Sommaire de l’évaluation des facteurs relatifs à la vie privée sur la Loi canadienne anti-pourriel

Sommaire

Description du Programme

Loi

La Loi canadienne anti-pourriel (LCAP) a reçu la sanction royale le 10 décembre 2010. Elle a pour objet de stimuler l’essor du commerce électronique en garantissant la confiance du public dans le marché en ligne et en favorisant l’utilisation de la messagerie électronique pour mener des activités commerciales.

La LCAP met en place un cadre de réglementation pour prévenir au Canada les pourriels et les autres menaces électroniques préjudiciables et trompeuses, comme le vol d’identité, l’hameçonnage, les logiciels espions, les maliciels et les réseaux d’ordinateurs zombies, et aider à chasser du pays les polluposteurs.

Outre qu’elle renferme des dispositions pour contrer ces menaces, la LCAP modifie la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la Loi sur les télécommunications.

Le 1er avril 2011, la LCAP a apporté certaines modifications limitées à la LPRPDE. Plus précisément, le commissaire à la protection de la vie privée du Canada a désormais des pouvoirs accrus pour ce qui est :

  • de refuser d’examiner une plainte (paragr. 12.(1));
  • de mettre fin à l’examen d’une plainte en cours (paragr. 12.2(1));
  • de consulter ses homologues des provinces, de conclure des ententes avec eux et de leur communiquer des renseignements (art. 23);
  • de conclure des ententes écrites avec ses homologues d’autres pays et de leur communiquer des renseignements (art. 23.1).

Nouveau modèle d’application de la loi

La LCAP met en place un modèle d’application de la loi différent dans la mesure où trois organismes fédéraux sont chargés de son application, soit le Commissariat à la protection de la vie privée du Canada, le Conseil de la radiodiffusion et des télécommunications canadiennes et le Bureau de la concurrence (collectivement appelés « les organismes chargés de l’application de la loi »). En plus des mesures que chaque organisme peut prendre de façon indépendante pour l’application des dispositions de la LCAP, cette loi exige que les trois organismes chargés de son application se consultent mutuellement comme ils le jugent approprié pour réglementer efficacement les activités interdites. Ils peuvent s’échanger de l’information, ainsi que communiquer des renseignements au gouvernement d’un État étranger et à certaines organisations internationales (dans des situations précises et conformément à des ententes écrites conclues entre les parties).

Centre de notification des pourriels

Le Conseil de la radiodiffusion et des télécommunications canadiennes administrera et abritera le Centre de notification des pourriels, qui a été mis sur pied pour faciliter l’application de la LCAP. Le Centre recevra des informations et des signalements soumis par le site Web public d’Industrie Canada concernant entre autres de possibles contraventions, ainsi que de l’information provenant de sources de données tierces et de « pots de miel ». Le Centre servirait donc de dépôt d’information que les organismes chargés de l’application de la loi pourraient utiliser pour mener diverses activités en lien avec la conformité à la LCAP, notamment des enquêtes.

Collecte, utilisation et communication de renseignements personnels par le Commissariat en vertu de la LCAP

Les renseignements personnels recueillis par le Commissariat pour assurer la conformité à la LCAP, tant auprès du Centre de notification des pourriels qu’en application de ses propres pouvoirs et capacités de collecte d’information, seront utilisés à des fins administratives (p. ex. pour prendre des décisions qui touchent directement une personne identifiable). Toutefois, cette information ne devrait pas servir à prendre des décisions administratives à l’égard des personnes qui transmettent de l’information au Centre de notification des pourriels ou qui déposent une plainte auprès du Commissariat. Elle est plutôt destinée à prendre des décisions administratives à l’égard des cibles ou des mis en cause, c’est-à-dire ceux qui envoient des pourriels et d’autres fichiers électroniques constituant une menace pour le public ou qui commandent ou facilitent leur envoi.

Les renseignements personnels recueillis dans le cadre des activités d’application de la loi menées par le Commissariat peuvent être utilisés pour faire enquête sur d’éventuelles contraventions à la LPRPDE (dans sa forme modifiée par la LCAP) ayant des conséquences sur le plan administratif ou civil. L’utilisation de renseignements personnels à des fins d’enquête et leur communication à des tiers doivent être guidées par les dispositions respectives énoncées dans la LCAP, la LPRPDE, la Loi sur la protection des renseignements personnels et d’autres lois et politiques pertinentes du gouvernement du Canada.

Les activités d’application de la LCAP menées par le Commissariat ne devraient pas nécessiter la collecte, l’utilisation ou la communication de renseignements personnels « sensibles » se rapportant aux personnes qui ont transmis de l’information ou signalé un incident au Centre de notification des pourriels ou déposé directement auprès du Commissariat une plainte en lien avec la LCAP. La LPRPDE ne donne aucune définition de la notion de « renseignements personnels sensibles », mais les dossiers médicaux et le revenu sont mentionnés dans ce contexte sous la rubrique du Principe 4.3.4, qui relève du troisième principe de cette loi. Pour les besoins de la présente évaluation des facteurs relatifs à la vie privée (EFVP), les renseignements dits sensibles sont tels que ceux détenus par des avocats et protégés par le secret professionnel, des documents financiers, des documents juridiques, des dossiers médicaux ainsi que des renseignements sur l’appartenance politique, les croyances religieuses, les associations ou le mode de vie et l’évaluation des employés, qui sont considérés comme de l’information désignée « protégée B » ou ayant une cote de sécurité supérieure, dans de très rares cas, selon le contexte.

En réalité, les personnes qui communiquent des renseignements personnels en transmettant de l’information ou en signalant un incident au Centre de notification des pourriels le font exclusivement sur une base volontaire. Dans la plupart des cas, les renseignements personnels à recueillir se limitent au nom et aux coordonnées de l’intéressé et à l’information pertinente en lien avec l’incident allégué. En soi, ces renseignements ne sont pas considérés comme sensibles dans le contexte.

Les personnes qui transmettent de l’information peuvent fournir les renseignements personnels qu’ils jugent utiles pour leur intervention et dont certains peuvent être sensibles (seuls ou combinés avec d’autres informations permettant d’identifier un individu). En outre, il est possible que des personnes fournissent de l’information sans se rendre compte qu’il s’agit de renseignements personnels, par exemple des adresses IP. Là encore, le Commissariat considérera cette information comme désignée « protégée B » et prendra les mesures de sécurité appropriées.

Dans la mesure du possible, le Commissariat recueillera les renseignements personnels directement auprès de l’intéressé, par exemple quand une personne transmet de l’information au Centre de notification des pourriels. La personne qui transmet l’information peut également envoyer directement au Commissariat un formulaire de plainte en ligne en vertu de la LPRPDE concernant une contravention alléguée à la LCAP. Toutefois, le Commissariat n’encouragera pas cette pratique et demandera aux citoyens, s’ils sont en mesure de le faire, de transmettre l’information en ligne par le site Web d’Industrie Canada pour s’assurer que le Centre de notification des pourriels dispose de données aussi complètes que possible concernant les pourriels. Le Commissariat s’assurera toutefois que sa procédure de tri des plaintes en amont permet de gérer de façon appropriée la réception et le traitement de ces formulaires de plainte.

Le Centre de notification des pourriels peut aussi avoir accès aux renseignements personnels des individus lorsque des tiers lui transmettent de l’information concernant des pourriels et d’autres menaces électroniques au moyen de flux de données, conformément à des ententes écrites ou à des contrats, par exemple l’adresse IP de personnes qui ont reçu des pourriels renfermant des logiciels espions.

En outre, il est possible que des tiers choisissent de communiquer directement au Commissariat, au CRTC ou au Bureau de la concurrence, en application de l’article 56 de la LCAPNote de bas de page 1, des renseignements personnels concernant des individus.

Les renseignements personnels des individus qui transmettent de l’information ou ceux qui sont communiqués dans des sources de données ne doivent pas être utilisés par le Commissariat à des fins secondaires, par exemple pour faire de la recherche, présenter des statistiques, renseigner des intervenants du secteur public ou privé sur son mandat en lien avec la LCAP ou publier les résultats des activités d’application de la loi. Avant d’être utilisés à ces fins, ces renseignements personnels seront plutôt regroupés et dépersonnalisés.

Portée de l’EFVP

L’évaluation des facteurs relatifs à la vie privée concernant les activités d’application de la LCAP menées par le Commissariat consiste à évaluer sommairement les éventuelles répercussions sur la vie privée associées aux activités d’application de la LCAP menées par le Commissariat. Cette évaluation porte sur les éléments suivants :

  • la collecte de renseignements personnels par le Commissariat sous le régime de la LCAP par l’intermédiaire du Centre de notification des pourriels et la façon dont le Commissariat veillera à protéger l’intégrité de ses propres systèmes, lorsque cette collecte comprend du matériel malveillant, par exemple des maliciels;
  • la procédure de collecte d’information auprès du Centre de notification des pourriels, que le groupe de l’analyse des technologies du Commissariat examinera en profondeur;
  • les mesures que prendra le Commissariat pour faire connaître au public son mandat en lien avec la LCAP, notamment la façon dont il donnera suite aux demandes d’information et de correspondance associées à la LCAP, y compris les plaintes directement liées à la LPRPDE alléguant une contravention à la LCAP;
  • la fonction de tri du Commissariat en vue de la mise en évidence et de l’évaluation des éventuelles contraventions à la LCAP et, le cas échéant, du choix de la mesure d’application appropriée;
  • la mesure dans laquelle le Commissariat pourra utiliser d’autres méthodes d’application de la loi pour donner suite aux contraventions à la LCAP;
  • la façon dont la procédure d’enquête du Commissariat en lien avec la LCAP fonctionnera et en quoi elle différera de celle utilisée pour faire enquête sur les contraventions à la LPRPDE non associées à la LCAP;
  • la façon dont le Commissariat veillera à assurer la conformité à la LCAP en collaboration avec les organismes partenaires chargés de l’application de la loi, p. ex. en cas d’enquêtes conjointes;
  • le cas échéant, la communication de renseignements personnels par le Commissariat à des organismes partenaires chargés de l’application de la LCAP et leur utilisation au sens des articles 57 à 59 de cette loi;
  • l’éventuelle communication de renseignements personnels par le Commissariat concernant ses activités d’application de la LCAP à des organisations ou à des États étrangers au sens de l’article 23.1 de la LPRPDE et de l’article 60 de la LCAP;
  • le traitement par le Commissariat des demandes présentées au sens de la Loi sur l’accès à l’information et de la Loi sur les renseignements personnels en lien avec ses activités d’application de la LCAP;
  • la conservation et la destruction des renseignements personnels recueillis, utilisés et communiqués dans le cadre de ses activités d’application de la LCAP.

Identification des risques

Type d’activité
Risque élevé
(Niveau 4 - SCT)

Le Commissariat peut obtenir des renseignements personnels concernant des individus auprès :

  1. du Centre de notification des pourriels, soit des données liées à de l’information qui lui a été transmise par voie électronique au moyen du formulaire de notification d’Industrie Canada à l’intention des consommateurs, ou d’un service de transfert de courriels, de source de données tierces ou de « pots de miel »;
  2. des individus qui communiquent de l’information directement en présentant au Commissariat un formulaire de plainte en vertu de la LPRPDE du Commissariat;
  3. ou des organisations qui communiquent directement au Commissariat de l’information alléguant une contravention à la LCAP, à l’article 5 de la LPRPDE, concernant une collecte ou une utilisation décrite au paragraphe 7.1(2) ou 7.1(3) de la LPRPDE, comme il est prévu à l’article 56 de la LCAP.

Le Commissariat ne devrait pas utiliser cette information pour prendre des décisions administratives à l’égard des personnes qui ont transmis de l’information ou signalé un incident au Centre de notification des pourriels ou au Commissariat.

Les renseignements personnels recueillis par le Commissariat dans le cadre de ses activités d’application de la LCAP - plus précisément ceux se rapportant à des cibles ou à des mis en cause potentiels - peuvent plutôt servir à des fins administratives (p. ex. pour prendre des décisions qui touchent directement une personne identifiable).

En général, le Commissariat utilise ces renseignements personnels aux fins de la conformité, des enquêtes liées à la réglementation et de l’application de la loi (niveau de risque 3 - SCT). Toutefois, en raison de la nature des pourriels et des menaces électroniques visés par le mandat d’application de la LCAP dont est investi le Commissariat, par exemple l’utilisation de maliciels pour recueillir ou utiliser sans le consentement de l’intéressé des renseignements personnels le concernant, certaines enquêtes pourraient révéler un comportement potentiellement criminel de la part de mis en cause.

Par conséquent, les renseignements personnels peuvent être utilisés pour faire enquête sur d’éventuelles contraventions à la LCAP ayant des conséquences sur le plan administratif, civil ou criminel (niveau de risque 4 - SCT). Il est peu probable que des mesures soient prises contre une personne qui transmet de l’information, mais celle-ci pourrait être appelée à témoigner ou à agir à l’appui de mesures d’application de la loi ou de poursuites judiciaires.

L’utilisation de renseignements personnels aux fins d’enquête et toute communication subséquente de renseignements personnels à des autorités chargées de l’application de la loi ou bien à des organisations ou à des États étrangers doivent être conformes aux dispositions de la LCAP ainsi qu’aux autres lois et aux politiques du gouvernement du CanadaNote de bas de page 2.

Type de données
Risque modéré
(Niveau 3 - SCT)

Les activités d’application de la LCAP menées par le Commissariat ne nécessitent pas la collecte, l’utilisation ou la communication de renseignements personnels sensibles.

Les renseignements personnels recueillis par le Commissariat auprès du Centre de notification des pourriels sont tirés des informations ou signalements transmis et se limitent généralement au nom et aux coordonnées de l’intéressé et à l’information pertinente directement associée à un incident ou à un acte répréhensible allégué. Une fois combinés, ces renseignements personnels ne sont pas considérés comme sensibles. En fait, des mesures ont été prises pour prévenir la collecte de renseignements personnels sensibles au moyen du formulaire de notification d’Industrie Canada.

Dans certains cas, les personnes qui transmettent de l’information ou signalent un incident peuvent fournir les renseignements qu’ils jugent utiles pour leur intervention. Ces renseignements, seuls ou combinés avec d’autres informations permettant d’identifier un individu, peuvent être sensibles, par exemple une adresse IP, une adresse de courriel et un exemple de pourriel associé à une maladie, à un traitement ou à un service médical.

En outre, le Commissariat s’attachera à aiguiller vers le site Web d’Industrie Canada les personnes qui veulent lui faire part directement de préoccupations concernant des pourriels et d’autres menaces électroniques, où elles seront invitées à remplir le formulaire de notification d’Industrie Canada à l’intention des consommateurs, mais il est possible que certaines personnes soumettent tout de même en ligne un formulaire de plainte en vertu de la LPRPDE relativement à des questions concernant la LCAP. Ce formulaire renferme des renseignements personnels, voire dans certains cas des renseignements personnels sensibles, même si le Commissariat n’a pas demandé leur communication.

Lorsque le Commissariat a besoin de recueillir des renseignements supplémentaires dans le cadre de ses activités d’application de la loi, cette information est recueillie directement auprès de l’intéressé ou, avec son consentement, par un partenaire du secteur fédéral, international ou privé. Dans ses communications, le Commissariat décourage fortement la transmission d’information non pertinente et potentiellement sensible, notamment par son site Web public.

Le Commissariat ne devrait pas utiliser à des fins secondaires les renseignements personnels des individus qui font part de préoccupations concernant des pourriels et d’autres menaces électroniques.

Partenaires associés au programme
Risque élevé
(Niveau 4 - SCT)

Les activités d’application de la LCAP menées par le Commissariat donnent lieu à la communication de renseignements personnels aux autres organismes chargés de l’application de cette loi, soit le CRTC et le Bureau de la concurrence.

Outre les activités d’application de la LPRPDE indépendantes menées par le Commissariat, l’article 57 de la LCAP exige que les trois organismes chargés de son application se consultent mutuellement afin d’assurer une réglementation efficace.

En vertu des paragraphes 58(3) et 59(3), le commissaire à la protection de la vie privée peut communiquer des renseignements au CRTC et au Bureau de la concurrence et utiliser les renseignements que ces derniers lui fournissent, aux fins d’application de la loi.

Pour faciliter cette communication, le Commissariat a conclu avec le CRTC et le Bureau de la concurrence un protocole d’entente sur la coopération, la coordination et l’échange d’informationNote de bas de page 3.

En vertu de l’article 60 de la LCAP, le Commissariat peut communiquer ces renseignements au gouvernement d’un État étranger (s’il s’agit d’information pertinente pour une enquête ou une procédure concernant une contravention aux lois de cet État qui est essentiellement similaire à des agissements interdits par la loi canadienne). En vertu du même article, des renseignements peuvent être communiqués à une organisation ou à un État étranger lorsque cela est nécessaire pour obtenir auprès de cette organisation ou de cet État des renseignements pouvant être pertinents pour une enquête canadienne. La communication de ces renseignements doit faire l’objet d’une entente écrite.

Le Commissariat peut continuer de communiquer des renseignements à d’autres organismes provinciaux et internationaux chargés de l’application des lois de protection de la vie privée en vertu d’un accord sur l’échange de renseignements ou d’une entente écrite, comme l’autorisent les articles 23 et 23.1 de la LPRPDE.

Toute communication de renseignements doit également être conforme aux exigences en matière de traitement des renseignements personnels énoncées dans la Loi sur la protection des renseignements personnels.

Durée du programme
Risque modéré
(Niveau 3 - SCT)

Les articles 1 à 7, 9 à 46, 52 à 54, 56 à 67 et 69 à 82 de la LCAP entreront en vigueur le 1er juillet 2014. L’article 8 entrera en vigueur le 15 janvier 2015 et les articles 47 à 51 et 55, le 1er juillet 2017.

Les activités d’application de la LCAP devraient se poursuivre pendant une période indéterminée, sans date limite, conformément à la Loi et à ses règlements d’application.

Malgré ce qui précède, la poursuite des activités d’application de la LCAP menées par le Commissariat pendant une période indéterminée ne devrait pas présenter un risque élevé d’atteinte à la vie privée des personnes.

Les renseignements personnels recueillis par le Commissariat auprès d’individus par l’intermédiaire du Centre de notification des pourriels ou dans le cadre de ses propres activités d’application de la loi se limiteront, dans la mesure du possible, à l’information nécessaire pour les fins visées. Le Commissariat détruira ou dépersonnalisera ces renseignements conformément à sa propre politique en matière de conservation et de destruction des renseignements.

Population visée par le programme
Risque modéré
(Niveau 3 - SCT)

Les activités d’application de la LCAP peuvent toucher certaines personnes pour des fins administratives externes.

Technologie
Risque modéré
(Niveau 3 - SCT)

Après l’entrée en vigueur de la LCAP le 1er juillet 2014, le Commissariat extraira régulièrement des renseignements de la base de données sur les pourriels du Centre de notification des pourriels. En raison de la nature de son mandat d’application de la loi en matière d’enquêtes sur la collecte ou l’utilisation non autorisée de renseignements personnels résultant de la collecte d’adresses, de l’utilisation de maliciels et d’autres menaces électroniques, certains renseignements extraits de cette base de données par le Commissariat pourraient renfermer un contenu malveillant.

Le Commissariat établira une infrastructure en réseau dotée de mesures de sécurité appropriées.

Transmission des données
Risque modéré
(Niveau 3 - SCT)

Le Centre de notification des pourriels est censé être le principal dépôt de renseignements personnels sous le régime de la LCAP.

Le Centre permettra au Commissariat d’avoir accès à des copies de travail de renseignements bruts stockés dans la base de données sur les pourriels et lui fournira des analyses des tendances relatives aux pourriels et d’autres rapports présentant un intérêt.

Seules des personnes désignées au sein du Commissariat ont un accès direct à la base de données sur les pourriels du Centre de notification des pourriels. Un analyste du Centre financé par le Commissariat sera désigné pour répondre à ses besoins en matière d’information.

Le Commissariat extraira des renseignements d’intérêt de la base de données sur les pourriels du Centre de notification des pourriels en utilisant des moyens sécurisés. L’ampleur des renseignements ainsi extraits variera selon des filtres prédéterminés convenus par les deux organisations.

En outre, le Commissariat pourra recevoir des renseignements directement des personnes qui souhaitent transmettre de l’information concernant des pourriels et d’autres menaces électroniques en utilisant le formulaire de plainte en vertu de la LPRPDE du Commissariat. Ces plaintes seront reçues sous forme de lots chiffrés.

Incidence sur les personnes en cas d’atteinte à la sécurité des renseignements
Risque modéré
(Niveau 2 - SCT)

Les renseignements personnels recueillis par le Commissariat auprès du Centre de notification des pourriels, aux fins d’analyse et d’une éventuelle enquête sur une contravention à la LCAP, ne sont généralement pas sensibles, car le formulaire de notification d’Industrie Canada a été remanié de manière à limiter la capacité de recueillir ce type de renseignements sensibles.

Bien que la quantité de données de ce genre puisse être élevée, l’incidence sur la vie privée des individus en cas d’atteinte par le Commissariat est considérée comme faible.

Toutefois, l’incidence sur la vie privée des individus peut être plus grande dans certains cas :

  1. la personne qui a présenté au Centre de notification des pourriels des informations ou un signalement a fourni des renseignements sensibles même si on lui avait déconseillé de le faire;
  2. un petit nombre de personnes peuvent fournir des renseignements personnels sensibles au Commissariat lorsqu’elles font part de leurs préoccupations relatives à la LCAP en remplissant le formulaire de plainte en ligne en vertu de la LPRPDE;
  3. ou des renseignements personnels recueillis par le Commissariat sont utilisés dans le contexte d’une enquête ou de poursuites judiciaires en cours au moment de l’atteinte à la sécurité.

En cas d’atteinte à la sécurité des renseignements, le risque pour les personnes qui transmettent de l’information se limitera probablement, dans la plupart des cas, à des inconvénients ou à une situation embarrassante.

Toutefois, il faut reconnaître que l’incidence peut s’avérer pour un petit groupe de personnes une grave atteinte à leur vie privée lorsque des renseignements sensibles sont visés. L’incidence globale sur ces individus et le niveau de risque en découlant doivent être considérés comme modérés et non faibles.

Incidence sur les institutions en cas d’atteinte à la sécurité des renseignements
Risque modéré
(Niveau 3 - SCT)

Les renseignements personnels les plus susceptibles d’être recueillis auprès des personnes qui présentent au Centre de notification des pourriels des informations ou un signalement sous le régime de la LCAP ne sont pas considérés comme sensibles. L’incidence sur tout ministère ou organisme en cas d’atteinte à la sécurité est donc considérée comme modérée.

Cette incidence se limite selon toute probabilité à des désagréments pour l’organisation (p. ex. la nécessité de modifier les structures organisationnelles, le processus décisionnel, les responsabilités et les obligations de rendre compte ou l’architecture des activités de programme).

Dans certains cas, selon la nature de l’atteinte et les renseignements personnels perdus, volés, consultés ou corrompus, la réputation de l’institution peut également en souffrir (p. ex. embarras, perte de crédibilité, baisse de la confiance du public et attention accrue portée aux représentants de l’organisation et aux élus). Cette situation a une certaine importance pour le Commissariat en raison de son rôle d’organisme chargé de la réglementation de la conformité aux lois sur la protection des renseignements personnels.

Classement des risques selon une échelle commune

Le tableau ci-après résume les résultats de l’évaluation du risque standard dont nous faisons état dans les pages précédentes :

Catégories de risque Cote de risque
Nombre de caractéristiques du programme considérées comme étant à risque « faible » (niveau 1 ou 2 - SCT) 0
Nombre de caractéristiques du programme considérées comme étant à risque « modéré » (niveau 2 ou 3 - SCT) 7
Nombre de caractéristiques du programme considérées comme étant à risque « élevé » (niveau 3 ou 4 - SCT) 2
Nombre d’autres risques d’atteinte à la vie privée qui pourraient survenir ou qui ne sont pas pris en compte 0
Cote de risque globale pour les activités d’application de la LCAP menées par le Commissariat Modérée

Les activités d’application de la loi menées par le Commissariat, selon une analyse sommaire des caractéristiques du programme, ne devraient présenter, en général, qu’un risque modéré d’atteinte à la vie privée des individus.

Date de modification :