Commissariat peut, et devrait, suggérer les principaux éléments d’un cadre efficace. Nous pouvons également effectuer des examens et des vérifications a posteriori afin de déterminer si le cadre fonctionne comme prévu. Toutefois, pour en assurer le succès, la responsabilité du processus revient au ministère.

Le concept de cadre de gestion de la protection de la vie privée semble gagner de la popularité au sein du gouvernement fédéral. Le Comité des Sous-ministres adjoints (SMA) sur la protection de la vie privée (présidé par le SCT, le ministère de la Justice du Canada et le Bureau du Conseil privé) a tenu des rencontres périodiques pour promouvoir une approche fédérale cohérente et efficace à la protection de la vie privée, laquelle comprend l’élaboration d’un cadre général de protection de la vie privée et le partage des meilleures pratiques.

Certains ministères s’attèlent déjà au travail. Par exemple, le ministère des Ressources humaines et Développement des compétences Canada (RHDCC) a présenté son cadre de gestion de la protection de la vie privée au Comité des SMA sur la protection de la vie privée en juin 2004. Le Ministère fait un grand usage de données personnelles puisqu’il administre, entre autres, l’assurance-emploi et le Programme canadien de prêts aux étudiants. Le cadre vise à favoriser la confiance des citoyennes et des citoyens en leur fournissant plus d’information sur les programmes du Ministère et sa façon d’utiliser et de communiquer les renseignements personnels.

RHDCC définit ainsi les quatre piliers de son cadre de gestion de la protection de la vie privée :

• planification stratégique et gouvernance – recherche et analyse visant à mieux comprendre les attentes des citoyennes et des citoyens en matière de protection de la vie privée ; définition des principes de protection de la vie privée au cœur de leurs opérations ;
• gestion du risque – mise sur pied d’un examen et d’un protocole d’approbation pour l’évaluation des facteurs relatifs à la vie privée, établissement de normes, d’ententes pour l’échange de renseignements personnels et exécution des examens sur les bases de données de recherche ;
• changement culturel – formation de tous les gestionnaires, employés et agents contractuels en gestion des renseignements personnels dont une formation spécialisée en fonction des exigences particulières des programmes ; et
• conformité – élaboration de normes de vérification interne pour la gestion des renseignements personnels.

RHDCC a constaté que l’adoption d’un cadre de gestion de la protection de la vie privée avait donné au Ministère un nouvel élan pour l’amélioration de la gestion des renseignements personnels. Le cadre a servi de base pour définir de meilleures pratiques en matière de protection de la vie privée et pour l’aider à prendre l’initiative afin de définir et de résoudre les problèmes. Nous saluons le leadership du Ministère et son engagement à favoriser des pratiques équitables en matière de renseignements personnels.

Le soutien des évaluations des facteurs relatifs à la vie privée
L’exécution d’évaluations des facteurs relatifs à la vie privée (ÉFVP) constitue une autre incitation à l’élaboration d’un cadre solide de gestion de la protection de la vie privée. Depuis mai 2002, la politique du Conseil du Trésor oblige les ministères et les organismes fédéraux à mener des évaluations des facteurs relatifs à la vie privée pour tous les nouveaux programmes ou services présentant des risques potentiels pour la protection de la vie privée. Les évaluations visent à prévoir des problèmes éventuels en matière de protection de la vie privée et à cerner des options qui permettront de diminuer les risques avant la mise en œuvre des projets.

La politique d’ÉFVP est non seulement un élément clé de toute stratégie judicieuse de gestion de la protection de la vie privée ; elle encourage l’adoption d’une structure qui est essentiellement un cadre de gestion de la protection de la vie privée. Par exemple, les lignes directrices de la politique d’ÉFVP exigent que les chefs de service précisent les rôles du personnel en ce qui a trait à son adhésion aux exigences de la politique. Les chefs de service doivent aussi assumer la responsabilité de surveiller la mise en application des exigences – responsabilités qui sont au cœur même du cadre de gestion de la protection de la vie privée. La politique sert à la fois d’outil de promotion de la sensibilisation à l’endroit de pratiques solides en matière de protection de la vie privée et à mesurer la conformité d’un ministère aux meilleures pratiques en matière de protection de la vie privée.

Il incomberait au Conseil du Trésor d’édicter un modèle de cadre de gestion de la protection de la vie privée. Une approche en souplesse serait de mise pour la conception et l’application d’un modèle. Nous recommandons que ce modèle possède les caractéristiques suivantes :

• celles de communiquer efficacement l’importance de la gestion des renseignements personnels et l’engagement à intégrer la protection de la vie privée à la gestion des programmes ;
• celle d’établir des objectifs et des normes clairs sur la collecte, la qualité, l’utilisation, la sécurité, la transmission, l’accès, la communication, la conservation et le retrait des renseignements personnels ;
• celles de clarifier les rôles et les responsabilités et de fournir une base permettant de déterminer les ressources et les compétences nécessaires à l’élaboration d’un cadre solide de gestion de la protection de la vie privée ;
• celles de se fonder sur des approches rigoureuses de gestion des risques, en particulier par l’entremise d’ÉFVP et d’évaluations de la menace et des risques ;
• celles d’utiliser des contrôles efficaces pour maintenir la conformité et les meilleures pratiques – intégration de la meilleure technologie de confidentialité disponible, résolution de litiges, et détermination et correction des faiblesses du système ou des incidents relatifs à la protection de la vie privée ; et
• celles de promouvoir l’imputabilité et l’amélioration continue par des moyens tels que l’établissement de rapports, la vérification et l’évaluation, la sensibilisation et l’évaluation du rendement.

Puisque le concept est nouveau, il y aura inévitablement des ajustements – amenés par l’expérience et l’expérimentation. En fait, nous procédons à une vérification d’envergure qui nous permettra d’évaluer, de raffiner et de valider notre approche. Une fois cette évaluation complétée, nous prévoyons qu’elle attestera de la valeur d’un cadre de gestion de la protection de la vie privée.

La protection de la vie privée est, à plusieurs égards, une question de gestion des risques. Les cadres de gestion de la protection de la vie privée sont d’une importance capitale pour aider les institutions fédérales à gérer ces risques. Par conséquent, nous recommandons que le SCT développe un cadre-modèle à titre de guide de gestion de la protection de la vie privée pour les ministères et les organismes fédéraux.

Nous avons discuté de nos recommandations au sujet d’un cadre-modèle avec la direction du SCT. Le président du Conseil du Trésor s’est engagé à explorer le concept d’un cadre de gestion de la protection de la vie privée couvrant l’ensemble du gouvernement. Nous sommes au fait que le SCT a commencé un examen de la portée et du processus d’un projet qui s’articulerait à partir de cadres existants. Le projet nécessitera des ressources spécifiques, la coopération des intervenants (dont le Commissariat), la communication active avec les ministères, et des mécanismes de conformité appropriés.

Nous accueillons favorablement cette initiative.

Plaintes

Introduction

La Loi sur la protection des renseignements personnels, en vigueur depuis 1983, protège les renseignements personnels concernant les personnes que détiennent les ministères et les organismes du gouvernement fédéral. La Loi régit la manière dont les institutions fédérales recueillent, utilisent, communiquent, conservent et détruisent des renseignements personnels nécessaires à l’administration des programmes gouvernementaux. Elle confère aux personnes le droit de demander accès à leurs renseignements personnels détenus par le gouvernement et celui de demander que des corrections y soient apportées. De plus, la Loi établit les fonctions, les responsabilités et le mandat de la commissaire à la protection de la vie privée du Canada.

La commissaire reçoit des plaintes de personnes qui estiment que leurs droits en vertu de la Loi sur la protection des renseignements personnels ont été enfreints, et mène des enquêtes. Elle peut également déposer une plainte et mener une enquête de sa propre initiative si elle estime qu’il existe des motifs raisonnables de croire que la Loi a été enfreinte.

La commissaire à la protection de la vie privée du Canada agit à titre d’ombudsman afin de résoudre les plaintes grâce, autant que possible, à la médiation, à la négociation et à la persuasion. Toutefois, la Loi confère à la commissaire de vastes pouvoirs d’enquête lui permettant de s’acquitter de son mandat. Elle peut assigner des témoins à comparaître et à témoigner, pénétrer dans des locaux pour se faire remettre des documents et mener des entrevues. L’entrave aux enquêtes constitue une infraction à la Loi.

La Loi ne confère pas à la commissaire le pouvoir de rendre des ordonnances. Toutefois, la commissaire peut recommander au besoin des changements relatifs aux pratiques de traitement des renseignements utilisées par les institutions gouvernementales, ce qu’elle fait. Par ailleurs, elle peut mener en tout temps des vérifications auprès de ministères ou d’organismes fédéraux et recommander que soient modifiées les pratiques qui ne sont pas conformes à la Loi sur la protection des renseignements personnels.

La commissaire est tenue de déposer un rapport annuel au Parlement sur les activités du Commissariat au cours de l’exercice précédent. Le présent rapport vise la période comprise entre le 1^er avril 2004 et le 31 mars 2005 au titre de la Loi sur la protection des renseignements personnels.

Enquêtes et demandes de renseignements

Plaintes reçues

Au cours de l’exercice 2004-2005, le Commissariat a reçu 1 577 plaintes sous la Loi sur la protection des renseignements personnels, en baisse par rapport aux 4 206 plaintes reçues au cours de l’exercice 2003-2004. Bien que cette baisse soit considérable, le nombre de plaintes avait atteint, au cours de l’exercice 2003-2004, un record inégalé en raison de circonstances particulières : près de 500 Autochtones du Canada s’étaient plaints d’un formulaire de consentement de Santé Canada et plus de 2 000 plaintes avaient été déposées à l’endroit de Service correctionnel Canada par des agents de correction, des employés et des détenus. Cette année, le nombre de plaintes est plus près de la normale.

Définition des types de plaintes

Les plaintes que reçoit le Commissariat sont classées selon trois groupes principaux :

Accès :

• Accès. Certains renseignements personnels n’ont pas été reçus, soit parce que certains d’entre eux ou certains documents manquent à l’appel, soit parce que l’institution a appliqué des exemptions lui permettant de retenir des renseignements.
• Correction/Annotation. L’institution n’a pas apporté les corrections aux renseignements personnels ou n’a pas annoté les dossiers aux endroits où les renseignements ne concordaient pas avec les corrections demandées.
• Langue. Les renseignements personnels n’ont pas été fournis dans la langue officielle demandée.
• Frais. Des frais ont été établis au regard d’une demande de renseignements en vertu de la Loi sur la protection des renseignements personnels ; aucuns frais ne sont présentement prévus pour l’obtention de renseignements personnels.
• Répertoire. INFOSOURCE ^{Note de bas de page 1} ne décrit pas de façon adéquate le fonds de renseignements personnels que détient une institution.

Renseignements personnels :

• Collecte. Collecte de renseignements personnels non requis pour l’exploitation d’une activité ou d’un programme de l’institution ; les renseignements personnels ne sont pas recueillis directement auprès de la personne concernée ; la personne n’est pas informée des fins de la collecte des renseignements personnels.
• Conservation et retrait. La conservation des renseignements personnels ne respecte pas les calendriers de conservation et de retrait (approuvés par les Archives nationales et publiés dans INFOSOURCE) ; ils sont soit détruits trop rapidement, soit conservés trop longtemps.

  De plus, les renseignements personnels utilisés à des fins administratives doivent être conservés pendant au moins deux ans après la dernière application d’une mesure administrative, à moins que la personne ne consente à leur retrait.

• Utilisation et communication. Les renseignements personnels sont utilisés et communiqués sans le consentement de la personne et ne satisfont pas aux critères de communication permise sans consentement tel qu’il est stipulé au paragraphe 8(2) de la Loi.

Délais :

• Délais. L’institution n’a pas répondu à la demande dans les délais prévus par la Loi.
• Avis de prorogation. L’institution n’a pas fourni de raison adéquate pour la prorogation, a fait la demande de prorogation après que le délai initial de 30 jours a été dépassé, ou a fixé l’échéance à plus de 60 jours de la date de réception de la demande.
• Correction/Annotation – délais. L’institution n’a pas apporté les corrections aux renseignements personnels ou n’a pas annoté les dossiers dans les 30 jours suivant la demande de correction des renseignements.

PLAINTES REÇUES SELON LE TYPE DE PLAINTE

Plaintes reçues entre le 1^er avril 2004 et le 31 mars 2005

Ce tableau indique le nombre de plaintes reçues en fonction du type de plainte.

LES DIX PREMIERS MINISTÈRES SELON LE NOMBRE DE PLAINTES REÇUES
Exercice se terminant le 31 mars 2005

Ce tableau présente les ministères ayant reçu le plus grand nombre de plaintes au cours de la période visée par ce rapport.

Veuillez noter que cela ne signifie pas nécessairement que ces ministères ne se conforment pas à la Loi sur la protection des renseignements personnels. Certains de ces ministères, en raison de leur mandat, détiennent une grande quantité de renseignements personnels concernant des personnes et reçoivent donc vraisemblablement plus de demandes d’accès à l’information. Un plus grand nombre de renseignements personnels entraîne une augmentation possible du nombre de plaintes sur les activités de ces ministères en matière de collecte, d’utilisation, de communication, de conservation et de retrait des renseignements personnels ainsi que sur sa façon de procurer l’accès à cette information.

PLAINTES REÇUES SELON LE RÉPONDANT

Plaintes reçues entre le 1^er avril 2004 et le 31 mars 2005

Ce tableau présente le nombre total de plaintes déposées contre les différents ministères et organismes reçues au cours de la période visée par ce rapport.

* CISR – Une personne a déposé un nombre important de plaintes dans le cadre de ses échanges avec la CISR.

** GRC – Un grand nombre des plaintes concerne le temps de traitement, car la GRC n’a pas été en mesure de répondre aux demandes dans les délais prescrits par la Loi.

*** SCC – Les agents de correction ont déposé une grande partie des plaintes dans le cadre de la négociation de leurs relations de travail avec l’employeur.

Plaintes terminées

Le nombre de plaintes terminées s’élève à 2 407, soit 800 de plus que le nombre de plaintes reçues au Commissariat au cours de l’année. Toutefois, près d’un millier de plaintes provenaient d’un même groupe de personnes : les agents de correction demandaient qu’on leur fournisse leurs dossiers personnels. Comme plusieurs de ces plaintes étaient similaires, elles exigeaient moins de travail que ne l’auraient nécessité 1 000 plaintes distinctes ; à titre d’exemple, les documents afférents à une plainte terminée servaient de modèles pour plusieurs autres plaintes. Néanmoins, les enquêteurs ont accompli un travail remarquable pour conclure un si grand nombre de cas, surtout qu’il y avait moins de personnel qu’au cours des années précédentes, et que les enquêteurs ont été affectés à tour de rôle à l’Unité des demandes de renseignements à court d’effectifs.

Même s’il a conclu plus de plaintes relatives à la Loi sur la protection des renseignements personnels qu’il n’en a reçues, le Commissariat procède, en fin d’exercice financier, au suivi d’un nombre considérable de cas, soit 1 277. Les ressources ont été insuffisantes pour répondre à la demande. En fin d’exercice se sont déroulées les dernières étapes d’un examen approfondi des processus opérationnels de la Direction, dont le but était de simplifier les processus, dans la mesure du possible, de collaborer à l’évaluation des niveaux de ressources appropriés et de traiter le problème lié au nombre croissant de cas en cours de traitement.

En temps normal, le Commissariat termine environ 1 185 plaintes avec le personnel en place. Compte tenu des 1 500 requêtes excédentaires reçues chaque année, nous perdons du terrain ; bon nombre de cas en attente se font vieux et à la fin de l’exercice, 577 plaintes n’ont toujours pas été assignées en raison du manque d’effectifs. Nous avons limité la charge de travail d’un enquêteur à un maximum de 35 cas actifs de front. Certains des cas non assignés sont maintenant en attente depuis presque un an. Des plaintes plus anciennes encore, en cours d’enquête, nécessitent plus de temps puisque les délais ont des répercussions néfastes sur l’accessibilité aux documents et sur la mémoire des personnes impliquées. Selon les normes établies par la Direction selon lesquelles les enquêteurs complètent 75 cas par année, il faudrait environ huit enquêteurs au cours d’une année pour s’occuper uniquement des cas non assignés.

Définitions des conclusions en vertu de la Loi sur la protection des renseignements personnels

Le Commissariat a élaboré une série de définitions de conclusions qui expliquent les résultats des enquêtes se déroulant en vertu de la Loi sur la protection des renseignements personnels.

Non fondée : l’enquête n’a pas permis de déceler des éléments de preuve qui suffisent à conclure que l’institution fédérale n’a pas respecté les droits d’un plaignant aux termes de la Loi sur la protection des renseignements personnels.

Fondée : l’institution fédérale n’a pas respecté les droits d’une personne aux termes de la Loi sur la protection des renseignements personnels.

Fondée et résolue : les allégations sont corroborées par l’enquête et l’institution fédérale a accepté de prendre des mesures correctives pour remédier à la situation.

Réglée : après une enquête approfondie, le Commissariat a participé à la négociation d’une solution satisfaisant les deux parties. Cette conclusion est réservée aux plaintes pour lesquelles une conclusion fondée serait trop sévère compte tenu que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.

Résolue en cours d’enquête : le Commissariat a participé à la négociation d’une solution satisfaisant toutes les parties dans le cadre de l’enquête. Aucune conclusion n’est rendue.

Abandonnée : l’enquête a pris fin avant que toutes les allégations soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons ; par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire ou il est impossible de lui demander de fournir des renseignements supplémentaires, lesquels sont essentiels pour arriver à une conclusion.

Réglée rapidement : le Commissariat a commencé à utiliser cette nouvelle disposition en avril 2004 pour traiter des situations où l’affaire est réglée avant même qu’une enquête officielle ne soit entamée. À titre d’exemple, si une personne dépose une plainte dont le sujet a déjà fait l’objet d’une enquête par le Commissariat et a été considéré conforme à la Loi sur la protection des renseignements personnels, nous lui expliquons la situation. Nous avons en outre reçu des plaintes pour lesquelles une enquête officielle aurait pu avoir des retombées négatives sur la personne. En pareil cas, nous expliquons en profondeur la situation au plaignant. Si la personne décide alors de ne pas poursuivre l’affaire, celle-ci est « réglée rapidement ».

PLAINTES SELON LE TYPE DE PLAINTE ET LEUR RÉSULTAT

Pour les plaintes conclues entre le 1^er avril 2004 et le 31 mars 2005

Ce tableau indique clairement le nombre total des différentes conclusions rendues par le Commissariat selon le type de plainte pour l’année visée par ce rapport.

* Comme il a été mentionné précédemment, une grande partie des plaintes jugées non fondées ont été déposées par des agents de correction du SCC, qui ont invoqué les dispositions de la Loi en matière d’accès à l’information et ses mécanismes subséquents de traitement des plaintes, dans le cadre de leur conflit de travail en cours avec le SCC. Dans ces cas, le SCC a décidé de fournir aux agents de correction les renseignements personnels qui les concernent en utilisant une méthode particulière d’accès à l’information à laquelle les agents de correction se sont opposés. L’enquête ultérieure du Commissariat concernant ces plaintes a établi que le SCC pouvait choisir sa méthode d’accès à l’information et, ce faisant, qu’il respectait la Loi sur la protection des renseignements personnels.

** Un grand nombre de plaintes concernant les délais ont été déposées contre certains ministères faisant face à de sérieux problèmes de ressources. Même si le Commissariat peut comprendre les préoccupations des ministères, la Loi sur la protection des renseignements personnels ne fournit au Commissariat aucune possibilité de refuser l’étude de ces plaintes. Les ministères et les organismes sont tenus de répondre à toutes les demandes de communication de renseignements personnels, et le rôle du Commissariat est de veiller à ce que les ministères appliquent correctement la Loi sur la protection des renseignements personnels. Cela dit, le Commissariat est conscient que certains institutions abordent présentement la question du ressourcement et il les félicite de leur démarche à cet égard. Nous attendons avec intérêt de voir les répercussions qu’auront les nouvelles ressources sur le nombre de plaintes et nous en ferons part dans notre prochain rapport annuel.

PLAINTES TERMINÉES SELON LA PROVENANCE

Plaintes conclues entre le 1^er avril 2004 et le 31 mars 2005

Ce tableau présente la province d’où provenaient les plaintes pour lesquelles des enquêtes ont été menées au cours de l’exercice visé par ce rapport. Notez que certaines plaintes nous sont parvenues de personnes habitant à l’extérieur du Canada.

* Un nombre considérable de plaintes parmi celles illustrées par ces chiffres sont attribuables aux plaintes déposées par les agents de correction du SCC.

PLAINTES TERMINÉES ET RÉSULTATS PAR RÉPONDANT

Plaintes conclues entre le 1^er avril 2004 et le 31 mars 2005

Ce tableau indique le nombre de plaintes conclues par répondant et par conclusion.

* Le tableau indique clairement que le SCC a traité de façon appropriée un grand nombre de demandes d’accès à l’information en provenance des agents de correction, et ce, conformément aux exigences de la Loi.

Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels

TEMPS DE TRAITEMENT DES ENQUÊTES SUR LES PLAINTES – LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Le tableau suivant représente le nombre de mois moyen pris pour le règlement d’une enquête sur une plainte selon la conclusion, à partir de la date de réception de la plainte à la date de la conclusion.

Par conclusion

Du 1^er avril 2004 au 31 mars 2005

Par type de plainte

Du 1^er avril 2004 au 31 mars 2005

Le tableau suivant représente le nombre moyen de mois pris pour terminer une enquête sur une plainte selon le type de plainte, à partir de la date de réception de la plainte au moment de la conclusion.

À l’examen de ce tableau, on constate que les enquêtes sur les plaintes les moins complexes (délais et avis de prorogation) ont été terminées en moins de temps que les cas les plus complexes. Il s’agit d’une situation normale, car les plaintes plus complexes nécessitent plus d’entrevues sur les lieux, plus de recherche et d’analyse en profondeur et, souvent, de plus longues négociations avec l’institution au sujet des mesures correctrices proposées quand il y a eu une violation de la Loi.

Suivi effectué après les enquêtes
Après qu’une enquête a été menée au sujet d’une plainte et que celle-ci est terminée, tout n’est pas clos. Toutes les plaintes se rapportant à la collecte, à l’utilisation, à la communication ou à la conservation inappropriée qui sont considérées fondées sont envoyées à la Direction de la vérification et de la revue aux fins d’examen. Cela permet à la Direction de déterminer des tendances en matière de violation de la protection de la vie privée et d’utiliser cette information pour la planification et l’élaboration des vérifications de l’année suivante.

Cas choisis en vertu de la Loi sur la protection des renseignements personnels

Les cas présentés ci-dessous ont été choisis pour leur valeur éducative. Ils démontrent l’importance du traitement adéquat de renseignements personnels et des problèmes qui peuvent se présenter s’ils ne sont pas traités adéquatement. Nous espérons qu’ils encourageront les institutions et les organismes gouvernementaux à faire preuve d’une vigilance soutenue afin que ceux-ci traitent les renseignements personnels en conformité avec la Loi et s’emploient à donner une formation continue à leur personnel en cette matière. En plus, le grand public pourrait être amené à poser des questions sur la façon dont les institutions fédérales traitent ses renseignements personnels et doit savoir qu’il peut porter plainte auprès du Commissariat lorsque quelque chose ne va pas.

Les notes d’un psychologue indépendant demeurent « sous l’autorité » de la GRC

L’enquêteur à la protection de la vie privée a déterminé qu’en plus de certains renseignements dont elle avait fait la requête, l’entrevue vidéo menée par un enquêteur de la GRC renfermait des renseignements sur d’autres personnes, ce qui constituait une exemption prévue par la Loi sur la protection des renseignements personnels. La GRC a réussi à supprimer ces segments afin de lui fournir les renseignements restants.

Toutefois, la question des dossiers du psychologue demeurait problématique. La GRC ne possédait pas de copies de ces documents puisque les services n’avaient pas été fournis par un membre du personnel, mais par un professionnel indépendant, selon le principe de la rémunération des services. Devant l’insistance de l’enquêteur, le personnel de la GRC a obtenu une partie des renseignements, mais le psychologue a refusé de fournir les données psychométriques et ce qu’il qualifiait de « notes personnelles », à moins qu’il ne reçoive une ordonnance d’un tribunal. Il a fait valoir que la communication de ces documents constituerait une transgression des normes de sa profession en matière d’éthique.

Les tentatives de persuasion de la GRC ont été vaines jusqu’à ce que le CPVP, dans une lettre officielle au commissaire de la GRC, avise ce dernier que puisque la GRC avait fait appel aux services du psychologue pour évaluer un de ses membres, tous les renseignements établis ou engendrés à la suite de cette évaluation demeuraient « sous l’autorité » de la GRC en vue de l’application de la Loi sur la protection des renseignements personnels. Le psychologue a finalement fourni ses notes ainsi que les données psychométriques à la GRC qui les a fait parvenir au médecin de la plaignante aux fins d’explication et d’interprétation.

Le Commissariat a conclu que la plaignante avait finalement reçu les renseignements adéquats, mais que sa plainte était fondée. Nous avons rappelé à la GRC que les renseignements personnels recueillis par des experts indépendants au nom de la GRC demeuraient sous l’autorité de cette dernière et que les personnes pouvaient donc y avoir accès. Les contrats devraient donner cette information.

La communication de renseignements relatifs à l’impôt sur le revenu est plus limitée qu’il n’était cru au départ

Le régime provincial d’assurance-médicaments fournit une aide financière aux personnes pour le paiement de leurs médicaments sur ordonnance. La contribution du régime dépend du revenu familial net – plus celui-ci est bas, plus la contribution du régime est élevée. Il n’est donc pas surprenant d’apprendre que, pour vérifier le revenu du demandeur, le régime demande à ce dernier qu’il consente à ce que l’Agence du revenu du Canada (ARC) lui communique l’information relative à son revenu.

Toutefois, le formulaire de consentement est très général et semble permettre aux responsables du régime de consulter la presque totalité de la déclaration de revenus d’une personne. L’enquêteur à la protection de la vie privée a effectué un suivi auprès de la Division des affaires fédérales-provinciales de l’ARC. Le personnel a expliqué que l’étendue du consentement était dictée par le libellé du protocole d’entente (PE) avec le ministère de la Santé. Les mots-clés du formulaire de consentement sont : « pertinents et uniquement aux fins de détermination, de vérification et d’administration du taux de mes prestations... » [traduction].

Afin de déterminer exactement quels renseignements répondent à ces critères, l’enquêteur à la protection de la vie privée a examiné le PE et a confirmé que l’ADRC fournissait au régime d’assurance-médicaments uniquement trois montants relatifs au revenu : les lignes 236 – revenu net ; 303 – montant pour conjoint, et 5105 – revenu net du conjoint tel qu’il est indiqué pour le calcul du crédit pour la TPS.

Le plaignant s’est montré satisfait des conclusions de l’enquêteur et a apprécié les efforts déployés par le Commissariat pour déterminer le fonctionnement du régime. Il ne souhaitait pas poursuivre de démarches additionnelles et la plainte a été considérée réglée en cours d’enquête.

Communication des renseignements personnels d’une soignante à un contrevenant

Cette femme fournit à son domicile des soins palliatifs aux personnes âgées et aux gens ayant des besoins particuliers. Le SCC a procédé à une évaluation de la plaignante afin de déterminer si sa résidence constituait un établissement adéquat où placer des contrevenants ayant des besoins particuliers. Des agents du SCC ont visité son domicile, effectué une entrevue détaillée, rédigé un rapport de placement dans une maison privée et ont ensuite approuvé l’usage des services de l’établissement. Par la suite, la femme a accepté d’accueillir un contrevenant à qui la Commission nationale des libérations conditionnelles (CNLC) venait d’accorder une semi-liberté. Le contrevenant devait être placé dans un établissement possédant les ressources pour traiter ses troubles physiques et mentaux tout en respectant les modalités de la libération conditionnelle. Le SCC estime que le contrevenant est un agresseur d’enfants impénitent et qu’il risque de récidiver.

Après approbation, le contrevenant a été confié aux soins de la femme et il a écrit à cette dernière pour lui dire qu’il avait vu son rapport de la CNLC et qu’il était conscient de ses problèmes. Le jour suivant son arrivée au domicile de la plaignante, il a sorti son carnet d’adresses dans lequel il avait inscrit le nom et les numéros de téléphone de deux des références que la femme avait données au SCC. Il a également présenté une copie complète du rapport de placement dans une maison privée – un document que la femme n’avait elle-même jamais vu. Le rapport contenait des renseignements sur les membres de la famille de la femme – dont des renseignements au sujet de mauvais traitements à l’enfance, ses antécédents matrimoniaux et son état civil actuel, et ses antécédents en matière d’études et de travail.

Bouleversée par les révélations du contrevenant, la plaignante a contacté les agents de libération conditionnelle du bureau local du SCC. Ils ont accepté qu’elle sorte le rapport de la chambre du contrevenant et qu’elle masque les noms et numéros de téléphone de ses références dans le carnet d’adresses.

L’enquête a permis de démontrer que les responsables du SCC avaient d’abord eu l’intention de placer le contrevenant dans un autre établissement, mais qu’ils avaient dû modifier leur plan. Ils avaient donc dû obtenir l’autorisation de la CNLC pour changer d’établissement. La situation particulière du contrevenant ainsi que le niveau de soins qu’il nécessitait ont incité les membres de la Commission nationale des libérations conditionnelles à demander des renseignements additionnels au sujet du placement en résidence privée. Le SCC a remis le rapport de placement à la CNLC ; le rapport a été transmis aux membres de la Commission qui ont ensuite approuvé le changement d’établissement. L’enquêteur était convaincu que le contrevenant n’avait communiqué les renseignements à quiconque.

Ce qui était en cause était de savoir si le SCC avait contrevenu à la Loi sur la protection des renseignements personnels en remettant son rapport au contrevenant. La Loi sur le système correctionnel et la mise en liberté sous condition (LSCMLC) oblige la Commission à faire part au contrevenant des renseignements qui ont permis de prendre une décision à son sujet. Toutefois, il est possible de présenter l’essentiel des renseignements ou encore un résumé de ceux-ci. La LSCMLC autorise aussi la Commission « à refuser la communication de renseignements au délinquant, dans la mesure jugée strictement nécessaire » (paragraphe 144(4)) si la communication peut mettre en danger la sécurité d’une personne ou du pénitencier ou compromettre la tenue d’une enquête en vertu de la loi.

L’enquête a clairement établi que seuls les membres de la Commission nationale des libérations conditionnelles qui devaient prendre une décision en regard à la demande avaient lu le rapport de placement. Personne d’autre à la Commission n’avait lu le rapport intégral, donc personne ne connaissait exactement la quantité et la nature des renseignements personnels qu’il contenait. La CNLC a affirmé que le SCC était responsable d’assurer la communication légitime de l’information au contrevenant. Les responsables de la CNLC ont de plus maintenu qu’en faisant part au contrevenant de « l’essentiel » du rapport, le SCC aurait respecté toutes les exigences de la loi. Malheureusement, personne au SCC n’avait lu le rapport avant de le remettre au contrevenant ; ces personnes non plus, donc, n’en connaissaient pas le contenu.

De l’avis du CPVP, cette affaire est extrêmement troublante, compte tenu des antécédents du contrevenant, de la nature des renseignements personnels que contenait le rapport, et du fait que le contrevenant résidait chez la plaignante. Le Commissariat a reconnu que la CNLC et le SCC subissaient des pressions pour placer le contrevenant en résidence le plus rapidement possible et que la communication des renseignements ne dissimulait aucun motif malveillant. Néanmoins, nous avons été consternés d’apprendre que les renseignements personnels de la femme avaient été communiqués pour la simple raison que personne n’avait pris le temps de lire le rapport. Ces renseignements personnels n’auraient jamais dû être communiqués. La Loi sur la protection des renseignements personnels est en vigueur depuis 1983 et les fonctionnaires fédéraux se font constamment rappeler leur obligation de protéger les renseignements personnels.

Le Commissariat a conclu que le SCC avait gravement enfreint le droit à la confidentialité de la plaignante ; la plainte était fondée. Malheureusement, la Loi sur la protection des renseignements personnels ne prévoit aucun recours ou motifs de révision judiciaire pour les cas de communication inappropriée de renseignements personnels.

Après ce litige, le SCC s’est engagé à ne plus fournir les rapports de placement à la CNLC.

Un passeport expiré est une preuve d’identité insuffisante... pour une demande de passeport

Le plaignant refusait de fournir une carte santé, un permis d’armes à feu ou un permis de conduire comme preuve d’identité, en faisant valoir que les Canadiennes et les Canadiens ne sont pas légalement tenus de posséder ces documents et qu’exiger l’un d’eux constituait une violation de la Charte et de la Loi sur la protection des renseignements personnels. L’homme s’est également opposé à fournir l’adresse de son employeur ou d’un établissement d’enseignement qu’il aurait fréquenté au cours des deux dernières années parce qu’une telle exigence empêcherait de fait les personnes retraitées ou sans emploi d’obtenir un passeport.

En dernier lieu, l’homme a allégué qu’en demandant des références d’au moins deux personnes avec qui il n’avait aucun lien de parenté, le Bureau des passeports ajoutait une difficulté supplémentaire aux gens comme lui qui, à cause de problèmes de santé ou d’un handicap physique, avait des relations limitées. Il a également fait valoir que les membres de la famille ne devraient pas être automatiquement exclus à titre de référence.

L’enquêteur à la protection de la vie privée a rencontré le personnel du Bureau des passeports afin d’examiner les exigences. Le pouvoir de délivrance de passeports relève de l’exercice d’une prérogative royale, non d’une loi particulière. Le Bureau des passeports (un organisme de service spécial relevant du ministère des Affaires étrangères et du Commerce international) recueille les renseignements relatifs aux demandes de passeports en application d’un décret, le Décret sur les passeports canadiens, lequel habilite le ministre à prescrire le formulaire à utiliser pour délivrer un passeport. Depuis le 11 septembre 2001, une troisième page a été ajoutée au formulaire de demande en réaction aux préoccupations du Ministère relativement à la sûreté du processus. Sur cette troisième page, le demandeur doit indiquer ses adresses pour une période remontant à deux ans ainsi que fournir des références.

Puisque le passeport constitue une preuve d’identité et de citoyenneté du détenteur lorsque celui-ci se trouve à l’étranger, sa validité dépend fortement de l’exactitude de la déclaration du demandeur. Confirmer les renseignements reçus auprès de répondants qui connaissent le demandeur depuis au moins deux ans permet d’attester de l’exactitude des renseignements. Toutefois, si un demandeur n’est pas en mesure de produire des références, il peut remplir le formulaire PPT 132-Déclaration faute de répondant. Il peut également, dans certaines circonstances, donner le nom d’un membre de sa famille.

Le Bureau des passeports a confirmé qu’il ne pouvait accepter à titre de pièce d’identité supplémentaire un passeport expiré ou un certificat de naissance canadien, car ces deux documents sont délivrés selon des règles moins rigoureuses et peuvent être falsifiés. Le Bureau des passeports exige maintenant ces renseignements additionnels pour confirmer l’exactitude de la déclaration du demandeur et afin d’éviter la mise en circulation de faux passeports. Les demandeurs peuvent utiliser les passeports expirés à titre de preuve de citoyenneté canadienne, mais non comme pièce additionnelle d’identité.

Le Commissariat a conclu que le Bureau des passeports détenait l’autorité légale de recueillir des renseignements additionnels afin de confirmer l’identité du demandeur. L’objectif n’est pas d’imposer des restrictions draconiennes aux demandeurs, mais de permettre au Bureau des passeports de s’assurer de l’identité du détenteur et de préserver la sûreté du passeport canadien.

La plainte est considérée non fondée.

La sécurité en direct des renseignements personnels des contribuables

Au mois d’octobre 2003, l’ARC a instauré un programme permettant aux contribuables d’accéder aux renseignements relatifs à leur impôt pour les années 2001 et 2002, par la section « Mon dossier » du site Internet de l’ARC à l’adresse www.cra-arc.gc.ca. Pour y avoir accès, les contribuables doivent donner leur numéro d’assurance sociale, leur date de naissance, le montant de leur revenu indiqué à la ligne 150 et le code d’accès de huit chiffres indiqué sur leur avis de cotisation. Les contribuables peuvent bloquer l’accès en direct à leurs renseignements en téléphonant au Bureau d’aide des services électroniques pour les particuliers de l’ARC au numéro sans frais prévu à cet effet.

L’ARC protège également les renseignements par des mesures telles que les technologies de chiffrement et les mesures de sécurité. Les contribuables qui veulent utiliser le service doivent disposer d’un navigateur sécurisé, lequel requiert l’usage d’un mot de passe personnel assigné au contribuable.

La comptable a aussi indiqué qu’à l’exception de la date de naissance, tous les renseignements requis pour accéder en direct sont inscrits sur l’avis de cotisation. Puisqu’un contribuable se voit souvent demander son avis de cotisation à titre de preuve de revenu par des prêteurs, fournisseurs de cartes de crédit, conseillers financiers et autres institutions, n’importe qui ayant une copie de l’avis peut accéder au dossier du contribuable. La plaignante n’était pas en mesure de prouver que des accès non autorisés avaient eu lieu.

Le Commissariat a conclu que les mesures de sécurité prises par l’ARC étaient suffisantes pour protéger les renseignements personnels des contribuables contenus dans le système et que la plainte était non fondée. De plus, la Loi de l’impôt sur le revenu oblige l’ARC à fournir un avis de cotisation aux contribuables. Dès lors où le contribuable est en possession de l’avis, la responsabilité de la protection de ses renseignements personnels lui incombe.

Création d’un profil du voyageur pour les fonctionnaires

Le gouvernement fédéral a complètement réorganisé sa façon d’effectuer les préparatifs de voyage pour ses employés. Il a créé le Bureau de modernisation des services de voyage du gouvernement, lequel a par la suite octroyé par contrat à Accenture la responsabilité de fournir tous les services ayant trait aux voyages gouvernementaux. Par la suite, Accenture a sous-traité les services de cartes de crédit et de voyages à American Express.

Les employés de l’État doivent maintenant faire tous leurs préparatifs de voyage par l’entremise de Travel AcXess Voyage. Mais ils doivent d’abord remplir leur profil du voyageur en vue d’obtenir leur numéro d’identification du voyageur avant d’entreprendre des préparatifs de voyage. Le profil est envoyé à la compagnie de cartes de crédit qui émet ensuite le numéro.

Les renseignements requis comprennent les groupe et sous-groupe et le niveau du poste de l’employé, le numéro de téléphone à la maison ainsi que l’adresse domiciliaire des voyageurs, les noms de répondants en cas d’urgence, et la date de naissance. L’enquêteur a procédé à l’examen du formulaire et a rencontré le personnel de TPSGC afin de déterminer les raisons pour lesquelles les employés devaient fournir ces renseignements. L’enquêteur a également étudié un document de TPSGC expliquant les raisons pour lesquelles les renseignements étaient requis. Par la suite, le service a accepté, à la demande de l’enquêteur, d’omettre la date de naissance et de laisser le choix d’inscrire ou non les noms des répondants en cas d’urgence et le numéro de téléphone à la maison.

Le plaignant a examiné le formulaire révisé du profil du voyageur et s’est montré satisfait qu’on ne demande plus la date de naissance et que la déclaration d’autres renseignements soit désormais facultative. Les explications données par le service au sujet des mesures de protection des renseignements ont également satisfait le plaignant ; celui-ci a consenti à considérer la plainte comme réglée en cours d’enquête.

L’achat d’un billet d’exposition n’est pas une invitation à des activités de marketing

La femme a porté plainte pour communication inappropriée de renseignements auprès de la commissaire à la protection de la vie privée. L’enquêteur a confirmé que le musée se constituait une base de données à partir des ventes de billets, à l’usage des campagnes d’adhésion et pour promouvoir les expositions futures. Le musée a fait supprimer le nom de la plaignante de la base de données et a présenté ses excuses pour les appels. Il s’est engagé également à obtenir dorénavant le consentement exprès des gens qui se sont procurés des billets avant d’ajouter leur nom à la base de données.

La plaignante s’est montrée satisfaite de l’issue de la plainte et le Commissariat estime celle-ci réglée en cours d’enquête.

Un système de courrier électronique déconcerte le destinateur et laisse transparaître des inquiétudes en matière de sécurité

Le plaignant avait déposé une plainte pour harcèlement contre sa superviseure. Dans le courriel, la superviseure se disait préoccupée par la possibilité que l’employé reçoive des copies de sa déclaration de témoin ou de celle d’autres employés concernant la plainte pour harcèlement.

Statistique Canada a mené une enquête en regard de la plainte, envisageant la possibilité d’une violation à la fois de la sécurité interne et des politiques en matière de protection des renseignements personnels. Le système de courrier électronique de l’organisme permet aux usagers d’indiquer la nature de leurs courriels : normal, personnel, privé ou confidentiel. Toutefois, le Centre de gestion des documents (CGD), qui administre et entretient les systèmes de communication électronique, ne capte pas toujours cet indicateur.

Le courriel faisant l’objet du litige a été envoyé via le CGD en se servant de l’option de messagerie du bureau, laquelle permet d’envoyer ou de choisir une des deux autres possibilités d’envoi en sélectionnant la fonction « Options ». Le destinateur peut choisir l’option « Accessibilité » qui lui permet de déterminer le niveau de sécurité et de diffusion du message, ou l’option « Accès restreint » qui permet l’accès en mode « lecture seule ». Le destinateur peut également aviser le CGD du niveau d’accessibilité souhaité. Toutefois, il ne sera au courant des choix offerts qu’après avoir sélectionné la fonction « Options ».

La superviseure avait tenté de classifier son message en inscrivant par Microsoft Outlook l’indicateur « privé » ou « confidentiel ». Elle n’avait pas compris qu’elle aurait dû également inscrire l’indicateur « protégé » à l’intention du CGD. Selon sa procédure, le CGD demande à ses classificateurs de vérifier les renseignements dans l’en-tête, d’en étudier le contenu, de vérifier le niveau de sécurité et, si ce dernier n’est pas clair, de le confirmer auprès du destinateur. Le message est ensuite acheminé aux destinataires appropriés.

Deux éléments ont contribué à la communication inappropriée : la superviseure s’est méprise sur le processus de contrôle d’accès du système – la communication n’était pas intentionnelle – et le CGD n’a pas réussi à classifier adéquatement le message avant de le rendre accessible sur le système.

Depuis la plainte, Statistique Canada a transmis à tout le bureau des directives quant à l’attribution d’un niveau de sécurité aux courriels. L’organisme étudie aussi la possibilité que le personnel du CGD examine tous les courriels Outlook qui arborent un indicateur désignant un niveau de sécurité avant de l’intégrer à la base de données. À plus long terme, Statistique Canada examinera le fonctionnement du CGD ainsi que ses protocoles en matière de renseignements personnels et présentera au Commissariat un rapport sur le progrès accompli.

Le Commissariat a conclu que la plainte était fondée mais, compte tenu du travail en cours pour améliorer le système de courrier électronique, il n’engagera pas d’autres mesures afférentes.

Incidents en vertu de la Loi sur la protection des renseignements personnels

Outre les plaintes individuelles, nous procédons à des enquêtes sur des incidents relatifs à la collecte, à l’utilisation ou à la communication inappropriée de renseignements personnels qui sont portés à l’attention du Commissariat par diverses sources dont les médias, et par les ministères eux-mêmes. Ces enquêtes font souvent ressortir des problèmes institutionnels ou des violations non reconnues en matière de protection de la vie privée qui nécessitent un redressement dans des délais les plus courts possibles. L’an dernier, le Commissariat a mené et terminé 27 enquêtes concernant la mauvaise gestion de renseignements personnels. Sur les 27 enquêtes, cinq se rapportaient à des renseignements personnels acheminés à la mauvaise personne. Ces cinq cas se sont révélés être des incidents isolés et ont incité les employés de l’État à faire preuve d’une vigilance accrue.

Deux de ces cas sont décrits ci-dessous.

Un jardinier trouve des renseignements relatifs à l’impôt sur le revenu

Au moment du vol, l’Agence a établi que le sac volé contenait 1 600 bordereaux de paiement. Si la majorité des bordereaux se rapportaient à des entreprises, 390 d’entre eux concernaient des personnes. Puisque l’organisme de compensation ne prévoyait pas communiquer avec les personnes concernées, l’Agence a, de sa propre initiative, avisé les clients afin qu’ils puissent prendre des mesures pour prévenir le vol d’identité. Le Commissariat confirme que les clients ont effectivement été informés de la situation au moment du vol. Tous les renseignements ont vraisemblablement été retrouvés et aucune plainte individuelle en matière de protection de la vie privée n’a été reçue relativement à ce vol. La commissaire à la protection de la vie privée a transmis ses félicitations à l’Agence pour l’initiative qu’a prise celle-ci afin de protéger les renseignements personnels de ses clients, bien qu’elle n’était pas responsable de cette atteinte à la protection de la vie privée.

Des photos d’employés du SCC accompagnent un reportage du réseau anglais de la CBC

Sur le site Internet du SCC, on retrouve une « Photothèque » contenant diverses photographies de pénitenciers, d’édifices à bureaux du SCC et d’agents de correction au travail. Les photos sont destinées aux médias afin d’illustrer des articles. On retrouve aussi une publication à l’intention des employés intitulée Entre nous [traduction] sur le site Internet du SCC – elle est donc accessible au public – la publication renferme souvent des photographies d’employés au travail.

Dans le cas qui nous occupe, la CBC préparait un reportage sur des allégations de mauvais traitements à l’endroit des détenus par les agents de correction dans l’unité d’isolement du pénitencier de Kingston. La CBC s’est procuré une photographie d’un groupe d’agents de correction sur le site du SCC dont elle s’est servie pour illustrer l’article sur les mauvais traitements dans l’unité d’isolement. Bien que ces personnes ne soient pas rattachées à l’unité en question, la CBC, en utilisant la photo dans ce contexte, a laissé croire le contraire.

Après avoir été contactée par le SCC, la CBC a retiré les photographies offensantes de son site. Le SCC a également retiré les photos controversées de la « Photothèque ». Le SCC a par la suite examiné chacune des photos restantes et s’est assuré que chaque personne avait signé une renonciation de droits avant que leurs photos ne soient affichées sur le site. Toutefois, le SCC a reconnu que le libellé de la renonciation de droits devait être mis à jour afin de s’assurer que les employés aient compris qu’une fois leurs photos affichées sur le site Internet, elles pouvaient être reproduites et utilisées à des fins autres que des articles à propos du SCC. Le Ministère a entrepris de longs pourparlers auprès de la direction et des services juridiques au sujet du consentement des employés. Le SCC a également retiré temporairement Entre nous du site, jusqu’à ce que toute la question soit réglée.

La « Photothèque » est de nouveau présente sur le site, et elle ne contient aucune photo d’employés. Entre nous a aussi été réintégré au site du SCC, et toutes les personnes sur les photos ont signé un formulaire de consentement et de renonciation de droits.

Communication dans l’intérêt du public en vertu de la Loi sur la protection des renseignements personnels

L’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels accorde aux responsables d’institutions fédérales le pouvoir discrétionnaire de communiquer des renseignements personnels sans obtenir le consentement de la personne concernée lorsque celle-ci en tirerait un avantage certain ou lorsque des raisons impérieuses d’intérêt public l’emportent sur une éventuelle atteinte à la vie privée. La personne responsable de l’institution est tenue (en vertu du paragraphe 8(5)) de donner un préavis écrit de la communication des renseignements personnels à la commissaire à la protection de la vie privée, de préférence à l’avance (à moins qu’une situation urgente ne justifie le contraire). Le Commissariat examine ces cas de communication et, si cela est jugé nécessaire, la commissaire à la protection de la vie privée avise les personnes auxquelles se rapportent les renseignements personnels. Au cours du processus d’examen, le Commissariat émet également des avis aux institutions lorsqu’il semble qu’on prévoie communiquer plus de renseignements personnels qu’il n’est nécessaire pour aborder une question d’intérêt public. Ainsi, l’immixtion dans la vie privée d’une personne est réduite au minimum.

L’an dernier, nous avons examiné 76 de ces avis, dont un grand nombre se retrouve dans deux catégories. Dans la première, il était question de communiquer les circonstances de la mort d’une personne aux membres de la famille. Nous avons reçu 24 avis de ce type ; la plupart provenaient du Service correctionnel du Canada (SCC) et du ministère de la Défense nationale.

Le second groupe d’importance considérable – 21 avis – provenait de la Gendarmerie royale du Canada (GRC) et du SCC et concernait des personnes illégalement en liberté ou libérée de leur lieu de détention à la fin de leur peine. Toutes ces personnes sont à risque de récidiver et représentent donc un danger pour la communauté.

Un autre groupe de 11 avis traitait de communication de renseignements à des comités parlementaires, des commissions d’enquête ou d’autres entités publiques se rapportant à des sujets tels que le programme des commandites, des allégations d’inconduite par des fonctionnaires ou les circonstances entourant des morts accidentelles.

Il est aussi digne d’intérêt de signaler quatre avis de Santé Canada concernant des personnes atteintes de maladies transmissibles posant un risque pour la santé publique, deux avis de la Société d’aide à l’enfance concernant des mauvais traitements présumés sur des enfants et quatre avis de menace pour la sécurité.

Demandes de renseignements

L’Unité des requêtes et renseignements traite les demandes de renseignements du public en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques. Pour l’année sur laquelle porte ce rapport, l’Unité a traité près de 3 000 demandes de renseignements concernant des questions relevant de la Loi sur la protection des renseignements personnels et quelque 17 000 au titre de la Loi sur la protection des renseignements personnels et les documents électroniques. Au cours de l’année, la pénurie d’effectifs à l’Unité des requêtes et renseignements, associée à la charge de travail élevée en permanence, nous ont occasionné des problèmes. Résultat : il nous a fallu modifier notre façon de donner suite aux demandes de renseignements du grand public. Nous n’acceptons plus les demandes de renseignements ou les plaintes reçues par courriel. Nous avons instauré un système téléphonique automatisé pour répondre aux questions les plus souvent posées par le public, dont celles concernant le vol d’identité, le télémarketing et, bien entendu, le numéro d’assurance sociale. Nous continuons également à ajouter des renseignements sur notre site Internet afin de répondre aux questions les plus fréquentes. Nous avons aussi assigné quelques enquêteurs à l’Unité des requêtes et renseignements afin qu’ils prêtent assistance à cette dernière. Finalement, nous invitons désormais les personnes à nous téléphoner pendant les heures de bureau puisqu’il est souvent plus rapide et plus facile pour nous de cerner ainsi leurs besoins plutôt que par une série de lettres ou de courriels.

STATISTIQUES SUR LES DEMANDES DE RENSEIGNEMENTS

(du 1^er avril 2004 au 31 mars 2005)

Le tableau ci-dessous indique le nombre total de demandes de renseignements en vertu de la Loi sur la protection des renseignements personnels auxquelles l’Unité des requêtes et renseignements a répondu.

Délais d’exécution des demandes de renseignements

Le Commissariat reçoit 80 p. 100 des demandes de renseignements par téléphone. La plupart d’entres elles sont traitées immédiatement ; les autres, qui peuvent nécessiter de la recherche, sont traitées au cours des deux semaines subséquentes.

Les demandes de renseignements envoyées par écrit représentent 20 p. 100 de la charge de travail et elles étaient traitées en moyenne au cours des trois mois suivants. Fournir des réponses écrites aux demandes de renseignements exige parfois beaucoup de temps et un travail intense. Au cours de l’année, l’Unité des requêtes et renseignements a encouru des arriérés relatifs aux demandes de renseignements écrites, ce qui a eu pour effet de repousser au maximum les délais d’exécution mensuels moyens. Au cours du prochain exercice financier, nous prévoyons mettre en œuvre de nouvelles mesures et obtenir des ressources additionnelles afin de traiter plus rapidement les requêtes du public.

Vérification et examen

Renforcer la fonction de vérification

La Loi sur la protection des renseignements personnels confère à la commissaire à la protection de la vie privée (paragraphe 37(1)) l’autorité de mener des enquêtes sur l’application que quelque 150 institutions gouvernementales font des articles 4 à 8 de la Loi. Ces articles régissent la manière dont le gouvernement fédéral recueille, conserve, détruit et protège les renseignements personnels. La Loi autorise également la commissaire à effectuer la vérification de certaines banques de données soustraites à l’accès.

En mars 2005, le Commissariat a donné à la Direction de l’examen de la conformité le nom de Direction de la vérification et de la revue. Cela témoigne d’un changement important. Le Commissariat n’a pas utilisé ses pleins pouvoirs de vérification pour évaluer la qualité de la gestion en matière de protection des renseignements personnels, ni pour aborder les risques qui y sont inhérents dans les activités actuelles du gouvernement fédéral. Au cours de la dernière année, nous avons entrepris de reconstituer et de renforcer les fonctions de vérification et d’examen. Nous avons l’intention de recourir plus souvent à la vérification, laquelle deviendra un outil important qui nous permettra de remplir notre mandat en vertu de la Loi sur la protection des renseignements personnels et de la LPRPDE.

L’objectif du Commissariat consiste à « procéder de façon objective et indépendante à la vérification et à l’examen de systèmes de gestion de renseignements personnels dans le but de promouvoir la conformité aux lois en vigueur, aux politiques et aux normes et d’améliorer les pratiques en matière de protection de la vie privée et d’imputabilité ».

Il faudra un certain temps pour mettre en place des mesures de vérification suffisantes, en plus de répondre à la demande des ministères pour des examens en temps opportun des évaluations des facteurs relatifs à la vie privée, comme l’exige la politique du Conseil du Trésor. Pour ce faire, nous avons entrepris les démarches suivantes :

• l’achèvement de méthodes et de pratiques d’examen et de vérification externes ;
• la définition du but de la Direction et l’articulation de l’institution/organisme autour des valeurs prônant le travail d’équipe ;
• l’amorce d’un processus visant à élaborer une stratégie et un plan de vérification à plus long terme compte tenu des risques et des enjeux relatifs à la protection des renseignements personnels ;
• l’élaboration d’une analyse de rentabilisation qui sera présentée au Conseil du Trésor du Canada afin d’obtenir davantage de financement pour la vérification et l’examen ;
• la sensibilisation auprès des comités parlementaires en ce qui touche les vérifications en matière de protection des renseignements personnels ; et
• l’amélioration des pratiques de vérification dans le cadre de la vérification de l’Agence des services frontaliers du Canada (voir ci-bas).

Vérification de la circulation transfrontalière des renseignements personnels

Tel qu’il a été mentionné plus tôt dans ce rapport, l’amélioration de la sécurité aux frontières est devenue, depuis les événements du 11 septembre 2001, une priorité pour le Canada et les États-Unis. De nombreuses mesures de sécurité nationale ont été présentées en vertu de la Déclaration Manley/Ridge sur la frontière intelligente, émise en décembre 2001, et du plan d’action en 30 points.

Depuis, le gouvernement a alloué environ 10 milliards de dollars aux programmes et initiatives touchant la sécurité nationale. Sur ce montant, plus de 1,7 milliard de dollars ont été accordés à l’Agence des services frontaliers du Canada (ASFC) dans le but de mettre en œuvre des mesures visant à renforcer les infrastructures terrestres et maritimes ainsi que celles des aéroports et des postes frontaliers, et visant à augmenter les ressources humaines de l’Agence et à améliorer ses outils de détection.

Le Canada et les États-Unis se sont aussi engagés à améliorer l’application de la loi aux frontières en étudiant les options qui s’offrent pour échanger des renseignements et faire un meilleur usage de la technologie. L’ASFC et le Department of Homeland Security (DHS) des États-Unis ont travaillé à plusieurs initiatives d’utilisation de la technologie et des ressources afin de mieux gérer les risques à la frontière canado-américaine. Ces initiatives comprennent l’application conjointe de la loi, les centres de contrôle conjoints, des activités coordonnées du renseignement et des bases de données intégrées permettant l’échange de renseignements.

Toutefois, les Canadiennes et les Canadiens sont préoccupés par la circulation de renseignements personnels vers les États-Unis. Les médias ont révélé que les Canadiennes et les Canadiens ne sont pas disposés à renoncer à la protection de leur vie privée au profit de mesures qui n’améliorent pas clairement leur sécurité. C’est aussi ce que soutient un sondage commandé par le Commissariat aux Associés de recherche EKOS, selon lequel 75 p. 100 des Canadiennes et des Canadiens interrogés croient que les organismes gouvernementaux du Canada transfèrent les renseignements personnels des citoyennes et des citoyens à des gouvernements étrangers dans le but de protéger la sécurité nationale et 85 p. 100 des répondants affirment qu’ils sont modérément ou très préoccupés par de tels transferts.

Les défenseurs de la protection de la vie privée et des droits de la personne ainsi que des politiciens canadiens ont tous fait part de leurs préoccupations face aux répercussions de la circulation transfrontière de données personnelles. Au nombre de ces préoccupations, l’exploration des données, l’établissement de profils raciaux, l’accès direct aux bases de données dont jouissent les autorités américaines, l’usage secondaire des renseignements personnels, le couplage des données et des renseignements personnels que détient le secteur privé, et la possibilité que la USA PATRIOT Act supplante le droit à la protection de la vie privée des Canadiennes et des Canadiens.

Compte tenu du contexte, le Commissariat a avisé, en juillet 2004, le président de l’Agence des services frontaliers du Canada (ASFC) qu’il avait l’intention d’effectuer la vérification de la gestion que fait l’Agence de la circulation transfrontalière des renseignements personnels qui sont sous son autorité.

L’objectif de la vérification est d’évaluer la mesure dans laquelle l’ASFC contrôle et protège adéquatement la circulation des renseignements personnels des Canadiennes et des Canadiens vers des gouvernements étrangers ou vers leurs institutions. La vérification se concentrera sur l’échange de renseignements personnels entre le Canada et les États-Unis. Un des éléments clés consistera à établir une correspondance (dans la mesure du possible) entre les renseignements personnels des Canadiennes et des Canadiens que l’ASFC communique aux États-Unis et les fins visées par cette communication.

Nous sommes d’avis que les objectifs en matière de sécurité nationale et de saines pratiques en matière de gestion des renseignements personnels sont interdépendants. Des contrôles rigoureux relativement à la collecte et à l’utilisation des renseignements personnels limiteront les risques d’atteinte à la protection de la vie privée, tels que l’utilisation ou la communication inappropriées, et soutiendront des objectifs rigoureux en matière de sécurité nationale. La communication, pertinente, opportune et exacte, des renseignements personnels est un principe vital aux opérations liées à l’application de la loi et au renseignement de sécurité. Toutefois, la communication doit avoir lieu selon les normes les plus élevées en matière de protection de la vie privée et de la sécurité, afin de conserver la crédibilité, auprès du public, des parlementaires et des partenaires étrangers.

Selon les critères généraux sous-tenant la vérification, la collecte, l’utilisation et la communication des renseignements personnels doivent se limiter aux renseignements nécessaires et permis par la loi. Il est également essentiel d’encadrer ces activités par de multiples mesures de protection de la vie privée et de la sécurité durant le cycle de vie des renseignements personnels afin de prévenir et d’atténuer les risques d’atteinte à la protection de la vie privée et aux objectifs des programmes.

Les programmes de l’ASFC en matière d’exécution des lois relatives aux douanes et à l’immigration supposent la collecte, l’utilisation et la communication d’une grande quantité de renseignements personnels de nature délicate. Les renseignements personnels recueillis comprennent des informations portant sur la situation financière, les antécédents familiaux, la santé et les voyages, des identificateurs personnels comme le numéro d’assurance sociale, les numéros d’immigration et de passeport, des éléments de biométrie – photos numériques, empreintes digitales et lecture de l’iris.

Compte tenu de la taille et de la complexité de l’ASFC, le Commissariat a utilisé la plupart de ses ressources limitées en matière de vérification pour déterminer lesquels des nombreux programmes et activités de gestion des renseignements personnels de l’Agence ont le plus de répercussions sur la vie privée des personnes. Voilà sur quoi se penchera le Commissariat au cours de la vérification.

Afin de mieux comprendre les activités de l’ASFC, l’équipe de vérificateurs a examiné les sources d’information ouvertes, les descriptions des activités de programme de l’ASFC, les politiques internes régissant la gestion des renseignements personnels, le matériel de formation pertinent, les diagrammes de circulation de l’information, les ententes sur l’échange de renseignements, les évaluations des facteurs relatifs à la vie privée et les descriptions des systèmes de technologie de l’information. Des entrevues ont été menées avec des membres du personnel des directions et des unités opérationnelles régionales. Nous avons observé les agents des douanes s’acquitter de leurs tâches aux lignes d’inspection primaire et secondaire. L’équipe a également bénéficié d’une séance d’information sur les systèmes électroniques utilisés aux postes frontaliers terrestres et dans les aérogares pour déterminer si un voyageur/passager représente un risque.

Cette étape de la vérification a été complétée au début de l’exercice financier 2005. Le début de l’examen détaillé est prévu pour le mois de mai 2005 et le rapport de vérification sera terminé en janvier 2006.

Autres activités de vérification et d’examen

Examen des banques de données de RHDCC

Depuis 2001, le Commissariat a procédé à l’étude d’environ 60 propositions de couplage de données faites par Développement des ressources humaines Canada (maintenant appelé Ressources humaines et Développement des compétences Canada – RHDCC et Développement social Canada – DSC). Ces examens sont obligatoires en vertu d’un protocole de gestion entré en vigueur en 2000 à la suite des préoccupations importantes concernant le Fichier longitudinal de la main-d’œuvre de DRHC (démantelé depuis). Le protocole régit toute recherche future ayant trait au couplage de données.

La qualité des propositions de couplage de données soumises au Commissariat s’est considérablement améliorée – à un point tel que RHDCC sollicite rarement nos conseils. Le Ministère s’est doté des compétences requises à l’interne pour cibler les risques en matière de protection de la vie privée associés au couplage de données relié à la recherche et à l’évaluation des programmes et y réagir. Nous encourageons les autres ministères et organismes à adopter le protocole de gestion.

Par conséquent, le Commissariat a écrit, en mars 2005, aux deux ministères pour leur faire part de sa recommandation selon laquelle l’examen de leurs propositions de couplage de données pourrait être facultatif et effectué à la discrétion des ministères. Les ministères ont accepté la recommandation et apporteront les modifications appropriées au protocole de gestion. Nous avons proposé le changement sous réserve que les ministères maintiennent l’intégrité des structures et des procédures en place. Nous nous attendons en plus que DSC et RHDCC réduisent au minimum toute perturbation possible de l’examen interne causée par la séparation de leurs responsabilités. Finalement, nous encourageons le personnel des deux ministères à tirer profit de leurs connaissances et de leur expérience afin de renforcer leur aptitude à évaluer les facteurs relatifs à la vie privée de toute forme de fusion ou de couplage de données.

Compte tenu de la taille et de la complexité des systèmes de RHDCC et de DSC qui contiennent une grande quantité de renseignements personnels, nous envisageons effectuer une vérification afin de déterminer si les cadres de gestion des renseignements personnels sont maintenus et continuent à fonctionner avec efficacité.

Couplage des données

En vertu de la Politique sur le couplage des données du Secrétariat du Conseil du Trésor du Canada, les ministères et organismes fédéraux sont tenus d’aviser le Commissariat de toute proposition de couplage de données. Cette exigence a pour but de permettre au Commissariat d’examiner les propositions et de formuler des observations.

Compte tenu du peu de propositions de couplage de données qui nous sont déclarées, nos préoccupations se rapportent moins à leur existence qu’au risque que le couplage de données ne soit pas déclaré et/ou qu’il se soustraie à la vérification. Selon les informations obtenues du Secrétariat du Conseil du Trésor, une certaine confusion règne au sein des ministères quant à la définition du couplage de données. Comme cette confusion contribuerait possiblement au faible taux de déclaration de cette activité, le SCT s’est mis à la tâche pour régler la situation. Nous partageons cette préoccupation et favorisons une définition claire et étudiée qui engloberait cette activité sous toutes ses formes, qu’elles se nomment couplage, fusion ou forage de données.

À l’heure actuelle, il est difficile de savoir si le gouvernement fédéral connaît toute l’étendue du « couplage de données » de renseignements personnels ayant cours, y compris les activités menées par des tiers travaillant sous contrat pour le gouvernement fédéral, et si ces tiers respectent les lois et les politiques et ont des pratiques adéquates en matière de gestion des renseignements personnels. Nous continuerons à suivre l’évolution de la situation de près et envisageons la possibilité de mener une future vérification dans ce domaine.

Examen de suivi du Programme canadien des armes à feu

Le Commissariat a entrepris l’examen du Programme canadien des armes à feu en 2001. Depuis, nous avons suivi l’évolution de la situation (voir les pages 49 et 50 du Rapport annuel au Parlement 2003-2004). À la suite des négociations continues visant à améliorer les pratiques, nous avons reçu l’an dernier une réponse favorable du nouveau ministère de la Sécurité publique et de la Protection civile Canada, dans laquelle il indiquait avoir pris des mesures pour réagir à nos préoccupations. Ces mesures comprennent de meilleures ententes écrites avec les agents contractuels visant la protection des renseignements personnels, la restriction de l’accès aux systèmes municipaux et provinciaux de récupération de renseignements judiciaires aux cas de nécessité absolue, la réitération de non-divulgation de renseignements personnels aux employeurs, et l’amélioration des formulaires de consentement.

Toutefois, compte tenu des quatre années qui se sont écoulées, de la controverse entourant le Programme et des nombreuses modifications qui ont suivi, dont les changements apportés à la Loi sur les armes à feu, il est temps de mettre à jour nos connaissances du Programme en vue de préparer une nouvelle vérification.

Évaluation des facteurs relatifs à la vie privée

Le Conseil du Trésor du Canada exige que les ministères et organismes fédéraux évaluent les facteurs relatifs à la vie privée (ÉFVP) de tous les nouveaux programmes et services gouvernementaux soulevant des questions en matière de protection des renseignements personnels. Des évaluations sont également requises lorsque des ministères apportent des changements significatifs aux programmes et services existants que nécessitent la collecte, l’utilisation ou la communication de renseignements personnels nouveaux ou plus détaillés. Les ministères doivent également évaluer les nouvelles activités de couplage de données, la sous-traitance ou tout autre changement ayant de possibles répercussions sur la protection de la vie privée.

La politique d’ÉFVP du Conseil du Trésor est essentielle à la protection de la vie privée. De plus, en dépit du manque d’uniformité des évaluations des facteurs relatifs à la vie privée en ce qui concerne la qualité et l’exactitude, celles-ci se sont considérablement améliorées. Cette tendance s’est poursuivie au cours de la dernière année. Nous sommes particulièrement ravis de constater que les ministères incluent de plus en plus souvent des plans d’action à leur présentation relative à l’ÉFVP. C’est là un signe encourageant des effets escomptés de la politique d’ÉFVP : s’assurer que le gouvernement accorde à la protection de la vie privée une importance de premier plan dans la planification, l’élaboration et la mise en œuvre de programmes et de services.

La mise en œuvre d’une stratégie permettant de respecter les exigences de la politique d’ÉFVP est plus qu’un élément clé d’un cadre ministériel de gestion de la vie privée. La politique en soi encourage l’adoption d’une structure de gouvernance en matière de protection de la vie privée. Par exemple, les lignes directrices de la politique déterminent les responsabilités fondamentales d’un cadre de gestion de la vie privée. Elles indiquent qu’il incombe aux responsables des ministères de préciser les rôles du personnel en ce qui a trait à son adhésion aux exigences de la politique. Ceux-ci sont aussi responsables de surveiller la mise en application des exigences.

Nous continuons à encourager les ministères à mettre sur pied une structure administrative officielle qui permettra d’examiner les initiatives ministérielles afin de déterminer s’il faut procéder à des ÉFVP. La structure ou les groupes devraient définir la responsabilité de l’émission de directives ministérielles et de lignes directrices sur la conformité aux objectifs de la politique, et mettre en place des groupes de gestion des ÉFVP. Ces groupes examinent les propositions afin de déterminer si les évaluations sont nécessaires, surveillent et coordonnent leur exécution, consultent les intervenants adéquats, approuvent les recommandations et suivent de près la mise en œuvre des recommandations.

Les ministères devraient également consulter les guides de vérification du Conseil du Trésor, en particulier la section du guide de vérification des ÉFVP intitulée « Cadre de contrôle de gestion » qui présente les structures administratives appropriées en appui à la politique.

Le processus d’examen des ÉFVP (tel que l’exige la politique du Conseil du Trésor) requiert que nous demandions de façon routinière aux ministères d’établir un rapport des mesures qui seront prises en réaction à nos recommandations. Nous évaluerons la conformité aux exigences et aux objectifs de la politique lors de toute vérification ultérieure.

Le Conseil du Trésor prévoit un examen complet de la politique d’ÉFVP en mai 2007, soit cinq ans après son lancement officiel. Toutefois, le Conseil a pris l’initiative en juin 2004 d’effectuer un examen intérimaire d’un petit échantillon de ministères fédéraux et de programmes. Ainsi, le Conseil peut évaluer les répercussions sur la conformité en matière de protection des renseignements personnels, et déterminer les améliorations possibles. Au cours de l’examen, le Conseil a consulté les intervenants appropriés (dont le Commissariat). Nous sommes d’accord avec la plupart des recommandations et des conclusions de l’étude.

Selon les conclusions de l’étude, la politique a eu pour effet d’accroître de façon considérable la conformité en matière de protection des renseignements personnels au sein des ministères choisis. Plusieurs points requièrent, bien entendu, une attention particulière. Par exemple :

• acquérir les compétences nécessaires pour effectuer les ÉFVP ;
• coordonner et intégrer la contribution des intervenants ;
• documenter les observations à l’aide des éléments nécessaires ;
• concilier les ÉFVP et d’autres politiques gouvernementales telles que celles concernant la sécurité gouvernementale, le couplage des données et le numéro d’assurance sociale ; et
• s’assurer que le public a accès aux résumés des ÉFVP.

L’étude conclut aussi que le rôle du Commissariat en matière de surveillance et de prestation de conseils est crucial pour s’assurer de l’intégrité du processus d’évaluation ainsi que de la confiance du public à l’égard de la politique. Nous sommes heureux que l’étude reconnaisse la nécessité de se procurer les ressources financières adéquates. Ce sujet fera partie d’une analyse globale de rentabilisation en vue du financement permanent du Commissariat qui sera soumise au Conseil du Trésor plus tard au cours de l’année 2005.

L’étude du Conseil du Trésor a également conclu qu’il n’existait aucune source d’information fiable indiquant le nombre d’évaluations qui avaient été menées. Et aucun mécanisme suffisamment efficace n’est en place pour s’assurer que les évaluations sont menées en vertu d’initiatives qui justifient une telle analyse. Les ministères se doivent d’améliorer leurs activités de contrôle et d’établissement des rapports, et le rapport annuel semble s’imposer comme méthode appropriée.

Au mois d’avril 2005, le Conseil du Trésor a fait part des lignes directrices révisées pour l’établissement des rapports pour l’exercice 2004-2005 en regard des rapports annuels concernant la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels. Nous sommes satisfaits de savoir que, selon ces lignes directrices, les ministères sont maintenant tenus de présenter un rapport sur le nombre d’ÉFVP et d’évaluations préliminaires effectuées au cours d’un exercice.

Compte tenu des faiblesses indiquées, nous envisageons de procéder à la vérification du fonctionnement de l’ensemble du système d’ÉFVP. Nous entretenons des inquiétudes à savoir si les évaluations sont effectuées lorsqu’elles le devraient. Il nous faut déterminer si les systèmes et procédures fonctionnent en vue d’assurer que les ministères prennent en charge les conclusions des évaluations en accord avec leur cadre ou leur programme de gestion de la vie privée.

Devant les tribunaux

Recours judiciaires en vertu de la Loi sur la protection des renseignements personnels

Selon l’article 41 de la Loi sur la protection des renseignements personnels, une personne est autorisée, à l’issue d’une enquête de la commissaire à la protection de la vie privée, à déposer auprès de la Cour fédérale du Canada un recours en révision du refus du gouvernement de lui communiquer ses renseignements personnels. Les recours suivants ont été déposés au cours du dernier exercice :

1. Keith Maydak c. Solliciteur général du Canada (No de dossier de la Cour fédérale T-972-04)
2. James R. Gairdner c. Jennifer Stoddart et autres (No de dossier de la Cour fédérale T-2005-04) Requête abandonnée en février 2005

En vertu de l’article 42 de la Loi sur la protection des renseignements personnels, la commissaire à la protection de la vie privée est autorisée à comparaître devant la Cour fédérale. Elle peut déposer auprès de la Cour fédérale un recours en révision de la décision d’une institution qui a refusé de communiquer des renseignements personnels (avec le consentement du plaignant). Elle peut également comparaître devant la Cour au nom de la personne qui a exercé un recours devant elle, ou comparaître, avec l’autorisation de la Cour, comme partie à une instance engagée en vertu de l’article 41. Au cours du dernier exercice, aucune de ces possibilités n’a nécessité la présence en cour de la commissaire à la protection de la vie privée.

La commissaire à la protection de la vie privée peut également participer à des recours lorsque le plaignant la désigne à tort à titre d’intimée et qu’il tente d’obtenir d’elle un redressement qui n’est pas disponible. Voici deux de ces cas qui ont fait l’objet d’une décision au cours de l’exercice :

Gauthier c. Canada (ministère de la Justice) et commissaire à la protection de la vie privée du Canada

No de dossier de la Cour fédérale T-653-02

M. Gauthier a demandé que le ministère de la Justice lui donne accès à tous les renseignements personnels le concernant. Après avoir consulté plusieurs autres institutions, le Ministère lui a fait parvenir un total de 685 pages d’information et l’a avisé que certains renseignements n’avaient pas été communiqués conformément aux articles 26 et 27 de la Loi sur la protection des renseignements personnels. M. Gauthier a porté plainte au commissaire à la protection de la vie privée, accusant le Ministère de lui refuser indûment la communication de ses renseignements personnels.

L’ancien commissaire à la protection de la vie privée a examiné les renseignements dont la communication avait été refusée, et il a convenu que les exceptions prévues aux articles 26 et 27 avaient été appliquées adéquatement et que, par conséquent, la plainte était non fondée. Néanmoins, le commissaire a demandé au ministère de la Justice de revoir sa position quant à l’exercice de son pouvoir discrétionnaire en ce qui concerne certains renseignements, à la suite de quoi les renseignements ont été communiqués à M. Gauthier.

M. Gauthier a déposé un recours en vertu de l’article 41 de la Loi sur la protection des renseignements personnels, dans lequel il demandait indûment, entre autres choses, la révision des conclusions du commissaire à la protection de la vie privée concernant sa plainte.

En octobre 2003, le commissaire à la protection de la vie privée par intérim a présenté ses observations sur le manque de compétence des tribunaux à l’égard de la révision des conclusions du commissaire à la protection de la vie privée.

Au cours d’une audience tenue le 31 mars 2004, M. Gauthier a concédé qu’en fait il ne cherchait pas une révision des conclusions du commissaire à la protection de la vie privée, mais seulement de la décision de l’institution gouvernementale de refuser de lui donner accès à tous les renseignements personnels le concernant. Dans une décision qui a donné lieu à un examen des principes du secret professionnel, le recours contre le gouvernement a été accueilli en partie le 4 mai 2004.

Mamidie Keïta et Bernard Michaud c. ministre de la Citoyenneté et de l’Immigration du Canada et commissaire à la protection de la vie privée du Canada

No de dossier de la Cour fédérale T-676-03

Les plaignants avaient demandé des renseignements personnels à tous les bureaux de Citoyenneté et Immigration Canada (CIC), particulièrement aux ambassades situées en Guinée, en Côte d’Ivoire, au Ghana et au Sénégal. Insatisfaits de la réponse de CIC, ils ont porté plainte au commissaire à la protection de la vie privée, qui a fait enquête et conclu que la plainte était fondée au moment où elle avait été déposée. Cependant, puisque CIC a communiqué aux plaignants des renseignements supplémentaires auxquels ils avaient droit au cours de l’enquête, le commissaire à la protection de la vie privée a conclu que la plainte était résolue. Le commissaire partageait l’avis de CIC selon lequel le reste des renseignements dont la communication a été refusée aux plaignants étaient des renseignements relatifs à un tiers faisant l’objet d’une exemption aux termes de l’article 26 de la Loi sur la protection des renseignements personnels.

Les plaignants ont alors déposé un recours en révision en vertu de l’article 41 de la Loi sur la protection des renseignements personnels. Puisque le recours cite à tort le commissaire à la protection de la vie privée à titre d’intimé, le commissaire à la protection de la vie privée par intérim a déposé une motion en juillet 2003 afin d’être exclu du recours. Le tribunal a rejeté la motion en laissant entendre que la question dans ce dossier était trop complexe et qu’il était préférable de trancher celle-ci à l’instruction.

Le 28 avril 2004, le recours a été rejeté et le tribunal réitérait que les requérants ne peuvent pas, au moyen d’un recours en révision contre l’institution gouvernementale, également obtenir une révision judiciaire des recommandations du commissaire. Par ailleurs, le tribunal a confirmé que les exemptions de l’article 26 étaient appropriées et que les requérants avaient reçu tous les renseignements auxquels ils avaient droit.

Révision judiciaire

Les requérants solliciteront parfois, en vertu de l’article 18.1 de la Loi sur les Cours fédérales, une révision judiciaire de la décision de la commissaire à la protection de la vie privée. Cela s’est produit dans le cas décrit ci-dessous, alors que la commissaire a dû expliquer sa compétence au tribunal lorsque le plaignant a tenté d’obtenir des réparations que la commissaire n’avait pas le pouvoir d’accorder. Ce cas illustre les recours sérieusement limités prévus en vertu de la Loi sur la protection des renseignements personnels pour toute infraction autre que les refus d’accès inappropriés. La commissaire se trouve dans la position peu enviable d’avoir à démontrer au tribunal qu’elle ne peut pas aider le plaignant. Manifestement, il s’agit là d’une question importante qui devrait être traitée lors de la réforme de la Loi sur la protection des renseignements personnels.

Brian Murdoch c. Gendarmerie royale du Canada et commissaire à la protection de la vie privée du Canada

Nos de dossier de la Cour fédérale T-1180-04 et de la Cour d’appel fédérale A-183-05

M. Murdoch a porté plainte à la commissaire à la protection de la vie privée, accusant la GRC d’avoir enfreint, entre autres comportements fautifs, la Loi sur la protection des renseignements personnels en communiquant ses renseignements personnels à son employeur sans son consentement. Le commissaire adjoint chargé de la Loi sur la protection des renseignements personnels a convenu que cette plainte relative à la communication était fondée.

Le 18 juin 2004, M. Murdoch a sollicité une révision judiciaire du rapport du commissaire adjoint sur sa plainte relative à la communication. Bien que la Loi sur la protection des renseignements personnels limite les recours aux questions d’accès, M. Murdoch a fait valoir que la commissaire à la protection de la vie privée doit nécessairement être habilitée à formuler des ordonnances remédiatrices et des redressements dans les cas (comme le sien) où la Loi a été transgressée.

Le 29 juin 2004, la commissaire à la protection de la vie privée a contesté la requête de M. Murdoch voulant qu’elle produise une copie authentifiée de tous les documents pertinents en sa possession. En août 2004, elle a déposé une requête en radiation de la demande. Cependant, le tribunal a refusé la motion en septembre 2004 en soulignant que le bien-fondé de l’argument de la commissaire à la protection de la vie privée (selon lequel elle n’a pas le pouvoir ou la compétence d’accorder les réparations demandées) pourrait facilement être déterminé lorsque le tribunal entendrait la requête.

Lors d’une audience tenue en mars 2005, le tribunal a déterminé que la commissaire à la protection de la vie privée avait rempli ses obligations en vertu de la Loi sur la protection des renseignements personnels et qu’elle avait correctement informé le requérant que la Loi ne prévoit aucune pénalité pour l’atteinte à la vie privée du requérant. Celui-ci ne peut obtenir du tribunal aucune autre indemnité pour la communication inappropriée.

M. Murdoch a interjeté appel de la décision de la Cour fédérale en avril 2005.

Sensibilisation du grand public et communications

Le Commissariat à la protection de la vie privée du Canada est chargé, en vertu de la LPRPDE, d’élaborer et d’entreprendre des programmes d’information afin que le public et les organisations comprennent et reconnaissent davantage les règles qui régissent la collecte, l’utilisation et la communication des renseignements personnels. Bien qu’aucun mandat législatif de sensibilisation du grand public ne soit spécifié aux termes de la Loi sur la protection des renseignements personnels, le Commissariat a bel et bien le mandat de s’assurer que les ministères et organismes sont tenus responsables de leurs pratiques en matière de traitement des renseignements personnels. Il s’avère souvent nécessaire d’informer le public, ainsi que les ministères et les organismes, des exigences de la Loi et des politiques connexes ainsi que des répercussions des initiatives du gouvernement, courantes ou proposées, sur le droit à la vie privée des Canadiennes et des Canadiens.

En 2004-2005, le Commissariat a entrepris un projet de planification stratégique des communications avec l’expertise de consultants externes ; cela a donné lieu à une stratégie exhaustive en matière de communications et d’information pour les prochains exercices. Cette stratégie permettra au Commissariat d’adopter une approche plus globale et plus proactive de la planification et de la prestation des activités de communications, une approche des communications se rapportant à la LPRPDE davantage axée sur la sensibilisation du grand public afin de mieux faire connaître le Commissariat et les principaux enjeux en matière de protection de la vie privée conformément aux deux lois.

En plus de l’élaboration de cette stratégie, le Commissariat a entrepris les activités de communications suivantes en 2004-2005 :

Discours et événements spéciaux

Les discours ont aidé le Commissariat à sensibiliser les divers auditoires et autres milieux aux enjeux relatifs à la protection de la vie privée, notamment des associations professionnelles et d’industries, des organismes sans but lucratif, des groupes de défense et des universités. En 2004-2005, la commissaire, les commissaires adjoints et les autres représentants ont présenté plus de 21 discours portant sur des enjeux ayant des répercussions sur la protection des renseignements personnels tels que des initiatives en matière de sécurité et la prestation de soins de santé.

En mars 2004, le Commissariat a commencé à présenter une série de conférences internes (en moyenne une par mois). Lors de ces séances d’information, des experts invités ont abordé diverses questions portant sur la protection des renseignements personnels devant des membres du milieu de la protection de la vie privée et devant le personnel du CPVP. En 2004-2005, le Commissariat a présenté neuf de ces séances d’information.

Relations avec les médias

En 2004-2005, les médias ont continué à porter un intérêt soutenu sur la protection de la vie privée couvrant abondamment des questions telles la protection des renseignements personnels et la sécurité, comme le témoignent de nombreux appels médiatiques au CPVP et des entrevues accordées par ce dernier. De plus, grâce à d’autres efforts proactifs en matière de relations médiatiques, tels que la diffusion de communiqués de presse, le Commissariat a eu l’occasion d’entreprendre des activités de sensibilisation, notamment pour le lancement de son programme des contributions, pour faire connaître le point de vue de la commissaire sur d’importantes lois, tel le projet de loi visant à créer une liste nationale des abonnés auto-exclus, et pour communiquer le point de vue du Commissariat sur la circulation transfrontalière des renseignements personnels.

Site Web

Nous affichons de façon continue sur notre site Web des renseignements nouveaux et utiles. Des fiches d’information, communiqués, discours, résumés de conclusions d’enquêtes en vertu de la LPRPDE sont affichés sur le site afin de maintenir l’intérêt des personnes et des organisations. En 2004-2005, le Commissariat a restructuré son site Web afin qu’il soit conforme à la normalisation des sites Internet telle qu’elle a été établie par le Conseil du Trésor. Résultat : la conception et les outils de navigation du site ont été améliorés en vue de faciliter la consultation du site. Le Commissariat a également rendu le site plus interactif en y intégrant un discours téléchargeable de la commissaire sur la conformité à la LPRPDE. Il nous fait plaisir de signaler que depuis 2001-2002, le nombre de visites de notre site a plus que quadruplé, atteignant 904 886 en 2004-2005.

Publications

Le Commissariat a produit des documents d’information, dont des guides sur la LPRPDE à l’intention des personnes, des organisations et des entreprises, ainsi que de nouvelles fiches d’information traitant de sujets tels que le consentement, l’utilisation du numéro d’assurance sociale dans le secteur privé, la circulation transfrontalière des renseignements personnels et la façon dont le Commissariat mène des enquêtes sur de possibles violations de la vie privée.

En 2004-2005, en plus de préparer de nouvelles fiches d’information, nous avons élaboré une trousse d’information électronique à l’intention des entreprises pour aider celles-ci à se conformer à la nouvelle loi. Nous avons révisé la teneur de nos guides afin de nous assurer que ceux-ci étaient à jour pour la mise en œuvre intégrale de la LPRPDE le 1^er janvier 2004. Nous avons reçu tous les jours des demandes au sujet de ces documents. Ceux-ci étaient acheminés aux personnes qui en faisaient la demande ou distribués lors de conférences et événements spéciaux, et les visiteurs de notre site Web pouvaient également les obtenir en format électronique. En 2004-2005, près de 22 000 publications du Commissariat (guides, fiches d’information, rapports annuels, copies des deux lois fédérales sur la de protection des renseignements personnels) ont été distribuées, sans compter les 635 000 publications téléchargées de notre site Web.

Communications internes

Le Commissariat a également mis l’accent sur les activités de communications internes, qui ont joué un rôle majeur en 2004-2005 en favorisant une plus grande transparence entre le personnel et la direction, en particulier pendant le renouveau institutionnel en cours, mais aussi lors des activités quotidiennes. Les activités de communications internes en 2004-2005 consistaient à fournir au personnel des renseignements, notamment sur des questions en matière de ressources humaines, les discours à venir, les présentations devant le Parlement, les réunions des comités de la haute direction et de consultation patronale-syndicale et des activités spéciales telles que des réunions de l’ensemble du personnel et des séances d’information. Le Commissariat travaille actuellement à la mise sur pied d’un réseau intranet, un portail de communications internes qui accueillera toutes les communications internes et maximisera l’accès à l’information pour le personnel. Le réseau sera lancé en 2005-2006.

Au cours de la prochaine année, le Commissariat continuera à prendre en charge les activités ci-haut mentionnées. Nous espérons également être en mesure d’entreprendre davantage d’activités de sensibilisation du grand public plus proactives dans notre stratégie en matière de communications et d’information.

Gestion intégrée

Vers le renouveau institutionnel

La priorité numéro un de la commissaire a été de diriger le renouveau institutionnel du Commissariat en renforçant les processus de gestion du CPVP, en particulier la gestion des ressources humaines et la gestion financière – planification, budgétisation, établissement de rapports et mécanismes de contrôle.

La planification et l’établissement de rapports

Un élément de base du renouveau institutionnel du Commissariat est la mise en place d’un processus stratégique de planification, d’établissement de rapports et de contrôle. En 2004-2005, nous avons conclu une première année sous ce processus révisé. Le plan stratégique élaboré en début d’exercice nous a servi de feuille de route tout au long de l’année. Les possibilités en matière d’examen et d’établissement de rapports faisaient partie de ce nouveau processus. Nous avons ajusté les plans et les budgets tout au long de l’année. Pour nous aider à établir des rapports et à procéder à des examens, nous avons mis sur pied un cadre de mesure du rendement et un rapport mensuel sur le rendement. Nous avons également initié une révision des processus pour l’ensemble de l’institution, ce qui permettra au Commissariat de déterminer avec plus de justesse les besoins en ressources et de rédiger une analyse de rentabilisation pour le financement permanent.

Les ressources humaines

Nous continuons à travailler à l’élaboration et à la mise en œuvre de changements en vue d’améliorer la façon dont le Commissariat est géré et la qualité du milieu de travail. Des changements considérables et des améliorations ont été apportés aux pratiques et aux politiques de gestion des ressources humaines.

Nous avons élaboré un certain nombre de politiques en matière de ressources humaines, en consultation avec des organismes centraux et des syndicats. Ces politiques nous guideront pendant que nous tirons profit de nos succès de la dernière année et que nous poursuivons notre cheminement vers le renouveau institutionnel. Nous avons établi un instrument de délégation en matière de gestion des ressources humaines qui nous servira à informer et à aiguiller les gestionnaires et permettra à ceux-ci de gérer les ressources humaines. Un nouveau plan stratégique en matière de ressources humaines et une stratégie en matière de dotation ainsi qu’un plan d’action sur l’équité en matière d’emploi aideront le CPVP à respecter son mandat et à assurer le recrutement d’effectifs hautement qualifiés, diversifiés et représentatifs de la société canadienne. En vertu de l’engagement du CPVP à faire preuve d’une meilleure transparence dans le processus de dotation, un bulletin du personnel a été mis sur pied ; il est distribué chaque mois à tout le personnel.

Tout au long du dernier exercice, nous avons fait des progrès considérables dans le domaine de l’apprentissage organisationnel, en élaborant notamment une stratégie d’apprentissage en collaboration avec l’École de la fonction publique du Canada (ÉFPC), des séances d’information et de formation sur la dotation en personnel fondées sur les valeurs, des séances de formation linguistique, des évaluations de rendement pour les gestionnaires et les employés et une politique sur le harcèlement en milieu de travail. L’élaboration et la mise en œuvre d’une stratégie d’apprentissage et d’un programme éducatif en collaboration avec l’ÉFPC permettront au personnel de continuer à développer son expertise et les compétences requises pour accomplir ses tâches, et l’amènera à assumer de nouvelles fonctions et responsabilités.

Nous avons continué à travailler en collaboration avec des organismes centraux tels que l’Agence de gestion des ressources humaines de la fonction publique du Canada et la Commission de la fonction publique du Canada sur des mesures de suivi, conformément aux recommandations de la Commission de la fonction publique et au rapport de la vérificatrice générale du Canada en 2003. Certaines de ces mesures donneront au Commissariat la possibilité de reprendre ses pleins pouvoirs de délégation en matière de dotation.

Finances et administration

Le Bureau du vérificateur général a émis une opinion favorable à la suite de la vérification des états financiers du Commissariat pour l’exercice 2003-2004. Voilà un jalon important et un indicateur que l’institution a effectivement progressé dans son cheminement vers le renouveau institutionnel. Notre institution a profité de ce succès en mettant au point des cycles d’examen et de planification, de même qu’en simplifiant et en améliorant les politiques et les pratiques de gestion financière.

Gestion de l’information et technologie de l’information

Des progrès considérables ont également été accomplis en ce qui a trait à la gestion de nos ressources d’information. Nous avons terminé la vérification de nos systèmes de gestion de l’information ainsi qu’une évaluation de la vulnérabilité de notre technologie de l’information. Nous avons également élaboré une stratégie en matière de technologie de l’information. Cela nous aidera non seulement à remplir nos obligations dans le cadre de la gestion des renseignements administratifs et des politiques en matière de sécurité mais, surtout, à nous guider pendant que nous procédons à l’amélioration de la gestion de nos ressources d’information. Au cours de l’année, nous avons considérablement amélioré notre système de suivi des dossiers et d’établissement des rapports, l’Application d’enquête intégrée (AEI). Finalement, nous avons également mis au point un cadre pour un site intranet interne. Ce site permettra aux employés de communiquer et d’échanger des renseignements efficacement.

Pour l’année qui vient

La planification stratégique est un exercice annuel important au CPVP. Notre dernière session, en janvier 2005, a permis aux gestionnaires et aux employés de réexaminer les priorités du Commissariat pour 2005-2006, ainsi que les actions qu’ils entreprendront pour les mener à bien.

Gestion intégrée – priorités pour l’exercice 2005-2006 :

• élaborer et mettre en œuvre un cadre de responsabilisation de gestion (CRG) ;
• mettre en œuvre et maintenir une stratégie en ressources humaines qui habilitera le Commissariat à recruter, à conserver et à former le personnel, de même qu’à favoriser un environnement d’apprentissage continu ;
• satisfaire aux exigences des organismes centraux afin de recouvrer les pouvoirs délégués et de permettre au Commissariat d’assumer une nouvelle délégation afin d’appliquer la Loi sur la modernisation de la fonction publique ;
• élaborer et mettre en œuvre la gestion intégrée de l’information ;
• rédiger une analyse de rentabilisation des ressources pour le CPVP ;
• examiner les politiques et les processus de la Direction de la gestion intégrée et de la Direction des ressources humaines ; et
• continuer à procurer des services financiers intégrés efficaces au CPVP.

Besoins en matière de ressources

Au début de l’exercice 2004-2005, le budget du Commissariat s’établissait à 11,2 millions de dollars, soit le même montant que celui de l’exercice précédent. De cette somme, 6,7 millions de dollars visent les activités du Commissariat à l’égard de la LPRPDE. Le financement des activités du CPVP est toujours un enjeu capital.

Compte tenu des menaces constantes à l’endroit du droit à la protection de la vie privée, les activités du Commissariat doivent être adéquatement financées de façon à ce que ce dernier prenne des mesures pour traiter la multitude des nouveaux enjeux en matière de protection de la vie privée dans les secteurs public et privé.

Le Commissariat ne possède pas les ressources adéquates pour exercer pleinement ses pouvoirs et assumer ses responsabilités en vertu des deux lois. Sans financement permanent suffisant, le Commissariat n’est pas en mesure de :

• renforcer ses fonctions de vérification et d’examen de façon à traiter efficacement l’application des deux lois régissant la protection des renseignements personnels, ou renforcer notre capacité de surveillance, de recherche et de réponse aux nouveaux enjeux en matière de technologie et de protection de la vie privée ;
• mener des activités d’information et de sensibilisation du grand public afin d’influer sur les changements pour que les politiques et programmes soient perçus selon un leitmotiv respectant la protection de la vie privée ;
• continuer à mener des enquêtes en temps opportun et à régler un nombre de plus en plus élevé de plaintes en vertu des deux lois ; et
• continuer à fournir des avis juridiques et stratégiques ainsi qu’un soutien juridique en vertu des deux lois régissant la protection des renseignements personnels, et renforcer les méthodes et procédures établies pour régler les plaintes entre les différentes juridictions.

À cette fin, la priorité du Commissariat au cours du dernier trimestre de l’exercice 2004-2005 a consisté à mener à terme un examen de ses processus opérationnels à l’échelle de l’organisme. Il a donc fallu, notamment, établir des indicateurs de charge de travail et revoir les exigences législatives ainsi que les facteurs, tant internes qu’externes, qui ont une incidence sur les activités du Commissariat. Cela permettra au Commissariat d’élaborer une analyse de rentabilisation et de déposer un document de présentation officielle au Secrétariat du Conseil du Trésor et au Parlement, plus tard en 2005, en vue de stabiliser les ressources dont il dispose et de demander un financement permanent.

Nous espérons qu’avec un financement permanent, le Commissariat sera en mesure d’offrir une assurance renouvelée au Parlement pour veiller au respect du droit des Canadiennes et des Canadiens à la protection de leurs renseignements personnels dans les secteurs public et privé.

Renseignements financiers

Du 1^er avril 2004 au 31 mars 2005

Note : Bien que le budget salarial du CPVP ait permis environ 100 ETP (équivalent temps plein), le Commissariat ne comptait que 86 employés à temps plein à la fin de mars 2005.

⁽¹⁾ Les dépenses globales correspondent aux données des Comptes publics du Canada.

États financiers

La lettre de responsabilité de la direction à l’égard des états financiers et les états financiers vérifiés en date du 31 mars 2005 pourront être consultés sur notre site Web www.priv.gc.ca en octobre 2005.