Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Rapport annuels au Parlement concernant la Loi sur la protection des renseignements personnels 2006-2007

Table des matières

Message de la commissaire

Principales réalisations en 2006-2007

Création d’une loi digne du XXIe siècle

Enjeux clés en 2006-2007

VOL D’IDENTITÉ

Éviter une crise de l’identité

SÉCURITÉ NATIONALE

Mesures antiterroristes : en avons-nous fini avec le 11 septembre?

LISTE DES PERSONNES INTERDITES DE VOL ET AUTRES PROGRAMMES DE SÉCURITÉ RELATIFS AU VOYAGE

Les programmes de sécurité relatifs aux voyages respectent-ils les exigences en matière de protection de la vie privée?

CIRCULATION TRANSFRONTALIÈRE DES DONNÉES

La protection de la vie privée dans le contexte de la circulation transfrontalière des données

VÉRIFICATION DES ÉVALUATIONS DES FACTEURS RELATIFS À LA VIE PRIVÉE

Un outil aussi essentiel pour la protection de la vie privée doit mieux fonctionner

Réponse aux plaintes et aux incidents relatifs à la protection des renseignements personnels

Activités des directions

Priorités pour l’année qui vient

Annexe 1

Annexe 2

Annexe 3

Données sur les plaintes reçues en vertu de la Loi sur la protection des renseignements personnels

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3

Téléphone : 613-995-8210, 1-800-282-1376
Téléc. : 613-947-6850
ATS 613-992-9190

© Ministre des Travaux publics et Services gouvernementaux Canada 2007

ISSN 1913-7559

Cette publication est également disponible sur notre site Web à www.priv.gc.ca.

Octobre 2007

L’honorable Noël A. Kinsella, sénateur
Président
Le Sénat
Ottawa (Ontario)  K1A 0A4

Monsieur,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2006 au 31 mars 2007 conformément à la Loi sur la protection des renseignements personnels.

            Je vous prie d’agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

(Document original signé par)

Jennifer Stoddart

Octobre 2007

L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa (Ontario)  K1A 0A4

Monsieur,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2006 au 31 mars 2007 conformément à la Loi sur la protection des renseignements personnels.

            Je vous prie d’agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

(Document original signé par)

Jennifer Stoddart

Message de la commissaire

Photo of Jennifer Stoddart

L'un des rôles clés de la commissaire à la protection de la vie privée du Canada est de favoriser les changements qui permettront de mieux protéger le droit à la vie privée de la population canadienne. Dans cette société de surveillance qu’est devenue la société canadienne d’aujourd’hui, les Canadiennes et Canadiens veulent des lois rigoureuses pour protéger leur vie privée et exigent que le gouvernement fédéral prenne ses responsabilités extrêmement au sérieux à cet égard. De nouveau, en 2006-2007, nous avons relevé de nombreux domaines où le gouvernement fédéral doit intervenir pour répondre aux attentes de la population canadienne.

En tête de liste des interventions nécessaires dans le secteur public figure la réforme de la Loi sur la protection des renseignements personnels.

Cette Loi, qui régit la manière dont les institutions fédérales recueillent et traitent les renseignements personnels, aura 25 ans cette année. Malheureusement, il n’y a pas lieu de se réjouir; car si au moment de son adoption, elle revêtait un caractère avant-gardiste, cette Loi, qui, pourtant, est essentielle à la protection du droit à la vie privée des Canadiennes et des Canadiens, est tombée en désuétude au fil des ans.

Dans cette société de
surveillance qu’est devenue
la société canadienne
d’aujourd’hui, les
Canadiennes et Canadiens
veulent des lois rigoureuses
pour protéger leur vie
privée et exigent que le
gouvernement fédéral
prenne ses responsabilités
extrêmement au sérieux à
cet égard.

D’autres commissaires et défenseurs de la vie privée réclament depuis des années une réforme urgente de la Loi sur la protection des renseignements personnels. Je reviens à la charge dans le présent rapport annuel en insistant sur le message suivant : la réforme de la Loi sur la protection des renseignements personnels est impérieuse.

Au moment de son adoption, la Loi sur la protection des renseignements personnels était un outil législatif très progressiste sur le plan social. Toutefois, elle n’a pas évolué au gré des bouleversements de la société. Elle a été conçue à une époque où les fonctionnaires ne disposaient que de machines à écrire et non de systèmes informatiques capables de diffuser des renseignements personnels partout sur la planète au moyen d’un simple clic de la souris.

Un cadre général qui régit la manière dont l’administration fédérale recueille, utilise, communique et protège les renseignements personnels s’impose. La responsabilisation et la transparence doivent en être les principes directeurs et la saine gestion, le modus operandi.

Au moment de son
adoption, la Loi sur la
protection des renseignements
personnels était un outil
législatif très progressiste
sur le plan social. Toutefois,
elle n’a pas évolué au gré des
bouleversements de
la société.

De nombreuses modifications à la Loi s’imposent et nous les avons décrites dans des rapports détaillés présentés au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Les modifications les plus urgentes sont celles qu’il faut apporter pour répondre aux exigences de transparence, de reddition de comptes et d’ouverture que les Canadiennes et les Canadiens exigent de plus en plus de leur gouvernement. Nous avons proposé de modifier la Loi sur la protection des renseignements personnels pour :

  • Y ajouter l’obligation pour les ministères de définir clairement les buts visés de leurs collectes de renseignements personnels et d’en prouver la nécessité au moyen d’un « test de nécessité », lequel assurerait un équilibre plus juste entre le besoin de protéger la vie privée et celui de préserver la sécurité de notre société.
  • Permettre aux Canadiennes et aux Canadiens, ou à la commissaire à la protection de la vie privée qui agirait en leur nom, de demander à la Cour fédérale de remédier aux abus de l’administration publique en matière de collecte, d’utilisation et de communication des renseignements personnels.
  • Donner force de loi à la Politique fédérale d’évaluation des facteurs relatifs à la vie privée afin que les ministères en respectent entièrement les dispositions, car une vérification du Commissariat a révélé que ce n’est pas toujours le cas actuellement.
  • Confier au Commissariat un mandat clair en matière de sensibilisation du grand public et lui accorder des mécanismes souples pour rendre compte des pratiques de gestion des renseignements personnels des institutions gouvernementales. Nous savons que les Canadiennes et les Canadiens veulent un gouvernement et une administration publique plus responsables, ouverts et transparents tout au long de l’année et non uniquement au moment de la production du rapport annuel.

Au cours du dernier exercice, notre attention s’est concentrée sur quelques questions clés : le vol d’identité, la sécurité nationale, les programmes de sécurité relatifs aux voyages tels que la liste des personnes interdites de vol, la circulation transfrontalière des données et la protection des renseignements personnels.

Le vol d’identité est clairement lié à la vie privée. L’une des idées maîtresses derrière la notion de protection de la vie privée consiste en ce que les gens puissent exercer un contrôle sur l’utilisation et la communication de leurs renseignements personnels. Or, les victimes de vol d’identité ont perdu le contrôle de leurs renseignements personnels et cette situation peut avoir des conséquences dévastatrices sur leur vie personnelle et professionnelle. Cette coûteuse forme de fraude porte gravement atteinte à la vie privée. Nous croyons que le gouvernement fédéral doit jouer un rôle de chef de file en ce qui a trait à l’élaboration d’une stratégie de lutte contre le vol d’identité.

Par ailleurs, l’érosion constante du droit à la vie privée découlant des mesures prises pour renforcer la sécurité nationale à la suite des attentats du 11 septembre nous inquiète vivement depuis quelques années. Il semble cependant que certaines mesures de sécurité préoccupantes adoptées peu après le 11 septembre soient actuellement remises en question; sans doute est-ce un nouveau virage.

Néanmoins, nous doutons du bien-fondé de l’utilisation systématique des programmes de sécurité relatifs aux voyages tels que la liste des personnes interdites de vol. Nous demeurons sceptiques face à l’idée que les avantages pour la sécurité contrebalancent les risques pour la vie privée. Nous avons d’ailleurs l’intention d’effectuer une vérification de ce programme un an après son lancement.

Nous demeurons aussi préoccupés par les risques de brèches dans la protection des données qui peuvent résulter de la circulation transfrontalière accrue des renseignements personnels sans mesures de protection appropriées. La nécessité de se doter de cadres internationaux et de mécanismes d’application mondiaux pour gérer la circulation transfrontalière des données est de plus en plus évidente.

Notre rapport annuel nous fournit l’occasion de parler publiquement des enquêtes que nous menons par suite du dépôt de plaintes concernant des institutions fédérales. L’erreur humaine a été la cause d’un grand nombre de brèches sur lesquelles nous avons enquêté cette année. C’est pourquoi nous croyons nécessaire d’offrir une meilleure formation et d’établir des procédures détaillées. En outre, les conclusions des enquêtes menées cette année ont soulevé des questions sur la surveillance en milieu de travail.

Dans ce rapport, nous mettons également en lumière les conclusions de notre vérification du respect de la Politique fédérale d’évaluation des facteurs relatifs à la vie privée des ministères. Ces évaluations servent à cerner, à éliminer ou à atténuer les risques potentiels pour la vie privée que posent les programmes et services nouveaux ou repensés de l’administration fédérale. Nous avons été déçus de constater que certaines des institutions ne respectent pas entièrement leurs engagements envers cette Politique. Il est grand temps que le Secrétariat du Conseil du Trésor revoie cette politique. Le Commissariat souhaite travailler de concert avec le Secrétariat du Conseil du Trésor, les ministères et les organismes pour s’assurer que les évaluations des facteurs relatifs à la vie privée sont utilisées à bon escient.

Nous avons terminé l’année en préparant la 29e Conférence internationale des commissaires à la protection des données et de la vie privée. Du 25 au 28 septembre 2007, nous accueillerons à Montréal les plus grands experts du monde dans le domaine de la protection de la vie privée. La Conférence nous permettra de suivre de près l’évolution de la protection de la vie privée et de nous attaquer aux grands dossiers du jour comme le forage de données, l’authentification et la gestion de l’identité.

La Conférence représente également une occasion en or pour le gouvernement fédéral de montrer que le Canada est digne de sa réputation de chef de file international dans le domaine de la protection de la vie privée et prendre sans tarder des mesures pour actualiser sa loi sur la protection des renseignements personnels dans le secteur public. Nous devons faire de la Loi sur la protection des renseignements personnels un sujet de fierté renouvelée pour les Canadiennes et les Canadiens en leur donnant un outil législatif qui sera un pilier de notre système démocratique.

Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Principales réalisations en 2006-2007

En vertu de la Loi sur la protection des renseignements personnels, le Commissariat à la protection de la vie privée du Canada (CPVP) sert trois groupes de clients clés : le Parlement, les ministères et les organismes fédéraux et la population canadienne. Le texte qui suit décrit certaines de nos principales réalisations en 2006-2007.

Soutien proactif au Parlement

  • le CPVP a comparu à 11 reprises devant des comités parlementaires relativement à des questions comme la Loi sur la responsabilité, la Loi électorale du Canada, la Loi antiterroriste et la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes.
  • il a recommandé des mesures pour atténuer les risques des programmes de sécurité relatifs aux voyages pour la protection de la vie privée ainsi que des projets pilotes comprenant le Programme de protection des passagers ou la liste des personnes interdites de vol.
  • il a présenté une proposition de réforme contenant des modifications urgentes et en profondeur de la Loi sur la protection des renseignements personnels.

Au service des Canadiennes et des Canadiens

  • le CPVP a répondu à 3 400 demandes de renseignements concernant la Loi sur la protection des renseignements personnels et à 3 557 demandes de renseignements généraux.
  • il a enquêté sur des centaines de plaintes relatives à la protection de la vie privée dans les secteurs public et privé.

Soutien aux institutions fédérales

  • le CPVP a examiné les politiques et les initiatives gouvernementales en ce qui a trait à la législation sur la protection de la vie privée et a présenté ses commentaires à des institutions et à des parlementaires fédéraux.
  • il a entrepris une vérification à l’échelle de l’administration fédérale de la Politique d’évaluation des facteurs relatifs à la vie privée et a collaboré avec le Secrétariat du Conseil du Trésor pour faciliter la réalisation de ces évaluations.
  • il a effectué 22 évaluations des facteurs relatifs à la vie privée et lancé six nouveaux projets de vérification.
Autres faits saillants :
  • le CPVP s’est préparé pour la 29e Conférence internationale des commissaires à la protection des données et de la vie privée
  • il a financé 11 projets de recherche sur les nouveaux enjeux en matière de protection de la vie privée
  • il a travaillé avec l’Organisation de coopération et de développement économiques (OCDE) et la Coopération économique de la zone Asie-Pacifique (APEC) pour améliorer la protection des renseignements personnels que s’échangent les pays
  • comme la Loi sur la responsabilité a pour résultat de faire figurer pour la première fois le CPVP dans la liste des organismes fédéraux assujettis à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels, nous avons créé un bureau de l’accès à l’information et de protection des renseignements personnels au sein du CPVP.

Création d’une loi digne du XXIe siècle

La Loi sur la protection des renseignements personnelsest demeurée pratiquement la même depuis son adoption il y a 25 ans et ne répond plus aux besoins d’une société profondément transformée

En 1982, l’année même du lancement de l’ordinateur Commodore 64, le Parlement adoptait la Loi sur la protection des renseignements personnels. À l’époque, les deux étaient perçus comme des initiatives novatrices.

Le Commodore 64, qui ressemblait à un gros clavier et possédait 64 kilo-octets de mémoire vive et une puce de 1 MHz, était le premier ordinateur à prix abordable conçu pour les particuliers. Cette invention canadienne a souvent été comparée au modèle T de Ford.

La Loi sur la protection des renseignements personnels a été le tout premier instrument juridique canadien à traiter exclusivement de la protection de la vie privée. Auparavant, seules des dispositions limitées de la Loi canadienne sur les droits de la personne abordaient la question. Avec l’avènement de la nouvelle loi, le droit à la vie privée faisait un immense bond en avant.

Depuis, il s’est écoulé un quart de siècle. En 1982, la revue Time rompait avec sa traditionnelle nomination de « L’Homme de l’année » et nommait plutôt l’ordinateur la « Machine de l’année ». L’article du Time, qui rappelait à quel point l’ordinateur était devenu un outil courant, avait été dactylographié.

Les temps ont changé, de même que l’environnement de la protection de la vie privée. La technologie a créé des problèmes nouveaux et complexes en ce domaine.

En 1982, Internet, les systèmes mondiaux de localisation, les appareils d’identification par radiofréquence, l’impartition transfrontalière et le forage de données étaient des concepts nouveaux. Aujourd’hui, ces technologies sont courantes et font perdre beaucoup de sommeil aux défenseurs de la vie privée. Une autre génération de technologies qui comportent des risques pour la protection de la vie privée – la scintigraphie cérébrale et la « poussière intelligente », par exemple – est à nos portes.

La Loi sur la protection des
renseignements personnels
n’a pas été conçue pour le
monde dans lequel nous
vivons et elle ne protège
plus les Canadiennes et les
Canadiens d’aujourd’hui.
En fait, elle est désuète
depuis longtemps.

Les difficultés que pose la protection de la vie privée pour les gouvernements d’aujourd’hui sont exacerbées par la mondialisation et l’importance grandissante que prend la sécurité nationale dans la foulée des attentats terroristes du 11 septembre.

La Loi sur la protection des renseignements personnels n’a pas été conçue pour le monde dans lequel nous vivons et elle ne protège plus les Canadiennes et les Canadiens d’aujourd’hui. En fait, elle est désuète depuis longtemps.

Les premières propositions de réforme de la Loi remontent à 1987. Malheureusement, les gouvernements fédéraux qui se sont succédés n’ont pas tenu compte des nombreuses demandes de réformes qui se font de plus en plus pressantes.

En revanche, la loi canadienne qui régit la protection de la vie privée dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), est entrée en vigueur en 2001. Elle a eu pour effet de mettre encore davantage en relief les lacunes de la législation correspondante pour le secteur public. Il est malheureux que les mesures de protection de la vie privée offertes aux Canadiennes et aux Canadiens soient plus efficaces pour les renseignements personnels détenus par le secteur privé que pour ceux qui se trouvent entre les mains du gouvernement.

Les Canadiennes et les Canadiens réclament des lois sur la protection de la vie privée rigoureuses et modernes. Un sondage Ekos commandé en 2007 par le CPVP a révélé les faits suivants :

  • quatre personnes sur cinq accordent une grande importance aux lois qui protègent efficacement la vie privée
  • la grande majorité des Canadiennes et des Canadiens estiment que leurs renseignements personnels sont moins bien protégés aujourd’hui qu’il y a 10 ans
  • les trois quarts des Canadiennes et des Canadiens sont d’avis qu’il est urgent de moderniser la Loi sur la protection des renseignements personnels afin de contrer les menaces posées par les nouvelles technologies
  • seulement 17 p. 100 des Canadiennes et des Canadiens croient que le gouvernement et les entreprises prennent au sérieux la protection des renseignements personnels.

Le message clé qui ressort de ce sondage, c’est que les Canadiennes et les Canadiens s’attendent à ce que leur gouvernement assure une meilleure protection de la vie privée.

En juin 2006, le CPVP a présenté au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique un vaste plan de réforme de la Loi sur la protection des renseignements personnels afin qu’elle assure aux Canadiennes et aux Canadiens la protection qu’ils exigent. Le rapport, intitulé Responsabilité du gouvernement en matière de renseignements personnels; Réforme de la Loi sur la protection des renseignements personnels, est affiché sur le site Web du CPVP. Le Comité a examiné en détail la LPRPDE et nous espérons qu’il en fera de même avec la Loi sur la protection des renseignements personnels à l’automne 2007.

Toutefois, nous pouvons signaler un point encourageant à l’égard de la Loi sur la protection des renseignements personnels, une loi trop longtemps négligée. À la fin de 2006, la Loi sur la responsabilité, qui étend la couverture de la Loi sur la protection des renseignements personnels, a reçu la sanction royale. Bien qu’il s’agisse d’une étape importante permettant d’accroître le nombre d’institutions gouvernementales assujetties à la Loi sur la protection des renseignements personnels, la Loi sur la responsabilité n’a aucunement contribué à rehausser adéquatement les normes de protection de la vie privée.

De nombreux changements sont nécessaires pour réformer la Loi sur la protection des renseignements personnels de première génération. Les principales questions à traiter sont l’élargissement de l’éventail des pratiques équitables de traitement de l’information, une ouverture et une transparence accrues, l’expansion du droit d’accès aux renseignements personnels, les limites et les conditions rattachées à la circulation transfrontalière des données et un plus grand recours à la Cour fédérale.

Principes de traitement équitable de l’information

Une loi efficace sur la protection des renseignements personnels doit reposer sur un solide système de gestion régissant la collecte, l’utilisation et la communication des renseignements personnels. De toute évidence, les principes de traitement équitable de l’information qui sous-tendent la Loi sur la protection des renseignements personnels comportent des lacunes et s’accompagnent de mécanismes de contrôle des pratiques de gestion de l’information de l’administration fédérale trop laxistes, voire inexistants.

Nous devons prendre des mesures pour que le gouvernement fédéral recueille aussi peu d’informations que possible en introduisant dans la Loi un « test de nécessité » obligeant ainsi les ministères à prouver la nécessité de la collecte de renseignements. Il est particulièrement important de trouver un juste équilibre entre la sécurité publique et la protection de la vie privée dans un monde où les événements du 11 septembre ont entraîné une intensification des activités de surveillance.

La Loi sur la protection des renseignements personnels ne contient aucune règle de base sur le couplage de données, y compris le forage et l’agrégation de données. Nous avons demandé une réforme de la Loi sur la protection des renseignements personnels pour définir les principes qui doivent guider le couplage de données et les responsabilités des parties concernées. La Loi devrait exiger des ministères fédéraux qu’ils obtiennent l’approbation de la commissaire à la protection de la vie privée avant de lancer des initiatives de couplage de données. Ce n’est pas la pratique actuelle. La commissaire devrait avoir le pouvoir de faire cesser le couplage de données si cela entraîne des risques importants d’atteinte à la vie privée. D’autres juridictions, comme l’Australie, la Nouvelle-Zélande et Hong Kong, ont réagi aux préoccupations que suscite le couplage de données en traitant leurs lois en conséquence. Ici, la Loi sur la protection des renseignements personnels demeure muette sur le sujet.

Par ailleurs, la Loi sur la protection des renseignements personnels ne propose pas non plus de règles précises pour protéger les renseignements personnels du grand public dans le contexte du gouvernement en ligne. Le Canada doit légiférer en la matière comme l’ont fait les États-Unis en adoptant la E-Government Act of 2002.

Ouverture et transparence accrues

La transparence et l’ouverture doivent être au cœur des pratiques équitables de traitement de l’information. L’article 72 de la Loi sur la protection des renseignements personnels exige que le responsable de chacune des institutions gouvernementales présente un rapport annuel au Parlement sur l’application de la Loi au sein de son institution. Le but était de donner au Parlement et au public les moyens de vérifier la manière dont les ministères traitaient des questions liées à la protection de la vie privée et, ainsi, d’encourager les ministères à repérer et à corriger les problèmes systémiques ou récurrents. Toutefois, comme la Loi ne précise pas quelles informations doivent se retrouver dans les rapports annuels, ceux-ci s’apparentent davantage à de simples recueils de données statistiques sur le nombre de demandes reçues et traitées aux termes de la Loi sur la protection des renseignements personnels qu’à une présentation des questions soulevées ou des problèmes précis ou systémiques. Ces rapports ne jettent aucun éclairage sur les problèmes ou leurs solutions et ne font rien pour obliger les institutions à rendre compte de leurs actions et de leurs décisions en matière de protection de la vie privée.

Nous sommes également
préoccupés par le fait
que la Loi n’assure
pas suffisamment
la transparence, la
responsabilisation et
la surveillance des
pratiques de gestion des
renseignements personnels
des organismes chargés
de la sécurité nationale.
Des exigences de reddition
de comptes au Parlement
plus strictes pourraient
obliger ces organismes
à être redevables auprès
des Canadiennes et des
Canadiens.

Nous sommes également préoccupés par le fait que la Loi n’assure pas suffisamment la transparence, la responsabilisation et la surveillance des pratiques de gestion des renseignements personnels des organismes chargés de la sécurité nationale. Des exigences de reddition de comptes au Parlement plus strictes pourraient obliger ces organismes à être redevables auprès des Canadiennes et des Canadiens.

Une façon d’accroître la transparence au sein de l’administration publique serait de donner force de loi à la Politique fédérale d’évaluation des facteurs relatifs à la vie privée. Les ministères n’auraient plus d’autres choix que de s’y conformer.

Les Canadiennes et les Canadiens sont en droit d’être mieux informés des questions relatives à la vie privée que soulèvent les enquêtes du CPVP. Jusqu’à maintenant, nous avons fait état des résultats de nos enquêtes seulement dans nos rapports annuels. À l’avenir, nous prévoyons produire des rapports spéciaux lorsque des circonstances exceptionnelles le dictent pour que les parlementaires puissent réagir rapidement. Nous croyons que les Canadiennes et les Canadiens ont le droit d’être informés dans les meilleurs délais possibles des questions relatives à la protection des renseignements personnels au sein de l’administration fédérale.

La Loi sur la responsabilité assujettit les hauts fonctionnaires du Parlement, y compris le CPVP, à la Loi sur la protection des renseignements personnels et à la Loi sur l’accès à l’information. Nous accueillons favorablement ce changement qui apportera davantage de transparence et de responsabilisation quant au fonctionnement de l’administration fédérale. Nous croyons que notre organisation doit être assujettie à la Loi sur la protection des renseignements personnels et à la Loi sur l’accès à l’information et que nous devons être tenus de respecter les mêmes normes que celles imposées aux organismes soumis à nos enquêtes. Nous devons maintenant nous efforcer de rehausser les normes qui régissent les institutions gouvernementales.

Accès aux renseignements personnels

La Loi sur la protection des renseignements personnels permet aux institutions gouvernementales un trop grand nombre de dérogations qui empêchent les gens d’accéder à leurs renseignements personnels.

La Loi exige que soient respectés les droits des personnes qui se trouvent en sol canadien. Les passagers des lignes aériennes, les éventuels immigrants, les étudiants qui présentent des demandes de l’étranger et d’innombrables autres personnes n’ont donc pas le droit, selon la Loi, d’examiner ou de corriger des renseignements erronés dans les dossiers de l’administration publique canadienne ou de savoir comment l’information qui les concerne est utilisée ou communiquée. Malgré les engagements qu’a pris le gouvernement d’interpréter la Loi de façon plus large, le Canada accuse du retard par rapport à la tendance internationale. L’Union européenne, par exemple, garantit l’accès à toutes les personnes visées par les données, sans égard à la citoyenneté ou au lieu de résidence.

Heureusement, certaines institutions gouvernementales telles que l’Agence des services frontaliers du Canada, ont conclu une entente administrative pour que les personnes qui résident dans les pays de l’Union européenne puissent avoir accès à leurs renseignements personnels recueillis au moyen de la compilation de l’information préalable sur les voyageurs et des dossiers passagers des voyageurs aériens.

Le droit d’accès aux renseignements personnels prévu par la Loi sur la protection des renseignements personnels doit aussi être renforcé au moyen de sanctions – comme celles prévues par la Loi sur l’accès à l’information – en cas de destruction, de modification, de falsification ou de dissimulation d’un dossier personnel.

La Loi sur la protection
des renseignements
personnels est dépassée.
Les Canadiennes et les
Canadiens veulent et
méritent que leur vie privée
soit mieux protégée.

Circulation transfrontalière des données

La Loi sur la protection des renseignements personnels doit aussi être revue en profondeur de façon à tenir compte de la circulation transfrontalière de données. Actuellement, elle ne prévoit aucune disposition à cet égard.

En effet, les normes régissant la communication de renseignements personnels établies par la Loi sur la protection des renseignements personnels comportent de graves lacunes. De nombreuses dispositions juridiques sur la protection des données, notamment celles adoptées par l’Union européenne, limitent la communication de renseignements personnels détenus par les agences et ministères gouvernementaux aux États étrangers qui assurent un niveau approprié de protection des renseignements personnels.

La Loi sur la protection des renseignements personnels doit, à tout le moins, établir clairement qu’en cas d’impartition, les institutions gouvernementales demeurent responsables des renseignements personnels sous leur contrôle. (On trouvera à la p. 40 d’autres observations sur la nécessité de réformer la Loi sur la protection des renseignements personnels par rapport à la circulation transfrontalière des données.)

Rôle accru de la Cour fédérale

La Loi sur la protection des renseignements personnels ne donne ni aux plaignants ni à la commissaire à la protection de la vie privée le droit d’intenter des poursuites devant la Cour fédérale relativement à la collecte, l’utilisation ou la communication inappropriées de renseignements personnels par des institutions gouvernementales. Actuellement, le refus d’accès aux renseignements personnels est le seul motif permettant de recourir à la Cour fédérale en cas de contravention à la Loi sur la protection des renseignements personnels.

Comme la collecte, l’utilisation ou la communication inappropriées de renseignements personnels peuvent humilier, nuire ou causer des torts, des situations embarrassantes ou des pertes financières, la Loi doit prévoir des indemnités de la part des institutions gouvernementales fautives. Les victimes, ou la commissaire agissant en leur nom, doivent pouvoir demander à la Cour fédérale de se pencher sur leurs dossiers de collecte, d’utilisation et de communication inappropriées de renseignements personnels au terme d’une enquête. La Cour doit avoir le pouvoir d’évaluer les dommages.

Ces pouvoirs sont prévus par la LPRPDE. La menace d’une poursuite devant les tribunaux est un bon moyen d’encourager les entreprises à tenir compte de nos recommandations et pourrait l’être aussi pour le secteur public.

Conclusion

Voilà quelques-unes des réformes requises pour pallier aux lacunes de la Loi sur la protection des renseignements personnels et en faire une loi qui protège efficacement la vie privée des Canadiennes et des Canadiens.

Le Commodore 64 – aussi innovateur et populaire fut-il dans les années 80 – ne répond plus à nos besoins en 2007. La Loi sur la protection des renseignements personnels est tout aussi dépassée. Les Canadiennes et les Canadiens veulent et méritent que leur vie privée soit mieux protégée.

Loi sur la protection des renseignements personnels – Chronologie

De 1978 à 1983

 La Loi canadienne sur les droits de la personne est la seule loi où figurent des dispositions sur la protection de la vie privée.

1982

 Le Parlement adopte la Loi sur la protection des renseignements personnels.

1983

 La Loi sur la protection des renseignements personnels entre en vigueur le 1er juillet. Le Commissariat à la protection de la vie privée du Canada (CPVP) entame ses activités.

1987

 Un comité parlementaire effectue un examen obligatoire de la Loi et présente un rapport détaillé recommandant des modifications importantes. Au total, le document comporte plus de 100 recommandations adoptées à l’unanimité. Le gouvernement s’engage à modifier la Loi mais n’y donne pas suite.

1997

 Un autre comité parlementaire recommande une refonte en profondeur du régime de protection de la vie privée au Canada, y compris le remplacement de la Loi sur la protection des renseignements personnels par une loi sur la protection des données.

2000

 Dans son dernier rapport, lequel visait l’exercice 1999-2000, le commissaire à la protection de la vie privée de l’époque, Bruce Phillips, qualifiait la réforme de la Loi « d’urgente et d’inévitable ».

2000

 Le CPVP présente un examen détaillé de la Loi au ministère de la Justice du Canada.

2005

 Le CPVP déclare au Parlement que « c’est un euphémisme que de qualifier la Loi de surannée quand il s’agit de faire face aux réalités d’aujourd’hui. Il est plus juste de la comparer à un cheval de trait se démenant pour suivre des appareils technologiques frôlant la vitesse de la lumière ».

2006

 Dans son rapport annuel, la commissaire Jennifer Stoddart réclame une nouvelle Loi sur la protection des renseignements personnels et déclare que « la population canadienne mérite d’obtenir réparation pour les torts qui lui sont causés ».

2006

 La commissaire Jennifer Stoddart présente au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique une proposition de réforme de la Loi.

Enjeux clés en 2006-2007 : le vol d’identité

Éviter une crise de l’identité

Le Canada doit élaborer d’urgence une stratégie générale de lutte contre le vol d’identité

Où conservez-vous votre numéro d’assurance sociale (NAS)?

Où les Canadiens conservent-ils leur carte d’assurance sociale?
Les Canadiens n’ont pas besoin de leur numéro d’assurance sociale sur eux, mais ils sont nombreux à le faire (malgré une tendance à la baisse).

Où les Canadiens conservent-ils leur carte d’assurance sociale?

Source : Sondage Ekos commandé par le CPVP, mars 2007

Près de la moitié des Canadiennes et des Canadiens conservent leur carte d’assurance sociale – sur laquelle est inscrit le numéro d’assurance sociale – dans leur portefeuille, même si le NAS est un renseignement personnel clé recherché par les voleurs d’identité. Plusieurs personnes ne font toujours pas le nécessaire pour se protéger contre le vol d’identité malgré une préoccupation croissante face à ce type de fraude.

L’organisation d’activités plus concertées de sensibilisation du grand public n’est qu’un moyen parmi d’autres pour s’attaquer au vol d’identité. Il est clair que si nous voulons faire de réels progrès, le Canada doit se doter d’une stratégie générale de lutte contre le vol d’identité exigeant la participation de divers intervenants.

Le CPVP a exhorté le gouvernement fédéral de devenir le principal artisan d’un plan général pour combattre le vol d’identité – un type de fraude au moyen duquel un escroc utilise les renseignements personnels d’une autre personne pour obtenir des cartes de crédit et des prêts, ouvrir des comptes bancaires ou se procurer de nouveaux documents tels qu’un permis de conduire ou un numéro d’assurance sociale.

Comment les voleurs d’identité obtiennent leurs renseignements
Vol matériel Technologie Ingénierie sociale
Vol de pièces d’identité Piratage de bases de données Faux-semblant
Vol d’initiés Logiciel espion/malveillant Concours bidons

Le moment est venu de passer à l’action

Tout le monde ne comprend pas le vol d’identité de la même façon. Certains utilisent cette expression pour désigner toutes sortes de crimes allant de la fraude directe, comme de faux chèques ou le vol de cartes de crédit, jusqu’à des escroqueries très complexes où un imposteur crée une identité « synthétique » en combinant des renseignements personnels réels et fictifs. Pour la majorité des Canadiennes et des Canadiens, le vol d’identité signifie l’utilisation ou la communication de l’identité d’une personne à son insu ou sans son consentement.

De nombreux ministères
et organismes
gouvernementaux
s’intéressent au vol
d’identité mais aucun n’a
pour mandat de
s’y attaquer.

PhoneBusters, le centre d’appel anti-fraude de la police provinciale de l’Ontario et de la GRC, possède les meilleures données sur le sujet au Canada, bien qu’il reconnaisse qu’il ne s’agit là que d’une infime partie des fraudes réelles. En 2006, PhoneBusters a recensé quelque 7 800 personnes qui se disaient victimes de vol d’identité. Ces personnes ont déclaré qu’elles-mêmes ou leur entreprise avaient subi des pertes totalisant plus de 16 millions de dollars. PhoneBusters estime que ces chiffres ne représentent qu’un petit pourcentage, soit environ 5 p. 100 des chiffres réels.

Il est clair que le vol d’identité, qualifié par certains de « crime du XXIe siècle », a connu une croissance si rapide et a eu un tel impact financier et émotionnel que nous devons trouver des façons plus efficaces d’y mettre un terme.

Initiatives clés pour combattre
le vol d’identité
élaboration d’une stratégie fédérale concertée pour lutter contre le vol d’identité;
réforme de la Loi sur la protection des renseignements personnels exigeant une plus grande protection des renseignements personnels détenus par les institutions publiques;
nouvelles sanctions civiles et modifications au Code criminel pour punir plus efficacement les voleurs d’identité;
réformes législatives pour sévir contre l’obtention de renseignements par faux semblant;
mesures du gouvernement fédéral pour mettre un frein au pourriel;
initiatives de sensibilisation du grand public plus concertées.

Forte centralisation

Nous devrions peut-être examiner l’approche adoptée par nos voisins du Sud et nous en inspirer pour élaborer un plan général de lutte contre le vol d’identité.

En mai 2006, le président Bush a créé un groupe de travail sur le vol d’identité pour mobiliser les ressources du gouvernement américain afin de combattre le vol d’identité. Ce groupe est coprésidé par le procureur général des États-Unis, M. Alberto R. Gonzales, et par Mme Deborah Platt Majoras, présidente de la Commission fédérale du commerce. Il comprend d’autres hauts représentants des États-Unis. Le groupe de travail a mis moins d’un an à produire un rapport contenant une liste exhaustive de recommandations.

Au Canada, de nombreux ministères et organismes gouvernementaux s’intéressent au vol d’identité mais aucun n’a pour mandat de s’y attaquer. Nous exhortons le gouvernement fédéral à réunir un large éventail d’intervenants pour trouver les meilleures solutions à ce problème.

Selon nous, une loi qui protège plus efficacement les renseignements personnels, des sanctions plus sévères en cas d’obtention de renseignements par faux semblant et de menaces en ligne de même que la sensibilisation du grand public constituent des éléments essentiels à notre stratégie de lutte contre le vol d’identité.

Textes de loi sur la protection des renseignements personnels – secteur privé

La Loi sur la protection des renseignements personnels et les documents électroniques qui régit le secteur privé au Canada, la LPRPDE, peut réduire considérablement le risque de vol d’identité, à condition que les entreprises assujetties à cette loi en respectent les dispositions. Toutefois, la Loi sur la protection des renseignements personnels ne suffit pas à protéger les Canadiennes et les Canadiens à cet effet.

La LPRPDE est utile dans la mesure où elle fixe des limites à la collecte de renseignements personnels par le secteur privé. Elle exige des organisations qu’elles définissent les fins auxquelles les renseignements personnels sont recueillis et les oblige à réduire au minimum la quantité de renseignements nécessaires pour y arriver. Ainsi, les clients courent moins de risques dans l’éventualité où la sécurité des banques de données serait compromise.

En vertu de la LPRPDE, les organisations engagées dans des activités commerciales doivent prendre des mesures convenables pour protéger les renseignements personnels de leurs clients. Plus les renseignements sont sensibles, plus les mesures de sécurité doivent être efficaces. C’est un autre moyen de contrer le vol d’identité.

La Loi sur la protection des renseignements personnels et le vol d’identité

À l’heure actuelle, la LPRPDE protège mieux les renseignements personnels détenus par le secteur privé que la Loi sur la protection des renseignements personnels ne protège ceux détenus par les institutions gouvernementales.

Cet écart doit être comblé. Les institutions gouvernementales conservent beaucoup de renseignements personnels et sont donc en proie au vol d’identité. Dans un rapport publié en mars 2007, l’entreprise américaine Symantec a déclaré que le secteur public de 180 pays était responsable de 25 p. 100 des brèches dans la protection des données pouvant mener au vol d’identité.

Les institutions
gouvernementales
conservent beaucoup de
renseignements personnels
et sont donc en proie au vol
d’identité.

Nous avons recommandé que soit modifiée la Loi sur la protection des renseignements personnels pour y inclure l’obligation pour les institutions gouvernementales de recueillir seulement le minimum de renseignements personnels nécessaires. Les institutions devraient aussi être obligées de protéger de façon appropriée les renseignements personnels qu’elles recueillent, utilisent ou communiquent.

Du côté de l’administration publique, les Lignes directrices sur les atteintes à la vieprivée du Conseil du Trésor sont utiles mais il nous faut mettre davantage l’accent sur la protection de l’information détenue par le gouvernement.

Contribution du CPVP à la lutte
contre le vol d’identité
les enquêtes en vertu de la Loi sur la protection des renseignements personnels et les évaluations des facteurs relatifs à la vie privée aident les ministères fédéraux à mieux protéger les renseignements personnels;
les enquêtes et les vérifications en vertu de la LPRPDE aident les organismes du secteur privé à mieux protéger les renseignements personnels;
le CPVP informe les parlementaires des questions relatives au vol d’identité et formule des recommandations pour combattre ce type de fraude;
il publie des renseignements comme les Lignes directrices en matière d’identification et d’authentification pour aider les organisations à protéger les renseignements personnels;
il produit des documents destinés au grand public pour aider les gens à se protéger contre les voleurs d’identité;
il s’adresse régulièrement aux médias pour leur parler du vol d’identité afin de sensibiliser le public;
il finance la recherche sur le vol d’identité.

La législation sur la protection des renseignements personnels est importante mais elle ne constitue qu’une solution partielle, car elle s’applique aux organismes gouvernementaux et aux organisations commerciales. L’application de sanctions plus sévères est peut-être un moyen plus efficace de punir les auteurs de vol d’identité.

Sanctions plus sévères

Le vol d’identité est certainement un important problème pour les autorités chargées du maintien de l’ordre. Les criminels se servent de plus en plus de la technologie pour exploiter les faiblesses des systèmes de gestion des renseignements personnels afin de détourner des sommes énormes.

En 2004, Justice Canada a lancé des consultations sur le vol d’identité. Nous avons fortement incité le ministre de la Justice à apporter des modifications au Code criminel pour punir plus sévèrement les voleurs d’identité. Nous croyons aussi qu’il est important d’envisager de nouvelles sanctions au civil.

Obtention de renseignements par faux semblant

Des réformes législatives sont aussi nécessaires pour contrer « l’obtention de renseignements par faux semblant », forme de fraude au moyen duquel un individu possédant certains renseignements sur une personne arrive à en obtenir d’autres en leurrant une organisation. Par exemple, un fraudeur communique avec une organisation en se faisant passer pour la personne à l’égard de laquelle il désire obtenir des renseignements, pour un de ses proches ou pour une personne autorisée à obtenir ces renseignements.

Dans les cas sur lesquels nous avons enquêté en vertu de la LPRPDE, nous avons constaté qu’un courtier américain avait obtenu des renseignements par faux semblant lui permettant d’accéder illégalement à des listes téléphoniques personnelles d’entreprises de télécommunication canadiennes. Veuillez consulter le site Web du CPVP à http://www.priv.gc.ca/cf-dc/2007/372_20070709_f.cfm.

Dans l’affaire très médiatisée de ChoicePoint, des criminels se faisant passer pour des représentants d’entreprises légitimes ont réussi à tromper un courtier américain en données sur la consommation de manière à obtenir des renseignements personnels sur plus de 160 000 consommateurs. On suppose que des centaines de personnes ont été victimes de vol d’identité suite à cette escroquerie.

En soi, l’obtention de renseignements par faux semblant n’est pas une infraction au Canada. Elle ne le devient que si on peut prouver qu’une personne avait des intentions criminelles. Nous estimons que le ministre de la Justice et ses collaborateurs devraient explorer des façons de sévir contre la possession et la collecte non autorisée de renseignements personnels.

Les organisations peuvent se protéger contre l’obtention de renseignements par faux semblant en utilisant des procédures d’authentification appropriées pour s’assurer que les personnes qui leur demandent des renseignements sont bien celles qu’elles prétendent être. En octobre 2006, nous avons publié un guide sur l’identification et l’authentification à l’intention des organisations. Ce document se trouve dans le site Web du CPVP à l’adresse http://www.priv.gc.ca/information/guide/auth_061013_f.cfm.

Menaces en ligne

Une autre façon d’empêcher les voleurs d’identité d’obtenir des renseignements personnels est de prendre des mesures pour bloquer le pourriel. Les voleurs d’identité se servent souvent du pourriel pour lancer des attaques d’ « hameçonnage » où des courriels qui semblent provenir d’organisations légitimes sont utilisés pour tromper les gens et obtenir d’eux des renseignements personnels.

Le groupe international à but non lucratif Spamhaus classe le Canada au sixième rang des pays qui produisent le plus de pourriels. Bien plus qu’un simple inconvénient, le pourriel a des conséquences financières sur notre économie. Il nuit à la productivité et suscite de la méfiance envers le commerce électronique.

À ce jour, le gouvernement fédéral n’a appliqué aucune des recommandations de son Groupe de travail sur le pourriel. À notre grande consternation, le Canada est maintenant le seul pays du G-8 sans loi antipourriel. La commissaire a écrit au ministre de l’Industrie pour demander que l’on prenne des mesures à cet égard. On peut lire sa lettre dans le site Web du CPVP à l’adresse http://www.priv.gc.ca/parl/2007/sub_070222_07_f.cfm.

Sensibilisation du grand public

Des campagnes de sensibilisation du grand public mieux concertées devraient être menées pour rappeler aux gens l’importance de protéger leur portefeuille et leurs numéros de carte de crédit, de prendre au sérieux la sécurité en ligne et de déchiqueter leurs documents qui contiennent des renseignements personnels.

Nous avons lancé certaines initiatives de sensibilisation du grand public à cet égard. En outre, nous avons produit des documents sur la prévention du vol d’identité, financé des projets de recherche sur le vol d’identité et traité du vol d’identité dans des présentations partout au pays.

Conclusion

Le vol d’identité est un problème complexe. Les organisations et les personnes ne peuvent à elles seules y faire face. Le gouvernement fédéral a un rôle important à jouer, celui d’élaborer d’urgence une stratégie, de coordonner les efforts des différents intervenants et de créer un cadre juridique pour donner à la police les outils nécessaires dont elle a besoin pour combattre le vol d’identité.

Enjeux clés en 2006-2007 : la sécurité nationale

Mesures antiterroristes : en avons-nous fini avec le 11 septembre?

Depuis des années, le droit à la vie privée et d’autres droits ont été relégués au second plan pour des raisons de sécurité nationale mais il semble que cette approche soit en train d’être repensée

Le contexte de la sécurité nationale au Canada a changé radicalement depuis les attentats terroristes du 11 septembre. La surveillance accrue exercée par l’État sans contrôle ou presque, l’expansion des banques de données intégrées et l’échange d’informations au-delà de nos frontières entre divers organismes et juridictions ont miné le droit à la vie privée.

Les défenseurs du droit à la vie privée et des droits civils nous disent depuis longtemps que le droit à la vie privée et d’autres droits de la personne ont été négligés par suite des mesures précipitées prises par les gouvernements pour protéger la sécurité nationale.

Le droit à la vie privée
et d’autres droits de la
personne ont été négligés
par suite des mesures
précipitées prises par
les gouvernements pour
protéger la sécurité
nationale.

Nous commençons désormais, cinq ans après les attentats du 11 septembre, à nous poser des questions sur l’équilibre entre ces droits et la sécurité. Nous observons en même temps des signes d’assouplissement de ces mesures de sécurité.

Un monde métamorphosé

L’adoption de la Loi antiterroriste en novembre 2001 a marqué le début d’une nouvelle ère en matière de sécurité nationale au Canada, une ère caractérisée par des pouvoirs accrus accordés aux organismes chargés d’appliquer les lois et d’assurer la sécurité nationale et par des changements fondamentaux à l’appareil gouvernemental. Cette législation a aussi mené à l’accroissement de la circulation transfrontalière des renseignements personnels sans précautions appropriées pour protéger la vie privée.

Nous avons constamment
remis en question la
nécessité d’accorder
ces pouvoirs ainsi que
leur efficacité et leur
proportionnalité.

Tous ces changements ont été apportés sans avoir vraiment fait l’objet d’un examen ou d’un débat.

Au cours des dernières années, le CPVP a tiré la sonnette d’alarme à de nombreuses reprises.

À maintes occasions, nous avons signalé que l’accroissement des pouvoirs de surveillance de l’État représentait une menace pour le droit à la vie privée. Nous avons remis en question l’absence de distinctions entre les activités de collecte de renseignements pour assurer la sécurité nationale et celles visant l’application des lois dans le cadre de nombreuses initiatives lancées après le 11 septembre. Nous avons aussi déclaré que les normes de collecte de données devaient être plus sévères pour les activités antiterroristes que pour celles visant simplement l’application des lois.

Il a été troublant d’observer que l’accroissement des pouvoirs et des rôles des organismes chargés de la sécurité nationale s’accompagnait d’un relâchement de la surveillance de leurs activités. En fin de compte, la responsabilisation et la transparence du gouvernement s’en sont trouvées très amoindries.

Nous avons constamment remis en question la nécessité d’accorder ces pouvoirs ainsi que leur efficacité et leur proportionnalité. Nous avons aussi demandé qu’on exerce un plus grand contrôle sur les activités quotidiennes des organismes chargés de la sécurité nationale et de l’application des lois.

Signes prometteurs

Il a été encourageant de voir, en 2006-2007, que ceux qui demandaient une approche plus équilibrée commençaient à se faire entendre. Dans certains cas, nous avons enfin assisté à un nouvel examen de la proportionnalité et de l’équité de certaines mesures antiterroristes.

Cette remise en question a pris de nombreuses formes. Des examens parlementaires, des contestations judiciaires et une enquête très médiatisée ont jeté un éclairage nouveau sur la portée de la Loi antiterroriste.

L’affaire Arar

Les pouvoirs accrus des organismes chargés de la sécurité nationale et de l’application des lois accordés après le 11 septembre, ont été soumis à un examen minutieux suite à l’enquête fédérale sur la tragique affaire de M. Maher Arar, un Canadien d’origine syrienne déporté en Syrie par des agents américains qui le soupçonnaient de terrorisme. Le chef de cette commission d’enquête, le juge Dennis O’Connor, a réclamé à grands cris qu’on exerce un plus grand contrôle sur les pouvoirs de ces organismes.

Le juge O’Connor a documenté la communication aux autorités américaines par la GRC de renseignements trompeurs et inexacts sur M. Arar. Selon le juge, ce sont probablement ces renseignements qui ont motivé la déportation de M. Arar en Syrie où il a été emprisonné et torturé. Les enquêteurs ont cherché des preuves que M. Arar était mêlé à des activités terroristes et n’ont rien trouvé.

Le rapport O’Connor contient les recommandations suivantes :

  • la création d’un organisme indépendant d’examen des plaintes et de la sécurité nationale en vue d’examiner les activités de la GRC;
  • l’expansion du mandat du Comité de surveillance des activités de renseignement de sécurité (CSARS) pour examiner les activités de sécurité nationale non seulement du Service canadien du renseignement de sécurité (SCRS) mais aussi celles de Citoyenneté et Immigration Canada, de Transports Canada, du Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) et d’Affaires étrangères et Commerce international Canada.

Nous nous attendons à ce que le gouvernement envisage sérieusement la mise en œuvre de ces recommandations.

La Loi antiterroriste

La Loi antiterroriste a été placée sous les feux des projecteurs en 2006, cinq ans après son adoption précipitée dans la foulée des attentats du 11 septembre. Deux comités parlementaires ont effectué un examen obligatoire de la Loi.

Le CPVP a fait des représentations aux deux comités, affirmant que la Loi allait trop loin, qu’elle portait gravement atteinte au droit à la vie privée et qu’elle devait être abrogée « en l’absence de preuves convaincantes pour maintenir son existence ».

Contexte – la Loi antiterroriste
La Loi antiterroriste a apporté des changements radicaux à la façon de traiter la sécurité nationale au Canada :
elle a entraîné la modification du Code criminel pour permettre aux organismes chargés de la sécurité nationale et de l’application de la loi d’obtenir des mandats de surveillance électronique;
elle a étendu la portée de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (blanchiment d’argent) pour contrer le financement des activités terroristes;
elle a amené la modification de la Loi sur la défense nationale pour accorder au Centre de la sécurité et de télécommunications le pouvoir d’intercepter des communications canadiennes plutôt que seulement des communications étrangères;
elle a entraîné la modification de la Loi sur la preuve au Canada pour permettre au procureur général d’interdire la communication d’informations lors de procédures judiciaires lorsque la sécurité nationale ou les relations internationales sont menacées;
elle a amené la modification de la Loi sur la protection des renseignements personnels et de la LPRPDE pour y ajouter des dispositions permettant au procureur général d’émettre des certificats interdisant la communication d’informations qui pourraient mettre en péril la sécurité nationale ou les relations internationales.

Le CPVP a accueilli avec plaisir les 40 recommandations d’un comité sénatorial spécial lesquelles pourraient apporter une solution à des déséquilibres fondamentaux de la Loi antiterroriste. Dans son rapport de février 2007 intitulé Justice fondamentale dans des temps exceptionnels, le comité a présenté les recommandations suivantes :

  • la nomination de défenseurs spéciaux pour représenter les intérêts des personnes à qui on avait refusé l’accès aux preuves présentées contre elles relativement à une accusation de terrorisme;
  • des modifications à la Loi sur la preuve au Canada pour y intégrer des dispositions supplémentaires afin de protéger la vie privée à la suite de l’émission de certificats interdisant de communiquer des renseignements pour protéger la sécurité nationale ou les relations du Canada avec des entités étrangères.

Le deuxième examen, mené par un sous-comité du Comité permanent de la sécurité publique et nationale de la Chambre des communes, a débouché sur la publication en mars 2007, d’un rapport intitulé Droits, restrictions et sécurité : Un examen complet de la Loi antiterroriste et des questions connexes. Ce rapport était beaucoup plus favorable à la Loi. Toutefois, il y était recommandé que le commissaire du Centre de la sécurité des télécommunications (CST) soit obligé d’examiner les activités d’interception du CST pour s’assurer que celles-ci sont conformes à la Loi sur la protection des renseignements personnels et à la Charte canadienne des droits et libertés.

Réduire les pouvoirs de la police

Nous avons constaté un autre signe encourageant, soit la réduction des pouvoirs de la police en ce qui a trait aux activités antiterroristes. Les dispositions de la Loi antiterroriste relatives aux arrestations préventives et aux investigations ont été abrogées. Elles permettaient à la police d’arrêter et de détenir pendant 72 heures et sans porter d’accusations, une personne soupçonnée de terrorisme. Elles obligeaient également une personne soupçonnée de détenir de l’information sur des activités terroristes à témoigner devant un juge. Cela allait à l’encontre du droit d’une personne de garder le silence.

La Loi stipulait que ces deux dispositions expireraient cinq ans après leur adoption à moins qu’elles ne soient renouvelées. Le 27 février 2007, la Chambre des communes votait contre leur prolongation et elles étaient abrogées le 1er mars 2007.

Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (blanchiment d’argent)

La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes a aussi fait l’objet d’un examen obligatoire. Dans ce cas, des modifications ont considérablement accru la portée de la Loi. Désormais, plus d’organisations recueilleront davantage de renseignements sur un plus grand nombre de personnes relativement à un plus large éventail de transactions.

Sur une note plus positive, une nouvelle modification exige que le CPVP examine tous les deux ans les mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) pour protéger les renseignements personnels. Nous présenterons nos conclusions au Parlement. Bien que nous ayons déjà le pouvoir d’examiner les activités du CANAFE en vertu de la Loi sur la protection des renseignements personnels, nous sommes heureux qu’il soit reconnu expressément que les mesures prises par le Canada en matière de lutte contre le blanchiment d’argent et le terrorisme exigent une attention spéciale.

Contestations judiciaires

L’héritage du 11 septembre,
qui repose sur une culture
du secret et de la sécurité
à tout prix, sera difficile
à défaire.

Une autre excellente nouvelle fut la décision de la Cour suprême du Canada selon laquelle le processus de certificat de sécurité prévu par la Loi sur l’immigration et la protection des réfugiés était inconstitutionnel. Dans l’affaire Charkaoui c. le Canada, la Cour suprême a tranché que ce processus qui était antérieur aux attentats terroristes de 2001, ne respectait pas les exigences de la Charte canadienne des droits et libertés.

L’affaire visait M. Adil Charkaoui, né au Maroc, qui vivait au Canada quand il a été détenu en vertu d’un certificat de sécurité. On a allégué qu’il représentait une menace pour la sécurité nationale du Canada. Depuis, il a été libéré sous des conditions strictes.

Le processus de certificat de sécurité permet aux ministres de la Citoyenneté et de l’Immigration et de la Sécurité publique du Canada de signer un certificat déclarant que, dans l’intérêt de la sécurité nationale, un résidant permanent ou un ressortissant étranger est inadmissible au Canada. Ce processus mène à la détention et à l’expulsion du Canada. La décision de la Cour est importante au regard des pratiques équitables de traitement de l’information parce qu’elle limite la capacité de l’État à refuser à des personnes d’accéder aux renseignements utilisés contre elles.

La Cour a jugé que ce processus portait atteinte au droit à un procès équitable parce que la personne soupçonnée et son avocat sont exclus de la procédure et ne peuvent contester les preuves avancées.

Des préoccupations subsistent

Bien que de nombreux intervenants réclament des changements, nous avons été déçus de l’adoption de nouvelles mesures fédérales, en particulier l’expansion des mesures contre le financement des activités terroristes et la création de la liste des personnes interdites de vol, mesures qui menacent le droit à la vie privée des Canadiennes et des Canadiens.

Est-ce qu’un meilleur équilibre serait en train de s’établir entre le droit à la vie privée et les exigences en matière de sécurité nationale? Seul l’avenir le dira.

Le CPVP continuera de contester l’expansion des pouvoirs de surveillance de l’État aux dépens du droit à la vie privée. L’héritage du 11 septembre, qui repose sur une culture du secret et de la sécurité à tout prix, sera difficile à défaire.

Enjeux clés en 2006-2007 :
la Liste des personnes interdites de vol et autres programmes de sécurité relatifs aux voyages

Les programmes de sécurité relatifs aux voyages respectent-ils les exigences en matière de protection de la vie privée?

Le CPVP s’inquiète des risques pour la vie privée que comportent ces programmes et croit qu’un examen parlementaire s’impose

La prolifération des programmes de sécurité relatifs aux voyages remet en cause l’équilibre délicat entre les besoins de sécurité nationale et le droit à la vie privée. Le droit à la vie privée des personnes qui voyagent est-il bien protégé? Comment ces programmes seront-ils mis en œuvre? Dans le cadre de sa planification des vérifications, le CPVP a examiné le vaste éventail de programmes de sécurité et de projets pilotes relatifs aux voyages du gouvernemental fédéral.

Risques pour la protection de la vie privée

Nous avons constaté
qu’il existe un grand
nombre de systèmes et de
programmes de sécurité
liés aux voyages qui se
recoupent. Ils représentent
une menace à la vie privée.

Nous avons étudié un grand nombre de ces programmes dont le plus connu est sans doute la liste des personnes interdites de vol, afin de mieux en comprendre les buts et leur portée. En rassemblant l’information pour planifier la vérification, nous avons constaté qu’il existe un grand nombre de systèmes et de programmes de sécurité liés aux voyages qui se recoupent. Ils représentent une menace à la vie privée car ils permettent de recueillir, de stocker, de trier et d’utiliser des renseignements personnels.

Le CPVP s’inquiète des risques pour la protection de la vie privée que présentent ces programmes et estime que le Parlement doit les étudier avec circonspection. L’un des programmes qui mérite une attention particulière est le Programme de protection des passagers de Transports Canada ou la liste des personnes interdites de vol. En vertu du Programme, il se peut que l’on interdise à certains passagers des lignes aériennes de prendre un vol si leur nom figure sur une liste gouvernementale des personnes interdites de vol. Compte tenu de l’importance et du caractère délicat de cette liste, nous avons l’intention d’entreprendre une vérification de ce programme dans l’année qui suivra sa mise en œuvre.

Échantillon des principaux programmes de sécurité relatifs aux voyages

Agence des services frontaliers du Canada (ASFC) Système automatisé de surveillance à la ligne d’inspection primaire Les inspecteurs de la douane et les agents de renseignement créent, consultent, mettent à jour et diffusent des avis de surveillance qui permettent d’identifier des voyageurs ou de marquer des véhicules en fonction d’indicateurs de risque ou de renseignements précis.
  Informations préalables sur les voyageurs/Dossiers passagers Avant qu’elles ne prennent l’avion, les personnes qui peuvent représenter une menace à la sécurité sont identifiées. Les lignes aériennes fournissent de l’information sur les voyageurs et celle-ci est analysée afin d’identifier les personnes qui pourraient être liées à des activités terroristes ou criminelles graves.
  Initiative d’identification des voyageurs à risque élevé Facilite l’échange d’informations préalables sur les voyageurs du Système d’information sur les passagers de l’ASFC et du système américain Automated Targeting System-Passenger. Cette information sert à évaluer les risques.
  CANPASS – Air Facilite l’entrée au Canada des voyageurs par avion qui présentent un faible risque. Comme preuve d’identité, les voyageurs approuvés au préalable passent la douane en regardant dans une caméra qui reconnaît leur iris.
  NEXUS Un partenariat entre l’AFSC et la US Customs and Border Protection. Les membres peuvent passer la frontière plus rapidement quand ils voyagent aux États-Unis et au Canada.
Administration canadienne de la sûreté du transport aérien Contrôle pré-embarquement Contrôle des passagers et de leurs bagages de cabine pour déceler les objets défendus ou dangereux. Peut comporter une fouille, la saisie des objets et une fouille-palpation.
  Numérisation de la carte d’embarquement Projet pilote servant à améliorer la réaction aux infractions à la sécurité au-delà des points de vérification des aéroports par la numérisation de la carte d’embarquement.
Passeport Canada Passeport électronique En cours d’élaboration. Vise à réduire les risques de falsification des passeports et le vol d’identité. Comprend une technologie de puce sans contact et la possibilité d’identificateurs biométriques.
  Projet pilote de reconnaissance du visage Étude d’un logiciel de reconnaissance du visage pour prévenir la falsification des passeports.
GRC Équipes intégrées de la police des frontières Vise à améliorer la sécurité nationale en repérant les personnes et les organisations qui représentent une menace pour la sécurité nationale et en enquêtant sur elles. Ces personnes peuvent être arrêtées et des biens peuvent être saisis. Initiative canado-américaine d’application des lois.
Transports Canada Programme de protection des passagers (liste des personnes interdites de vol) Conçu pour empêcher les personnes qui représentent une menace immédiate pour la sécurité aérienne de monter à bord d’un avion au Canada ou à destination du Canada.
Service canadien du renseignement de sécurité (SCRS) Contrôle de sécurité préliminaire et Programme d’interception aux points d’entrée Conçu pour identifier les risques pour la sécurité liés à l’entrée de réfugiés. Le SCRS conseille le ministre de la Citoyenneté et de l’Immigration relativement aux critères d’inadmissibilité pour des raisons de sécurité et fournit des évaluations de sécurité. Le SCRS contrôle également les renseignements des revendicateurs du statut de réfugié.
Citoyenneté et Immigration Canada Essai de biométrie sur le terrain Les bureaux des visas à l’étranger et au Canada utilisent les technologies des empreintes digitales et de la reconnaissance du visage pour traiter les demandes de visa de résidence temporaire et les revendicateurs du statut de réfugié. L’information recueillie est transmise à une banque de données.

Liste des personnes interdites de vol au Canada

Le Programme de protection des passagers repose sur l’utilisation secrète de renseignements personnels d’une façon qui aura un impact profond sur la protection de la vie privée et d’autres droits de la personne comme la liberté d’expression et la liberté de circulation.

En vertu de ce programme, Transports Canada, grâce à l’information fournie par la GRC et le Service canadien du renseignement de sécurité, a dressé une liste de personnes qu’on estime présenter une menace immédiate pour la sécurité aérienne. Les transporteurs aériens regardent si le nom des voyageurs figure sur cette liste et, le cas échéant, alertent Transports Canada qui peut ordonner à la compagnie aérienne d’empêcher le passager de monter à bord.

Le CPVP a travaillé avec Transports Canada pour examiner l’évaluation des facteurs relatifs à la vie privée qu’il a réalisée pour le programme de la liste des personnes interdites de vol. Nous avons formulé de nombreuses propositions pour atténuer les risques d’atteinte à la vie privée dont certaines ont été adoptées. Toutefois, nous demeurons très préoccupés par l’impact du Programme dans son ensemble et nous doutons que les avantages pour la sécurité contrebalancent les risques d’atteinte à la vie privée.

Voici certaines de nos principales préoccupations :

  • Le processus d’inscription d’un nom sur la liste des personnes interdites de vol n’est pas transparent et personne n’aura le droit de savoir s’il figure sur la liste avant d’essayer de monter à bord d’un avion.
  • Il se peut que l’on interdise à des gens de prendre un vol parce qu’ils portent le même nom qu’une autre personne ou parce qu’ils ont été inscrits par erreur sur la liste. (Il s’est produit de nombreux cas semblables aux États-Unis. Des enfants se sont vu refuser l’embarquement et des personnes connues comme le sénateur Edward Kennedy ont été interrogées ou retenues au sol).
  • Dans l’éventualité où Transports Canada communiquerait la liste à d’autres gouvernements, de risques sérieux pourraient surgir. Il en serait de même si les transporteurs aériens la communiquaient à d’autres pays.
  • Le processus de retrait d’un nom sur la liste est décrit uniquement dans les procédures administratives plutôt que dans une loi adoptée au Parlement.

Nous sommes troublés par le fait que les Canadiennes et les Canadiens n’auront aucun recours légal pour aller en appel ou réclamer des indemnités pour les frais encourus ou les dommages subis. Nous ne voulons pas voir les droits des Canadiennes et des Canadiens indûment limités ou compromis lorsqu’ils se déplacent.

Conclusion

Le Parlement n’est peut-être pas suffisamment informé du fonctionnement de ces programmes et de l’impact qu’ils ont sur les personnes et l’ensemble de la société. Malheureusement, les moyens actuels de reddition de comptes au Parlement ne permettent pas de fournir des renseignements détaillés sur le fonctionnement de ces programmes ou les risques qu’ils présentent pour la protection de la vie privée.

Enjeux clés en 2006-2007 :
la circulation transfrontalière des données

La protection de la vie privée dans le contexte de la circulation transfrontalière des données

Nous vivons à une époque où les renseignements personnels de centaines de milliers de personnes peuvent être envoyés à l’autre bout de la planète au moyen d’un simple clic de la souris

L’un des aspects les plus problématiques pour les Canadiennes et les Canadiens en matière de protection de la vie privée, est de savoir comment leurs renseignements personnels qui circulent de plus en plus d’un bout à l’autre du monde seront protégés.

En effet, la technologie a permis aux ministères de faire circuler plus facilement les renseignements personnels des Canadiennes et des Canadiens au-delà de nos frontières, soit dans le cadre d’ententes d’échange d’informations avec d’autres pays, soit par l’entremise de contrats avec des entreprises de traitement de l’information.

La circulation transfrontalière des renseignements personnels est un sujet de préoccupation croissante pour le CPVP, surtout que les lacunes de la Loi sur la protection des renseignements personnels laissent les renseignements personnels sans protection juridique appropriée.

L’information qui circule hors du Canada peut être soumise aux lois de pays étrangers, y compris aux lois relatives aux enquêtes et aux saisies. En l’absence de dispositions contractuelles contraires, elle peut échapper au contrôle des organisations ou des institutions gouvernementales canadiennes.

L’échange de renseignements personnels

Dans le climat d’aujourd’hui où se mêlent des préoccupations sur la sécurité nationale et la justice pénale, les gouvernements échangent de plus en plus de renseignements personnels sensibles avec des organismes de sécurité, des forces policières et des gouvernements étrangers. Ceux-ci peuvent utiliser les renseignements personnels d’une façon nuisible pour des Canadiennes et Canadiens qui n’ont pourtant rien à se reprocher.

Le transfert de
renseignements
personnels à l’extérieur
du Canada peut avoir
des conséquences
désastreuses.

Le gouvernement du Canada a conclu de nombreuses ententes d’échange de renseignements personnels avec d’autres pays et organismes internationaux. Les ministères fédéraux échangent directement de l’information avec des institutions gouvernementales d’autres pays, généralement en vertu d’ententes qui établissent ce que les institutions étrangères peuvent faire de l’information obtenue. Dans d’autres cas, les ministères fédéraux peuvent, par souci d’efficacité, recourir à l’impartition pour le traitement des renseignements personnels sur des Canadiennes et des Canadiens auprès d’entreprises étrangères.

Le transfert de renseignements: une affaire risquée

Comme nous l’avons déjà vu dans l’affaire de M. Maher Arar, le transfert de renseignements personnels à l’extérieur du Canada peut avoir des conséquences désastreuses.

Dans notre rapport annuel de 2005-2006 concernant la Loi sur la protection des renseignements personnels, nous avons signalé les risques importants que présentent les pratiques d’échange d’informations de l’Agence des services frontaliers du Canada (ASFC). La vérification du CPVP a révélé que des agents de l’ASFC transmettaient verbalement une grande quantité de renseignements personnels à des agents américains plutôt que dans le cadre de demandes écrites, ce qui contrevient à la politique de l’ASFC et à une entente canado-américaine. En conséquence, l’ASFC ne pouvait pas quantifier l’information échangée. Le CPVP a fait de nombreuses recommandations que l’ASFC a accepté de mettre en œuvre. Le CPVP est en train de faire un suivi pour voir si ces lacunes ont été corrigées.

La vérification de l’ASFC a soulevé d’importantes questions sur les pratiques d’un grand nombre de ministères fédéraux et sur les mesures à prendre pour mieux protéger la vie privée des Canadiennes et des Canadiens lorsque des renseignements personnels sont transmis à l’extérieur de nos frontières.

Les lois américaines ont un impact sur la vie privée au Canada

Les retombées du 11 septembre ont aussi amené l’élaboration d’une autre loi américaine qui a causé une grande inquiétude de ce côté-ci de la frontière, soit la USA PATRIOT Act. Cette loi permet au Federal Bureau of Investigation (FBI) d’obtenir, auprès des entreprises américaines qui les détiennent, des renseignements personnels de gens vivant n’importe où au monde, y compris au Canada.

En 2006, nous avons examiné une autre question concernant les autorités américaines qui accèdent en secret à des renseignements personnels sur des Canadiennes et Canadiens.

Dans le cas en question, les agents américains utilisaient des assignations plutôt que la USA PATRIOT Act pour accéder à d’énormes quantités de données financières internationales. Les renseignements personnels de nombreux Canadiennes et Canadiens n’y ont pas échappé.

Cette communication de renseignements a été révélée dans un article du New York Times. Celui-ci décrivait comment, depuis 2001, le département du Trésor américain avait accédé régulièrement à des milliers de dossiers de la Society for Worldwide Interbank Financial Telecommunication (SWIFT).

Nous avons enquêté pour connaître la façon dont les renseignements personnels recueillis par des institutions financières canadiennes étaient par la suite communiqués aux autorités américaines par l’entremise de la SWIFT. La SWIFT est une coopérative financière basée en Europe qui fournit des services de messagerie et des logiciels d’interface aux institutions financières de plus de 200 pays dont le Canada. Nous avons examiné l’affaire dans le cadre de la LPRPDE et conclu que la SWIFT n’avait pas contrevenu à la Loi lorsqu’elle avait répondu à des assignations délivrées à l’extérieur du pays. La LPRPDE permet à une organisation comme la SWIFT de se conformer aux lois légitimes d’autres pays où elle fait des affaires.

Toutefois, en rendant ses résultats publics, la commissaire à la protection de la vie privée a demandé aux représentants du Canada d’exhorter leurs homologues américains d’utiliser les mécanismes canadiens de lutte contre le blanchiment de l’argent et le terrorisme pour obtenir des renseignements personnels plutôt que de recourir à des assignations comme cela s’était fait dans le cas de la SWIFT. Si les autorités américaines estiment qu’elles ont besoin d’informations sur des transactions concernant des Canadiennes et des Canadiens, elles doivent être encouragées à utiliser des mécanismes qui présentent une certaine transparence et qui comprennent des mesures de protection de la vie privée.

L’inquiétude que continue de susciter chez nous la circulation de renseignements personnels sur des Canadiennes et des Canadiens aux États-Unis, tient en partie au fait que la protection accordée par la US Privacy Act ne s’étend pas aux ressortissants étrangers. Les Canadiennes et les Canadiens ne peuvent donc invoquer aucune protection de leur vie privée, y compris des droits d’accès ou des dédommagements aux termes de cette Loi. Toutefois, toute personne sur laquelle des renseignements personnels sont détenus au Canada est protégée par la loi canadienne. Il est utile de noter que, durant la période visée par le présent rapport annuel, les États-Unis et l’Union européenne ont entamé des négociations en vue de conclure un accord sur les données des passagers des transporteurs aériens. Cet accord, nous l’espérons, étendra la protection dela US Privacy Act à tous les voyageurs, y compris aux Canadiennes et aux Canadiens, lorsque leurs renseignements personnels seront recueillis par le gouvernement américain.

La réaction du gouvernement fédéral

Le Secrétariat du Conseil du Trésor a essayé d’atténuer les effets de la USAPATRIOTAct en publiant en 2006 une stratégie fédérale à cet égard. L’examen des contrats d’impartition dans 160 institutions fédérales a révélé que plus de 80 p. 100 de celles-ci avaient déclaré que leurs contrats ne présentaient que peu ou pas de risques. L’examen a aussi aidé les ministères et les organismes à cerner les mesures à prendre pour atténuer davantage les risques. Le Secrétariat du Conseil du Trésor a en outre élaboré des lignes directrices qui régissent les activités d’impartition pour lesquelles les renseignements personnels des Canadiennes et des Canadiens sont traités ou consultés par des organismes du secteur privé en vertu de contrats avec des institutions gouvernementales.

Une refonte des
lois s’impose.

Une stratégie et des politiques fédérales relatives à la circulation transfrontalière de renseignements personnels dans le secteur privé sont utiles et accueillies favorablement, mais elles doivent de toute urgence être accompagnées de réformes des lois. Tel qu’indiqué dans le présent rapport, la Loi sur la protection des renseignements personnels est terriblement déficiente quand il s’agit de mondialisation et d’impartition massive du traitement et du stockage des renseignements personnels.

La réforme de la Loi sur la protection des renseignements personnels

Comme nous l’avons déjà mentionné, la Loi sur la protection des renseignements personnels ne permet pas de contrer les diverses menaces à la protection de la vie privée qui résultent de la tentative des gouvernements de contourner les préoccupations en cette matière alors qu’ils se pressent pour accroître les mesures de sécurité. La Loi doit être modernisée pour que des limites appropriées soient fixées au transfert des renseignements personnels à l’étranger par le gouvernement du Canada.

La Loi doit être
modernisée pour
que des limites
appropriées soient
fixées au transfert
des renseignements
personnels à l’étranger
par le gouvernement
du Canada.

La Loi actuelle n’impose que peu de contrôles sur le transfert des renseignements personnels par les institutions gouvernementales aux organismes gouvernementaux étrangers et aux organismes internationaux. Par exemple, elle permet à une institution gouvernementale de transférer des renseignements personnels à l’extérieur du Canada sans le consentement de la personne concernée a) s’il existe une entente entre le Canada et le gouvernement ou le pays étranger et b) si la communication a pour but d’appliquer une loi ou de mener une enquête légitime.

La Loi sur la protection des renseignements personnels accorde également aux institutions gouvernementales des pouvoirs généraux de communication. Les hauts dirigeants de ministères gouvernementaux peuvent communiquer des renseignements personnels à des organisations étrangères peu importe les motifs, lorsqu’ils estiment que l’intérêt public l’emporte clairement sur l’atteinte à la vie privée qui pourrait en résulter.

Aucune des dispositions de la Loi sur la protection des renseignements personnels permettant de transférer des renseignements personnels à l’extérieur du Canada ne comporte l’obligation pour l’organisation réceptrice de traiter ces renseignements conformément aux normes de protection de la vie privée auxquelles s’attendent les Canadiennes et les Canadiens.

Une entente de transfert d’informations entre un ministère et un organisme étranger peut prévoir certaines dispositions relatives à la protection des renseignements personnels, mais ce n’est pas une condition imposée par la Loi sur la protection des renseignements personnels. Nous ne pouvons laisser ainsi au hasard la protection de la vie privée des Canadiennes et des Canadiens lorsque des ministères transfèrent des renseignements personnels à l’extérieur du pays.

Faits nouveaux sur la scène internationale

Alors même qu’il demande le renforcement de la Loi sur la protection des renseignements personnels au Canada, le CPVP travaille au dossier de la circulation transfrontalière des données sur la scène internationale. La commissaire à la protection de la vie privée préside un groupe de bénévoles de l’Organisation de coopération et de développement économiques (OCDE). Ce groupe examine des façons d’encourager la coopération entre les autorités chargées de la protection des données et d’autres organismes d’application des lois concernant le traitement des plaintes à l’étranger et des cas découlant de la circulation transfrontalière des données.

Ce groupe a produit un rapport qui résume les pouvoirs des autorités chargées de l’application des lois dans les pays membres de l’OCDE et leur capacité à échanger de l’information pour faciliter la coopération transfrontalière. Le rapport note que, malgré les différences entre les lois de chacun des pays, il y a amplement de place pour une approche plus générale et systématique de la coopération relative à l’application des lois sur la protection de la vie privée à l’échelle internationale.
 
Le groupe de bénévoles a également commencé à élaborer un cadre stratégique établissant certains objectifs et décrivant les mesures que peuvent prendre les pays membres pour promouvoir et soutenir la coopération relative à l’application des lois.

Le CPVP a également contribué aux travaux de Coopération économique de la zone Asie-Pacifique (APEC) sur la protection de la vie privée. Avec la circulation croissante de données entre le Canada et les pays membres de l’APEC, le Canada s’est employé à faire en sorte que les valeurs et principes essentiels à la protection de la vie privée servent de fondement aux règles de protection des données de l’APEC. Les travaux actuels ont pour objet d’explorer des façons de mettre en œuvre le cadre de protection de la vie privée de l’APEC adopté à la fin de 2005.

Conclusion

Les Canadiennes et les Canadiens veulent mieux comprendre quand et comment leurs renseignements personnels sont transmis au-delà des frontières du pays, que ce soit dans le cadre de contrats d’impartition du traitement des données ou en vertu d’ententes d’échange d’informations entre des gouvernements pour lutter contre la criminalité, gérer la fiscalité ou assurer la sécurité nationale.

Nous devons constamment nous demander si l’échange d’informations correspond aux intérêts des Canadiennes et des Canadiens en ce qui a trait à la protection de leur vie privée. Cela ne signifie pas que nous ne nous soucions guère de la coopération internationale dans des domaines importants comme la sécurité nationale, mais bien que nous étudions avec soin l’impact de cette coopération sur la protection de la vie privée et que nous cherchions des façons de promouvoir l’application des lois sur la protection de la vie privée à l’échelle internationale.

Enjeux clés en 2006-2007 :
la vérification des évaluations des facteurs relatifs
à la vie privée

Un outil aussi essentiel pour la protection de la vie privée doit mieux fonctionner

Une vérification de la mise en œuvre de la Politique fédérale d’évaluation des facteurs relatifs à la vie privée permet de conclure qu’on a progressé mais qu’il reste encore beaucoup de chemin à parcourir

L’un des meilleurs moyens dont disposent les ministères fédéraux pour cerner et ensuite atténuer les risques d’atteinte à la vie privée que posent les programmes et les services nouveaux ou repensés, est d’évaluer les facteurs relatifs à la vie privée (ÉFVP).

Une vérification menée cette année par le CPVP sur la mise en œuvre de la Politique d’évaluation des facteurs relatifs à la vie privée, a permis de déceler de graves lacunes. Il en découle que la vie privée des Canadiennes et des Canadiens n’est pas toujours aussi bien protégée qu’elle le pourrait.

La Politique d’évaluation
des facteurs relatifs à la
vie privée fonctionne-t-elle
aussi bien qu’elle
le pourrait?
En bref, la réponse est non,
pas encore.

Les évaluations des facteurs relatifs à la vie privée (ÉFVP) servent à examiner de près la manière dont les ministères protègent les renseignements personnels lors de leur collecte, de leur entreposage, de leur utilisation, de leur communication et, enfin, de leur destruction.

Exigées depuis 2002 en vertu de la Politique d’évaluation des facteurs relatifs à la vie privée à l’étape de la planification de toute initiative fédérale pouvant entraîner des risques d’atteinte à la vie privée, ces évaluations visent à encourager une culture sensible à la protection de la vie privée au sein des ministères, de sorte que la protection de la vie privée devienne une valeur fondamentale.

Les conséquences sur la vie privée sont négligées

Le rapport complet de la
vérification des évaluations
des facteurs relatifs à
la vie privée ainsi que la
réponse du gouvernement
fédéral se trouvent dans
le site Web du CPVP, à
l’adresse www.priv.gc.ca/
information/pub/ar-vr/
pia_200710_f.cfm

Compte tenu de l’importance des ÉFVP, le CPVP a effectué une évaluation de leur utilisation à l’échelle de l’appareil gouvernemental. D’emblée, nous voulions répondre à la question suivante : la Politique d’évaluation des facteurs relatifs à la vie privée fonctionne-t-elle aussi bien qu’elle le pourrait?

En bref, la réponse est non, pas encore.

Certaines institutions fédérales ont fait de sérieux efforts pour appliquer la directive sur les ÉFVP et ont progressé. Il importe cependant de poursuivre le travail si on veut que cette directive ait l’effet souhaité, c’est-à-dire, favoriser la compréhension et la sensibilisation à l’incidence, sur la protection de la vie privée, des programmes et des services à l’échelle du gouvernement fédéral.

Résultats de notre vérification

Bien que nous n’ayons pas cerné de cas flagrants d’absence de respect de la Politique, de nombreuses institutions ne respectent pas entièrement leurs engagements et, par conséquent, ne se conforment pas à l’intention ou à l’esprit de la Loi sur la protection des renseignements personnels.

Voici quelques-uns des problèmes que nous avons repérés :

  • Les ÉFVP sont souvent terminées bien après la mise en œuvre du programme, malgré l’objectif principal de veiller à ce que la protection de la vie privée soit l’un des facteurs clés lors de l’élaboration initiale d’un projet, d’un programme ou d’un service.
  • Dans certains cas, les ÉFVP n’ont pas du tout été effectuées, même dans des situations où il existait des risques d’atteinte à la vie privée découlant d’un programme ou d’un service.
  • On ne tient pas suffisamment compte de la protection de la vie privée dans des projets entraînant l’échange de renseignements personnels entre les institutions et avec des gouvernements, des ministères ou des organismes provinciaux et étrangers.
  • Malgré l’exigence d’un résumé public de chaque ÉFVP, une minorité de ministères fédéraux affichent et mettent à jour sur une base régulière les résultats de leurs rapports d’ÉFVP sur leurs sites Web externes. Souvent, les résumés affichés ne divulguent pas les facteurs relatifs à la vie privée du service ou du programme, ou n’expliquent pas comment ces questions seront réglées.

Les risques d’atteinte à la vie privée que posent les programmes et les services fédéraux sont nombreux, y compris le vol d’identité, la communication non voulue de renseignements et un couplage ou un forage de données inappropriés. Le gouvernement fédéral communique de plus en plus de renseignements personnels au-delà de nos frontières, augmentant ainsi ces risques.

Il importe de cerner, d’évaluer et d’atténuer les menaces potentielles pour la vie privée dans tous les programmes et les services où l’on traite des renseignements personnels.

Jusqu’où les questions relatives à la protection de la vie privée sont-elles gérées de façon appropriée? Cela dépend de la maturité du cadre de gestion des ÉFVP d’un ministère.

Les conclusions de notre vérification indiquent clairement qu’on ne tient pas toujours bien compte des risques d’atteinte à la vie privée que posent de nombreux nouveaux programmes et services, et qu’on ne les règle pas de manière appropriée.

En outre, les rapports actuels sur les ÉFVP font très peu pour rassurer ou informer les Canadiennes et les Canadiens qui souhaitent comprendre comment le fait d’utiliser les programmes ou les services de l’administration fédérale a une incidence sur leur vie privée.

Les sondages d’opinion publique révèlent tous que les Canadiennes et les Canadiens se préoccupent de leur vie privée et de la manière dont l’appareil gouvernemental traite leurs renseignements personnels.

Le Secrétariat du Conseil du Trésor a déclaré qu’il « s’engageait à protéger les renseignements personnels des Canadiennes et des Canadiens dans la prestation des services par tous les moyens ».

Conformément à cette déclaration, le gouvernement fédéral a adopté sa Politique d’évaluation des facteurs relatifs à la vie privée (http://www.tbs-sct.gc.ca/pubs_pol/ciopubs/pia-pefr/siglist_f.cfm) comme instrument stratégique clé de la protection de la vie privée et comme caractéristique importante du cadre fédéral de gestion de la protection de la vie privée.

Cette politique qui est entrée en vigueur le 2 mai 2002, exige qu’on effectue des évaluations pendant la phase de planification de toutes les nouvelles initiatives qui comportent des risques pour la protection de la vie privée. Au nombre des étapes clés figurent les suivantes :

  • identifier tous les renseignements personnels liés à un programme ou à un service et examiner la façon dont ces renseignements seront utilisés;
  • repérer l’endroit où les renseignements personnels seront acheminés après leur collecte;
  • cerner les risques relatifs à la protection de la vie privée et en déterminer le degré;
  • trouver des façons d’éliminer ou d’atténuer les risques relatifs à la vie privée.

Les ministères doivent faire part des résultats de leurs évaluations au CPVP et rendre public un résumé de leur ÉFVP. (Une feuille d’information sur le site Web du CPVP, à l’adresse http://www.priv.gc.ca/fs-fi/02_05_d_33_f.cfm offre une description plus détaillée des ÉFVP)

Des évaluation stratégiques s’imposent

Nous souhaiterions que les facteurs relatifs à la vie privée des programmes et systèmes fédéraux ne soient pas seulement évalués programme par programme, mais également de manière transversale et stratégique et ce, pour l’ensemble du gouvernement fédéral.

Par exemple, cette année nous avons examiné une ÉFVP du Programme de protection des passagers de Transports Canada (liste des personnes interdites de vol) et avons conclu que nous avions raté une occasion en or d’effectuer une ÉFVP plus stratégique pour un large éventail de mesures de sécurité nationale.

Les ÉFVP devraient tenir compte des effets cumulatifs sur la vie privée qui découleraient probablement de la combinaison d’un programme avec d’autres projets ou activités. Cela permettrait d’évaluer de manière appropriée les effets supplémentaires de divers programmes.

Les résultats d’ÉFVP plus stratégiques offriraient aux membres du Parlement la possibilité, tôt dans le processus, de modifier les programmes afin de mieux protéger les renseignements personnels des Canadiennes et des Canadiens et de diminuer les coûts futurs reliés à la modification de ces programmes.

Nous estimons que le Secrétariat du Conseil du Trésor devrait examiner l’importance d’ÉFVP plus stratégiques et de portée plus vaste. Un examen de la Politique d’évaluation des facteurs relatifs à la vie privée, dans son ensemble, permettrait de veiller à ce que ses buts fondamentaux soient atteints et à ce qu’elle contribue à rehausser la confiance des Canadiennes et des Canadiens. Cet examen devrait comprendre une étude des rôles du Secrétariat du Conseil du Trésor et du CPVP.

Conclusion

Nous avons présenté les résultats de cette vérification de l’ÉFVP au gouvernement fédéral et nous avons constaté avec plaisir que le Secrétariat du Conseil du Trésor et le Bureau du Conseil privé étaient d’accord avec nos recommandations. En général, les ministères et les organismes soumis à l’obligation de vérification ont aussi réagi positivement.

Ces réactions semblent témoigner d’un engagement réel à l’égard de l’évaluation des facteurs relatifs à la vie privée pour les programmes et les systèmes fédéraux, non seulement de manière individuelle pour chaque ministère et programme mais également de manière stratégique pour l’ensemble de l’administration fédérale. Nous espérons que tout cela signifiera que le processus des ÉFVP ira en s’améliorant et assurera une meilleure protection de la vie privée des Canadiennes et Canadiens. (Voir le rapport de vérification des ÉFVP, à l’adresse www.priv.gc.ca/information/pub/ar-vr/pia_200710_f.cfm).

Réponse aux plaintes et aux incidents relatifs à la protection des renseignements personnels

Aperçu de la façon dont le CPVP a traité les plaintes et les incidents en vertu de la Loi sur la protection des renseignements personnels en 2006-2007

Vingt-cinq ans après l’adoption de la Loi sur la protection des renseignements personnels, les risques d’atteinte à la vie privée n’ont fait qu’augmenter. Les moyens technologiques actuels font en sorte qu’il est de plus en plus facile pour les criminels organisés et d’autres fraudeurs d’obtenir illégalement des renseignements personnels sur Internet. De plus, vos renseignements personnels sont entreposés dans de vastes banques de données et des voleurs peuvent s’emparer d’un disque dur contenant votre nom et votre numéro d’assurance sociale.

Le CPVP a complété près de mille enquêtes au cours de l’exercice 2006-2007. Bien qu’on ne puisse pas vraiment parler de tendances, l’erreur humaine et la surveillance en milieu de travail sont des problèmes récurrents dans les plaintes et les incidents sur lesquels nous nous sommes penchés. Nous avons aussi enquêté sur un cas évident de vol d’identité relié à la Banque du Canada où des fraudeurs ont accédé à des comptes d’obligations d’épargne du Canada et ont volé 100 000 $. L’incident a été porté à notre attention par la banque centrale. La police a enquêté et des accusations ont été portées.

En 2006-2007, le CPVP a reçu 839 plaintes en vertu de la Loi sur la protection des renseignements personnels. Ce nombre représente une baisse par rapport aux 1 028 plaintes reçues au cours de l’exercice précédent. Nous n’avons cerné aucune tendance importante pouvant expliquer cette baisse. Deux institutions, le Service correctionnel Canada (194) et la GRC (141), ont fait l’objet du plus grand nombre de plaintes, représentant ensemble 40 p. 100 de toutes les plaintes reçues.

Le CPVP a complété 957 enquêtes en 2006-2007. Le plus grand nombre de plaintes fermées portait sur les délais (441) et le refus d’accès aux renseignements personnels (240). (Voir Conclusions selon le type de plainte p. 87). Les plaintes liées aux délais sont portées lorsque les demandes d’accès aux renseignements personnels ne sont pas satisfaites dans le délai de 30 jours prévu par la Loi (ce délai peut, dans certaines circonstances, être prolongé à 60 jours). Ce type de plainte représentait près de la moitié de toutes les plaintes (46 p. 100). Les réponses tardives à des demandes de renseignements peuvent avoir une grande incidence, par exemple, sur le résultat de griefs reliés au travail, sur des audiences en cour ou devant des tribunaux administratifs. Ils peuvent également avoir une incidence sur l’accès à des services sociaux.

Au cours de l’exercice 2006-2007, la GRC (115), le Service correctionnel du Canada (43) et la Commission de l’immigration et du statut de réfugié (40) ont fait l’objet du plus grand nombre de plaintes fondées liées aux délais (cela comprend également les plaintes fondées ainsi que les plaintes fondées et résolues. Voir p. 89). Notons cependant qu’en raison de leur mandat, certaines institutions traitent et détiennent un plus grand volume de renseignements personnels et sont donc plus susceptibles de recevoir des demandes d’accès aux renseignements personnels. Cette situation augmente les risques que des plaintes liées aux délais soient déposées lorsque les délais prescrits pour l’accès aux renseignements ne sont pas respectés. Les plaintes en vertu de la Loi sur la protection des renseignements personnels sont déposées par des fonctionnaires ou par le public. Le plus grand nombre de plaintes provient du public.

Les annexes du présent rapport fournissent des tableaux statistiques détaillés, des définitions des types de plaintes et des conclusions en vertu de la Loi sur la protection des renseignements personnels, ainsi qu’un tableau décrivant le processus d’enquête du CPVP.

Plaintes –exemples de cas ayant fait l’objet d’une enquête du cpvp

CAS ATTRIBUABLES À L’ERREUR HUMAINE

L’erreur humaine est l’une des principales causes du manque de respect vis-à-vis la protection de la vie privée. Comme on peut le constater dans un certain nombre de cas portés à notre attention, l’absence de prudence au niveau du traitement de renseignements personnels peut mener à des atteintes à la vie privée. Les ministères fédéraux devraient demander à leurs employés de revérifier les procédures et d’être vigilants lorsqu’ils traitent des renseignements personnels. Dans le cadre de ses enquêtes, le CPVP collabore avec les ministères pour éviter d’autres cas d’atteinte à la vie privée.

Renseignements personnels de détenus découverts dans un endroit prévu pour le recyclage

Des documents contenant des renseignements personnels sur une centaine de détenus du Centre psychiatrique régional du Service correctionnel du Canada à Saskatoon, ont été laissés à l’endroit prévu pour le recyclage dans l’établissement. Un agent correctionnel a découvert trois détenus en train de lire les documents qu’ils avaient trouvés dans une poubelle.

Le SCC n’a pas réussi à déterminer avec certitude comment les documents qui contenaient des renseignements médicaux se sont retrouvés parmi des déchets ordinaires. Les papiers avaient probablement glissé des boîtes trop pleines de documents à déchiqueter et ont été pris par erreur pour des déchets ordinaires. Le SCC a informé les personnes concernées que la sécurité de leurs renseignements avait été compromise. Huit personnes ont porté plainte auprès du CPVP.

La plainte était fondée. Ce cas est attribuable à l’erreur humaine et à des procédures peu judicieuses. Une situation semblable était survenue au Centre l’année précédente. Dans les deux cas, le traitement des renseignements personnels laissait beaucoup à désirer et augmentait les risques d’erreur humaine. Le CPVP a formulé un certain nombre de recommandations sur les procédures de traitement des renseignements personnels et le SCC a convenu de les mettre en œuvre.

Un agent correctionnel porte atteinte à la vie privée d’un détenu pour étayer son argument

Un détenu a porté plainte à l’effet qu’un agent du Service correctionnel du Canada avait utilisé son dossier d’achats à la cantine pour prouver un argument sur une question qui n’y était pas reliée.

Un détenu avait demandé des renseignements au SCC sur les risques potentiels pour la santé posés par l’inhalation de la fumée de foin d’odeur. Dans une réponse écrite, le SCC l’a informé qu’il ne semblait pas exister d’études sur l’exposition à la fumée du foin d’odeur. Au bas du document, un agent correctionnel avait ajouté un message selon lequel, si le détenu était préoccupé par les effets de cette fumée, il devrait cesser de fumer des cigarettes. Il rappelait que les produits du tabac contiennent de nombreuses substances cancérigènes et peuvent causer de l’emphysème et des problèmes cardiaques. L’agent avait également joint une copie des achats du détenu à la cantine en surlignant tous ses achats de tabac.

La plainte était fondée. Le CPVP a déterminé que les dossiers d’achats à la cantine constituaient des renseignements personnels recueillis à des fins de sécurité et de gestion. Il a conclu que ces dossiers ne devaient être utilisés qu’à ces fins et non pour prouver un argument au sujet d’une demande de renseignements d’un détenu sur une question de santé.

Documents de contrôle judiciaire glissés dans la mauvaise enveloppe

Un adjoint juridique de la Commission canadienne des droits de la personne a malencontreusement inséré dans la même enveloppe deux ensembles de documents destinés à des personnes distinctes. Il en a découlé que les renseignements personnels du plaignant ont été communiqués à une autre personne.

La Commission canadienne des droits de la personne avait reçu des demandes de contrôle judiciaire de deux personnes distinctes. Conformément aux règles de la Cour fédérale, la Commission doit communiquer les documents pertinents aux personnes qui ont présenté les demandes. Lors de la préparation des deux ensembles de documents, un adjoint juridique a malencontreusement inséré les deux ensembles de documents dans la même enveloppe pour les poster.

La personne qui a reçu les deux dossiers a alerté la Commission qui a ensuite informé l’avocat du plaignant. La Commission reçoit une centaine de demandes de contrôle judiciaire par année et a déclaré que ce genre d’incident survenait pour la première fois.

La plainte était fondée. L’incident était attribuable à une erreur humaine. Pour veiller à ce que ce genre d’erreur ne se répète pas et pour souligner au personnel l’importance de la protection des renseignements personnels, la Commission a modifié les procédures. Par exemple, les adjoints juridiques doivent désormais apposer leurs initiales sur les étiquettes d’adresse. En outre, l’avocat chargé des dossiers de contrôle judiciaire est maintenant responsable de la communication des documents et doit examiner les envois pour vérifier leur exactitude.

La Commission a également préparé une liste détaillée des étapes à suivre dans les cas de brèches dans la protection des données, y compris la récupération des documents et l’envoi immédiat d’un avis au directeur et au conseiller principal.

CAS PORTANT SUR LA SURVEILLANCE EN MILIEU DE TRAVAIL

La protection de la vie privée au travail est une question d’équilibre. On passe beaucoup de temps au travail mais on ne perd pas son droit à la vie privée quand on met les pieds au bureau. Une surveillance permanente peut avoir une incidence négative sur le sentiment de dignité et de liberté des employés. Cependant, une certaine surveillance peut être nécessaire et est clairement acceptable. Les employeurs ont le droit de savoir si les employés effectuent le travail pour lequel ils sont rémunérés. Dans les deux cas relatés ci-dessous qui ont fait l’objet d’une enquête, on observe un équilibre approprié entre ces droits.

Un gestionnaire a raison de prendre connaissance des messages électroniques qui figurent dans le compte de courrier électronique d’un employé

Un employé de Ressources naturelles Canada (RNCan) s’est plaint que son superviseur avait, de manière inappropriée, pris connaissance de ses messages électroniques, tant dans son compte de courrier professionnel que dans son compte personnel sur Yahoo afin de trouver des raisons de le congédier.

Les représentants du ministère ont déclaré qu’ils n’avaient pas exploré le compte de courrier électronique personnel de l’employé mais ils ont confirmé avoir exploré son compte de courrier électronique professionnel. Ils ont affirmé l’avoir fait après avoir pris connaissance d’une copie d’un message électronique à l’intention de l’un des clients internationaux du ministère, dans lequel l’employé parlait de manière malveillante de son gestionnaire.

Craignant que l’employé n’ait envoyé des messages semblables à d’autres clients, les représentants de Ressources naturelles Canada ont décidé de prendre connaissance des messages de l’employé dans son compte de courrier électronique professionnel. Ils ont découvert plusieurs messages électroniques contenant des commentaires de nature à discréditer les superviseurs de cet employé.

RNCan a conclu que les messages électroniques étaient diffamatoires et répandaient de fausses allégations et rumeurs qui pouvaient entacher la réputation professionnelle des directeurs visés. Le ministère a également conclu que les messages électroniques sapaient l’autorité du gestionnaire et constituaient une utilisation inappropriée des réseaux électroniques de l’administration fédérale.

La politique du gouvernement fédéral sur l’utilisation des réseaux électroniques stipule que le courrier électronique est avant tout un outil de communication fourni aux employés pour mener les affaires du gouvernement. La politique interdit les activités illégales, y compris la diffamation. RNCan a affiché cette politique sur son site Intranet afin que tous ses employés puissent la consulter. En outre, lorsque les employés se branchent sur le réseau, ils reçoivent un avis électronique selon lequel le réseau peut être surveillé à des fins liées au travail.

Le ministère a jugé que les messages électroniques du plaignant étaient diffamatoires et que, par conséquent, elles enfreignaient la politique gouvernementale. Cette politique stipule que si une institution a des raisons valables de soupçonner qu’une personne autorisée utilise le réseau à mauvais escient, elle doit signaler ses soupçons au dirigeant chargé d’enquêter sur ce genre d’incidents.

La plainte était non fondée. Le CPVP a conclu que l’employé avait reçu suffisamment d’information pour prendre une décision éclairée sur l’utilisation appropriée du réseau de courrier électronique du ministère. Il incombait au superviseur de mener une enquête et de rassembler de la documentation à l’appui de ce qui était considéré comme une faute en milieu de travail.

Des plaintes de harcèlement et de vandalisme justifient une surveillance

Le CPVP a reçu des plaintes de la part de 37 employés du SCC selon lesquelles leur employeur utilisait des caméras de surveillance cachées pour recueillir des renseignements personnels à leur sujet sans leur consentement.

Les gestionnaires de l’établissement Leclerc à Laval (Québec) avaient informé le Service correctionnel du Canada qu’ils faisaient l’objet de menaces et de harcèlement de la part du personnel.

En réponse à ces menaces, les mesures de sécurité ont été renforcées. Deux caméras de surveillance ont été installées. Une première, posée en juillet 2004, captait les déplacements dans le couloir et une deuxième, installée en septembre, captait les déplacements dans la salle des casiers des agents de correction. La première caméra enregistrait en continu les allées et venues dans le couloir. Le système enregistrait en boucle sur la même bande à toutes les huit heures. Étant donné qu’aucun incident ne s’était produit dans ce secteur, cette bande n’a pas été visionnée. L’autre caméra a été en activité pendant une seule journée car elle a été découverte par un employé qui faisait sa ronde de vérification.

Les plaignants ont soutenu que le SCC recueillait des renseignements personnels les concernant à leur insu et sans leur consentement en les enregistrant secrètement sur bande vidéo.

La plainte était non fondée. Nous avons déterminé qu’en vertu de la Loi sur la gestion des finances publiques, le SCC avait la responsabilité de fournir un milieu de travail sécuritaire à ses gestionnaires. De plus, en vertu de la politique du Conseil du Trésor sur le harcèlement, la direction de l’établissement se devait de faire enquête pour tenter d’identifier les responsables des actes de harcèlement. Vu les circonstances, la gradation des moyens employés par le SCC pour tenter de mettre fin aux abus envers les superviseurs était raisonnable. L’employeur a d’abord envoyé des avis aux employés et aux représentants syndicaux et a ajouté des patrouilles dans les secteurs visés par les auteurs des méfaits. Le recours à des caméras de surveillance était une suite logique aux étapes d’enquête utilisées précédemment par le SCC.  

CAS COMPORTANT UN INTÉRÊT

Un employé a porté plainte à l’effet que le MDN avait communiqué des renseignements personnels

Un employé à temps plein non syndiqué de l’Agence de soutien du personnel des Forces canadiennes s’est plaint qu’un agent des relations de travail du ministère de la Défense nationale (MDN) avait communiqué au syndicat TUAC une liste contenant le nom, le statut, le poste, la fourchette salariale et la rémunération actuelle de tous les membres et non-membres du syndicat.

L’Agence de soutien du personnel des Forces canadiennes et le TUAC étaient en négociations contractuelles. Le ministère de la Défense nationale avait préparé une proposition salariale détaillée indiquant les salaires des employés en vue des discussions à la table de négociation. On avait informé les représentants syndicaux que ces renseignements étaient tout à fait confidentiels. Néanmoins, le négociateur syndical a communiqué des copies des taux de rémunération à des membres.

L’affaire a été réglée au cours de l’enquête. Celle-ci a permis d’établir que, bien que le syndicat ait besoin de renseignements aux fins de négociation, il n’a pas besoin d’avoir le nom et le salaire actuel des employés syndiqués et non syndiqués. Le ministère a décidé de ne plus fournir le nom et le salaire des employés dans le cadre de négociations contractuelles. Il ne fournira désormais que des renseignements généraux sur les taux de rémunération.

Une électrice s’est inquiétée des commentaires d’une solliciteuse d’un parti politique

Une femme a déposé une plainte à l’effet qu’Élections Canada avait communiqué ses renseignements personnels à un parti politique après qu’une solliciteuse lui a demandé si le parti pouvait compter encore sur son soutien le jour des élections.

La dame avait demandé à la solliciteuse comment elle avait obtenu son numéro de téléphone et appris quel parti elle soutenait et celle-ci lui avait répondu que les renseignements lui étaient venus d’Élections Canada.

La Loi électorale du Canada permet à tous les partis enregistrés d’obtenir les listes électorales de chacune des sections de vote. Ces listes contiennent le nom et l’adresse des électeurs, mais non pas le nom du parti qu’ils ont appuyé aux dernières élections. Elles sont fournies par Élections Canada à tous les candidats, députés et partis politiques enregistrés et peuvent être utilisées pour communiquer avec les électeurs.

La Loipermet aux personnes de retirer leurs renseignements personnels de ces listes. Le retrait de ces renseignements n’a cependant aucune incidence sur le droit de vote de la personne qui en fait la demande.

La plainte était non fondée. La plaignante a été satisfaite de savoir qu’Élections Canada n’avait pas fourni d’informations sur le parti qu’elle soutenait. Elle a été heureuse de découvrir qu’elle pouvait demander que ses renseignements personnels soient radiés de la liste électorale envoyée aux partis (chose que les Canadiennes et Canadiens ne savent pas toujours).

La GRC en dit trop sur des problèmes familiaux

Une femme a déposé une plainte à l’effet que la GRC avait divulgué trop d’informations sur les difficultés qu’elle avait à gérer le comportement de son fils.

La plaignante, une enseignante d’un autre pays, participait à un programme d’échange avec un enseignant de la Colombie-Britannique. Dans le cadre de ce programme, les familles des deux enseignants échangeaient de domicile.

La plaignante avait raconté à un agent de la GRC qui était venu la voir au domicile emprunté qu’elle s’inquiétait parce que depuis son arrivée au Canada, son fils de 16 ans avait abandonné ses études, prenait de la drogue et organisait des fêtes à la maison lorsqu’elle n’y était pas. En outre, elle avait indiqué que son fils avait cassé le verrou de la pièce où les propriétaires avaient entreposé des objets précieux. Elle a aussi affirmé que son fils lui volait de l’argent et qu’elle gardait donc son portefeuille dans sa voiture bien verrouillée.

Une semaine plus tard, l’agent de police a reçu un appel des propriétaires canadiens de la maison. Les voisins les avaient informés qu’un policier s’était rendu chez eux, en Colombie-Britannique, après que quelqu’un s’est plaint du bruit causé par des fêtards.

L’agent de la GRC avait dit au propriétaire canadien qu’il y avait eu du bruit en raison des fêtes données dans la maison et que le verrou de la porte où il entreposait ses biens précieux avait été cassé. Il lui a également raconté que la mère de l’adolescent laissait son sac à main dans sa voiture et qu’elle était de plus en plus mécontente du comportement de son fils.

Le CPVP a conclu que la GRC avait l’obligation de communiquer aux propriétaires l’information relative à la sécurité de leur maison, y compris l’obligation de les informer sur les fêtes qui s’y tenaient, le verrou cassé et les dommages à la propriété. Cependant, ces renseignements n’auraient pas dû s’étendre aux efforts de la mère pour protéger son argent ou à son mécontentement à l’égard du comportement de son fils.

Bien que rien n’indique de mauvaises intentions de la part de la GRC, cette partie de la plainte était fondée.

La GRC prend des mesures pour protéger l’identité des propriétaires d’armes à feu

Des personnes ont porté plainte parce qu’elles craignaient que les propriétaires d’armes à feu puissent être identifiés après que la GRC a communiqué des informations tirées d’une banque de données du registre des armes à feu à un journal.

Le journal Ottawa Citizen a obtenu des renseignements sur le Registre canadien des armes à feu grâce à une demande présentée à la GRC en vertu de la Loi sur l’accès à l’information. Le journal a ensuite affiché l’énoncé suivant sur son site Web : « consultez la banque de données du registre des armes à feu ». De nombreuses personnes ont alors déposé des plaintes auprès du CPVP relativement aux actions de la GRC, craignant que les propriétaires d’armes à feu ne puissent être identifiés. De leur côté, les entreprises ont dit craindre qu’à la suite de la divulgation de certains renseignements, leur inventaire d’armes à feu ait pu être connu du public, ce qui les rendait plus vulnérables au vol.

La plainte était non fondée. Le CPVP a conclu que la GRC avait pris des mesures pour veiller à ce que les propriétaires d’armes à feu demeurent anonymes. La GRC a communiqué de l’information sur les armes à feu ainsi que sur la date de l’enregistrement, le type de client et les deux premiers caractères du code postal du propriétaire. Ce type d’informations ne constitue pas des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels car les renseignements personnels doivent se rapporter à une « personne identifiable ». Le Commissariat a également conclu que la GRC n’avait pas enfreint le droit à la vie privée des propriétaires d’entreprises puisqu’elle n’avait communiqué ni le nom des propriétaires ni la raison sociale des entreprises.

Renseignements recueillis sans consentement dans un présumé cas de fraude

Une femme s’est plainte que Ressources humaines et Développement des compétences Canada (RHDCC) avait enfreint son droit à la vie privée lorsque le ministère avait enquêté sur le versement excédentaire de prestations sans communiquer tout d’abord avec elle. Elle a déclaré que le personnel de RHDCC avait recueilli des relevés de son compte conjoint et des renseignements bancaires à son sujet et communiqué avec son ancien employeur.

La plaignante recevait des prestations de maternité et des prestations parentales dans le cadre du programme d’assurance-emploi. RHDCC avait été informé du fait que la plaignante avait été embauchée par une entreprise. Le ministère avait donc déterminé qu’elle travaillait tout en continuant à toucher des prestations d’assurance-emploi parce qu’elle n’avait pas déclaré son revenu. RHDCC a décidé de poursuivre la plaignante pour récupérer un versement excédentaire de prestations de 5 000 $. Dans le cadre de l’enquête, RHDCC a demandé les relevés bancaires de la plaignante, lesquels indiquaient qu’elle avait reçu des prestations d’assurance-emploi en même temps qu’une rémunération. Un enquêteur a également demandé à son employeur des renseignements sur les feuilles de paie et son relevé d’emploi.

La plaignante a admis le bien-fondé des allégations, mais elle a soutenu qu’elle éprouvait des difficultés en raison de l’état de santé de son mari. Elle a soutenu que le ministère aurait dû communiquer avec elle avant de recueillir des renseignements personnels à son sujet. De son côté, le ministère a déclaré avoir agi conformément à ses pouvoirs en ajoutant que le fait d’avertir les personnes concernées avant une enquête pouvait fausser la collecte des renseignements.

La plainte était non fondée. RHDCC était autorisé par la loi à recueillir des renseignements à l’insu de la plaignante et sans son consentement dans le cadre d’une enquête de ce genre.

Un informateur a porté plainte à l’effet que son identité avait été divulguée à son ex-femme

Un homme a informé l’Agence du revenu du Canada (ARC) que son ex-femme, une employée de l’ARC, avait divulgué des renseignements fiscaux et pris connaissance de ses renseignements fiscaux ainsi que de ceux d’autres personnes. Il a déposé une plainte auprès du CPVP alléguant que l’ARC avait révélé à son ex-femme le fait que c’était lui qui avait porté les accusations.

Le plaignant a soutenu que, lorsqu’il avait informé l’ARC des agissements de son ex-femme, on lui avait promis l’anonymat en tant qu’informateur. Or, l’ARC a déclaré avoir informé le plaignant à trois reprises qu’elle ne pourrait garder son identité secrète et que si son ex-femme demandait l’accès à ces renseignements en vertu de la Loi sur la protection des renseignements personnels, l’Agence serait tenue de les communiquer.

L’ARC a conclu que l’ex-épouse du plaignant avait consulté des dossiers fiscaux sans autorisation et avait communiqué des renseignements sur des contribuables. Celle-ci a fait l’objet de mesures disciplinaires. Pendant le processus disciplinaire, elle a reçu un rapport indiquant que son mari avait informé l’ARC de ces actes.

La plainte était non fondée. En vertu de la Loi sur la protection des renseignements personnels, la communication du nom du plaignant ne pouvait être refusée à l’employée de l’ARC. Cette employée avait le droit d’obtenir cette information car il s’agissait d’un renseignement personnel la concernant en vertu de la Loi.

L’Agence du revenu du Canada était dans ses droits d’ouvrir du courrier dans un présumé cas de fraude fiscale

Un homme qui faisait l’objet d’une enquête pour fraude fiscale a déposé une plainte à l’effet que des vérificateurs de l’ARC avaient ouvert du courrier scellé qui se trouvait sur son bureau.

Le plaignant a soutenu que des vérificateurs avaient enfreint les dispositions d’un mandat de perquisition qui leur permettait de chercher et de saisir des renseignements portant sur des transactions effectuées de 1996 à 2001. Le courrier sur son bureau portait un cachet de la poste ultérieur à cette période. Le plaignant a aussi déclaré que des vérificateurs avaient ouvert du courrier appartenant à des membres de sa famille.

L’ARC a reconnu que ses vérificateurs avaient ouvert du courrier dont le cachet de la poste était ultérieur aux dates indiquées sur le mandat de perquisition en précisant que cela avait été fait pour déterminer si ce courrier contenait des documents pertinents à l’enquête sur l’évasion fiscale. L’Agence a soutenu que le courrier portant un cachet de poste ultérieur pouvait contenir des renseignements sur des transactions faisant l’objet de l’enquête. L’ARC a aussi déclaré que le mandat de perquisition mentionnait les membres de la famille qui étaient soumis à l’enquête.

La plainte était non fondée. Les représentants de l’ARC avaient l’autorisation légale de pénétrer dans les locaux du plaignant et d’effectuer la recherche et la saisie de documents pertinents à leur enquête. Le mandat de perquisition n’interdisait pas à l’ARC d’ouvrir du courrier dont le cachet de la poste était ultérieur aux dates indiquées.

Examen de l’ARC

En 2006-2007, le CPVP a commandé un examen indépendant de plus de 800 plaintes présentées contre l’Agence du revenu du Canada de 2002-2003 à 2005-2006 afin de déterminer s’il y avait d’importants motifs de préoccupation. L’objectif était de permettre au CPVP de rendre des comptes avec plus d’exactitude sur les causes et les conséquences des atteintes à la Loi sur la protection des renseignements personnels et à cerner d’éventuelles tendances.

Le refus d’offrir l’accès à des renseignements personnels a été le motif de plaintes le plus fréquent. Des plaignants ont reproché à l’Agence de mal utiliser les exceptions en vertu de la Loi sur la protection des renseignements personnels. Les plaintes sur les délais ont aussi été fréquentes. Les réponses tardives aux demandes d’accèsont probablement été causées par un manque de ressources au ministère.

En ce qui concerne les plaintes sur l’utilisation, la collecte et la communication, qui ne représentent qu’une petite portion de l’ensemble des plaintes, il n’y a pas eu de cas importants, sauf lorsque des employés ont accédé de manière inappropriée à des renseignements fiscaux sur des contribuables ou les ont utilisés à mauvais escient. Tout semble indiquer que l’ARC ait traité ces cas avec diligence en imposant des mesures disciplinaires à ces employés.

L’examen a permis de déterminer que le nombre de plaintes contre l’ARC a beaucoup diminué au cours des dernières années. La tendance était encore à la baisse en 2006-2007. Les raisons précises de cette diminution n’ont pas été cernées. Cependant, les chiffres laissent entendre que l’Agence pourrait avoir mis en place des mesures innovatrices pour régler les préoccupations relatives à la protection des renseignements personnels. L’examen n’a cerné aucun problème systémique de traitement des renseignements personnels. Dans l’ensemble, le CPVP a constaté avec plaisir qu’il ne semblait pas y avoir de lacunes généralisées au niveau de la gestion des renseignements personnels à l’ARC.

Incidents en vertu de la Loi sur la protection des renseignements personnels

Outre les plaintes des gens, le Commissariat enquête sur des incidents relatifs à une mauvaise gestion des renseignements personnels portés à son attention par les médias ou par des institutions gouvernementales. Ces incidents soulèvent souvent l’existence d’un problème systémique qui doit être corrigé dans les meilleurs délais.

INCIDENT CONCERNANT UN VOL D’IDENTITÉ

Vol de 100 000 $ dans les comptes d’obligations d’épargne du Canada à la Banque du Canada

La Banque du Canada a informé le CPVP que des criminels avaient volé 100 000 $ dans les comptes d’obligations d’épargne du Canada de huit clients. Dans d’autres cas, des fraudeurs avaient accédé à des comptes afin d’obtenir de fausses cartes de crédit et des comptes de téléphone cellulaire frauduleux.

La Banque du Canada a commencé à constater des activités douteuses dans plusieurs comptes d’obligations d’épargne du Canada à la fin de 2005. Elle a lancé une enquête interne et communiqué avec la police. Elle a informé toutes les personnes touchées et les clients ont été remboursés. Elle a également diffusé un communiqué de presse demandant aux clients s’ils avaient noté des inexactitudes dans leurs comptes.

La GRC et la police d’Ottawa ont terminé leur enquête en avril 2006. Des accusations ont été portées. La Banque a revu ses méthodes et ses procédures de sécurité concernant les renseignements sur les détenteurs d’obligations. Elle a également rehaussé ses mesures d’authentification et révisé ses procédures de rachat et de changement d’adresse. En mai 2006, elle a informé toutes les personnes concernées que leurs comptes faisaient l’objet d’une signalisation et étaient surveillés quotidiennement afin de déceler rapidement toute activité suspecte.

Le CPVP est satisfait des mesures de correction prises pour veiller à la sécurité des épargnes des détenteurs d’obligations et de la rapidité de l’intervention.

INCIDENT LIÉ À L’ERREUR HUMAINE

Formulaires de relevés d’emploi retrouvés dans un classeur vendu

Les médias ont communiqué avec le CPVP pour l’informer que des documents contenant des renseignements personnels sur des employés du recensement avaient été trouvés dans un classeur vendu lors d’une vente de biens de l’État.

Lors de recensements, Statistique Canada recrute du personnel et ouvre des bureaux un peu partout au pays. Lorsque le recensement est terminé, les bureaux sont fermés et Statistique Canada envoie les meubles aux biens de l’État. Auparavant, tous les classeurs sont vérifiés par un employé, puis un deuxième employé s’assure qu’ils sont bien vides. Des étiquettes sont ensuite apposées sur les classeurs afin d’indiquer qu’ils peuvent être envoyés aux biens de l’État.

Une enquête a révélé que les procédures avaient bien été suivies. Le problème est survenu lorsqu’un superviseur de la paie des recenseurs (qui avait déménagé dans un nouveau bureau) a voulu imprimer les formulaires de relevés d’emploi. Les documents ont été imprimés à l’ancien bureau. Il semble que quelqu’un ait ramassé les papiers et les ait mis dans un classeur qui avait déjà été vidé. Le classeur a ensuite été vendu.

À la suite de cet incident, Statistique Canada a ajouté une étape à ses procédures. Le personnel appose maintenant un ruban gommé sur chaque tiroir après avoir vidé et étiqueté les classeurs. Si le ruban est brisé, on répète le processus. Lors des prochains déménagements, Statistique Canada veillera à ce que toutes les imprimantes et tous les ordinateurs soient débranchés pendant cette étape même.

Communications d’intérêt public en vertu de la Loi sur la protection des renseignements personnels

Les hauts dirigeants des institutions gouvernementales disposent du pouvoir discrétionnaire de communiquer des renseignements personnels sans obtenir le consentement de la personne concernée lorsque la communication est à l’avantage de cette dernière ou lorsque l’intérêt public prime sur la protection de la vie privée de cette personne. La commissaire à la protection de la vie privée doit en être informée au préalable, sauf en cas d’urgence. Le CPVP examine les cas de communication proposés et s’il est jugé nécessaire de le faire, la commissaire prévient la personne concernée. Le CPVP avise également les institutions lorsqu’il estime que la quantité de renseignements personnels qu’on propose de communiquer excède ce qui satisfait aux questions d’intérêt public. Nous recommandons alors des mesures visant à réduire au minimum l’immixtion dans la vie privée des gens.

Le CPVP a effectué l’examen de 90 avis de communication d’intérêt public en 2006-2007. La majorité de ces avis portaient sur des décisions de la GRC en vue de communiquer des renseignements personnels sur des criminels sur le point d’être remis en liberté à la fin de leur peine. Tous ces criminels étaient considérés comme présentant un risque élevé de récidive et un danger pour la collectivité. Dans d’autres cas provenant de la GRC, des renseignements personnels ont été rendus publics pour aider à retrouver un suspect ou pour avertir la population des agissements d’un criminel violent ou d’un délinquant sexuel.

Un nombre important d’autres avis de communication en provenance de plusieurs ministères, dont la Défense nationale et le Service correctionnel du Canada, visaient la communication de renseignements sur les circonstances du décès d’une personne aux membres de sa famille. Dans la plupart des cas, on a communiqué les circonstances du décès de militaires et de criminels pour aider les familles à faire leur deuil.

Vous songez à déposer une plainte auprès du cpvp?
Un abécédaire.

Avis aux intéressés : comment s’y prendre pour déposer une plainte auprès de la commissaire à la protection de la vie privée du Canada

Votre numéro d’assurance sociale vient d’être communiqué à un inconnu par un organisme gouvernemental sans votre consentement.

La panique s’installe.

Un fraudeur s’emparera-t-il de vos données personnelles pour accéder à votre compte de banque et à votre dossier de cote de crédit?

Vous déposez une plainte auprès du Commissariat à la protection de la vie privée du Canada. Premier conseil : présentez votre plainte par écrit. Et n’oubliez pas de dire que vous invoquez vos droits en vertu de la Loi sur la protection des renseignements personnels. Envoyez le tout par la poste, de préférence. Une demande par télécopieur peut toujours être interceptée et nous ne pouvons malheureusement pas accepter les plaintes envoyées par courriel.

Par la suite, un dossier sera ouvert et confié à un enquêteur. Il faudra d’abord déterminer si les allégations constituent une infraction à la Loi sur la protection des renseignements personnels. L’enquêteur interviewera le plaignant, les responsables du ministère en cause et des témoins s’il y a lieu, recueillera des éléments de preuve et fera part de ses recommandations sur le dossier à la commissaire.

Les enquêteurs ont «carte blanche » pour mener des enquêtes

Voilà l’univers des 14 enquêteurs qui font le suivi des plaintes déposées en vertu de la Loi sur la protection des renseignements personnels. Les renseignements personnels d’une personne ont-ils été communiqués par un ministère fédéral et si oui, à quelles fins? Pourquoi bloque-t-on l’accès à des personnes à leur dossier de renseignements personnels? Les délais prescrits quant à l’envoi de documents au plaignant ont-ils été respectés? Les enquêteurs scruteront ces questions en profondeur.

Après tout, ils possèdent de vastes pouvoirs délégués par la commissaire. Les enquêteurs ont le droit de pénétrer dans n’importe quel bureau d’une institution fédérale. À l’exception des documents du conseil des ministres, lesquels leur sont inaccessibles, ils peuvent avoir accès à tout document qu’ils jugent nécessaire à leur enquête. Et ils ont « carte blanche » pour remonter la filière jusqu’au sous-ministre d’un ministère ou au dirigeant d’une institution fédérale s’il le faut.

Détours inattendus

Certes, les enquêtes peuvent s’étendre sur plusieurs mois et parfois prendre des détours inattendus.

« Il a fallu que je me déplace à un port pour voir où étaient placées les caméras de surveillance », explique une enquêteuse de grande expérience. Dans un autre dossier, les documents d’information recherchés dans un ministère sont mystérieusement disparus à deux reprises. Faute de preuves, le dossier est tombé à l’eau.

Bref, la journée d’un enquêteur n’a rien de typique. Il faut être à l’écoute, s’armer de patience et de courage et faire preuve de souplesse.

La Direction des enquêtes du CPVP attire dans ses rangs des gens de tous les milieux : un ex-agent de la GRC qui était affecté aux enquêtes criminelles, une archiviste, une infirmière.

« Il faut avoir un bon jugement et c’est essentiel de comprendre les exigences législatives de tel ou tel ministère», signale un enquêteur de longue date.

Utile aussi d’avoir vu les deux côtés de la médaille. Une analyste qui épluchait les demandes d’accès à l’information et de renseignements personnels dans un ministère mène maintenant des enquêtes pour le compte du Commissariat à la protection de la vie privée.

 « Je sais comment trouver l’information ? cela accélère le processus et évite de nous faire courir à gauche et à droite», confie une responsable des enquêtes.

Les enquêtes sont menées avec vigueur tout en gardant à l’esprit que la commissaire à la protection de la vie privée a un rôle d’ombudsman.

« Notre approche, c’est la collégialité ? , rapporte un enquêteur qui en a vu d’autres. Nous négocions au lieu de forcer les choses ».

Activités des directions

Risques potentiels pour la protection de la vie privée :
la surveillance des programmes fédéraux s’impose

Les ÉFVP devraient
également servir
de rempart contre
la communication
inappropriée de
renseignements
personnels.

Les évaluations des facteurs relatifs à la vie privée (ÉFVP) sont des outils qui aident les ministères et les organismes fédéraux à s’assurer que la protection des renseignements personnels est au cœur des préoccupations lors de la planification et de la mise en œuvre des nouveaux programmes et systèmes. L’une des responsabilités permanentes de la Direction de la vérification et de la revue consiste à examiner les ÉFVP afin de cerner, le cas échéant, les risques potentiels d’atteinte à la vie privée dans les programmes et les services fédéraux.

Les ÉFVP: sont-elles à la hauteur?

Les ÉFVP visent à cerner et à atténuer les risques d’atteinte à la vie privée. Elles ont été créées pour documenter les renseignements personnels recueillis, les fins de la collecte, et la manière de les recueillir, de les utiliser, de les transmettre, de les entreposer et de les conserver. Les ÉFVP devraient également servir de rempart contre la communication inappropriée de renseignements personnels.

Dans une partie précédente du rapport annuel, nous avons résumé les résultats de notre vérification de la fonction des ÉFVP pour l’ensemble de l’administration fédérale. Essentiellement, nous avons découvert que les ÉFVP ne donnent pas les résultats qu’elles devraient. La présente partie décrit quelques-uns des éléments de notre examen des ÉFVP.

En 2006-2007, nous avons examiné 22 ÉFVP différentes pour des projets allant d’un sondage sur les indicateurs de santé incluant la collecte d’échantillons de sang et d’urine à un projet d’échange d’informations piloté par la GRC.

Nous avons surveillé l’initiative du Système national intégré d’information interorganismes (N-III) de la GRC, un système auquel participent des tribunaux, des bureaux de poursuite judiciaire, des services de contrôle frontalier et des agences correctionnelles, de libération conditionnelle et de probation.

Lorsqu’il sera totalement intégré, on s’attend à ce que ce programme d’échange d’informations comprenne une collecte de renseignements personnels non seulement par des organismes chargés de l’application des lois, mais également par des ministères lors d’enquêtes ministérielles spéciales et d’enquêtes administratives comme celles effectuées par l’Agence des services frontaliers du Canada et Citoyenneté et Immigration Canada.

Nos réalisations dans le domaine de la vérification et de la revue en 2006-2007 comprennent :
? quatre projets de vérification commencés et terminés en 2005-2006, ainsi que le lancement de six nouveaux projets de vérification dont trois en étaient aux étapes finales à la fin de l’exercice;
? achèvement de 22 ÉFVP et de 13 autres projets touchant l’information, l’évaluation ou des conseils sur les pratiques en matière de protection de la vie privée;
? consultations avec des ministères et agences sur l’incidence des nouveaux programmes et systèmes sur la protection de la vie privée et les risques qu’ils posent.

Ces institutions doivent parfois enquêter sur des fraudes présumées, des cas de migration clandestine ou d’autres infractions au contrôle frontalier ou aux lois régissant l’immigration. Ce genre de banque de données pourrait devenir un vaste entrepôt électronique d’informations qui pourrait servir à augmenter la surveillance et le profilage.

Cette initiative de la GRC comprend plusieurs volets : le Portail d’informations policières, le Projet d’environnement de gestion de l’information sur les dossiers de la police de la Colombie-Britannique, l’Outil de recherche intégré, le Système d’incidents et de rapports de police et des applications d’aiguillage assisté par ordinateur.

Ces volets ont été élaborés séparément et, par conséquent, les risques pour la protection de la vie privée ont aussi été examinés séparément. Cependant, ces initiatives diverses, lorsqu’on les prend dans leur ensemble, auront une incidence importante sur l’échange de renseignements personnels entre les forces policières nationales, provinciales et municipales ainsi qu’avec les ministères et des partenaires internationaux.

Le CPVP a demandé à la GRC d’évaluer les facteurs relatifs à la vie privée pour l’ensemble de l’initiative. Un réseau d’échange d’informations de cette taille et portant sur des renseignements sensibles devrait être mis sur pied et répondre à des normes élevées de transparence, de surveillance et de responsabilisation. Bien que la GRC ait répondu positivement à notre suggestion, un an plus tard, nous n’avions toujours pas reçu d’évaluation exhaustive. On nous a cependant informés que le travail progressait. Le programme a été mis en œuvre sans les avantages d’une ÉFVP exhaustive complétée. Le CPVP continue de demander à la GRC de terminer cette ÉFVP.

Agence du revenu du Canada – Examen des délais

En 2005, nous avons reçu une demande du Syndicat des employé(e)s de l’impôt qui voulait vérifier l’utilisation des prorogations de délai par l’Agence du revenu du Canada lors du traitement des demandes en vertu de la Loi sur la protection des renseignements personnels. Le syndicat a présenté cette demande au nom de ses membres touchés ou visés par des griefs.

La Loi sur la protection des renseignements personnels donne aux Canadiennes et aux Canadiens le droit d’accéder à leurs renseignements personnels détenus par des institutions gouvernementales. Les institutions doivent répondre à ces demandes dans les 30 jours, mais dans certaines circonstances, ce délai peut être prolongé de 30 jours.

Le CPVP a reçu au total 35 plaintes sur des avis de prorogation de l’ARC entre avril 2000 et mars 2006, dont 15 d’une même personne. Nous avons conclu que 60 p. 100 de ces plaintes étaient fondées, souvent dans des cas où l’Agence a demandé une prolongation du délai parce qu’elle manquait de personnel pendant l’été.
 
En 2006, après que le syndicat a demandé une vérification, l’Agence a traité toutes les demandes présentées au nom de membres du syndicat sans prorogation du délai. Les années précédentes, environ 85 p. 100 des demandes avaient été traitées, moyennant une prorogation du délai. Notre examen nous permet de croire qu’une vérification complète n’est pas nécessaire, car l’ARC avait déjà réglé le problème au moment de notre intervention.

Devant les tribunaux

Dans l’ensemble, il y a eu très peu de cas portés devant les tribunaux en vertu de la Loi sur la protection des renseignements personnels en 2006-2007. Comme nous l’avons souligné précédemment, la Loi sur la protection des renseignements personnels n’offre qu’un recours judiciaire limité en cas de refus d’accès. Il n’existe aucun recours judiciaire pour les cas de collecte, d’utilisation ou de communication inappropriées des renseignements personnels par une institution fédérale.

Les plaignants ne peuvent obtenir de réparation supplémentaire en vertu de la Loi sur la protection des renseignements personnels au-delà du rapport et des recommandations à caractère non obligatoire de la commissaire. En raison du manque de recours bien enchâssés dans la Loi sur la protection des renseignements personnels, les plaignants n’ont d’autres choix que de faire appel à des moyens judiciaires moins directs et moins accessibles.

L’un des exemples les plus représentatifs est un cas porté devant les tribunaux de l’Ontario en 2006-2007. Les renseignements personnels des gardiens de prison n’avaient pas été assez bien protégés. La situation a donné lieu à une communication inappropriée de leurs renseignements personnels à la population de l’établissement carcéral.

La participation du CPVP dans cette affaire a commencé lorsqu’un gardien de prison a déposé une plainte à notre bureau et s’est terminée lorsque nous avons émis un rapport sur le bien-fondé de la plainte ainsi que des recommandations à caractère non obligatoire. Les plaignants n’ont eu d’autre choix que de poursuivre leur cause devant la Cour supérieure de l’Ontario pour atteinte à leurs droits en common law à la protection de leur vie privée et à leurs droits en vertu de la Charte. La Cour d’appel de l’Ontario a récemment débouté la demande de rejet de la plainte. Elle a conclu que l’affaire pouvait aller de l’avant compte tenu des motifs invoqués. [Voir Jackson c. Canada (Procureur général), 2006 CanLII 32311 (ON C.A.)]

Idéalement, les Canadiennes et les Canadiens devraient pouvoir chercher à obtenir réparation devant les tribunaux en vertu de la Loi sur la protection des renseignements personnels mais nos demandes en faveur de la modification de la Loin’ont encore rien donné. Par conséquent, les plaignants doivent chercher d’autres moyens d’obtenir réparation.

Contrôle judiciaire

Les contrôles judiciaires et autres cas d’intérêt suivants ont été soumis au cours de l’exercice 2006-2007. Conformément à notre mandat, nous avons décidé de ne pas publier le nom des plaignants afin de respecter leur vie privée. Nous n’énumérons que le numéro du greffe et le nom de l’institution gouvernementale en cause.

X. c. Commissaire à la protection de la vie privée du Canada
Dossier de la Cour fédérale T-1628-06

Dans cette affaire,un plaignant a déposé une demande de contrôle judiciaire en vertu de l’article 18.1 de la Loi sur les cours fédérales visant à s’opposer à une décision du Commissariat à la protection de la vie privée.

Celui-ci avisait le demandeur par lettre que sa plainte ne serait pas immédiatement confiée à un enquêteur en raison de la charge de travail anormalement élevée des enquêteurs à l’époque.

Le demandeur s’était plaint que la Société canadienne des postes avait refusé de lui communiquer l’identité de la personne qui s’en était pris à lui. Cette personne avait utilisé anonymement les voies de distribution de la SCP pour le vilipender au moyen de 800 lettres destinées aux habitants d’une réserve où le demandeur détenait un poste clé. Le mode d’envoi postal a fait croire au plaignant que la SCP détenait des informations sur l’auteur de la lettre.

Le plaignant cherchait à obtenir une ordonnance enjoignant le Commissariat de confier immédiatement à un enquêteur la plainte qu’il avait déposée au mois d’avril contre la Société canadienne des postes. La plainte a été confiée à un enquêteur au mois de septembre, ce qui explique le désistement de la procédure devant la Cour fédérale.

X. c. Commissaire à la protection de la vie privée du Canada
Dossier de la Cour fédérale 07-T-22

La demanderesse, une employée de Santé Canada, avait subi une « évaluation de son aptitude au travail » afin de vérifier si elle pouvait retourner au travail après une période de congé de maladie et d’invalidité de longue durée. Elle s’est plainte auprès de la commissaire à la protection de la vie privée que le médecin de Santé Canada qui l’avait examinée avait communiqué par lettre et sans son consentement des renseignements d’ordre médical à son employeur. La plainte portait surtout sur une phrase dans laquelle le médecin affirmait que la situation médicale de l’employée « s’était considérablement améliorée ».

La commissaire à la protection de la vie privée a enquêté et conclu que la plainte était non fondée. Elle a également jugé que la lettre du médecin ne communiquait pas la nature de la maladie de l’employée ni d’autres renseignements personnels à l’encontre de la Loi sur la protection des renseignements personnels. Ces conclusions ont été communiquées à la demanderesse en octobre 2006.

Sept mois après la publication du rapport de la commissaire, la demanderesse a déposé une requête en cour contre le Commissariat afin de demander la prorogation du délai prévu par la LPRP pour exercer un recours en révision des conclusions de la commissaire. Le Commissariat s’y est opposé pour divers motifs. Le 17 mai 2007, la Cour fédérale rejetait la requête de la demanderesse. Le tribunal concluait que celle-ci n’avait pas fait la preuve d’un « intérêt actif et continu » de poursuivre l’affaire contre Santé Canada après l’émission du rapport du Commissariat.

Intervention dans une affaire touchant la Loi sur l’accès à l’information

X. c. Ministre de la Santé du Canada
Dossier de la Cour fédérale T-347-06

La commissaire a obtenu le statut d’intervenant dans une cause initiée en vertu de la Loi sur l’accès à l’information, cause qui présentait une possibilité réelle de faire progresser un nouvel enjeu en matière de la protection de la vie privée. Cette affaire ouvre la porte à l’identification de personnes lorsque des renseignements gouvernementaux sont combinés à des renseignements qui sont déjà accessibles au public.

L’affaire X. c. Ministre de la Santé du Canada a été lancée en février 2006. En vertu de la Loi surl’accès à l’information, le demandeur a tenté d’obtenir une ordonnance visant à contraindre le ministre à lui communiquer certains champs d’information contenus dans une banque de données du ministère. Cette banque de données contenait des informations sur les effets indésirables de médicaments.

Le ministre a refusé d’accéder à la requête du demandeur. Il a justifié sa décision en disant que la communication de ces champs d’information pourrait permettre l’identification d’individus lorsque ces renseignements seraient combinés à d’autres renseignements déjà accessibles au public.

Cette affaire soulève une question importante. Les termes « renseignements personnels », tels qu’ils sont définis dans la LPRP, peuvent-ils être interprétés de façon suffisamment large pour inclure des renseignements qui permettraient, lorsque combinés à d’autres, d’identifier les personnes concernées? En d’autres mots, s’agit-il de renseignements « concernant un individu identifiable » comme le définit la Loi sur la protection des renseignements personnels? Le Commissariat a obtenu le statut d’intervenant dans cette affaire et a déposé un mémoire à la Cour fédérale. L’audition de cette cause est prévue pour le 15 novembre 2007.

Priorités pour l’année qui vient

Le CPVP a cerné plusieurs priorités pour le prochain exercice, entre autres :

Améliorer et étendre la prestation de services
il travaillera à réduire les arriérés et à améliorer les délais pour les enquêtes sur les plaintes et les examens des évaluations des facteurs relatifs à la vie privée.
il continuera d’augmenter le nombre de vérifications et de suivis des systèmes et pratiques relatifs à la protection de la vie privée tant pour le secteur privé que pour le secteur public.
 
Éclairer le Parlement sur des questions touchant la protection de la vie privée
il continuera d’appuyer les membres du Parlement en leur fournissant des informations utiles et opportunes et des énoncés de position sur les répercussions éventuelles sur la protection de la vie privée des propositions législatives et des initiatives gouvernementales.
 
Continuer de promouvoir la réforme de la Loi sur la protection
des renseignements personnels et de la LPRPDE
il continuera de promouvoir la Loi sur la protection des renseignements personnels en cherchant à obtenir le soutien des membres du Parlement et en incitant les institutions fédérales à respecter le droit des personnes à la vie privée.
il continuera de jouer un rôle actif relativement à l’examen parlementaire de la LPRPDE.
 
Accueillir et évaluer la 29e Conférence internationale des commissaires
à la protection des données et de la vie privée
il redoublera d’efforts pour assurer le succès de la Conférence en septembre 2007.
 
Augmenter la capacité organisationnelle
il examinera et complétera la mise en place des structures organisationnelles du CPVP, y compris la création de bureaux régionaux, ainsi que la création, la classification et la dotation de nouveaux postes.
il fournira de la formation et des occasions de perfectionnement au nouveau personnel et au personnel en poste.
il mettra en œuvre les éléments de la nouvelle Loi sur la responsabilité touchant le CPVP, notamment la création d’un bureau pour traiter les demandes d’accès à l’information et les demandes relatives à la protection de la vie privée.
il améliorera l’infrastructure du CPVP (p. ex. la gestion de l’information et les technologies de l’information, les locaux, les politiques et les procédures).

Annexe 1

Définitions des types de plaintes

Les plaintes adressées au CPVP sont réparties en trois grandes catégories :

Accès

  • Accès – Une personne n’a pas obtenu tous les renseignements personnels qu’une institution détient à son sujet parce qu’il manque des documents ou des renseignements, ou encore parce que l’organisation a invoqué des exceptions afin de ne pas communiquer les renseignements.
  • Correction/annotation – L’institution n’a pas apporté les corrections aux renseignements personnels ou ne les a pas annotés parce qu’elle n’approuve pas les corrections demandées.
  • Langue – Les renseignements personnels n’ont pas été fournis dans la langue officielle demandée.
  • Frais – Des frais ont été exigés pour répondre à la demande de renseignements effectuée en vertu de la Loi sur la protection des renseignements personnels, alors qu’aucun frais n’est actuellement prévu pour l’obtention de renseignements personnels.
  • Répertoire – Info Source, un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données – groupes de fichiers sur un même sujet – que l’institution possède, ne décrit pas de façon adéquate le fonds de renseignements personnels que détient une institution.

Protection des renseignements personnels

  • Collecte – Une institution a recueilli des renseignements personnels qui ne sont pas nécessaires à l’exploitation d’un de ses programmes ou à l’une de ses activités; les renseignements personnels n’ont pas été recueillis directement auprès de la personne concernée; ou la personne n’a pas été informée des fins pour lesquelles les renseignements personnels ont été recueillis.
  • Conservation et retrait – Des renseignements personnels ne sont pas conservés selon les calendriers de conservation et de retrait approuvés par les Archives nationales et publiés dans Info Source : ils sont détruits trop rapidement ou conservés trop longtemps.

  • En outre, les renseignements personnels utilisés à des fins administratives doivent être conservés pendant au moins deux ans après la dernière application d’une mesure administrative, à moins que la personne n’ait consenti à leur retrait.

  • Utilisation et communication – Des renseignements personnels sont utilisés ou communiqués sans le consentement de la personne concernée et ne satisfont pas à l’un des critères de communication permise sans consentement énoncés au paragraphe 8(2) de la Loi.

Délais

  • Délais – L’institution n’a pas répondu dans les délais prescrits.
  • Avis de prorogation – L’institution n’a pas donné une justification appropriée pour la prorogation; elle a fait la demande de prorogation après le délai initial de 30 jours ou elle a fixé l’échéance à plus de 60 jours de la date de réception de la demande.
  • Correction/annotation – délais – L’institution n’a pas corrigé les renseignements personnels ou n’a pas annoté le dossier dans les 30 jours suivant la réception de la demande de correction.

Définitions des conclusions et d’autres dispositions en vertu de la Loi sur la protection des renseignements personnels

Le CPVP a élaboré une série de définitions des conclusions qui expliquent les résultats des enquêtes qu’il effectue en vertu de la Loi sur la protection des renseignements personnels.

Réglée rapidement : S’applique aux cas où l’affaire est réglée avant même qu’une enquête officielle ne soit entamée. Par exemple, si une personne dépose une plainte dont le sujet a déjà fait l’objet d’une enquête par le CPVP et a été considéré conforme à la Loi sur la protection des renseignements personnels, nous expliquons la situation à cette personne. Il nous arrive également de recevoir des plaintes pour lesquelles une enquête officielle aurait pu avoir des conséquences défavorables pour la personne. En pareil cas, nous expliquons en détail la situation au plaignant. Si ce dernier décide de ne pas poursuivre l’affaire, celle-ci est jugée « réglée rapidement ».

Non fondée : L’enquête n’a pas permis de déceler des éléments de preuve qui suffisent à conclure que l’institution fédérale n’a pas respecté les droits d’un plaignant selon la Loi sur la protection des renseignements personnels.

Fondée : L’institution fédérale n’a pas respecté les droits d’une personne aux termes de la Loi sur la protection des renseignements personnels.

Fondée et résolue : Les allégations sont corroborées par l’enquête et l’institution fédérale accepte de prendre des mesures correctives afin de remédier à la situation.

Résolue : Après une enquête approfondie, le CPVP a participé à la négociation d’une solution satisfaisant les deux parties. Cette conclusion est réservée aux plaintes qu’on pourrait difficilement qualifier de fondées du fait que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.

Réglée en cours d’enquête : Le CPVP a participé à la négociation d’une solution satisfaisant toutes les parties dans le cadre de l’enquête. Aucune conclusion n’est rendue.

Abandonnée : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons. Par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire, ou il est impossible de le trouver afin qu’il fournisse des renseignements supplémentaires essentiels pour arriver à une conclusion.

Annexe 2

Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels

Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels

Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels

Annexe 3

Plaintes reçues par type de plainte

Plaintes reçues entre le 1er avril 2006 et le 31 mars 2007

Type de plainte Nombre Pourcentage
Accès 317 38
Délais 292 35
Utilisation et communication 149 18
Avis de prorogation 29 3
Collecte 28 3
Correction-annotation 11 1
Correction-délais 8 1
Conservation et retrait 5 1
Total 839 100

La distribution des types de plaintes est semblable aux années précédentes, à quelques exceptions près. Le pourcentage des plaintes sur les délais a baissé, passant de 40 p. 100 l’année précédente à 35 p. 100 cette année. Les plaintes sur l’utilisation et la communication ont augmenté de 11,2 à 18 p. 100.

Les dix institutions ayant reçu le plus de plaintes

Institutions fédérales ayant reçu le plus de plaintes au cours de l’exercice se terminant le 31 mars 2007

Organisme Total Accès aux renseignements personnels Délais Protection des renseignements personnels
Service correctionnel Canada 194 64 88 42
Gendarmerie royale du Canada 141 66 65 10
Agence du revenu du Canada 86 30 28 28
Défense nationale 59 21 31 7
Citoyenneté et Immigration Canada 49 20 22 7
Agence des services frontaliers du Canada 40 11 24 5
Service Canada 38 14 7 17
Affaires étrangères et Commerce international 26 11 9 6
Service canadien du renseignement de sécurité 25 17 8 0
Société canadienne des postes 24 9 6 9
Others 157 65 41 51
Autres 839 328 329 182

Deux institutions fédérales, le Service correctionnel du Canada et la GRC, ont cumulé 40 p. 100 des plaintes reçues pendant l’exercice 2006-2007. Cependant, le fait qu’une institution reçoive un grand nombre de plaintes ne signifie pas que celle-ci ne respecte pas la Loi sur la protection des renseignements personnels. En raison de leur mandat, certaines de ces institutions détiennent une quantité considérable de renseignements personnels sur des gens vivant au Canada. Elles sont donc plus susceptibles de recevoir des demandes d’accès à ces renseignements personnels. Cette situation augmente les probabilités que ces institutions fassent l’objet de plaintes concernant la collecte, l’utilisation, la communication, la conservation et le retrait de renseignements personnels ainsi que de plaintes relatives à l’accès aux renseignements personnels. Il existe un certain chevauchement entre les plaintes sur les délais et celles sur l’accès. Une plainte contre un ministère relativement aux renseignements personnels peut entraîner deux plaintes au CPVP : une plainte portant sur les délais, si la demande n’est pas satisfaite dans les 30 jours suivant la réception de la demande (ou 60 jours dans les cas de prorogation du délai), et une autre pour refus d’accès lorsque l’organisme ne communique pas toute l’information demandée.

Plaintes reçues par institution gouvernementale

Plaintes reçues par institution fédérale au cours de l’exercice se terminant
le 31 mars 2007

Total
Service correctionnel Canada   194
Gendarmerie royale du Canada 141
Agence du revenu du Canada   86
Défense nationale 59
Citoyenneté et Immigration Canada   49
Agence des services frontaliers du Canada 40 
Service Canada 38
Affaires étrangères et Commerce international Canada 26
Service canadien du renseignement de sécurité 25
Société canadienne des postes 24
Pêches et Océans Canada 15
Ressources humaines et Développement social Canada* 14
Agriculture et Agroalimentaire Canada 11
Justice Canada 11
Centre des armes à feu Canada 10
Santé Canada 10
Transports Canada 10
Commission nationale des libérations conditionnelles 8
Environnement Canada 7
Commission de l’immigration et du statut de réfugié du Canada 7
Bureau du Conseil privé 6
Commission canadienne de sûreté nucléaire 4
Office de commercialisation du poisson d’eau douce 4
Commission de la fonction publique du Canada 4
Statistique Canada 4
Agence de développement économique du Canada pour les régions du Québec 3
Industrie Canada 3
Bibliothèque et Archives Canada 3
Sécurité publique et Protection civile Canada 3
Agence de promotion économique du Canada atlantique 2
Exportation et Développement Canada 2
Affaires indiennes et du Nord Canada 2
Bureau de l’inspecteur général du SCRS 2
Bureau du directeur général des élections 2
Secrétariat du Conseil du Trésor du Canada 2
École de la fonction publique du Canada 1
Conseil de la radiodiffusion et des télécommunications canadiennes 1
Agence spatiale canadienne 1
L’Enquêteur correctionnel Canada 1
Ressources humaines et Développement des compétences Canada* 1
Commission des relations de travail dans la fonction publique 1
Travaux publics et Services gouvernementaux Canada 1
Vancouver Port Authority 1
Total 839

*  Veuillez prendre note que le nom de l’un des ministères a changé, soit de Ressources humaines et Développement des compétences Canada à Ressources humaines et Développement social Canada. Les plaintes sont inscrites sous le nom qu’avait le ministère au moment de la plainte.

Plaintes reçues par province ou territoire

Plaintes reçues par province ou territoire au cours de l’exercice se terminant
le 31 mars

Province ou territoire Total Pourcentage
Colombie-Britannique 235 28
Ontario 195 23
Québec 116 14
Région de la capitale nationale 81 4
Alberta 77 9
Saskatchewan 44 5
Manitoba 34 4
Nouveau-Brunswick 22 3
Nouvelle-Écosse 19 2
International 9 1
Terre-Neuve 4 <1
Île-du-Prince-Édouard 2 <1
Territoires du Nord-Ouest 1 <1
Total 839 100

Notons que 65 p. 100 des plaintes ont été déposées par des personnes vivant au Québec, en Ontario et en Colombie-Britannique. Au cours de cet exercice, le nombre de plaintes provenant de l’Ontario et du Québec a diminué et la Colombie-Britannique est passée du troisième au premier rang. Nous n’avons pas décelé de tendances importantes pouvant expliquer l’augmentation des plaintes provenant de la C.-B. ou la diminution des plaintes provenant de l’Ontario et du Québec.

Conclusions selon le type de plainte

Conclusions pour tous les types de plaintes au cours de l’exercice 2006-2007
Au total, 957 plaintes ont été fermées

Plaintes fermées (tous les types de plaintes)
Abandonnée Réglée rapidement Non fondée Résolue Réglée en cours d’enquête Fondée Fondée et résolue Total
Délais 49 2 55 0 3 331 1 441
Accès 41 17 91 12 41 2 36 240
Utilisation et communication 25 14 22 1 12 23 1 98
Avis de prorogation 2 0 45 0 0 14 0 61
Collecte 5 2 45 0 3 0 0 55
Correction/ annotation 4 2 30 0 1 0 8 45
Correction/ délais 3 0 1 0 0 4 0 8
Conservation et retrait 2 1 3 0 1 0 1 8
Langue 1 0 0 0 0 0 0 1
Total 132 38 292 13 61 374 47 957
Plaintes fermées – accès et protection des renseignements personnels
Abandonnée Réglée rapidement Non fondée Résolue Réglée en cours d’enquête Fondée Fondée et résolue Total
Accès 41 17 91 12 41 2 36 240
Utilisation et communication 25 14 22 1 12 23 1 98
Collecte 5 2 45 0 3 0 0 55
Correction/ annotation 4 2 30 0 1 0 8 45
Conservation et retrait 2 1 3 0 1 0 1 8
Langue 1 0 0 0 0 0 0 1
Total 78 36 191 13 58 25 46 447

Comme au cours des exercices précédents, il y a beaucoup plus de plaintes non fondées que de plaintes fondées relativement à l’accès à l’information et à la protection des renseignements personnels : 191 et 71 respectivement (comprend les plaintes fondées et résolues). En outre, un nombre important de plaintes, soit 185 sur 447, ou 41 p. 100, ont été réglées d’une façon ou d’une autre (abandonnées, réglées rapidement, réglées ou réglées en cours d’enquête). Seulement 16 p. 100 des plaintes déposées devant le CPVP en vertu de la Loi sur la protection des renseignements personnels étaient fondées. Cela constitue une augmentation par rapport à 10 p. 100 en 2005-2006. Nous croyons tout de même que ces chiffres montrent clairement que les institutions fédérales observent généralement la Loi.

Plaintes fermées – délais
Abandonnée Réglée rapidement Non fondée Résolue Réglée en cours d’enquête Fondée Fondée et résolue Total
Délais 49 2 55 0 3 331 1 441
Avis de prorogation 2 0 45 0 0 14 0 61
Correction/
délais		 3 0 1 0 0 4 0 8
Total 54 2 101 0 3 349 1 510

De par leur nature, la plupart des plaintes liées aux délais sont fondées. Les institutions disposent de 30 jours à compter de la date de réception d’une demande pour fournir les renseignements recherchés aux personnes qui font une demande d’accès à leurs renseignements personnels. En général, personne ne dépose ce genre de plainte liée aux délais à moins qu’il n’y ait eu un retard au niveau du traitement de la demande. Certaines plaintes liées aux délais ne sont pas fondées parce que des avis de prorogation ont été appliqués de manière légitime. Ces prorogations accordent un délai supplémentaire de 30 jours pour répondre à une demande. Il existe également des cas où le plaignant n’avait pas prévu le temps d’expédition par la poste.

Plaintes fermées par institution fédérale et par conclusions d’enquête liées aux délais

Répondant Abandonnée Réglée rapidement Non fondée Réglée en cours d’enquête Fondée Fondée et résolue Total
Gendarmerie royale du Canada 13 0 1 1 114 1 130
Commission de l’immigration et du statut de réfugié 0 0 51 0 40 0 91
Service correctionnel Canada 11 0 9 2 43 0 65
Agence du revenu du Canada 8 0 6 0 23 0 37
Agence des services frontaliers du Canada 2 0 0 0 30 0 32
Citoyenneté et Immigration Canada 3 1 3 0 23 0 30
Défense nationale 4 0 1 0 23 0 28
Justice Canada 5 0 5 0 12 0 22
Affaires étrangères et Commerce international Canada 3 0 1 0 13 0 17
Santé Canada 1 0 0 0 13 0 14
Agriculture et Agroalimentaire Canada 0 0 3 0 3 0 6
Ressources naturelles Canada 0 0 5 0 0 0 5
Société canadienne des postes 0 0 1 0 3 0 4
Environnement Canada 2 0 2 0 0 0 4
Pêches et Océans Canada 0 0 4 0 0 0 4
Ressources humaines et Développement des compétences Canada* 0 1 1 0 1 0 3
Agence de promotion économique du Canada atlantique 2 0 0 0 0 0 2
Centre des armes à feu du Canada 0 0 2 0 0 0 2
Service canadien du renseignement de sécurité 0 0 0 0 2 0 2
Industrie Canada 0 0 2 0 0 0 2
Commission nationale des libérations conditionnelles 0 0 2 0 0 0 2
Transports Canada 0 0 1 0 1 0 2
Exportation et Développement Canada 0 0 0 0 1 0 1
Office de commercialisation du poisson d’eau douce 0 0 0 0 1 0 1
Ressources humaines et Développement social Canada* 0 0 0 0 1 0 1
Bureau du Conseil privé 0 0 0 0 1 0 1
Service Canada 0 0 0 0 1 0 1
Secrétariat du Conseil du Trésor 0 0 1 0 0 0 1
Total 54 2 101 3 349 1 510

Le CPVP demeure préoccupé au sujet du nombre de plaintes liées aux délais déposées contre d’importantes institutions au service du public. Nous sommes heureux de constater que certaines institutions ont pris des mesures pour régler les problèmes de dotation. Le CPVP continuera de surveiller et d’évaluer le respect des délais prévus par la Loi sur la protection des renseignements personnels.

*  Veuillez prendre note que le nom de l’un des ministères a changé, soit de Ressources humaines et Développement des compétences Canada à Ressources humaines et Développement social Canada. Les plaintes sont inscrites sous le nom qu’avait le ministère au moment de la plainte.

Plaintes fermées par institution et par conclusions d’enquête liées à l’accès et à la protection des renseignements personnels

Répondant Abandonnée Réglée rapidement Non fondée Résolue Réglée en cours d’enquête Fondée Fondée et résolue Total
Service correctionnel du Canada 19 15 65 3 9 18 9 138
Agence du revenu du Canada 11 3 13 1 14 0 6 48
Gendarmerie royale du Canada 9 3 14 0 7 2 7 42
Agriculture et Agroalimentaire Canada 0 0 29 2 0 0 6 37
Défense nationale 5 2 16 0 1 1 5 30
Citoyenneté et Immigration Canada 3 2 2 2 7 0 3 19
Commission de l’immigration et du statut de réfugié 1 0 11 2 1 1 2 18
Justice Canada 6 0 2 0 1 0 1 10
Société canadienne des postes 4 1 3 0 1 0 0 9
Ressources humaines et Développement des compétences Canada* 4 1 2 0 1 0 1 9
Service canadien du renseignement de sécurité 0 0 6 0 2 0 0 8
Ressources humaines et Développement social Canada* 0 1 4 0 1 1 1 8
Agence des services frontaliers du Canada 5 1 1 0 0 0 0 7
Service Canada 0 3 0 0 3 1 0 7
Agence des douanes et du revenu du Canada 0 0 4 0 0 0 1 5
Agence des douanes et du revenu du Canada 0 0 4 0 0 0 1 5
Exportation et Développement Canada 0 0 4 0 0 0 1 5
Affaires étrangères et Commerce international Canada 0 0 1 0 3 0 0 4
Santé Canada 2 0 1 0 1 0 0 4
Industrie Canada 1 1 2 0 0 0 0 4
Pêches et Océans Canada 0 0 2 0 0 0 1 3
Bureau du directeur général des élections 1 0 0 0 2 0 0 3
Travaux publics et Services gouvernementaux Canada 0 0 0 1 2 0 0 3
Développement social Canada* 0 0 1 1 1 0 0 3
Agence de développement économique du Canada pour les régions du Québec 2 0 0 0 0 0 0 2
Commission canadienne de sûreté nucléaire 0 1 0 1 0 0 0 2
Centre des armes à feu du Canada 0 1 1 0 0 0 0 2
Ressources naturelles Canada 1 0 1 0 0 0 0 2
Anciens Combattants Canada 1 0 1 0 0 0 0 2
Agence de promotion économique du Canada atlantique 0 0 0 0 1 0 0 1
Patrimoine canadien 0 0 1 0 0 0 0 1
Commission canadienne des droits de la personne 0 0 0 0 0 1 0 1
Conseil de la radiodiffusion et des télécommunications canadiennes 0 1 0 0 0 0 0 1
Commission des plaintes du public contre la GRC 0 0 1 0 0 0 0 1
L’Enquêteur correctionnel Canada 0 0 1 0 0 0 0 1
Musée des beaux-arts du Canada 0 0 0 0 0 0 1 1
Commission nationale des libérations conditionnelles 0 0 1 0 0 0 0 1
Conseil national de recherches du Canada 1 0 0 0 0 0 0 1
Bureau du Commissaire des tribunaux de révision 1 0 0 0 0 0 0 1
Sécurité publique et Protection civile Canada 0 0 1 0 0 0 0 1
Agence de gestion des ressources humaines de la fonction publique du Canada 0 0 0 0 0 0 1 1
Transports Canada 1 0 0 0 0 0 0 1
Total 78 36 191 13 58 25 46 447

* Les plaintes sont inscrites sous le nom qu’avait le ministère au moment de la plainte.

Durée des enquêtes – Loi sur la protection des renseignements personnels

Les tableaux ci-dessous indiquent la durée moyenne (en mois) d’une enquête faisant suite à une plainte, à compter de la date de réception de la plainte jusqu’à la date à laquelle une conclusion est formulée. Le premier tableau donne une ventilation par conclusion, le deuxième, par type de plainte.

Par conclusion

Pour la période du 1er avril 2006 au 31 mars 2007

Conclusion Durée de traitement moyen (en mois)
Résolue 22,77
Fondée et résolue 21,53
Réglée en cours d’enquête 19,38
Non fondée 17,20
Abandonnée 14,33
Fondée 8,71
Réglée rapidement 4,13
Moyenne générale 13,39

La durée de traitement des plaintes continue d’être un sujet de préoccupation. Le temps moyen de traitement à compter de la réception d’une plainte à la date à laquelle une conclusion est formulée, est passé de 10,5 mois en 2005-2006 à plus de 13 mois en 2006-2007. On s’y attendait quelque peu et cette augmentation peut être attribuée à une perte de personnel expérimenté et à une accumulation de cas. On doit également prendre note que de nombreux dossiers de plaintes sont volumineux, augmentant ainsi de beaucoup le temps d’examen et d’enquête. Un certain nombre de cas reçus en formats multimédias tels que les DC, vidéos et bandes audio, ont également été examinés. Ce processus est très long.

Par type de plainte

Pour la période du 1er avril 2006 au 31 mars 2007

Type de plainte Durée de traitement moyen (en mois)
Accès 19,32
Collecte 17,69
Utilisation et communication 15,84
Langue  15,00 **
Conservation et retrait 15,00 *
Extension Notice 11,75
Correction/annotation 10,00
Délais 9,73
Correction/annotation – délais  7,63 *
Moyenne générale 13,40

*      Le délai de traitement pour ce genre de plaintes se fonde sur huit cas.
**    Le délai de traitement pour ce genre de plaintes se fonde sur un seul cas.

Données sur les demandes de renseignements

Demandes reçues et fermées par la Direction des enquêtes et des demandes de renseignements

Pour la période du 1er avril 2006 au 31 mars 2007

Le CPVP répond à un grand nombre de demandes de renseignements du public. Les questions les plus fréquemment posées portent notamment sur le vol d’identité, le télémarketing, la liste des personnes interdites de vol, le registre des armes à feu et l’utilisation abusive des numéros d’assurance sociale.

Demandes de renseignements en vertu de la Loi sur la protection des renseignements personnels reçues Demandes générales de renseignements reçues* Nombre total des demandes de renseignements reçues
Demandes téléphoniques 2 399 3 301 5 700
Demandes écrites
(lettres, courriels, télécopies)		 1 430  256 1 686
Nombre total de demandes de renseignements reçues 3 829 3 557 7 386

 

 Demandes de renseignements en vertu de la Loi sur la protection des renseignements personnels fermées Demandes générales de renseignements fermées* Nombre total des demandes de renseignements fermées
Demandes téléphoniques 2 399 3 301 5 700
Demandes écrites
(lettres, courriels, télécopies)		 1 001  256 1 257
Nombre total de demandes de renseignements reçues 3 400 3 557 6 957

*  Il s’agit de demandes de renseignements relatives à la protection des renseignements personnels qui ne peuvent être reliées à la Loi sur la protection des renseignements personnels ou à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Supports de substitution

Table des matières

Message de la commissaire

Principales réalisations en 2006-2007

Création d’une loi digne du XXIe siècle

Enjeux clés en 2006-2007

VOL D’IDENTITÉ

Éviter une crise de l’identité

SÉCURITÉ NATIONALE

Mesures antiterroristes : en avons-nous fini avec le 11 septembre?

LISTE DES PERSONNES INTERDITES DE VOL ET AUTRES PROGRAMMES DE SÉCURITÉ RELATIFS AU VOYAGE

Les programmes de sécurité relatifs aux voyages respectent-ils les exigences en matière de protection de la vie privée?

CIRCULATION TRANSFRONTALIÈRE DES DONNÉES

La protection de la vie privée dans le contexte de la circulation transfrontalière des données

VÉRIFICATION DES ÉVALUATIONS DES FACTEURS RELATIFS À LA VIE PRIVÉE

Un outil aussi essentiel pour la protection de la vie privée doit mieux fonctionner

Réponse aux plaintes et aux incidents relatifs à la protection des renseignements personnels

Activités des directions

Priorités pour l’année qui vient

Annexe 1

Annexe 2

Annexe 3

Données sur les plaintes reçues en vertu de la Loi sur la protection des renseignements personnels

Date de modification :