Rapport annuels au Parlement 2003-2004

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commissaire à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3

(613) 995-8210, 1-800-282-1376
Téléc. (613) 947-6850
ATS (613) 992-9190

© Ministre des Travaux publics et Services gouvernementaux Canada 2004

No de cat. IP50-2004
ISBN 0662-68421-4

Cette publication est également disponible sur notre site Web à www.priv.gc.ca


Novembre 2004

L'honorable Daniel Hays, Sénateur
Président
Sénat du Canada
Ottawa

Monsieur,

J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2003 au 31 mars 2004 conformément à la Loi sur la protection des renseignements personnels et celle du 2 janvier au 31 décembre 2003 conformément à la Loi sur la protection des renseignements personnels et les documents électroniques.

Veuillez agréer, Monsieur, l'assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

(Document original signé par)

Jennifer Stoddart


Novembre 2004

L'honorable Peter Milliken, Député
Président
Chambre des communes
Ottawa

Monsieur,

J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2003 au 31 mars 2004 conformément à la Loi sur la protection des renseignements personnels et celle du 2 janvier au 31 décembre 2003 conformément à la Loi sur la protection des renseignements personnels et les documents électroniques.

Veuillez agréer, Monsieur, l'assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

(Document original signé par)

Jennifer Stoddart


Préface

Photo - Jennifer Stoddart

L'année écoulée s'est révélée exceptionnelle pour le Commissariat à la protection de la vie privée du Canada. Le 1er décembre 2003, lorsque j'ai été nommée au poste de commissaire, j'ai pris les rênes d'un bureau qui venait de subir de grands bouleversements. En l'espace de six mois, un commissaire et plusieurs hauts fonctionnaires ont remis leur démission à la suite de scandales et d'une attention médiatique soutenue, un commissaire intérimaire a été nommé, de nombreux examens, vérifications et enquêtes internes et externes ont été menés (dont certains se poursuivent toujours), deux commissaires adjoints ont été nommés et l'organisation a été restructurée en profondeur. J'ai donc pris la barre d'un navire qui, malgré l'orientation positive que lui avait donnée le commissaire à la protection de la vie privée par intérim, Robert Marleau, naviguait toujours dans les eaux troubles des crises administratives, financières et organisationnelles.

D'immenses progrès ont été réalisés au chapitre du renouveau institutionnel et du renforcement du cadre financier et de gestion du CPVP. Ces progrès ont contribué au tout premier plan à restructurer le Commissariat et à mieux faire valoir les efforts déployés pour accroître l'efficacité de notre organisme et faire en sorte qu'elle respecte les principes de la fonction publique tout en remplissant son mandat de protéger et de défendre le droit fondamental à la vie privée des Canadiens et des Canadiennes.

Je tiens à signaler le travail formidable que le commissaire par intérim Robert Marleau a abattu pour assurer le progrès du Commissariat en cette période difficile et complexe. Le soutien de M. Marleau et l'encouragement qu'il a su donner au personnel, sa collaboration avec les équipes de vérification et d'enquête ainsi que l'importance qu'il a accordée à la responsabilité et au travail d'équipe ont jeté de solides assises qui garantiront le retour à la normale. Il mérite notre appréciation et notre gratitude.

Pour construire sur ces assises, nous avons pris et nous continuons de prendre des mesures correctives afin de rétablir le bien-être global du milieu de travail, de renforcer davantage les pratiques de gestion et les contrôles financiers, de donner plus de transparence et d'équité au service des ressources humaines, de favoriser l'innovation et d'obtenir l'engagement des employés et des représentants syndicaux dans la reconstruction et le maintien d'un processus d'apprentissage organisationnel.

La création d'un plan de recouvrement des coûts et la mise au point d'un procédé complet de planification visant à réaligner nos stratégies et nos buts sont au nombre des autres mesures couronnées de succès. Un rapport préliminaire au Parlement sur les mesures prises à la suite du Rapport sur le Commissariat à la protection de la vie privée du Canada de la vérificatrice générale, déposé conjointement par le Commissariat et la présidente du Conseil du Trésor du Canada le 31 octobre 2003, a fourni en détail la liste des actions qui ont été prises ou qui seront prises quant aux mesures de recouvrement du Commissariat. La version finale du rapport a été déposée en avril 2004.

Nous avons en outre mis sur pied un comité consultatif externe, composé d'éminents experts nationaux de la protection de la vie privée, à qui nous avons demandé de prodiguer des conseils et des directives au Commissariat quant à ses orientations et priorités stratégiques. Par ailleurs, nous avons créé un comité consultatif patronal-syndical, de même qu'un comité de santé et sécurité afin de rétablir le bien-être global du milieu de travail. Nous nous activons également, de concert avec le Secrétariat du Conseil du Trésor, à améliorer notre service des ressources humaines. Par nos efforts de renouveau, nous avons essentiellement tenté de regagner la confiance du Parlement du Canada et, dans cette optique, nous avons créé un nouveau poste, celui d'agent de liaison parlementaire, grâce auquel nous pourrons nous acquitter de nos responsabilités permanentes à titre de fenêtre unique du Parlement sur les enjeux du droit à la vie privée.

Tout au long de cette année marquée par les difficultés et les bouleversements, le Commissariat s'est préparé à mettre en oeuvre intégralement la Loi sur la protection des renseignements personnels et les documents électroniques, connue également sous l'acronyme LPRPDE. Depuis le 1er janvier 2004, la LPRPDE, dont l'application s'est faite progressivement, régit la collecte, l'utilisation et la communication de renseignements personnels dans le cadre d'activités commerciales dans toutes les provinces autres que celles ayant promulgué une loi sur la protection des renseignements personnels que le gouvernement fédéral aura jugée « essentiellement similaire » à la loi fédérale.

La LPRPDE constitue une loi souple et pragmatique qui traite des enjeux relevant de plusieurs secteurs de compétence qui surviennent dans notre cadre constitutionnel. La Loi peut être remplacée par des textes de loi jugés « essentiellement similaires » à la loi fédérale. À la publication du présent rapport, seule la loi du Québec a été jugée essentiellement similaire, mais nous nous attendons à des constatations positives quant aux lois sur la protection des renseignements personnels adoptées par l'Alberta et la Colombie-Britannique. Le Commissariat collabore avec ses homologues provinciaux afin de trouver une démarche harmonisée de règlement des plaintes en matière de vie privée et poursuivra ses efforts en ce sens.

Ainsi, la LPRPDE touche les organisations, des grandes entreprises aux petits dépanneurs, des multinationales de l'industrie de la finance et de l'assurance aux fleuristes et aux nettoyeurs de quartier. Au départ, les nouvelles règles régissant les renseignements personnels dans le secteur privé ont été source de confusion et d'inquiétude.

Toutefois, au cours de l'année et, surtout dans les mois qui ont précédé la date butoir du 1er janvier 2004, nous avons cherché activement à aider les organisations à mettre en oeuvre la LPRPDE et à s'y conformer. Nous nous sommes engagés dans la voie de la sensibilisation, de la coopération, de l'éducation du public ainsi que de la conclusion de nouveaux partenariats novateurs avec le secteur privé. Nous avons mené de vastes consultations auprès des associations commerciales du secteur privé, en particulier avec celles du secteur bancaire et financier et avec l'industrie du marketing direct. Pendant l'année écoulée, la commissaire adjointe à la protection de la vie privée, Heather Black, a sillonné le pays et prononcé un très grand nombre d'allocutions devant des groupes des plus variés afin de sensibiliser davantage la population à la LPRPDE. Avant sa nomination à titre de commissaire adjointe, Me Black a été avocate générale au Commissariat et à Industrie Canada, où elle a collaboré à la rédaction de la Loi sur la protection des renseignements personnels et les documents électroniques.

Nous avons de plus donné suite à des milliers de requêtes et de demandes de renseignements sur la LPRPDE que nous ont adressées des entreprises et des organisations de toutes les régions du Canada. Nous avons consulté des groupes et associations commerciaux et envoyé des milliers de copies de rapports, de guides à l'intention des entreprises, de feuilles d'information et d'autres documents de sensibilisation du public. De plus, nous avons réorganisé et revampé notre site Web de sorte qu'il soit conforme à la normalisation des sites Internet et nous avons offert sur support électronique plusieurs ressources, guides et outils de conformité nouveaux à l'intention des entreprises et des particuliers au Canada.

L'année s'est également révélée exceptionnelle en ce qui concerne les plaintes déposées conformément à la Loi sur la protection des renseignements personnels. Le Commissariat a reçu un nombre record de nouvelles plaintes, qui ont enregistré une hausse de 250 pour 100 par rapport à l'année précédente. Le présent rapport contient un supplément de précisions qui expliquent ces statistiques. En outre, les enquêteurs ont traité un nombre inégalé de plaintes, réalisation fort louable compte tenu des défis supplémentaires que les employés ont dû relever au cours de l'année.

Même si le Commissariat a traversé une période marquée par les difficultés, il a poursuivi ses travaux de surveillance des tendances et initiatives technologiques afin d'aider à protéger le droit à la vie privée de la population canadienne et à assurer l'intégrité des renseignements personnels et ce, en présence des nouvelles menaces à la vie privée qui se font sentir à l'échelle tant nationale qu'internationale. Au début de l'année, l'idée d'une carte d'identité nationale a été lancée, à laquelle nombre de Canadiens et de Canadiennes se sont opposés. Cette idée a été mise en veilleuse, du moins jusqu'à maintenant. La plupart des Canadiens et des Canadiennes ayant comparu devant le Comité permanent sur la citoyenneté et l'immigration, y compris des représentants du Commissariat, ont manifesté leur vive opposition à l'instauration d'une telle carte d'identité. Nous continuons de nous y opposer.

La collecte, l'enregistrement, le tri et le partage d'une quantité alarmante de renseignements personnels concernant les Canadiens et les Canadiennes se sont poursuivis en conformité du principe, non démontré cependant, selon lequel l'augmentation du nombre de renseignements concernant les particuliers se traduit par une plus grande protection contre le terrorisme et les autres menaces. Nous nous inquiétons de l'intégration croissante de notre sécurité frontalière à celle des États-Unis, laquelle donne lieu à une collecte de vastes fichiers de renseignements personnels sur les voyageurs, les éventuels voyageurs et les employés de l'industrie du transport qui sont appelés à traverser régulièrement la frontière dans l'exercice de leurs fonctions. Le Commissariat examine de très près les pratiques de traitement des renseignements personnels de l'Agence des services frontaliers du Canada qui vient d'être mise sur pied.

Le dossier de la circulation transfrontalière des données a également suscité notre attention cette année. Dans un monde de plus en plus informatisé, il suffit de cliquer sur une souris pour envoyer dans toutes les régions du globe des renseignements personnels concernant les Canadiens et les Canadiennes. Nous nous inquiétons de l'incidence que cela peut avoir sur le droit à la protection de la vie privée de la population canadienne. Le Commissariat mène un projet qui permettra d'identifier les circuits d'acheminement des renseignements personnels entre les frontières et de déterminer les droits et mesures de protection susceptibles de s'appliquer à ces renseignements. Nous sommes conscients de la nécessité d'accroître la sécurité de l'environnement public actuel et nous ne nous opposerons jamais aux mesures légitimes de lutte contre le terrorisme. Toutefois, il faut arriver à assurer un équilibre entre, d'une part, la sécurité nationale et internationale et, d'autre part, le droit fondamental à la vie privée des personnes et le droit de la personne de contrôler la collecte, l'utilisation et la communication des renseignements personnels à son sujet.

De nouvelles technologies voient le jour et menacent la vie privée de manières encore jamais vues. Nous continuerons de surveiller l'utilisation et l'incidence de technologies telles que la surveillance vidéo, les logiciels espions, les dispositifs d'identification par radiofréquence, les systèmes mondiaux de localisation, les dispositifs de communication sans fil ainsi que les identificateurs biométriques comme la reconnaissance faciale, l'ADN et les empreintes digitales. Le Commissariat concerte ses efforts à ceux de ses partenaires fédéraux afin de trouver les mesures juridiques, réglementaires et techniques qui permettront de traiter de ces enjeux.

À titre d'exemple, nous avons été témoins de la prolifération des pourriels, ces courriels non sollicités très répandus, qui commencent à menacer sérieusement la vie privée et l'intégrité des renseignements personnels concernant les Canadiens et les Canadiennes. Les pourriels sont souvent porteurs de codes informatiques malveillants qui infectent votre ordinateur et créent des programmes capables de lire vos courriels, de suivre l'utilisation que vous faites d'Internet et même de dérober vos mots de passe et numéros de cartes de crédit. Le Commissariat travaille de près avec Industrie Canada et son groupe de travail anti-pourriel afin de trouver des moyens de juguler cet épineux problème et d'aider les consommateurs à prendre des mesures concrètes et efficaces pour se protéger. De même, nous nous pencherons sur les possibilités de sauvegarder le droit à la vie privée des consommateurs en analysant l'incidence négative éventuelle des nouvelles technologies qui soulèvent des préoccupations en matière de vie privée.

Au cours de la prochaine année, le Commissariat poursuivra ses efforts de communication pour sensibiliser la population canadienne et les entreprises canadiennes afin que celles-ci comprennent mieux leurs droits et obligations aux termes de la Loi sur la protection des renseignements personnels et de la LPRPDE. Nous tenterons par divers moyens d'obtenir le point de vue des Canadiens et des Canadiennes afin de mieux combler leurs besoins et pour renforcer le rôle du Commissariat à la protection de la vie privée à titre d'autorité assurant la protection et la promotion du droit à la vie privée.

Surtout, je tiens à profiter de l'occasion du dépôt de mon premier rapport à titre de commissaire à la protection de la vie privée pour faire l'éloge des employés du Commissariat, qui ont su surmonter des difficultés sans précédent, sur le plan personnel tout autant qu'administratif, afin de s'acquitter de leurs responsabilités. Leur professionnalisme, leur engagement à maintenir le droit à la vie privée de la population canadienne, leur respect des principes de la fonction publique et leur courage devant l'adversité méritent certes d'être soulignés. L'année a été semée d'embûches, mais les opportunités naissent souvent des crises. J'affirme avec fierté que le Commissariat a profité de l'opportunité qui lui a été offerte pour renforcer ses assises et, fort de son énergie renouvelée, il pourra relever avec confiance les nombreux défis en matière de protection du droit à la vie privée qui s'annoncent.

Aperçu

De presque tous les points de vue, l'année écoulée s'est révélée des plus difficiles pour la protection de la vie privée. En raison de la prolifération des menaces, la lutte pour protéger le droit à la vie privée des Canadiens et des Canadiennes et pour protéger les renseignements personnels a exigé à maintes reprises des efforts sans relâche. Les perspectives ne sont toutefois pas tout à fait sombres.

Technologies de surveillance subreptice

Tous les jours, nous lisons dans les médias des articles sur les nouvelles technologies ou les nouvelles utilisations de technologies existantes qui menacent notre vie privée. Des systèmes mondiaux de localisation qui repèrent par satellites l'emplacement des véhicules et suivent leurs déplacements sont installés dans des automobiles de location et les véhicules des employés. Les cellulaires-appareils photo pouvant capter et transmettre subrepticement des images sont utilisés pour porter atteinte à la vie privée des gens. De plus en plus de municipalités envisagent l'installation de caméras de surveillance vidéo au centre-ville.

Au cours de la dernière année, nous avons pris connaissance de l'expression « puces d'identification par radiofréquence ». Il s'agit de circuits informatiques miniatures munis de toutes petites antennes qui signalent leur présence en vibrant et qui sont dotés d'un code d'identification unique. Sans être nouvelles, ces puces suscitent actuellement une certaine inquiétude. Elles servent déjà à de nombreuses fins; on les retrouve notamment dans les porte-clés émis par les postes d'essence grâce auxquels les clients peuvent payer leurs achats aux pompes. À l'heure actuelle, les détaillants et les gouvernements proposent d'insérer ces puces dans presque tout, depuis les documents de voyage jusqu'au papier-monnaie et même certains vêtements. C'est la capacité de lecture à distance de ces puces qui soulève nombre de préoccupations en matière de respect de la vie privée.

Si vous portez un vêtement contenant une de ces puces, le détaillant pourrait vous identifier dès votre entrée dans le magasin. Le gouvernement pourrait un jour suivre à la piste les déplacements des visiteurs qui sont entrés au pays.

Le logiciel espion, une nouvelle technologie de surveillance, a remplacé les « témoins » à titre de menace la plus récente à la vie privée sur Internet. Il s'agit d'un logiciel qui s'installe subrepticement sur votre ordinateur, puis transmet en secret de l'information sur vos activités en ligne à votre insu et sans votre consentement. Le logiciel espion est souvent greffé à un courriel non sollicité, de sorte que vous pourriez ne pas savoir comment les programmes ont été installés sur votre appareil ni même comment les enlever.

Protéger votre droit à la vie privée

Ces technologies ont attiré passablement notre attention au cours de la dernière année, mais, dans la plupart des cas, les menaces qu'elles posent peuvent être examinées grâce à l'application de principes de pratiques équitables en matière de renseignements. Ces principes sont énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui régit la collecte, l'utilisation et la communication des renseignements personnels vous concernant.

Les formulations de ces principes sont nombreuses, mais elles peuvent se résumer ainsi :

  • la collecte, l'utilisation et la communication des renseignements personnels ne peuvent se faire à l'insu de l'intéressé et sans son consentement;
  • les organisations ne doivent recueillir que les renseignements dont elles ont besoin;
  • les organisations doivent expliquer pourquoi elles recueillent les renseignements et ces derniers ne doivent être utilisés que pour les fins déterminées;
  • les intéressés devraient pouvoir corriger ou modifier les renseignements les concernant;
  • les organisations doivent instaurer des politiques et pratiques régissant la collecte, l'utilisation et la communication de renseignements personnels, ce qui comprend des politiques de destruction et des procédures de sauvegarde des renseignements.

Ces technologies de surveillance présentent sans aucun doute de grandes menaces d'intrusion dans notre vie privée et de compromission de la protection de nos renseignements personnels, mais il existe des moyens d'en atténuer l'incidence. Une coalition d'organismes de protection de la vie privée des consommateurs et de défense des droits civils a publié un exposé de principe sur l'utilisation responsable des puces d'identification par radiofréquence. Le Commissariat prépare des lignes directrices sur l'utilisation de la surveillance vidéo par les forces de l'ordre et les particuliers peuvent se renseigner sur les logiciels espions afin de se protéger.

Accroître la sécurité : à quel prix ?

En bout de ligne, les mesures accrues de sécurité que déploient les gouvernements du monde entier peuvent constituer une menace plus fondamentale et troublante à nos droits fondamentaux, ce qui comprend notre droit à la vie privée. Les récentes tentatives visant à augmenter notre sécurité et notre protection, à la fois contre le terrorisme international et contre les menaces plus conventionnelles à la sécurité publique, soulèvent de très graves préoccupations en matière de vie privée.

Partout dans le monde, des gouvernements, dont celui du Canada, continuent d'instaurer des mesures accrues de sécurité en supposant que, si les forces de l'ordre et les organismes de sécurité nationale disposent de suffisamment de renseignements personnels nous concernant tous, notre société sera plus sûre et plus protégée. En décembre 2003, le gouvernement du Canada a créé l'Agence des services frontaliers du Canada (ASFC), regroupant ainsi les fonctions de sécurité frontalière et du renseignement de l'Agence des douanes et du revenu du Canada, de Citoyenneté et Immigration Canada et de l'Agence canadienne d'inspection des aliments. Quant à elle, l'ASFC fait partie du nouveau ministère de la Sécurité publique et de la Protection civile aux côtés du Service canadien du renseignement de sécurité (SCRS) et de la Gendarmerie royale du Canada (GRC).

En avril 2004, le gouvernement du Canada a publié sa tout première Politique de sécurité nationale qui propose notamment de créer un « centre d'évaluation intégrée des menaces » qui facilitera la collecte et l'analyse du renseignement et d'autres informations. Le document sur la politique gouvernementale prétend que le centre « aidera à réduire les risques que l'information que possède un secteur de la fonction publique ne soit pas communiquée promptement à ceux auxquels cette information peut être utile ».

Le gouvernement du Canada a fait savoir qu'en 2005, il commencera à délivrer des passeports dotés d'une technologie biométrique de reconnaissance faciale. Cette proposition n'a jamais été une proposition officielle du gouvernement, mais au moins un ministre du Cabinet a préconisé l'instauration d'une carte nationale d'identité.

Redéfinir la frontière

La frontière représente désormais beaucoup plus qu'une simple rivière ou une ligne tracée sur une carte et une série de postes de contrôle matériels. La frontière est en voie de devenir virtuelle, ce qui suscite des préoccupations en matière de vie privée. Comme le laisse supposer la création de l'ASFC, le programme de sécurité nationale du gouvernement du Canada est en grande partie axé sur la frontière. Il en découle un nouveau concept de ce que constitue une frontière. En décembre 2001, le Canada et les États-Unis ont signé la Déclaration sur la frontière intelligente. La Politique de sécurité nationale prévoit « créer une frontière du XXIe siècle » et élaborer une « frontière intelligente de la prochaine génération avec le Mexique et les États-Unis ».

De plus en plus, les décisions concernant les personnes autorisées à entrer au Canada ou celles qui constituent une menace à la sécurité sont prises bien avant que les intéressés n'arrivent au Canada. Dans bon nombre de villes, les voyageurs qui prennent l'avion en direction des États-Unis peuvent passer aux douanes américaines par un aéroport canadien. En ce qui concerne les cybermenaces, la notion conventionnelle de frontière n'a plus aucune importance : les cyberattaques peuvent provenir de n'importe où dans le monde. C'est pourquoi la nouvelle Politique de sécurité nationale prévoit que « le gouvernement créera aussi un groupe de travail national de haut niveau, composé de représentants des secteurs public et privé, en vue d'élaborer une stratégie nationale de cybersécurité. Cette stratégie réduira la vulnérabilité du Canada aux cyberattaques et aux cyberaccidents. »

La frontière nationale perd de son importance. La politique de sécurité frontalière des États-Unis est fondée sur la création d'une zone tampon ou d'un cordon sanitaire entourant l'Amérique du Nord et, de plus en plus, les politiques canadiennes abondent dans ce sens. Notre sécurité frontalière commence à s'intégrer avec celle des États-Unis. Le Canada et les États-Unis ont mis sur pied plusieurs équipes intégrées de la police multidisciplinaire des frontières. Les deux pays échangent des listes de surveillance, et on presse le gouvernement du Canada de procurer au gouvernement des États-Unis des renseignements concernant toute personne provenant d'un pays étranger qui se rendrait au Canada.

La frontière intelligente ou la frontière virtuelle suppose la collecte de renseignements personnels, de vastes quantités de renseignements personnels. Cette information sert à vérifier l'identité et à déterminer qui devrait pouvoir entrer au pays sans subir d'examen, qui devrait faire l'objet d'une surveillance et qui devrait s'en voir refuser l'admission. C'est surtout ce qui ressort des diverses initiatives mises en oeuvre ou proposées par les États-Unis, à savoir l'initiative Total Information Awareness (qui est devenue Terrorism Information Awareness), le Computer Assisted Passenger Prescreening System (CAPPS II), lequel a été abandonné depuis en raison de préoccupations relatives à la vie privée, et le programme VISIT. Le système Terrorism Information Awareness vise l'intégration des bases de données commerciales et gouvernementales, ce qui donnera accès aux achats par carte de crédit, aux réservations de voyage, aux dossiers téléphoniques, aux dossiers de courriels, aux antécédents médicaux, à l'information financière et même à l'utilisation de la bibliothèque publique.

Cette importance accordée à la collecte de vastes quantités de renseignements personnels caractérise également les initiatives canadiennes. L'ASFC recueille actuellement des renseignements personnels sur tous les passagers du transport aérien qui arrivent au Canada dans le cadre de l'initiative Information préalable sur les voyageurs et du dossier passager (IPV/DP) dont il a été question dans les rapports annuels antérieurs. Ces renseignements sont utilisés aux fins du programme NEXUS et du programme EXPRES, lesquels permettent d'approuver au préalable la circulation entre les frontières canadoaméricaines des voyageurs et des envois commerciaux présentant peu de risques.

Plus de renseignements = plus de sécurité ?

La plupart des textes de loi sur la lutte contre le terrorisme qui ont été adoptés au Canada et à l'étranger se fondent sur la prémisse que la sécurité de la population croît en fonction de l'augmentation du nombre de renseignements que le gouvernement recueille sur tous les particuliers, que leur comportement soit ou non suspect.

Nous apprenons que la collecte et l'utilisation de ces renseignements afin de déceler les menaces est le prix à payer pour éviter l'établissement de profils raciaux et ethniques et le recours aux stéréotypes. Nous recevons l'assurance que les outils d'évaluation des risques ne reconnaissent pas la couleur ni la religion, mais qu'ils se bornent à analyser l'information.

Les forces de l'ordre et les organismes de sécurité nationale recueillent de plus en plus de renseignements provenant de plus en plus de sources et concernant de plus en plus de personnes et s'en servent de plus en plus pour déceler d'éventuelles menaces. Il s'ensuit alors que les gens risquent davantage d'être l'objet d'une surveillance non justifiée, d'être indûment pris à parti et de ne pas recevoir un traitement équitable. Des erreurs ont déjà été commises et d'autres continueront d'être commises. Par ailleurs, le manque de transparence fait que nous pourrions ne jamais savoir pourquoi ces personnes ont été ciblées par erreur ni où le système a échoué.

Le Commissariat à la protection de la vie privée est d'avis que nous ne devrions pas avoir à choisir le moindre de deux maux. Il faut trouver le juste milieu entre l'établissement de profils raciaux et la collecte d'une surabondance de renseignements sur tous et la surveillance accrue de tous. Le Commissariat n'est pas convaincu qu'en réduisant les libertés de tous les membres d'une société on réussisse à empêcher les terroristes de proférer d'autres menaces à la sécurité publique.

Le Commissariat ne s'oppose pas à l'amélioration de la sécurité. La question est toutefois de savoir comment nous pourrons y parvenir sans saper les valeurs fondamentales de notre société. Nous ne nous opposons pas à l'échange de renseignements entre les organismes, pourvu que des procédures et des politiques aient été instaurées pour les protéger, pour veiller à ce qu'ils soient utilisés ou communiqués uniquement aux fins précises déterminées — qui doivent être raisonnables — et qu'ils ne soient pas conservés plus longtemps que nécessaire.

L'utilisation plus efficace des renseignements dont nous disposons déjà et non la collecte de renseignements supplémentaires pourrait régler en partie le problème de l'accroissement de la sécurité. C'est bien le message que la vérificatrice générale a transmis dans son rapport de mars 2004. Le rapport cite plusieurs cas où des organismes et ministères canadiens ont omis de partager ou d'utiliser des renseignements en leur possession qui auraient accru la sécurité. Il précise notamment qu'en dépit du fait que plus de 25 000 passeports canadiens sont perdus ou volés chaque année, les fonctionnaires aux postes frontaliers ne reçoivent pas de listes de ces documents perdus ou volés.

La participation du secteur privé constitue une autre caractéristique troublante des mesures de sécurité nationale en voie d'être instaurées. La sécurité nationale, depuis toujours, a été confiée à des organismes gouvernementaux qui se fondaient essentiellement sur le renseignement de sécurité qu'ils recueillaient eux-mêmes. Or, les organismes de sécurité nationale se servent de plus en plus des renseignements personnels recueillis auprès des particuliers par le secteur privé à des fins non liées à la sécurité nationale. Ces données s'ajoutent aux renseignements déjà connus, et l'on s'en remet au savoir-faire du secteur privé pour élaborer les outils d'analyse nécessaires.

Cette situation soulève nombre de questions troublantes. En Colombie-Britannique, la proposition de confier l'administration des régimes provinciaux de soins de santé et d'assurance-médicaments à une filiale canadienne d'une entreprise américaine a suscité de nombreuses préoccupations. Les opposants craignent qu'ainsi, des organismes américains comme le Federal Bureau of Investigation n'obtiennent des renseignements personnels concernant les Canadiens et les Canadiennes auprès d'entreprises américaines conformément à la loi dite USA PATRIOT Act. David Loukidelis, le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique, a lancé un processus de consultations publiques pour examiner le dossier, dans le cadre duquel le Commissariat a déposé un document d'orientation sur la loi dite USA PATRIOT Act.

Diverses mesures de lutte contre le terrorisme adoptées par les États-Unis supposent le recours aux bases de données du secteur privé pour confirmer l'identité ou déceler des tendances de comportement susceptibles d'indiquer qu'une personne constitue une menace. Nombre de ces initiatives, comme le programme Terrorism Information Awareness, font intervenir « le forage de banques de données », c'est-à-dire l'application de la technologie des bases de données et d'algorithmes complexes pour consulter des quantités massives de renseignements afin de détecter des tendances ou des corrélations cachées.

La Loi sur la sécurité publique

La distinction entre le secteur public et le secteur privé commence aussi à s'estomper au Canada, comme en fait surtout foi l'adoption récente du projet de loi C-7, la Loi sur la sécurité publique.

Il a fallu, pour que ce projet de loi très controversé devienne loi, deux ans et demi d'efforts et quatre tentatives.

En mars 2004, la commissaire Stoddart a comparu devant le Comité sénatorial permanent sur les transports et les communications afin de commenter le projet de loi C-7. Ses commentaires ont porté sur deux volets du projet de loi, à savoir la modification de la Loi sur l'aéronautique qui autorise le commissaire de la GRC et le directeur du Service canadien du renseignement de sécurité (SCRS) à demander aux transporteurs aériens et aux exploitants de systèmes de réservation de services aériens de leur fournir certains renseignements sur les passagers et la disposition modifiant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) afin de permettre aux organisations de recueillir des renseignements personnels sans le consentement de l'intéressé, lesquels renseignements seront communiqués au gouvernement, aux forces de l'ordre et aux organismes de sécurité nationale.

La GRC et le SCRS se serviront des renseignements sur les passagers pour identifier les personnes susceptibles de constituer une menace à la sécurité du transport et à la sécurité nationale, l'utilisation de ces renseignements constituant une fin légitime selon les dispositions de la Loi sur la sécurité publique. Toutefois, les renseignements peuvent également servir à exécuter des mandats d'arrestation pour la commission des infractions punissables d'une peine d'emprisonnement de cinq ans ou plus, fin qui n'a aucun lien avec la loi.

La modification de la LPRPDE est encore plus alarmante étant donné que ses retombées pourraient être encore plus vastes. En permettant aux organisations du secteur privé de recueillir des renseignements personnels sans le consentement de l'intéressé à la seule fin de les communiquer au gouvernement, aux forces de l'ordre et aux organismes de sécurité nationale, on les autorise en réalité à servir d'agents de l'État. Le fait d'autoriser une organisation à communiquer aux organismes gouvernementaux des renseignements qu'elle possède déjà sans le consentement de l'intéressé n'a absolument rien à voir avec le fait d'autoriser, voire d'encourager, une organisation du secteur privé à recueillir ces renseignements sans le consentement de l'intéressé, puis de les communiquer, une fois de plus, sans le consentement de l'intéressé. La modification vise toute organisation assujettie à la LPRPDE et non seulement les transporteurs aériens. Elle ne limite aucunement la quantité de renseignements pouvant être recueillis sans le consentement de l'intéressé, pas plus qu'elle n'impose de limite aux sources de renseignements.

Ces dispositions estompent dangereusement la distinction entre le secteur privé et le secteur public, car elles assurent le concours des entreprises, non seulement pour lutter contre le terrorisme, mais aussi pour mener les activités conventionnelles d'application de la loi.

En dépit de notre opposition, de l'opposition de plusieurs de nos collègues provinciaux et territoriaux et de l'opposition d'un grand nombre d'autres organisations, le Sénat a adopté le projet de loi C-7, et la Loi sur la sécurité publique a reçu la sanction royale en mai 2004.

« Pour chaque action... »

Malgré tous les défis connus cette année, nous pouvons tout de même afficher un optimisme prudent. Si les menaces à l'encontre de la protection de notre vie privée ne cessent de croître, tel est également le cas de l'intérêt pour la défense du droit à la vie privée.

Nous entendons de plus en plus parler des puces d'identification par radiofréquence, des cellulaires-appareils photo, des enregistreurs de données dans les voitures et des caméras de surveillance vidéo parce que le Commissariat à la protection de la vie privée, les groupes de protection des libertés civiles, les défenseurs de la vie privée et d'autres font connaître leurs préoccupations. De plus, les médias publient des reportages sur ces technologies parce qu'ils savent que le grand public s'intéresse à la protection de la vie privée.

L'opposition exprimée par des défenseurs de la vie privée, les médias et des politiciens des deux grands partis politiques des États-Unis a contraint l'administration américaine à abandonner, réduire ou reporter nombre de mesures de lutte contre le terrorisme. Le programme Operation TIPS, qui devait assurer le concours de travailleurs comme des employés de sociétés de câblodistribution et de livraison de colis pour signaler des activités suspectes, a été abandonné. Le projet Total Information Awareness, qui aurait permis au gouvernement de recourir au « forage de banques de données » pour grouper et analyser des renseignements provenant de bases de données commerciales des secteurs public et privé n'a jamais pris son envol. Le programme Computer Assisted Passenger Prescreening System (CAPPS II), qui devait identifier les terroristes étrangers ou les personnes ayant des liens avec des terroristes, a lui aussi été abandonné en raison de préoccupations en matière de vie privée.

Au Canada, le public a fait connaître haut et fort son opposition à une carte nationale d'identité, si bien que la proposition a été mise en veilleuse. Le Commissariat à la protection de la vie privée du Canada a soulevé de graves objections à cette proposition et il continue de s'y opposer.

En septembre 2003, Robert Marleau, le commissaire à la protection de la vie privée par intérim, a comparu devant le Comité permanent de la citoyenneté et de l'immigration pour discuter de l'opposition du Commissariat à la carte d'identité nationale. Denis Coderre, à l'époque ministre de la Citoyenneté et de l'Immigration, a prétendu qu'une telle carte constituait une preuve d'identité plus sûre et plus fiable, qu'elle permettait d'enrayer le vol d'identité, qu'elle facilitait les déplacements des Canadiens et des Canadiennes à l'étranger et qu'elle empêchait l'établissement de profils raciaux à la frontière.

Le commissaire par intérim a exhorté le Comité à rejeter la proposition en invoquant les motifs suivants :

« Les risques associés à une carte d'identité nationale sont considérables. Les défis que pose la mise en oeuvre d'un système national d'identification pratique, abordable et respectueux des droits à la vie privée des Canadiens et des Canadiennes sont colossaux. On n'a pas avancé d'arguments irréfutables en faveur d'un tel système; s'il y en avait, ceux-ci seraient, au mieux, marginaux. »

Plus de 60 témoins ont comparu devant le Comité et presque tous s'opposaient à l'instauration d'une carte nationale d'identité. Des groupes de protection du droit à la vie privée et des droits de la personne, des groupes de pression de consommateurs, des organisations religieuses et ethniques ainsi que des grands journaux de toutes les régions du Canada ont manifesté leur opposition à cette proposition.

Par ailleurs, nous avons constaté des progrès au chapitre des efforts législatifs déployés pour garantir le droit à la protection des renseignements personnels. Un représentant chargé de protéger les renseignements personnels versés aux dossiers publics a été nommé dans chaque province et chaque territoire. Trois provinces, l'Alberta, la Saskatchewan et le Manitoba, ont promulgué des lois portant précisément sur la protection des renseignements personnels sur la santé; l'Ontario vient tout juste d'adopter une loi semblable qui devrait entrer en vigueur plus tard en 2004. Le Québec, l'Alberta et la Colombie-Britannique ont édicté des lois régissant la collecte, l'utilisation et la communication de renseignements personnels dans le secteur privé.

En bout de ligne, les décisions que nous prenons maintenant en matière de vie privée et le fait que nous tenions réellement ou non à cette dernière façonneront la société que nous léguerons à nos enfants. À titre d'organisme chargé de protéger le droit à la vie privée, nous devons confronter les personnes qui troqueraient volontiers les droits individuels contre la promesse d'une sécurité nationale ou de technologies portant atteinte à la vie privée. Nous devons veiller à ce que la grande valeur que les Canadiens et les Canadiennes accordent à leur droit à la vie privée ne soit pas perdue dans le tumulte des voix exigeant un accroissement de la sécurité et la collecte de renseignements supplémentaires sur tous autant que nous sommes. Nous devons à l'avenir concerter nos efforts pour relever les défis qui nous attendent assurément.

Point de vue de la politique

Une des principales attributions du Commissariat à la protection de la vie privée consiste à recenser et à analyser les nouveaux enjeux en matière de vie privée et d'élaborer des politiques et des positions qui les régleront et feront progresser le dossier de la protection du droit à la vie privée. La recherche et l'analyse que nous menons de ces enjeux stimulent et alimentent le débat public, suscitent l'engagement des Canadiens et des Canadiennes et accroissent la sensibilisation du public. Le Commissariat peut donc servir au Parlement de fenêtre sur les enjeux en matière de vie privée, fournir promptement des conseils éclairés sur l'incidence des initiatives législatives et réglementaires et faire connaître au grand public les risques qui menacent la protection de la vie privée ainsi que les moyens d'y réagir.

Le Commissariat a déployé un effort concerté pour renforcer ses relations avec le Parlement et mieux répondre aux besoins de ce dernier. Dans cette optique, nous avons créé une nouvelle fonction d'agent de liaison parlementaire qui s'attachera précisément à informer les députés et sénateurs sur des questions particulières en matière de vie privée, à surveiller les initiatives législatives et réglementaires, de même qu'à prendre les mesures nécessaires pour que la commissaire et les cadres supérieurs de notre organisation de l'effectif fournissent des conseils éclairés aux parlementaires au sujet des répercussions sur le droit à la vie privée des nouvelles lois et politiques.

Au cours de la période visée par le rapport de 2003-2004, le Commissariat a réussi à promouvoir la protection du droit à la vie privée dans le cadre d'un éventail d'enjeux sociaux, technologiques et politiques, dont ceux qui sont énumérés ci-après :

  • cartes d'identité;
  • technologies de surveillance et surveillance vidéo;
  • accès du gouvernement aux fonds de renseignements personnels détenus par les entreprises;
  • protection des renseignements personnels sur la santé;
  • réglementation du droit à la vie privée dans un régime fédéral.

Cartes d'identité

Depuis longtemps, les cartes d'identité sont source de préoccupation pour le Commissariat et pour les commissaires à la protection des données nominatives et de la vie privée du monde entier. Une carte d'identité, incluant le système d'identification dans lequel elle s'imbrique, ne représente pas simplement un outil pratique de confirmation de l'identité d'une personne. Elle constitue également un outil de gestion de l'information donnant accès à des renseignements personnels et permettant de les combiner et de les manipuler. Une carte unique, servant d'identificateur dans un vaste éventail d'opérations avec le secteur public et le secteur privé, peut représenter un moyen puissant de recueillir et d'apparier des renseignements concernant une personne et, au bout du compte, de suivre à la piste et de surveiller cette personne. C'est bien ce pouvoir qui confère aux cartes d'identité leur caractère menaçant pour la vie privée.

Position du CPVP

Lors d'un débat sur cette question, le Commissariat s'est vivement opposé au projet de carte nationale d'identité que le ministre de la Citoyenneté et de l'Immigration a proposé à l'automne 2003.

Ses efforts ont abouti à une couverture médiatique positive ainsi qu'à de nombreux éditoriaux et chroniques dans les grands journaux qui se sont ralliés à nos points de vue sur ces enjeux. Un éditorial paru le 22 septembre 2003 dans le Globe and Mail a même félicité Robert Marleau, le commissaire à la protection de la vie privée par intérim, pour son analyse convaincante et réfléchie de l'enjeu qu'il a présentée devant le Comité permanent de la Chambre de la citoyenneté et de l'immigration. Son exposé a soulevé de nombreuses questions, notamment les risques et coûts appréciables associés à la mise sur pied d'un système national d'identification et le défi de taille à relever pour le rendre pratique, abordable et respectueux de la vie privée. À son avis, un système du genre présente des avantages minimes à un coût bien trop élevé pour le droit à la vie privée.

Le Commissariat maintient ce point de vue et, même si la proposition relative à une carte nationale d'identité semble avoir été mise en veilleuse, il reste vigilant.

Technologies de surveillance

La technologie peut menacer la vie privée et ne cesse de préoccuper les défenseurs de la vie privée et les commissaires à la protection de la vie privée. Tel est surtout le cas lorsque des technologies d'observation de plus en plus perfectionnées et d'enregistrement des renseignements concernant le lieu où se trouvent des personnes, leurs déplacements, leur comportement et leurs gestes se greffent à des ordinateurs de plus en plus performants dans lesquels cette information est stockée, triée, appariée et analysée. Songez par exemple aux renseignements qui pourraient être recueillis à votre sujet lorsque vous vous rendez au magasin à bord de votre voiture munie d'un système mondial de localisation (GPS), que vous utilisez votre carte de crédit pour payer un plein panier de marchandises dont chaque item peut être identifié par sa puce d'identification par radio-fréquence, que le magasin que vous fréquentez utilise des caméras vidéo équipées d'une technologie de reconnaissance faciale. Maintenant, imaginez-vous qu'un ordinateur relie tous ces renseignements vous concernant à toutes les autres données provenant de votre carte de crédit, de la boîte noire, du GPS, des puces d'identification par radiofréquence et de toutes vos présences devant les caméras vidéo, puis les analyse afin de déceler les tendances de comportements à risque. Cet exemple est hypothétique mais il n'est certes pas inconcevable.

Position du CPVP

Ce défi a incité le Commissariat à mettre l'accent sur le renforcement de ses capacités de comprendre les nouvelles technologies et de composer avec elles. Il a par ailleurs lancé une série de conférences sur la vie privée auxquelles ont participé de nombreux invités éminents, lesquels ont présenté aux employés et aux membres de la collectivité des allocutions sur les enjeux du changement technologique et recommandé de nouvelles orientations. Il a, de plus, donné le coup d'envoi à un programme de contributions qui encourage les projets de recherche portant sur le point de convergence entre la vie privée et la technologie.

Nous sommes conscients, toutefois, que le problème ne relève pas de la technologie en soi, mais du défaut de bien en contrôler l'utilisation. Nous sommes fondamentalement d'avis que l'utilisation de ces technologies doit à tout le moins être gouvernée par les principes de pratiques équitables en matière de renseignements. Tel est le cas des technologies variées comme les cartes intelligentes, les enregistreurs de données (« boîtes noires ») et les puces d'identification par radiofréquence. Il faut dire aux gens quels renseignements sont recueillis à leur sujet, qui les recueille, et à quelles fins. Il faut leur dire quelle utilisation est faite de ces renseignements et à qui ils sont communiqués. Ils doivent pouvoir contrôler la collecte, l'utilisation et la communication des renseignements grâce à leur pouvoir d'accorder ou de refuser leur consentement. Les renseignements doivent être conservés en lieu sûr et considérés confidentiels. Les gens ont le droit d'avoir accès aux renseignements les concernant de même que le droit de les corriger au besoin.

Lorsque les technologies sont appliquées à la surveillance, elles sont assujetties à une norme encore plus rigoureuse. Leur mise en place et leur utilisation devraient être limitées aux circonstances particulières où elles sont justifiées, c'est-à-dire si elles répondent à un problème urgent et d'importance. Les allégations quant à leur caractère légitime doivent faire l'objet d'un examen minutieux et répondre à des critères sévères.

Surveillance vidéo

La surveillance vidéo pourrait bien être l'exemple le mieux connu et le plus évident des technologies de surveillance. Certains ont de la difficulté à s'imaginer, voire à saisir le sentiment que leur « vie privée » est protégée lorsqu'ils se trouvent dans un parc public ou qu'ils se promènent sur une rue de la ville, entourés de gens qui peuvent bien les voir et les entendre. En revanche, rares sont ceux qui n'arrivent pas à juger malsain le fait que des caméras les surveillent et enregistrent peut-être leurs moindres faits et gestes chaque fois qu'ils sortent de chez eux et peu importe où ils se trouvent. Nous ne sommes pas encore rendus à ce stade au Canada, contrairement au Royaume-Uni qui compte environ 4 millions de caméras, soit une caméra pour 14 habitants. Il n'en demeure pas moins que chaque jour nous nous retrouvons à de nombreuses reprises dans l'objectif de caméras dans les banques, les centres commerciaux, les garages de stationnement, les escaliers, les dépanneurs et, de plus en plus, dans des endroits publics comme les parcs et les rues.

Position du CPVP

Le Commissariat et la plupart des commissaires à la protection de la vie privée et des défenseurs du droit à la vie privée conviennent que la surveillance vidéo constitue une menace à la protection de la vie privée. Elle assujettit tous les gens à un examen minutieux par les forces de l'ordre ou d'autres autorités, qu'ils aient ou non posé un geste suspect. À tout le moins, elle circonscrit la « coquille » de la vie privée et de l'anonymat à laquelle nous avons droit lorsque nous vaquons à nos activités tout en respectant la loi, quand elle ne l'abolit tout simplement pas. Nous avons de bonnes raisons de croire que la surveillance vidéo a une incidence paralysante sur le comportement.

En 2001, le Commissariat a mené une enquête à la suite d'une plainte contre le recours à la surveillance vidéo par la GRC dans un parc public à Kelowna. L'enquête a conclu que la surveillance n'était pas justifiée, ce qui a donné lieu à de longues discussions avec la GRC qui insistait pour continuer d'utiliser le système bien qu'elle ait accepté de cesser l'enregistrement et de s'en servir uniquement à des fins de surveillance. La tentative de porter l'affaire devant les tribunaux s'est embourbée dans des questions de procédures et, en juillet 2003, le Commissariat a décidé de ne pas poursuivre l'enquête. Entre-temps, les services de police municipaux d'un nombre considérable de grandes villes canadiennes ont manifesté leur intérêt pour des systèmes publics de surveillance vidéo, certains d'entre eux ayant même décidé d'en installer.

Peu de temps après son entrée en fonction, l'actuelle commissaire a décidé d'améliorer la manière d'aborder cette question et a élaboré des lignes directrices concernant l'utilisation de la surveillance vidéo par les autorités publiques. Ces lignes directrices énoncent les principes d'évaluation de la nécessité de recourir à la surveillance vidéo et, lorsqu'elle est menée, elles garantissent que l'incidence sur la vie privée sera minime. Par exemple, le recours à la surveillance vidéo devrait donner suite uniquement à un problème réel et urgent lorsque des méthodes moins envahissantes ne sauraient suffire. Les systèmes de surveillance vidéo devraient être conçus de manière à avoir le moins de répercussions possible sur la vie privée. Ils devraient être utilisés pendant des périodes limitées et ne devraient pas capter d'images dans des lieux tels que l'intérieur d'un bureau ou d'un appartement, endroits où les gens s'attendent encore plus à ce que soit protégé leur droit à la vie privée.

Accès du gouvernement aux renseignements personnels détenus par les entreprises

Un autre sujet inquiète le Commissariat, les défenseurs de la vie privée et les commissaires à la protection de la vie privée : l'accès par les forces de l'ordre et les organismes de sécurité nationale aux renseignements personnels recueillis par des organisations du secteur privé. Nombre de gens s'opposent à la collecte de renseignements les concernant par le secteur privé parce qu'ils s'inquiètent surtout que ces renseignements puissent, d'une manière ou d'une autre, se retrouver entre les mains du gouvernement.

Cette collecte peut à l'occasion être légitime, mais, sans contrôle ni surveillance, elle peut conférer aux organisations du secteur privé le rôle d'agent d'application de la loi et les forcer à remettre les renseignements personnels qu'elles ont recueillis pour des motifs tout à fait différents, ce qui va à l'encontre des pratiques équitables les plus fondamentales en matière de renseignements.

Position du CPVP

Le Commissariat a réellement commencé à se préoccuper de ce dossier en 2003 lorsque les compagnies aériennes ont été tenues de communiquer des renseignements personnels sur les passagers - notamment leur itinéraire, leurs compagnons de voyage, le mode de paiement des billets, les adresses et numéros de téléphone des contacts et, même, les préférences alimentaires et les besoins de santé - à ce qui était à l'époque l'Agence des douanes et du revenu du Canada, de sorte que les agents des douanes et de l'immigration puissent évaluer les risques à la sécurité que les voyageurs pouvaient présenter. Un compromis entre le Commissariat et l'ADRC a permis de régler en partie ce dossier, mais la question plus vaste de l'accès aux renseignements personnels sur les passagers par des organismes de sécurité continue de se poser.

La Loi sur la sécurité publique de 2002, qui a reçu la sanction royale le 6 mai 2004, soit peu après la fin de la période visée par notre rapport, permet à la GRC et au SCRS de se servir des renseignements sur les passagers fournis par les transporteurs aériens et les exploitants de systèmes de réservation de services aériens pour identifier non seulement les personnes susceptibles de menacer la sûreté du transport et la sécurité nationale, mais aussi toute personne dont le nom figure sur un mandat d'arrestation pour avoir commis une infraction passible d'une peine d'emprisonnement de cinq ans ou plus. De plus, la Loi modifie la LPRPDE afin qu'elle permette aux organisations du secteur privé de recueillir des renseignements personnels sans le consentement de l'intéressé dans le but de les communiquer au gouvernement, aux forces de l'ordre et aux organismes de sécurité nationale, ce qui, de fait, leur permet d'agir à titre d'agents de l'État dans la lutte contre le terrorisme, mais aussi dans l'application de la loi au sens conventionnel du terme.

C'est pour cette raison que l'actuelle commissaire a comparu en mars 2004 devant le Comité sénatorial chargé d'examiner ce projet de loi et qu'elle a fait connaître ses craintes. Bien que le Parlement ait décidé d'adopter la loi en dépit de l'opposition du Commissariat et d'autres défenseurs de la vie privée, cette question continue de nous préoccuper tout autant.

Protection des renseignements personnels sur la santé

L'assujettissement des renseignements personnels sur la santé à la LPRPDE a troublé plus d'un intervenant du secteur des soins de santé et ce, avant même que la Loi ne soit adoptée. C'est donc en partie par souci de dissiper les incertitudes dans ce dossier que le Parlement a choisi de soustraire les renseignements personnels sur la santé du champ d'application de la Loi pour l'année suivant son adoption.

En 2003, divers groupes du secteur des soins de santé ainsi que les ministères de la Santé provinciaux et territoriaux appréhendaient de plus en plus l'arrivée imminente de la date butoir de janvier 2004 à partir de laquelle la LPRPDE s'appliquerait à toutes les activités commerciales. Ils ont de nouveau fait connaître leurs craintes concernant l'incidence de la Loi sur le secteur des soins de santé, certaines parties allant même jusqu'à demander officiellement que la Loi soit modifiée de manière à retirer les renseignements sur la santé de son champ d'application ou à retarder la prochaine étape prévue de sa mise en oeuvre.

Les cabinets de médecin et ceux d'autres professionnels, tels les dentistes et les chiropraticiens, exercent des activités commerciales. Par conséquent, les renseignements personnels qu'ils recueillent, utilisent et communiquent sont assujettis à la LPRPDE. La Loi ne s'applique pas aux activités essentielles des hôpitaux, à savoir les soins aux patients. Ce dossier relève manifestement de la compétence des provinces (même si la LPRPDE s'appliquerait à des activités périphériques manifestement commerciales comme l'exploitation d'un terrain de stationnement, laquelle exploitation pourrait impliquer la collecte de renseignements personnels).

Position du CPVP

Le Commissariat est d'avis que la LPRPDE constitue un moyen très pratique de protéger les renseignements personnels sur la santé sans pour autant imposer un fardeau déraisonnable aux professionnels de la santé. Dans l'ensemble, le rapport traditionnel entre le médecin et son patient ne sera pas appelé à changer considérablement. Le consentement donné par le patient pour la collecte, l'utilisation et la communication des renseignements personnels doit être fondé sur la connaissance de leurs fins. Cela ne suppose pas que les médecins doivent avoir des conversations avec tous leurs patients. Il suffit, pour informer les patients, de recourir à des avis, des affiches, des brochures et des renseignements sur les formulaires que ces derniers remplissent habituellement lorsqu'ils donnent leurs antécédents médicaux.

Par ailleurs, le patient peut raisonnablement s'attendre à ce que les renseignements le concernant soient utilisés ou communiqués de différentes façons et à maintes reprises pour qu'il puisse recevoir des soins et des traitements. C'est notamment le cas des renseignements qu'un omnipraticien communique à un spécialiste ou à un laboratoire ou celui des renseignements que le médecin et le pharmacien échangent lorsqu'ils discutent d'une ordonnance. En ce qui concerne ces utilisations et communications raisonnablement prévues des renseignements personnels d'un patient, les professionnels de la santé peuvent compter sur un consentement implicite tant qu'il est fondé sur une connaissance générale de la manière dont les renseignements personnels seront utilisés et communiqués. Il serait nécessaire d'obtenir un consentement explicite dans le cas d'utilisations et de communications auxquelles le patient ne s'attendrait pas normalement. La communication de renseignements à des fins de recherche figure parmi les exemples de situations où un tel consentement devrait être obtenu.

Pour aborder ces préoccupations et promouvoir cette façon sensée d'appliquer la LPRPDE, le Commissariat a joint ses efforts à ceux de Santé Canada, d'Industrie Canada et de Justice Canada pour former un groupe de travail interministériel chargé de mettre au point des outils de communication et d'élaborer des directives, de répondre aux questions et de rencontrer des associations de soins de santé pour dissiper leurs inquiétudes et expliquer la position du Commissariat.

Nous avons constaté que tous les volets du secteur des soins de santé n'anticipent pas d'importants problèmes de conformité avec la LPRPDE. À titre d'exemple, le Collège royal des chirurgiens dentistes de l'Ontario a préparé un excellent dossier sur la conformité à la loi qu'il a remis à tous les cabinets de dentistes de l'Ontario.

Réglementation du droit à la vie privée dans un régime fédéral

Dans une économie moderne où les renseignements personnels circulent librement entre les limites territoriales (par exemple, des renseignements concernant des clients à Madrid d'une entreprise dont le siège est à Montréal peuvent être traités à Berlin, puis stockés à Vancouver), la protection de la vie privée se doit d'être homogène et harmonisée. Les particuliers ont besoin que les renseignements personnels les concernant tout autant que leurs droits à cet égard soient protégés, quelle que soit l'administration vers laquelle ils sont acheminés.

Cette tâche est difficile à remplir à l'échelle internationale et exige des négociations et des rajustements en permanence. Même si les renseignements ne quittent jamais le pays, cette tâche pose un défi de taille dans un régime fédéral comme celui du Canada où les responsabilités des secteurs de compétence varient sensiblement. Au cours de l'année visée par l'examen, nombre de faits nouveaux importants sont survenus dans le processus menant vers une protection entière et harmonisée de la vie privée au Canada.

En octobre 2003, le gouvernement de la Colombie-Britannique a adopté la loi dite Personal Information Protection Act qui s'applique aux activités commerciales du secteur privé. L'Alberta lui a emboîté le pas, en décembre 2003, lorsqu'elle a adopté une loi essentiellement similaire portant le même titre. Le 1er janvier 2004, la version intégrale de la LPRPDE est entrée en vigueur, de sorte qu'elle s'applique maintenant à l'ensemble des activités commerciales au Canada sauf dans les provinces ayant adopté des lois provinciales essentiellement similaires à la loi fédérale. En novembre 2003, la gouverneure en conseil a déclaré que la Loi sur la protection des renseignements personnels dans le secteur privé de la province de Québec était essentiellement similaire à la loi fédérale. À la mise sous presse du présent rapport, des déclarations semblables étaient attendues pour les lois de la Colombie-Britannique et l'Alberta.

Position du CPVP

La disposition de la LPRPDE relative au caractère « essentiellement similaire » des lois assure des niveaux uniformes de protection de la vie privée dans tous les secteurs de l'économie du pays, mais elle ne règle pas tous les problèmes comme par magie. La protection harmonisée de la vie privée présente en soi des défis bien particuliers.

Conscients de ces défis, la commissaire fédérale et ses homologues provinciaux/territoriaux à la protection de la vie privée et les membres de leurs effectifs ont concerté leurs efforts pour mieux faire comprendre aux entreprises à quelles lois elles sont assujetties et pour aider les particuliers à comprendre leurs droits et les recours mis à leur disposition dans les lois qui s'y rapportent. Les commissaires à l'information et à la protection de la vie privée de la Colombie-Britannique et de l'Alberta ont publié conjointement un guide (disponible sur leurs sites Web et à partir d'un lien sur notre site) qui aide les entreprises et les particuliers à démêler une situation qui, initialement, paraît déconcertante. Le guide complète les travaux exécutés par le Commissariat afin de publier divers documents comme la diffusion en temps réel d'une allocution prononcée par la commissaire et une trousse électronique à l'intention des entreprises, le tout dans le but de faciliter la mise en oeuvre de la LPRPDE.

Dans un monde de plus en plus informatisé et perfectionné sur le plan technologique, chaque jour, voire chaque minute, semble apporter son lot de nouvelles menaces éventuelles à la protection des renseignements personnels. Dans un avenir rapproché, le Commissariat est résolu à favoriser une bonne compréhension des nouveaux enjeux en matière de vie privée auprès des parlementaires, du grand public et des législateurs, de même qu'à continuer de formuler une analyse convaincante des risques et défis nationaux et internationaux en matière de protection de la vie privée à mesure qu'ils se présentent.

Lois provinciales essentiellement similaires

Aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le gouverneur en conseil peut prendre un décret excluant une organisation, une catégorie d'organisations, une activité ou une catégorie d'activités de l'application de la LPRPDE à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels, lequel s'effectue à l'intérieur d'une province ayant adopté une loi réputée essentiellement similaire à la LPRPDE.

Le but de cette disposition est de permettre aux provinces et territoires de réglementer les pratiques de gestion des renseignements personnels des organisations faisant affaire à l'intérieur de leurs frontières, sous réserve qu'ils disposent d'une loi qui soit essentiellement similaire à la LPRPDE.

S'il y a décret, la LPRPDE ne s'applique pas à la collecte, à l'utilisation ou à la communication de renseignements personnels par des organisations assujetties à la loi provinciale. Néanmoins, les renseignements personnels, communiqués à l'extérieur de cette province ou du pays continueront d'être assujettis à la LPRPDE, laquelle continuera également de s'appliquer, dans les limites d'une province, aux ouvrages, aux entreprises et aux secteurs d'activités sous réglementation fédérale, ce qui comprend les banques, les compagnies aériennes, les radiodiffuseurs et les entreprises de télécommunications.

Processus d'évaluation des lois provinciales et territoriales

Le 22 septembre 2001, Industrie Canada a publié un avis établissant le processus que le Ministère utilisera pour déterminer si les lois provinciales ou territoriales sont réputées être essentiellement similaires.

Le processus sera enclenché lorsqu'une province, un territoire ou une organisation informera le ministre de l'Industrie d'une loi qui, à son avis, est essentiellement similaire à la LPRPDE. Le ministre peut aussi agir de son propre chef et recommander au gouverneur en conseil de désigner une loi provinciale ou territoriale comme étant essentiellement similaire.

Le ministre a déclaré qu'il sollicitera le point de vue du commissaire à la protection de la vie privée afin de déterminer si la législation est essentiellement similaire et il inclura le point de vue de ce dernier dans la soumission au gouverneur en conseil. Le processus offre également une occasion au public et aux parties intéressées de commenter la législation dont il est question.

Selon l'avis publié dans la Gazette du Canada, le ministre s'attend à ce que les lois essentiellement similaires des provinces ou des territoires comportent les éléments suivants :

  • elles intègrent les dix principes de l'annexe 1 de la LPRPDE;
  • elles prévoient un mécanisme de surveillance et de recours indépendant et efficace comportant des pouvoirs d'enquête;
  • elles restreignent la collecte, l'utilisation et la communication des renseignements personnels à des fins appropriées ou légitimes.

Lois provinciales et territoriales adoptées à ce jour

Conformément au paragraphe 25(1) de la LPRPDE, le Commissariat à la protection de la vie privée est tenu de rendre compte chaque année au Parlement de la « mesure dans laquelle les provinces ont édicté des lois essentiellement similaires » à la Loi.

La Loi sur la protection des renseignements personnels dans le secteur privé de la province de Québec est entrée en vigueur, avec quelques exceptions, le 1er janvier 1994. Elle contient des dispositions détaillées qui augmentent les droits à la protection des renseignements des articles 35 à 41 du Code civil du Québec et leur donnent force de loi. En novembre 2003, la gouverneure générale a pris un décret (C.P. 2003-1842, 19 novembre 2003) qui exclut certaines organisations de cette province, autres que des ouvrages, entreprises et secteurs d'activités fédéraux, du champ d'application de la LPRPDE.

Au printemps 2003, les provinces de la Colombie-Britannique et de l'Alberta ont déposé des textes de loi similaires, soit respectivement le projet de loi 38 et le projet de loi 44. Les deux projets de loi ont été adoptés par les assemblées législatives et sont entrés en vigueur le 1er janvier 2004.

Les deux lois, qui portent le même titre, soit Personal Information Protection Act, sont similaires à la LPRPDE sans toutefois y être identiques, leur champ d'application étant plus vaste. Contrairement à la LPRPDE, ces lois s'appliquent à toutes les organisations, à quelques exceptions près, et non seulement à celles qui exercent des activités commerciales. De plus, contrairement à la LPRPDE, elles contiennent des règles régissant les renseignements personnels des employés qui diffèrent de celles visant les autres renseignements personnels. En outre, elles confèrent aux deux commissaires provinciaux le pouvoir de rendre des ordonnances, par exemple, pour exiger d'une organisation qu'elle donne à une personne accès aux renseignements personnels à son sujet ou pour exiger d'une organisation qu'elle cesse de recueillir, d'utiliser ou de communiquer certains de ces renseignements personnels. À titre comparatif, le commissaire à la protection de la vie privée du Canada ne jouit pas du pouvoir de rendre des ordonnances.

En nous fondant sur les critères établis dans cet avis, soit la présence des dix principes de l'annexe 1 de la LPRPDE, les examens et recours indépendants et une disposition limitant la collecte, l'utilisation et la communication des renseignements aux seules fins légitimes (le critère de la personne raisonnable), nous avons conclu que, dans l'ensemble, les lois de la Colombie-Britannique et de l'Alberta sont essentiellement similaires à la LPRPDE.

Une autre initiative législative mérite d'être signalée, à savoir le dépôt et l'adoption du projet de loi 31 de l'Ontario, la Loi sur la protection des renseignements sur la santé. La loi a reçu la sanction royale le 20 mai 2004 et devrait entrer en vigueur le 1er novembre 2004. Nous poursuivons toujours notre examen de cette loi et ne sommes pas encore en mesure d'affirmer si elle est ou non réputée essentiellement similaire à la LPRPDE.


Première partie - Rapport concernant la Loi sur la protection des renseignements personnels

Introduction

La Loi sur la protection des renseignements personnels, en vigueur au Canada depuis 1983, protège les renseignements personnels concernant les personnes que détiennent des institutions du gouvernement fédéral. La Loi régit la manière dont les ministères et organismes fédéraux recueillent, utilisent, communiquent, conservent et détruisent des renseignements personnels. Elle confère aux personnes le droit de demander accès à leurs renseignements personnels détenus par le gouvernement et celui de demander que des corrections y soient apportées. De plus, elle établit les fonctions, les responsabilités et le mandat du commissaire à la protection de la vie privée du Canada.

La commissaire reçoit des plaintes de personnes estimant que leurs droits en vertu de la Loi sur la protection des renseignements personnels ont été enfreints et mène des enquêtes sur ces plaintes. Elle peut également déposer une plainte et mener une enquête de sa propre initiative si elle estime qu'il existe des motifs raisonnables de croire que la Loi a été enfreinte.

La commissaire à la protection de la vie privée du Canada agit à titre d'ombudsman afin de résoudre autant que possible les plaintes grâce à la médiation, la négociation et la persuasion.

Toutefois, la Loi confère à la commissaire de vastes pouvoirs d'enquête lui permettant de s'acquitter de son mandat. Elle peut assigner des témoins à comparaître et à témoigner, pénétrer dans des locaux pour se faire remettre des documents et mener des entrevues. L'entrave aux enquêtes constitue une infraction à la Loi. La Loi ne confère pas à la commissaire le pouvoir de rendre des ordonnances.

Toutefois, la commissaire peut recommander au besoin des changements des pratiques de traitement des renseignements menées par les institutions gouvernementales, prérogative qu'elle exerce de fait. Par ailleurs, elle peut mener en tout temps des vérifications auprès de ministères ou d'organismes fédéraux et recommander que soient modifiées les pratiques qui ne sont pas conformes à la Loi sur la protection des renseignements personnels.

La commissaire est tenue de déposer un rapport annuel au Parlement sur les activités du Commissariat au cours de l'exercice précédent. Le présent rapport vise la période comprise entre le 1er avril 2003 et le 31 mars 2004 au titre de la Loi sur la protection des renseignements personnels.

Enquêtes et demandes de renseignements

Le Commissariat à la protection de la vie privée est chargé de mener des enquêtes sur les plaintes que déposent des personnes aux termes de l'article 29 de la Loi sur la protection des renseignements personnels (et de l'article 11 de la Loi sur la protection des renseignements personnels et les documents électroniques, connue sous l'acronyme LPRPDE).

Ces enquêtes permettent de déterminer si les droits à la vie privée des personnes ont été enfreints et si ces dernières ont pu avoir accès à leurs renseignements personnels. Lorsque les droits à la vie privée et le droit d'accès ont été enfreints, le processus d'enquête cherche à trouver des voies de recours pour les personnes et à empêcher que les violations ne se reproduisent.

L'an dernier, le Commissariat a reçu 4 206 nouvelles plaintes, un record inégalé représentant une hausse de 250 pour 100 par rapport à l'année précédente. Plusieurs facteurs ont contribué à cet état de chose :

  • 472 membres des collectivités autochtones du Canada se sont plaints d'avoir été tenus par Santé Canada de signer un formulaire de consentement rédigé en termes très généraux pour recevoir des prestations de santé subventionnées par le gouvernement;
  • 608 agents de correction ont déposé plus de 1 100 plaintes contre Service correctionnel Canada (SCC) alléguant que le Ministère avait refusé de leur fournir des copies de leurs dossiers personnels;
  • 107 employés de l'établissement de Joyceville ont déposé une plainte contre SCC alléguant que le Ministère avait omis de protéger leurs renseignements personnels lorsqu'une liste des adresses et numéros à domicile des employés a été trouvée parmi la population carcérale;
  • 38 contrevenants de la Colombie-Britannique ont déposé au total 950 plaintes contre SCC alléguant que le Ministère n'avait pas répondu en temps opportun à leurs demandes d'accès à leurs renseignements personnels versés à 25 fichiers de renseignements personnels standard que SCC tient sur les contrevenants.

 

Erratum
La version imprimée du rapport annuel au Parlement pour 2003-2004 contient une erreur concernant le nombre de plaintes traitées par nos enquêteurs. Le nombre exact de plaintes traitées était 3 134 comme il est indiqué dans la section des plaintes en vertu de la Loi sur la protection des renseignements personnels.

Par ailleurs, la productivité a atteint un sommet record cette année, le nombre de plaintes résolues par les enquêteurs s'établissant à 3 134.

Plaintes en vertu de la Loi sur la protection des renseignements personnels

La productivité des enquêteurs a été à son plus fort cette année (3 134 plaintes ayant été résolues). Toutefois, bien que nous ayons résolu 3 483 affaires cette année, 2 323 d'entre elles représentaient des enquêtes qui avaient été menées deux ans auparavant. Les statistiques pour cette année représentent les enquêtes actives achevées en 2003-2004. Les conclusions relatives à ces plaintes ont été rendues comme suit :

Non fondées 1 243
Fondées 1 180
Fondées et résolues 69
Résolues 11
Résolues au cours de l'enquête 265
Abandonnées 366

Définitions des conclusions aux termes de la Loi sur la protection des renseignements personnels

Non fondée : l'enquête n'a pas permis de déceler des éléments de preuve qui suffisent à conclure que l'institution fédérale n'a pas respecté les droits d'un plaignant aux termes de la Loi sur la protection des renseignements personnels.

Fondée : l'institution fédérale n'a pas respecté les droits d'une personne aux termes de la Loi sur la protection des renseignements personnels.

Fondée et résolue : les allégations sont corroborées par l'enquête et l'institution fédérale a accepté de prendre des mesures correctives pour remédier à la situation.

Résolue : cette conclusion est réservée aux plaintes pour lesquelles une conclusion fondée serait trop sévère pour qualifier une situation relevant essentiellement d'une mauvaise communication ou d'un malentendu. Elle signifie que le Commissariat, après avoir mené une enquête complète et minutieuse, a permis de négocier une solution qui satisfait toutes les parties.

Résolue au cours de l'enquête : le Commissariat a aidé à négocier une solution qui satisfait toutes les parties dans le cadre de l'enquête. Aucune conclusion n'est rendue.

Abandonnée : l'enquête a pris fin avant que toutes les allégations soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons, par exemple, le plaignant peut ne plus vouloir donner suite à l'affaire ou il est impossible de lui demander de fournir des renseignements supplémentaires, lesquels sont essentiels pour arriver à une conclusion.

Résolue hâtivement : le Commissariat a commencé à utiliser cette nouvelle disposition en avril 2004 pour traiter des situations où l'affaire est réglée avant même qu'une enquête officielle ne soit entamée. À titre d'exemple, si le sujet de la plainte déposée par une personne a déjà fait l'objet d'une enquête par le Commissariat et a été jugé conforme à la Loi sur la protection des renseignements personnels, nous lui expliquerions la situation. Nous avons en outre reçu des plaintes qui, si elles faisaient l'objet d'une enquête formelle, pourraient avoir des retombées négatives sur la personne. En pareil cas, nous expliquerions en profondeur la situation aux plaignants. S'ils décident alors de ne pas poursuivre l'affaire, celle-ci est alors « résolue hâtivement ».

Cas choisis en vertu de la Loi sur la protection des renseignements personnels

SOINS DE SANTÉ
Programme de prestations de santé non assurées de Santé Canada

Aperçu
À l'été 2003, le CPVP a reçu plusieurs centaines de plaintes et de nombreuses demandes de renseignements concernant la décision de Santé Canada d'exiger des bénéficiaires des Premières Nations et Inuits de certaines prestations de santé subventionnées par le gouvernement qu'ils signent un formulaire de consentement avalisant les pratiques du Ministère en matière de collecte, d'utilisation et de communication de leurs renseignements personnels. Les plaignants se sont opposés au libellé compliqué du formulaire, à sa vaste portée et au manque de mesures satisfaisantes de protection des renseignements personnels détenus par des tiers fournisseurs de services.

Plusieurs associations autochtones, notamment l'Assemblée des Premières Nations et les Inuits Tapiriit Kanatami, ont appuyé les plaintes et présenté des arguments au nom de leurs membres.

Cette campagne a été initiée suite à la recommandation de la vérificatrice générale qui demandait à Santé Canada d'améliorer ses mécanismes de suivi pour éviter l'abus des médicaments prescrits. Santé Canada s'est également efforcé de respecter le droit des bénéficiaires d'être informés de toutes les conséquences éventuelles d'un examen de l'utilisation de ces médicaments.

Les plaignants estimaient que les droits aux prestations du programme étaient et avaient toujours été prévus dans les traités et qu'ils ne pouvaient faire autrement que de convenir des pratiques d'examen que Santé Canada prévoyait imposer sans quoi ils perdraient leurs prestations. Ils se sont opposés au libellé compliqué du formulaire, à sa vaste portée et au manque de mesures satisfaisantes de protection des renseignements personnels détenus par des tiers fournisseurs de services.

Mesures prises par le CPVP
Nous avons accepté les plaintes conformément aux dispositions de la Loi sur la protection des renseignements personnels, puis déterminé qu'aucune disposition de cette loi n'avait été enfreinte. Le Commissariat a cependant continué de collaborer avec les associations autochtones et le Ministère afin d'arriver à une nouvelle manière de présenter l'initiative relative au consentement qui traite des préoccupations concernant la vie privée. Ensemble, nous avons identifié les points essentiels du programme de prestations de santé exigeant le consentement éclairé des bénéficiaires. Nous avons par ailleurs reconnu que les dispositions relatives à la protection des renseignements personnels des contrats conclus avec les tiers fournisseurs de services devaient être renforcées, ce que Santé Canada s'est engagé à faire. Enfin, nous nous sommes entendus sur la nécessité de rédiger les formulaires de consentement en des termes les plus simples et les plus clairs possible.

Résultats des mesures prises par le CPVP
Santé Canada a par la suite proposé une autre démarche relative au formulaire de consentement que les intervenants autochtones ont soutenue. Il s'agit de la démarche suivante :

  • le Ministère continuera de promouvoir l'obtention du consentement à titre de pratique exemplaire (position qui reçoit l'aval du Commissariat), mais n'exigera plus que tous signent le formulaire;
  • le Ministère instaurera un mécanisme d'obtention du consentement des bénéficiaires par le biais de questions liées à la sécurité des patients ou de préoccupations quant à l'utilisation à mauvais escient du programme;
  • le Ministère a mis sur pied le comité d'examen de la consommation pharmaceutique de Santé Canada et des Premières Nations, composé de professionnels de la santé agréés, d'experts en évaluation de l'utilisation des médicaments, en de santé des Autochtones et en utilisation des médicaments;
  • le Ministère élabore un Code de la protection des renseignements personnels qui énonce les pratiques du Ministère en matière de collecte, d'utilisation et de communication. Le Code respecte la norme supérieure de consentement de la Loi sur la protection des renseignements personnels et les documents électroniques, puisque nombre des tiers fournisseurs de services associés au programme de Santé Canada sont assujettis à cette loi.

Le Commissariat a offert en permanence son soutien afin d'arriver à un juste équilibre entre les intérêts en matière de vie privée des bénéficiaires et les impératifs du programme de Santé Canada.

Questionnaire médical de la GRC jugé trop indiscret pour les candidats civils

Aperçu
On a refusé à une femme le poste d'agente civile des communications à la GRC parce qu'elle avait refusé de répondre à certaines questions d'un questionnaire sur les antécédentes médicaux qu'elle devait remplir dans le cadre du processus de recrutement. Voici quelques-unes de ces questions :

  • « Avez-vous des menstruations tous les mois ? »
  • « Quelle est la date de vos dernières menstruations ? »
  • « Vos menstruations sont-elles douloureuses ? »
  • « À quand remonte votre dernier test Pap ? »
  • « Combien de fois avez-vous été enceinte, en comptant les avortements et les fausses couches ? »

Les candidats devaient en outre dire s'ils avaient des varices, de l'arthrite, des phlébites, le rhume des foins, une maladie vénérienne et préciser si des membres de leur famille avaient le diabète, le cancer, la tuberculose, une maladie cardiaque ou faisaient de l'hypertension.

Mesures prises par le CPVP
Nous avons établi que la femme devait se soumettre au même processus de sélection qu'un candidat à un poste d'agent de police. La GRC n'a cependant pas été en mesure de démontrer la pertinence de ces questions pour un poste civil de bureau. Nous avons conclu que la plainte était fondée.

Résultats des mesures prises par le CPVP
À la suite des discussions avec la GRC, les représentants de ses services de santé ont accepté de cesser d'utiliser ce questionnaire pour les candidats civils. La GRC a entrepris la rédaction d'un nouveau formulaire réservé aux candidats à des postes d'agents des télécommunications qui comportent des exigences médicales liées au poste, comme l'ouïe, les mouvements du torse et les maladies susceptibles de toucher les capacités de réflexion cognitive et de reconnaissance de la parole.

Bien que la femme se soit aussi opposée à l'obligation de subir une évaluation psychologique, la GRC a expliqué que les agents des télécommunications représentent souvent la seule ligne de vie entre les victimes et les agents qui interviennent dans une situation d'urgence, explication que nous avons jugée satisfaisante. La GRC doit donc s'assurer que les candidats sont en mesure de soutenir la pression associée au travail et qu'ils puissent aisément composer avec les situations qu'ils rencontrent. La collecte de renseignements personnels visant à évaluer la capacité des candidats à gérer ces stress est par conséquent raisonnable et appropriée.

TECHNOLOGIES DE SURVEILLANCE
Réduction du nombre de caméras de surveillance vidéo au port de Nanaimo

Aperçu
Un résidant de la Colombie-Britannique, conscient de la position de l'ancien commissaire concernant la surveillance vidéo dans les rues de Kelowna, a déposé une plainte au sujet des projets de l'autorité portuaire de Nanaimo d'installer des caméras de surveillance vidéo dans le port.

Entre autres choses, l'autorité portuaire fournit des installations de mouillage et les clients qui paient pour ce service s'attendent à ce qu'elle protège leurs biens. Après avoir reçu plusieurs plaintes de clients concernant du vandalisme et des vols sur les navires, l'autorité portuaire a songé à installer des caméras sur ses quais et envisage de le faire ailleurs (bureaux de l'autorité portuaire, terrains de stationnement, trottoir, buanderies et l'endroit où les pêcheurs et d'autres propriétaires de navires jettent les substances polluantes de leurs navires qui pourraient nuire à l'environnement).

Mesures prises par le CPVP
Nous ne nous opposons pas à ce que des caméras soient installées dans presque tous ces secteurs à des fins de sécurité. Toutefois, nous nous inquiétons de la surveillance des activités sur le trottoir accessible au public.

Résultats des mesures prises par le CPVP
Les représentants de l'autorité portuaire ont volontiers accepté de retirer les caméras qui surveillaient ce secteur et d'apposer des affiches informant le public de la présence de caméras de surveillance sur le port.

L'enquête a permis à l'autorité portuaire de mettre en place des mesures de sécurité qui veillent à ce que les données recueillies par les caméras soient bien protégées, qu'elles ne soient pas conservées plus longtemps que nécessaire et que l'accès aux renseignements et la communication de ceux-ci soient strictement limités. Compte tenu de la volonté de l'autorité portuaire de donner suite à nos préoccupations, l'affaire est considérée résolue.

Une expédition de pêche pas comme les autres ?

Aperçu
Le Commissariat a reçu deux plaintes concernant le Programme canadien des observateurs de Pêches et Océans Canada qui exige des pêcheurs, comme condition d'obtention de leur permis, qu'ils permettent à un observateur de les accompagner à bord de leurs navires de pêche commerciale, et ce, même le soir, pendant la nuit et en dehors des heures de pêche. Certains pêcheurs n'accueillent que des membres de leur famille sur leurs navires; ceux-ci n'étant pas assez grands pour recevoir un étranger. Une des plaintes portait également sur le caractère envahissant d'une solution de rechange à la présence d'un observateur à bord de leur navire, soit la surveillance électronique au moyen de caméras vidéo et de systèmes mondiaux de localisation.

Mesures prises par le CPVP
Il est ressorti de l'enquête que le Programme des observateurs est autorisé par règlement. Les fonctions des observateurs consistent à surveiller les activités de pêche, notamment en examinant et en mesurant les gréements, en vérifiant le poids et les espèces des poissons pêchés, en inspectant les dossiers des pêches et en effectuant un échantillonnage biologique des poissons. Les seuls renseignements personnels que les observateurs recueillent dans le cours normal de leurs fonctions sont les noms, adresses et numéros de contact de l'équipage du navire. Tous les autres renseignements recueillis portent sur les activités de pêche sous observation.

Si, par nature, la présence d'un étranger à bord des navires est envahissante, la question relève de la vie privée « personnelle », laquelle n'est pas assujettie à la Loi sur la protection des renseignements personnels, et non de la protection des renseignements personnels.

Résultats des mesures prises par le CPVP
Le Commissariat a conclu que les plaintes étaient non fondées. Malgré cette conclusion, nous avons discuté des préoccupations des plaignants avec des représentants de Pêches et Océans Canada, qui ont soutenu que le Ministère doit pouvoir continuer à surveiller les activités de pêche. Ils ont toutefois convenu de consulter l'industrie de la pêche et nous les avons encouragés à recommander des solutions moins envahissantes pour exécuter les activités de ce programme.

TRAITEMENT DES RENSEIGNEMENTS PERSONNELS
Où êtes-vous né ?

Aperçu
Une personne s'est plainte de la pratique du ministère des Affaires étrangères et du Commerce international qui consiste à afficher le lieu de naissance sur le passeport du détenteur, pratique qui, à son avis, est discriminatoire et porte atteinte à la vie privée.

Mesures prises par le CPVP
Il est ressorti de notre enquête que plus de 85 pays exigent l'inscription du lieu de naissance sur le passeport à titre de condition d'admission au pays. Des fonctionnaires du ministère des Affaires étrangères ont fait savoir que, lors des négociations des ententes de dispense réciproque de visas, le lieu de naissance figure souvent parmi les conditions imposées par d'autres pays. Pour sa part, l'Organisation de l'aviation civile internationale recommande elle aussi l'inclusion du lieu de naissance sur les documents de voyage.

Quoi qu'il en soit, depuis 1986, les détenteurs de passeport ont le choix de faire ou non inscrire ce renseignement. Ceux qui optent pour l'exclusion de ce renseignement doivent signer des attestations stipulant qu'ils ont été informés des éventuelles difficultés qu'ils pourraient rencontrer à certains postes frontaliers, comme le fait que des douaniers leur posent des questions supplémentaires, la nécessité d'obtenir un visa ou même le refus d'entrée.

Résultats des mesures prises par le CPVP
Nous avons conclu que la plainte était non fondée.

Correspondance au CRTC affichée sur le site Web

Aperçu
Une personne a écrit au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) pour signifier son appui concernant la demande de permis adressée par un radiodiffuseur culturel.

Le CRTC a affiché sa correspondance sur son site Web telle qu'il l'a reçue, avec ses nom, adresse, numéro de téléphone et adresse de courriel. Cette pratique est expliquée sur le site Web, mais la personne ne l'avait pas remarquée et ne pensait jamais que sa correspondance serait affichée de cette façon. Elle ne savait pas qu'elle pouvait demander au CRTC de supprimer tout identificateur personnel avant que sa correspondance ne soit affichée.

Lorsqu'elle a appris que ses renseignements personnels étaient affichés sur le site Web, elle en a immédiatement demandé le retrait. Le CRTC s'est conformé à sa demande dans les 48 heures. Entre-temps, toutefois, le moteur de recherche Google (et d'autres peut-être) avait saisi ces renseignements, de sorte que chaque fois que le nom de la personne faisait l'objet d'une recherche au moyen du moteur Google, sa correspondance originale avec le CRTC s'affichait.

La personne a communiqué avec Google pour lui demander de supprimer ses renseignements personnels, mais les représentants de cette entreprise lui ont répondu qu'ils ne le feraient qu'après avoir reçu une demande formelle du webmestre du site ayant affiché pour la première fois les renseignements sur Internet. Elle a fait acheminer sa correspondance au CRTC pour que des mesures de suivi adéquates soient prises mais ses renseignements personnels continuaient d'être affichés sur Internet.

Mesures prises par le CPVP
À la suite de l'intervention du Commissariat, le webmestre du CRTC a adressé trois demandes à Google, mais aucune d'entre elles n'a fait l'objet d'une réponse officielle. Google a néanmoins fini par supprimer les renseignements personnels de la personne, au soulagement et à la satisfaction de cette dernière.

Résultats des mesures prises par le CPVP
Nous avons clos le dossier à titre d'affaire « résolue au cours de l'enquête ».

Les contribuables doivent se conformer aux demandes de renseignements présentées par l'Agence du revenu du Canada

Aperçu — Première affaire
L'an dernier, le Commissariat a enquêté sur deux affaires qui illustrent le pouvoir conféré à l'Agence du revenu du Canada (ARC) d'exiger des contribuables qu'ils fournissent des renseignements très personnels.

Dans la première affaire, l'ARC a demandé à un Ontarien, lors de la vérification de routine de sa déclaration de revenus de 2001, de fournir copie de l'accord de séparation d'avec son ex-conjointe pour étayer les montants déduits au titre de la pension alimentaire pour enfants. Le contribuable s'est conformé à la demande de l'ARC en lui remettant les parties de l'entente traitant expressément des versements, mais il s'est opposé au fait que l'ARC ait insisté pour obtenir une copie non altérée de l'entente.

Aperçu — Deuxième affaire
Dans la deuxième affaire, une Québécoise s'est plainte des questions détaillées que lui a posées un fonctionnaire de l'ARC qui tentait de recouvrer des montants d'impôt en souffrance. Comme il lui avait été impossible de payer le montant intégral de l'impôt exigible dans un délai raisonnable, elle avait demandé un délai supplémentaire de paiement.

Mesures prises par le CPVP
Après avoir enquêté sur la première affaire, nous avons expliqué au plaignant que la Loi de l'impôt sur le revenu conférait à l'ARC le pouvoir juridique d'exiger ces renseignements afin qu'elle puisse se convaincre de l'absence d'autres dispositions de l'entente concernant la pension alimentaire pour enfants susceptibles d'influer sur sa situation fiscale.

En ce qui concerne la deuxième affaire, nous avons établi qu'en pareilles circonstances, l'ARC tentera d'établir un calendrier de remboursement fondé sur la situation financière du débiteur que les deux parties jugent acceptable. Pour ce faire, le débiteur doit communiquer le montant intégral de son revenu et de ses dépenses mensuelles, ce qui comprend ses actifs et ses passifs. Dans l'impossibilité d'arriver à une entente acceptable, l'ARC peut entamer des mesures juridiques de recouvrement de la dette, ce qui comprend la saisie et la vente des actifs du débiteur.

Résultats des mesures prises par le CPVP
Dans la première affaire, afin de limiter l'atteinte à la vie privée, l'ARC a accepté de verser à ses dossiers les seules parties de l'entente se rapportant aux versements de la pension alimentaire pour enfants effectués par le contribuable qui permettaient d'établir les droits de ce dernier. Le contribuable s'est dit satisfait du compromis; le dossier a été clos à titre d'affaire « résolue au cours de l'enquête ».

En ce qui concerne la deuxième affaire, le fonctionnaire de l'ARC a remis en question les coûts élevés des médicaments sur ordonnance que la contribuable devait prendre en raison de son état de santé, coûts qui l'empêchaient de rembourser des montants importants de sa dette. Le fonctionnaire lui a demandé de présenter une note de son médecin traitant qui confirmerait son état de santé afin que l'ARC puisse prendre en compte les frais médicaux dans son évaluation des dépenses mensuelles de la contribuable. La plaignante a accepté nos explications concernant la raison fournie par l'ARC pour justifier une telle demande et les répercussions de son refus d'y répondre. Le dossier a été clos à titre d'affaire « résolue au cours de l'enquête ».

Incidents visés par la Loi sur la protection des renseignements personnels

Il arrive qu'on attire notre attention sur des incidents de mauvaise gestion de renseignements personnels pour lesquels un examen plus poussé du Commissariat s'impose. L'an dernier, nous avons effectué 30 examens de ce genre. Il convient de signaler que dans sept de ces incidents, des ministères avaient envoyé par erreur à un client des renseignements personnels concernant d'autres clients.

Cartes d'identification santé envoyées à la mauvaise adresse
Dans une de ces affaires, Anciens combattants Canada (ACC) procédait à la réémission d'environ 143 000 cartes d'identification santé portant le nouveau numéro de téléphone sans frais d'interurbain du Centre d'appels national. Lors de la production de ces cartes, un fichier de données corrompu portant sur environ 12 000 clients en Ontario contenait également les adresses d'autres clients. Avant que l'erreur ne soit constatée, les nouvelles cartes d'identification avaient été envoyées aux mauvaises adresses. Des représentants d'ACC nous ont informés que dès qu'ils ont eu vent du problème, ils ont immédiatement cessé la production et ne l'ont reprise qu'après la mise en place de procédures améliorées de contrôle de qualité. Le Ministère a communiqué avec tous les clients touchés par cette erreur.

Passeports mal acheminés
Le Commissariat s'est également penché sur deux incidents de passeports mal acheminés. Dans un des incidents, un Albertain a reçu, en plus de ses propres documents, une enveloppe du Bureau des passeports contenant le passeport, le certificat de naissance, des renseignements sur les cartes de crédit et le permis de conduire d'une Québécoise. Dans le deuxième incident, une citoyenne canadienne résidant au Colorado, États-Unis, a reçu par erreur le passeport, la carte verte, le certificat de naissance et le numéro de carte de crédit d'une femme vivant au Wisconsin, aux États-Unis, et cette dernière a reçu les documents de la première. Nous avons établi que les deux incidents étaient le fait d'une erreur humaine. Les passeports ont été établis et postés le même jour avec plusieurs milliers d'autres.

Lorsqu'un nombre aussi élevé d'envois est effectué chaque jour, il arrive que des erreurs surviennent au moment de remplir les enveloppes. Le Bureau des passeports a fait savoir que dans les six mois qui séparent ces deux incidents, il avait traité plus de 500 000 demandes. L'accroissement du volume découlait de procédures de sécurité supplémentaires et de restrictions des voyages imposées à l'échelle internationale à la suite des événements du 11 septembre. Depuis la mise en place en janvier 2004 de procédures d'envoi par la poste améliorées, ni le Bureau des passeports, ni le Commissariat n'a reçu de plaintes concernant le mauvais acheminement de documents relatifs aux passeports.

Le vol d'ordinateurs suscite des préoccupations en matière de vie privée
Dans une autre affaire, six ordinateurs ont été volés du bureau des services fiscaux de l'ARC à Laval au Québec. L'un d'entre eux était utilisé pour mettre à l'essai des applications informatiques. Il était protégé au moyen d'un mot de passe et contenait environ deux millions d'enregistrements provenant de quatre bases de données confidentielles. Ces bases contenaient des renseignements personnels mais pas de renseignements relatifs aux déclarations de revenus. Plus de 120 000 personnes faisant partie de ces bases de données ont dû être informées de ce manquement à la sécurité et ont reçu des conseils sur les mesures à prendre pour réduire les possibilités de vol d'identité, notamment celles énumérées ci-après :

  • Examiner et vérifier tous les relevés de transactions des comptes de banque, des cartes de crédits et autres transactions financières.
  • Signaler à la Société canadienne des postes tout problème ou retard dans la livraison du courrier.
  • Signaler à Ressources humaines et Développement des compétences Canada tout soupçon quant à l'utilisation du numéro d'assurance sociale (NAS).
  • Communiquer avec une agence d'évaluation de crédit comme Equifax ou Trans-Union qui sont habituées à aider les particuliers en de pareilles circonstances.

Par la suite, 16 personnes ont déposé des plaintes officielles auprès du Commissariat alléguant que l'ARC n'avait pas bien protégé leurs renseignements. L'ARC a reconnu que les procédures de sécurité n'avaient pas été respectées et que l'ordinateur n'avait pas été remisé dans une pièce protégée à la fin de la journée. Des mesures disciplinaires conformes à la politique de l'ARC ont été prises.

Communication dans l'intérêt public aux termes de la Loi sur la protection des renseignements personnels

L'alinéa 8(2)m) de la Loi sur la protection des renseignements personnels confère aux responsables des institutions gouvernementales le pouvoir de communiquer, à leur discrétion, des renseignements personnels d'une personne sans son consentement si la communication peut donner à la personne concernée un avantage ou dans les cas où un intérêt public clairement prédominant l'emporte sur le droit à la vie privée de la personne. Aux termes du paragraphe 8(5), le responsable de l'institution fédérale concernée est tenu d'informer le commissaire à la protection de la vie privée de la communication des renseignements personnels, de préférence au préalable, à moins qu'une situation d'urgence ne dicte le contraire.

L'année dernière, nous avons reçu 67 avis de ce genre. Service correctionnel Canada (SCC) figurait au premier rang des ministères ayant envoyé des avis. Il en a transmis 20, dont la plupart avaient trait à la communication de renseignements personnels concernant des détenus décédés. SCC recourt souvent aux dispositions de la Loi sur la protection des renseignements personnels concernant les communications dans l'intérêt public pour partager des renseignements avec les membres de la famille qui veulent avoir accès aux rapports établis par les employés de SCC qui ont examiné les circonstances entourant le décès d'un détenu.

La GRC a fait parvenir 15 avis de communications imminentes dans l'intérêt public. Ils avaient presque tous trait à des détenus libérés à la fin de leur peine d'emprisonnement que l'on présumait présenter des risques élevés de récidive. La GRC prévoyait recourir à des communiqués de presse envoyés dans les collectivités où le contrevenant comptait vivre afin d'alerter les résidants de sa présence et des conditions précises associées à sa libération. À titre d'exemple, une de ces conditions pourrait être que le contrevenant ne puisse se rendre sur des terrains d'école, dans des parcs ou des terrains de jeux ou se trouver en compagnie de mineurs.

Le ministère de la Défense nationale a transmis neuf avis dont sept portaient sur le partage de renseignements avec les membres de la famille après le décès d'un membre des Forces canadiennes.

Les autres avis ont été envoyés par Transports Canada, Travaux publics et Services gouvernementaux Canada, Agriculture et Agroalimentaire Canada, Santé Canada, Affaires indiennes et du Nord Canada, la Commission de l'immigration et du statut de réfugié, le Secrétariat du Conseil du Trésor, Solliciteur général Canada, le Bureau du vérificateur général du Canada, la Commission de la fonction publique du Canada, l'Ombudsman de la Défense nationale et des Forces canadiennes, la Commission des plaintes du public contre la GRC, le SCRS et la Commission nationale des libérations conditionnelles.

Demandes de renseignements

Le Commissariat a donné suite à des milliers de demandes de renseignements du grand public qui voulait obtenir des conseils et de l'aide concernant un vaste éventail de questions liées à la vie privée dans le cadre de transactions avec des institutions fédérales.

La demande de renseignements la plus usuelle transmise à notre Commissariat au cours de l'exercice 2003-2004 au sujet de la Loi sur la protection des renseignements personnels concernait l'accès aux renseignements personnels détenus par un ministère fédéral. Ces demandes ont été formulées tant par les fonctionnaires fédéraux que par les particuliers. D'autres demandeurs s'inquiétaient en outre du degré de protection des renseignements personnels assuré par certains ministères fédéraux.

Statistiques sur les demandes de renseignements
(du 1er avril 2003 au 30 mars 2004)

Demandes de renseignements téléphoniques reçues 2 580
Demandes de renseignements écrites reçues (courrier, courriel et télécopieur) 2 148
Nombre total de demandes de renseignements reçues 4 728

Les dix premiers ministères selon le nombre de plaintes reçues
Pour l'exercice se terminant le 31 mars 2004

Organisation Total Accès aux
renseignements
personnels
Nombre de fois Atteinte
à la vie
privée
Autres
Service correctionnel Canada 2 760 1 235 1 335 190  
Santé Canadaa 485 2 3 480  
Agence des douanes et du revenu du Canada 255 103 72 80  
Citoyenneté et Immigration Canada 132 48 75 9  
Gendarmerie royale du Canada 129 78 34 17  
Défense nationale 80 32 17 31  
Société canadienne des postes 72 13 24 35  
Développement des ressources humaines Canada 65 21 10 34  
Justice Canada 23 8 10 5  
Affaires étrangères et Commerce international 22 4 10 8  
Autres 183 91 39 53  
Total 4 206 1 635 1 629 942 0

Plaintes reçues selon le type de plaintes
Pour les plaintes reçues entre le 1er avril 2003 et le 31 mars 2004

Type de plainte Nombre
Accès 1 612
Collecte 535
Correction — annotation 20
Correction — délais 27
Avis de prorogation 28
Frais inexacts 1
Langue 2
Conservation et retrait 17
Délais 1 574
Utilisation et communication 390
Total 4 206

Plaintes reçues selon le répondant
Pour les plaintes reçues entre le 1er avril 2003 et le 31 mars 2004

Agriculture et Agroalimentaire Canada 8
Vérificateur général du Canada, Bureau du 1
Banque du Canada 1
Banque de développement du Canada 1
Agence du revenu du Canada 265
Société canadienne des postes 72
Centre canadien des armes à feu 4
Agence canadienne d'inspection des aliments 4
Patrimoine canadien 4
Commission canadienne des droits de la personne 2
Musée canadien des civilisations 4
Conseil de la radiodiffusion et des télécommunications canadiennes 3
Service canadien du renseignement de sécurité 20
Agence spatiale canadienne 4
Commission canadienne du tourisme 4
Citoyenneté et Immigration Canada 132
Commissariat aux langues officielles 1
Enquêteur correctionnel Canada, Bureau de l' 5
Service correctionnel Canada 2 760
EDULINX Canada Corporation 1
Environnement Canada 1
Finances Canada, ministère des 1
Centre d'analyse des opérations et déclarations financières du Canada 1
Pêches et Océans 5
Affaires étrangères et Commerce international Canada 22
Santé Canada 485
Développement des ressources humaines Canada 65
Commission de l'immigration et du statut de réfugié 15
Affaires indiennes et du Nord Canada 2
Industrie Canada 2
Justice Canada, ministère de la 23
Commission d'examen des plaintes concernant la police militaire 5
Archives nationales du Canada 4
Défense nationale 80
Musée des beaux-arts du Canada 1
Commission nationale des libérations conditionnelles 19
Conseil national des recherches du Canada 3
Ombudsman de la Défense nationale et des Forces canadiennes 1
Commission d'appel des pensions 1
Bureau du Conseil privé 5
Commission de la fonction publique Canada 4
Travaux publics et Services gouvernementaux Canada 5
Monnaie royale canadienne 1
Gendarmerie royale du Canada 129
Solliciteur général Canada 8
Statistique Canada 4
Condition féminine Canada 2
Transports Canada 10
Secrétariat du Conseil du Trésor du Canada 5
Anciens combattants Canada 4
Total 3 134

Enquêtes terminées selon le type de plaintes
Pour les plaintes terminées entre le 1er avril 2003 et le 31 mars 2004

Type de plaintes Nombre
Accès 782
Collecte 539
Correction — annotation 14
Correction — délais 16
Avis de prorogation 30
Frais inexacts 1
Langue 2
Conservation et retrait 15
Délais 1 511
Utilisation et communication 224
Total 3 134

Enquêtes terminées selon le lieu d'origine
Pour les plaintes terminées entre le 1er avril 2003 et le 31 mars 2004

Provinces et territoires Total
Alberta 658
Colombie-Britannique 1 128
International 18
Manitoba 65
Région de la capitale nationale (Ontario) 140
Région de la capitale nationale (Québec) 22
Nouveau-Brunswick 41
Terre-Neuve 8
Nouvelle-Écosse 27
Nunavut 1
Ontario 315
Île-du-Prince-Édouard 1
Québec 560
Saskatchewan 150
Total 3 134

Plaintes selon le type de plaintes et leur résultat
Pour les plaintes terminées entre le 1er avril 2003 et le 31 mars 2004

  Abandon-
nées
Non fondées Résolues Résolues
au cours de
l'enquête
Fondées Fondées et résolues Total
Accès 40 477 6 177 19 63 782
Collecte 6 503 3 14 12 1 539
Correction — annotation 0 10 0 2 0 2 14
Correction — délais 1 1 0 0 14 0 16
Avis de prorogation 0 16 0 0 14 0 30
Frais inexacts 1 0 0 0 0 0 1
Langue 0 2 0 0 0 0 2
Conservation et retrait 1 5 0 6 1 2 15
Délais 294 140 0 11 1 066 0 1 511
Utilisation et communication 23 89 2 55 54 1 224
Total 366 1 243 11 265 1 180 69 3 134

Enquêtes terminées selon le répondant
Pour les plaintes reçues entre le 1er avril 2003 et le 31 mars 2004

Institutions fédérales Total
Agriculture et Agroalimentaire Canada 6
Banque du Canada 1
Banque de développement du Canada 1
Agence des douanes et du revenu du Canada 252
Société canadienne des postes 46
Centre canadien des armes à feu 3
Agence canadienne d'inspection des aliments 4
Patrimoine canadien 3
Commission canadienne des droits de la personne 1
Agence canadienne du développement international 1
Musée canadien des civilisations 3
Conseil de la radiodiffusion et des télécommunications canadiennes 4
Service canadien du renseignement de sécurité 48
Agence spatiale canadienne 1
Citoyenneté et Immigration Canada 92
Commission des plaintes du public contre la GRC 1
Commissariat aux langues officielles 1
Communication Canada 1
Enquêteur correctionnel du Canada, Bureau de l' 4
Service correctionnel Canada 1 636
Environnement Canada 6
Finances Canada, ministère des 1
Pêches et Océans 11
Affaires étrangères et Commerce international Canada 16
Santé Canada 488
Développement des ressources humaines Canada 51
Commission de l'immigration et du statut de réfugié 18
Affaires indiennes et du Nord Canada 3
Industrie Canada 7
Justice Canada, ministère de la 56
Commission d'examen des plaintes concernant la police militaire 4
Autorité portuaire de Montréal 1
Autorité portuaire de Nanaimo 1
Archives nationales du Canada 3
Défense nationale 109
Commission nationale des libérations conditionnelles 23
Conseil national des recherches du Canada 4
Ressources naturelles Canada 1
Conseil de recherches en sciences naturelles et en génie du Canada 1
Bureau du surintendant des institutions financières du Canada 2
Ombudsman de la Défense nationale et des Forces canadiennes 1
Bureau du Conseil privé 3
Commission de la fonction publique Canada 9
Travaux publics et Services gouvernementaux Canada 14
Gendarmerie royale du Canada 164
Solliciteur général du Canada 11
Statistique Canada 1
Transports Canada 5
Secrétariat du Conseil du Trésor du Canada 8
Anciens combattants Canada 3
Total 3 134

Enquêtes terminées et résultats selon les répondants
Pour les plaintes terminées entre le 1er avril 2003 et le 31 mars 2004

Répondants Abandon-
nées
Non fondées Résolues Résolues
au cours de
l'enquête
Fondées Fondées et résolues Total
Agriculture et Agroalimentaire Canada 1 1 0 2 2 0 6
Banque du Canada 0 0 0 1 0 0 1
Banque de développement du Canada 0 1 0 0 0 0 1
Agence des douanes et du revenu du Canada 5 94 2 65 60 26 252
Société canadienne des postes 7 14 1 14 7 3 46
Centre canadien des armes à feu 0 1 0 2 0 0 3
Agence canadienne d'inspection des aliments 1 2 0 0 1 0 4
Patrimoine canadien 0 2 0 1 0 0 3
Commission canadienne des droits de la personne 0 0 0 0 1 0 1
Agence canadienne du développement international 0 1 0 0 0 0 1
Musée canadien des civilisations 3 0 0 0 0 0 3
Conseil de la radiodiffusion et des télécommunications canadiennes 0 2 0 2 0 0 4
Service canadien du renseignement de sécurité 1 43 0 4 0 0 48
Agence spatiale canadienne 0 0 0 0 1 0 1
Citoyenneté et Immigration Canada 12 25 0 13 41 1 92
Commission des plaintes du public contre la GRC 0 1 0 0 0 0 1
Commissariat aux langues officielles 0 0 0 0 1 0 1
Communication Canada 0 1 0 0 0 0 1
Enquêteur correctionnel du Canada,
Bureau de l'
0 0 0 0 4 0 4
Service correctionnel Canada 308 357 2 46 911 12 1 636
Environnement Canada 3 1 0 2 0 0 6
Finances Canada, ministère des 0 1 0 0 0 0 1
Pêches et Océans 2 5 0 3 0 1 11
Affaires étrangères et Commerce international Canada 3 6 1 5 1 0 16
Santé Canada 0 481 0 4 2 1 488
Développement des ressources humaines Canada 1 25 1 9 9 6 51
Commission de l'immigration et du statut de réfugié 0 3 0 1 10 4 18
Affaires indiennes et du Nord Canada 0 2 0 1 0 0 3
Industrie Canada 0 6 0 0 1 0 7
Justice Canada, ministère de la 0 7 0 41 7 1 56
Commission d'examen des plaintes concernant la police militaire 0 4 0 0 0 0 4
Autorité portuaire de Montréal 0 1 0 0 0 0 1
Autorité portuaire de Nanaimo 0 0 1 0 0 0 1
Archives nationales du Canada 0 0 0 1 2 0 3
Défense nationale 7 21 0 19 52 10 109
Commission nationale des libérations conditionnelles 2 19 0 0 2 0 23
Conseil national des recherches du Canada 1 2 0 0 1 0 4
Ressources naturelles Canada 0 1 0 0 0 0 1
Conseil de recherches en sciences naturelles et en génie du Canada 0 1 0 0 0 0 1
Bureau du surintendant des institutions financières du Canada 0 2 0 0 0 0 2
Ombudsman de la Défense nationale et des Forces canadiennes 1 0 0 0 0 0 1
Bureau du Conseil privé 0 2 0 0 1 0 3
Commission de la fonction publique Canada 0 4 0 1 4 0 9
Travaux publics et Services gouvernementaux Canada 2 7 0 1 4 0 14
Gendarmerie royale du Canada 4 79 1 25 52 3 164
Solliciteur général du Canada 0 10 0 1 0 0 11
Statistique Canada 0 1 0 0 0 0 1
Transports Canada 2 2 0 0 0 1 5
Secrétariat du Conseil du Trésor du Canada 0 4 2 0 2 0 8
Anciens combattants Canada 0 1 0 0 2 0 3
Total 366 1 243 11 265 1 180 69 3 134

Examens et pratiques en matière de vie privée

Le Commissariat à la protection de la vie privée promeut la conformité avec les deux lois sur la protection de la vie privée du Canada en exécutant des vérifications de la protection de la vie privée et des examens de la conformité. Il représente une source d'expertise interne fournissant aide et conseils aux institutions des secteurs public et privé. Depuis l'adoption de la Politique d'évaluation des facteurs relatifs à la vie privée (ÉFVP) du Secrétariat du Conseil du Trésor en mai 2002, le Commissariat a assumé la responsabilité d'examiner et de commenter les ÉFVP préparées par les institutions fédérales.

Examens et vérifications aux termes de la Loi sur la protection des renseignements personnels

Au cours de la dernière année, le Commissariat a procédé à des examens prévus à l'article 37 des pratiques de traitement des renseignements personnels du Conseil canadien des relations industrielles (CCRI) et du Comité des griefs des Forces canadiennes (CGFC). Nous avons choisi ces deux institutions non pas parce que nous soupçonnions une non-conformité avec les pratiques acceptables de protection de la vie privée, mais plutôt parce qu'il s'agit de petites institutions qui, par le passé, n'ont pas été soumises au même degré d'examen que l'ont été les grandes institutions fédérales détenant d'importants fonds de renseignements personnels.

Les examens menés auprès du CCRI et du CGFC visaient à fournir des conseils et de l'éducation en matière de protection de la vie privée. Ces éléments revêtent une importance particulière dans les institutions de petite taille qui ont des ressources relativement restreintes à consacrer à la protection de la vie privée. Nous nous sommes penchés sur les pratiques entourant la collecte, l'utilisation, la communication, la protection, la conservation et le retrait des renseignements personnels qui s'appliquent aux documents sur support papier et sur support électronique. Nous avons en outre examiné les listes publiques des institutions dans Info Source, leurs activités de passation de marchés, la sensibilisation des employés à leurs droits et obligations aux termes de la Loi sur la protection des renseignements personnels, les ententes de télétravail, la surveillance en milieu de travail et les questions de sécurité liées à la transmission des renseignements par voie électronique.

Le Conseil canadien des relations industrielles
Le CCRI, un tribunal indépendant quasi-judiciaire, est chargé d'interpréter et d'administrer la partie I (Relations du travail) et certaines dispositions de la partie II (Santé et sécurité au travail) du Code canadien du travail. Le Conseil accrédite les syndicats, fait enquête sur les pratiques déloyales de travail, ordonne la cessation des grèves et des lockouts illégaux, tranche des questions relatives aux secteurs de compétence, traite des points complexes des fusions et des ventes de sociétés et offre des services de médiation et d'arbitrage aux fins du règlement des différends.

L'examen de la conformité a été mené dans des locaux de l'administration centrale du CCRI à Ottawa et dans les bureaux régionaux à Toronto et à Vancouver. Il est ressorti de l'examen que les pratiques de traitement des renseignements personnels du Conseil étaient en général conformes aux principes de pratiques équitables en matière de renseignements établis aux articles 4 à 8 de la Loi sur la protection des renseignements personnels. Toutefois, le Commissariat a décelé plusieurs secteurs exigeant des mesures correctrices, entre autres, la nécessité d'élaborer des politiques et des protocoles concernant la protection des dossiers opérationnels et des renseignements contenus dans les ordinateurs portables qui sont transportés hors des limites physiques du CCRI. En outre, il faudrait identifier les dossiers en fonction de leur cote de sécurité respective et veiller à retirer en bonne et due forme les dossiers en respectant les échéanciers de conservation et de retrait établis.

Le Comité des griefs des Forces canadiennes
Notre examen des opérations du Comité nous a permis de constater un niveau élevé de conformité avec la Loi sur la protection des renseignements personnels et ses principes de pratiques équitables en matière de renseignements. Toutefois, nous avons remarqué que certains des formulaires dont le Comité se sert pour recueillir des renseignements personnels devaient être améliorés afin de veiller à ce que les personnes soient informées de l'objet de la collecte. De plus, l'examen a révélé la nécessité d'établir une politique régissant l'utilisation des télécopieurs pour transmettre des renseignements personnels.

À la fin des examens, nous avons remis au CCRI et au CGFC des rapports contenant ces constatations. Nous venons de déposer nos rapports finaux et attendons les réponses de ces deux institutions aux recommandations qu'ils contiennent.

Enquête sur la lutte contre le terrorisme
Outre ces deux vérifications, le Commissariat a donné suite à l'engagement, dont il a été question dans le rapport annuel de l'an dernier, d'évaluer l'incidence des mesures antiterroristes prises au lendemain du 11 septembre 2001 sur le droit à la vie privée des Canadiens et des Canadiennes. Dans cette optique, nous avons mené des examens auprès de la Gendarmerie royale du Canada (GRC), du Service canadien du renseignement de sécurité (SCRS) et du Centre de la sécurité des télécommunications (CST).

Ces examens visaient les objectifs suivants : déterminer ce qui avait changé au chapitre des pouvoirs législatifs et des programmes opérationnels de la GRC, du CST et du SCRS à la suite de l'adoption des mesures antiterroristes par le gouvernement du Canada conformément à son plan de lutte contre le terrorisme, examiner les éventuelles nouvelles initiatives prévues ou mises en oeuvre par les organisations au lendemain du 11 septembre 2001 qui influeraient sur le droit à la vie privée de la population canadienne ainsi qu'évaluer le degré de conformité de la gestion des renseignements personnels en vertu des nouvelles initiatives avec les pratiques équitables en matière d'information établies dans la Loi sur la protection des renseignements personnels.

Examens du SCRS et du CST
Il convient de signaler que les examens menés auprès du SCRS et du CST n'incluaient pas la formulation de commentaires sur les grandes questions concernant la sécurité nationale et les activités de collecte de renseignements. Les examens ont plutôt porté sur l'évaluation de l'incidence des mesures antiterroristes sur les pratiques de traitement des renseignements personnels de ces institutions. Nos enquêtes ont démontré que les événements du 11 septembre 2001 n'ont pas entraîné de changements de fond de la gestion des renseignements personnels détenus par le SCRS et le CST. Notre examen de documents choisis et les réponses fournies par les fonctionnaires du SCRS et du CST qui ont été consultés n'ont fait ressortir aucune question ni aucune préoccupation d'importance se rapportant à la Loi sur la protection des renseignements personnels.

Examens de la GRC
L'examen de la conformité mené auprès de la GRC a porté sur trois initiatives principales : celle relative aux équipes intégrées de sécurité nationale (ÉISN), celle relative aux équipes intégrées de la police des frontières (ÉIPF) et celle relative à la création du Bureau de renseignement financier. Bien que notre examen ait permis de déceler un niveau élevé de conformité avec la Loi sur la protection des renseignements personnels, nous nous sommes inquiétés des ententes ou des accords régissant le partage des renseignements personnels entre la GRC et ses partenaires membres des ÉISN et des ÉIPF. Cette question continue de faire l'objet de discussions avec la GRC.

Circulation transfrontalière des renseignements personnels
Nombre de programmes et d'activités établis par des institutions et organismes du gouvernement fédéral prévoient la communication de renseignements personnels sur des citoyens et des résidants canadiens à des départements et organismes des États-Unis. Au cours de cet exercice, le Commissariat a terminé un examen des accords, des ententes et des protocoles d'entente conclus entre le Canada et les États-Unis qui prévoient des dispositions pour la communication de renseignements personnels. Nous avons constaté que nombre de ces ententes ne contenaient pas de dispositions satisfaisantes de protection des renseignements personnels.

La circulation transfrontalière des renseignements personnels comporte de sérieux risques en matière de protection de la vie privée qui ont trait aux différences entre les secteurs de compétence qui influent sur la protection des renseignements personnels, la sécurité des renseignements personnels en transit et le caractère satisfaisant des mécanismes juridiques régissant la gestion des renseignements communiqués. Les enjeux liés à la circulation transfrontalière des renseignements personnels figureront parmi les principaux secteurs des examens que le Commissariat mènera au cours du prochain exercice. C'est pourquoi nous entamons une vérification des activités de communication transfrontalière des renseignements de l'Agence des services frontaliers du Canada (ASFC).

Le Programme canadien de contrôle des armes à feu
Au cours de l'année, nous avons poursuivi notre examen minutieux du Programme canadien de contrôle des armes à feu, qui a fait l'objet d'un examen en 2001 par le Commissariat. Quelques-unes des recommandations que nous avons formulées en 2001 ont été mises en oeuvre. À titre d'exemple, la GRC a adopté nos recommandations de 2001 qui visent à limiter l'accès des préposés aux armes à feu au Système de récupération des renseignements judiciaires (SIRJ) et aux dossiers opérationnels. Nous avons également assuré le suivi de nombreuses questions laissées en suspens que nous avions mentionnées dans notre rapport complet sur les armes à feu de 2001, tels l'impartition, les accords internationaux sur le partage de renseignements et le recours à des questionnaires supplémentaires.

Notre examen du programme des armes à feu a été rendu plus complexe en raison, notamment, du fait que le programme en soi est une véritable cible en mouvement étant donné les changements constants dont il a fait l'objet sur le plan de la législation, des politiques, de l'administration et de la technologie de l'information (TI). Cette dernière année, par exemple, la vérificatrice générale a déposé son rapport sur l'optimisation des ressources du programme dans lequel elle recommandait que des changements lui soient apportés. La responsabilité du programme est passée du ministre de la Justice au Solliciteur général (ministère qui est devenu Sécurité publique et Protection civile Canada — SPPCC), un nouveau poste de commissaire aux armes à feu a été créé, le Parlement a adopté le projet de loi C-10 et, en janvier 2004, on a confié à la ministre Guarnieri le mandat d'examiner en profondeur le programme.

Ces changements permanents ont touché certaines des observations et constatations contenues dans notre rapport de 2001 ainsi que celles de notre plus récent examen. Cela dit, compte tenu de l'état actuel de la situation, nous avons fait progresser passablement le dossier du règlement des questions laissées en suspens par le Centre canadien des armes à feu. Nous signalerons les éventuels progrès dans le rapport annuel de l'an prochain.

Autres activités de conformité

Outre les vérifications de la conformité, le Commissariat examine les présentations d'organisations du secteur public fédéral et du secteur privé et offre des conseils sur un vaste éventail de questions en matière de conformité. Certaines de ces activités d'examen de la conformité sont prévues par la Loi sur la protection des renseignements personnels et la LPRPDE, tandis que d'autres sont visées par des politiques du gouvernement fédéral. D'autres activités d'examen ont découlé d'accords institutionnels comportant la consultation volontaire du Commissariat au sujet de questions liées à la protection de la vie privée. Tel est notamment le cas du Comité du protocole de gouvernance des banques de données de Ressources humaines et Développement des compétences Canada (RHDCC) — anciennement Développement des ressources humaines Canada (DRHC).

Examen de la banque de données de RHDCC
Comme nous l'avons décrit dans nos rapports antérieurs, RHDCC a établi un processus d'examen pour traiter des activités d'analyse, de recherche et d'évaluation des politiques qui comportent la connexion de banques de données distinctes. Une partie de ce processus comprend une consultation avec le Commissariat. Au cours de la dernière année, le Commissariat a analysé et commenté 20 présentations de RHDCC, dont l'évaluation du programme d'assurance-emploi depuis les réformes de 1996, le succès connu par diverses ententes sur le développement du marché du travail et des études portant sur le Programme canadien des prêts aux étudiants. Depuis plusieurs années, nous avons été témoins d'une amélioration marquée du caractère exhaustif et de la qualité des présentations que nous avons reçues. Cela témoigne de l'importance que RHDCC accorde à ses activités de connexion des données et de son dévouement afin de faire en sorte que cette connexion s'effectue en conformité des principes de pratiques exemplaires en matière de protection de la vie privée.

Politique de couplage des données
Conformément à la Politique sur le couplage des données du Secrétariat du Conseil du Trésor, il incombe aux ministères et organismes fédéraux d'informer le Commissariat de toute proposition de couplage des données. Cet avis a pour objet de donner au Commissariat la possibilité d'examiner et de commenter la proposition pour veiller à ce que le couplage des données soit conforme aux exigences de la Politique. Au cours du dernier exercice, le Commissariat a reçu 10 présentations relatives au couplage des données. Ces présentations étaient conformes aux exigences minimales de la Politique, mais nous avons dû rappeler aux ministères qu'ils avaient le devoir d'informer le public lorsqu'ils couplaient les renseignements personnels les concernant à d'autres fonds de renseignements détenus par le gouvernement. Dans la plupart des cas, un tel avis ne porte pas préjudice à l'utilisation des renseignements.

Communication à une tierce personne de renseignements personnels
Conformément aux alinéas 7(2)c) et 7(3)f) de la LPRPDE, les organisations du secteur privé sont tenues d'informer le Commissariat lorsque des renseignements personnels sont communiqués à une tierce personne sans le consentement de l'intéressé « à des fins statistiques ou à des fins d'étude ou de recherche érudites ».

Notre rôle consiste à fournir des services consultatifs à nombre de ministères fédéraux et à servir de ressource aux organisations du secteur privé à la recherche de renseignements sur l'application des principes des pratiques exemplaires de la protection de la vie privée à leurs activités commerciales respectives.

Dans leurs présentations, les organisations doivent montrer que : 1) les renseignements dont la communication est envisagée serviront uniquement « à des fins statistiques ou à des fins d'étude ou de recherche érudites », 2) l'objet de la communication ne peut être atteint sans que les renseignements ne soient fournis sur un support identifiable, 3) le « consentement est pratiquement impossible à obtenir » et 4) l'organisation qui communique les renseignements a pris les mesures nécessaires pour veiller à ce que les renseignements soient utilisés d'une manière qui en assure le caractère confidentiel.

Au cours du dernier exercice, le Commissariat a reçu quatre avis conformément à l'alinéa 7(3)f) de la LPRPDE, dont la plupart portent sur l'utilisation et la communication de renseignements médicaux à des fins de recherche en santé. Le caractère complet et la qualité de ces présentations variaient. Même si notre échantillon est très petit, il est évident que les organisations ne connaissent pas bien leurs obligations aux termes de l'alinéa 7(3)f) de la LPRPDE. La question de savoir quand « le consentement est pratiquement impossible à obtenir » et les circonstances entourant cette situation posent particulièrement problème. Lors du prochain exercice, le Commissariat consacrera des ressources à l'élaboration d'un guide qui aidera les organisations à comprendre leurs obligations prévues à l'article 7 de la Loi et à préparer leurs présentations au Commissariat à la protection de la vie privée.

Autres consultations et services consultatifs
La Direction des examens et des pratiques en matière de vie privée fournit également au besoin des conseils, commentaires et recommandations à caractère moins officiel à de nombreux ministères fédéraux dont le Conseil du Trésor du Canada, Statistique Canada, Santé Canada, Ressources humaines et Développement des compétences Canada, Affaires indiennes et du Nord Canada, l'Agence du revenu du Canada et l'Agence des services frontaliers du Canada.

Les consultations ont porté sur un vaste éventail de sujets, notamment :

  • un guide de vérification des évaluations des facteurs relatifs à la vie privée;
  • des politiques d'appariement des données;
  • des politiques d'utilisation du numéro d'assurance sociale (NAS);
  • des pratiques exemplaires en matière de vie privée à l'intention des ministères;
  • la réforme des lois et des politiques;
  • les risques sur la protection des renseignements suscités par des programmes et initiatives particuliers.

La Direction des examens et des pratiques en matière de vie privée aide aussi les organisations du secteur privé à évaluer les risques pouvant compromettre le respect de la vie privée, à inculquer des pratiques exemplaires et à élaborer des politiques convenables en matière de protection de la vie privée.

Évaluations des facteurs relatifs à la vie privée

La Politique d'évaluation des facteurs relatifs à la vie privée (ÉFVP) du Secrétariat du Conseil du Trésor du Canada est en vigueur depuis mai 2002. Lorsqu'elle a été instaurée, les membres de la collectivité des professionnels de la protection de la vie privée l'ont accueillie avec enthousiasme, et ce, avec raison. Pour la première fois, les ministères et organismes fédéraux étaient dotés d'un outil leur permettant de prévoir l'incidence sur la vie privée d'une initiative donnée, d'évaluer et de pondérer cette incidence avec uniformité et de concevoir des stratégies d'atténuation de cette incidence ou de ces risques. En exigeant que les principes en matière de protection de la vie privée soient pris en compte aux étapes de la planification, de la conception et de la mise en oeuvre, la Politique permet de donner corps à ces principes et de les officialiser.

La Politique est la première du genre à rendre les ÉFVP obligatoires pour l'ensemble des nouveaux programmes et services du gouvernement fédéral qui pourraient soulever des enjeux en matière de protection de la vie privée. Elle exige des ministères et organismes fédéraux qu'ils informent le commissaire à la protection de la vie privée lorsqu'ils effectuent une ÉFVP, ce qui donne au CPVP l'occasion d'examiner et de commenter ce projet. Cela fournit une assurance accrue que les risques liés à une initiative donnée ont été dûment identifiés et que les mesures proposées pour atténuer ces risques sont raisonnables et appropriées.

Point de vue du CPVP sur les ÉFVP

Depuis l'entrée en vigueur de la Politique en mai 2002, plus de 100 rapports d'ÉFVP et d'évaluations préliminaires des facteurs relatifs à la vie privée (ÉPFVP) ont été soumis au CPVP à des fins d'examen. Le caractère complet et la qualité de nombre des ÉFVP et ÉPFVP (évaluations) présentées la première année étaient très variés, ce qui est habituel lorsqu'une nouvelle directive stratégique est adoptée. Le Rapport annuel du commissaire pour l'exercice 2002-2003 contient la liste des erreurs et omissions communes que nous avons remarquées lors de ces premières présentations.

Nous avons cependant constaté des améliorations marquées du caractère complet et de la qualité des ÉFVP et ÉPFVP que nous avons reçues au cours du dernier exercice. Nous estimons que ces améliorations témoignent des enseignements que les ministères tirent de leurs consultations avec le Commissariat. Elles peuvent également être attribuées aux efforts déployés par le Secrétariat du Conseil du Trésor pour informer les ministères sur les exigences et les méthodologies préconisées par la Politique. L'« outil d'apprentissage en ligne pour l'ÉFVP » du Conseil du Trésor, disponible en direct depuis l'automne 2003, constitue une ressource précieuse à ce chapitre. Nous recommandons à quiconque veut en savoir davantage sur le processus de l'ÉFVP de consulter le site Web du Conseil du Trésor à l'adresse www.tbs-sct.gc.ca.

Perspectives d'avenir

Bien que nous applaudissions à l'amélioration générale des présentations des ÉFVP et des ÉPFVP que nous avons reçues, nous continuons de nous inquiéter d'une omission fréquente. En effet, nombre d'ÉFVP ne contiennent pas de plan d'action permettant de réduire les risques pouvant compromettre le droit à la vie privée. Le Commissariat collaborera avec les ministères et organismes pour les encourager à inclure de tels plans d'action dans toutes les ÉFVP et pour aider les ministères à déterminer les prochaines mesures qui s'imposent.

Toutefois, tout semble montrer que la Politique atteint son but principal, à savoir de sensibiliser davantage des fonctionnaires de tous les niveaux hiérarchiques à l'importance de la protection de la vie privée dans l'exercice de leurs fonctions administratives quotidiennes. Les ministères ne peuvent plus créer de nouvelles bases de données, lier des fonds de renseignements, conclure des ententes de partage des renseignements avec d'autres ministères ou lancer de nouveaux programmes ou services sans avoir pris en compte leur éventuelle incidence sur la vie privée.

À l'instar des ministères qui ont dû jongler avec des ressources restreintes pour se conformer aux exigences de la Politique, le CPVP a été tenu d'attribuer suffisamment de moyens pour bien s'acquitter du rôle de consultation que lui confère la Politique et ce, sans avoir reçu de ressources supplémentaires.

 

Erratum
La version anglaise du rapport annuel contient une production en double d'un paragraphe dans la section des Évaluations des facteurs relatifs à la vie privée, concernant la réduction des effectifs du CPVP pour effectuer des évaluations des facteurs relatifs à la vie privée (ÉFVP) et des évaluations préliminaires des facteurs relatifs à la vie privée (ÉPFVP).

La réduction des effectifs du CPVP pouvant être affectés à l'examen des ÉFVP et ÉPFVP, jumelée à une hausse du volume des présentations au cours du dernier exercice, a entraîné des retards dans la transmission de commentaires aux ministères. Le CPVP est résolu à combler cet écart au chapitre des ressources et croit bien qu'il arrivera à trouver une solution à ce problème.

Nous sommes d'avis qu'aucune autre initiative gouvernementale depuis la promulgation de la Loi sur la protection des renseignements personnels en soi n'a contribué autant à favoriser une culture respectueuse de la vie privée dans la fonction publique fédérale.

Il n'en demeure pas moins que le Commissariat estime qu'il a dû relever un défi de taille en s'acquittant de son rôle de conseiller prévu par la Politique de l'évaluation des facteurs relatifs à la vie privée sans pour autant recevoir de ressources supplémentaires. En raison du manque de ressources humaines et financières à cette fin et de l'importante augmentation du volume des présentations au cours de cet exercice, de malencontreux retards ont été signalés dans l'émission des commentaires dont les ministères ont besoin. Le CPVP s'affairera à trouver une solution à ce déficit au chapitre des ressources de manière à éviter d'autres retards, à rattraper l'arriéré actuel et à fournir aux ministères un soutien adéquat aux fins de l'application de la Politique d'évaluation des risques relatifs à la vie privée du SCT.

Devant les tribunaux

Aux termes de l'article 41 de la Loi sur la protection des renseignements personnels, une personne est autorisée, à l'issue d'une enquête par le commissaire à la protection de la vie privée, à déposer auprès de la Cour fédérale du Canada un recours en révision d'une décision d'une institution fédérale qui lui a refusé l'accès à ses renseignements personnels. Depuis l'entrée en vigueur de la Loi sur la protection des renseignements personnels en 1983 jusqu'au 31 mars  2004, environ 141 recours en révision ont été déposés devant la Cour fédérale. De ce nombre, 11 ont été déposés au cours de l'exercice qui a pris fin le 31 mars 2004.

L'article 42 de la Loi sur la protection des renseignements personnels autorise le commissaire à comparaître devant la Cour fédérale. Le commissaire peut exercer lui-même un recours en révision de la décision d'une institution fédérale qui a refusé l'accès à des renseignements personnels, dans la mesure où il obtient le consentement de la personne qui a demandé les renseignements. Il peut également comparaître devant la Cour au nom d'une personne qui a exercé le recours devant elle en vertu de l'article 41 ou comparaître, avec l'autorisation de la Cour, comme partie à une instance engagée en vertu de l'article 41.

À de nombreuses reprises, le commissaire est intervenu dans d'autres litiges ne visant pas la Loi sur la protection des renseignements personnels à l'égard desquels des interprétations de la Loi ont été présentées.

Dans le rapport annuel de l'an dernier, nous avons signalé la conclusion d'un certain nombre d'affaires auxquelles le commissaire a participé activement. Au cours du dernier exercice, aucun litige important concernant l'interprétation de la Loi sur la protection des renseignements personnels n'a exigé l'intervention du CPVP.


Deuxième partie - Rapport concernant la Loi sur la protection des renseignements personnels et les documents électroniques

Introduction

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit les règles de base sur la façon dont les organisations du secteur privé peuvent recueillir, utiliser et communiquer les renseignements personnels dans le cadre de leurs activités commerciales.

Depuis son entrée en vigueur le 1er janvier 2001, la Loi s'est principalement appliquée aux activités commerciales de ce qu'on appelle les installations, les ouvrages, les entreprises ou les secteurs d'activité fédéraux, tels que les entreprises de transport et de télécommunications, les banques et les radiodiffuseurs. Elle s'applique également aux renseignements personnels des employés de ces entreprises, ainsi qu'à la vente, à la location ou au troc de renseignements personnels au-delà des frontières provinciales ou nationales par des organisations sous réglementation provinciale.

Depuis le 1er janvier 2002, les renseignements personnels sur la santé recueillis, utilisés ou communiqués par ces organisations sont aussi assujettis à la Loi.

Depuis le 1er janvier 2004, la LPRPDE porte sur la collecte, l'utilisation ou la communication de renseignements personnels dans le cadre de toutes les activités commerciales au Canada, sauf dans le cas de la collecte, de l'utilisation et de la communication de renseignements personnels à l'intérieur des provinces ayant adopté des lois essentiellement similaires.

La LPRPDE s'applique également à la collecte, à l'utilisation et à la communication des renseignements transfrontaliers ainsi qu'aux installations, ouvrages, entreprises ou secteurs d'activité fédéraux.

Enquêtes et demandes de renseignements

Le Commissariat a reçu 302 plaintes en vertu de la LPRPDE entre le 1er janvier et le 31 décembre 2003, soit à peu près le même nombre qu'en 2002. Comme par le passé, les plaintes ont été déposées contre toute une gamme d'organisations et ont porté sur des allégations d'atteinte aux droits à la vie privée. De nouveau, le plus grand nombre de plaintes (42 %) a visé des organisations du secteur bancaire. Le pourcentage de plaintes à l'encontre d'organisations du secteur des télécommunications et de la radiodiffusion s'est établi à 26 %, tandis que celui des plaintes contre les sociétés de transport a enregistré une légère hausse, pour passer à 19 %. Les plaintes contre les agences d'évaluation du crédit ont compté pour 4 % du total, le solde (9 %) faisant intervenir des programmes de récompenses, des fournisseurs de service Internet et des conseils de bandes autochtones.

Le nombre de cas clos en 2003 est passé à 278, soit une hausse de 58 % par rapport à l'an dernier. Les conclusions suivantes ont été rendues :

Non fondées 115 (41 %)
Fondées 97 (35%)
Résolues 14 (5%)
Résolues en cours d'enquête 4 (2%)
Hors du secteur de compétence 5 (2%)
Abandonnées 43 (15%)

Définitions des conclusions en vertu de la LPRPDE

Non fondée : l'enquête n'a pas permis de déceler des éléments de preuves qui suffisent à conclure qu'une organisation a enfreint les droits du plaignant en vertu de la LPRPDE.

Fondée : l'organisation n'a pas respecté une disposition de la LPRPDE.

Résolue : l'enquête a corroboré les allégations, mais l'organisation a pris les mesures nécessaires pour remédier à la situation, à la satisfaction du Commissariat, ou s'est engagée à prendre ces mesures correctives.

Résolue au cours de l'enquête : le Commissariat a aidé à négocier une solution qui satisfait toutes les parties en cause au cours de l'enquête. Aucune conclusion n'a été rendue.

Abandonnée : l'enquête s'est terminée avant que toutes les allégations soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons, par exemple, le plaignant peut ne plus vouloir donner suite à l'affaire ou il est impossible de lui demander de fournir des renseignements supplémentaires, lesquels sont essentiels pour arriver à une conclusion.

Hors du secteur de compétence : l'enquête a montré que la LPRPDE ne s'applique pas à l'organisation ou à l'activité faisant l'objet de la plainte.

Résolue hâtivement : le Commissariat a commencé à utiliser cette nouvelle disposition en 2004 pour traiter des situations où l'affaire est résolue avant même qu'une enquête officielle ne soit entamée. À titre d'exemple, si le sujet de la plainte déposée par une personne a déjà fait l'objet d'une enquête par le Commissariat et a été jugé conforme à la LPRPDE, nous lui expliquerions la situation. Cette conclusion est également utilisée lorsqu'une organisation, mise au courant des allégations, règle immédiatement la question à la satisfaction du plaignant et du Commissariat.

Cas choisis en vertu de la LPRPDE

PROTECTION DES RENSEIGNEMENTS PERSONNELS
Déprime nuptiale

Aperçu

Elle croyait tout simplement se rendre utile. C'est sans aucun doute ce qu'une employée de banque a pensé lorsqu'elle a remis à la fiancée d'un client une copie de la demande de prêt étudiant de ce dernier, laquelle renfermait de l'information de l'année précédente concernant ses emprunts et sa carte de crédit. Elle croyait que ces renseignements aideraient son client à remplir le formulaire pour le nouveau trimestre scolaire et qu'il n'y avait rien de mal à laisser son dossier sur son bureau, à la vue de la fiancée, lorsqu'elle est allée chercher un autre document.

Ce ne fut pas le cas. La jeune femme savait que son ami avait un prêt étudiant mais elle ne connaissait le montant intégral de la dette jusqu'à ce qu'elle voit le dossier. Elle a alors annulé le mariage.

L'employée a reconnu son erreur. Elle croyait que la fiancée faisait office d'agent de son client parce que la jeune femme, qui s'était rendue à la banque pour y remettre des documents en son nom, avait formulé un commentaire à l'effet qu'elle faisait office d'« intermédiaire ». L'employée a fait savoir qu'à l'avenir, elle s'assurerait d'avoir en main un document signé attestant qu'une personne agit au nom d'une autre personne avant de discuter des renseignements personnels de quiconque.

Mesures prises par le CPVP

Nous avons signalé qu'il est contraire à la politique de la banque qu'une personne se présente comme « l'intermédiaire » d'une tierce personne sans l'autorisation écrite de cette dernière. En raison de l'absence de document attestant l'autorisation de l'étudiant de communiquer les renseignements, nous étions d'avis que la banque ne s'était pas conformée à l'exigence d'obtenir le consentement prévue par la Loi et conclu que la plainte était fondée.

Bien qu'il soit isolé, cet incident constitue un exemple des graves conséquences que la communication de renseignements personnels peut avoir pour les gens, qu'elle soit fortuite ou faite avec les meilleures intentions du monde.

Beaucoup plus que des fruits et des légumes

Aperçu

Une cliente voulait faire quelques transactions dans une succursale bancaire située dans un supermarché. Pendant qu'elle attendait, elle a aperçu un ordinateur dans une aire ouverte. Voyant que l'écran était allumé et pensant que l'appareil visait à fournir au public des renseignements bancaires de nature générale, elle a tapé son nom et son adresse, tel que demandé. L'ordinateur a ainsi affiché un écran de renseignements relatifs à ses comptes à la banque, y compris ses numéros de carte de crédit, ses limites de crédit et ses soldes. L'ordinateur ne lui avait pas demandé de mot de passe ni de code d'usager.

Plus tard, lorsqu'elle était en compagnie d'un employé de la banque, elle a pu le voir entrer son mot de passe, qui, prétend-elle, était affiché en toutes lettres sur l'écran lorsqu'il a ouvert une session sur un autre ordinateur. (Elle affirme que l'écran était placé de manière à ce qu'elle puisse le voir.) Inquiète du manque patent de mesures de protection prises par la banque, elle a soumis le cas à notre attention.

La succursale en question dispose d'un guichet automatique à l'usage du public, un bureau fermé muni d'un terminal d'ordinateur réservé à l'usage des employés, ainsi qu'un autre terminal d'ordinateur installé dans une aire ouverte mais également réservé à l'usage des employés et ce, bien qu'il n'y ait eu aucun avis à cet effet. Deux employés travaillaient à la succursale ce jour-là, mais l'un n'était pas à son poste au moment de l'incident et l'autre s'occupait d'un client dans le bureau fermé.

La banque a qualifié l'incident de simple erreur humaine. Le dernier employé à avoir utilisé l'ordinateur installé dans l'aire ouverte avait omis de clore la session avant de laisser l'appareil sans surveillance, ce qui constitue une infraction à la politique et aux procédures de la banque en matière de sécurité.

Pour donner suite à la plainte, la banque a pris deux mesures correctives. D'abord, elle a fait parvenir un avis aux employés de succursales établies en magasin, affiché un message sur son site Intranet et ajouté quelques lignes directrices officielles dans les manuels de formation à l'intention des nouveaux employés. Ensuite, elle a installé un nouveau système informatique avec fonction de sécurité intégrée, c'est-à-dire un écran de veille protégé par mot de passe et qui s'active automatiquement si le clavier reste inactif pendant 15 minutes.

Pour ce qui est de l'allégation de la plaignante qu'elle avait pu reconnaître des caractères en clair dans le mot de passe de l'employé, la banque a indiqué que, avec le système informatique en usage au moment de l'incident, les mots de passe apparaissaient sous la forme de symboles, et non pas de caractères en clair. La banque a émis l'hypothèse que la plaignante avait soit pris le code d'usager de l'employé ou d'autres données servant à l'ouverture de session pour le mot de passe de celui-ci, ou encore avait reconnu des caractères en clair à partir du clavier au lieu de l'écran de l'ordinateur.

La plaignante a pour sa part soutenu que, peu importe comment les caractères ont été aperçus, les employés de la banque qui procèdent à une ouverture de session ne devraient pas laisser les clients voir l'écran ou le clavier d'ordinateur.

Mesures prises par le CPVP

Nous estimons que la plainte est fondée. Nous avons signalé que, avec sa pratique qui consistait à installer dans les aires ouvertes de ses succursales établies en magasin des ordinateurs souvent laissés sans surveillance, la banque avait pris un risque considérable d'accès non autorisé aux renseignements personnels de nature délicate des clients. À la question de savoir si la banque avait instauré des mesures de sécurité appropriées pour limiter ce risque et protéger les renseignements en question, nous avons déterminé ce qui suit :

  • Au moment de l'incident, la première mesure de sécurité à laquelle la banque s'était fiée pour protéger les renseignements sensibles relatifs aux comptes de la plaignante était une directive énoncée dans un manuel de sécurité, enjoignant les employés de fermer l'ordinateur lorsqu'ils s'apprêtent à laisser l'appareil sans surveillance.
  • Le simple fait qu'un employé de la banque ait négligé de suivre cette directive a, de fait, eu pour conséquence un accès non autorisé, par la plaignante, à des renseignements personnels sensibles.
  • Bien qu'aucune communication inappropriée à un tiers n'ait eu lieu, le fait que l'employé ait négligé de suivre la directive a aussi donné lieu à un risque important d'une telle communication.

Dans les circonstances, les mesures de sécurité auxquelles se fiait la banque n'étaient ni efficaces ni appropriées. Nous estimons donc que la banque n'a pas respecté l'exigence prévue par la LPRPDE de fournir des mesures de protection appropriées.

Pour ce qui est des mesures correctives prises par la banque, nous estimons que, même si la fermeture automatique de l'écran de l'ordinateur représente sans nulle doute une amélioration, elle n'en empêche pas l'accès pendant un laps de temps de 15 minutes et, par conséquent, ne peut pas être considérée comme une mesure de sécurité adéquate. Ce qui s'imposait était une mesure de sécurité protégeant les renseignements personnels sensibles en tout temps.

Quant à la seconde mesure corrective, nous constatons que, même si l'employé absent lors de l'incident connaissait la règle, il a omis de s'y conformer. En tenant compte du facteur humain, nous ne sommes pas convaincus qu'une directive plus ferme enjoignant les employés de clore la session serait susceptible d'être, de quelque façon, plus efficace que la première. Nous craignons même que le fait de se fier à une fonction de fermeture automatique après 15 minutes d'attente amènerait les employés à s'en contenter et qu'ils seraient moins portés à clore la session manuellement.

Nous estimons que les ordinateurs installés dans des aires ouvertes au public demeurent un risque inacceptable d'accès non autorisé à des renseignements personnels.

Nous recommandons que la banque :

  • revoie ses politiques et mesures de sécurité en matière d'information applicables à ses succursales établies en magasin et prenne les mesures appropriées pour s'assurer que l'accès à tout ordinateur grâce auquel on peut obtenir des renseignements personnels sur des clients soit restreint au personnel autorisé de la banque;
  • prenne les mesures appropriées pour s'assurer que les clients ne puissent pas voir les mots de passe ou autres données d'identification utilisés par les employés pour l'ouverture d'une session.

Le Commissariat assure actuellement le suivi auprès de l'organisation pour s'assurer que les recommandations ont été mises en oeuvre.

Perdu et retrouvé

Aperçu

Un employé d'une entreprise s'est plaint auprès du Commissariat qu'un collègue de travail a trouvé une lettre le concernant dans un cartable de référence. Ce cartable était réservé aux employés et accessible à quiconque se trouvait sur le lieu de travail. La lettre résumait une réunion qui avait eu lieu quelque six ans auparavant entre le plaignant et ses supérieurs et où il était question des problèmes qu'il éprouvait au travail. La lettre recommandait une nouvelle affectation ainsi que certaines mesures qui aideraient le plaignant à surmonter nombre de problèmes personnels qu'il vivait à cette époque. Deux lettres se rapportant à deux autres employés ont également été trouvées au même endroit. Ces documents portaient sur des difficultés personnelles que ceux-ci éprouvaient au travail.

L'entreprise n'a pas été en mesure d'expliquer comment ces lettres ont abouti dans un cartable de référence et a suggéré que le cartable avait pu être mal rangé ou déplacé, puis rouvert plusieurs années plus tard. Nous avons constaté que le traitement que l'entreprise réserve aux documents contenant des renseignements personnels avait changé du tout au tout au cours des dernières années.

Mesures prises par le CPVP

À notre avis, des renseignements personnels d'une si grande sensibilité qui portent sur les problèmes personnels d'un employé requièrent une protection toute particulière. Bien que l'enquête n'ait pu établir comment ces lettres ont abouti dans le cartable, nous avons déterminé qu'il existait des lacunes au chapitre des mesures de sécurité prises par l'entreprise pour protéger les renseignements personnels des employés. Nous avons également remarqué que la période de conservation de ces documents était beaucoup plus longue que celle nécessaire pour répondre aux fins indiquées par l'entreprise.

Même si nous avons établi que la plainte était fondée, nous avons salué l'initiative de l'entreprise d'avoir envoyé une lettre d'excuse au plaignant pendant l'enquête.

INDIQUER L'OBJET DE LA COLLECTE DES RENSEIGNEMENTS PERSONNELS
Les bagages que nous emportons

Aperçu

Elle voulait tout simplement que l'on retrouve ses bagages. Elle ne s'attendait sûrement pas à ce que, pour ce faire, le transporteur aérien fautif lui demande d'indiquer son NAS, sa date de naissance et sa profession sur le formulaire de réclamation pour bagages perdus.

Même si elle était réticente à fournir ces renseignements, la plaignante a fini par remettre le formulaire de réclamation pour bagages perdus dûment rempli afin que le transporteur aérien puisse traiter sa demande. Aucun des renseignements personnels demandés n'était indiqué comme facultatif. Le formulaire précisait deux motifs de collecte des renseignements : servir à la recherche des bagages et servir de fondement à une demande d'indemnité.

Mesures prises par le CPVP

Le formulaire ne précisait pas, mais notre enquête l'a révélé, que les renseignements personnels recueillis seraient intégrés dans un système de recherche dont se servent des entreprises de transport aérien partout dans le monde et qu'ils seraient par conséquent accessibles à des tiers. Il ne précisait pas non plus que l'expression « aux fins d'une demande d'indemnité » ne signifiait pas seulement traiter la demande, mais aussi faire enquête sur la crédibilité de la plaignante.

Le Commissariat a appris que le système de recherche comprend un module d'enquête à l'aide duquel, à la suite d'une recherche infructueuse de bagages perdus, le transporteur aérien peut contrôler par recoupement toute réclamation antérieure ou toute information suspecte pouvant indiquer une intention malhonnête de la part d'un demandeur. Le transporteur aérien a reconnu que la plupart des renseignements recueillis au moyen de son formulaire servaient autant à vérifier les réclamations qu'à tenter de retrouver les bagages. Il a insisté sur le fait que les renseignements demandés n'étaient pas tous obligatoires, que les demandeurs étaient libres de refuser de fournir un renseignement s'ils n'étaient pas à l'aise de le faire. Cependant, il n'était écrit nulle part sur le formulaire que certains des renseignements demandés étaient facultatifs; en outre, il semble que le transporteur aérien n'avait pas comme pratique d'en informer les demandeurs.

En discutant avec le transporteur aérien, le Commissariat est arrivé aux conclusions suivantes :

  • il n'est pas approprié qu'une entreprise demande le NAS d'un client pour des fins d'identification;
  • il n'est pas approprié de demander la profession d'une personne pour traiter une réclamation, pas plus que le « nom de l'entreprise »;
  • la date de naissance et plusieurs autres renseignements demandés sur le formulaire devraient être indiqués comme facultatifs;
  • l'objet de la demande de renseignements mentionné sur le formulaire devrait être révisé pour préciser que les renseignements personnels recueillis seront entrés dans un système de recherche accessible à d'autres utilisateurs et pour indiquer clairement que les renseignements sont également recueillis à des fins de vérification de réclamation.

Même si le transporteur aérien a accepté de réviser le formulaire de la manière proposée, de ne plus demander le NAS et d'indiquer que la date de naissance, le numéro du passeport et le nom apparaissant sur le passeport sont facultatifs, il n'était pas enclin à faire d'autres concessions.

Dans nos conclusions, nous avons déterminé que le transporteur aérien n'avait pas énoncé les fins pour lesquelles il recueillait des renseignements personnels de façon que la plaignante puisse raisonnablement comprendre de quelle manière les renseignements allaient être utilisés ou communiqués. À notre avis, le transporteur aérien aurait dû indiquer clairement qu'à des fins de recherche des bagages, il devrait entrer les renseignements personnels dans un système de recherche, ce qui créerait un risque de communication aux autres utilisateurs du système. Nous avons indiqué que le transporteur aérien aurait également dû expliciter que « aux fins de la demande » signifie vérifier la réclamation et y donner suite. La formulation vague des « fins » ne constituait pas, en soi, un effort raisonnable de la part de l'entreprise pour aviser la plaignante des fins auxquelles ses renseignements personnels allaient servir ou être communiqués.

En ce qui concerne l'agente au comptoir qui a recueilli les renseignements personnels de la plaignante, nous avons déterminé qu'elle n'avait fait aucun effort pour lui expliquer comment on allait utiliser ces renseignements. Bien que l'agente ait très bien pu avoir présumé que la plaignante comprenait que les renseignements allaient servir à rechercher ses bagages, nous estimons qu'elle aurait au moins dû l'informer de la manière dont les renseignements seraient inscrits et dont les recherches s'effectueraient, à savoir au moyen d'un système mondial de recherche.

Faisant remarquer que, pour consentir à quelque chose, une personne doit d'abord en être informée, nous avons indiqué qu'il aurait d'abord fallu que le transporteur aérien informe la plaignante des fins spécifiques de la collecte de renseignements personnels. Le transporteur ayant omis de le faire, il n'avait pas de raison valable pour conclure qu'elle y consentait.

Enfin, pour ce qui est du fait que le transporteur ait insisté pour que la plaignante remplisse en entier le formulaire à titre de condition du traitement de sa réclamation pour bagages perdus, nous avons constaté que les fins auxquelles les renseignements personnels étaient recueillis n'avaient pas été correctement indiquées, comme l'exige la LPRPDE. Nous avons également déterminé que la collecte du NAS, de la date de naissance, de la profession et du nom de l'entreprise n'était pas nécessaire et nous sommes convaincus qu'une personne raisonnable n'estimerait pas acceptable que l'on recueille ces renseignements personnels dans ces circonstances.

Nous avons donc conclu que la plainte était fondée et recommandé que le transporteur aérien : 

  • apporte les changements convenus précédemment;
  • désigne l'« adresse d'affaires », le « numéro de téléphone au travail », l'« adresse électronique » et le « numéro d'identification de grand voyageur » comme facultatifs;
  • retire la « profession » et le « nom de l'entreprise » du formulaire;
  • regroupe tous les renseignements facultatifs dans une même section du formulaire pour que les passagers puissent choisir de remplir ou non la section, ou de la remplir en partie seulement;
  • spécifie que l'« adresse précédente » et le « numéro de téléphone précédent » sont demandés uniquement à des fins de vérification de réclamation;
  • donne les instructions suivantes à ses agents des réclamations : dès qu'un passager déclare une perte de bagages, lui expliquer quelle utilisation sera faite des renseignements personnels et préciser que les renseignements seront entrés dans un système de recherche, devenant ainsi accessibles aux autres utilisateurs du système; limiter la demande initiale aux renseignements justifiables aux strictes fins du but premier de la collecte — c'est-à-dire rechercher les bagages perdus.

Le Commissariat assure actuellement le suivi auprès de l'organisation pour s'assurer que les recommandations ont été mises en oeuvre.

UTILISATION NON AUTORISÉE DE RENSEIGNEMENTS PERSONNELS
La charrue avant les boeufs

Aperçu

Le Commissariat a appris que la directrice d'une succursale bancaire avait demandé à ses employés d'effectuer des vérifications du crédit des clients d'une banque, à leur insu et sans leur consentement, afin de prédéterminer lesquels seraient admissibles à une autorisation de découvert. Ils prévenaient ensuite les clients que le service avait été préautorisé et, s'ils l'acceptaient, on leur demanderait de signer une autorisation de vérification de la solvabilité, déjà effectuée.

Avant que nous prenions connaissance de cette pratique, la banque avait déjà entamé des mesures correctives. Lors d'une vérification de routine effectuée par la banque afin d'assurer la conformité à ses politiques, on a constaté qu'il y avait eu un manquement à la politique de la part de la succursale. La politique écrite de la banque stipule que les employés doivent obtenir le consentement du client avant de procéder à une vérification du crédit lorsque celui-ci présente une demande d'autorisation de découvert. La directrice de la succursale en a été informée et a immédiatement rectifié la situation.

La banque a convenu que la directrice avait mal interprété la formulation du consentement pour les comptes et cru par erreur que le consentement relatif à la mise à jour du crédit pouvait justifier une présélection en vue du service d'autorisation de découvert.

Résultat

Puisqu'il est indéniable que la directrice de la succursale en question a autorisé la collecte et l'utilisation des renseignements personnels des clients à leur insu et sans leur consentement, nous avons conclu que la banque avait contrevenu à l'exigence relative au consentement prévue à la LPRPDE. Toutefois, comme la banque a instauré une politique satisfaisante et décelé et corrigé le manquement à la politique avant même que le Commissariat ne soit saisi de l'affaire, nous avons conclu que la plainte était résolue.

OBTENIR LE CONSENTEMENT
L'ex-femme, son avocat, la fille et l'agent de recouvrement

Aperçu

Une personne s'est plainte qu'une banque, par l'entremise d'une agence de recouvrement, a informé les membres de sa famille et l'avocat de son ex-femme de ses difficultés financières. Il est ressorti de notre enquête que l'agent de recouvrement s'occupant de son dossier a communiqué avec la fille du plaignant, son ancienne épouse et l'avocat de celle-ci. De fait, nombre de communications téléphoniques ont été échangées entre l'agent et ces personnes. Certains des appels ont été faits par l'agent, d'autres, par ces différentes personnes. Tous les appels reçus à l'agence et ceux faits à partir de l'agence, de même que les listes des appels, ont été consignés dans le système de suivi électronique de l'agence. Les renseignements contenus dans ce système peuvent être modifiés uniquement au cours de la période de deux heures suivant leur inscription initiale.

Mesures prises par le CPVP

Nous n'avons pu recueillir aucune preuve indiquant que l'agent a communiqué à ces personnes des renseignements particuliers sur la situation financière du plaignant ou proféré des menaces de saisie de la propriété du plaignant, comme ce dernier le prétend.

La banque effectue des vérifications auprès de l'agence afin de s'assurer que ses pratiques de protection des renseignements personnels sont conformes aux siennes. L'agent en question, un employé de longue date de la compagnie, a signé diverses déclarations de confidentialité et de déontologie avec l'agence.

Dans nos conclusions, nous avons remarqué que, même si la LPRPDE autorise une organisation à communiquer des renseignements personnels sans le consentement de l'intéressé et à son insu aux fins du recouvrement d'un montant dû, celle-ci ne lui donne pas carte blanche pour communiquer tous les renseignements qu'elle désire afin de recouvrer une dette.

En l'espèce, nous avons établi que les renseignements fournis à l'ex-épouse se limitaient à une référence à une dette en souffrance. L'avocat de celle-ci a refusé de fournir une confirmation écrite de ce que l'agent lui avait communiqué. Les témoignages de la fille et de l'agent se contredisaient, et il y n'existait aucune preuve documentaire indiquant qu'il y avait eu communication excessive de renseignements personnels sur le plaignant. Compte tenu de la situation, nous avons conclu que la plainte était non fondée étant donné que les actes de l'agent étaient conformes à l'exception à l'exigence de consentement afin de recouvrer une dette.

Bien prendre la mesure

Aperçu

Deux employés d'une entreprise ont protesté lorsque leur employeur a décidé de se servir de données statistiques sur le travail pour mesurer leur rendement individuel. L'entreprise recueillait depuis longtemps les renseignements en question — volume, durée et type d'appels reçus par les téléphonistes — pour mesurer et gérer la charge de travail des bureaux. Toutefois, lorsque l'entreprise a commencé à se servir de ces données pour gérer le rendement, les plaignants, des téléphonistes, ont prétendu qu'elle recueillait et utilisait des données statistiques les concernant sans leur consentement.

Nous avons appris que l'entreprise avait avisé le personnel du changement de la politique au moyen d'exposés de groupe, par courrier électronique et à l'occasion de rencontres d'équipe et d'entrevues individuelles. La collecte et l'utilisation de statistiques sont également abordées dans la brochure sur la confidentialité destinée aux employés.

Chaque mois, les téléphonistes reçoivent un rapport dans lequel figurent leurs statistiques individuelles comparées aux objectifs prédéterminés concernant la durée des appels ou les attentes de l'entreprise. Ils peuvent également recevoir un rapport comprenant leurs statistiques par période de travail.

Mesures prises par le CPVP

Nous avons constaté que les objectifs de l'entreprise, à savoir surveiller et évaluer le rendement au travail de ses employés, étaient appropriés et que l'entreprise avait pris les mesures nécessaires pour informer ses employés de ces objectifs. Pour ce qui est de savoir si un employeur est tenu d'obtenir le consentement explicite d'un employé pour recueillir et utiliser de l'information aux fins de la gestion du rendement, nous avons établi que, lorsqu'une personne accepte de travailler pour une entreprise, elle consent explicitement aux conditions d'emploi. Les évaluations du rendement représentent l'une de ces conditions et les plaignants y ont consenti explicitement lorsqu'ils ont commencé à travailler auprès de l'entreprise. Nous avons conclu que la plainte était non fondée.

Vérification du rapport de solvabilité

Aperçu

Lorsque les membres d'un couple ont vérifié leurs rapports de solvabilité respectifs, ils ont constaté que l'agence d'évaluation du crédit avait communiqué des renseignements de solvabilité à un distributeur de crédit avec lequel ils n'avaient jamais traité directement. Le couple soupçonnait le distributeur de crédit en cause d'avoir eu accès à leurs dossiers de crédit à la demande de la société mère, soit l'ancien employeur de l'épouse et avec qui celle-ci est en conflit.

Le couple a porté plainte à l'agence qui a assuré les plaignants que leurs allégations feraient l'objet d'une enquête et qu'ils seraient tenus informés des résultats de cette enquête. Toutefois, trois semaines plus tard, lorsqu'ils ont téléphoné pour obtenir un compte rendu de la situation, un autre représentant de l'agence leur a expliqué qu'aucune enquête interne n'avait été entreprise.

Le représentant a suggéré au couple d'effectuer ses propres recherches puisque la société mère en cause n'était pas un client de l'agence et que, par conséquent, celle-ci n'était pas autorisée à faire enquête. Par la suite, un troisième représentant leur a assuré que l'agence ferait enquête, mais cette fois-ci, les plaignants, incapables de faire confiance à l'agence, ont porté plainte au Commissariat.

Mesures prises par le CPVP

Notre enquête a confirmé que le troisième représentant de l'agence avait effectivement entrepris une enquête interne. Le propriétaire de la société mère a admis à l'agence qu'il avait obtenu les renseignements de solvabilité personnels des plaignants, sans leur consentement, par l'intermédiaire du distributeur de crédit, qui est une succursale de son entreprise. Il a reconnu avoir enfreint les règlements concernant le crédit et expliqué que les circonstances exceptionnelles entourant le litige qui oppose son entreprise à l'ancienne employée, en l'occurrence son ex-femme, l'ont obligé à prendre de telles mesures.

L'entente contractuelle type qui existe entre le distributeur de crédit et l'agence stipule que le client doit demander les rapports de solvabilité d'un consommateur seulement à des fins admissibles, et qu'il doit d'abord obtenir tous les consentements obligatoires du consommateur aux termes de la législation provinciale sur les enquêtes de solvabilité. L'entente stipule également que l'agence peut mettre fin au service sur-le-champ si elle a raison de croire que le client a dérogé à une condition.

L'agence n'a pas suspendu le service offert par le distributeur de crédit coupable de l'infraction, mais lui a plutôt imposé une année de sursis. L'agence a affirmé au Commissariat que cette mesure dissuasive s'accompagnerait de vérifications et du contrôle des demandes de renseignements de solvabilité et qu'un autre manque à s'y conformer entraînerait la résiliation du contrat.

Une fois l'enquête terminée, l'agence a attendu huit semaines avant d'aviser les plaignants des résultats. Elle a informé les plaignants que les demandes de renseignements de solvabilité non autorisées avaient été retirées de leurs dossiers parce que le client n'avait pas pu prouver qu'il y avait soit fin légitime, soit consentement valide. L'agence a présenté des excuses aux plaignants pour tous les désagréments subis.

En ce qui concerne le consentement, nous avons établi que l'agence avait communiqué des renseignements personnels concernant le couple sans leur consentement. Nous devions trancher la question de savoir si l'agence pouvait raisonnablement être tenue responsable en les circonstances.

Il est évident que l'agence ne savait pas que la demande avait été faite à l'insu et sans le consentement des plaignants mais, en fait, elle a présumé, en se fondant sur l'entente contractuelle, que le motif de l'entreprise était acceptable et que le consentement avait été obtenu en bonne et due forme. Par conséquent, à notre avis, l'agence a fait la communication de bonne foi et en présumant raisonnablement que le consentement avait été obtenu, étant donné les obligations énoncées dans l'entente et, par conséquent, n'a pas en soi enfreint la Loi.

Nous nous sommes montrés plus critiques de l'enquête menée par l'agence et du suivi qu'elle a donné à son enquête. Aux termes de la Loi, une organisation doit faire enquête sur toutes les plaintes qu'elle reçoit et prendre des mesures appropriées si l'enquête conclut que la plainte est fondée. L'agence a conclu que la plainte était fondée et a fini par prendre certaines mesures contre son client, mais ces dernières, surtout celle qui consiste à placer le client « en sursis », sont loin d'être appropriées pour les raisons suivantes :

  • En premier lieu, les éléments de preuve indiquaient manifestement que les mesures avaient été prises seulement à la demande du Commissariat.
  • Deuxièmement, il est raisonnable de penser qu'à la conclusion d'une enquête, l'organisation informe immédiatement le plaignant des résultats. Cependant, il semble que l'agence ait avisé les plaignants des résultats seulement après que le Commissariat lui ait suggéré de le faire.
  • Troisièmement, et surtout, les mesures prises par l'agence n'étaient pas appropriées étant donné la gravité de l'infraction. Bien que l'entente contractuelle type de l'agence conseille de « suspendre » ou d'« annuler » les services offerts aux clients lorsqu'il est légitime de croire qu'ils ont commis une violation, l'agence n'a imposé qu'une période de « sursis ». Nous ne pensons pas qu'une telle sanction soit suffisante pour que l'entreprise comprenne que sa conduite était inacceptable. Nous constatons que les mesures dissuasives concernant de telles violations de la vie privée devraient refléter le strict respect d'une organisation à l'égard de l'intégrité des renseignements personnels dont elle est responsable et, idéalement, la dissuader de commettre d'autres violations du même genre.

Nous avons formulé les recommandations suivantes :

  • L'agence devrait songer à imposer et voir à ce que soient appliquées des sanctions plus sévères aux organisations clientes qui contreviennent aux dispositions contractuelles sur l'accès aux renseignements personnels des consommateurs. Les pénalités pourraient commencer par une suspension des services suivie d'une période de sursis, incluant des vérifications fréquentes et rigoureuses.
  • L'agence devrait élaborer et suivre rigoureusement une politique qui stipulerait le moment et la façon d'aviser le plaignant des résultats d'une enquête interne sur une plainte.

Le Commissariat assure actuellement le suivi auprès de l'organisation pour s'assurer que les recommandations ont été mises en oeuvre.

UTILISATION DES NUMÉROS D'ASSURANCE SOCIALE
Utiliser ou non le NAS

Aperçu

Une cliente s'est opposée à ce qu'une banque se serve des numéros d'assurance sociale (NAS) pour confirmer l'identité de demandeurs de cartes de crédit auprès des bureaux de crédit. La plaignante estime que la banque opérait sans en avoir dûment informé les demandeurs et sans avoir obtenu leur consentement. Par ailleurs, elle était d'avis que le libellé du contrat de carte de crédit ne montre pas clairement aux clients qu'ils ont le choix de ne pas fournir leur NAS. Elle prétend que le libellé laisse plutôt l'impression que les demandeurs qui ne fournissent pas leur NAS n'obtiendront pas de carte.

La banque a soutenu que l'objectif visé par l'utilisation du NAS, qui consiste à jumeler fidèlement la demande au dossier des antécédents de crédit des créanciers, était légitime. La banque a déclaré que cette exigence de fournir un NAS à cette fin est facultative et qu'un client peut s'abstenir de le fournir ou demander à la banque de le retirer de son dossier.

Les versions électroniques et papier des formulaires de demande incluent une déclaration concernant l'utilisation du NAS aux fins d'identification. Cependant, ni l'une ni l'autre des versions n'indique que la communication du NAS est facultative. En fait, les deux types de formulaires contiennent des instructions stipulant qu'il est nécessaire de donner tous les renseignements demandés et précisent qu'en signant le formulaire ou en cliquant sur la boîte appropriée, le demandeur accepte toutes les conditions contenues dans le formulaire.

Mesures prises par le CPVP

Étant donné que la banque ne faisait pas un effort raisonnable pour s'assurer que le client soit adéquatement informé du caractère facultatif de la fourniture du NAS, nous avons conclu que la banque n'obtenait pas de consentement valable et explicite des demandeurs.

La banque a convenu que le libellé de ses formulaires de demande était problématique et a déclaré son intention d'apporter des changements aux formulaires en clarifiant le fait que la communication du NAS aux fins de correspondance des antécédents de crédit était facultative. Même si nous avons été satisfaits de la mesure prise par la banque, nous avons réitéré que le NAS n'est pas une pièce d'identité et ne doit pas être utilisé en tant que tel.

Utilisation du NAS dans le secteur privé

Cette plainte est caractéristique des nombreuses plaintes que le Commissariat a reçues en 2003 concernant l'utilisation du NAS à des fins d'identification par des organisations du secteur privé.

Les usages du NAS autorisés par la loi se sont accrus depuis sa création en 1964 et il est maintenant utilisé comme un numéro de compte-client dans l'administration du Régime de pensions du Canada et divers programmes d'assurance-emploi. Le gouvernement fédéral, dans un effort visant à prévenir l'usage du NAS comme un identificateur universel, a publié une politique limitant la collecte et l'usage du NAS à des lois, à des règlements et à des programmes particuliers.

La collecte du NAS par le secteur privé est permise dans les situations suivantes :

  • Les employeurs sont autorisés à recueillir le NAS de leurs employés afin de pouvoir leur remettre des relevés d'emploi et des feuillets T-4 aux fins de l'impôt sur le revenu.
  • Les organisations, comme les banques, les coopératives de crédit, les courtiers et les sociétés de fiducie, sont tenues par la Loi de l'impôt sur le revenu de demander le NAS de leurs clients aux fins de leur déclaration d'impôts (p. ex., les comptes portant intérêt, les REER).
  • Aucune organisation du secteur privé n'est légalement autorisée à demander le NAS de ses clients à des fins autres que celles liées au revenu. Si le compte d'un client ne porte pas intérêt (p. ex., un compte de crédit par opposition à un compte d'épargne), une institution financière n'est pas tenue par la loi de recueillir son NAS et le client n'est pas tenu de le fournir.
  • Il n'existe aucune loi qui interdit à une organisation de demander le NAS d'un client ou à un client de fournir son NAS à des fins autres que celles liées au revenu.

Même s'il n'existe aucune loi qui interdit à une organisation de demander le NAS à des fins autres, comme l'identification, les organisations assujetties à la LPRPDE doivent indiquer clairement aux clients que la fourniture du NAS est facultative et n'est pas une condition d'obtention de service.

UTILISATION DES OUTILS DE SURVEILLANCE SUR LE WEB
Le « témoin » trébuche

Aperçu

Un particulier n'était pas satisfait de la configuration du site Web d'une organisation. Il nous a fait savoir qu'il n'avait pu avoir accès au site parce que son fureteur était configuré de manière à désactiver les « témoins » (communément appelés cookies). Il a de plus prétendu que l'organisation réunissait des renseignements personnels sur les visiteurs de son site Web à leur insu et sans leur consentement en omettant de leur faire savoir qu'elle plaçait un témoin sur le disque dur de leur ordinateur.

L'organisation en question a des témoins permanents et temporaires sur son site Web. Les « témoins » sont des petits fichiers texte qui peuvent recueillir et emmagasiner tout un éventail de renseignements. Les témoins permanents s'insèrent pour une période indéterminée sur le disque dur d'un usager sauf si l'usager les enlève manuellement de son fureteur après avoir quitté le site Web. Les fureteurs Web permettent généralement aux usagers de désactiver les témoins en permanence ou temporairement. Le plaignant, qui avait désactivé les témoins permanents sur son fureteur, n'a pas pu se rendre à la page d'accueil parce que le site Web est codé de manière à lui refuser l'accès tant que le témoin n'a pas été emmagasiné sur son disque dur. L'organisation a reconnu que cet état de fait était attribuable à un problème d'application et a pris des mesures pour que les visiteurs ayant désactivé les témoins permanents puissent utiliser le site.

L'organisation a également reconnu qu'elle n'avait ni inclus dans sa politique sur la protection de la vie privée ni sur son site Web de l'information sur les témoins. Elle a toutefois indiqué qu'elle est en train de produire une politique exhaustive sur l'utilisation des témoins, politique qui sera publiée dans un avenir prochain.

Mesures prises par le CPVP

Dans le cas de cette plainte fondée, nous avons conclu que les renseignements emmagasinés par les témoins temporaires et permanents constituaient des renseignements personnels aux fins de la LPRPDE. Même si l'entreprise n'avait pas sciemment interdit l'accès à son site Web aux particuliers qui refusent de consentir à la collecte de renseignements personnels en désactivant les témoins permanents et qu'elle avait pris des mesures pour remédier à la situation, elle n'en avait pas moins refusé au plaignant l'accès à son site. Nous avons également signalé qu'elle n'avait pas rempli les conditions relatives à la connaissance et au consentement conformément à la LPRPDE en ce qui concerne l'utilisation des témoins. Le Commissariat s'est réjoui du fait que l'entreprise ait accepté de publier une politique exhaustive sur son site Web concernant les témoins.

RENSEIGNEMENTS MÉDICAUX DES EMPLOYÉS

La Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux renseignements personnels, incluant des renseignements sur la santé, des renseignements sur des employés dans des ouvrages, des installations, des entreprises et des secteurs d'activités fédéraux. En 2003, le commissaire a reçu de nombreuses plaintes de fonctionnaires qui alléguaient que leurs employeurs recueillaient trop de renseignements médicaux ou les communiquaient de manière indue. Quelques affaires dignes de mention sont résumées ci-après et suivies d'un aperçu de la position du Commissariat à ce jour.

Diagnostic : surabondance de renseignements

Aperçu

Plusieurs employés se sont plaints que leur employeur avait exigé qu'un diagnostic médical figure sur les certificats de congé de maladie. Ces employés avaient épuisé le nombre de jours de congé de maladie sans certificat qui leur était permis chaque année ou montraient ce que leur employeur a estimé être un comportement suspect au titre des congés.

Les plaignants ne s'opposaient pas à ce que l'employeur leur demande s'ils avaient vu un médecin et si des restrictions leur avaient été imposées, y compris tout médicament qu'ils pourraient prendre, les empêchant de s'acquitter de leurs fonctions en toute sécurité. Ils s'opposaient toutefois au fait que leur employeur les oblige à fournir un diagnostic médical pour justifier les congés de maladie.

L'entreprise a expliqué que deux motifs justifiaient une demande de diagnostic. Le premier avait trait aux employés « à risque » qui travaillent souvent de longues heures seuls et s'acquittent de tâches de nature critique pour la sécurité et qui sont exigeantes sur le plan physique. L'entreprise a soutenu que le médecin d'un employé ne connaît pas la nature exacte de son travail, mais qu'un agent de santé et sécurité au travail de l'entreprise est plus en mesure de juger s'il est sécuritaire qu'un employé retourne à ses fonctions habituelles. L'entreprise n'a cependant pas prouvé qu'elle utilisait à cette fin de façon habituelle les renseignements diagnostiques. De fait, dans un cas, elle a même autorisé le retour au travail d'un employé « à risque » même si son médecin ne lui avait pas communiqué de diagnostic.

La deuxième raison pour laquelle l'employeur exige un diagnostic médical se rapportait aux « absences suspectes », c'est-à-dire celles qui surviennent immédiatement avant ou après des vacances ou durant une période pour laquelle l'entreprise avait antérieurement refusé d'accorder des congés. L'entreprise se réservait le droit d'exiger un certificat médical, y compris un diagnostic, si elle jugeait l'absence suspecte.

Après des discussions avec le Commissariat, l'organisation a convenu qu'elle ne demanderait plus aux employés de présenter un certificat médical avec diagnostic dans le cas d'absences suspectes et qu'elle reverrait l'obligation qu'ont les employés « à risque » de présenter un diagnostic médical.

Mesures prises par le CPVP

Dans nos conclusions, nous avons indiqué que, même s'il était tout à fait approprié et raisonnable pour l'employeur d'exiger un certificat médical lorsque les absences des employés dépassaient la limite permise pour un congé de maladie sans attestation de médecin, un certificat sans diagnostic aurait été suffisant. Comme l'employeur a fini par le reconnaître, il n'est pas nécessaire d'exiger des employés qu'ils fournissent des renseignements diagnostiques dans le cas d'absences suspectes.

À notre avis, l'entreprise n'a pas démontré de manière satisfaisante qu'elle devait poser des questions sur la nature de la maladie des plaignants afin de s'assurer qu'ils étaient aptes à reprendre leurs fonctions normales ou de prendre des dispositions pour leur retour au travail.

En fait, dans les circonstances entourant ces affaires, à savoir lorsque les absences des employés dépassaient la limite permise pour un congé de maladie sans attestation de médecin ou que leurs absences étaient suspectes, nous avons conclu qu'il était à la fois inutile et inapproprié que l'organisation exige ces renseignements. Nous avons donc conclu que les plaintes étaient fondées.

Nous avons recommandé à l'entreprise de retirer l'exigence selon laquelle les employés désignés à risque ont l'obligation d'inclure un diagnostic dans le certificat médical qu'ils présentent et de limiter désormais la collecte de renseignements diagnostiques aux cas d'employés où cela est clairement nécessaire pour réaliser les fins légitimes. Nous lui avons également recommandé de modifier en conséquence sa politique sur les congés de maladie.

Enfin, nous avons recommandé à l'entreprise de revoir sa décision de refuser un congé de maladie aux employés ayant dépassé la limite permise pour un congé de maladie sans attestation de médecin et refusé de remettre un diagnostic médical.

Le Commissariat assure actuellement le suivi auprès de l'organisation pour s'assurer que les recommandations ont été mises en oeuvre.

Diagnostic : objectifs raisonnables

Aperçu

La nécessité d'obtenir des renseignements diagnostiques et les éventuels destinataires des renseignements médicaux communiqués ont été le sujet de plaintes formulées par une personne à l'égard de son ancienne employeuse.

Au début de son congé de maladie prolongé, la plaignante a présenté à l'employeuse un formulaire de demande de renseignements d'ordre médical où figurait le diagnostic précis du médecin traitant. Bien qu'elle ait fourni les renseignements, elle a trouvé à redire sur le fait qu'un médecin praticien soit obligé de poser un diagnostic précis. Elle soutenait que l'employeuse devrait se contenter d'une description plus générale sur la nature de son incapacité, soit une « maladie », une « blessure » ou une « incapacité liée au travail ».

À sa grande surprise, quelques mois après avoir présenté le formulaire, la plaignante a reçu une lettre de la Commission des accidents du travail (CAT) provinciale l'informant qu'elle rejetait sa demande d'indemnisation par manque de preuve. La Commission a établi que son incapacité n'était pas liée au travail. La lettre faisait référence à un renseignement que l'arbitre de la CAT avait reçu de l'employeuse de la plaignante. Cette dernière n'avait pas présenté de demande d'indemnisation à la CAT et estimait que le renseignement fourni par son employeuse ne se rapportait pas à son incapacité. Elle estimait donc que les communications faites par son employeuse, à son insu et sans son consentement, n'étaient ni appropriées ni justifiées.

L'enquête a établi que l'employeuse avait avisé la Commission d'une présumée incapacité de travailler liée à l'emploi et présenté une demande d'indemnisation au nom de l'intéressée. L'arbitre de la CAT a obtenu une copie de l'original du formulaire de demande de renseignements d'ordre médical de la plaignante et posé des questions à l'employeuse au sujet de l'incapacité en cause. La représentante de l'employeuse, une coordonnatrice des ressources humaines, a confirmé que la plaignante s'était absentée auparavant pour une raison similaire, mais qu'à son avis, cette absence était attribuable à des raisons personnelles, sans lien avec le travail. Cependant, elle ne pouvait pas dire si l'absence en cause actuellement était liée au travail.

En ce qui a trait à la collecte de renseignements médicaux, l'entreprise a allégué qu'elle devait obtenir des diagnostics précis afin de gérer le régime d'assurance-salaire en cas d'invalidité de courte ou de longue durée des employés. Notamment, l'admissibilité aux avantages dans le cadre du régime à long terme est établie en fonction des avantages à court terme obtenus pendant un certain nombre de jours pour une incapacité déterminée.

L'employeuse a fait savoir que les objectifs de la collecte des renseignements sont indiqués dans sa politique régissant le régime d'assurance-salaire en cas d'invalidité de courte durée et dans le formulaire de demande de renseignements d'ordre médical. Elle a soutenu que la collecte visait uniquement les fins indiquées. Par ailleurs, elle a signalé que le consentement des employés était obtenu puisque le formulaire de demande de renseignements d'ordre médical signé par les employés contient un énoncé relatif au consentement.

En ce qui concerne la communication à la CAT, l'entreprise a souligné que la communication était non seulement appropriée mais qu'elle était exigée par la législation provinciale en vigueur qui régit l'indemnisation des travailleurs à laquelle elle est assujettie. Aux termes de la législation, les cotisants sont tenus d'aviser immédiatement la CAT de toute incapacité liée au travail ou allégation d'incapacité. La législation donne aussi à la CAT le pouvoir d'enquêter sur les demandes et les cotisants sont obligés d'y répondre.

Mesures prises par le CPVP

Nous avons déterminé que les motifs de collecte de renseignements diagnostiques de l'entreprise, à savoir gérer le régime d'invalidité des employés, étaient raisonnables et légitimes. Nous avons déterminé également que ces motifs avaient été identifiés pertinemment, que les renseignements personnels recueillis étaient tous nécessaires à la réalisation des motifs invoqués et que la plaignante avait dûment consenti à la collecte de ceux-ci.

Quant à la plainte concernant la communication, qui a manifestement été faite à l'insu de la plaignante et sans son consentement, nous avons établi que la communication en question était requise par la loi et, par conséquent, permise en vertu d'un alinéa de la LPRPDE qui prévoit les communications à l'insu de l'intéressé et sans son consentement si elles sont exigées par la loi.

Nous avons conclu que les plaintes étaient non fondées. Néanmoins, l'enquête a démontré que l'entreprise n'avait pas prévu de politiques, procédures, lignes directrices ou documents de formation à l'intention du personnel portant précisément sur l'information concernant les employés. Par conséquent, nous avons recommandé à l'entreprise d'instaurer des politiques et pratiques se rapportant précisément au traitement des renseignements personnels des employés, conformément aux principes d'imputabilité énoncés dans la LPRPDE.

Le Commissariat assure actuellement le suivi auprès de l'organisation pour s'assurer que les recommandations ont été mises en oeuvre.

Diagnostic : raisonnable dans les circonstances

Aperçu

Un employé qui voulait être muté à un autre poste pour des raisons de santé estimait que son employeur essayait de recueillir plus de renseignements personnels à son sujet qu'il n'était nécessaire. Pendant qu'il était en congé, son employeur lui a demandé d'autoriser son médecin à remplir un formulaire indiquant son pronostic, ses restrictions, ses traitements et ses aptitudes. Le médecin a posé un diagnostic et donné des renseignements sur le traitement, mais n'a pas rempli les sections concernant les restrictions et les aptitudes. Le médecin a fourni, au total, trois rapports similaires, tous indiquant que le pronostic était inconnu.

Par la suite, le médecin a dit au plaignant qu'il pouvait retourner au travail à temps partiel. Le médecin a appuyé la demande du plaignant voulant que celui-ci soit muté à un milieu de travail différent, qui comprendrait davantage de fonctions opérationnelles que de fonctions administratives. Puisque l'entreprise n'avait pas reçu de demande du plaignant à cet effet, l'infirmière des services de santé au travail a demandé des renseignements supplémentaires au médecin sur les troubles de santé du plaignant. Elle a également demandé des renseignements sur la capacité du plaignant d'effectuer un travail physique, à la lumière d'une blessure qu'il s'était faite quelques années auparavant et qui avait causé sa mutation vers un poste plus administratif.

Par la suite, le plaignant a présenté une demande officielle de mutation pour des raisons de santé. L'entreprise a demandé de plus amples renseignements médicaux et indiqué qu'une évaluation médicale indépendante serait peut-être nécessaire. L'entreprise ayant refusé la demande du plaignant, le médecin de ce dernier a de nouveau écrit une lettre à l'employeur appuyant la demande du plaignant. L'entreprise a répondu en affirmant qu'elle devait rencontrer un spécialiste avant de répondre à cette requête. Le plaignant et un représentant de son syndicat se sont opposés et ont prétendu que l'entreprise devait accepter les évaluations médicales du médecin du plaignant. Le plaignant a fini par retourner à son poste administratif.

L'entreprise avait instauré une politique sur les congés de maladie prolongés conformément à laquelle l'employé doit signer un formulaire de consentement autorisant son médecin à communiquer des renseignements médicaux liés à la maladie de l'employé aux professionnels en santé au travail de l'entreprise et à discuter de ce sujet directement avec eux. Le formulaire précise les motifs de l'entreprise pour recueillir de tels renseignements, à savoir un examen pour déterminer l'admissibilité aux prestations et l'aptitude à l'emploi. Le formulaire comprend des questions sur les problèmes de santé, les soins et le pronostic médicaux de l'employé, ce qui comprend le diagnostic.

Les membres du personnel en santé au travail de l'entreprise ont été les seuls à prendre connaissance de ces renseignements. Ils sont tenus par leur code de déontologie respectif d'assurer la confidentialité. Ils ont fourni aux gestionnaires seulement l'information concernant l'aptitude à travailler et les limites physiques de l'employé. Des renseignements détaillés concernant la politique de l'entreprise sont accessibles à tous les employés sur le site Intranet de l'entreprise et dans une brochure.

L'entreprise a mis en place des politiques et des procédures qui permettent de protéger les renseignements médicaux personnels d'un employé. Plus particulièrement, les renseignements médicaux sont classés à part du dossier personnel, puis stockés dans des zones d'archivage sécuritaires. Les renseignements médicaux informatisés sont également protégés.

Mesures prises par le CPVP

Nous avons établi que, compte tenu de la responsabilité de l'entreprise de verser le salaire du plaignant pendant les six premiers mois de son absence et de ses obligations conformément aux lois et règlements canadiens sur les droits de la personne de prendre des mesures d'adaptation à l'intention des employés handicapés, les motifs de la collecte des diagnostics étaient légitimes et appropriés.

Lorsque nous nous sommes penchés sur la manière dont l'entreprise a réussi à limiter la collecte de renseignements personnels, nous avons constaté que les lignes directrices de la Commission canadienne des droits de la personne précisent qu'un employeur a le droit, aux termes de la Loi canadienne sur les droits de la personne, de demander assez de renseignements pour être en mesure de déterminer s'il est tenu de prendre des mesures d'adaptation concernant une personne handicapée, ce qui peut exiger la consultation d'un médecin spécialiste. Nous sommes d'avis que les documents médicaux que l'employeur voulait obtenir étaient manifestement liés aux obligations de l'entreprise de prendre des mesures d'adaptation à l'intention du plaignant et n'étaient pas excessifs.

Nous sommes également convaincus que l'entreprise avait déjà des politiques et des procédures en place qui décrivaient les motifs de la collecte de renseignements de santé, comment ils étaient traités et par qui, ainsi que les rôles respectifs de l'employeur, de l'employé et du service de santé. Ces renseignements ont été mis à la disposition de tous les employés sur différents supports, ce qui satisfait aux obligations de l'entreprise en vertu de la LPRPDE de ne pas recueillir des renseignements personnels de façon arbitraire et de préciser le genre de renseignements recueillis dans le cadre de ses politiques et pratiques de traitement des renseignements.

Nous avons donc conclu que la plainte était non fondée.

Sommaire de la position du Commissariat à ce jour en matière de renseignements médicaux des employés

Les employeurs recueillent des renseignements médicaux sur les employés pour nombre de raisons, lesquelles doivent être appropriées et légitimes dans les circonstances et clairement indiquées. Les renseignements recueillis doivent être limités à ces fins.

De loin, la question la plus litigieuse soulevée par les employés au cours de la dernière année a été l'exigence de fournir un diagnostic. Dans les affaires pour lesquelles des renseignements diagnostiques ont été exigés, le Commissariat a reconnu que l'employeur peut avoir besoin de recueillir ces renseignements dans des circonstances très restreintes. Jusqu'à maintenant, nous reconnaissons qu'ils peuvent être nécessaires pour déterminer l'aptitude au travail d'un employé et prendre des mesures d'adaptation à l'intention d'un employé handicapé ainsi que pour établir si un employé a droit à des prestations. Toutefois, le Commissariat estime qu'il n'est pas raisonnable d'exiger un diagnostic dans les cas d'absences suspectes ou lorsqu'un employé a épuisé ses crédits de congés de maladie sans attestation de médecin.

Le Commissariat a établi en toute clarté que des mesures de sécurité rigoureuses doivent être instaurées pour traiter les renseignements médicaux des employés, surtout les renseignements diagnostiques. Plus précisément, les renseignements médicaux doivent être conservés à part du dossier personnel de l'employé, dans un endroit protégé. Les renseignements diagnostiques fournis ne doivent être traités que par des professionnels de la santé qualifiés et non par des spécialistes des ressources humaines. Il convient de fournir aux gestionnaires uniquement des renseignements restreints, comme la date prévue de retour au travail. Les superviseurs n'ont en général pas besoin de connaître en détail la maladie d'un employé.

De telles mesures, il va sans dire, supposent l'adoption de politiques et procédures claires. Aux termes de la LPRPDE, les organisations sont tenues d'établir et de diffuser des politiques et procédures de traitement des renseignements personnels en leur possession.

Il convient en outre de signaler que d'autres textes de loi, comme les lois sur le travail, sur les indemnisations en cas d'accident du travail ou sur les droits de la personne peuvent influer sur la quantité de renseignements que l'employeur recueille, utilise et communique.

En fin d'analyse, il incombe aux organisations de s'assurer :

  • de recueillir des renseignements médicaux des employés uniquement à des fins raisonnables;
  • d'indiquer ces fins;
  • d'obtenir un consentement valable;
  • de limiter leurs pratiques de collecte, d'utilisation et de communication à ces seules fins.

Incidents visés par la LPRPDE

Le Commissariat a également mené 13 enquêtes sur des incidents. Les incidents sont des questions dont le Commissariat prend connaissance à partir de diverses sources, notamment les médias et les organisations qui les signalent d'eux-mêmes. Habituellement, dans pareil cas, la victime n'est pas nommée et le Commissariat n'a reçu aucune plainte.

Communications par l'entremise d'une benne à ordures

Le Commissariat a appris dans des reportages médiatiques que les services policiers avaient trouvé des dossiers financiers de clients de banques dans l'appartement d'un suspect. Cet homme prétendait avoir obtenu ces documents dans des bennes à ordures de succursales de trois banques.

Des représentants des trois banques ont récupéré les documents et les ont analysés dans le dessein d'en trouver l'origine, d'identifier les clients visés et de prendre les mesures correctives qui s'imposaient.

La première banque a identifié les renseignements personnels de 40 clients provenant de sept succursales. Elle a établi que les documents avaient vraisemblablement été trouvés dans les ordures. La banque avait déjà instauré une politique concernant la destruction des renseignements personnels mais les dispositions de cueillette des ordures varient d'une succursale à l'autre. Certaines succursales passent des contrats de déchiquetage avec des entreprises de l'extérieur tandis que d'autres exigent des employés qu'ils détruisent eux-mêmes les documents, soit en les déchiquetant, soit en les déchirant à la main.

La banque a vérifié les comptes et avisé par téléphone tous les clients touchés qu'aucune activité suspecte n'avait été décelée. Elle s'est engagée à continuer de surveiller l'activité des comptes et a demandé aux clients touchés de faire de même. La banque leur a également donné le choix de fermer leurs comptes actuels et d'en ouvrir de nouveaux. Elle a de nouveau émis sa politique et ses procédures en matière de disposition de renseignements personnels et informé les succursales qu'elles devaient de nouveau les présenter aux employés. Elle songe à appliquer un programme national de fournisseurs de bacs verrouillés et de destruction périodique des documents confidentiels.

Quant à la deuxième banque, elle a récupéré des renseignements personnels concernant 44 clients. Elle a conclu que les documents avaient été trouvés dans des poubelles internes et externes de même que dans des bacs internes de recyclage et de déchiquetage. Dans les succursales, tous les bureaux et guichets ont des bacs qui sont vidés dans une déchiqueteuse confidentielle chaque jour.

La banque a communiqué par téléphone et par écrit avec tous les clients touchés pour les informer de l'enquête policière en cours. Elle a offert des conseils précis ainsi que des mesures de protection supplémentaires en fonction du niveau de risque de vol d'identité que chacune des situations présentait. Elle leur a également recommandé de surveiller leurs comptes pour déceler d'éventuelles activités suspectes, de signaler le courrier manquant et de bien protéger leurs dossiers financiers. La banque a transmis un rappel aux employés des succursales de la région visée concernant les politiques satisfaisantes d'élimination des ordures. La politique doit être revue mensuellement par les employés des succursales. De plus, les poubelles à l'intention des clients ont été enlevées et seuls des réceptacles encastrés seront utilisés.

En ce qui concerne la troisième banque, 575 clients de la région ont été touchés. On a recouvré quatre rapports contenant le nom de multiples clients, représentant 438 des clients susmentionnés. Les renseignements personnels visant les autres clients ont été trouvés dans un éventail de documents se rapportant à des clients particuliers.

La banque estime que certains des documents ont été trouvés dans les ordures parce qu'ils étaient souillés ou déchirés à la main. D'autres documents étaient en bon état et la banque n'a pu affirmer avec certitude s'ils ont été trouvés dans les ordures ou si le suspect les a volés dans les bacs de déchiquetage à l'intérieur de la banque. Ces boîtes non verrouillées sont situées près des postes de travail des conseillers financiers et en activités commerciales.

Les clients visés ont été regroupés selon le risque (élevé, moyen ou faible) de vol d'identité et de fraude que présentait la communication des renseignements les concernant. Des représentants des succursales ont communiqué avec les clients par téléphone et leur ont dit quels renseignements précis avaient été communiqués. La banque a invité les clients des groupes à risque élevé et moyen à rencontrer un représentant de la banque pour revoir leurs comptes afin d'y déceler des activités suspectes et à ouvrir de nouveaux comptes. Elle leur a également conseillé de communiquer avec les bureaux de crédit ou DRHC si un document contenant leur NAS avait été trouvé afin d'atténuer les risques de fraudes. Elle a dit à tous ses clients de garder un oeil sur leurs comptes.

La banque a passé en revue les procédures adéquates avec les gestionnaires des quatre succursales touchées. Elle a également confié à un groupe de travail l'examen des procédures et pratiques de la banque en matière de destruction des dossiers confidentiels et le soin de recommander les changements qui s'imposent.

Cet incident n'a suscité aucune plainte auprès du Commissariat de la part des personnes touchées.

Vente d'ordinateurs d'une banque contenant des renseignements personnels des clients

Les médias ont publié le cas d'un revendeur qui avait acheté deux ordinateurs d'une banque et les avaient mis en vente sur un site aux enchères en ligne avant de s'apercevoir qu'ils contenaient des renseignements personnels de clients de la banque. Il a par la suite communiqué avec la banque.

Ce qui est arrivé, c'est que, lorsque le revendeur est allé chercher les ordinateurs qu'il avait achetés, un employé de l'entreprise dont les services avaient été retenus pour effacer le contenu des ordinateurs et disposer du matériel informatique de la banque a, par inadvertance, pris les deux ordinateurs d'un lot de serveurs qui n'avaient pas encore été effacés.

La banque a identifié 350 clients dont les renseignements personnels étaient contenus sur l'un ou l'autre ordinateur. Une foule de renseignements personnels variés ont été trouvés. La banque a communiqué par téléphone avec les clients touchés et donné des entrevues aux médias pour confirmer que la situation était sous contrôle et que les comptes des clients étaient en sécurité. Elle a également mené une vérification de l'entrepreneur en cause et trouvé de nombreuses lacunes. Elle a revu le processus de disposition et rédigé une nouvelle ligne directrice sur le sujet.

Le Commissariat n'a reçu aucune plainte sur cet incident par les personnes touchées.

Demandes de renseignements

Le Commissariat a donné suite à des milliers de demandes de renseignements provenant du grand public et d'organisations qui voulaient obtenir des conseils et de l'aide concernant des enjeux en matière de vie privée dans le secteur privé.

Dans la plupart des cas, les appels et les articles de correspondance reçus au dernier semestre de 2003 concernant la LPRPDE provenaient de grandes et de petites entreprises désireuses d'obtenir des directives afin de se préparer en vue de l'entrée en vigueur de la Loi le 1er janvier 2004.

Nous avons également reçu des appels et des lettres de particuliers qui faisaient part de leur insatisfaction à l'égard d'organisations, alléguant qu'elles avaient mal géré leurs renseignements personnels, leur avaient refusé l'accès à leurs renseignements personnels, avaient refusé d'apporter les corrections demandées aux renseignements personnels ou n'avaient pas appliqué de mesures appropriées de sécurité pour protéger leurs renseignements personnels.

Statistiques relatives aux demandes de renseignements

(du 1er janvier au 31 décembre 2003)

Demandes téléphoniques reçues 9 288
Demandes écrites reçues (lettre, courriel, télécopie) 4 134
Nombre total de demandes reçues 13 422

Examens et pratiques en matières de vie privée

Vérifications et examens de la conformité aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Le mandat de la Direction des examens et des pratiques en matière de vie privée consistant à mener des vérifications d'organisations du secteur privé est prévu au paragraphe 18(1) de la LPRPDE. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) autorise le commissaire à vérifier la conformité des organisations du secteur privé avec la Loi s'il existe des motifs raisonnables de croire que celles-ci contreviennent à la Loi. Conformément à la LPRPDE, le commissaire ne peut mener une telle vérification que s'il existe des « motifs raisonnables » de croire qu'une organisation contrevient à une disposition de la Loi.

À ce jour, le Commissariat n'a mené aucune vérification de la conformité avec la loi auprès d'une organisation du secteur privé en vertu du paragraphe 18(1) de la LPRPDE. Les éléments de preuve de la non-conformité avec la LPRPDE ont été portés à l'attention du Commissariat par l'entremise de plaintes et de demandes de renseignements. La plupart des cas de conformité qui nous ont été signalés traitaient d'incidents distincts qui se prêtaient à un règlement dans le cadre des processus de plaintes et de demandes de renseignements.

Cela dit, au cours de la prochaine année, le Commissariat prévoit examiner les enquêtes achevées aux termes de la LPRPDE pour assurer le suivi des plaintes fondées à l'égard desquelles des mesures correctives ont été recommandées. Cet exercice, qui vise à savoir si les recommandations du commissaire ont été adoptées, devrait être mené par voie de correspondance. Le Commissariat mènera d'autres enquêtes lorsqu'il sera saisi d'éléments de preuve de non-conformité.

Devant les tribunaux

Aux termes de l'article 14 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une personne ayant porté plainte a le droit, à l'issue de l'enquête du commissaire et après le dépôt de son rapport, de déposer une demande d'audience à la Cour fédérale du Canada sur toute question traitée dans ce rapport. Ces questions doivent figurer parmi les clauses et les articles de la LPRPDE qui sont énumérés à l'article 14. Aux termes de cet article, le commissaire peut, de sa propre initiative, déposer directement une demande à la Cour fédérale à l'égard d'une plainte.

Aux termes de l'article 15 de la Loi, le commissaire est autorisé à déposer une demande de comparution à la Cour fédérale dans les circonstances décrites ci-après. Il peut, avec le consentement du plaignant, demander directement une audience à la Cour sur toute question visée par l'article 14, comparaître devant la Cour au nom de tout plaignant qui a présenté une demande d'audience en vertu de l'article 14 ou, avec l'autorisation de la Cour, comparaître comme partie à une instance engagée en vertu de l'article 14.

Entre le 1er janvier 2001 et le 31 décembre 2003, 20 demandes ont été déposées devant la Cour fédérale au titre de la LPRPDE. La plupart d'entre elles ont été abandonnées, rejetées ou résolues avant que la Cour ne se soit prononcée. Les demandes en vertu de la LPRPDE qui suivent méritent qu'on s'y arrête.

Mathew Englander c. Telus Communications Inc. et le commissaire à la protection de la vie privée du Canada

Nos de dossier de la Cour fédérale T-1717-01 et A-388-03

Plainte

M. Englander a soutenu que Telus utilise et communique les noms, adresses et numéros de téléphone de ses clients dans les pages blanches de son annuaire et ailleurs, à l'insu de ses clients et sans avoir obtenu leur consentement. En outre, Telus exige indûment des frais des clients qui demandent la « non-publication » de leur numéro de téléphone. M. Englander soutient que les mesures prises par Telus sont contraires aux paragraphes 5(1) et (3) de la Loi ainsi qu'à plusieurs clauses de l'annexe 1 de la Loi.

Au sujet du consentement, le commissaire a conclu que l'entreprise avait de fait obtenu un consentement valable de manière implicite et se conformait aux règlements concernant les renseignements mis à la disposition du public. Il a mis l'accent sur la question que l'entreprise posait à ses clients quant à la façon dont les renseignements les concernant devraient figurer dans les pages blanches et a établi que la question implique en soi la publication éventuelle des renseignements dans des annuaires auxquels le public a accès. Puisque les renseignements publiés par la suite sur d'autres supports correspondent simplement à ceux qui sont publiés dans les pages blanches, ils sont également tenus pour des renseignements auxquels le public a accès et il est possible de les recueillir, de les utiliser et de les communiquer sans le consentement de la personne concernée.

Au sujet des frais exigés pour la non-publication des renseignements concernant les clients, le commissaire a signalé l'Ordonnance Télécom 98-109 du CRTC qui stipule que les sociétés de télécommunications peuvent exiger jusqu'à 2 $ par mois pour un service de numéro non publié. Par conséquent, il a conclu que l'entreprise en cause était habilitée à exiger son tarif mensuel de non-publication établi à 2 $ et que cette mesure n'était pas déraisonnable.

Intervention du CPVP

Le commissaire à la protection de la vie privée a obtenu l'autorisation d'intervenir dans cet appel sur les questions qui : (1) se rapportent aux conclusions du commissaire à la protection de la vie privée et (2) à la compétence du CRTC de prendre des ordonnances en matière de vie privée qui ne limitent pas la compétence de la Cour fédérale aux termes de la LPRPDE.

État de la situation

Il s'agit de la première demande de contrôle judiciaire déposée à la Cour fédérale aux termes de la LPRPDE. La demande a fait l'objet d'un non-lieu en juin 2003 à la Cour fédérale.

M. Englander a déposé un appel devant la Cour d'appel fédérale le 28 août 2003. Aucune date d'audience n'a encore été fixée.

Ronald G. Maheu c. IMS Health Canada et al.

Nos de dossier de la Cour fédérale T-1967-01 et A-31-03

Plainte

M. Maheu s'est plaint que IMS Health Canada avait communiqué de manière inappropriée des renseignements personnels en vendant des données sur les habitudes de prescription des médecins sans avoir obtenu leur consentement.

Le commissaire a mis l'accent sur la question de savoir si les renseignements en cause étaient des renseignements personnels au sens et selon la portée et l'objet de la LPRPDE et conclu que le sens de « renseignements personnels » n'est pas assez vaste pour englober tous les renseignements associés à une personne. En se fondant sur cette interprétation, le commissaire a conclu que des renseignements sur les ordonnances, qu'il s'agisse d'ordonnances individuelles ou d'habitudes de prescription, ne sont pas des renseignements personnels concernant un médecin. Il a plutôt présenté ces renseignements comme concernant un processus professionnel qui débouche sur la délivrance de l'ordonnance et a conclu qu'ils doivent donc être considérés comme un produit du travail.

Intervention du CPVP

Le commissaire a présenté des arguments par écrit sur la première demande, qui ont porté uniquement sur le renvoi au commissaire à la protection de la vie privée et ne s'est pas prononcé sur le résultat qu'il convient de tirer des faits.

Le commissaire est également intervenu dans la procédure d'appel et a comparu pour aider la Cour à bien interpréter la LPRPDE. Il a expliqué qu'une personne peut déposer une plainte concernant les pratiques en matière d'information d'une organisation sans égard au fait que celle-ci recueille, utilise ou communique ou non des renseignements personnels concernant le plaignant.

État de la situation

M. Maheu a présenté une demande d'audition devant la Cour fédérale en novembre 2001.

IMS a présenté une requête demandant soit de rejeter la demande pour des motifs voulant que la demande ait été présentée à des fins inappropriées, soit de demander à M. Maheu qu'il verse une garantie pour les coûts. La Cour a ordonné à M. Maheu de déposer une garantie financière de 12 000 $ et a mentionné qu'elle avait des raisons de croire que M. Maheu utilisait la Loi à des fins accessoires et inappropriées, compte tenu du fait que ses propres renseignements personnels n'étaient pas en jeu. Elle a accordé un appel de cette ordonnance à M. Maheu en janvier 2003. La décision a été portée en appel par IMS, mais après l'audience de novembre 2003, la demande a fait l'objet d'un non-lieu.

La demande originale à la Section de première instance a été abandonnée en mars 2004, dans le cadre d'un règlement conclu entre M. Maheu et IMS.

Diane L'Écuyer c. Aéroports de Montréal et le commissaire à la protection de la vie privée du Canada

Nos de dossier de la Cour fédérale T-2228-01 and A-259-03

Plainte

Mme L'Écuyer a demandé d'avoir accès aux renseignements détenus par son employeur. Ce dernier a refusé de donner suite à ses demandes dans une lettre et envoyé copie de la lettre à trois autres personnes : deux représentants syndicaux et le coordonnateur des relations avec les employés de l'aéroport. Elle s'est donc plainte que son employeur avait, sans son consentement, communiqué ses renseignements personnels à des tierces parties.

Au sujet de la communication aux représentants syndicaux, le commissaire à la protection de la vie privée est d'avis que l'employeur aurait été autorisé par consentement implicite à envoyer les copies de la réponse à ces parties seulement si la plaignante avait indiqué qu'elle leur avait fait parvenir des copies de ses demandes d'accès. Il a conclu qu'il n'y avait pas eu de consentement implicite en l'espèce et qu'une personne raisonnable aurait estimé que la communication des renseignements aux représentants syndicaux était inacceptable.

En ce qui concerne le coordonnateur des relations avec les employés, le commissaire a établi que, compte tenu de la participation directe de cette personne aux demandes d'accès, il était approprié que l'employeur l'informe de sa décision de refuser d'acquiescer à la demande d'accès. On a donc établi que cette partie de la plainte était non fondée.

Intervention du CPVP

Le commissaire a demandé l'autorisation d'intervenir dans l'appel et sa demande a été accordée. En novembre 2003, il a présenté un mémoire dans lequel il prétendait : (1) que le commissaire et la Cour avaient la compétence de trancher des questions en matière de vie privée, qu'elles soient ou non liées au travail et (2) que, si le consentement implicite peut convenir dans quelques plaintes faisant intervenir les syndicats, tel n'était pas le cas en l'espèce et que, par conséquent, il fallait obtenir le consentement de la plaignante pour utiliser et communiquer ses renseignements personnels.

État de la situation

Mme L'Écuyer a déposé sa première demande auprès de la Cour fédérale en décembre 2001 et demandé que l'organisation rectifie ses pratiques pour les rendre conformes à la LPRPDE. Le commissaire à la protection de la vie privée n'était pas partie à cette demande. En mai 2003, la Cour a rendu une décision et conclu que la question s'est posée dans le cadre de l'administration d'une convention collective et que, par conséquent, ni le commissaire à la protection de la vie privée ni la Cour n'avait compétence dans cette affaire.

Mme L'Écuyer a interjeté appel le 5 juin 2003. L'appel a été entendu en juin 2004 et rejeté sur le fond. La Cour a confirmé la conclusion de la Section de première instance selon laquelle Mme L'Écuyer avait consenti, du moins implicitement, à la communication en cause. Elle a conclu qu'il était inutile de traiter des autres aspects de l'appel portant sur les secteurs de compétence.

Commissaire à la protection de la vie privée du Canada c. Aéroports de Montréal

No de dossier de la Cour fédérale T-336-02

Plainte

L'employée d'un aéroport a déposé deux plaintes distinctes, affirmant que son employeur avait refusé d'acquiescer à plusieurs demandes d'accès à ses renseignements personnels. La direction de l'aéroport a justifié son refus d'accès en invoquant deux exceptions prévues dans la LPRPDE qui s'appliquent spécifiquement à des renseignements protégés par le secret professionnel liant l'avocat à son client (l'alinéa 9(3)a)) et à des renseignements fournis uniquement à l'occasion d'un règlement officiel des différends (l'alinéa 9(3)d)).

En ce qui concerne l'alinéa 9(3)a), le commissaire a fait remarquer que la plaignante n'avait jamais demandé accès à un dossier d'avocat, mais plutôt à des documents liés à des plaintes et à des mesures disciplinaires la concernant. Il a jugé que la direction de l'aéroport ne pouvait pas invoquer le secret professionnel liant l'avocat à son client pour protéger les renseignements au simple motif qu'ils avaient été recueillis en réponse à des plaintes et des griefs ou que des avocats avaient été consultés relativement aux différents dossiers.

En ce qui concerne l'alinéa 9(3)d), le commissaire a fait remarquer que cette exception n'a pas pour objet de protéger les renseignements recueillis dans le cadre de processus administratifs visant à régler des plaintes ou des griefs. À ses yeux, la notion d'un règlement officiel des différends suppose que les parties ont désiré se rencontrer pour négocier un règlement acceptable de part et d'autre — ce qui n'était pas le cas avec les parties en question. Il n'a donc pas accepté l'interprétation de l'employeur selon laquelle le processus était un règlement officiel des différends, ou encore que les renseignements en question avaient été recueillis à cette fin expresse. Il a jugé que l'employeur avait eu tort d'appliquer l'alinéa 9(3)d) pour refuser à la plaignante l'accès à ses renseignements personnels.

Intervention du CPVP

Lorsque la direction de l'aéroport a persisté dans son refus de donner accès même après le dépôt du rapport du commissaire à la protection de la vie privée, ce dernier a obtenu le consentement de la plaignante pour porter l'affaire devant la Cour fédérale comme le stipule l'article 15 de la LPRPDE.

État de la situation

La direction des aéroports, pendant le litige, a convenu avec le commissaire à la protection de la vie privée que la plaignante devait avoir accès à ses renseignements personnels et lui a communiqué tous les renseignements auxquels elle avait droit en vertu de la LPRPDE. Par conséquent, le commissaire a abandonné la demande en avril 2002.

Erwin Eastmond c. Compagnie de chemin de fer Canadien Pacifique et le commissaire à la protection de la vie privée du Canada

No de dossier de la Cour fédérale T-309-03

Plainte

M. Eastmond s'est plaint que son employeur recueillait des renseignements personnels sur ses employés sans leur consentement. Le plaignant était surtout préoccupé par le fait que des caméras d'enregistrement vidéo numériques installées dans la cour de la compagnie pourraient recueillir des renseignements personnels sur les employés.

Dans le cadre de son enquête, le commissaire à la protection de la vie privée a invoqué le paragraphe 5(3) et expliqué qu'il devait prendre en considération la pertinence des objectifs de la compagnie pour recueillir des renseignements personnels ainsi que les circonstances entourant ces objectifs. À cette fin, il a pris en compte les questions suivantes : (1) Est-il possible de faire la preuve que la mesure est nécessaire pour répondre à un besoin particulier ?; (2) Est-elle susceptible d'être efficace pour répondre à ce besoin ?; (3) L'invasion de la vie privée est-elle proportionnelle à l'avantage qui en découlera ?; (4) Existe-t-il un autre moyen moins envahissant qui pourrait permettre d'atteindre le même objectif – Compte tenu des fins déclarées de l'entreprise, le commissaire à la protection de la vie privée n'a pas cru qu'une personne raisonnable prendrait en considération ces circonstances pour justifier la prise d'une mesure portant autant atteinte à la vie privée comme l'installation de caméras vidéo numériques. Par conséquent, l'utilisation de ce type de surveillance vidéo par la compagnie aux fins mentionnées n'est pas appropriée et l'entreprise contrevient au paragraphe 5(3) de la LPRPDE.

Intervention du CPVP

Le commissaire à la protection de la vie privée a été ajouté à titre de partie en vertu de l'alinéa 15c) de la LPRPDE, mais il ne s'est pas prononcé sur l'issue ultime de l'affaire quant au fond. Il a plutôt soutenu que la Cour devrait accorder une certaine retenue judiciaire à l'expertise du commissaire à la protection de la vie privée et adopter les quatre critères (voir les quatre questions citées précédemment) pour déterminer la pertinence de la collecte des renseignements par la Compagnie de chemin de fer Canadien Pacifique. Un autre mémoire a été déposé en décembre 2003 traitant de la compétence en la matière du commissaire à la protection de la vie privée et de la Cour, même si l'affaire découle d'une situation d'emploi visée par une convention collective.

État de la situation

M. Eastmond a déposé une requête à la Cour fédérale en février 2003 dans laquelle il demandait, entre autres choses, au commissaire à la protection de la vie privée d'envoyer une copie certifiée de son rapport d'enquête au requérant et au greffe. Le commissaire à la protection de la vie privée s'étant opposé à donner suite à cette demande, la Cour a décidé en juin 2003 que les Règles de la Cour fédérale ne permettaient pas à un demandeur d'exiger du matériel en la possession du commissaire à la protection de la vie privée.

La requête a été entendue en avril 2004 et, le 11 juin 2004, la Cour a fait connaître sa décision. Au sujet de la compétence, la Cour a conclu que le commissaire à la protection de la vie privée avait compétence en la matière, que l'essentiel du litige ne découlait pas de la convention collective et que le Parlement n'avait pas l'intention d'exclure les syndiqués du champ d'application de la LPRPDE. Au sujet de la retenue judiciaire, elle a établi que, même s'il s'agissait d'une procédure de novo, le commissaire à la protection de la vie privée avait droit à une certaine retenue compte tenu de son expertise. Enfin, la Cour a adopté les quatre critères proposés par le commissaire concernant le paragraphe 5(3) en précisant que les facteurs particuliers pris en compte en l'espèce pourraient ne pas s'appliquer dans toutes les affaires. En se servant de ces critères, la Cour a conclu qu'une personne raisonnable estimerait que les fins invoquées par l'organisation pour recueillir les images par l'entremise d'une caméra vidéo numérique sont appropriées dans les circonstances et, par conséquent, la Compagnie de chemin de fer Canadien Pacifique n'a pas enfreint la LPRPDE.

Robert Lavigne c. Syndicat des postiers du Canada

Nde dossier de la Cour fédérale T-500-03

Plainte

Lorsqu'il a appris que la date de naissance avait servi à rompre l'égalité pour établir une priorité basée sur l'ancienneté, M. Lavigne s'est plaint que le SPC se servait de ses renseignements personnels d'une manière non conforme aux fins pour lesquelles ils avaient été recueillis initialement. Le Commissariat a établi qu'il n'avait pas la compétence voulue pour accepter la plainte de M. Lavigne parce que le SPC n'est pas un ouvrage, une entreprise ou un secteur d'activité fédéral et qu'aucune communication entre frontières ne devait être soumise à un examen.

Intervention du CPVP

Le commissaire à la protection de la vie privée n'est pas intervenu officiellement dans l'affaire, mais la demande a soulevé d'intéressantes questions procédurales concernant les éléments constitutifs d'une « plainte » en vertu des articles 13 et 14.

État de la situation

Même si aucune plainte n'a été acceptée et qu'aucun rapport du commissaire n'a été déposé, M. Lavigne a présenté à la Cour une demande conformément à l'article 14 dans laquelle il l'enjoignait de statuer sur le fond de la plainte et d'imposer des dommages punitifs au SPC. Pour sa part, le SPC a présenté une requête en radiation de la demande alors que M. Lavigne a demandé l'autorisation de convertir la demande en un litige. La Cour fédérale a accueilli la demande du SPC et celle-ci a été radiée en août 2003 avec adjudication de frais à l'intimé.

Yukon Hospital Corporation c. Commissaire à la protection de la vie privée du Canada

Nde dossier de la Cour fédérale T-1451-03

Plainte

Le Commissariat à la protection de la vie privée a reçu une plainte d'une employée qui prétendait que le Whitehorse General Hospital avait refusé de donner suite à sa demande d'accès à ses renseignements personnels. L'hôpital a par conséquent été informé qu'une plainte avait été déposée et qu'une enquête s'amorçait.

L'hôpital a soutenu que, pour que la LPRPDE s'applique, il doit exercer des activités commerciales ou exploiter un ouvrage, une entreprise ou un secteur d'activité fédéral. Il était d'avis que ni l'une ni l'autre de ces conditions ne s'appliquaient et, par conséquent, que l'hôpital n'était pas assujetti à la LPRPDE. En revanche, le commissaire a prétendu que les entreprises interterritoriales des trois territoires étaient visées par l'expression « entreprises fédérales » au sens du paragraphe 2(1), mais plus particulièrement de l'alinéa 2(1)i) (« les installations, ouvrages, entreprises ou secteurs d'activité ne ressortissant pas au pouvoir législatif exclusif des législatures provinciales ») et que, partant, les employés d'organisations telles que le Whitehorse General Hospital étaient assujettis à la LPRPDE. C'est pourquoi le Commissariat entend poursuivre l'enquête qu'il est habilité à mener aux termes de la loi.

Intervention du CPVP

Le commissaire a dû donner suite à la demande de contrôle judiciaire de l'allégation de compétence du Commissariat.

État de la situation

Aux termes de l'article 18.1 de la Loi sur les Cours fédérales, l'hôpital a déposé une demande de contrôle judiciaire de la décision du commissaire à la protection de la vie privée selon laquelle le Whitehorse General Hospital était assujetti à la LPRPDE et de sa décision ultérieure de déclencher une enquête.

La plaignante a fini par conclure une entente avec l'hôpital qui comprenait notamment le retrait de ses plaintes auprès du Commissariat à la protection de la vie privée. Au retrait des plaintes, la demande de contrôle judiciaire a été officiellement abandonnée en février 2004.

Blood Tribe Department of Health c. Commissaire à la protection de la vie privée du Canada

No de dossier de la Cour fédérale T-2222-03

Plainte

Une plainte a été déposée auprès du Commissariat à la protection de la vie privée alléguant (entre autres choses) que le Blood Tribe Department of Health avait refusé à une personne l'accès à ses renseignements personnels sans justifier son refus. Bien que le commissaire doive avoir accès à tous les documents pour s'assurer que les exceptions invoquées ont été bien appliquées et pour éviter les abus, dans le cadre de l'enquête, le Blood Tribe Department of Health a refusé de donner au commissaire à la protection de la vie privée accès à des documents protégés par le secret professionnel. En raison de ce refus, le Commissariat à la protection de la vie privée a pris une ordonnance de production de dossiers conformément aux alinéas 12(1)a) et c) de la LPRPDE.

Intervention du CPVP

Le commissaire a dû donner suite à une demande de contrôle judiciaire de l'allégation de compétence du Commissariat.

État de la situation

Aux termes de l'article 18.1 de la Loi sur les Cours fédérales, le Blood Tribe Department of Health a déposé une demande de contrôle judiciaire de la décision du commissaire de prendre une ordonnance de production de dossiers. La demande a été déposée à la Cour fédérale en octobre 2003, mais le nom de l'intimé contenait une erreur, de sorte que l'avis de demande a dû être modifié et présenté de manière appropriée le 3 juin 2004. La demande suit maintenant son cours normal.

Canada (Procureur général) c. Canada (Commissaire à l'information), 2004 CF 431, [2004] A.C.F. no 524

Même si la commissaire à la protection de la vie privée n'est pas intervenue, la procédure suivante est une importante décision pour le Commissariat étant donné que le commissaire à l'information et la commissaire à la protection de la vie privée disposent tous les deux des mêmes pouvoirs d'enquête en vertu des lois les régissant respectivement.

En mars 2004, la Cour fédérale a rejeté 25 demandes de contrôle judiciaire que le gouvernement avait déposées afin de limiter les pouvoirs d'enquête du commissaire à l'information.

Le gouvernement a contesté le pouvoir d'enquêter du commissaire à l'information et prétendu que le Cabinet du Premier ministre et les cabinets des ministres étaient distincts du Bureau du Conseil privé et du ministère d'un ministre. La Cour a conclu qu'il était trop tôt pour statuer sur l'assujettissement des dossiers à la Loi et que le commissaire à l'information aurait dû pouvoir terminer son enquête et présenter son rapport avant que ces questions ne soient soulevées. En présentant une telle conclusion, la Cour a reconnu l'importance du rôle d'enquêteur du commissaire et des examens indépendants lorsque les droits d'accès sont contestés.

Le gouvernement a porté appel d'un point légal limité de la décision portant sur la question de savoir si le commissaire à l'information a le droit de prendre connaissance d'un mémoire juridique.


Troisième partie - Gestion intégrée

Notre cheminement vers le renouveau institutionnel

Cette dernière année a été éprouvante pour le Commissariat en raison de l'enchaînement des événements ayant entouré la démission de l'ancien commissaire en juin 2003. L'enquête d'un comité parlementaire, le rapport de la vérificatrice générale, une enquête de la Commission de la fonction publique et de nombreux examens et vérifications internes ont détourné temps et énergie des fonctions de bureau normales. Ces vérifications et examens ont mis au jour une défaillance d'envergure des processus de gouvernance externe et de contrôle interne au CPVP. Le Commissariat a pris des mesures notables pour rebâtir et renouveler l'organisme.

Une série de mesures correctives ont été prises et continuent de l'être afin d'améliorer le cadre et les processus de gestion du Commissariat, dont celles qui suivent :

  • la nomination de deux commissaires adjoints et d'un agent en chef des services financiers;
  • la mise sur pied d'un comité consultatif externe d'experts-conseils nationaux en matière de renseignements personnels ;
  • la présentation d'un plan de modernisation de la fonction de contrôleur au Conseil du Trésor;
  • l'offre de séances de formation en matière de politiques de gestion financière ainsi que de valeurs et d'éthique aux gestionnaires et aux employés;
  • la nomination d'un des commissaires adjoints à titre de chef de file en matière d'éthique et de valeurs du CPVP;
  • l'élaboration d'une stratégie et d'un plan d'action en matière de ressources humaines;
  • la mise sur pied de comités de santé et sécurité et de comités consultatifs syndicaux-patronaux;
  • la mise en oeuvre d'un programme d'apprentissage de l'École de la fonction publique du Canada à l'intention des employés.

Le processus de planification stratégique, lancé en janvier 2004, représente une importante partie de notre renouvellement interne. Il s'agit d'un exercice de planification transparente exigeant une très forte participation des employés. Le processus a établi un cadre global d'élaboration des stratégies du CPVP ainsi que des mesures clés pour l'exercice 2004-2005. Le cadre stratégique qui en a résulté a servi de fondement au Rapport sur les plans et les priorités que nous avons remis au Conseil du Trésor en avril.

Dans le cadre de l'exercice de planification, la haute direction a établi des résultats stratégiques clés pour le CPVP dont celui d'« être un organisme parlementaire bien géré, efficace et efficient ». Pour ce faire, le CPVP devra principalement élaborer et mettre en oeuvre un plan de modernisation de la fonction de contrôleur. Le Plan d'action de la modernisation de la fonction de contrôleur établi et présenté au Conseil du Trésor en mars dernier nous permettra de nous assurer que des processus et des contrôles de gestion satisfaisants sont en place et qu'ils procurent de solides assises aux activités du Commissariat. Les communications périodiques aux employés sur la modernisation de la fonction de contrôleur et la présentation de rapports d'étape à la haute direction favoriseront une culture de contrôleur moderne et veilleront à ce que les principes et les pratiques se rapportant à la modernisation de la fonction de contrôleur soient respectés.

Le cadre de modernisation de la fonction de contrôleur du Commissariat accorde une très grande importance aux ressources humaines et repose au premier plan sur des éléments tels que les valeurs et l'éthique partagées et des employés motivés. Nous mettons l'accent sur ces importants volets du cadre de modernisation de la fonction de contrôleur, lequel s'inscrit dans les efforts globaux de renouveau du CPVP.

Les autres grandes réalisations en matière de gestion intégrée en 2003-2004 sont énumérées ci-après :

  • Lancement de l'Application d'enquête intégrée (AEI), un système intégré de gestion de la charge de travail qui appuie les principaux procédés opérationnels.
  • Achèvement d'une analyse des menaces et des risques associés à la technologie de l'information (TI), qui a porté sur des éléments tels que la sécurité et les opérations de TI. Nombre des recommandations formulées dans l'analyse, dont celles se rapportant précisément à l'intégration des réseaux externes et internes, ont été mises en oeuvre.
  • Achèvement et mise en place d'un cadre révisé de délégation des pouvoirs financiers.
  • Fourniture de séances de formation aux employés du CPVP sur les politiques financières importantes comme celles sur la délégation des pouvoirs, les voyages et l'accueil.
  • Élaboration d'une stratégie relative à l'hébergement pour le CPVP.
  • Amélioration des contrôles du processus de passation de marchés.

Au cours de l'exercice 2004-2005, la Direction de la gestion intégrée concentrera ses efforts sur des initiatives dans des domaines tels que la mesure du rendement, la rationalisation des procédés opérationnels ainsi que la gestion et la planification des ressources humaines au CPVP.

Au début de l'exercice 2003-2004, le budget du Commissariat s'établissait à 11,2 millions de dollars, soit le même montant que celui de l'exercice précédent. De cette somme, 6,7 millions de dollars visent les activités du Commissariat à l'égard de la LPRPDE. Le financement des activités du CPVP est et demeure un enjeu important.

Au départ, le financement au titre de la LPRPDE a été fourni pour une période de trois ans se terminant le 31 mars 2004, ce qui devait permettre au CPVP d'administrer la nouvelle Loi. Cette Loi a commencé à s'appliquer à certains secteurs, notamment les entreprises sous réglementation fédérale, en janvier 2001. Toutefois, à partir de janvier 2004, la portée de la Loi a été élargie afin d'inclure l'ensemble du secteur privé. Lorsque le financement a été accordé pour les trois premières années de mise en oeuvre de la LPRPDE, on s'attendait à ce qu'à la fin de cette période, le Commissariat tienne en compte l'exercice des activités liées à la LPRPDE et confirme auprès du Conseil du Trésor ses besoins financiers permanents pour ces travaux.

Malheureusement, en raison des événements de l'exercice 2003-2004 se rapportant à la démission de l'ancien commissaire, nous n'avons pu mener cet examen avec le Conseil du Trésor. À la fin de 2003-2004, nous avons obtenu des fonds provisoires pour un an au titre des activités du CPVP liées à la LPRPDE pour l'exercice 2004-2005. À l'heure actuelle, le Commissariat se penche sur ses ressources financières et prévoit remettre un compte rendu au Conseil du Trésor à l'automne 2004 dans lequel il demandera des crédits permanents conformément à la Loi sur la protection des renseignements personnels et à la LPRPDE.

Ressources
Du 1er avril 2003 au 31 mars 2004

  Dépenses
globales ($)
% du total
Loi sur la protection des renseignements personnels 4 171 661 37,61 %
Loi sur la protection des renseignements personnels et les documents électroniques 4 768 650 42,99 %
Gestion intégrée 2 151 980 19,40 %
Total 11 092 291 100,00 %

À noter que depuis mars 2004, le Commissariat à la protection de la vie privée du Canada compte 95 employés à temps plein.

Dépenses
détaillées (1)
Loi sur la protection des renseignements personnels Loi sur la protection des renseignements personnels et les documents électroniques Gestion intégrée Total
Salaires et traitements 3 605 276 3 176 545 401 153 7 182 974
Cotisations au régime d'avantages sociaux des employés 198 097 878 851 160 870 1 237 818
Transports et communications 108 074 93 266 238 789 440 129
Information 70 366 80 773 76 088 227 227
Services professionnels 191 986 385 886 588 181 1 166 053
Locations 16 328 - 82 277 98 605
Réparations et entretien - - 291 026 291 026
Approvisionnements et fournitures 8 613 3 330 82 454 95 397
Achat de machines et d'équipements - 150 000 230 985 380 985
Autres subventions et paiements (27 079) - 156 (26 923)
Total $4 171 661 $4 768 651 $2 151 979 $11 092 291

(1) Les dépenses globales correspondent aux données des comptes publics.

États financiers

Ces dernières années, dans le cadre de la Stratégie d'information financière, le receveur général du Canada et les ministères se sont appliqués à implanter de nouveaux systèmes d'information financière et à acquérir l'expertise comptable essentielle à l'adoption de la comptabilité d'exercice intégrale. Chargé de surveiller la réalisation de cette initiative, le Secrétariat du Conseil du Trésor a aussi mis au point les conventions comptables et les programmes de formation nécessaires pour instaurer la comptabilité d'exercice à l'échelle du gouvernement.

Grâce à la méthode de la comptabilité d'exercice, il est possible d'établir des états financiers qui présentent un tableau plus complet et à jour de la situation financière et reflètent davantage l'impact des événements économiques et des décisions qui ont été prises au cours de l'année financière. Une information de meilleure qualité contribue à accroître la transparence et la responsabilisation.

Les ministères et organismes vont intégrer des états financiers établis selon la méthode de la comptabilité d'exercice de façon progressive. Les établissements publics ont commencé à présenter des états financiers établis selon cette méthode à la partie II du volume II des Comptes publics du Canada 2001-2002. Pour 2003-2004, les bureaux des cinq agents du Parlement (vérificateur général, directeur général des élections, commissaire aux langues officielles, commissaire à l'information et commissaire à la protection de la vie privée) présenteront leurs états financiers selon la comptabilité d'exercice en appliquant les principes comptables généralement reconnus. L'information sur l'utilisation de leurs crédits que contenaient les rapports précédents sur le rendement est présentée dans les tableaux qui suivent.

La présentation de renseignements sur l'utilisation des crédits est axée sur les dépenses et l'acquisition de ressources. La comptabilité d'exercice permet de présenter le coût des activités qui ont été réalisées ou les recettes qui ont été perçues au cours de l'année ainsi que les avoirs qui ont été utilisés et les obligations financières dont il faudra s'acquitter à l'avenir. Pour plus de renseignements sur l'adoption de la comptabilité d'exercice intégrale, veuillez vous reporter à l'annexe 6 du Plan budgétaire de 2003.

La lettre de responsabilité de la direction a l'égard des états financiers et les états financiers vérifiés en date du 31 mars 2004 peuvent êtres consultés sur notre site web http://www.priv.gc.ca.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :