Rapport annuel au Parlement concernant la Loi sur la protection des renseignements personnels 2009-2010

Supports de substitution

Table des matières

Message de la commissaire

La protection de la vie privée en chiffres – 2009‑2010

Chapitre 1 : La protection de la vie privée

Chapitre 2 : La protection de la vie privée dans un monde branché

Chapitre 3 : La vie privée et la sécurité

Chapitre 4 : Répondre aux inquiétudes des Canadiennes et des Canadiens

L’année qui vient

Annexe 1 — Définitions

Annexe 2 — Processus d'enquête en vertu de la Loi sur la protection des renseignements personnels

Annexe 3 — Demandes de renseignements, plaintes et enquêtes en vertu de la Loi sur la protection des renseignements personnels, du 1er avril 2009 au 31 mars 2010

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3

613-995-8210, 1-800-282-1376
Télécopieur : 613-947-6850
ATS : 613-992-9190

© Ministre des Travaux publics et des Services gouvernementaux Canada 2010
Numéro de catalogue : IP50-2010
ISBN : 978-1-100-51131-3


Octobre 2010

L’honorable Noël A. Kinsella, sénateur
Président
Le Sénat du Canada
Ottawa (Ontario) K1A 0A4

Monsieur le Président,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada au sujet de la Loi sur la protection des renseignements personnels pour la période du 1er avril 2009 au 31 mars 2010, conformément à l’article 38 de la Loi.

Veuillez agréer, Monsieur le Président, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

(Document original signé par)

Jennifer Stoddart


Octobre 2010

L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Monsieur le Président,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada au sujet de la Loi sur la protection des renseignements personnels pour la période du 1er avril 2009 au 31 mars 2010, conformément à l’article 38 de la Loi.

Veuillez agréer, Monsieur le Président, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

(Document original signé par)

Jennifer Stoddart


Message de la commissaire

Les événements qui ont marqué le domaine du droit à la vie privée en 2009-2010 me laissent un souvenir à la fois satisfaisant et troublant.

Je suis fière des réalisations du Commissariat pour assurer la protection des renseignements personnels que les Canadiennes et Canadiens confient à leur gouvernement. Comme en témoigne le présent rapport sur la Loi sur la protection des renseignements personnels pour le dernier exercice, nos efforts portent fruit.

Toutefois, j’entretiens tout de même des appréhensions quant à l’avenir, alors que les acquis des Canadiennes et des Canadiens en matière de droit à la vie privée risquent d’être érodés par les fortes marées de la technologie et de la sécurité nationale.

Nous nous devons de répondre à l’appel avec courage et lucidité.

C’est pourquoi le présent rapport aborde à la fois le travail accompli et la marche à suivre. En plus de revenir sur les activités du Commissariat au cours de l’exercice 2009-2010, les pages qui suivent décrivent également les mécanismes en place pour que l’organisation puisse tenir tête aux défis de la prochaine décennie.

Ce rapport résume entre autres les conclusions de deux vérifications d’envergure qui mettent en lumière la protection du droit à la vie privée dans le contexte de technologies de l’information en constante évolution. L’une de ces vérifications a soulevé des lacunes troublantes dans les politiques et pratiques entourant l’usage de dispositifs sans fil tels les BlackBerrys à la fonction publique fédérale. L’autre a révélé un manque d’égard trop courant pour la confidentialité des renseignements personnels que contiennent les ordinateurs et dossiers dont se défait le gouvernement.

Le présent rapport s’attarde également sur de nombreuses enquêtes menées en vertu de la Loi sur la protection des renseignements personnels, dont une sur l’accès inapproprié aux renseignements sur le salaire d’athlètes bien connus.

On lira également en ces pages des renseignements sur l’examen des évaluations des facteurs relatifs à la vie privée qu’effectuent les ministères et organismes fédéraux au sujet de leurs programmes, et qui suscitent un intérêt grandissant auprès de la population. L’une de ces évaluations a porté sur l’adoption controversée de 44 scanners corporels à ondes millimétriques dans les aéroports canadiens.

Ce rapport reflète également nos préoccupations face à l’empiètement sur le droit à la vie privée au Canada pour des raisons de sécurité nationale. On pense notamment à l’imposant cordon de sécurité entourant les Jeux olympiques et paralympiques de Vancouver, aux nombreuses initiatives de sécurité qui affectent les voyageurs, et à un ensemble de projets de loi visant à donner davantage de pouvoirs aux forces de l’ordre qui se servent d’Internet pour contrer la criminalité et le terrorisme.

Des défis persistants

Bien que je me réjouisse des réalisations accomplies par le Commissariat dans ces dossiers d’envergure, il n’en reste pas moins que de grands défis ne sont pas près de se dissiper. Les technologies en émergence, la circulation mondiale des données, l’accroissement de la surveillance et la soif du gouvernement pour les renseignements personnels retiennent encore notre attention.

C’est donc dans ce contexte singulier que le Commissariat renforcit ses assises afin de défendre le droit à la vie privée dans les années à venir.

Nous devons entre autres changer la manière dont nous utilisons nos ressources. C’est pourquoi nous avons déployé des efforts concertés pour éliminer l’arriéré de plaintes, rationaliser le processus de traitement des plaintes, et cerner les vérifications et examens qui touchent aux risques les plus importants au droit à la vie privée.

En 2009-2010, il est devenu apparent que la Loi sur la protection des renseignements personnels ne serait pas modernisée dans un proche avenir. Je garde toutefois espoir que cette loi qui date de 27 ans subira un jour une indispensable cure de rajeunissement. D’ici là, le Commissariat travaille de concert avec le Secrétariat du Conseil du Trésor à des mesures administratives qui viendront renforcir davantage la protection du droit à la vie privée des Canadiennes et des Canadiens.

Comme il vaut mieux prévenir une atteinte à la vie privée que s’en désoler après coup, le Commissariat a renouvelé ses efforts pour communiquer avec les responsables du gouvernement appelés à traiter les renseignements personnels des Canadiennes et des Canadiens. Ainsi, nous avons eu des rencontres formelles et informelles avec des hauts fonctionnaires afin d’aborder des enjeux systémiques, visité les ministères et organismes qui font l’objet d’un nombre anormal de plaintes de la part du public, et offert un atelier sur l’évaluation efficace des facteurs relatifs à la vie privée.

Nos démarches de sensibilisation se sont traduites également par 59 interactions avec des députés et sénateurs, que ce soit dans le cadre d’audiences de comités parlementaires ou à d’autres occasions. Nous avons également conçu un document visant à aider les voyageurs canadiens à s’y retrouver parmi les nombreuses mesures de sécurité en place dans les aéroports et à la frontière, et nous poursuivons nos démarches auprès de nos homologues sur la scène internationale afin que le droit à la vie privée des Canadiennes et des Canadiens soit maintenu malgré la mondialisation grandissante.

Parallèlement, j’ai fait valoir l’importance de rehausser le degré de spécialisation du Commissariat en matière de technologies de l’information, de renseignements génétiques, d’intégrité de l’identité et, bien sûr, en matière d’intégration du respect de la vie privée dans les questions de sécurité nationale.

Je tiens à saluer le leadership exemplaire de la commissaire adjointe Chantal Bernier à tous ces égards. Elle a su guider d’une main de maître notre approche sur la protection des renseignements personnels dans le secteur public dans un contexte de technologies en émergence et de mesures de sécurité resserrées. En faisant valoir l’importance des principes fondamentaux qui sous-tendent le droit à la vie privée, Me Bernier a élargi la pertinence et le rayonnement de nos travaux.

Le Commissariat a sans contredit un regard sûr et réaliste sur l’avenir, et s’apprête à lui faire face avec force et conviction. C’est dans cette optique que nous retraçons notre parcours de la dernière année.

C’est un cheminement qu’il me fait plaisir de présenter aux parlementaires et à l’ensemble de la population canadienne.

La protection de la vie privée en chiffres – 2009‑2010

Demandes de renseignements et enquêtes au sujet des plaintes

Total des demandes reçues 10 907
Demandes liées à la Loi sur la protection des renseignements personnels (LPRP) 2 572
Demandes liées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) 5 467
Demandes ne pouvant pas être liées exclusivement à la LPRP ou à la LPRPDE 2 868
Plaintes liées à la LPRP reçues 665
Plaintes liées à la LPRP fermées 1 154

Vérifications et examens d’évaluations des facteurs relatifs à la vie privée

Vérifications dans le secteur public
Évaluations des facteurs relatifs à la vie privée :
Reçues 102
Examinées 33
Services juridiques, politiques et affaires parlementaires
Avis juridiques liés à la LPRP 10
Litiges en vertu de la LPRP – décisions émises 2
Litiges en vertu de la LPRP – causes réglées 1
Politiques ou initiatives du secteur public examinées 61
Documents d’orientation stratégique rédigés 18
Lois ou projets de loi examinés sous l’angle de leurs répercussions sur la vie privée 10
Témoignages devant des comités parlementaires 14
Autres rencontres avec des parlementaires ou leur personnel 45
Autres activités du Commissariat
Visites formelles de la part d’intervenants externes 56
Discours et exposés 164
Communiqués et autres outils de communication 61
Entrevues médiatiques 318
Expositions et autres activités de promotion hors site 11
Publications distribuées 1 6207
Visites enregistrées au site principal du Commissariat 2,06 millions
Visites enregistrées aux blogues et aux autres sites du Commissariat 1,06 million
Nouveaux abonnements au bulletin électronique 304
Demandes en vertu de la Loi sur l’accès à l’information reçues 26
Demandes en vertu de la Loi sur l’accès à l’information fermées 31
Demandes en vertu de la LPRP reçues 16
Demandes en vertu de la LPRP fermées 15

Chapitre 1 : La protection de la vie privée

Principales réalisations en 2009-2010

1.1 Prestation de services à la population canadienne

Demandes de renseignements du public

Les Canadiennes et les Canadiens ont téléphoné ou écrit au Commissariat près de 11 000 fois durant l’exercice 2009-2010. Dans environ le quart des cas, ils désiraient de l’information sur des enjeux qui relevaient clairement du ressort de la Loi sur la protection des renseignements personnels. Tout aussi souvent, la question relevait de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, qui s’applique au secteur privé. Pour l’autre moitié des enquêtes, la préoccupation ne pouvait être exclusivement associée à la Loi sur la protection des renseignements personnels ou à la LPRPDE.

Dans le cas des questions liées au gouvernement du Canada (et, par conséquent, qui relèvent de la Loi sur la protection des renseignements personnels), les personnes ont communiqué avec nous pour une vaste gamme de raisons. Une préoccupation, également soulevée dans le passé, portait sur la perception d’une collecte excessive de renseignements personnels et, plus particulièrement, du numéro d’assurance sociale. Pour la première fois cette année, nous avons noté une faible augmentation de l’inquiétude à l’égard de la liste des personnes interdites de vol du gouvernement et des scanners corporels qui ont fait leur entrée aux points de contrôle de sécurité des aéroports.

Nous avons déployé beaucoup d’efforts pour répondre à la demande en communiquant des renseignements aux demandeurs ou en les orientant vers les personnes ou les ressources appropriées. En plus de répondre aux demandes de renseignements liés à la LPRPDE, nous avons répondu à 5 521 demandes de renseignements portant spécifiquement sur la Loi sur la protection des renseignements personnels ou pour lesquelles il était difficile de déterminer la loi qui s’appliquait, ce qui représente une légère augmentation par rapport à l’année dernière.

Pour plus d’information à ce sujet, veuillez consulter la section 4.1.

Plaintes du public

Notre objectif de régler les enjeux au début du processus nous a permis de réduire de 12 % le nombre de plaintes officielles enregistrées auprès du Commissariat. Nous avons reçu 665 plaintes relatives à des enjeux du secteur public en 2009‑2010, comparativement à 748 l’année précédente.
 
Durant le dernier exercice financier, nous avons également mieux ciblé nos efforts pour régler les plaintes rapidement, sans avoir à mener d’enquête officielle. Pour y arriver, nous avons désigné un agent de résolution rapide, qui a aidé les plaignants à trouver des solutions satisfaisantes à leurs préoccupations.

Par exemple, l’agent arrive souvent à clore un dossier simplement en faisant connaître au plaignant des cas semblables qui ont fait l’objet d’une enquête dans le passé. Si dans ces cas antérieurs, il a été déterminé que le ministère avait respecté la Loi sur la protection des renseignements personnels, les plaignants conviennent souvent qu’il n’y a pas lieu d’aller de l’avant.

Certaines plaintes sur l’accès aux renseignements personnels sont également réglées lorsque l’agent arrive à démontrer qu’un ministère qui avait refusé de communiquer les renseignements était en droit de se servir des exemptions obligatoires.

Dans l’ensemble, 161 dossiers de plaintes ont été fermés à la satisfaction des plaignants en 2009-2010, avant le lancement d’une enquête ou parce que l’enjeu a été réglé en cours d’enquête. Par ailleurs, 149 cas ont été abandonnés, habituellement à la demande du plaignant, avant qu’une enquête n’ait été complétée.

Comme par le passé, la majorité des plaintes que nous avons reçues avait trait aux difficultés rencontrées par des personnes lorsqu’elles ont voulu accéder à leurs renseignements personnels détenus par le gouvernement (38 % de l’ensemble) ou à la période de temps requise par les institutions pour répondre aux demandes d’accès à ces renseignements (44 % de l’ensemble).

Les plaintes relatives à la collecte, à l’utilisation, à la communication, à la conservation ou au retrait des renseignements personnels comptent pour le reste des plaintes (18 %).

Enquêtes sur les plaintes

En 2009‑2010, le nombre de dossiers de plaintes fermés en vertu de la Loi sur la protection des renseignements personnels était de 1 154, une augmentation de 17 % par rapport à 2008‑2009. Fait significatif, nous avons fermé 489 dossiers de plus que nous n’en avons ouverts et, dans le cadre de ce processus, nous avons réussi à éliminer presque totalement l’arriéré des dossiers de plaintes non réglés remontant à plus d’un an.

Le Commissariat avait comme priorité l’élimination de l’arriéré. Le Parlement nous a accordé des fonds pour atteindre cet objectif. Au début de l’exercice financier, nous comptions 333 dossiers déposés en vertu de la Loi sur la protection des renseignements personnels en souffrance, une baisse par rapport au maximum de 595 en 2007. En date du 31 mars 2010, il ne restait que 10 dossiers en souffrance.

Près de la moitié des dossiers terminés portaient sur des préoccupations concernant l’accès aux renseignements personnels, mais les enquêtes ont permis de conclure que près de la moitié de ces plaintes n’étaient pas fondées.

À titre de comparaison, nous avons reconnu comme étant fondées près de 85 % des 314 plaintes concernant les délais de réponse des institutions gouvernementales aux demandes d’accès à des renseignements personnels.

Les plaintes concernant la protection de la vie privée, y compris la collecte, l’utilisation ou la communication inappropriée de renseignements personnels, ne comptent que pour le quart des dossiers terminés. Dans 43 % de ces dossiers, les allégations étaient toutefois fondées.

Durant nos enquêtes, nous avons continué d’être préoccupés par un facteur de risque qui revient d’année en année : la mauvaise gestion de renseignements personnels, qui, le plus souvent, est le résultat d’un simple oubli, d’une inadvertance ou de procédures inadéquates. Nous avons toutefois noté également des actes répréhensibles.  

Comme par le passé, nous avons également constaté que le problème relevait dans certains cas de la technologie — qu’il s’agisse d’un problème de programmation, d’une protection inadéquate des données ou tout simplement d’une défaillance de l’équipement mécanique.

Dans le but d’enrayer les problèmes plus systémiques, nous avons beaucoup investi dans la prévention. C’est ainsi que nous avons rencontré les responsables des ministères et des organismes pour favoriser une meilleure compréhension des défis auxquels ils sont confrontés et de nos attentes en matière de protection des renseignements personnels. Nous avons également soutenu l’importance de nous signaler les atteintes à la protection des données.

Des renseignements additionnels sur notre travail d’enquête sur les plaintes figurent à la section 4.2 du présent rapport, tandis que les points saillants de nos enquêtes figurent à la section 4.3.

Conscientisation du public

Durant l’année, les commissaires et autres hauts fonctionnaires du Commissariat ont prononcé 164 allocutions, dont bon nombre portaient sur des problèmes de protection de la vie privée dans le secteur public, et accordé de nombreuses entrevues aux médias sur des sujets comme la sûreté de l’aviation et l’accroissement projeté des pouvoirs de la police pour repérer les terroristes et les criminels sur l’Internet.

Nous avons également préparé et distribué divers produits de communication, comme des calendriers et des fiches d’information. Une de nos publications les plus populaires, par exemple, vise à aider les voyageurs internationaux à comprendre les répercussions sur la protection de la vie privée des nombreuses mesures de sécurité en place dans les aéroports et aux postes frontaliers, et à les informer des options de recours qui s’offrent à eux. Nous avons également préparé une brochure pour présenter nos principales priorités stratégiques.

Nous nous sommes grandement servis de notre site Web, qui a d’ailleurs fait peau neuve en avril 2009.

1.2 Soutien au Parlement

Comparutions devant les députés et sénateurs

En 2009‑2010, les commissaires et autres hauts fonctionnaires du Commissariat ont comparu à 14 reprises devant les députés et sénateurs. Parmi les questions à l’étude, mentionnons :

  • les examens de la Loi sur l’identification par les empreintes digitales et de la Loi sur l’enregistrement de renseignements sur les délinquants sexuels du Canada;
  • les modifications apportées au Code criminel pour cibler le vol d’identité;
  • de nouvelles initiatives législatives, comme la Loi sur la protection du commerce électronique proposée, la Loi canadienne sur la sécurité des produits de consommation et la Loi sur les agents pathogènes humaines et les toxines;
  • la restructuration proposée du cadre de surveillance des organismes de sécurité nationale du Canada et les répercussions sur la protection de la vie privée pour le secteur des communications sans fil;
  • la sûreté de l’aviation;
  • la réforme de la Loi sur la protection des renseignements personnels.
Accès légal

Une des plus importantes initiatives législatives que nous avons examinées en 2009‑2010 concernait une série de projets de loi qui, dans leur ensemble, visaient à aviser les autorités d’activités en ligne illégales, à donner aux policiers les outils nécessaires pour conserver les données en ligne comme éléments de preuve, à permettre aux enquêteurs de retracer les transactions et les communications numériques et à veiller à ce que la police et les organismes de sécurité puissent intercepter une nouvelle génération de communications. 

Ces mesures législatives visent à obliger les fournisseurs de services Internet de communiquer, sur demande, de l’information sur les abonnés comme des noms et des adresses aux responsables de la police et de la sécurité nationale.

Nous reconnaissons les défis auxquels sont confrontés les organismes d’application de la loi en cette période de changement rapide des technologies de communications, mais nous étions également convaincus que les répercussions sur la protection de la vie privée des mesures législatives proposées devaient être analysées avec grand soin.

Reprenant les questions graves énoncées dans une résolution conjointe des ombudsmans et des commissaires à la protection de la vie privée du Canada présentée en septembre dernier, la commissaire a fait part de ses préoccupations dans une lettre envoyée aux parlementaires en octobre.

Les deux principaux projets de loi, soit les projets de loi C-46 et C-47, ont été présentés pour la première fois en juin 2009, mais sont morts au Feuilleton à la suite de la prorogation de décembre. Des variantes du concept ayant toutefois été présentées au fil des années, nous prévoyons que les projets de loi seront de nouveau présentés durant la nouvelle session parlementaire.

Une discussion plus approfondie des mesures législatives sur l’accès légal et de nos préoccupations à cet égard figure à la section 3.3.

Renouveau législatif

En 2009‑2010, nous avons continué d’essayer de persuader le Parlement que la Loi sur la protection des renseignements personnels,adoptée en 1983, est désuète et qu’elle doit rapidement être actualisée. Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes nous a accordé son appui lorsqu’il a présenté en juin 2009 un rapport intitulé La Loi sur la protection des renseignements personnels : Premiers pas vers un renouvellement.
Le ministère de la Justice n’était toutefois pas d’accord avec nous. Il a indiqué dans sa réponse au rapport du Comité que les protections existantes de la vie privée en vertu de la Loi sur la protection des renseignements personnels et de la Charte canadienne des droits et libertés sont suffisantes.

Nous avons donc dirigé notre attention sur l’élaboration de mesures administratives qui, devant l’absence de modifications législatives, pourraient faire avancer nos objectifs visant à renforcer le droit à la vie privée dans le secteur public.

Parmi ces mesures, mentionnons l’inclusion des évaluations des facteurs relatifs à la vie privée dans le droit public, l’accroissement de la formation sur la protection de la vie privée parmi les fonctionnaires et l’adoption du signalement d’atteintes à la protection des renseignements personnels comme norme au sein du gouvernement.

Un résumé de nos changements administratifs proposés figure à la section 3.4.

1.3 Soutien aux institutions du gouvernement fédéral

Dialogue avec les ministères et organismes

En 2009‑2010, nous avons participé à de nombreuses discussions bilatérales dans le but de renforcer la compréhension entre le Commissariat et les fonctionnaires des ministères et organismes fédéraux.

Des discussions avec des institutions, comme Citoyenneté et Immigration Canada, le Service correctionnel du Canada et l’Agence des services frontaliers du Canada, ont permis de veiller à ce que les principes clés de la protection de la vie privée soient intégrés à la structure des institutions fédérales, à savoir minimiser la collecte de renseignements personnels, veiller à ce qu’ils soient recueillis pour des raisons justifiables, limiter leur utilisation, les protéger et en effectuer le retrait de manière sécuritaire lorsqu’ils ne sont plus requis.

Nous avons également tiré profit des occasions de prendre part aux réunions des responsables de l’accès à l’information et de la protection des renseignements personnels et organisé un premier atelier visant l’amélioration de la qualité et de l’efficacité des évaluations des facteurs relatifs à la vie privée.

Jeux olympiques et paralympiques

Les Jeux olympiques et paralympiques de Vancouver, qui se sont déroulés en Colombie‑Britannique en février et mars 2010, étaient le premier événement de grande envergure au Canada depuis les attentats terroristes du 11 septembre 2001 aux États‑Unis.

Les organisateurs étaient préoccupés par la sécurité durant les Jeux, comme on pouvait s’y attendre, et le Commissariat a fait le suivi des activités des responsables de la sécurité et de l’application de la loi pour veiller à ce que le droit à la vie privée des spectateurs, des athlètes, des employés et des bénévoles soit respecté.

Nous avons fait le suivi des activités de planification et de mise en œuvre des mesures de sécurité et sommes restés en contact durant toutes les opérations avec le Groupe intégré de la sécurité de la GRC.

La relation de travail avec les responsables de la sécurité a commencé au début de 2009. À l’été, nous avions créé sur notre site Web un point d’accès réservé aux documents et à la recherche sur les facteurs relatifs à la vie privée des événements de grande envergure, comme les Jeux olympiques. La page présentait une fiche d’information décrivant les principes pour guider les responsables de la sécurité à s’acquitter de leurs tâches de manière à ne pas empiéter indûment sur le droit des personnes à la vie privée pendant les Jeux. 

À la fin des Jeux, nous étions satisfaits de constater que les autorités responsables de la sécurité avaient compris leurs obligations en vertu des lois relatives à la protection des renseignements personnels. Il est à espérer que l’expérience acquise par les organismes d'application de la loi et de sécurité nationale à maintenir le droit à la vie privée pendant les Jeux sera prise en compte lors de l’organisation d’événements d’envergure nationale et internationale au Canada.

Pour un complément d’information à ce sujet, veuillez consulter la section 3.2.

Vérification de l’utilisation des technologies sans fil

Nous appuyons les institutions fédérales, entre autres, en vérifiant qu’elles ont adopté les politiques, procédures, pratiques et contrôles nécessaires pour protéger la vie privée et les renseignements personnels des Canadiennes et des Canadiens. Après tout, le gouvernement recueille et conserve des renseignements personnels particulièrement délicats, des documents fiscaux et des prestations de soutien du revenu aux tendances touristiques et aux demandes d’immigration et de statut de réfugié.

Ainsi, en 2009‑2010, nous nous sommes demandé si quatre grands ministères et un organisme disposaient de mesures de protection des renseignements personnels adéquates pour les réseaux sans fil et les appareils mobiles de communication, comme les BlackBerrys.

Nous avons constaté qu’aucune des cinq entités n’avait évalué à fond les menaces et les risques inhérents aux technologies sans fil. Trois des quatre réseaux sans fil examinés offraient le niveau de cryptage recommandé. Seulement trois des organisations exigeaient des mesures de protection par mot de passe robuste pour les téléphones intelligents, et aucune ne réclamait que les données conservées dans les appareils soient chiffrées.

Nous avons également ciblé d’importantes faiblesses dans la gestion des appareils mobiles excédentaires, et seulement une des organisations vérifiées a pu démontrer que les mesures actuelles donnent l’assurance que les données de tous les téléphones sont effacées avant que les appareils ne soient liquidés.

Une version condensée de notre rapport intégral de vérification figure à la section 2.1.

Vérification sur le retrait des renseignements personnels

Dans le cadre d’une seconde vérification menée en 2009‑2010, nous avons cherché à déterminer si des ministères et organismes choisis respectaient les règles et les procédures concernant l’élimination des documents papier, des ordinateurs excédentaires et d’autre matériel informatique. Compte tenu de la quantité importante de renseignements personnels détenus dans les dossiers papier et électroniques du gouvernement, il s’agissait d’une initiative importante.

Malgré le fait que bon nombre de politiques et de règles procédurales satisfaisantes étaient en place, nous avons constaté des lacunes inquiétantes sur le plan de leur mise en œuvre.

Par exemple, nous avons examiné un échantillon de près de 1 100 ordinateurs excédentaires que 31 ministères et organismes fédéraux avaient donnés au Programme des ordinateurs pour les écoles. Nous avons constaté que les données qui figuraient dans les appareils offerts par 90 % des institutions de l’échantillon n’avaient pas complètement été éliminées. De fait, des données confidentielles de nature hautement délicate et même classifiées figuraient toujours dans bon nombre des ordinateurs vérifiés. Certaines étaient de nature tellement sensible que nous avons immédiatement entrepris des démarches pour que les appareils soient retournés au ministère d’origine.

Bien qu’il existe des politiques strictes régissant le déchiquetage et l’élimination des documents, notre enquête a permis de constater que les entreprises privées qui s’acquittent du travail en vertu d’un contrat avec le gouvernement n’étaient pas bien supervisées. Sans contrôle adéquat, deux des quatre entreprises examinées avaient à un moment ou un autre contrevenu à leurs obligations contractuelles. De fait, à un emplacement précis, la violation des règles de sécurité était tellement évidente que la cote de sécurité de l’entreprise a été suspendue jusqu’à ce que les lacunes aient été corrigées.

Une version condensée de notre rapport intégral de vérification figure à la section 2.2.

Évaluations des facteurs relatifs à la vie privée

Le Commissariat collabore avec les ministères et les organismes afin de veiller à ce que la protection de la vie privée soit prise en compte le plus tôt possible dans le cadre de l’élaboration des politiques et qu’elle continue d’être rigoureusement observée durant la mise en œuvre des programmes et l’exécution des services.

Les évaluations des facteurs relatifs à la vie privée sont désormais un outil important pour aider les ministères et les organismes à intégrer la protection de la vie privée dans les nouveaux programmes et services d’une façon qui soit transparente pour le public.

La politique fédérale exige des institutions qu’elles présentent de telles analyses au Commissariat. Nous ne sommes toutefois pas responsables de l’approbation ou du parrainage des projets. Nous passons plutôt en revue les évaluations et pouvons recommander des façons d’améliorer les projets afin de mieux protéger les renseignements personnels des Canadiennes et des Canadiens.

Nous ne détenons pas le pouvoir nécessaire en vertu de la Loi sur la protection des renseignements personnels pour forcer les institutions à mettre en œuvre nos recommandations. Malgré tout, nous avons constaté que les institutions collaborent généralement avec le Commissariat à la résolution des problèmes liés à la protection de la vie privée.

En 2009‑2010, nous avons reçu 102 évaluations des facteurs relatifs à la vie privée, une hausse marquée par rapport aux 64 évaluations reçues l’année précédente. À la suite d’un processus de triage rigoureux dont l’objectif est de concentrer nos ressources dans les initiatives qui posent les plus grands risques potentiels pour la protection de la vie privée ou qui peuvent être classées dans l’un des quatre principaux secteurs prioritaires du Commissariat, nous avons effectué l’examen de 33 de ces présentations.

Les principaux examens d’évaluations des facteurs relatifs à la vie privée que nous avons menés sont résumés à la section 2.3.

Évaluation des facteurs relatifs à la vie privée de l’Administration canadienne de la sûreté du transport aérien

Les questions de premier plan liées au secteur public sur lesquelles nous nous sommes penchés en 2009-2010 étaient tirées d’une évaluation des facteurs relatifs à la vie privée provenant de l’Administration canadienne de la sûreté du transport aérien (ACSTA), qui traitait d’une nouvelle technologie de contrôle de la sûreté aérienne qui crée des images des passagers à travers leurs vêtements.

L’ACSTA nous a initialement consultés sur la technologie de scanners en septembre 2007. À la suite d’un projet pilote à Kelowna (Colombie‑Britannique) en 2008, l’ACSTA a présenté au Commissariat en 2009 une évaluation des facteurs relatifs à la vie privée qui portait sur le déploiement de 44 machines en janvier 2010. Son interaction poussée avec le Commissariat a permis de régler ou de minimiser nos principales préoccupations en matière de protection de la vie privée.

De fait, la proposition subséquente d’utiliser les appareils comme instruments optionnels de contrôle secondaire sans conservation des données a établi une première norme à l’échelle internationale.

Une description plus complète de notre travail sur les scanners corporels figure à la section 3.1.

Modernisation des processus

Compte tenu de l’étendue de son mandat visant l’ensemble des ministères et organismes fédéraux, le Commissariat s’est concentré en 2009‑2010 sur l’élaboration d’une approche plus rationnelle et systémique de ses processus de vérification et d’examen des évaluations des facteurs relatifs à la vie privée.

En consultation avec des responsables du gouvernement, des universitaires et d’autres intervenants, nous avons élaboré un plan de vérification axé sur les risques pour diriger nos ressources vers les programmes et les ministères qui détiennent le plus de renseignements personnels délicats.

Compte tenu de l’augmentation de 60 % en une seule année du nombre d’évaluations des facteurs relatifs à la vie privée reçues par le Commissariat, nous appliquons également une approche de triage à nos processus d’examen et d’analyse. Par conséquent, les évaluations des facteurs relatifs à la vie privée des initiatives qui représentent le plus grand risque pour la vie privée des Canadiennes et des Canadiens, ou ceux qui cadrent avec les principales préoccupations liées à la protection de la vie privée du Commissariat, sont devenues prioritaires.

En janvier 2010, le Commissariat a également organisé un premier atelier pour aider les employés fédéraux à mieux comprendre nos attentes en matière d’évaluations des facteurs relatifs à la vie privée. L’événement a attiré 90 participants et, à la fin de l’exercice financier, un résumé écrit de nos attentes a été préparé pour distribution à la grandeur du gouvernement.

Nous avons également restructuré le Commissariat en regroupant la Direction des enquêtes et des demandes de renseignements et la Direction de la vérification et de la revue sous la direction de la même commissaire adjointe. Nous voulons ainsi accroître la synergie dans nos fonctions de conformité afin de trouver des solutions plus efficaces aux problèmes systémiques soulevés par les plaintes du public.

Des renseignements additionnels sur ces changements figurent à la section 2.4.

Tribunaux administratifs fédéraux

Le Commissariat est depuis longtemps préoccupé par la décision des tribunaux administratifs et quasi judiciaires fédéraux d’afficher sur Internet des décisions contenant des renseignements personnels non pertinents. Le défi de trouver un équilibre entre l’ouverture et la protection de la vie privée en cette ère numérique continue de générer des demandes de renseignements et des plaintes.
Ces organismes administratifs se penchent sur des questions telles le déni de pensions et de prestations d’assurance‑emploi, la conformité aux normes en matière d’emploi et autres normes professionnelles, les allégations d’entraves à la réglementation, et les contestations du processus d’embauche à la fonction publique fédérale. Les décisions des tribunaux affichées publiquement comprennent souvent des détails de nature personnelle, comme les salaires et les problèmes de santé, que peu de gens voudraient voir diffusés à grande échelle.
Nous convenons qu’il existe des cas où l’intérêt public voudrait que les gens soient informés de l’identité des personnes visées par la justice arbitrale. Dans la majorité des cas, toutefois, nous croyons qu’il est possible de respecter les principes de transparence et d’ouverture sans révéler l’identité des personnes sur Internet.
 
En 2009-2010, nous avons pris des mesures pour clarifier davantage notre position et expliquer la mise en œuvre de la Loi sur la protection des renseignements personnels aux tribunaux administratifs. En consultation avec nos homologues provinciaux et territoriaux, nous avons élaboré des lignes directrices visant à aider les tribunaux à s’acquitter de leur mandat et servir l’intérêt public, tout en se conformant à la Loi.

Des détails sur ces mesures figurent à la section 4.7.

Conseils au sujet du gouvernement en ligne

On encourage les employés du gouvernement à adopter des outils interactifs et novateurs pour améliorer le rendement et établir des liens avec les Canadiennes et les Canadiens. Par conséquent, on enregistre une augmentation de l’utilisation des blogues ministériels, des wikis comme GCPedia, des médias sociaux et d’autres plateformes de réseautage social comme GCConnex. Même Twitter et YouTube se font une place au sein de la fonction publique du Canada.

Le Commissariat continue sa collaboration avec le Secrétariat du Conseil du Trésor et d’autres ministères afin d’élaborer des politiques et des lignes directrices qui aideront les institutions fédérales à prendre leur place en ligne et dans les environnements collaboratifs d’une façon qui préserve les valeurs fondamentales comme le droit à la vie privée.

Repères en matière de protection de la vie privée

Le Secrétariat du Conseil du Trésor a également élaboré des repères en matière de protection de la vie privée et des conseils pour l’ensemble de la fonction publique fédérale. À cet égard, le Commissariat a participé au processus d’examen par les pairs, qui comprend une politique révisée sur la protection de la vie privée, une communication améliorée des statistiques sur la conformité à la Loi sur les renseignements personnels dans les rapports annuels des ministères et organismes, ainsi que la nouvelle ligne directrice sur les ententes d’échange de renseignements personnels entre les organisations du gouvernement du Canada et les organismes partenaires de l’étranger.

Nous saluons cet accent mis sur le renforcement des mesures de sécurité et la protection des renseignements personnels, particulièrement dans cet environnement de plus en plus numérique et réseauté dans lequel s’intègre un gouvernement moderne.

1.4 Progression des connaissances

Groupe de travail sur la sécurité nationale

Le Commissariat s’intéresse depuis longtemps aux questions liées à la protection de la vie privée découlant des mesures de sécurité nationale. Nous avons comparu devant la Commission d’enquête sur les actions des responsables canadiens relativement à Maher Arar en 2005, puis devant la Commission d’enquête Major relative aux mesures d’investigation prises à la suite de l’attentat à la bombe commis contre le vol 182 d’Air India en 2007.

Le droit des citoyens à la protection de la vie privée dans le contexte de la sécurité nationale, et les garanties juridiques nécessaires à l’atteinte des deux objectifs, restent à l’avant‑plan du processus organisationnel du gouvernement. Ces enjeux sont également au cœur de notre mandat organisationnel.

Pour mettre en lumière les questions liées à la protection de la vie privée soulevées par les programmes de sécurité nationale au Canada et à l’étranger, le Commissariat a formé un groupe de travail interne composé d’employés qui ont une expertise dans les domaines de la vérification et de l’examen, du droit, des enquêtes, de la sécurité de l’information, du renseignement stratégique, ainsi que de l’examen et la surveillance en matière de sécurité.

Avec l’aide des séances d’information de spécialistes de la sécurité nationale, le groupe contribue à approfondir les connaissances d’ensemble du Commissariat dans ce domaine. Ces efforts nous ont permis de traiter rapidement les dossiers en émergence. Par exemple, en examinant les développements à l’échelle internationale des lois et des programmes qui permettent d’assurer la sécurité nationale, ainsi que le modèle du Canada, nous avons été en mesure de recommander au Parlement des façons d’améliorer les mécanismes de surveillance et d’examen de l’ensemble de la communauté du renseignement et de la sécurité du Canada.

Groupe de travail sur la protection des renseignements génétiques

Le contrôle de l’accès aux renseignements génétiques et de la manière dont ils seront utilisés ne constitue qu’un seul des principaux nouveaux enjeux du 21e siècle en matière de protection de la vie privée. C’est la raison pour laquelle le Commissariat a fait de cette question une des quatre priorités stratégiques qui serviront à orienter notre travail en matière de politiques, de recherche, de sensibilisation du public et d’enquêtes au cours des prochaines années.

En 2009‑2010, nous avons participé à l’examen de la Loi sur l’identification par les empreintes génétiques effectué par le Parlement. Nous avons comparu devant les comités de la Chambre des communes et du Sénat pour fait part de nos préoccupations quant à l’accroissement de la base de données génétiques nationale au moyen du prélèvement de l’ADN d’un plus grand nombre de délinquants ayant commis un éventail plus large d’infractions, pour permettre des « recherches familiales » et augmenter les échanges internationaux de renseignements.

Nous avons également coparrainé un atelier en collaboration avec Génome Canada sur les questions liées à la protection de la vie privée soulevées quand des échantillons biologiques sont recueillis puis conservés pour la conduite de recherches en génétique. Nous avons participé à l’organisation d’un deuxième atelier sur l’utilisation possible des renseignements génétiques par les assureurs et les employeurs. Un troisième atelier sur les tests génétiques destinés aux consommateurs a eu lieu après la fin de l’exercice visé par le présent rapport.

Ces ateliers ont permis de réunir des décideurs fédéraux, des chercheurs, des universitaires et d’autres intervenants pour se pencher sur les enjeux stratégiques liés à la disponibilité croissante des renseignements génétiques. Ces activités ont généré des exposés d’options stratégiques qui serviront  de référence pour l’élaboration de politiques dans ce domaine. Il est possible de consulter en ligne à http://www.genomecanada.ca/fr/ge3ls/portail-options-strategiques/memoire-orientations-strategiques.aspx.

Groupe de travail sur l’intégrité de l’identité

Les gouvernements actuels recueillent et communiquent de plus en plus de renseignements personnels, souvent pour des raisons associées à la sécurité nationale ou publique. La quantité d’information qu’il est possible de recueillir, de comparer, de communiquer et de conserver augmente avec chaque nouvelle innovation technologique.

Bon nombre de Canadiennes et de Canadiens veulent voir leurs renseignements personnels détenus par le gouvernement, pour une foule de raisons. Certains veulent tout simplement savoir ce que l’on sait à leur sujet, tandis que d’autres se demandent pourquoi ils reçoivent une attention non sollicitée de la part d’un organisme gouvernemental.

Le Commissariat a formé un groupe de travail sur l’intégrité de l’identité qui vise entre autres à mieux comprendre les forces derrière la collecte croissante de renseignements personnels. Le groupe examine également la réaction des Canadiennes et des Canadiens devant les tentatives répétées de collecte de leurs renseignements personnels, ainsi que les normes et les cadres qui leur donnent plus de contrôle sur leurs propres données.

Groupe de travail sur les technologies de l’information et la vie privée

Un nombre croissant de Canadiennes et de Canadiens choisissent de communiquer avec le gouvernement fédéral de façon électronique. De même, au sein du gouvernement, les fonctionnaires sont encouragés à interagir, à réseauter et à bloguer, à former des équipes et des groupes de travail intergouvernementaux en ligne, et à partager leurs connaissances sur les ressources numériques.

Le développement rapide des technologies de l’information contribue à ces tendances. Dans ce contexte, le Groupe de travail sur les technologies de l’information et la protection de la vie privée du Commissariat étudie les nouveautés qui pourraient avoir une incidence sur la protection de la vie privée.

En 2009-2010, le Groupe a demandé à des spécialistes de l’aider à explorer de nouvelles technologies et à analyser leurs répercussions sur la vie privée. Un élément clé était les technologies géospatiales et le risque de repersonnalisation à partir de groupes de données soi-disant anonymisées ou dépersonnalisées que ces technologies entraînent.

Le Groupe a également partagé ses connaissances acquises avec d’autres employés du Commissariat dans le cadre d’une série de présentations sur des sujets comme les programmes malveillants et les réseaux de zombies.

Analystes de recherche en TI

Bon nombre des plaintes déposées par les membres du public portaient sur des questions propres à la technologie. Pour nous aider à traiter des questions les plus complexes, nous avons formé en 2009‑2010 une petite équipe d’analystes de recherche en technologies de l’information.

Leur travail consiste à analyser et à évaluer les technologies de l’information et des communications ainsi que leurs répercussions sur les politiques de protection des renseignements personnels, le droit des citoyens canadiens au respect de leur vie privée et le mandat conféré par la loi au Commissariat. 

L’équipe conseille par la suite les membres de la haute direction et les autres employés du Commissariat sur les enquêtes et les demandes d’information, les vérifications et les examens d’évaluations des facteurs relatifs à la vie privée, ainsi que les examens de projets de lois et de modifications proposées aux politiques. Son travail appuie également les comparutions de la commissaire et d’autres membres de la haute direction devant des comités parlementaires et d’autres groupes.

1.5 Initiatives mondiales

Survol des efforts du Commissariat

Nous vivons dans un monde où les progrès fulgurants des technologies de l’information et des communications se traduisent par la circulation de quantités inimaginables de renseignements personnels dans le monde entier. Tout comme d’autres autorités de protection des données, nous voulons veiller à ce que ces renseignements personnels soient adéquatement protégés lorsqu’ils traversent les frontières.
 
En 2009-2010, le Commissariat a continué de trouver des solutions globales aux problèmes de protection des renseignements personnels en collaboration avec des organisations internationales et des autorités de protection des données d’autres pays.

Dans un monde de plus en plus interrelié, une protection efficace de la vie privée des Canadiennes et des Canadiens exige l’adoption de normes et de mécanismes rigoureux en matière de protection de la vie privée pour faciliter la collaboration entre les autorités chargées de l’application de la loi. Nous croyons pouvoir participer à l’atteinte de ces objectifs en étant actifs sur la scène internationale.

Les paragraphes qui suivent font un survol des points saillants de notre travail dans ce domaine.

L’Initiative espagnole

Lors de la 31e Conférence internationale des commissaires à la protection des données et de la vie privée tenue à Madrid en novembre 2009, les autorités de protection des données de partout dans le monde ont souscrit à un projet de norme internationale relative à la protection de la vie privée.

Ce projet a été mis au point par un groupe de travail international dirigé par le commissaire espagnol, Artemi Rallo Lombarte, et composé de représentants de divers milieux, y compris le Commissariat à la protection de la vie privée du Canada. La conclusion d’une entente sur les principes généraux de protection des données est un premier pas important vers la création d’une approche harmonisée en la matière. 

Organisation internationale de normalisation

Le Commissariat participe activement aux efforts de l'Organisation internationale de normalisation (ISO) pour élaborer et soutenir des normes et des lignes directrices régissant les questions de sécurité en gestion de l'identité, en biométrie et en protection des renseignements personnels.

L’ISO élabore actuellement des normes générales sur la gestion de l’identité et la vie privée. Elle cible également les exigences de futures normes et lignes directrices pour certaines technologies permettant d’accroître la protection de la vie privée.

Un conseiller principal du Commissariat préside le Comité consultatif canadien en s’inspirant des travaux effectués à l’échelle internationale; il dirige également la délégation canadienne au groupe de travail de l’ISO responsable de la gestion de l’identité et des technologies favorisant la protection de la vie privée. Il est, par ailleurs, chargé de présenter les observations de la Conférence internationale des commissaires à la protection des données et de la vie privée à ce groupe de travail de l’ISO, et est le représentant du Canada à un nouveau Comité directeur sur la protection de la vie privée de l’ISO.

Organisation de coopération et de développement économiques

L’Organisation de coopération et de développement économiques (OCDE) joue depuis longtemps un rôle de premier plan dans le développement des solutions mondiales aux questions de protection de la vie privée et de sécurité. De fait, les Lignes directrices sur la protection de la vie privée et les flux transfrontières de données à caractère personnel de l’OCDE marquent leur 30e anniversaire en 2010. 

En 2010, l’OCDE a prévu une série d’activités commémoratives pour lancer une discussion en 2011 afin de déterminer si les lignes directrices doivent être révisées. La commissaire était à la tête d’un groupe responsable de la planification des événements. Le Commissariat a contribué à la préparation d’un document de travail de l’OCDE sur le nouvel environnement de la protection de la vie privée et les défis à la protection des renseignements personnels au 21e siècle.

Coopération économique de la zone Asie-Pacifique

Le groupe de Coopération économique Asie-Pacifique, auquel siège le Commissariat, met en œuvre le cadre de protection de la vie privée de l’APEC. La plus grande partie du travail effectué par le Sous-groupe de protection de données de l’APEC est axé sur l’élaboration de règlements en matière de protection des renseignements personnels afin de régir la circulation de données d’un pays à l’autre.

En particulier, le Commissariat a collaboré à l’élaboration d’un cadre visant à simplifier la coopération entre les autorités chargées de l’application de la loi.

Francophonie

Le Commissariat continue de participer aux activités de l’Association francophone des autorités de protection de données personnelles, qui représente les autorités de protection des données dans les territoires de compétence d’expression française.

À la fin de 2009, la commissaire adjointe Chantal Bernier a assisté à la troisième conférence internationale de l’Association francophone à Madrid, au cours de laquelle elle a présenté un exposé sur la protection des données personnelles dans un contexte de mondialisation. 

En novembre 2009, le Commissariat a publié un rapport faisant le survol de l’approche canadienne en matière de protection de la vie privée. Pour ce rapport, nous avons collaboré avec les commissaires à la protection de la vie privée du Québec et du Nouveau‑Brunswick, deux provinces canadiennes comptant d’importantes populations francophones. Le rapport a été largement distribué au sein de la Francophonie.

Commission européenne

La Commission européenne a entrepris l’examen du cadre européen de protection des données, relativement distinctif, qui pourrait mener à la création d’une approche mondiale plus harmonisée. 

En 2009, le Commissariat a rencontré les membres d’un groupe de travail qui conseille la Commission européenne sur la protection et la sécurité des données. Cette réunion nous a permis de mieux comprendre ce qui se fait en Europe et d’expliquer la façon dont le Canada compose avec les problèmes engendrés par la circulation transfrontière des données.

Chapitre 2 : La protection de la vie privée dans un monde branché

Regard sur notre travail de vérification et d’examen des évaluations des facteurs relatifs à la vie privée

Depuis des décennies, les technologies de l’information améliorent nos vies d’innombrables façons. Aujourd’hui, la plupart des gens auraient du mal à s’imaginer un monde sans Internet et sans tous les progrès rendus possibles par la technologie numérique.

Tout comme ils se tournent vers Internet pour télécharger de la musique, acheter des livres ou vendre une voiture usagée, les Canadiennes et Canadiens choisissent d’interagir par voie électronique avec le gouvernement fédéral. Les particuliers ont de plus en plus tendance à se tourner vers les sites Web des ministères pour trouver de l’information, transmettre leur déclaration d’impôt, ou présenter une demande pour un emploi, un programme ou un service.

Le gouvernement, quant à lui, est déterminé à demeurer au diapason du public et investit dans l’infrastructure technologique et l’expertise interne nécessaires pour soutenir le rythme effréné du nouveau Web 2.0.     

Les fonctionnaires sont invités à interagir, à réseauter et à bloguer, à créer des équipes internes et externes au moyen de sites comme GCConnex et à alimenter des ressources en ligne comme les wikis des ministères et GCPedia. Le microblogage et le réseautage social gagnent en popularité, phénomène renforcé par l’embauche d’une main‑d’œuvre plus jeune et déjà au parfum des nouvelles technologies.

Mais chaque innovation entraîne de nouveaux risques pour la protection de la vie privée. À mesure que les fonctionnaires communiquent leurs points de vue et leurs expériences sur des blogues et des sites de réseautage social, la ligne de démarcation entre vie privée et vie professionnelle se brouille. Dans ce contexte, la neutralité politique des fonctionnaires peut être remise en question.   

En outre, l’accroissement de la circulation des données entraîne des risques de communication non autorisée de renseignements personnels. Et compte tenu de la puissance des ordinateurs modernes, une atteinte à la protection des données typique pourrait toucher non plus une douzaine de personnes, mais bien des centaines de milliers.

C’est là certains des enjeux qui ont préoccupé le Commissariat en 2009‑2010. Dans le présent chapitre, nous résumons deux vérifications de la façon dont le gouvernement gère les renseignements personnels des Canadiennes et des Canadiens en cette ère numérique.     

L’une de ces vérifications traitait des risques potentiels pour la protection de la vie privée que pose l’utilisation répandue chez les fonctionnaires de réseaux sans fil et d’appareils de communication électroniques portatifs. L’autre examinait si les politiques et les pratiques du gouvernement en matière d’élimination des ordinateurs excédentaires et des documents papier représentaient un risque pour les renseignements personnels délicats ou confidentiels.

Compte tenu de l’intérêt grandissant du gouvernement pour les réseaux sociaux et les autres outils modernes de dialogue interne et externe, nous avons également examiné une mesure proposée selon laquelle la Commission de la fonction publique surveillerait les organes médiatiques, les sites Web personnels et les sites de réseautage social comme Facebook afin de déceler tout signe d’activité politique inappropriée de la part de fonctionnaires.  

2.1 Vérification de l’utilisation des technologies sans fil

Aperçu

Technologie sans fil

La technologie sans fil (le Wi-Fi, par exemple) permet aux appareils électroniques de communiquer et de transmettre des données par radiofréquences plutôt que par des connexions filaires. En l’absence de mesures de protection adéquates, les données peuvent être exposées au grand jour, interceptées, manipulées ou sabotées. Un pirate pourrait également s’arroger les privilèges d’un utilisateur autorisé afin d’accéder à un système.

Des milliers de fonctionnaires fédéraux, tant à Ottawa que dans les bureaux régionaux, utilisent des téléphones intelligents ou d’autres appareils sans fil pour effectuer des communications vocales ou des transmissions de données lorsqu’ils sont à l’extérieur du bureau. Certains ministères fédéraux utilisent également des points d’accès sans fil pour permettre aux fonctionnaires qui disposent de portables ou d’autres dispositifs mobiles à se brancher à leurs ordinateurs de bureau. Ces technologies améliorent la productivité des employés du gouvernement quand ils sont éloignés de leurs postes de travail.

Toutefois, une vérification menée par le Commissariat auprès de quatre grands ministères fédéraux et une société de la Couronne (voir l’encadré) a révélé que le recours à certaines pratiques, parallèlement à l’absence de politiques et de mesures de sécurité entourant la protection des données et de la vie privée, pourrait mettre à risque les renseignements personnels des Canadiennes et des Canadiens.

Enjeu

Entités soumises à la vérification

Les entités soumises à la vérification conservent de grandes quantités de renseignements personnels délicats afin d’offrir des programmes et des services.

  • Société canadienne d’hypothèques et de logement : renseignements fournis par les personnes qui cherchent à obtenir de l’aide auprès de l’un des programmes de logement gérés par l’organisme
  • Service correctionnel du Canada : information sur les personnes incarcérées pendant deux ans et plus
  • Santé Canada : renseignements sur les soins de santé offerts aux résidents de quelque 200 communautés des Premières nations
  • Ressources humaines et Développement des compétences Canada : données sur les prestataires du Régime de pensions du Canada, de la Sécurité de la vieillesse et de l’assurance-emploi
  • Affaires indiennes et du Nord Canada : renseignements personnels des membres des Premières nations, des Inuit et des Métis

Certains ministères gèrent de grandes quantités de renseignements personnels au sujet des Canadiennes et Canadiens. C’est particulièrement le cas des cinq entités qui ont fait l’objet de notre vérification, soit la Société canadienne d’hypothèques et de logement, le Service correctionnel du Canada, Santé Canada, Ressources humaines et Développement des compétences Canada, et Affaires indiennes et du Nord Canada. Conséquemment, de tels ministères et organismes doivent apporter un soin particulier à la protection des données contre la communication non autorisée.

Nous savons que les lacunes en matière de sécurité et le relâchement des pratiques peuvent exposer l’information à une communication non intentionnelle ou illégale par l’entremise des réseaux sans fil ou dans le cadre de l’utilisation d’appareils portatifs dotés d’une connectivité sans fil.

Il peut s’agir tout simplement d’une personne conversant sur un téléphone cellulaire en prenant l’autobus et dont l’échange pourrait être entendu par d’autres passagers. Ou encore, une note tapée sur un portable ou un téléphone intelligent pourrait être lue par dessus l’épaule de son auteur. Afin de contrer des interceptions plus sophistiquées, les mots de passe, mécanismes de cryptage et autres mesures de sécurité doivent être en place pour empêcher l’accès aux données transmises à l’aide de réseaux et de dispositifs sans fil par des personnes non autorisées.

On doit également prendre garde à la perte ou au vol de dispositifs sans fil qui pourraient contenir des renseignements personnels. Il est possible d’envoyer une commande pour supprimer à distance les données comprises sur un appareil sans fil dont on a perdu la trace. Toutefois, cette commande ne peut pas être envoyée une fois que l’appareil est mis hors service. Nous avons eu connaissance de cas où, en l’absence de processus formalisés, ces étapes ont été suivies dans le désordre, ce qui a eu comme conséquence que des données sont demeurées sur les appareils disparus.

Normes et politiques

En 2002, le Conseil du Trésor a adopté une politique sur les mesures de sécurité visant à protéger la confidentialité et l’intégrité des biens du gouvernement, dont les renseignements personnels. Cette politique et les normes connexes, qui précisent des exigences de sécurité obligatoires, sont conformes aux normes et pratiques exemplaires nationales et internationales de protection des données.

Les institutions fédérales doivent effectuer leurs propres évaluations pour déterminer si des mesures plus serrées sont nécessaires.

Nous nous sommes penchés également sur les enjeux liés aux dispositifs sans fil excédentaires du gouvernement. Les cinq entités soumises à la vérification conservent à elles seules des milliers d’appareils dont elles ne se servent plus. Certains d’entre eux sont destinés à être remis à neuf ou recyclés; il est donc crucial de supprimer d’abord les données qu’ils contiennent.

Portée de la vérification

Nous avons passé en revue les politiques, procédures, pratiques et mesures de contrôle en place à la Société canadienne d’hypothèques et de logement, au Service correctionnel du Canada, à Santé Canada, à Ressources humaines et Développement des compétences Canada, et à Affaires indiennes et du Nord Canada afin de réduire les risques pour la vie privée associés à l’utilisation de technologies sans fil, notamment les téléphones intelligents, les téléphones cellulaires et les réseaux Wi-Fi.

Nous avons également testé les dispositifs sans fil excédentaires (téléphones intelligents et cellulaires) et effectué un balayage afin de déceler les points d’accès sans fil dans les lieux occupés par les entités visées par la vérification ou dans les environs immédiats.

Conclusions et recommandations

Évaluation des risques – Aucune des entités soumises à la vérification n’avait mené d’évaluation de la menace et des risques en bonne et due forme au sujet des télécommunications sans fil. (Une initiative était en cours à Ressources humaines et Développement des compétences Canada, mais elle n’était pas terminée au moment de notre vérification.) En l’absence de telles analyses, les entités ne pouvaient pas démontrer que tous les risques matériels étaient cernés et gérés de manière appropriée.

Nous avons recommandé que la Société canadienne d’hypothèques et de logement, le Service correctionnel du Canada, Santé Canada, et Affaires indiennes et du Nord Canada se livrent à une évaluation des menaces et des risques associés aux réseaux sans fil et aux téléphones intelligents.

Responsabilité des utilisateurs – Aucun des formulaires que l’on demande aux utilisateurs de signer avant d’utiliser un téléphone intelligent ou cellulaire du gouvernement ne comprenait de dispositions précisant que l’utilisateur doit se servir du dispositif en question d’une manière respectueuse du droit à la vie privée.

Formation des utilisateurs – Parmi les entités soumises à la vérification, une seule a pu démontrer que les utilisateurs de téléphones intelligents avaient reçu une formation précise sur la protection de la vie privée, traitant d’enjeux comme les mesures de protection des données emmagasinées dans les dispositifs sans fil et les répercussions de l’utilisation de la technologie dans les lieux publics.  

Nous avons recommandé que le Service correctionnel du Canada, Santé Canada, Ressources humaines et Développement des compétences Canada, et Affaires indiennes et du Nord Canada veillent à ce que les employés soient conscients des risques d’entrave à la vie privée inhérents à l’utilisation de téléphones intelligents.
 
Mots de passe – Seulement trois des cinq entités soumises à la vérification (Santé Canada, Ressources humaines et Développement des compétences Canada, et Affaires indiennes et du Nord Canada) avaient mis en place des protocoles voulant que les téléphones intelligents soient protégés par des mots de passe robustes. Le Service correctionnel du Canada exigeait l’utilisation de mots de passe, mais sans préciser que ces derniers devaient comprendre les caractéristiques de mots de passe robustes. Quant à la Société canadienne d’hypothèques et de logement, elle encourageait les membres du personnel à utiliser des mots de passe mais leur laissait le soin d’activer eux-mêmes la fonction.

Nous avons recommandé que la Société canadienne d’hypothèques et de logement et le Service correctionnel du Canada exigent que leurs employés utilisent des mots de passe robustes pour protéger les téléphones intelligents.

Cryptage de données – Aucune des cinq entités soumises à la vérification n’exigeait que les données stockées dans la mémoire des dispositifs soient cryptées.

Nous avons recommandé que les cinq organisations fassent en sorte que les données stockées sur les téléphones intelligents soient cryptées.

Cryptage des réseaux Wi-Fi – Les niveaux de cryptage des réseaux Wi-Fi de la Société canadienne d’hypothèques et de logement et d’Affaires indiennes et du Nord Canada correspondent à ceux recommandés par le Centre de la sécurité des télécommunications Canada. Notre examen de la configuration d’un réseau Wi-Fi au Service correctionnel du Canada nous a permis de conclure que des mesures appropriées étaient en place pour protéger les données transmises sur le réseau. Santé Canada utilise la norme Wi-Fi dans certaines régions éloignées et les responsables du Ministère nous ont informés que le niveau de cryptage en place était faible. Ressources humaines et Développement des compétences Canada ne disposait pas de réseau Wi-Fi.

Nous avons recommandé que Santé Canada passe en revue ses réseaux sans fil et s’assure que les points d’accès sont dotés du cryptage de sécurité recommandé par le Centre de la sécurité des télécommunications Canada.

Messagerie NIP à NIP – Ce moyen de communication directe entre deux téléphones intelligents, également connue sous le nom de messagerie « de poste à poste », utilise le NIP unique à chaque appareil pour contourner les serveurs d’une organisation. Le Centre de la sécurité des télécommunications Canada affirme que ce type de messagerie est vulnérable et encourage les ministères à ne pas s’en servir à moins d’avoir en place des politiques et des mesures de sécurité supplémentaires pour protéger la confidentialité des communications NIP à NIP.

Nous avons constaté que toutes les entités permettaient l’utilisation de la messagerie NIP à NIP et qu’aucune ne pouvait démontrer qu’elle avait mis en œuvre des mesures pour pallier les enjeux de sécurité associés à ce mode de communication.

Nous avons recommandé que les cinq entités soumises à la vérification veillent à ce que l’utilisation de la messagerie NIP à NIP soit conforme aux directives émises par le Centre de la sécurité des télécommunications Canada.

Dispositifs sans fil perdus ou volés – Quatre des cinq entités soumises à la vérification n’ont pu démontrer qu’elles avaient des procédures documentées précisant les mesures à prendre pour réduire le risque que des données soient compromises dans l’éventualité où un dispositif est perdu ou volé. Nous avons constaté que les pratiques variaient d’une entité à l’autre et, dans certains cas, au sein même de l’entité vérifiée.

Nous avons recommandé que le Service correctionnel du Canada, Santé Canada, Ressources humaines et Développement des compétences Canada, et Affaires indiennes et du Nord Canada adoptent des procédures documentées pour réagir à la perte ou au vol de dispositifs sans fil.

Entreposage de dispositifs excédentaires – Quatre des cinq institutions avaient adopté des mesures d’entreposage sécuritaire pour leurs dispositifs sans fil excédentaires, y compris des classeurs verrouillés ou des salles sécuritaires où l’accès est limité. Dans un bureau régional de Ressources humaines et Développement des compétences Canada, nous avons toutefois constaté que les téléphones intelligents et cellulaires excédentaires étaient entreposés dans un classeur non verrouillé, accessible à l’ensemble du personnel. Certains de ces appareils contenaient des données.

Processus de vérification

Nous avons d’abord effectué une étude préparatoire auprès de 34 organisations gouvernementales pour obtenir un aperçu de l’utilisation du sans fil au gouvernement du Canada. Les cinq organisations que nous avons retenues doivent gérer des quantités importantes de renseignements personnels pour s’acquitter du mandat qui leur est conféré par la loi.

Nous avons interviewé le personnel et passé en revue les politiques, procédures et lignes directrices. Nous avons également examiné un échantillon de dispositifs sans fil excédentaires pour déterminer si toutes les données qu’ils contenaient avaient été effacées avant que les dispositifs ne soient liquidés.

Nous avons contrôlé l’espace occupé par les installations des entités soumises à la vérification et l’espace attenant. Nous avons obtenu un avis juridique pour confirmer que notre activité à cet égard ne contrevenait pas aux lois provinciales ou fédérales.

Les activités de vérification ont été réalisées dans la région d’Ottawa–Gatineau et à Toronto, Montréal, Québec, Winnipeg, Vancouver et Abbotsford (Colombie-Britannique).

Nous avons recommandé que Ressources humaines et Développement des compétences Canada veille à ce que tous ses dispositifs sans fil excédentaires soient entreposés dans des zones sécurisées.

Retrait des dispositifs – Nous avons contrôlé un échantillon de dispositifs sans fil excédentaires au Service correctionnel du Canada, à Santé Canada, et à Ressources humaines et Développement des compétences Canada et découvert que des appareils contenaient encore des données. Certains de ces appareils étaient destinés à la Distribution des biens de la Couronne de Travaux publics et Services gouvernementaux Canada, soit l’organisation responsable de la vente, de la distribution, du retrait et de la réutilisation des biens fédéraux excédentaires. Nous avons constaté toutefois que les données de tous les téléphones intelligents et cellulaires excédentaires d’Affaires indiennes et du Nord Canada avaient été supprimées.

Nous avons recommandé que la Société canadienne d’hypothèques et de logement, le Service correctionnel du Canada, Santé Canada, et Ressources humaines et Développement des compétences Canada établissent des mécanismes de contrôle pour s’assurer que les données conservées dans les dispositifs sans fil excédentaires sont effacées avant la liquidation de ces dispositifs.

Conclusion

Tous les ministères et organismes fédéraux doivent respecter le droit à la vie privée des Canadiennes et des Canadiens, comme le veut la Loi sur la protection des renseignements personnels. Ils doivent donc protéger leurs fonds de renseignements personnels en adoptant des politiques, des procédures, des mesures de protection et des pratiques de retrait adéquates.

Aucune des entités sélectionnées n’avait effectué d’évaluation de la menace et des risques en bonne et due forme au sujet de leurs réseaux sans fil et de leurs dispositifs portatifs dotés d’une connectivité sans fil, bien que Ressources humaines et Développement des compétences Canada avait déjà entamé le processus lors de notre passage. En l’absence de telles analyses, les entités sont incapables de démontrer que tous les risques inhérents au matériel ont été ciblés et convenablement gérés.

En examinant les politiques existantes au sujet des dispositifs sans fil, nous avons constaté que plusieurs éléments clés leur faisaient défaut. Nous avons également constaté une absence de procédures documentées pour réduire le risque que des données soient compromises à la suite de la perte ou du vol d’un appareil.

Réponses des organisations

Toutes les organisations nous ont répondu et ont accepté nos recommandations, en tout ou en partie. Le rapport de vérification complet, qui comprend les réponses détaillées des organisations, est diffusé au même moment que le présent rapport et est disponible sur notre site Web.

Nous avons constaté que des mesures clés visant à protéger les renseignements personnels contenus sur des dispositifs sans fil n’étaient pas toujours en place. Par exemple, deux des cinq entités n’avaient pas adopté l’exigence de protection par mot de passe robuste pour leurs téléphones intelligents, et aucune n’exigeait que les données conservées dans la mémoire de ces dispositifs soient cryptées.

À une seule exception, nous avons constaté que les entités n’éduquaient généralement pas les utilisateurs de sans-fil sur la manière d’utiliser les dispositifs de façon à respecter le droit à la vie privée.

Nous avons également constaté que les mesures de contrôle pour gérer les dispositifs sans fil excédentaires étaient inadéquates. En outre, à l’exception d’Affaires indiennes et du Nord Canada, aucune des entités soumises à la vérification n’a pu démonter que des mesures adéquates étaient en place pour supprimer les données contenues sur les téléphones cellulaires et sans fil avant que ceux-ci ne soient liquidés.

Parmi les réseaux Wi-Fi examinés, nous avons constaté que les niveaux de cryptage variaient. Trois des quatre entités avaient mis en place le cryptage de sécurité recommandé par le Centre de la sécurité des télécommunications Canada.

L’utilisation de technologies et de dispositifs sans fil pour transmettre ou stocker des données entraîne certains risques à la vie privée. Notre travail de vérification nous a amenés à conclure que la Société canadienne d’hypothèques et de logement, le Service correctionnel du Canada, Santé Canada, Ressources humaines et Développement des compétences Canada, et Affaires indiennes et du Nord Canada doivent renforcer certaines politiques, procédures, processus ou mesures de contrôle afin d’amenuiser ces risques.

2.2 Vérification des pratiques de retrait des renseignements personnels

Aperçu

L’absence de mesures de contrôle adéquates au sujet du retrait de documents dont le gouvernement n’a plus besoin a été au cœur de l’une des atteintes à la protection des renseignements personnels les plus monumentales dont le Commissariat a eu connaissance. 

En 1998, nous avons reçu un tuyau d’un journaliste qui nous a permis de découvrir, dans un entrepôt d’une entreprise de déchiquetage et de recyclage, plusieurs tonnes de dossiers confidentiels du gouvernement fédéral portant sur des milliers de Canadiennes et de Canadiens, prêts pour l’expédition. Notre enquête a révélé que quatre camions pleins de documents allaient être livrés aux États-Unis, en Corée du Sud et en Chine. Le matériel, composé entre autres de déclarations de revenus et de dossiers portant sur l’immigration, les libérations conditionnelles et les régimes de pensions, était offert intact au plus offrant — sur le marché du recyclage, le papier intact vaut plus que le papier déchiqueté.

Nous avons également trouvé des éléments de preuve attestant clairement que les Archives nationales du Canada et Travaux publics et Services gouvernementaux Canada étaient au courant des difficultés financières et techniques ainsi que des problèmes liés à la sécurité de l’entreprise lorsqu’ils lui ont accordé une cote de sécurité permettant à cette dernière de transporter et de déchiqueter des dossiers fédéraux.         

À l’époque, le commissaire à la protection de la vie privée avait recommandé qu’Archives Canada ait recours à des services de déchiquetage hors site seulement si l’entreprise choisie pouvait garantir que des mesures de sécurité adéquates étaient prises et que le déchiquetage s’effectuait sous surveillance constante.

Le gouvernement fédéral recueille et utilise de grandes quantités de renseignements personnels afin d’offrir des programmes et des services à la population canadienne. Nous avons examiné ce qui advient de l’information qui n’est plus nécessaire aux fins pour lesquelles elle a été amassée, ou qui réside sur des ordinateurs désuets.

Notre vérification avait pour but de déterminer si certaines institutions fédérales effectuaient le retrait des renseignements personnels de manière sécuritaire. Nous avons porté une attention particulière aux ententes d’impartition de certaines parties du processus de retrait à des entités du secteur privé.

Nous avons examiné les moyens en place pour détruire les documents papier surannés, certains d’entre eux étant confiés sous contrat à des entreprises privées de déchiquetage.

En outre, la vérification a porté sur la distribution du surplus d’ordinateurs dans le cadre du Programme des ordinateurs pour les écoles du gouvernement du Canada, ainsi que sur la vente d’ordinateurs excédentaires aux enchères publiques par la Distribution des biens de la Couronne. 

Bien que de nombreuses règles et politiques satisfaisantes soient en place, de sérieuses lacunes sur le plan de leur mise en œuvre ont suscité chez nous des inquiétudes. Par exemple, plus de quatre ordinateurs sur dix remis au Programme des ordinateurs pour les écoles contenaient encore des données qui n’avaient pas été effacées par l’institution donatrice. Certains des renseignements étaient très délicats, voire classifiés.

Nous avons également découvert qu’une entreprise privée de recyclage déchiquetait les documents en bandes plus larges de moitié que la norme exigée par les clauses du contrat.

Importance de l’examen

Que ce soit pour présenter une demande de passeport, demander des prestations du Régime de pensions du Canada ou produire une déclaration de revenus, les personnes n’ont généralement pas la possibilité de refuser la collecte et l’utilisation de leurs renseignements personnels par le gouvernement. Les données sont souvent très délicates et leur communication non autorisée pourrait avoir des conséquences sérieuses pour le droit à la vie privée des personnes concernées, l’intégrité de leur identité, leurs circonstances économiques et même leur sécurité physique.

Bien que nos vérifications des pratiques de gestion des renseignements personnels portent habituellement sur le traitement des données dont les organisations se servent couramment, celle-ci souligne l’importance des mesures de contrôle à la fin du processus, alors que les organisations se défont des données dont elles n’ont plus besoin.

En effet, les institutions fédérales sont tenues de protéger les renseignements destinées au retrait avec le même soin que ceux contenus dans leurs dossiers courants. La confiance du public en la capacité du gouvernement de protéger des renseignements personnels très délicats est en cause.

Constatations
1. Bibliothèque et Archives Canada
Aperçu

Le Conseil du Trésor établit les normes visant à assurer la gestion de biens protégés et classifiés en attente d’élimination. Ces normes abordent les caractéristiques d’une installation d’entreposage appropriée permettant d’empêcher l’accès non autorisé à ces biens, le vol ou la perte de ceux-ci, et les mesures visant à protéger les dossiers du moment où ils sont transportés à l’extérieur de l’organisation jusqu’à l’étape de l’élimination. 

Les Centres de services régionaux de Bibliothèque et Archives Canada gèrent des dossiers au nom de 90 ministères et organismes fédéraux. Ces centres effectuent diverses fonctions, notamment le retrait de dossiers avec l’assentiment des institutions clientes. Une bonne part du travail de retrait est impartie à des entreprises privées de déchiquetage ou de recyclage.

Nous avons constaté que Bibliothèque et Archives Canada dispose de politiques et de procédures exhaustives et uniformes pour le retrait sécuritaire des dossiers du gouvernement fédéral.

Toutefois, nous avons découvert que l’organisation ne contrôle pas systématiquement les pratiques de destruction des entreprises de déchiquetage hors site par l’entremise d’inspections routinières et de vérifications annuelles.

En fait, nous avons constaté que deux des quatre entreprises de déchiquetage avec qui Bibliothèque et Archives Canada fait affaire ont, à un moment ou un autre, manqué à leurs obligations contractuelles. Ces obligations exigent entre autres que les membres du personnels disposent des autorisations de sécurité appropriées, que les dossiers soient détruits de manière à ce que les documents ne puissent pas être reconstitués, et que les documents soient détruits en temps opportun afin de réduire le risque d’accès non autorisé, de perte ou de vol.

Déchiquetage hors site

Bibliothèque et Archives Canada gère également l’élimination de renseignements classifiés dont la communication non autorisée pourrait causer un préjudice à l’intérêt national. Les dossiers classifiés sont détruits sur place et font l’objet de contrôles stricts.

Aux fins de la présente vérification, nous avons principalement examiné l’élimination hors site de renseignements cotés « Protégé A » ou « Protégé B ». Les dossiers cotés « Protégé B » contiennent des renseignements de nature particulièrement délicate dont la communication non autorisée pourrait vraisemblablement causer un préjudice sérieux à une personne, une organisation ou un gouvernement.

Les trois entreprises que nous avons visitées nous ont fourni des renseignements sur leurs processus de retrait et les mesures visant à protéger les dossiers en attente d’élimination.

Une politique du Conseil du Trésor établit la norme minimale pour la destruction sécuritaire de documents classifiés et protégés. La norme en vigueur à Bibliothèque et Archives Canada est plus stricte.

Toutefois, nous avons constaté que l’application de cette norme n’était pas uniforme.

Nous avons recommandé que Bibliothèque et Archives Canada s’assure que les modalités des contrats d’élimination de documents hors site respectent sa propre norme sur la sécurité.

Les manquements aux contrats ne font pas l’objet d’un suivi

Selon la norme de gestion des marchés du Conseil du Trésor, les politiques et les procédures organisationnelles devraient prévoir des inspections prévues et imprévues des lieux de travail des entrepreneurs. Dans une lettre adressée au commissaire à la protection de la vie privée en 2002, l’archiviste national a fourni l’assurance que Bibliothèque et Archives Canada comptait mettre en œuvre un protocole de vérification rigoureux et détaillé pour les contrats de destruction de dossiers hors site.

Nous nous attendions à trouver un régime de contrôle efficace et bien documenté. Or, bien que Bibliothèque et Archives Canada ait affirmé que des inspections étaient effectuées chaque année, l’organisme n’a pu fournir aucune preuve à l’appui.

Dans le cadre de notre vérification, nous avons examiné les documents contractuels et les rapports d’inspection disponibles au sujet des quatre entreprises de déchiquetage hors site retenues par Bibliothèque et Archives Canada. Cet examen a révélé que deux des entreprises avaient à un moment ou un autre manqué à leurs obligations contractuelles.

Dans un des cas, des responsables de Bibliothèque et Archives Canada se sont présentés sur les lieux pour effectuer une inspection imprévue des installations d’une entreprise de déchiquetage et ont découvert des palettes remplies de dossiers devant être détruits dans les trois jours suivant la réception, mais qui avaient été reçus 12 jours auparavant.

Dans un autre cas, les employés n’avaient pas fait l’objet d’une enquête sur la sécurité appropriée et la largeur moyenne des rebuts du déchiquetage était plus élevée de moitié que les critères précisés dans le contrat. Le contenu des dossiers nous laisse croire que l’entreprise ne respectait pas ses obligations depuis bon nombre d’années. Travaux publics et Services gouvernementaux Canada a suspendu la cote de sécurité de l’entreprise jusqu’à ce que les lacunes soient comblées.

Nous avons conclu que Bibliothèque et Archives Canada n’avait pas respecté pleinement l’engagement pris par l’archiviste national en 2002 en ce qui a trait au suivi des contrats de destruction de dossiers hors site. En l’absence de responsabilités claires et d’une mise en œuvre adéquate, les entreprises de déchiquetage peuvent contourner les exigences contractuelles.

Nous avons recommandé que Bibliothèque et Archives Canada mette en œuvre un processus de surveillance des activités des entreprises chargées de la destruction de dossiers hors site afin que les exigences en matière de protection de la vie privée et de sécurité soient respectées de façon uniforme.

Nous avons également recommandé que Bibliothèque et Archives Canada s’assure que les contrats de déchiquetage hors site comprennent une clause exigeant que le fournisseur de services émette un certificat de destruction, indiquant la date à laquelle on a détruit les fichiers et le nom de la personne autorisée qui a effectué la destruction ou qui a en été témoin.

2. Programme des ordinateurs pour les écoles
Aperçu

Le Programme des ordinateurs pour les écoles, créé en 1993 et géré par Industrie Canada, recueille, répare et remet à neuf les ordinateurs excédentaires qui lui sont donnés par le gouvernement fédéral et le secteur privé, et les distribue à des écoles, à des bibliothèques publiques et à des organismes d’enseignement sans but lucratif partout au pays. Le Programme compte plus de 40 ateliers de remise à neuf et d’entrepôts, d’un bout à l’autre du pays.

Selon une directive du Conseil du Trésor, le Programme des ordinateurs pour les écoles a un droit de premier refus sur tout le matériel informatique excédentaire des ministères et organismes fédéraux, y compris les ordinateurs, les imprimantes, les modems, les disques durs et les cartes réseau. Jusqu’à maintenant, plus d’un million d’ordinateurs ont été remis à neuf dans le cadre du Programme.

Notre rapport annuel de 1994-1995 notait qu’environ 95 % des ordinateurs remis au Programme contenaient encore des données et des logiciels, malgré la politique du Conseil du Trésor exigeant que ces derniers soient supprimés. L’année suivante, quelque 35 % à 45 % des ordinateurs avaient été nettoyés, ce qui demeurait bien en deçà des exigences.

À compter de décembre 2009, nous nous sommes penchés à nouveau sur cette question. Nous avons constaté que des politiques adéquates étaient en place, mais que les ministères et organismes fédéraux ne faisaient toujours pas preuve de la diligence requise en s’assurant que les ordinateurs ne contiennent aucune donnée avant d’être offerts au Programme des ordinateurs pour les écoles.

Nous avons constaté que de nombreux ordinateurs contenaient des renseignements personnels, des renseignements classifiés ou des documents protégés par le secret professionnel des avocats. Les renseignements que contenaient certains disques durs étaient d’une nature tellement délicate que nous avons immédiatement pris des mesures pour les retourner au ministère d’origine.

Politiques et procédures de contrôle

Même si la sécurité des données est la responsabilité de l’organisme donateur, toute exposition d’information par inadvertance peut compromettre la sécurité et la protection de la vie privée, et mettre en cause l’intégrité du Programme des ordinateurs pour les écoles.

Notre examen des politiques de sécurité, des procédures et des pratiques du Programme a révélé que les rôles, les responsabilités et les exigences en matière de rapport étaient décrites de manière très détaillée.

Toutefois, Industrie Canada ne concilie pas le nombre d’ordinateurs donnés par des institutions fédérales dans le cadre du Programme des ordinateurs pour les écoles avec le nombre d’ordinateurs nettoyés dans le cadre du processus de remise à neuf du Programme. 

En l’absence d’un mécanisme de production de rapports, il se peut que des ordinateurs soient perdus ou volés et qu’on ne puisse pas les retracer.

Lacunes en matière de sécurité

Selon les ententes de contribution du Programme des ordinateurs pour les écoles, les ateliers et les aires d’entreposage doivent avoir des dispositifs de protection appropriés pour empêcher tout accès non autorisé. Tous les ateliers et les entrepôts du Programme doivent remplir chaque année un questionnaire sur la sécurité et le soumettre à Industrie Canada.

Nous avons fait l’analyse des questionnaires sur la sécurité présentés de 2008 à 2010. Un nombre significatif d’entre eux révélaient des manquements à certaines exigences de politique du Programme des ordinateurs pour les écoles. En général, les lacunes étaient liées à l’entreposage et au suivi des disques rigides et au filtrage de sécurité des employés.

L’examen détaillé des opérations des détenteurs de licence du Programme des ordinateurs pour les écoles, soit ceux qui remettent à neuf et distribuent les ordinateurs au nom du Programme, ne faisait pas partie du mandat de notre vérification. Toutefois, lorsque nous avons constaté que plusieurs ordinateurs remis au Programme par des ministères et organismes contenaient encore des données sensibles, nous avons examiné comment six ateliers dans cinq régions du Canada remettaient les ordinateurs à neuf et les expédiaient aux écoles. Nous avons choisi au hasard 414 disques rigides pour les besoins des tests et nous avons constaté qu’ils avaient tous été nettoyés.

Comme les questionnaires mettent l’accent sur les lacunes éventuelles en matière de sécurité, nous avons déterminé s’ils font l’objet d’une analyse systématique et d’un suivi auprès des titulaires de licence du Programme des ordinateurs pour les écoles. Nous avons constaté que ce n’est pas le cas.

Les lacunes qui ne sont pas corrigées peuvent compromettre les biens du Programme, notamment les renseignements personnels.

Par conséquent, nous avons recommandé qu’Industrie Canada s’assure que toutes les lacunes de sécurité relevées sont analysées et corrigées en temps opportun.

Renseignements de nature sensible contenus dans les ordinateurs

Selon la politique du Conseil du Trésor, les renseignements classifiés et protégés doivent être supprimés de manière irrévocable de tous les ordinateurs excédentaires.

Nous avons donc testé un échantillon de 1 093 ordinateurs provenant de 31 institutions fédérales dans les ateliers du Programme des ordinateurs pour les écoles à Vancouver, Winnipeg, Toronto, Gatineau (Québec), Halifax et Truro (Nouvelle-Écosse). 

Nous avons constaté que les disques rigides de 458 ordinateurs (42 % de l’ensemble) provenant de 28 institutions (90 % de l’ensemble) n’avaient pas été nettoyés complètement. Une analyse judiciaire subséquente d’un sous-échantillon de ces disques rigides a déterminé que plusieurs d’entre eux comprenaient des renseignements personnels ou classifiés, ou des documents protégés par le secret professionnel des avocats.

En fait, les renseignements que contenaient certains disques durs étaient d’une nature tellement délicate que nous avons immédiatement pris des mesures pour qu’ils soient retournés au ministère d’origine. 

Le Programme des ordinateurs pour les écoles n’était pas destiné à devenir un service de nettoyage de disques rigides pour les institutions fédérales. Cette responsabilité incombe aux institutions donatrices. La vérification a tout de même révélé que de nombreux ministères et organismes fédéraux ne respectent pas la politique du Conseil du Trésor voulant que les données soient effacées des ordinateurs avant que ceux-ci ne soient remis au Programme.

En bref, les lacunes soulignées il y a quinze ans par le commissaire à la protection de la vie privée existent encore de nos jours, ce qui met en jeu la vie privée des Canadiennes et des Canadiens.

Nous avons recommandé qu’Industrie Canada travaille avec le Secrétariat du Conseil du Trésor en vue de demander aux ministères et organismes du gouvernement fédéral de fournir au Programme des ordinateurs pour les écoles un document signé attestant que tous les ordinateurs excédentaires et les biens connexes ont été nettoyés.

3. Distribution des biens de la Couronne

Si un ordinateur ou d’autre matériel technologique offert par une institution fédérale ne peut pas être récupéré par le Programme des ordinateurs pour les écoles, l’équipement est transféré à la Distribution des biens de la Couronne pour être vendu aux enchères publiques. La Distribution des biens de la Couronne, une direction de Travaux publics et Services gouvernementaux Canada, est responsable de la vente, de la distribution, du retrait et de la réutilisation des biens fédéraux excédentaires.

Les ministères et organismes sont les seuls responsables d’empêcher la diffusion non autorisée d’information contenue dans des biens excédentaires, quelle que soit la méthode d’aliénation utilisée. 

La Distribution des biens de la Couronne n’est pas responsable de s’assurer que les institutions respectent cette obligation. Elle ne reçoit pas non plus de fonds pour fournir aux institutions fédérales un service de nettoyage de disques rigides. Dans de nombreux cas, en outre, la Distribution des biens de la Couronne ne prend pas possession du matériel excédentaire; ce dernier demeure chez l’institution fédérale d’origine jusqu’au moment où il est vendu.

Pour bien mesurer le risque pour la vie privée associé à l’aliénation de matériel informatique par l’entremise de la Distribution des biens de la Couronne, on doit savoir qu’en 2009, seulement 336 ordinateurs de bureau et 1 104 portables ont été liquidés de cette manière. En comparaison, plus de 60 000 ordinateurs provenant du gouvernement fédéral ont été offerts au Programme des ordinateurs pour les écoles.

En outre, la vaste majorité des ordinateurs vendus par la Distribution des biens de la Couronne ne contiennent pas de disque dur. Néanmoins, nous avons fait l’examen des processus et méthodes de la Distribution des biens de la Couronne et nous avons vérifié les ordinateurs excédentaires à l’un de ses entrepôts.

Nous avons constaté que la Distribution des biens de la Couronne ne vendait aucune pièce d’équipement sans que cette dernière ne soit accompagnée du formulaire de Rapport de surplus, dans lequel le gestionnaire des biens du ministère confirme que toutes les exigences de sécurité ont été respectées avant le retrait du dispositif.

Conclusion

Préserver la sécurité des renseignements personnels jusqu’à leur retrait au moyen d’une méthode approuvée constitue un élément essentiel pour répondre aux exigences en matière de protection établies en vertu de la Loi sur la protection des renseignements personnels

Bibliothèque et Archives Canada possède un ensemble complet de politiques, procédures et pratiques administratives pour gérer la destruction de documents du gouvernement fédéral.  Les exigences en matière de sécurité intégrées aux contrats de destruction hors site sont conformes aux politiques du gouvernement et elles fournissent des mesures de contrôle adéquates afin d’assurer le transport, l’entreposage et la destruction de documents de façon sécuritaire. 

Bibliothèque et Archives Canada présume que les entreprises de déchiquetage hors site respectent les exigences en matière de sécurité des contrats. Toutefois, il n’existe aucun mécanisme qui prouve que c’est le cas. En l’absence d’une méthode de surveillance efficace, les entreprises de déchiquetage peuvent  contourner les obligations contractuelles visant à protéger la vie privée — et certaines l’ont déjà fait.

Réponses des organisations

Au moment de la rédaction de ce rapport annuel, les organisations soumises à la vérification n’avaient pas encore présenté leurs réponses formelles. Toutefois, elles nous ont toutes indiqué de manière informelle qu’elles étaient d’accord avec nos recommandations. Le rapport de vérification complet, qui comprend les réponses détaillées des organisations, est diffusé au même moment que le présent rapport annuel et est disponible sur notre site Web.

Les ministères et organismes du gouvernement fédéral sont les seuls responsables d’empêcher la diffusion non autorisée de renseignements contenus dans leurs biens excédentaires, quelle que soit la méthode d’aliénation utilisée. 

La très grande majorité des ordinateurs excédentaires sont offerts au Programme des ordinateurs pour les écoles, et une politique du Conseil du Trésor exige que ces appareils soient délestés au préalable de tout renseignement classifié ou protégé. Notre examen d’ordinateurs provenant de 31 ministères et organismes fédéraux a révélé que 28 d’entre eux (90 % de l’ensemble) n’avaient pas respecté leurs obligations à cet égard.

Il faut un effort concerté pour que cette exigence de politique soit bien respectée. Autrement, la vie privée de la population canadienne demeurera exposée au risque.

2.3 Examens des évaluations des facteurs relatifs à la vie privée

Les évaluations des facteurs relatifs à la vie privée aident les institutions fédérales à déterminer les répercussions des nouveaux programmes ou services proposés sur la protection de la vie privée. Selon une politique du Secrétariat du Conseil du Trésor de 2002, les ministères et organismes sont tenus d’effectuer une évaluation des facteurs relatifs à la vie privée le plus tôt possible dans le processus d’élaboration d’une nouvelle initiative ou de modification en profondeur d’une initiative existante, et de soumettre cette évaluation au Commissariat aux fins d’examen. L’objectif est de cerner les risques potentiels pour la protection de la vie privée et d’envisager des stratégies pour les éliminer ou les atténuer.

Le Commissariat accorde une grande importance aux évaluations des facteurs relatifs à la vie privée et tente de collaborer avec les institutions pour s’assurer que cet exercice assure aux Canadiennes et aux Canadiens une protection optimale. Nous n’approuvons pas les évaluations ni n’appuyons les projets. Nous étudions plutôt les observations des institutions et formulons des recommandations sur la façon dont les projets pourraient être améliorés de façon à protéger davantage la vie privée des Canadiennes et des Canadiens.

Nous ne pouvons forcer les institutions à appliquer nos recommandations ni même à suivre nos conseils. Cela dit, nous constatons que les institutions travaillent généralement volontiers avec nous pour résoudre les problèmes liés à la protection de la vie privée.

Les évaluations des facteurs relatifs à la vie privée ont également le grand avantage d’assurer la transparence lorsque les ministères et organismes publient le résumé d’évaluations sur leur site Web. Les points saillants de certaines évaluations des facteurs relatifs à la vie privée d’importance sont également rendus publics par leur inclusion dans le présent rapport annuel.

En 2009‑2010, le Commissariat a reçu 102 nouvelles évaluations des facteurs relatifs à la vie privée. Il s’agit d’un nombre record, soit une augmentation de près de 60 % par rapport à l’année précédente. Nous croyons que cette hausse témoigne de la réceptivité des institutions à l’égard de la politique du Conseil du Trésor. La performance des institutions au regard de la protection de la vie privée doit être évaluée par rapport au Cadre de responsabilisation de gestion. 

Pour notre part, nous avons mis au point un processus de tri afin de pouvoir tirer le meilleur parti de nos ressources limitées. Nous avons sélectionné aux fins d’examen complet les initiatives qui posent le plus de risques pour la vie privée ou celles qui relèvent de l’un de nos quatre domaines prioritaires, à savoir la sécurité nationale, la technologie de l’information, les renseignements génétiques et l’intégrité de l’identité.

En mettant d’abord l’accent sur ces projets, nous avons envoyé 33 lettres de recommandations et formulé des conseils détaillés. Nous avons retenu les autres dossiers aux fins de référence et d’examens futurs.

Dossiers d’évaluations des facteurs relatifs à la vie privée d’importance

Voici les résumés des principales évaluations des facteurs relatifs à la vie privée que nous avons examinées au cours du dernier exercice.

1. Stratégie de surveillance de l’impartialité politique

La Commission de la fonction publique a présenté une évaluation des facteurs relatifs à la vie privée concernant un programme destiné à recouper des bases de données gouvernementales de fonctionnaires anciens ou actuellement en poste avec des listes de candidats aux élections fédérales, provinciales et municipales. Dans le cadre de la Stratégie de surveillance de l’impartialité politique, une surveillance d’Internet, y compris des organes médiatiques, de sites Web personnels et de sites de réseautage social comme Facebook, serait également exercée afin de déceler des signes d’activité politique inappropriée de la part de fonctionnaires.

Nous reconnaissons que la Commission a le mandat d’assurer l’impartialité de la fonction publique. Toutefois, nous craignions que cette initiative donne lieu à la création d’une base de données permanente et illimitée sur les opinions, les allégeances politiques, les causes personnelles, les passe‑temps, les appartenances religieuses et les affiliations des fonctionnaires, des administrateurs généraux et des personnes nommées par décret, anciens et actuellement en poste. 

Nous avons demandé à la Commission de la fonction publique de nous démontrer qu’une telle stratégie était nécessaire en nous fournissant, par exemple, des preuves d’une partisannerie accrue au sein de la fonction publique. Nous avons également demandé pourquoi des renseignements personnels possiblement délicats seraient recueillis en l’absence d’allégations précises contre une personne.

Dans sa réponse à nos recommandations, la Commission de la fonction publique nous a assurés que la portée de la Stratégie de surveillance de l’impartialité serait réduite et que le Commissariat recevrait une nouvelle évaluation de facteurs relatifs à la vie privée au sujet de cette approche modifiée d’ici la fin de l’année 2010.

Nous éprouvons toujours certaines inquiétudes quant aux risques potentiels pour la vie privée que représente la Stratégie de surveillance de l’impartialité. Nous avons demandé à la Commission de la fonction publique de bien mesurer le besoin, la proportionnalité et l’efficacité de l’initiative dans le cadre de son approche modifiée. Nous continuons à suivre ce dossier de près.

2. Certificat sécurisé de statut d’Indien (CSSI)

En 2009, Affaires indiennes et du Nord Canada a présenté une évaluation préliminaire des facteurs relatifs à la vie privée concernant son projet de certificat sécurisé de statut d’Indien. Un nouveau certificat en était déjà à l’étape de la conception lorsque le gouvernement des États‑Unis a annoncé l’application de règles plus strictes relativement aux pièces d’identité acceptables pour les Canadiennes et les Canadiens qui désirent traverser la frontière entre les deux pays.

Selon l’Initiative relative aux voyages dans l’hémisphère occidental, les documents utilisés pour entrer aux États-Unis doivent attester de la citoyenneté aussi bien que de l’identité d’une personne. Les passeports sont acceptables ainsi que les permis de conduire améliorés, comme ceux émis en Colombie‑Britannique.

Les provinces recueillent des renseignements auprès des demandeurs de permis de conduire améliorés et les transmettent à l’Agence des services frontaliers du Canada, qui les conservent dans des bases de données que la U.S. Customs and Border Protection peut consulter lorsque des personnes se présentent à un poste frontalier.

Le permis de conduire amélioré est une option facultative pour les conducteurs qui souhaitent utiliser un permis au lieu d’un passeport pour traverser la frontière. Affaires indiennes et du Nord Canada, toutefois, a proposé de rendre les certificats sécurisés de statut d’Indien automatiquement conformes aux règles américaines de passage aux frontières. Cela signifie que tous les renseignements figurant sur les demandes de certificat de statut devraient être transmis à des autorités frontalières canadiennes et, possiblement, à des autorités frontalières américaines.    

Selon un principe clé en matière de protection de la vie privée, les données personnelles ne devraient être communiquées qu’aux parties qui ont un besoin justifiable de les consulter. La communication sans restriction de l’information augmente les risques d’atteinte à la protection des renseignements personnels. Cela est particulièrement important dans le cas des certificats de statut d’Indien parce que les citoyens membres des Premières nations ont besoin du certificat pour se prévaloir d’un large éventail de droits en vertu de la Loi sur les Indiens.

Nous avons fait part de nos inquiétudes à Affaires indiennes et du Nord Canada et à l’Assemblée des Premières Nations. Partant du principe que les membres des Premières nations devraient avoir le droit de décider s’ils souhaitent utiliser le certificat sécurisé de statut d’Indien, un passeport ou tout autre document acceptable pour traverser la frontière, nous recommandons qu’Affaires indiennes et du Nord Canada modifie le formulaire de demande de certificat de statut de façon à y inclure une option de consentement permettant à son détenteur d’utiliser le certificat aux postes frontaliers. 

Nous avons également exprimé des inquiétudes relativement à d’autres questions, comme le niveau de sécurité de la technologie de l’information utilisée et de la nécessité d’inclure davantage de renseignements dans le formulaire de demande de certificat et d’obtenir le consentement des intéressés. Et nous avons demandé que toutes les parties concernées concluent des ententes détaillées sur le partage d’information.

Affaires indiennes et du Nord Canada nous a répondu qu’il n’exigerait plus que les certificats sécurisés de statut d’Indien soient conformes aux règles américaines. Sur les nouveaux formulaires de demande de certificat, les ententes de partage de renseignements potentielles sont détaillées et les demandeurs ont le choix d’accepter ou de refuser les caractéristiques acceptables pour traverser la frontière.

Le Ministère effectuera également une évaluation complète des facteurs relatifs à la vie privée au sujet des certificats sécurisés de statut d’Indien pour aborder l’objet de nos préoccupations de manière plus détaillée.

3.  Système de surveillance électronique

Au cours de l’exercice 2009‑2010, le Commissariat a examiné une évaluation des facteurs relatifs à la vie privée concernant un programme pilote du Service correctionnel du Canada mettant en cause la surveillance électronique de délinquants sous responsabilité fédérale. 

Les détenus admissibles aux programmes de mise en liberté sous condition qui ont manifesté leur désir de participer au programme pilote de surveillance électronique ont consenti à porter à la cheville un bracelet doté d’un récepteur du système mondial de localisation (GPS) qui signale leur position à un réseau de surveillance. Le Service correctionnel du Canada était alerté si un délinquant enfreignait une condition imposée, comme l’heure de rentrée, l’assignation à résidence ou certaines restrictions géographiques. Le consentement par écrit des participants avait été obtenu avant le début de la surveillance.  

Nous avions des inquiétudes quant à la raison d’être et à l’efficacité du programme. Nous avons formulé ces inquiétudes en octobre 2009 dans une lettre de recommandation adressée à l’établissement.

Le Commissariat perçoit généralement les systèmes de repérage géodépendants comme étant envahissants. Nous reconnaissons qu’un certain niveau d’intrusion dans la vie privée des délinquants est nécessaire et approprié pour protéger le public. Toutefois, nous nous demandions si le Service correctionnel du Canada avait démontré que les bracelets de surveillance permettaient suffisamment d’accroître la sécurité publique pour justifier l’intrusion dans la vie privée.

Dans le cas qui nous occupe, le dispositif fournit beaucoup plus d’information sur les déplacements des délinquants dans la collectivité que ne le feraient d’autres mécanismes de supervision, comme l’obligation de vivre dans une maison de transition ou de communiquer régulièrement avec un agent de libération conditionnelle. 

En décembre 2009, un rapport d’évaluation interne du Service correctionnel du Canada a soulevé d’autres questions concernant l’efficacité du programme pilote. Plusieurs défauts de fonctionnement du dispositif et problèmes liés au processus de surveillance ont été signalés. Les auteurs du rapport ont fait observer que même certains des délinquants ayant participé au programme doutent que la technologie de surveillance les aient rendus davantage responsables de leur bonne conduite. 

Le but du programme était de préparer le terrain pour une mesure législative qui permettrait au Service correctionnel du Canada de mettre le programme en œuvre à l’échelle du pays. Toutefois, le projet de loi, déposé en juin 2009, est mort au Feuilleton lorsque le Parlement a été prorogé en décembre. À la fin de la période visée par le présent rapport, on ignorait toujours si un nouveau projet de loi serait déposé.

Le Service correctionnel du Canada s’est engagé à présenter une nouvelle évaluation des facteurs relatifs à la vie privée si un programme national devait être envisagé. Nous avons demandé une mise à jour sur le projet, compte tenu des questions soulevées dans le rapport d’évaluation interne quant à l’efficacité du projet.

Cette initiative met en évidence le besoin d’un examen plus vaste de l’incidence sociétale des outils de géolocalisation. Ces derniers pourraient donner lieu à un détournement d’usage, passant de la surveillance de personnes détenues ou en liberté conditionnelle à celle d’enfants, de personnes âgées, d’employés ou d’autres.

2.4 Modernisation du processus

Tri des évaluations des facteurs relatifs à la vie privée

En 2009‑2010, nous avons reçu 102 nouvelles évaluations des facteurs relatifs à la vie privée aux fins d’examen, une hausse de 59 % par rapport à l’année précédente. Compte tenu de l’augmentation constante du nombre d’évaluations, nous avons continué de transformer nos processus internes d’examen et d’analyse. 

Un élément clé de cette transformation est notre système de tri. Les dossiers d’évaluation des facteurs relatifs à la vie privée portant sur des initiatives présentant le plus de risques pour la vie privée des Canadiennes et des Canadiens ou qui sont liés à nos quatre domaines prioritaires (renseignements génétiques, technologies de l’information, sécurité nationale et protection de l’identité) sont traités en premier. Cela nous permet de mieux cibler nos ressources et de faire en sorte que nos conseils soient pertinents et opportuns.

Nouvelle approche en matière d’examens

Nous avons également changé la façon dont nous examinons les évaluations des facteurs relatifs à la vie privée sélectionnées pour une analyse plus poussée.

Depuis l’entrée en vigueur en 2002 de la politique d’évaluation des facteurs relatifs à la vie privée, nous examinons les évaluations en fonction de la Loi sur la protection des renseignements personnels et des dix principes universellement reconnus du Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation. Nous avons également pris en considération les politiques du Secrétariat du Conseil du Trésor sur la gestion de l’information et les pratiques exemplaires généralement acceptées pour les secteurs public et privé.    

Certains programmes gouvernementaux très médiatisés et controversés, toutefois, ont accru la nécessité de considérer également les risques et inquiétudes plus vastes pour la vie privée des Canadiennes et des Canadiens. Parmi ces initiatives figurent les suivantes :   

  • les scanners permettant de saisir des images du corps entier proposés par l’Administration canadienne de la sûreté du transport aérien;
  • l’initiative nationale intégrée d’échange d’information entre organismes, qui met en cause l’échange de renseignements personnels entre les institutions fédérales responsables du portefeuille de la sécurité publique et leurs partenaires fédéraux et municipaux;
  • la surveillance par la Commission de la fonction publique des sites de réseautage social pour déceler des signes d’activité politique inappropriée de la part de fonctionnaires;
  • le programme de la GRC lié à la reconnaissance automatisée des plaques d’immatriculation.

Nous nous sommes assurés que ces initiatives étaient évaluées en regard de leurs répercussions plus vastes sur la société démocratique, les libertés civiles et notre droit fondamental à la vie privée.  

La Cour suprême du Canada a reconnu que le droit à la vie privée était un droit constitutionnel essentiel à l’exercice des libertés fondamentales et que la Loi sur la protection des renseignements personnels avait un statut quasi constitutionnel. Par conséquent, nous avons commencé à insister auprès des institutions gouvernementales sur l’importance de répondre aux quatre questions suivantes dans leurs évaluations des facteurs relatifs à la vie privée :

  • Est‑il possible de démontrer que la mesure est nécessaire pour répondre à un besoin particulier?
  • La mesure est‑elle susceptible de répondre efficacement à ce besoin?
  • L’empiètement sur la vie privée est‑il proportionnel à l’avantage qui en découlera?
  • Existe‑t‑il un moyen d’arriver au même but tout en réduisant l’atteinte à la vie privée?

Ces questions s’inspirent du critère élaboré par le juge en chef Brian Dickson de la Cour suprême du Canada dans l’affaire R. c. Oakes (1986) pour déterminer si la violation d’une disposition de la Charte canadienne des droits et libertés était justifiable.

Atelier sur les évaluations des facteurs relatifs à la vie privée

En janvier 2010, le Commissariat a organisé ce qu’il prévoit être le premier d’une série d’ateliers à l’intention des fonctionnaires fédéraux responsables de la rédaction d’évaluations des facteurs relatifs à la vie privée.
 
Bien que huit ans se soient écoulés depuis l’entrée en vigueur de la politique d’évaluation des facteurs relatifs à la vie privée du gouvernement et que le Secrétariat du Conseil du Trésor ait publié des outils et lignes directrices pour l’élaboration de telles analyses, nous voulions nous assurer que nos attentes à l’égard des évaluations soumises au Commissariat étaient mieux comprises. 

L’atelier a attiré 90 participants provenant de 40 institutions fédérales. La commissaire adjointe à la protection de la vie privée Chantal Bernier a brièvement décrit notre nouvelle approche pour enraciner les examens des évaluations des facteurs relatifs à la vie privée dans la loi publique, et les gestionnaires ont discuté des attentes du Commissariat à l’égard des évaluations présentées par les ministères et organismes gouvernementaux.

Une séance de questions et réponses animée a donné lieu à l’élaboration de documents pour les prochains ateliers. Un résumé écrit de nos attentes a été préparé aux fins de publication en 2010‑2011.

Vérification axée sur les risques

La Loi sur la protection des renseignements personnels nous autorise à soumettre les ministères et organismes fédéraux à une vérification, à tout moment, pour assurer leur conformité. Compte tenu de ce vaste objet de vérification, nous souhaitions élaborer une approche systématique ciblant les programmes et les ministères les plus à risque. 

Nous avons donc dressé en 2009-2010 un plan de vérification axée sur les risques destiné à :

  • recenser les principaux dépositaires de renseignements personnels des Canadiennes et des Canadiens;
  • évaluer la nature délicate des renseignements qu’ils détiennent; 
  • examiner les risques posés par l’utilisation indue de ces renseignements; 
  • examiner les régimes de gestion des risques en matière de vie privée qui sont en place;
  • consulter les intervenants, y compris les ministères et organismes fédéraux, les spécialistes du domaine de la vie privée et les universitaires. 

Le plan devrait être mis en œuvre en 2010‑2011.

Chapitre 3 : La vie privée et la sécurité

Pleins feux sur nos travaux en matière de politiques et de projets de loi

En 1942, la scène célèbre du classique Casablanca, où l’on voit Humphrey Bogart à l’aéroport faire des adieux déchirants était emblématique.

De nos jours, l’idée d’un couple isolé debout la nuit sur une aire d’envol embrumée n’est plus qu’un souvenir lointain et nostalgique.

En fait, dans cette ère post‑11 septembre, les mesures de sécurité aux aéroports et aux frontières imposent des contraintes de plus en plus sévères aux voyageurs. Chaque année, on présente des nouveautés en matière de technologies de surveillance, de scanners et de contrôles, en vue d’assurer un espace aérien à l’abri des terroristes.

Même si les passagers se plaignent des désagréments, la plupart d’entre eux reconnaissent la nécessité de telles mesures.

La sécurité nationale revêt pour nous aussi une très grande importance. Le Commissariat maintient cependant que toute mesure de sécurité doit tenir compte de la vie privée de la population.

Au fait, les deux priorités ne sont pas mutuellement exclusives, mais mutuellement renforçantes. Elles se complètent, de façon morale et fonctionnelle : sur le plan moral, la vie privée et la sécurité caractérisent la société dans laquelle nous avons choisi de vivre; sur le plan fonctionnel, elles collaborent afin de simplifier leur travail et de canaliser leurs efforts.

Un des éléments essentiels dans le domaine de la vie privée est la collecte, l’utilisation et la communication des renseignements personnels de façon judicieuse, notamment en ce qui concerne les voyages et la sécurité frontalière. La compilation et l’échange de renseignements personnels sans réglementation peuvent entraîner des conséquences imprévues et souvent graves. En fait, non seulement des personnes ont-elles subi des désagréments, mais d’autres ont même été détenues, déportées, privées d’accès au Canada, voire transférées à l’étranger pour être soumises à de la torture en raison de données fausses ou non confirmées.

Au cours du dernier exercice financier, une grande partie du travail réalisé au Commissariat concernant les politiques, les lois et les questions juridiques était axée sur des problèmes de sécurité nationale et leurs répercussions sur la vie privée. Nous nous sommes demandé parfois si un juste équilibre avait été atteint.

Dans ce chapitre, nous décrivons nos principaux efforts en matière de sécurité du transport aérien, de sécurité frontalière, de sécurité aux Jeux olympiques et de pouvoirs de surveillance des télécommunications, ainsi que d’autres priorités.

En terminant, nous présentons un rapport sur d’autres travaux que nous réalisons dans le cadre de notre mandat, y compris nos activités législatives.

3.1 Sécurité du transport aérien

Plusieurs mesures relatives à la sécurité nationale ont capté l’attention du Commissariat au cours de 2009-2010, mais la sécurité du transport aérien a été au premier plan.

1. Table ronde sur la sécurité du transport aérien

En février 2010, des représentants du Commissariat se sont joints à des députés, des spécialistes, des universitaires et d’autres intervenants dans le cadre d’une table ronde portant sur la sécurité du transport aérien.

Organisée par des députés de l’opposition, la séance avait comme objectif d’examiner à la loupe les facteurs relatifs à la vie privée et les autres répercussions des mesures de sécurité du transport aérien, qui ne cessent de croître.

À titre d’experte au forum, la commissaire adjointe Chantal Bernier a analysé la convergence de la vie privée et de la sécurité, fait un tracé du contexte juridique et décrit la méthode dont se sert le Commissariat pour déterminer les répercussions des mesures de sécurité sur la vie privée.

Il s’agit d’une méthode qui évalue la nécessité, l’efficacité et le caractère proportionnel d’une mesure de sécurité qui peut éventuellement porter atteinte à la vie privée, et cherche à déterminer s’il existe une solution moins envahissante.

2. Fiche d’information pour les voyageurs

Nous avons publié une fiche d’information très complète destinée à la population canadienne, intitulée À l’enregistrement : Votre droit à la vie privée dans les aéroports et aux postes frontaliers. La publication décrit la recherche et l’analyse de données personnelles que peuvent faire subir les autorités canadiennes aux voyageurs. Elle informe également les voyageurs de leur droit de recours s’ils ont l’impression qu’il y a eu atteinte à leur vie privée ou qu’on a injustement révoqué leur droit d’effectuer des déplacements.

Par exemple, l’Agence des services frontaliers du Canada fait l’examen de tous les renseignements concernant les particuliers qui se dirigent vers le Canada et peut partager ces renseignements avec d’autres agences, tant au Canada qu’à l’étranger. Les voyageurs peuvent toutefois demander une copie des données afin de s’assurer qu’elles sont exactes, et faire parvenir une demande à la Direction générale de l'admissibilité de l’agence pour arbitrer les différends.

3. Scanners dans les aéroports

En matière de sécurité aérienne, une des activités qui a attiré beaucoup d’attention au cours de 2009-2010 a été notre analyse de l’évaluation des facteurs relatifs à la vie privée présentée par l’Administration canadienne de la sûreté du transport aérien (ACSTA). L’évaluation portait sur les scanners à ondes millimétriques que le gouvernement prévoyait utiliser dans les aéroports de l’ensemble du pays.

La technologie a suscité la controverse, car même si elle permet aux agents de contrôle de repérer des armes non métalliques et autres menaces cachées par les vêtements des passagers, elle peut également révéler des images du corps de la personne.

En 2008, l’ACSTA a mené un projet pilote afin d’évaluer les scanners à Kelowna (Colombie‑Britannique) et nous avons abordé leur évaluation préliminaire des facteurs relatifs à la vie privée dans notre rapport annuel de l’année dernière.

En 2009-2010, nous avons poursuivi nos consultations avec l’ACSTA sur l’installation projetée de sept unités dans quatre aéroports au Canada. Nous avons sommé l’organisation de nous assurer que toute mesure proposée en vue de contrôler les passagers — y compris la saisie d’images du corps entier — est proportionnelle à la menace énoncée.

L’ACSTA nous a assurés que sa décision d’utiliser cette technologie était fondée sur des évaluations rigoureuses des menaces et des risques. L’agence a accepté notre recommandation voulant que l’utilisation des scanners soit limitée au contrôle secondaire. Elle a en outre pris l’engagement que :

  • la participation demeurerait anonyme et volontaire;
  • la solution de rechange d’une fouille manuelle serait proposée;
  • les agents de contrôle seraient séparés de la personne contrôlée et ne pourraient pas la voir;
  • les images ne seraient pas mises en corrélation avec aucun autre renseignement personnel et qu’il serait impossible de les identifier;
  • toutes les images seraient effacées à la fin du processus de contrôle.

L’agence a accepté également de chercher et de développer des technologies moins envahissantes, d’évaluer périodiquement le besoin d’utiliser des scanners du corps entier par rapport aux progrès réalisés dans le domaine, de s’assurer que le grand public reçoit des renseignements clairs et précis permettant de faire des choix éclairés, ainsi que de surveiller et de diffuser les plaintes et préoccupations du public.

En janvier 2010, au lendemain de l’attentat manqué contre un vol vers Détroit de la compagnie Northwest Airlines, Transports Canada a accéléré ses plans de mise en œuvre, annonçant l’installation de 44 unités dans les aéroports du pays.

À la fin de l’exercice financier, nous poursuivions toujours nos rencontres périodiques avec l’ACSTA pour discuter des caractéristiques techniques des scanners et de leur mise en œuvre, ainsi que de tout changement au fonctionnement du programme.

3.2 Autres mesures liées à la sécurité publique

Jeux olympiques et paralympiques

Des mesures de protection des renseignements personnels sont intégrées à un partenariat anti-dopage

À la fin de l’année 2009, nous avons reçu une évaluation préliminaire des facteurs relatifs à la vie privée portant sur une entente de partage de renseignements conclue entre l’Agence des services frontaliers du Canada et le Comité international olympique (CIO).

Aux termes de cette entente, qui s’inscrit dans la stratégie anti-dopage du CIO, l’Agence des services frontaliers du Canada transmettrait au CIO des renseignements personnels au sujet d’athlètes et d’autres personnes prenant part aux Jeux, afin de combattre l’importation de substances dopantes contrôlées.

Bien que nous admettions l’intérêt que représentent des Jeux « propres », nous n’étions pas convaincus que l’intérêt public justifiait l’entrave à la vie privée. En effet, nous craignions que la communication de renseignements personnels à une entité non étatique (le CIO) établisse un dangereux précédent.

En réponse à nos préoccupations, l’Agence s’est efforcée de rendre l’entente plus respectueuse du droit à la vie privée en limitant son application à la période des Jeux, en obtenant le consentement adéquat des personnes concernées et en limitant la communication de renseignements personnels au cas par cas et selon le principe de l’accès sélectif.

L’Agence a accepté également de signaler uniquement les substances visées par son mandat d’application de la loi (qui ne comprennent pas toutes les substances interdites en vertu des règles anti-dopage) et de faire en sorte que les renseignements personnels recueillis fassent l’objet des mesures de sécurité appropriées.

En février et mars 2010, les Jeux olympiques et paralympiques d’hiver à Vancouver ont constitué le premier événement de grande envergure au Canada depuis les attentats terroristes du 11 septembre 2001 aux États-Unis.

Alors que les organisateurs des Jeux olympiques mettaient l’accent sur la sécurité aux Jeux, le Commissariat a tenu à s’assurer que les activités liées à la sécurité et à l’application des lois n’empiétaient pas indûment sur le droit à la vie privée des spectateurs, des athlètes et de leur entourage, des employés, des bénévoles, et des habitants de la région.

Pendant plus d’un an avant le début des Jeux, le Commissariat, avec le concours du Commissariat à l’information et à la protection de la vie privée de la Colombie‑Britannique, a communiqué régulièrement avec des représentants du  Groupe intégré de la sécurité, organisme relevant de la GRC responsable de la sécurité des Jeux olympiques.

Au printemps 2009, nous avons rédigé une fiche d’information qui établissait des lignes directrices visant à faciliter aux organisateurs des Jeux la tâche d’exécuter leurs fonctions liées à la sécurité, tout en respectant le droit à la vie privée des particuliers.

La fiche d’information est devenue la pierre angulaire d’une ressource que nous avons créée sur le Web à l’intention de la population canadienne. Une section spéciale de notre site Web servait de point d’accès aux documents et aux recherches sur les répercussions sur la vie privée d’événements de grande envergure, comme les Jeux olympiques.

À la fin des Jeux, le Commissariat s’est dit confiant que les responsables de la sécurité avaient compris l’obligation de respecter le droit à la vie privée et qu’ils avaient tenu compte de ces obligations en exerçant leurs fonctions.

Le Commissariat sort de l’expérience convaincu que les Jeux olympiques de Vancouver ont donné une précieuse leçon en matière d’équilibre entre la sécurité et le droit à la vie privée lors d’événements de grande envergure — une leçon qui peut être approfondie et mise en pratique ultérieurement lors d’événements nationaux ou internationaux tenus au Canada.

2. Banque nationale de données génétiques

Le Commissariat a continué ses efforts pour s’assurer que le droit à la vie privée est respecté en ce qui concerne l’utilisation et l’évolution de la Banque nationale de données génétiques de la GRC.

La commissaire adjointe représente les positions du Commissariat à titre de membre du Comité consultatif de la Banque nationale de données génétiques. En outre, nous avons souvent présenté notre point de vue au Parlement depuis la création de la banque de données en vertu de la Loi sur l’identification par les empreintes génétiques, qui est entrée en vigueur en 2000.

Le Commissariat ne s’est pas opposé à la création de la banque de données et appuie les mesures de protection qui ont été intégrées à la Loi. Par exemple, les données personnelles et génétiques sont conservées séparément, l’accès aux données est réservé à des personnes autorisées et les données ne peuvent pas servir à des fins de recherche.

Nous avons toutefois sonné l’alarme en raison de l’expansion progressive du régime afin d’englober une plus vaste gamme d’infractions. Au début, la Loi ne devait s’appliquer qu’aux infractions comportant de la violence, mais sa portée a été élargie par la suite en vertu de la Loi antiterroriste et d’autres lois.

Lors d’une comparution en avril 2009 devant le Comité sénatorial permanent des Affaires juridiques et constitutionnelles, la commissaire adjointe a soulevé une série d’inquiétudes. Nous nous préoccupons notamment des propositions qui :

  • permettraient aux autorités de prélever des échantillons d’ADN au moment de l’arrestation et de les conserver dans la banque de données génétiques, sans avoir à attendre une condamnation;
  • permettraient des recherches axées sur un lien de parenté (en utilisant l’ADN de contrevenants qui figurent dans la base de données pour identifier des parents comme suspects possibles d’un crime);

accroîtraient l’échange de renseignements à l’échelle internationale, surtout si un tel échange lie la base de données canadienne à un système central, donnant ainsi aux pays étrangers un accès de routine aux données canadiennes.

3. GRC — Registre national des délinquants sexuels

En mai 2009, la GRC a présenté au Commissariat une évaluation des facteurs relatifs à la vie privée portant sur le Registre national des délinquants sexuels. En fait, le registre avait été établi cinq ans plus tôt en vertu de la Loi sur l’enregistrement de renseignements sur les délinquants sexuels. L’évaluation des facteurs relatifs à la vie privée n’a donc clairement pas été effectuée en temps opportun.

L’évaluation a fait état des questions touchant le respect de la vie privée liées à la forme actuelle du registre et a surtout mis l’accent sur l’infrastructure technologique du registre. Bien que tardivement, elle a également examiné quelques-unes des préoccupations que le Commissariat a soulevées concernant le traitement et la vérification internes des renseignements personnels, ainsi que le besoin d’une plus grande transparence quant au fonctionnement du programme.

L’analyse de la GRC présente néanmoins d’importantes lacunes. Par exemple, elle n’a pas tenu compte du projet de loi C-34, une mesure législative visant à élargir la portée du registre, qui suivait son cours au Parlement à ce moment-là. Depuis, la mesure législative a été de nouveau présentée au Sénat, sous le nom de projet de loi S-2.

Dans l’évaluation des facteurs relatifs à la vie privée que nous avons effectuée, il n’y avait pas non plus d’information sur le degré d’utilisation du registre, ni de sa capacité d’empêcher ou de résoudre des infractions sexuelles.

L’expansion proposée du registre demeure une préoccupation pour le Commissariat. En avril 2009, nous nous sommes présentés devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes, qui effectuait alors un examen réglementaire de la Loi sur l’enregistrement de renseignements sur les délinquants sexuels.

Le Commissariat a soulevé des préoccupations au sujet de la transparence et de l’information disponible au sujet du registre qui, à l’époque, était opérationnel depuis près de dix ans.

Nous avons également demandé une évaluation officielle et indépendante de l’efficacité du registre effectuée par un tiers. Parmi les détracteurs des registres, qui questionnent leur capacité de réduire les crimes sexuels ou de faciliter leur résolution par des enquêteurs, on compte notamment des universitaires et le vérificateur général de l’Ontario.

En fait, l’agent de la GRC responsable du Registre national des délinquants sexuels a affirmé au même comité que le registre n’avait été d’aucune aide dans des dossiers où le crime demeurait non résolu et où le criminel était inconnu. Dans quelques cas où le suspect était connu des enquêteurs, le registre avait fourni des renseignements à jour, comme une photo ou une adresse.

Nous avons encouragé la GRC à entreprendre une nouvelle évaluation des facteurs relatifs à la vie privée pour tout projet visant à accroître l’ampleur du registre actuel, et de s’y prendre de façon plus ponctuelle.

4. GRC — Programme de reconnaissance automatique des plaques minéralogiques

Le Programme de reconnaissance automatique des plaques minéralogiques est un projet conjoint auquel participent le ministère du Solliciteur général de la Colombie-Britannique et les services policiers de la GRC de la province, y compris l’unité des crimes majeurs et l’équipe municipale-provinciale sur les vols de véhicules.

Le programme fait usage de caméras vidéo fixées sur des voitures de police identifiées et anonymes, jumelées à un logiciel de reconnaissance des formes, afin de lire, enregistrer et identifier des plaques d’immatriculation d’autos stationnées et en mouvement sur les autoroutes de la Colombie-Britannique. Les plaques sont automatiquement comparées au contenu de bases de données renfermant des renseignements sur des voitures volées, des conducteurs dont le permis est suspendu et des véhicules non assurés. Toute concordance déclenche une enquête plus poussée et une intervention policière.

Notre examen d’une évaluation des facteurs relatifs à la vie privée soumise par la GRC a soulevé des inquiétudes. Par exemple, bien que les technologies traditionnelles de surveillance de la circulation réussissent à capter des infractions précises comme un excès de vitesse ou le non-respect d’un feu rouge, le Programme de reconnaissance automatique des plaques minéralogiques recueille de l’information sur tous les véhicules qui se trouvent à l’intérieur de la portée de la caméra, même s’il n’y a pas infraction. Ces données fortuites constituent alors des renseignements dits accessoires.

Selon nous, une surveillance généralisée sans mesures de protection appropriées peut porter atteinte à la capacité des Canadiens respectueux de la loi de conserver l’anonymat dans leur quotidien. Des programmes semblables au Royaume-Uni ont suscité des critiques, car ils menaient à l’interrogatoire policier de personnes dont les voitures avaient simplement été aperçues près des lieux de manifestations.

Nous avons exhorté la GRC à démontrer que le programme est nécessaire en vue de résoudre un problème réel, urgent et considérable. Nous l’avons également pressée de tenir le public bien informé du programme et de l’utilisation qui sera faite de l’information, de réduire la quantité de renseignements recueillis et de restreindre le nombre de bases de données auxquelles le programme peut être lié.

Dans sa réponse, la GRC a indiqué que le programme a été modifié afin d’intégrer plusieurs de nos recommandations. Par exemple, la GRC a accepté de ne plus conserver de renseignements accessoires pour cette version du programme.

La GRC a toutefois fait valoir que ce genre de renseignements peut s’avérer utile et qu’il serait peut-être nécessaire de les conserver à l’avenir. Auquel cas, la GRC ferait parvenir au Commissariat une nouvelle évaluation des facteurs relatifs à la vie privée afin de justifier cette initiative.

À la lumière de nos inquiétudes persistantes, nous continuerons à surveiller de près ce dossier.

3.3 Accès légal

En 2009-2010, des efforts considérables ont été consacrés à l’analyse d’un ensemble de projets de loi proposés qui visaient, ensemble, à consolider le pouvoir des agents de police et de sécurité d’extraire des communications électroniques toute information dont ils peuvent se servir pour combattre le crime.

En juin 2009, le gouvernement a déposé les projets de loi C-46, la Loi sur les pouvoirs d'enquête au 21e siècle et C-47, la Loi sur l’assistance au contrôle d’application des lois au 21e siècle.

Les projets de loi, qui ont soulevé de graves sur le plan du droit à la vie privée, ont été adoptés en deuxième lecture et ont été renvoyés en comité. Comme tous les projets de loi sous le parrainage du gouvernement, ils sont morts au Feuilleton lorsque le Parlement a été prorogé en décembre 2009. À la fin de l’exercice financier, toutefois, il semblait possible que des projets de loi semblables puissent être déposés au cours de la nouvelle session.

Parallèlement au projet de loi C-58 (présenté à nouveau sous le nom de projet de loi C-22), visant à enrayer la pornographie juvénile, et au projet de loi C-31, visant à accélérer les approbations de mandats, les projets de loi C-46 et C-47, conçus pour signaler rapidement aux autorités toute activité illégale en ligne, donnent aux policiers les outils nécessaires pour la conservation des données devant servir d’éléments de preuve, pour permettre aux enquêteurs de déterminer l’origine de transactions et de communications numériques, et de s’assurer que les agences de police et de sécurité sont en mesure d’intercepter une nouvelle génération de communications.

Les projets de loi C-46 et C-47, des mesures législatives en matière d'accès légal, s’appliqueraient à un grand nombre de fournisseurs de services de télécommunications en activité au Canada, allant de Facebook et Google à Rogers et Telus. De nouveaux outils, tels que le clavardage, la messagerie de poste à poste et les services de voix sur IP tels que Skype, seraient tous classés dans la même catégorie, tout comme la messagerie NIP à NIP des BlackBerrys ou la messagerie texte sur les téléphones sans fil.

Les mesures législatives donneraient également aux autorités le pouvoir d’exiger la conservation des données de communication couvrant une période précise, en vue de sa diffusion éventuelle à d’autres enquêteurs relevant du gouvernement au Canada ou à l’étranger.

Le Commissariat considère particulièrement troublant que les enquêteurs n’aient pas besoin de faire une demande d’autorisation judiciaire pour avoir accès aux fichiers concernant l’identité d’un abonné, notamment le nom au complet, l’adresse à domicile, l’adresse de courriel, le numéro de téléphone ou les adresses IP.

Réponse du Commissariat à la protection de la vie privée du Canada

Au cours de l’été de 2009, le Commissariat a tenu des rencontres avec des spécialistes des domaines de la surveillance et de l’interception, y compris des représentants du ministère de la Justice et de Sécurité publique Canada, de l’industrie des télécommunications, de la police, de groupes de la société civile, ainsi que des spécialistes des domaines de la politique de l’information, de la sécurité des réseaux et des opérations de renseignement.

En septembre, les commissaires à la protection de la vie privée et les ombudsmans de l’ensemble du Canada se sont réunis à St. John’s (Terre‑Neuve‑et‑Labrador) où ils ont appuyé à l’unanimité une résolution conjointe exhortant les législateurs à faire preuve de prudence en analysant ces projets de loi.

Le communiqué a demandé au Parlement de s’assurer de la nécessité des nouveaux pouvoirs et de leur justification, et l’a incité à tenir compte de leur portée et de leur caractère envahissant. On a également sommé les législateurs de consolider les dispositions en matière de surveillance et de prévoir chaque année la production de rapports sur l’utilisation et l’efficacité des nouveaux pouvoirs.

À la fin du mois d’octobre, les deux projets de loi avaient été débattus aux Communes et renvoyés au Comité permanent de la sécurité publique et nationale. La commissaire avait auparavant écrit au Comité, décrivant quelques-unes de nos préoccupations immédiates et s’engageant à produire d’autres documents dont les députés pourraient faire l’analyse au cours de leur examen en profondeur des projets de loi.

Dans sa lettre, la commissaire a souligné qu’il n’existait aucune preuve évidente démontrant la nécessité de changements d’une telle envergure. Elle a également noté qu’il est possible de respecter les obligations internationales, par exemple celles de la Convention de la Communauté européenne sur la cybercriminalité, sans compromettre les mesures de protection de la vie privée de la population canadienne, que l’abaissement des seuils juridiques touchant l’utilisation des pouvoirs envahissants augmente la possibilité d’atteintes inutiles à la vie privée, et que les exigences en matière de rapports et les mécanismes d’examen proposés sont inappropriés.

La commissaire a fait remarquer que le Commissariat est bien conscient des difficultés auxquelles se heurtent les autorités chargées de l’application des lois et de la sécurité nationale à une époque où les technologies de communications évoluent rapidement. Pourtant, chaque fois que de nouveaux pouvoirs ou de nouveaux programmes sont proposés, le gouvernement doit démontrer que les mesures sont nécessaires, efficaces et proportionnelles à l’atteinte à la vie privée. De plus, les mesures doivent constituer la solution la moins envahissante possible.

3.4 Autres activités parlementaires

1. Examen des projets de lois

Exception faite des projets de loi portant sur les télécommunications, le Commissariat a participé à l’examen de plusieurs autres projets de loi en 2009‑2010. Voici quelques-uns des projets de loi que nous avons examinés :

  • Projet de loi C-4, modifications au Code criminel concernant le vol d’identité et l’inconduite connexe. Le Commissariat a donné son appui à ce projet de loi lors de comparutions devant les comités du Sénat et de la Chambre des communes. Le projet de loi a reçu la sanction royale en octobre 2009.
  • Le projet de loi C-6, la Loi canadienne sur la sécurité des produits de consommation. Nous avons comparu devant le Sénat concernant ce projet de loi, qui en était à la troisième lecture au Sénat avant la prorogation. Le projet de loi aurait permis à Santé Canada de créer une base de données et d’accroître la quantité d’information diffusée. En général, nous étions satisfaits des mesures de protection proposées par le Ministère.
  • Le projet de loi C-11, Loi visant à promouvoir la sûreté des agents pathogènes humains et des toxines. Lors d’une comparution devant le Sénat, le Commissariat a formulé des observations sur les mesures de protection proposées et les répercussions liées à la collecte de renseignements sur la santé. Le projet de loi, qui a augmenté la capacité de Santé Canada à effectuer une surveillance de la santé publique, a reçu la sanction royale en juin 2009.
  • Le projet de loi C-31, modifiant le Code criminel, la Loi sur l’identification des criminels et d’autres mesures législatives. Le projet de loi, qui aurait élargi l’utilisation des mandats par téléphone pour une gamme de pouvoirs d’enquête du gouvernement, a été adopté en deuxième lecture aux Communes, a fait l’objet d’un débat et a été renvoyé à un comité législatif spécial à la fin du mois de novembre 2009. Le comité devait entendre des témoignages concernant la prise d’empreintes digitales au moment de l’arrestation et d’autres questions connexes touchant la Charte. Le projet de loi est cependant mort au Feuilleton au moment de la prorogation.
2. Examens non officiels de la législation

Le Commissariat a également effectué des examens non officiels des répercussions relatives à la vie privée qu’auraient les projets de loi suivants :

  • C-9 — modifications proposées à la Loi sur le transport des marchandises dangereuses, reliées aux autorisations de sécurité pour les employés des transports;
  • C-14 — modifications proposées au Code criminel afin de permettre aux policiers de chercher à obtenir l’application de conditions d’arrestations préventives ou de libérations restrictives aux membres de gangs ou de terroristes condamnés antérieurement;
  • C-19 — modifications proposées au Code criminel reliées à l’exigence de témoigner lors d’audiences d’enquête et à l’application de l’engagement assorti de conditions pour des suspects dans des cas de terrorisme;
  • C-34 — Loi protégeant les victimes des délinquants sexuels afin d’élargir la portée du Registre national des délinquants sexuels;
  • C-43 — Loi sur le renforcement du système correctionnel fédéral, qui aurait comme effet d’élargir les circonstances dans le cadre desquelles le Service correctionnel du Canada serait en mesure de communiquer de l’information sur les prisonniers.
3. Autres comparutions devant le Parlement

Mis à part les réunions officielles et non officielles avec des parlementaires, le Commissariat a discuté de questions touchant la vie privée avec des députés et des sénateurs au cours de plusieurs comparutions devant des comités parlementaires. En voici quelques exemples :

  • le Comité sénatorial permanent des affaires juridiques et constitutionnelles, sur les dispositions et le fonctionnement de la Loi sur l’identification par les empreintes génétiques;
  • le Comité permanent de la sécurité publique et nationale de la Chambre des communes, sur l’examen réglementaire de la Loi sur l’enregistrement de renseignements sur les délinquants sexuels;
  • le Comité permanent de la sécurité publique et nationale de la Chambre des communes, sur le système d’examen et de surveillance pour les organismes de sécurité nationale;
  • le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes, sur la réforme de la Loi sur la protection des renseignements personnels;
  • le Comité permanent de la justice et des droits de la personne de la Chambre des communeset le Comité sénatorial permanent des Affaires juridiques et constitutionnelles, sur les modifications au Code criminel reliées au vol d’identité;
  • le Comité sénatorial permanent des affaires sociales, des sciences et de la technologie, sur le projet de loi C-6, la Loi canadienne sur la sécurité des produits de consommation;
  • le Comité sénatorial permanent des transports et des communications, sur les technologies émergentes en matière d’information et de communications.
4. Renouvellement de la Loi sur la protection des renseignements personnels

Ce sont les pouvoirs et autorisations réglementaires du Commissariat — établis, pour ce qui est du secteur public, dans la Loi sur la protection des renseignements personnels — qui permettent au Commissariat de servir la population canadienne.

Adoptée en 1983, la Loi est entrée en vigueur à une époque où l’on utilisait surtout des télex et des machines à écrire dans les bureaux du gouvernement. Même si on la considérait novatrice à l’époque parce qu’elle s’inspirait de normes européennes en matière de protection de la vie privée, il s’agit aujourd’hui d’une loi qui est marquée par le temps.

C’est donc avec grand enthousiasme que le Commissariat a fait part d’idées visant à moderniser la Loi au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes, au cours d’audiences, d’échanges de documents et de rencontres non officielles.
La collaboration s’est échelonnée sur deux ans et trois sessions parlementaires, les membres du comité recevant également des commentaires de spécialistes du gouvernement, des universités et de la société civile. L’étude s’est conclue par la publication en juin 2009 d’un rapport sur l’état de la Loi intitulé La Loi sur la protection des renseignements personnels : Premiers pas vers un renouvellement. Nous sommes très reconnaissants de l’énergie et des efforts que les membres du comité ont consacrés à l’examen de nos recommandations.
Nous avons donc été déçus de la réponse du ministre de la Justice, qui a déclaré que les protections actuelles de la vie privée en vertu de la Loi sur la protection des renseignements personnels et de la Charte des droits et libertés étaient suffisantes.

Nous croyons toujours qu’il faudra des révisions importantes à la Loi sur la protection des renseignements personnels afin d’assurer pleinement le maintien du droit à la vie privée de la population canadienne en cette période de plus en plus difficile sur le plan de la technologie, des exigences en matière de sécurité nationale et de la circulation des données à l’échelle mondiale.

Entre-temps, nous analysons des mesures administratives qui, nous l’espérons, combleront quelques-unes des lacunes les plus importantes des mesures législatives.

5. Mesures administratives

Tant qu’il n’y a pas de mise à jour en profondeur de la Loi sur la protection des renseignements personnels, le Commissariat va de l’avant en mettant en vigueur des solutions administratives pour quelques-unes de ses préoccupations les plus urgentes. En 2009-2010, nous avons décidé de prendre les mesures suivantes :

  • déployer des efforts visant à accroître le nombre de notifications d’atteintes à la protection des données et tenir les ministères et organismes responsables de cette transparence;
  • créer un processus simplifié de règlement des plaintes, notamment un regroupement éventuel des plaintes en vue d’en accroître l’impact systémique;
  • établir de nouveaux critères exigeant que l’évaluation des facteurs relatifs à la vie privée démontre qu’une mesure risquant de porter atteinte à la vie privée est à la fois nécessaire et efficace, que l’atteinte à la vie privée est proportionnelle, et qu’il n’existe pas de solutions de rechange moins envahissantes;
  • prévoir une formation à grande échelle pour sensibiliser les fonctionnaires fédéraux à leurs obligations en vertu de la Loi sur la protection des renseignements personnels.

Au début du nouvel exercice financier, le Commissariat a poursuivi un dialogue fructueux avec le Secrétariat du Conseil du Trésor et l’École de la fonction publique du Canada.

Chapitre 4 : Répondre aux inquiétudes des Canadiennes et des Canadiens

Nos réalisations sur le plan des demandes de renseignements, des plaintes et de la loi

Une des façons les plus importantes dont le Commissariat à la protection de la vie privée du Canada sert les Canadiennes et les Canadiens est en répondant à leurs inquiétudes relativement à la protection de la vie privée et à la protection de leurs renseignements personnels.

Parfois, nous sommes en mesure de les aider en répondant tout simplement à une ou deux questions. En d’autres occasions, nous intervenons dans un désaccord entre eux et une institution gouvernementale, en vue de le résoudre de la manière la plus opportune et la plus appropriée qui soit pour toutes les parties.

Malgré cela, il arrive parfois que ces questions se transforment en plaintes officielles que nous pouvons traiter de nombreuses façons, y compris au moyen d’enquêtes complètes. Il arrive, bien que rarement, que ces questions doivent être résolues à la Cour fédérale.

L’exercice financier qui vient de se terminer a été un tournant pour la Direction des enquêtes et des demandes de renseignements du Commissariat, puisque nous avons réussi à éliminer un arriéré de dossiers très important et que nous avons restructuré nos procédés afin d’éviter que cette situation ne se reproduise.

Le présent chapitre décrit nos activités en matière de demandes de renseignements et de règlement des plaintes, ainsi que les modifications de nos processus internes et nos activités dans le domaine juridique.

4.1 Demandes de renseignements et règlement rapide des plaintes

En 2009-2010, nous avons reçu 2 572 demandes de renseignements de la part des Canadiennes et des Canadiens, par téléphone et par écrit, liées à la protection de la vie privée et découlant de leurs interactions avec le gouvernement du Canada. Nous avons aussi reçu 2 868 demandes l’année dernière sur des questions liées à la protection de la vie privée, mais qui ne relevaient précisément ni de la loi régissant le secteur privé, ni de celle visant le secteur public.

Le nombre total de ces demandes a chuté de 18 % en seulement deux ans. Comme le nombre de visites à nos différents sites Web et à nos blogues a augmenté de 1,58 million entre 2007-2008 et 2009-2010, nous pouvons présumer que plus de personnes se servent d’Internet pour trouver réponse à leurs questions en matière de protection de la vie privée. Nous cherchons à renforcer cette tendance en améliorant notre cyberprésence et en affichant une grande variété de renseignements et de ressources pour une variété de publics cibles.

En2009-2010, notre section des demandes de renseignements a répondu à 2 643 demandes liées directement à la Loi sur la protection des renseignements personnels, ainsi qu’à 2 878 autres demandes où l’on ne pouvait déterminer la loi applicable. Ces chiffres sont presque identiques à ceux de l’année précédente. (Voir l’annexe 3 pour des statistiques détaillées.)

Au cours de la dernière année, nous avons entrepris la mise au point de notre système de classification des demandes. Une fois mis en place, il permettra de mieux recueillir des renseignements précis sur les inquiétudes et les tendances prioritaires.

Toutefois, même sans ces renseignements, il est manifeste que les personnes communiquent avec nous le plus souvent quand elles ont de la difficulté à accéder à leurs renseignements personnels détenus par le gouvernement. Prises ensemble, les questions au sujet de la collecte, l’utilisation et la communication de tels renseignements ont suscité à peu près le même nombre de demandes.

Les controverses soulevées dans les médias ont également tendance à générer de nombreuses demandes. À titre d’exemple, au cours de la dernière année, de nombreuses personnes ont communiqué avec nous relativement aux scanners corporels dans les aéroports, au Programme fédéral de protection des passagers (liste des personnes interdites de vol), à une enquête sur la satisfaction des clients menée par un groupe de sondage au nom du Programme canadien des armes à feu et à une initiative de surveillance de la frontière par ballon, mise au point par une entreprise des États-Unis.

Rôle élargi pour les agents de demandes de renseignements

Les agents de demandes de renseignements sont souvent capables de répondre immédiatement aux questions ou aux préoccupations des personnes. Sinon, ils les dirigent vers d’autres sources d’information ou d’aide, comme les coordonnateurs de l’accès à l'information et les coordonnateurs de la protection des renseignements personnels au sein des ministères pertinents.

Dans de nombreux cas, il est important de clarifier dès le début la nature des préoccupations de l’interlocuteur. Par exemple, le fait de poser plus de questions peut révéler que le problème doit en fait être traité par une autre autorité compétente.

Lorsqu’il est manifeste que la question relève de notre compétence, les agents de demandes de renseignements expliquent ce qui peut être fait dans les limites de notre autorité. Ils discutent aussi des exceptions et des exclusions de la loi qui pourraient expliquer, à la satisfaction de l’interlocuteur, le comportement du ministère.

Il existe aussi des situations où nous pouvons faire part aux interlocuteurs de cas antérieurs qui ont établi des précédents utiles. L’information obtenue permet alors à l’interlocuteur de retourner au ministère afin de faire valoir ses droits.

Il arrive parfois que nos agents communiquent ensuite avec des représentants du ministère en question pour les avertir de la situation. Les ministères travailleront souvent de concert avec nous pour résoudre les questions rapidement de façon informelle.

Règlement rapide

Dans la mesure du possible, nous cherchons à répondre rapidement aux préoccupations des personnes, puisque nous sommes d’avis qu’une réponse dans les meilleurs délais vaut mieux que de laisser les problèmes s’éterniser.

Toutefois, s’il est clair qu’une personne désire formuler une plainte, l’agent de demandes de renseignements veille à prendre les coordonnées de la personne, ainsi que les détails de la plainte, afin d’accélérer le processus d’enquête à venir.

Au cours du dernier exercice financier, nous avons aussi accru nos efforts en vue de régler les plaintes sans avoir recours à une enquête officielle. Un agent de règlement rapide a été chargé de cette tâche.

Nous avons découvert que l’agent était souvent capable de traiter la question en informant tout simplement le plaignant de cas semblables sur lesquels nous avons enquêté dans le passé. À titre d’exemple, si, dans des cas antérieurs semblables, nous avons conclu que les ministères avaient respecté la Loi sur la protection des renseignements personnels, les plaignants ont tendance à accepter le fait qu’il ne servira à rien de procéder à une autre enquête.

Certaines plaintes relatives à l’accès aux renseignements personnels sont aussi résolues de cette façon, lorsque l’agent de règlement rapide peut démontrer que le ministère a appliqué correctement les exceptions de la Loi relativement à la communication de renseignements personnels.

En 2009-2010, 68 dossiers de plaintes réglées rapidement ont été officiellement fermés, par rapport à 42 l’année précédente. Dans 93 autres cas, la question a été réglée en cours d’enquête. Dans 149 autres cas, les plaignants ont choisi de mettre fin au processus.

Bien qu’un règlement rapide puisse être avantageux pour tous, il ne s’agit pas toujours de la meilleure voie à suivre. Certaines questions sont trop complexes ou d’autres semblent, de prime abord, constituer une intrusion flagrante dans la vie privée. D’autres indiquent des problèmes systémiques. Le registraire des plaintes, qui est responsable du triage, redirige les cas de ce genre directement à un enquêteur.

4.2 Plaintes et enquêtes

Plaintes reçues

Comme nous tentons de régler les plaintes le plus tôt possible dans le processus, le nombre de plaintes officielles que nous recevons continue de diminuer. En 2009‑2010, nous avons reçu 665 plaintes en vertu de la Loi sur la protection des renseignements personnels, ce qui représente une baisse de 11 % par rapport à l’année précédente et de 36 % par rapport à cinq années plus tôt.

La grande majorité des plaintes provenait de l’Ontario (35 %), de la Colombie‑Britannique (23 %) et du Québec (13 %). Six plaintes sur dix provenant de la Colombie-Britannique et de l’Alberta avaient été faites par des personnes, incarcérées ou non, contre le Service correctionnel du Canada.

Les Canadiennes et les Canadiens vivant à l’étranger ont les mêmes droits d’accès à leurs renseignements personnels que les Canadiennes et les Canadiens vivant au Canada; en 2009‑2010, neuf personnes ont choisi d’exercer ce droit d’accès.

Tout comme dans les années précédentes, les plaintes les plus courantes étaient liées au temps qu’un ministère ou un organisme prenait pour répondre à une demande d’accès à des renseignements personnels (44 % des plaintes) et à d’autres difficultés que les personnes éprouvaient en tentant d’avoir accès à leurs renseignements personnels (38 % des plaintes).

Le reste des plaintes, soit 18 %, étaient liées à la collecte, à l’utilisation, à la communication ou à la conservation de renseignements personnels par des ministères et des organismes du gouvernementNote de bas de page 2.

Types de plaintes le plus souvent reçues
  Nombres Pourcentage
Délais : Inquiétudes quant au temps de réponse à une demande d’accès aux renseignements personnels. 292 44
Accès : Difficultés éprouvées relativement à l’accès aux renseignements personnels. 251 38
Protection de la vie privée : Inquiétudes relatives à la collecte, à l’utilisation, à la communication, à la conservation ou à l’élimination de renseignements personnels par une institution. 122 18
Total 665 100

Le nombre de plaintes déposées contre une institution ne signifie pas nécessairement qu’elle ne respecte pas la Loi sur la protection des renseignements personnels. En effet, le mandat de certaines institutions requiert qu’elles conservent une quantité importante de renseignements personnels. Celles-ci ont donc plus tendance à faire l’objet de nombreuses demandes d’accès à l’information, ce qui peut ainsi mener à des plaintes quant à la façon dont les données sont traitées.

Tout comme dans les années précédentes, la majorité des plaintes reçues (290 ou 44 % du total) ont été déposées contre le Service correctionnel du Canada. Les deux tiers de ces plaintes étaient liées au temps de réponse des autorités carcérales fédérales aux demandes d’accès à des renseignements personnels.

Les autres institutions ayant reçu le plus de plaintes étaient la GRC, l’Agence du revenu du Canada et le ministère de la Défense nationale : 60, 49 et 47 plaintes respectivement ont été déposées au sujet de ces organismes.

Alors que le nombre de plaintes déposées contre le Service correctionnel du Canada a augmenté de 16 % depuis 2008-2009, le nombre de celles déposées contre d’autres ministères comme Ressources humaines et Développement des compétences Canada, Citoyenneté et Immigration Canada, et l’Agence des services frontaliers du Canada a diminué de façon considérable.

Comme nous en avons discuté ailleurs dans le présent rapport, le Commissariat a rencontré les ministères et les organismes contre lesquels ont été déposées le plus grand nombre de plaintes, afin de mieux comprendre leur situation et d’être plus en mesure de les aider à répondre aux attentes des Canadiennes et des Canadiens en matière de protection de la vie privée.

Aperçu des plaintes réglées

Au total, 1 154 plaintes ont été réglées en 2009-2010, ce qui représente une augmentation de 17 % par rapport à l’année précédente et de 31 % par rapport à 2007-2008. L’année dernière, nous avons réglé 489 plaintes de plus que nous n’en avons reçues, ce qui démontre bien notre détermination à éliminer un arriéré de dossiers datant de plus d’un an depuis la date de réception de la plainte.

En effet, nous avons amorcé l’exercice financier avec un arriéré de 333 dossiers et l’avons terminé avec seulement 10 cas à régler; au 31 mars 2010, même ces derniers étaient en voie d’être réglés.

Pendant que nous fermions ces dossiers, nous avons aussi déployé beaucoup d’efforts vers le règlement rapide des plaintes, ce qui nous a permis de réduire le délai de règlement d’une moyenne pondérée de 19,5 mois en 2008-2009 à 12,9 mois en 2009-2010.

Parmi les 400 plaintes réglées (un peu plus que le tiers), nous avons conclu que certaines des allégations ou toutes les allégations faites par les plaignants étaient fondées. Dans deux tiers des cas, la plainte portait sur le temps que les institutions gouvernementales prennent pour répondre à une demande de renseignements personnels.

Dans le cas de 56 autres plaintes fondées, le gouvernement a accepté de prendre des mesures correctives. Tous ces dossiers traitaient de plaintes relatives à un refus d’accès à des renseignements personnels, à l’exception de deux, où la plainte était fondée et résolue.

Un nombre limité de ces dossiers (37 ou 3 % du total) ont été jugés comme étant réglés après qu’une enquête approfondie ait déterminé que le problème découlait d’un malentendu. Dans ces cas, nous avons conclu que l’allégation était fondée, mais qu’une entente pouvait être négociée.

Dans 30 % des cas, les allégations n’ont pu être corroborées et nous avons jugé que la plainte n’était pas fondée.

D’autres dossiers ont été fermés sans qu’une enquête officielle ait été complétée, soit parce que le cas a été réglé avant l’affectation d’un enquêteur (6 %), parce que la question a été réglée au cours de l’enquête (8 %) ou parce que le plaignant a décidé d’abandonner l’affaire (13 %).

Types de plaintes réglées

Accès Le type de plainte dont nous avons traité le plus souvent l’année dernière était lié aux difficultés que des personnes avaient éprouvées à accéder à leurs renseignements personnels détenus par le gouvernement fédéral. Nous avons réglé 549 plaintes de ce genre, soit presque la moitié du total des cas.

Dans un tiers de ces cas d’accès, les plaignants ont retiré leur plainte ou celle-ci a été réglée avant la fin de l’enquête, ce qui démontre que de nombreux plaignants ont accepté qu’ils ne pouvaient recevoir les documents demandés parce qu’on avait appliqué correctement les exceptions autorisées en vertu de la Loi sur la protection des renseignements personnels.

Les 361 plaintes relatives à l’accès qui restaient ont mené à des enquêtes, mais nous avons conclu que les trois quarts d’entre elles n’étaient pas fondées. Des 64 cas fondés, 54 ont été réglés en bout de ligne par l’institution en cause.

De plus, 28 autres plaintes relatives à l’accès ont fait l’objet d’une enquête qui a conclu qu’elles étaient fondées, mais elles ont été réglées par le biais de négociations.
 
Délais Les plaintes relatives au temps que prennent les institutions gouvernementales pour répondre aux demandes d’accès à des renseignements personnels constituaient la deuxième catégorie en importance de plaintes réglées l’année dernière, soit 27 % de nos dossiers.

Nous avons reconnu comme étant fondées près de 85 % des 314 plaintes relatives aux délais réglées au cours de l’année. Cette situation n’est pas surprenante, car les plaintes sont souvent déposées seulement après que soit passée la date limite d’une institution pour répondre à une demande de renseignements personnels. Si la date limite n’est pas respectée, la plainte sera jugée fondée par la force des choses.

Parmi toutes les plaintes relatives aux délais réglées l’année dernière, 71 % avaient été déposées contre le Service correctionnel du Canada. La situation continue de se dégrader pour cette institution, bien que des ressources supplémentaires lui aient été accordées il y a deux ans pour composer avec ce problème. En 2008-2009, 45 % de toutes les plaintes touchant aux délais (99 sur 221) avaient été déposées contre le service carcéral fédéral. Bien que cela représente une amélioration par rapport à l’année précédente, pendant laquelle la moitié (174 sur 346) des plaintes de cette catégorie impliquait le Service correctionnel du Canada, la tendance s’est inversée de nouveau pour 2009-2010.

L’organisme détient une grande quantité de renseignements personnels sur les prisonniers, qui soumettent à leur tour de nombreuses demandes de renseignements.

Protection des renseignements personnels Les plaintes liées à la protection des renseignements personnels (touchant la collecte, l’utilisation, la communication, la conservation et l’élimination des renseignements personnels) représentaient un quart des plaintes ayant fait l’objet d’une enquête.

Parmi ces 291 cas, moins de la moitié (43 %) ont été jugées fondées, ou fondées et résolues. Pour ce qui est de la grande majorité de ces dossiers, le problème découlait d’une utilisation ou d’une communication inappropriée de renseignements personnels. 

Des statistiques détaillées sur les plaintes figurent à l’annexe 3.

Risques courants

Pendant nos enquêtes, nous avons continué à être troublés par un facteur de risque qui revient chaque année, soit la manipulation inadéquate des renseignements personnels. Cette situation est souvent attribuable à un manque d’attention ou à l’utilisation de procédures inadéquates. Toutefois, nous avons aussi constaté des cas d’actes répréhensibles.  

Tout comme dans les années précédentes, certaines situations pouvaient être attribuées à la technologie — une erreur de programmation, une protection inadéquate des données ou une défaillance mécanique.

Afin d’enrayer les problèmes systémiques, nous avons déployé de nombreux efforts vers la prévention. Nous avons rencontré des responsables des ministères et des organismes afin de mieux comprendre les défis auxquels ils font face et nos attentes relativement à la protection des renseignements personnels.

Atteintes à la protection des renseignements personnels

Nous avons aussi souligné l’importance d’avertir le Commissariat lorsqu’une atteinte à la protection des renseignements personnels se produit. En effet, au cours des dernières années, le Commissariat a déployé des efforts importants pour mieux maîtriser la communication non autorisée des renseignements personnels.

Au cours du dernier exercice financier, 38 cas d’atteinte à la protection des renseignements personnels nous ont été signalés par des ministères ou des organismes fédéraux, soit un nombre un peu moins élevé que la moyenne des cinq dernières années.

Tout comme dans les années précédentes, les atteintes découlaient le plus souvent d’une gestion inadéquate des renseignements personnels par les organisations. Nos enquêtes ont décelé des failles dans les procédures, qui ont parfois entraîné une communication non autorisée des renseignements personnels, souvent imputable à l’erreur humaine, mais aussi parfois à des problèmes techniques.

La section suivante décrit des cas importants réglés en 2009-2010 par la Direction des enquêtes et des demandes de renseignements. La section 4.4 décrit les progrès faits en matière de signalement des atteintes.

Le chapitre contient aussi une mise à jour sur les efforts déployés pour améliorer le service au public, en éliminant l’arriéré des dossiers d’enquête, ainsi qu’en rationalisant et en modernisant nos processus internes (section 4.5).

Enfin, le chapitre se termine avec un aperçu du travail effectué à la Cour (section 4.6) et devant les tribunaux administratifs (section 4.7), et un survol de la façon dont le Commissariat traite les plaintes relatives à l’accès à l’information et à la protection des renseignements personnels (section 4.8).

4.3 Exemples de cas précis

Risque : procédures de gestion des données

Les ministères et les organismes fédéraux manipulent de très grandes quantités de renseignements personnels sur les Canadiennes et les Canadiens, et le font le plus souvent de manière à protéger ces renseignements. Malgré les précautions, l’importante quantité de renseignements détenus par le gouvernement entraîne nécessairement un risque que ces renseignements personnels soient communiqués de façon inappropriée.

En effet, la majorité des plaintes relatives à l’utilisation et à la communication de renseignements ayant fait l’objet d’une enquête par le Commissariat découlaient de la manière dont les institutions gouvernementales manipulent les renseignements personnels.

Dans certains cas, nos enquêtes ont conclu que l’institution avait suivi des procédures appropriées. Cependant, dans d’autres cas, nous avons découvert que des procédures inadéquates et même des actes répréhensibles délibérés avaient été la cause de la communication non autorisée de renseignements personnels.

1. Des renseignements affichés sur Internet révèlent que des employés de l’ARC ont un accès inapproprié aux dossiers d’impôt

À la suite d’allégations dans les médias que des renseignements financiers personnels de plusieurs vedettes sportives avaient été affichés dans un forum de discussion sur Internet par un employé de l’Agence du revenu du Canada, la commissaire a déposé une plainte et nous avons entrepris une enquête.

L’enquête a révélé qu’un ancien employé de l’Agence du revenu du Canada avait en effet affiché de tels renseignements dans un forum de discussion; il avait apparemment obtenu ces renseignements au cours de ses années de service avec l’Agence. L’enquête a également confirmé que d’autres employés œuvrant dans différents centres d’impôt, vraisemblablement motivés par la curiosité, avaient aussi accédé de façon inappropriée à des renseignements financiers sur ces athlètes populaires.

Rien n’indiquait que les employés qui avaient accédé à ces renseignements les avaient communiqués à des sources externes — et en particulier à l’ancien employé qui avait affiché l’information sur Internet. Nous n’avons donc pu émettre un jugement sur cette partie de la plainte.

Néanmoins, le fait d’accéder aux renseignements financiers personnels d’une autre personne sans autorisation et pour un but non lié à ses propres tâches constitue une infraction à la Loi sur la protection des renseignements personnels.

Par conséquent, la partie de la plainte traitant de l’utilisation inappropriée de renseignements personnels par les employés de l’Agence du revenu du Canada était fondée.

L’Agence du revenu du Canada nous a informés que l’un de ses employés qui avaient accédé sans autorisation aux données de l’impôt concernant ces athlètes avait été suspendu et deux autres, licenciés. L’Agence a également mis en œuvre des mesures correctives, notamment la modernisation du Programme national de vérification, afin de mieux contrôler l’accès des employés aux systèmes informatiques qui contiennent des renseignements au sujet des contribuables.

2. Un employé de l’administration portuaire de Toronto fait un usage inapproprié de renseignements personnels dans le cadre d’une campagne de financement politique

Un député s’est plaint qu’un employé de l’administration portuaire de Toronto avait fait un usage inapproprié de la base de données de courriels de l’organisme pour inviter des gens à une campagne de financement pour un autre député. 

Notre enquête a révélé qu’un employé de l’administration portuaire avait envoyé un courriel à environ 60 personnes pour leur demander un don financier et pour les inviter à participer à une campagne de financement. Les adresses des destinataires se trouvaient toutes dans le champ « cci » (copie carbone invisible), où elles ne pouvaient donc être vues par les autres destinataires. Cependant, dans le bloc de signature, le signataire s’identifiait comme un employé de l’administration portuaire de Toronto, ce qui donnait comme impression que l’organisme avait approuvé le courriel.

Notre enquête a révélé que l’employé avait obtenu les adresses électroniques à partir de cartes professionnelles, et que ces cartes avaient été recueillies par l’administration portuaire, qui en était responsable. L’employé a sélectionné les adresses personnelles et les adresses d’affaires comme options pour l’envoi du courriel de masse. Nous sommes d’avis que les adresses « personnelles » (en général à la maison) constituent des renseignements personnels.

Nous avons déterminé que l’employé avait utilisé ces renseignements personnels à l’insu de l’administration portuaire, pour des raisons non liées aux activités opérationnelles de l’organisme.

Nous avons donc conclu que la plainte était fondée.

L’administration portuaire de Toronto a rappelé aux employés qu’ils étaient responsables d’utiliser de manière acceptable les renseignements détenus par l’organisme. L’administration portuaire s’est engagée également à donner une formation aux employés au sujet de la Loi sur la protection des renseignements personnels.

Nous sommes d’avis que l’organisation a pris des mesures correctives appropriées pour faire en sorte qu’un incident de ce genre ne se reproduirait pas. Par conséquent, nous n’avons pas formulé de recommandations supplémentaires.

3. La GRC et une entreprise de sondage privée ont protégé les renseignements de détenteurs d’armes à feu

À la suite de plusieurs plaintes et d’une couverture médiatique sur le sujet, la commissaire a déposé une plainte contre la GRC en octobre 2009. La plainte traitait de la manipulation de renseignements personnels recueillis dans le cadre du Programme canadien des armes à feu de la GRC et utilisés par EKOS Research Associates Inc. pour un sondage auprès de détenteurs d’armes à feu à propos de leur expérience avec le programme.

La GRC a remis les coordonnées des détenteurs à la société de recherche sur l’opinion publique, qui a interviewé 1 270 personnes en septembre 2009. Les répondants ont consenti à participer au sondage et ont été avertis qu’ils pouvaient mettre fin à l’entrevue à tout moment.

Notre enquête a indiqué que, en plus des questions portant sur la satisfaction des clients, EKOS avait recueilli certaines données démographiques, ainsi que des renseignements sur le genre d’armes à feu appartenant aux répondants.

Dans le rapport soumis aux responsables du Programme des armes à feu, EKOS n’a fourni aucune donnée d’identification des répondants, à l’exception de l’âge et du sexe. De plus, EKOS a remis à la GRC toute l’information et toute la documentation associées au projet.

L’enquête a également démontré qu’EKOS avait satisfait à toutes les exigences contractuelles de la GRC et du gouvernement du Canada relativement à la manipulation sécuritaire et confidentielle des renseignements personnels.

En appliquant la Loi sur la protection des renseignements personnels à ces constatations, la commissaire adjointe a conclu que le Programme canadien des armes à feu est autorisé à recueillir des renseignements personnels dans le cadre de l’application de la Loi sur les armes à feu. Le fait d’utiliser ces renseignements pour mener un sondage sur la satisfaction des clients dans le but d’améliorer les services du programme est conforme à l’objectif de la collecte initiale des renseignements, et respecte donc la Loi.

Par ailleurs, nous avons conclu que la GRC n’avait pas enfreint la Loi lorsqu’elle a fourni à EKOS les renseignements personnels permettant à la maison de sondage de poursuivre ses activités, puisque le contrat contenait les mêmes modalités de confidentialité et de sécurité qui lient les employés réguliers à leur institution contractuelle. 

Par conséquent, nous avons conclu que la plainte n’était pas fondée.

Nous avons tout de même conclu que la GRC aurait pu faire mieux à certains égards. Nous avons recommandé que le Centre des armes à feu Canada, créé en 1996 pour gérer le programme sur les armes à feu, précise l’information qu’il diffuse au sujet de son utilisation effective et potentielle des renseignements personnels qu’il recueille.

En outre, les responsables du Programme ont affirmé qu’une évaluation des facteurs relatifs à la vie privée aurait permis de cerner tous les enjeux et de les minimiser ou les régler avant le lancement du programme.

4. Une cible de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles est innocentée

Une fonctionnaire s’est plainte qu’elle ne pouvait avoir accès à ses renseignements personnels, qui avaient été recueillis par Travaux publics et Services gouvernementaux Canada pendant une enquête menée en vertu de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles.

L’enquête du Ministère sur l’allégation d’actes répréhensibles en vertu de cette loi a complètement disculpé la personne en question. Toutefois, celle-ci n’a pas été mise au courant des conclusions de l’enquête. Après avoir tenté en vain d’avoir accès aux renseignements personnels recueillis à son sujet au cours de l’enquête, elle a déposé une plainte au Commissariat.

Nous avons déterminé que l’article 22.3 de la Loi sur la protection des renseignements personnels avait été appliqué correctement. Cet article explique que le responsable d’un ministère doit refuser de communiquer tout renseignement personnel recueilli dans le but d’une communication en vertu de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles ou dans le cadre d’une enquête connexe.

Nous avons donc conclu que la plainte n’était pas fondée.

Malgré cela, nous étions inquiets du fait qu’une personne accusée d’un acte répréhensible en vertu de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles n’est pas été avisée lorsque l’enquête prouve son innocence. Les conséquences d’une fausse accusation d’un acte répréhensible peuvent être très graves, tant pour la personne concernée que pour le milieu de travail en général.

Par conséquent, nous avons demandé à Travaux publics et Services gouvernementaux Canada d’informer les personnes ayant fait l’objet d’une enquête lorsque les allégations d’actes répréhensibles se sont avérées non fondées. Près d’une année après la conclusion de l’enquête, le Ministère a avisé la personne concernée par écrit que les allégations portées contre elle n’avaient pas été prouvées.

Dans l’intérêt de l’équité procédurale et de la justice naturelle, la commissaire a également demandé au Secrétariat du Conseil du Trésor d’élaborer des mécanismes pour permettre aux ministères et aux organismes d’informer toutes les personnes touchées lorsqu’une allégation d’actes répréhensibles s’avère non fondée. Bien que le Conseil du Trésor ait demandé avec insistance aux membres de la haute direction des ministères et organismes de le faire peu de temps avant que la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles n’entre en vigueur en 2007, aucune directive à cet effet n’a été publiée.

5. Communication des renseignements personnels de 191 demandeurs d’assurance‑emploi

Le Commissariat a reçu 82 plaintes après que le bureau régional du Québec de Ressources humaines et Développement des compétences Canada eut communiqué par inadvertance à une personne les renseignements personnels de 191 autres personnes.

Le cas traitait d’un groupe d’employés qui avaient réclamé de l’assurance-emploi à la suite d’un conflit de travail. Au moment où il interjetait le refus de sa demande, on a remis à un des employés un dossier d’appel afin de lui permettre de se préparer pour son audience devant les Conseils arbitraux de l’assurance‑emploi.

Toutefois, on avait accidentellement versé au dossier le nom, la date de naissance, le numéro d’identification d’employé et le numéro d’assurance sociale des 191 autres employés. De plus, l’enquête a démontré qu’une deuxième liste, contenant l’état de service et l’état des congés de certains employés, avait aussi été communiquée par inadvertance.

Nous avons confirmé que, parmi les 82 plaintes reçues, des renseignements avaient en effet été diffusés dans 79 des cas. Ces plaintes étaient donc fondées. Deux plaintes n’étaient pas fondées et une plainte a été abandonnée.

Les responsables de Ressources humaines et Développement des compétences Canada se sont empressés de récupérer les renseignements communiqués par erreur, ont averti les personnes concernées, et leur ont prodigué des conseils pour réduire les risques de vol d’identité. Ils leur ont également donné les coordonnées d’un responsable au Ministère.

Le Ministère a averti le Commissariat de l’atteinte aux renseignements personnels et nous a fourni le numéro d’assurance sociale de chaque personne touchée, afin que le Bureau d’immatriculation aux assurances sociales de Bathurst, au Nouveau-Brunswick, puisse surveiller ces numéros et veiller à ce qu’aucune activité frauduleuse n’ait lieu.

Ressources humaines et Développement des compétences Canada a également pris des mesures pour prévenir une situation semblable à l’avenir. Le Ministère a rappelé au bureau régional du Québec les procédures appropriées pour protéger les renseignements personnels pendant le traitement des appels auprès des Conseils arbitraux de l’assurance-emploi.

6. Un pénitencier de la Saskatchewan est victime de plusieurs atteintes à la protection des renseignements personnels

Au cours de 2009-2010, le Commissariat a reçu plusieurs rapports portant sur la communication non autorisée de renseignements personnels de prisonniers du pénitencier de la Saskatchewan. Dans le rapport annuel de l’année dernière, nous avons décrit un incident où les renseignements personnels de 184 prisonniers du même pénitencier avaient été retrouvés dans les déchets.

Voici deux incidents signalés au Commissariat par le pénitencier de la Saskatchewan au cours du dernier exercice :

  • Un prisonnier a trouvé 25 formulaires d’autorisation d’entrevue dans les déchets du pénitencier. Les formulaires contenaient le nom et le numéro d’identificateur des empreintes des prisonniers, ainsi que des renseignements sur l’heure et l’emplacement de l’entrevue autorisée. Le prisonnier a déclaré qu’il y avait de nombreux autres formulaires dans les déchets, mais qu’il n’en avait recueilli qu’une quantité suffisante pour nous convaincre que le pénitencier devrait faire plus attention avec les renseignements personnels.
  • Un prisonnier a soumis une proposition à la direction. Lorsqu’elle lui a été retournée par le personnel du Service correctionnel du Canada, elle contenait les renseignements personnels de 13 autres prisonniers, y compris leur nom et le numéro d’identification de leurs empreintes digitales.

Le Service correctionnel du Canada a rappelé aux membres du personnel qu’ils doivent faire preuve de diligence lorsqu’ils créent, utilisent et éliminent des renseignements personnels ou délicats. Il s’est aussi engagé à leur rappeler que les prisonniers ou autres personnes touchées par une atteinte à la protection des renseignements personnels ont le droit de porter plainte au Commissariat.

7. Le traitement de demandes d’accès à l’information entraîne des communications accidentelles

Cette année encore, et comme nous l’avons signalé dans des rapports annuels antérieurs, des renseignements personnels ont été communiqués, souvent aux médias, pendant le traitement de demandes d’accès à l’information. Les erreurs étaient habituellement attribuables à la quantité élevée de données traitées.

Voici quelques exemples d’incidents portés à notre attention au cours de 2009‑2010 :

  • Le Service correctionnel du Canada a signalé que les renseignements personnels d’un prisonnier détenu au Nouveau-Brunswick avaient été communiqués de façon accidentelle aux médias en réponse à une demande d’accès à l’information. L’organisme a précisé qu’il avait bien protégé le nom du prisonnier, l’endroit où il était détenu et les autres éléments d’identification personnelle.

    Cependant, d’autres renseignements diffusés permettaient de l’identifier par déduction; ainsi, son nom est apparu par la suite dans plusieurs articles médiatiques.

Le Commissariat a rappelé au Service correctionnel du Canada de bien revoir et évaluer toute information avant sa publication, afin de réduire les risques de diffuser des renseignements qui pourraient, par simple association, mener à l’identification d’une personne.

En réponse aux autres recommandations que nous lui avions faites, l’organisme a avisé le prisonnier de l’atteinte à la protection de ses renseignements personnels et de son droit de porter plainte au Commissariat. Il a de plus été informé du fait que des mesures correctives avaient été prises pour réduire les probabilités d’incidents similaires à l’avenir.

  • Les renseignements personnels de neuf personnes qui avaient écrit à plusieurs élus sur d’autres questions ont été communiqués de façon accidentelle lorsque Transports Canada a répondu à une demande d’information en vertu de la Loi sur l’accès à l’information. Les renseignements personnels n’ont pas été publiés dans les articles médiatiques subséquents. 

Transports Canada a informé les personnes touchées de l’atteinte aux renseignements personnels et de leur droit de porter plainte au Commissariat. Le Ministère a aussi demandé au journaliste qui avait reçu les renseignements personnels par erreur de retourner les documents en question.

De plus, les responsables de l’accès à l’information et de la protection des renseignements personnels de Transports Canada ont mis en place de nouvelles mesures de contrôle de la qualité pour réduire les risques d’erreurs dans leurs procédures de traitement et d’envoi de réponses aux demandes d’accès à l’information.

  • À la suite d’une erreur dans le classement de dossiers, la Société canadienne des postes a diffusé, de façon accidentelle, 36 pages de renseignements médicaux d’un employé à la retraite en réponse à une demande d’accès à l’information. Les renseignements étaient conservés par un fournisseur de gestion des cas d’invalidité et ont été transmis à un autre employé de la Société canadienne des postes du même nom. 

Tous les renseignements transmis par erreur ont été retournés au fournisseur de gestion des cas d’invalidité, et l’entreprise a été avertie de ses responsabilités en matière de protection des renseignements personnels. La personne touchée a été avisée de la communication de ses renseignements et de son droit de porter plainte au Commissariat.

8. Mise à jour : Citoyenneté et Immigration Canada prend en compte une préoccupation de longue date en matière de protection des renseignements personnels

L’an dernier, nous avons abordé un cas impliquant la collecte de renseignements personnels par Citoyenneté et Immigration Canada dans le cadre du processus de demandes de visa de résidence temporaire. Le plaignant, qui parrainait un membre de sa famille, insistait pour soumettre ses dossiers financiers directement au Ministère plutôt qu’indirectement par l’entremise du parent.

Bien que cette plainte ait été réglée de manière satisfaisante, le Commissariat est resté préoccupé par le fait que des cas semblables avaient été portés à son attention depuis 1998. Nous nous sommes donc prévalus de notre pouvoir d’ombudsman pour convaincre le Ministère de modifier son processus.

Dans une lettre datée de novembre 2009, le sous-ministre de Citoyenneté et Immigration Canada a confirmé que les Canadiennes et Canadiens qui parrainent des demandeurs de visas de résidence temporaire peuvent maintenant présenter la documentation personnelle à l’appui, comme des avis de cotisation ou des relevés bancaires, directement au Ministère. Cette option donne une alternative aux parrains qui ne voulaient pas remettre de renseignements personnels aux demandeurs. Cette nouvelle politique a été communiquée aux missions à l’étranger et publiée sur le site Web du Ministère.

Risque : technologie

La technologie est omniprésente dans notre monde moderne et fait partie intégrante des opérations du gouvernement. Pourtant, toute pièce d’équipement, des mécaniques de base aux systèmes informatiques sophistiqués, peut s’avérer défectueuse. Il n’est donc pas surprenant que, chaque année, on porte à notre attention des incidents où les renseignements personnels des Canadiennes et des Canadiens sont compromis en raison de défectuosités technologiques. Dans certains cas, les problèmes ont mené à des communications accidentelles; dans d’autres, on a profité de ces faiblesses technologiques.

1. Un pirate informatique cible les plaintes en ligne déposées contre l’ombudsman de la Société canadienne des postes

En octobre 2009, un journaliste du Ottawa Citizen a signalé au Bureau de l’ombudsman de la Société canadienne des postes qu’une erreur de programmation avait permis à une tierce partie non autorisée d’accéder aux renseignements personnels soumis par l’entremise du système des plaintes en ligne du bureau. Les données accédées comprenaient le nom, l’adresse postale, l’adresse électronique et le numéro de téléphone des plaignants, de même que des détails sur la plainte déposée.

En tout, 131 plaintes sur le service postal soumises en ligne entre le 4 août et le 2 septembre 2009 ont été communiquées lors de cette atteinte à la protection des renseignements personnels.

La Société canadienne des postes a immédiatement désactivé le site Web et a avisé toutes les personnes affectées par écrit pour s’excuser. Depuis, le site Web a été réparé et réactivé.

De plus, l’organisation nous a avisés qu’elle effectue annuellement des tests de son système informatique afin d’en détecter les faiblesses, mais que le système informatique du Bureau de l’ombudsman a échappé à la portée de ces tests. La Société canadienne des postes inclura dorénavant ce système dans les tests.

2. Une panne mécanique, aggravée par une erreur humaine, entraîne une fuite de données

En mars 2009, le centre de traitement de Ressources humaines et Développement des compétences Canada situé au Québec a envoyé par la poste 11 900 formulaires à des demandeurs du Supplément de revenu garanti. La machine servant à imprimer, plier et insérer la correspondance dans des enveloppes pour les envois en très grand nombre ayant subi un bris mécanique,  certaines personnes ont reçu des formulaires qui étaient en fait destinés à d’autres.

Quarante-quatre tels cas ont été signalés au Ministère.

Notre enquête a révélé que les formulaires contenaient le nom des demandeurs du supplément (et le nom de leur conjoint lorsqu’il y avait lieu), leur adresse, leur numéro d’assurance sociale (quoique les numéros avaient été inversés et qu’un code additionnel avait été ajouté afin d’en rendre l’identification plus difficile). Aucun renseignement sur les prestations n’a été communiqué.

L’enquête a aussi déterminé que l’erreur humaine avait joué un rôle dans cette affaire. Le technicien responsable de l’envoi avait remarqué, au début du processus, que certains formulaires étaient pliés et insérés en double dans les enveloppes. Il a ajusté le réglage de certaines pièces d’équipement et puis a remis le système en marche. Il ne s’est pas servi des mécanismes de détection des documents en double, et il n’a pas avisé les gestionnaires des erreurs relevées.

Le Ministère a eu vent de l’incident lorsque les agents des centres d’appel ont commencé à recevoir des appels de la part de personnes touchées. L’institution a avisé le Commissariat en avril et la commissaire a déposé une plainte en juin.

L’enquête ultérieure a conclu que la plainte était fondée.

Ressources humaines et Développement des compétences Canada, qui a mené sa propre enquête sur l’incident, a pris des mesures pour améliorer le fonctionnement de son équipement de courrier, et pour revoir et renforcer ses procédures de contrôle de la qualité.

Comme le technicien n’avait pas fait part des difficultés rencontrées, le Commissariat a mis l’accent sur le fait que l’erreur humaine a aggravé les problèmes créés par la défectuosité mécanique. En conséquence, nous avons recommandé au Ministère qu’il sensibilise ses employés à leurs responsabilités en matière de protection des renseignements personnels. Le Ministère a entrepris une mise à jour des connaissances de ses employés quant à la Loi sur la protection des renseignements personnels et aux politiques et procédures connexes.

3. Une défectuosité du système informatique du ministère des Anciens Combattants entraîne une communication non autorisée de renseignements personnels

Une erreur informatique a fait en sorte que de hauts fonctionnaires du ministère des Anciens Combattants ont communiqué de façon inappropriée les renseignements personnels de plusieurs personnes à la suite d’une demande d’accès à l’information.

Les renseignements personnels comprenaient le nom de neuf personnes (y compris celui du demandeur), qui avaient supposément reçu 20 000 $ en dédommagement après avoir été exposées à des défoliants dangereux utilisés par l’armée américaine; en fait, leurs demandes avaient été rejetées.

Les noms de personnes ayant reçu une indemnité ponctuelle et libre d’impôt à la suite de tests d’herbicides non homologués comme l’agent orange à la base des Forces canadiennes Gagetown au Nouveau-Brunswick en 1966 et 1967 ne sont pas considérés comme étant des renseignements personnels, puisqu’ils apparaissent dans les Comptes publics du Canada. Toutefois, comme la demande d’indemnité des plaignants avait été rejetée, leurs noms ­— rattachés à ces paiements — sont considérés comme étant des renseignements personnels.

À la suite de cette atteinte à la protection des renseignements personnels, le ministère des Anciens Combattants a corrigé l’erreur de système qui avait causé la communication. Les personnes touchées ont également été avisées du problème et de leur droit de porter plainte au Commissariat.

4. Les autorités frontalières sont exonérées d’avoir recueilli des renseignements personnels de façon inappropriée à partir d’un blogue

Une personne a affirmé que l’Agence des services frontaliers du Canada avait recueilli des renseignements de façon inappropriée à partir de son blogue personnel après que son emploi pour une période déterminée ait pris fin.  

Le plaignant avait lui-même affiché de l’information clairement destinée au public général. Néanmoins, il a déposé plusieurs plaintes après que son dispositif de surveillance ait recueilli des preuves que son site avait été visité par des personnes qui s’étaient servies d’ordinateurs appartenant au gouvernement.

Notre enquête a révélé que certaines institutions gouvernementales permettent aux employés d’accéder à Internet en dehors des heures de bureau, conformément à la Politique d’utilisation acceptable du gouvernement. Toutefois, le fait de parcourir un site à partir d’une station de travail du gouvernement ne veut pas nécessairement dire que le ministère recueille des renseignements personnels.

Dans ce cas, nous avons conclu que plusieurs employés de l’Agence des services frontaliers du Canada avaient en effet consulté le blogue, mais qu’ils l’avaient fait de façon personnelle, conformément à la politique. Notre enquête n’a relevé aucune preuve que l’Agence s’était servie de ces visites pour recueillir des renseignements personnels.

Par conséquent, nous avons conclu que les plaintes n’étaient pas fondées.

Risque : sécurité nationale

En 2009-2010, les droits des Canadiennes et des Canadiens en matière de protection des renseignements personnels ont été mis à l’épreuve à de nombreuses reprises, puisque le gouvernement fédéral a pris de nouvelles mesures pour renforcer la sécurité nationale. Nombre d’initiatives visaient les aéroports et les frontières nationales et entraînaient la collecte de renseignements personnels. Parmi d’autres mesures de sécurité qui ont eu des répercussions sur la protection des renseignements personnels, mentionnons la mise en place de scanners corporels et de mesures considérables de surveillance du public aux Jeux olympiques et paralympiques de Vancouver.

Bien que de telles initiatives aient généré des demandes au Commissariat, peu d’entre elles ont entraîné le dépôt de plaintes au cours de la période de déclaration.

Questions dérangeantes, mais légitimes, d’un agent de sécurité frontalière

En revenant au Canada à la suite de vacances en Europe à l’automne de 2008, un voyageur s’est plaint qu’un agent de l’Agence des services frontaliers du Canada avait recueilli des renseignements personnels à son sujet de façon inappropriée.

Le plaignant, que l’on avait soumis au deuxième contrôle, a affirmé qu’un agent des services frontaliers lui avait demandé le nom des personnes visitées en Europe et qu’il avait pris en note les médicaments sur ordonnance qui se trouvaient dans ses valises.

Notre enquête a révélé que l’agent avait recueilli les renseignements conformément à la Loi sur les douanes, qui permet aux agents de questionner les passagers et de prendre des notes relativement à leur entrée au Canada. Les agents des services frontaliers peuvent aussi examiner les biens entrés dans le pays pour assurer la sécurité publique.

Nous avons conclu que la plainte n’était pas fondée.

Bien que la plainte ne soit pas fondée, nous trouvons que ce cas illustre bien la portée du pouvoir de l’Agence des services frontaliers du Canada et son obligation correspondante de veiller à la protection des renseignements personnels dans l’exercice de ce pouvoir.

Nous avons suggéré que l’Agence réfléchisse à la façon dont elle utilise son pouvoir et qu’elle communique avec le public sur des sujets traitant de protection des renseignements personnels. À titre d’exemple, nous avons proposé qu’elle encourage ses agents à expliquer aux voyageurs, autant que possible, la raison de la collecte des renseignements personnels. Nous avons noté que l’Agence offre un cours de formation sur la protection des renseignements personnels à l’échelle du pays, ce qui pourrait être l’occasion parfaite pour sensibiliser ses agents.

Accès aux renseignements personnels
Le Service correctionnel du Canada doit préciser les exceptions

L’Association canadienne des sociétés Elizabeth Fry s’est plainte au nom d’une prisonnière que le Service correctionnel du Canada avait refusé à cette dernière l’accès à ses renseignements personnels.

La prisonnière avait autorisé l’organisation, qui travaille avec les femmes et les filles qui se trouvent dans le système juridique, à demander l’accès à ses dossiers de prison. La demande initiale a été soumise au Service correctionnel du Canada en juin 2007. Comme l’organisme n’avait pas répondu dans le délai autorisé de 60 jours, l’organisme a fait une deuxième demande le 4 octobre 2007.

Le 19 octobre 2007, 123 jours après la soumission de la demande initiale, la prisonnière s’est suicidée en prison.

Lorsque l’organisme a fait un suivi de la demande d’obtention des renseignements personnels de la prisonnière, le Service correctionnel du Canada a répondu qu’il ne fournirait pas les renseignements, en fonction de l’article 22 de la Loi. Cet article fait état de plusieurs raisons possibles en vertu desquelles une institution gouvernementale peut retenir des renseignements.

Une enquête menée par le Commissariat a révélé que le Service correctionnel du Canada n’avait pas précisé le ou les paragraphes de l’article 22 dont il s’était servi pour appuyer sa décision.

En mai 2009, la commissaire adjointe à la protection de la vie privée a conclu que le Service correctionnel du Canada n’avait pas correctement appliqué l’article 22 dans sa décision de refuser l’accès à l’information demandée; la plainte était donc reconnue comme fondée.

Initialement, le Service correctionnel du Canada avait refusé de fournir les dossiers et la question a été poursuivie en cour. Dans un jugement émis en avril 2010, peu de temps après la période de déclaration, la Cour fédérale a ordonné à l’institution de remettre les dossiers à l’Association canadienne des sociétés Elizabeth Fry.

4.4 Signaler les atteintes à la protection des renseignements personnels

Nous continuons de demander aux ministères et aux organismes de nous aviser, conformément aux lignes directrices fédérales, de toute perte ou communication non autorisée de renseignements personnels.

Atteintes à la protection des renseignements personnels dans le secteur public fédéral signalées au Commissariat de 2005-2006 à 2009-2010
2005-2006 55
2006-2007 54
2007-2008 44
2008-2009 26
2009-2010 38

Au cours du dernier exercice financier, 38 atteintes à la protection des renseignements personnels nous ont été signalées par des ministères ou des organismes fédéraux, ce qui représente une quantité quelque peu inférieure à la moyenne des cinq dernières années.

Le fait de signaler ces atteintes a de nombreux avantages, y compris d’encourager la mise en place et l’utilisation de procédures additionnelles visant la protection des renseignements personnels.

Une atteinte à la vie privée suppose la collecte, l'usage, la communication, la conservation ou le retrait inappropriés ou non autorisés de renseignements personnels.

Une atteinte à la vie privée peut être le résultat d'erreurs de bonne foi ou d'actes malveillants commis par des employés, des tiers, des partenaires d'ententes de partage d'information ou des intrus.

Il est fortement recommandé aux institutions d'aviser le Commissariat à la protection de la vie privée du Canada de l'infraction et des mesures d'atténuation mises en œuvre lorsque l'infraction :

  • touche des données personnelles de nature délicate tels que des renseignements financiers ou médicaux, des numéros d'assurance sociale ou d'autres identificateurs personnels,
  • risque d'entraîner un vol d'identité ou une fraude similaire,
  • risque de causer un tort ou embarras qui nuirait à la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de la personne.

L'institution doit aviser le Commissariat de l'infraction le plus tôt possible après en avoir pris conscience (en dedans de quelques jours).

Informer le Commissariat de la nature et de la portée de l'infraction, du type de renseignements personnels compromis, des parties en cause, des risques prévus, des dispositions prises ou prévues pour aviser les personnes concernées et des mesures correctives prises.

— Extraits des Lignes directrices sur les atteintes à la vie privée, une politique du Secrétariat du Conseil du Trésor
http://www.tbs-sct.gc.ca/atip-aiprp/in-ai/in-ai2007/breach-atteint-fra.asp

Les lignes directrices du Conseil du Trésor recommandent fortement aux ministères et aux organismes d’informer le Commissariat de toute communication non autorisée de renseignements personnels de nature délicate, ainsi que des mesures d’atténuation prévues ou adoptées.

Conformément à ces lignes directrices, les atteintes devant être signalées sont celles qui touchent les renseignements personnels de nature délicate comme les renseignements financiers ou médicaux ou les identificateurs personnels comme le numéro d’assurance sociale. Il faut également signaler les atteintes qui peuvent exposer les personnes au vol d’identité ou autres formes de fraude, ou qui peuvent causer de l’embarras ou nuire à la carrière d’une personne, à sa réputation, à sa situation financière, à sa santé ou à sa sécurité.

Les institutions, comme de nombreuses personnes, peuvent trouver difficile d’admettre qu’elles ont commis des erreurs. En effet, les atteintes signalées jusqu’à présent proviennent de quelques ministères seulement.

Une fois passé l’inconfort initial, toutefois, certains ministères reconnaissent les avantages de signaler les atteintes. À titre d’exemple, quand le Commissariat est avisé d’une atteinte et des mesures prises pour l’atténuer, il peut souvent apaiser les inquiétudes des gens afin qu’ils ne ressentent plus le besoin de déposer une plainte officielle contre le ministère.

De plus, nous avons remarqué que les institutions s’améliorent au fur et à mesure qu’elles acquièrent de l’expérience dans le domaine. Par exemple, une organisation qui nous rend compte de telles situations de façon régulière a développé une approche analytique, axée sur les risques, pour définir les mesures à prendre en cas d’atteinte.

Au cours de la dernière année, le Commissariat a pris des mesures pour promouvoir le signalement régulier des atteintes. Nous avons maintenant un agent de signalement dédié à cette tâche et un numéro de téléphone que les ministères et les organismes peuvent composer pour signaler une atteinte et pour obtenir de l’aide et des conseils.

Voici quelques exemples d’atteintes à la protection des renseignements personnels signalées au Commissariat en 2009-2010 :

1. En décembre 2009, la Banque du Canada nous a avisés d’une défectuosité technique détectée un peu plus d’un mois auparavant. L’erreur a eu comme résultat de permettre à sept clients du régime épargne-salaire qui se servaient du site d’accès en ligne sécuritaire www.MesObligations.gc.ca de voir les renseignements personnels de six autres clients qui avaient accédé au site quelques instants auparavant. Les renseignements comprenaient le nom des autres personnes et leur numéro de compte.

Le problème découlait de difficultés techniques qui étaient survenues au cours d’un entretien de routine. La banque a également mentionné qu’un problème semblable avait eu lieu en juin 2009, et qu’il avait entraîné la communication des renseignements personnels de quelques personnes.

La Banque du Canada a informé les clients touchés et a réinitialisé leurs mots de passe. Certains comptes ont été sélectionnés et ont fait l’objet d’un suivi pour déceler toute activité irrégulière. On a également recommandé aux clients de garder l’œil sur leurs renseignements personnels et financiers pour déceler toute trace d’utilisation malveillante.

2. En novembre 2009, la Société canadienne des postes a signalé que des demandes de passeport, envoyées par messagerie du bureau d’un député de l’Ontario, n’étaient jamais parvenues au centre de traitement de Passeport Canada à Gatineau (Québec). Bien que le colis ait été retracé jusqu’à Ottawa, il n’a jamais été retrouvé.

L’identité des demandeurs est incertaine, de même que le nombre de personnes touchées, puisque les demandes avaient été réunies lors d’un événement au bureau de circonscription du député. Environ 50 demandes semblaient avoir été perdues, mais les demandeurs n’ont été identifiés qu’au moment de leur appel à Passeport Canada pour s’enquérir de l’état de leur demande.

Dans le cadre d’un projet conjoint, Postes Canada et Passeport Canada se sont entendus pour informer les personnes touchées, leur offrir gratuitement un service accéléré de traitement de leurs demandes de passeport et un service de surveillance de la cote de crédit, ainsi que 100 $ pour couvrir les frais de remplacement des pièces d’identité perdues.

3. En septembre 2009, le Bureau du vérificateur général du Canada a découvert que 84 rapports confidentiels sur ses employés avaient disparu après que les versions papier des documents furent classées ou entreposées d’une manière inappropriée.

Les rapports, qui sont soumis par le personnel conformément au Code de valeurs, d’éthique et de conduite professionnelle du Bureau, contiennent des renseignements personnels, y compris, dans certains cas, des renseignements sur les biens et les conflits pouvant être signalés.

En janvier 2010, le Bureau du vérificateur général a avisé le Commissariat que les personnes touchées avaient été informées et qu’aucune d’entre elles n’avait exprimé d’inquiétudes significatives au sujet de l’atteinte. Le Bureau s’est également engagé à prévenir de tels incidents à l’avenir en adoptant un processus entièrement numérique, qui comprend la présentation de rapports par courriel crypté. Une seule personne serait ainsi chargée du catalogage et de l’entreposage des formulaires dans le système de gestion de l’information du Bureau.

4.5 Modernisation des processus

1. Engager un dialogue avec les institutions fédérales

Au cours du dernier exercice financier, le Commissariat a augmenté les efforts visant à amorcer un dialogue constructif avec des ministères essentiels. Les réunions avaient comme objectifs d’établir des voies de communication et de mieux comprendre les exigences, d’un côté comme de l’autre.

Selon nous, il était important d’aider les ministères à résoudre des questions en suspens concernant la vie privée et de faire connaître l’importance d’aviser le Commissariat de toute atteinte à la protection de la vie privée. Nous nous sommes efforcés de diffuser de l’information sur les pratiques et méthodes exemplaires en vue d’améliorer les délais de traitement des plaintes.

Pour leur part, les ministères communiquaient volontiers les complexités auxquelles ils se heurtent en ce qui concerne le contrôle des renseignements personnels.

Comme la Loi sur la protection des renseignements personnels vise actuellement environ 250 ministères, organismes fédéraux et sociétés de la Couronne, il s’écoulera bien du temps avant que nous arrivions à rendre visite à chacun d’entre eux. Pour commencer, nous avons mis l’accent sur les institutions qui, en raison de l’important volume de renseignements personnels dont elles s’occupent, ont tendance à recevoir fréquemment des plaintes.

En 2009-2010, nous avons donc tenu des rencontres avec des représentants de l’Agence du revenu du Canada, de la GRC, de Ressources humaines et Développement des compétences Canada et du Service correctionnel du Canada.

Nous sommes très heureux des résultats de ces discussions et prévoyons poursuivre nos rencontres avec des représentants d’autres institutions.

2. Renouvellement des opérations

Une des réalisations les plus marquantes du Commissariat en 2009-2010 a été l’élimination quasi totale de l’arriéré de plaintes vieilles de plus d’un an depuis leur date de réception.

Ces dernières années, une pénurie d’enquêteurs, associée à un nombre croissant de plaintes touchant des questions d’une grande complexité, avait entraîné un arriéré qui a atteint un sommet de 595 demandes en 2006-2007.

La prise en charge de l’arriéré fut une des principales priorités du Commissariat. L’attribution de ressources financières additionnelles par le Conseil du Trésor nous a permis d’amorcer à pleins feux notre projet de réduire l’arriéré en 2008.

Nous avons simplifié nos processus, embauché et formé de nouveaux enquêteurs, confié des travaux à des ressources externes et mis en œuvre une « opération-éclair » visant à fermer de vieux dossiers. Nous avons ainsi réussi à réduire la taille de l’arriéré, qui est passé de 333 dossiers au début de l’exercice financier 2009-2010 à 10 dossiers à la fin de l’année. Les dossiers qui restaient en cours étaient par ailleurs presque terminés.

L’élimination de l’arriéré marque le début d’une nouvelle ère pour le Commissariat. Nos enquêteurs se réjouissent à l’idée de travailler avec des clients qui ne sont pas frustrés par des retards et d’analyser des dossiers où les preuves demeurent d’actualité.

Nous mettons désormais l’accent sur le règlement rapide des problèmes et le traitement efficace des plaintes, afin de ne pas sombrer dans un nouvel arriéré. Comme nous l’avons décrit ailleurs dans ce rapport, nous intensifions nos efforts pour régler les dossiers au début du processus en consacrant plus de temps aux enquêtes et en fournissant de l’information et des ressources aux éventuels plaignants.

Nous avons également un formulaire de plaintes qui indique clairement l’information dont le Commissariat aura besoin. Le formulaire peut aider à réduire le temps de traitement d’un dossier une fois qu’il est attribué à un enquêteur.

La création d’un nouveau poste de registraire des plaintes constitue un autre changement important. Le registraire évalue la complexité et l’urgence de l’affaire et détermine s’il est possible de la régler rapidement.

Les affaires qui peuvent être réglées rapidement sont désormais transmises à une équipe de résolution rapide. Les techniques telles que la négociation, la conciliation et de solides connaissances des résultats de plaintes antérieures sont essentielles au processus de règlement rapide.

Les plaintes qui portent sur une question grave, systémique ou autrement complexe sont immédiatement aiguillées vers un enquêteur.

4.6 Devant les tribunaux

En vertu de l’article 41 de la Loi sur la protection des renseignements personnels, la Cour fédérale ne peut se pencher que sur le refus d’une institution fédérale de communiquer les renseignements personnels demandés en vertu de la Loi. Ainsi, on ne peut appliquer l’article 41 en cas de collecte, d’utilisation ou de communication injustifiée de renseignements personnels par une institution gouvernementale. Au fil des ans, le Commissariat a souvent recommandé au gouvernement fédéral d’élargir les motifs de recours aux tribunaux en vertu de l’article 41.

Quelques-uns des cas d’intérêt qui ont été portés devant la Cour fédérale en 2009-2010 sont décrits ci-après. Certaines décisions prises par la commissaire ou par la commissaire adjointe ont également fait l’objet de demandes de contrôle judiciaire devant la Cour fédérale.

Conformément à l’esprit de notre mandat, nous ne publions pas le nom des plaignants afin de respecter leur droit à la vie privée. Nous indiquons cependant le numéro du greffe et le nom des institutions en cause.

Société Radio-Canada c. commissaire à la protection de la vie privée du Canada

Dossier de la Cour fédérale no T-122-10

Le Commissariat a reçu un avis de requête de la part de la Société Radio‑Canada demandant le contrôle judiciaire d’une ordonnance de la commissaire adjointe à la protection de la vie privée pour que soient produits certains dossiers que détient la Société Radio-Canada. Le Commissariat a demandé l’information de la Société Radio-Canada au cours d’une enquête au sujet d’une plainte déposée en vertu de la Loi sur la protection des renseignements personnels.

La Société Radio-Canada a refusé de fournir les documents, sous prétexte que ceux-ci sont exclus en vertu de l’article 69.1, lequel soustrait précisément de la Loi les renseignements personnels que la Société Radio-Canada recueille, utilise ou communique à des fins uniquement journalistiques, artistiques ou littéraires.

Comme elle considère les documents exclus en vertu de cet article, la Société Radio-Canada a affirmé que la commissaire n’avait pas le pouvoir d’exiger la production de ces documents afin de déterminer elle-même s’ils sont bel et bien exclus en vertu de la Loi.

Selon la commissaire adjointe, cependant, le Commissariat doit examiner les dossiers retenus afin de réaliser son enquête. Une ordonnance visant la production de ces dossiers a donc été délivrée à la Société Radio-Canada.

La Société Radio-Canada a déposé une demande semblable contre la commissaire à l'information du Canada concernant une ordonnance visant la production de documents. La Loi sur l’accès à l’information contient des dispositions semblables, mais non identiques, concernant les exclusions visant la Société Radio-Canada et les pouvoirs permettant d’exiger de l’information d’une institution fédérale.

Le Commissariat a déposé son avis de comparution le 5 février 2010.

Monsieur A et Madame B c. procureur général du Canada et Monsieur X c. procureur général du Canada

Dossiers de la Cour fédérale nos  T-1256-08 et T-1257-08

Nous avons fait mention de cette affaire dans le rapport annuel de l’an dernier. Dans cette affaire, Monsieur X avait fait l’objet d’une enquête de la Commission de la fonction publique, à la suite de laquelle il avait été trouvé coupable de fraudes dans divers processus de recrutement de la fonction publique.

En août 2008, Monsieur X et deux personnes avec qui il avait un lien de parenté (Monsieur A et Madame B) avaient déposé des avis de requête distincts, entamant ainsi un contrôle judiciaire de la décision de la Commission de communiquer dans son rapport annuel au Parlement des renseignements personnels de nature délicate concernant Monsieur X et sa parenté.

La commissaire à la protection de la vie privée a été autorisée à participer aux recours en qualité d’intervenante et à offrir un soutien à la cour pour identifier les enjeux juridiques se rapportant à la protection de la vie privée.

Ces questions portaient sur le droit que possède un tribunal administratif de communiquer des renseignements personnels au moyen d’un rapport affiché sur Internet, et sur l’application, s’il y a lieu, du principe de la publicité des débats à la décision d’un tribunal administratif.

Les parties en sont toutefois arrivées à une entente et les demandes ont été abandonnées le 24 août 2009.

X. c. Commission de la fonction publique

Dossier de la Cour fédérale no T-1659-08

Dans cette affaire, dont il a également été question dans le rapport annuel de l’année dernière, le demandeur a fait l’objet d’une enquête par la Commission de la fonction publique à la suite d’allégations de participation à des activités politiques inappropriées alors qu’il était à l’emploi de la fonction publique fédérale. Le demandeur a déposé une demande de contrôle judiciaire de la décision de la Commission de communiquer sur Internet des renseignements personnels de nature délicate à son sujet.

La commissaire à la protection de la vie privée a été autorisée à participer aux recours en qualité d’intervenante et à offrir un soutien à la cour pour identifier les enjeux juridiques se rapportant à la protection de la vie privée.

Cette affaire a également soulevé des questions concernant la communication de renseignements personnels sur Internet et la portée de l’application du principe de la publicité des débats.

On a également autorisé quatre autres institutions fédérales à participer comme intervenantes : la Commission des relations de travail dans la fonction publique, le Tribunal de la dotation de la fonction publique, la Commission d'examen des plaintes concernant la police militaire et l’Office des transports du Canada.

À la suite d’une conférence de gestion des cas, l’affaire se poursuit maintenant en suivant un échéancier mandaté par la Cour, selon lequel la commissaire à la protection de la vie privée doit présenter ses arguments par écrit d’ici le 2 juin 2010.

X c. commissaire à la protection de la vie privée du Canada et commissaire à l'information du Canada

Un tribunal est sommé de bien mesurer sa décision de communiquer des renseignements personnels

Un homme s’est plaint que le Tribunal de dotation de la fonction publique avait envoyé par courriel à des centaines de personnes ses renseignements personnels, y compris des renseignements délicats sur sa santé.

L’affaire a débuté quand l’employeur a reclassifié à la hausse un ensemble de postes. Toutes les personnes en poste ont donc été promues, à l’exception du plaignant. Ce dernier s’est donc plaint au Tribunal qu’il aurait dû lui aussi être promu, au même titre que ses collègues.

Le Tribunal a donc demandé à l’homme en question de fournir davantage de documents à l’appui, ce que l’homme a fait. Le Tribunal, qui estimait que la centaine d’anciens collègues étaient des parties en cause, a ensuite transmis le dossier complet du plaignant, y compris les pièces jointes contenant des renseignements personnels délicats. Le Tribunal n’a jamais donné conseil au plaignant sur les renseignements à soumettre et ne l’a jamais informé que son dossier serait remis au complet à toutes les parties.

À la suite d’une enquête, la commissaire adjointe a conclu que la plainte était fondée. Elle a fait valoir que si le Tribunal devait, aux termes de sa réglementation, remettre une copie de la plainte à toutes les parties, il n’avait toutefois aucune obligation d’inclure toute la documentation à l’appui.

Elle a insisté sur ce point dans ses recommandations, en ajoutant que si une plainte comprend en soi des renseignements personnels sur la santé ou autres, le Tribunal doit faire preuve de discernement et transmettre le dossier seulement aux personnes qui ont une raison d’en prendre connaissance.

Le Tribunal de dotation de la fonction publique hésite à modifier son processus. En l’absence d’autorité légale d’en appeler à la cour, le Commissariat exhorte l’ensemble des tribunaux administratifs à se conformer à ses lignes directrices pour la publication de décisions qui comprennent des renseignements personnels délicats.

Dossier de la Cour fédérale no DC-09-88-JR

Il s’agit d’une demande de contrôle judiciaire, déposée à la Cour divisionnaire de la Cour supérieure de justice de l’Ontario, où le demandeur exprime son souhait d’obtenir une ordonnance de mandamus, exigeant que le Commissariat à la protection de la vie privée et le Commissariat à l’information du Canada réalisent des enquêtes concernant des plaintes déposées par le demandeur auprès des deux commissariats.

Le Commissariat à la protection de la vie privée avait presque terminé son enquête au moment où la demande a été déposée. Le Commissariat à la protection de la vie privée a délivré un rapport de constatations au plaignant, ce qui a réglé les questions soulevées dans la demande et a dépourvu d’intérêt pratique la question de l’ordonnance de mandamus.

Le demandeur a néanmoins cherché à poursuivre la demande. Le Commissariat à la protection de la vie privée a donc déposé une requête visant à radier la demande en raison de l’absence de compétence (car la demande a été déposée dans une cour provinciale) et d’un manque d’intérêt.

Le 22 janvier 2010, la Cour a rejeté la demande. Le demandeur a demandé l'autorisation d'interjeter appel de l’ordonnance.

4.7 Tribunaux administratifs fédéraux

La communication à l’ère d’Internet

Au cours des dernières années, le rapport annuel concernant la Loi sur la protection des renseignements personnels a souligné les préoccupations touchant la vie privée qui sont soulevées lorsque des tribunaux administratifs fédéraux et des organismes quasi judiciaires publient des décisions qui renferment des renseignements personnels de nature délicate sur Internet. Bien que le principe de la publicité des débats soit d’une grande importance au sein d’une démocratie en santé, nous avons exprimé des préoccupations au sujet de son application aux organismes quasi judiciaires à l’ère numérique.

La GRC devrait publier les conclusions de ses audiences disciplinaires de manière dépersonnalisée

Une agente de la GRC s’est plaint que ses renseignements personnels avaient été communiqués de manière inappropriée lorsqu’un tribunal disciplinaire de la GRC a affiché ses conclusions sur un site Web interne et les a transmis à un journaliste.

En plus des détails sur l’affaire, les conclusions du Comité d’arbitrage de la GRC nommait la plaignante et précisait qu’elle avait changé de nom de famille depuis son mariage. L’agente s’est donc plaint au Commissariat que l’on avait enfreint son droit à la vie privée.

La GRC appuyait la décision du Comité d’arbitrage en affirmant que le public avait le droit d’être mis au courant des questions disciplinaires des corps policiers.

À la suite d’une enquête du Commissariat, la commissaire adjointe a reconnu que la GRC devait démontrer au public que les questions disciplinaires étaient réglées rapidement et convenablement. Cette obligation peut toutefois être remplie en général sans publier les conclusions non dépersonnalisées du Comité d’arbitrage. Puisque les audiences du Comité sont ouvertes aux médias, une version dépersonnalisée du rapport aurait suffi.

La commissaire adjointe a également noté qu’aux termes de la Loi sur la protection des renseignements personnels, les institutions — dont la GRC — peuvent communiquer le nom de la personne faisant l’objet d’une audience si l’information est d’un intérêt tel que l’empiètement sur la vie privée qui en résulte est justifié. Une communication dans l’intérêt public ne peut toutefois être justifiée que dans des circonstances exceptionnelles.

La commissaire adjointe a conclu que la plainte était fondée.

La GRC a refusé de mettre en œuvre nos recommandations en affirmant qu’elle attendait le résultat de la révision des audiences de tribunaux administratifs fédéraux effectuée par le Secrétariat du Conseil du Trésor.

Ces organismes, qui sont visés par la Loi sur la protection des renseignements personnels, analysent toute une gamme de questions, telles que des différends au sujet des prestations de pension et d’assurance-emploi, des problèmes auxquels se heurtent les processus de recrutement au sein de la fonction publique fédérale et le respect des règles particulières en milieu de travail.

Une grande partie de l’information dont ils sont saisis est de nature très personnelle et délicate, telle que des salaires, des problèmes de santé physique et mentale, des différends avec les patrons et des allégations d’actes répréhensibles en milieu de travail. Dans les décisions, il peut également y avoir d’autres informations dont la pertinence est discutable, notamment le nom des enfants des participants, les adresses à domicile, les lieux et dates de naissance et les détails de condamnations criminelles ayant fait l’objet d’un pardon.

Nous reconnaissons qu’il y a des situations dans lesquelles le public a un intérêt impératif à connaître l’identité de personnes qui participent à la justice arbitrale. La Loi sur la protection des renseignements personnels n’a pas été conçue pour dissimuler des actes répréhensibles ou pour protéger des personnes qui commettent une fraude, qui font main basse sur les fonds publics ou qui constituent un danger pour leurs concitoyens. Lorsque les tribunaux fédéraux sont saisis de questions exceptionnelles de ce genre et qu’un véritable intérêt public est en cause, la Loi contient des dispositions qui permettent la communication de renseignements personnels.

En général, cependant, nous sommes d’avis qu’il est possible de concilier le principe de publicité des débats avec les obligations des tribunaux en vertu de la Loi sur la protection des renseignements personnels. Une façon d’y arriver est de dépersonnaliser les décisions affichées en ligne, en substituant par exemple des initiales aléatoires aux noms véritables. Même sans renseignements signalétiques, une décision du tribunal publiée peut favoriser un débat public informé et assurer la responsabilité du système quasi judiciaire.

Dans la foulée de nombreuses enquêtes effectuées par le Commissariat et des recommandations visant à protéger la vie privée de particuliers dont les dossiers n’ont aucun intérêt public général, certains tribunaux ont accepté de dépersonnaliser leurs décisions publiées. D’autres continuent à afficher la version intégrale des décisions, y compris de nombreux renseignements personnels.

Actuellement, les mesures de protection de la vie privée ne sont pas uniformes dans l’ensemble de ces institutions, mais la Loi sur la protection des renseignements personnels ne nous autorise pas à présenter cette affaire devant les tribunaux pour obtenir des conseils supplémentaires.

Lignes directrices émises par le Commissariat

Nous continuons cependant à chercher des mesures de protection plus solides pour les renseignements personnels des Canadiennes et des Canadiens. En consultation avec nos homologues provinciaux et territoriaux, le Commissariat a élaboré des lignes directrices générales pour que la transparence de la justice administrative soit assurée, tout en protégeant la vie privée de la population canadienne.

Reconnaissant que les tribunaux diffèrent beaucoup en ce qui concerne leur loi habilitante et leurs mandats, les lignes directrices préconisent une méthode générale plutôt qu’une solution adaptée à toutes les situations.
Afin de réduire le risque de conflits liés à la vie privée, nous encourageons les tribunaux à informer les parties clairement et à l’avance des lois et des politiques relatives à leurs processus de traitement de l’information.
Lorsqu’une partie peut user de sa discrétion concernant la communication de renseignements personnels que contiennent des décisions affichées sur Internet, les tribunaux devraient élaborer une politique pour orienter leurs pratiques.

À titre de pratique exemplaire, dans les lignes directrices, on encourage les tribunaux à supprimer du texte à communiquer tous les éléments de données, tels que les adresses et dates de naissance, qui ne sont pas pertinents à la décision elle-même. Les tribunaux doivent également déterminer si les versions de la décision qui ont été dépersonnalisées ou rendues anonymes pourraient constituer des solutions d’échange viables à la communication complète.

Lorsque les tribunaux choisissent d’afficher des noms sur Internet, les lignes directrices recommandent l’utilisation du protocole d’exclusion des robots informatiques, pour qu’une recherche par nom au moyen d’un moteur de recherche courant tel que Google ne fournisse pas immédiatement la version intégrale de la décision.

En février dernier, le Forum pour les présidents des tribunaux administratifs fédéraux a exposé une position qui reprenait un grand nombre des méthodes que nous recommandons. Le Forum était cependant plus ouvert à l’idée de voir ses membres publier les noms de particuliers qui participent à leurs débats.

Nous souhaitons que nos lignes directrices, qui sont affichées sur notre site Web, soient en fin de compte adoptées par le Conseil du Trésor.

4.8 Accès à l’information et protection des renseignements personnels

Cet exercice financier était seulement le troisième au cours duquel le Commissariat était assujetti à la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels.

1. Loi sur l’accès à l’information

En 2009-2010, le Commissariat a reçu 26 nouvelles demandes en vertu de la Loi sur l’accès à l’information pour des documents gouvernementaux qu’il détient, soit deux de moins que l’année précédente. Six autres demandes en 2009-2010 ont été reportées de l’année précédente. Vingt-six autres demandes d’accès que nous avons reçues au cours de l’année financière touchaient des documents détenus par d’autres institutions fédérales. Par conséquent, elles ont été redirigées.

Au total, nous avions traité 31 demandes d’accès à la fin de l’exercice financier et une demande a été reportée.

Nous avons été informés de trois plaintes présentées à la commissaire à l’information en vertu de la Loi sur l’accès à l’information, comparativement à aucune l’année précédente. Dans les trois cas, il est question d’un accès refusé aux documents gouvernementaux.

La commissaire à l’information a déterminé qu’une des plaintes n’était pas fondée; la deuxième a été abandonnée et la troisième était toujours en suspens à la fin de l’exercice financier.

2. Loi sur la protection des renseignements personnels

Nous avons reçu 16 demandes en vertu de la Loi sur la protection des renseignements personnels concernant de l’information contenue dans les documents que nous détenons, et en avons terminé 15 au cours de l’exercice financier. Quarante-cinq autres demandes de communication de renseignements personnels reçues en 2009-2010 concernaient des documents que détiennent d’autres institutions fédérales et ont donc été redirigées.

Pour une deuxième année d’affilée, le Commissariat n’a reçu aucune plainte en vertu de la Loi sur la protection des renseignements personnels au cours de l’exercice.

L’année qui vient

Quelques mois après la fin de la période visée par le présent rapport, le juge John Major a publié les conclusions de son enquête sur l’attentat à la bombe de 1985 contre le vol 182 d’Air India. Son rapport, intitulé à juste titre Une tragédie canadienne, met en lumière la démarcation souvent floue entre la sécurité nationale et les droits de la personne, notamment le droit à la vie privée.
 
Pour le Commissariat, il s’agit d’un terreau fertile que nous observons depuis longtemps. Nous sommes d’avis que la vie privée, comme elle est décrite dans la Loi sur la protection des renseignements personnels, est un droit humain fondamental, qui précède la liberté de parole, de réunion et de mouvement. Ayant été à l’avant-scène de la réflexion publique sur les défis associés à l’intégration de la protection de la vie privée et de la sécurité, nous accueillons favorablement les réflexions et les perspectives présentées dans le rapport d’enquête de la Commission Major.

Dans ses conclusions détaillées, le rapport met en doute l’efficacité de certaines mesures de sécurité contemporaines du gouvernement, y compris la liste des personnes interdites de vol et le régime de lutte contre le financement des activités terroristes. Ces deux éléments ont déjà été examinés en profondeur par le Commissariat en raison de leur incidence sur le droit à la vie privée des Canadiennes et des Canadiens.

Le rapport Major demande à Transports Canada — et par inférence aux autres organismes gouvernementaux chargés de la sécurité — de collaborer avec le Commissariat pour élaborer des critères et des outils permettant d’évaluer l’incidence sur la vie privée des mesures de sécurité proposées.

Heureusement, d’importants travaux sur ce sujet sont déjà en cours puisque la sécurité nationale est l’un des quatre domaines prioritaires du Commissariat.

En fait, nous sommes persuadés que la sécurité nationale, les technologies de l’information, les renseignements génétiques et la protection de l’identité représentent quatre des plus importantes menaces au concept de la vie privée tel qu’on le définit au 21e siècle.

Structure de notre analyse

Afin d’améliorer sa capacité à faire face à ces nouveaux enjeux, le Commissariat reconnaît l’importance de bien articuler les valeurs et les principes qui guident notre approche en matière de protection de la vie privée. Nous souhaitons également la tenue d’un débat public réfléchi et structuré afin que les Canadiennes et les Canadiens se sentent totalement concernés par les défis et participent pleinement à la recherche de solutions.

Nous faisons progresser ces objectifs de plusieurs façons. Par exemple, comme on peut le lire dans ce rapport, nous participons activement à l’élaboration des valeurs qui sous-tendent la protection de la vie privée en défendant l’adoption d’une méthodologie de droit public dans nos principales activités.

Inspirée de la décision de la Cour suprême du Canada de 1986 dans l’affaire R. c. Oakes, cette approche prévoit que lorsqu’un gouvernement pense adopter une mesure qui pourrait porter atteinte au droit à la vie privée, la proposition doit être justifiée par un critère en quatre parties : La mesure est-elle nécessaire? Est-elle efficace? L’atteinte à la vie privée est-elle proportionnelle aux avantages qui en découlent? Existe-t-il une autre façon d’atteindre le même résultat qui porterait moins atteinte au droit à la vie privée?

Cette analyse force les organisations à trouver d’autres solutions que la collecte et la protection des données et à déterminer pourquoi elles veulent adopter cette mesure au départ. Parmi les principaux éléments à considérer, il y a les suivants : Quel est l’objectif visé? De quelle manière la population canadienne sera-t-elle informée? Qui sera responsable de la protection des renseignements personnels.

La réponse à ces quatre questions figure déjà dans les renseignements attendus des ministères dans le cadre des évaluations des facteurs relatifs à la vie privée présentées au Commissariat pour examen. Ces quatre critères seront également la pierre angulaire d’une série de documents d’orientation que nous préparons actuellement.

Orientations en matière de politiques

Un des principaux résultats des tables rondes tenues en 2007 et en 2008 en collaboration avec le Forum des politiques publiques a été l’expression du besoin d’orientations concrètes au sujet de l’intégration de la protection de la vie privée dans le cadre de l’élaboration des politiques gouvernementales.

En guise de réponse, le Commissariat a amorcé un processus qui mènera à l’élaboration de documents d’orientation en matière de politiques dans ses quatre domaines prioritaires. Ces documents seront rédigés à l’intention des décideurs du gouvernement, des législateurs, des universitaires et de la grande communauté de la protection de la vie privée. Ils se veulent pratiques, utiles et non normatifs — tout comme « l’outil ou les critères précis qui peuvent être appliqués de façon systématique aux mesures de sécurité proposées » recommandés dans le cadre de l’enquête sur Air India.

Le premier document d’orientation de cette série, ayant trait à la sécurité nationale, devrait être publié plus tard cette année. Ce document tient compte des nombreux commentaires reçus notamment des universitaires, de la société civile, des représentants de la sécurité publique, des organismes de surveillance et du milieu juridique et débute par une explication de ce qu’on entend par « renseignement personnel » et « attente raisonnable en matière de vie privée ».

Le document incitera ensuite les décideurs qui envisagent l’adoption d’une nouvelle mesure de sécurité à réfléchir à ce qu’ils souhaitent accomplir et à évaluer leur initiative à partir des quatre questions.

Puis, le document accompagnera les décideurs dans le cadre de trois autres étapes : la conception, la mise en œuvre et l’application continue de l’initiative proposée.

Les lignes directrices informeront les décideurs des éléments dont ils doivent tenir compte, ainsi que des étapes à suivre pour y donner suite — des structures de gestion et de gouvernance internes à l’établissement de mécanismes publics pour les plaintes, les recours, la surveillance et les rapports.

Gouvernance du Commissariat à la protection de la vie privée

En ce qui concerne les structures de gestion et de gouvernance, le Commissariat se trouve également dans une période de transition.

Des efforts considérables ont été investis jusqu’à l’exercice faisant l’objet du présent rapport pour la stabilisation et la croissance de l’organisation. Nous avons mis l’accent essentiellement sur l’amélioration des processus — l’élimination de l’important arriéré d’enquêtes sur des plaintes est un élément clé de notre succès à cet égard.

Maintenant que l’arriéré est derrière nous, nous pouvons procéder à un examen général de l’avenir du Commissariat. Nous revoyons nos structures de gouvernance avec l’aide d’un expert externe. Nous continuons également à insister sur la nécessité de modifier la Loi sur la protection des renseignements personnels et à mettre en place des mesures administratives qui augmenteront notre capacité de protéger le droit des Canadiennes et des Canadiens à la vie privée.

Certaines modifications stratégiques sont déjà en place, et nous pensons qu’elles auront une incidence positive au cours de l’année à venir.

Par exemple, nos directions chargées des enquêtes et des vérifications relèvent maintenant de la même commissaire adjointe. Ce changement nous aidera à renforcer nos activités relatives à la conformité en créant une plus grande synergie entre ce que les Canadiennes et les Canadiens nous disent dans le cadre de demandes de renseignements et de plaintes, et la façon dont nous surveillons la protection des renseignements personnels dans le secteur public par l’entremise des vérifications et des examens des évaluations des facteurs relatifs à la vie privée.

Activités du Commissariat à la protection de la vie privée

Grâce à l’élimination de l’arriéré de plaintes et au remaniement de sa fonction d’enquête, le Commissariat est en meilleure position pour s’attaquer à des cas complexes ou créant un précédent ainsi qu’à ceux qui ont trait aux quatre domaines prioritaires. Nous continuerons également à consacrer des ressources à nos services de première ligne afin de renforcer notre section chargée des demandes de renseignements du public et notre capacité de résoudre des questions avant qu’elles donnent lieu à des plaintes officielles.

Notre direction responsable des vérifications a également remanié ses processus de manière importante, adoptant une approche plus officielle axée sur les risques pour le choix des sujets des vérifications de la protection de la vie privée et des examens des évaluations des facteurs relatifs à la vie privée.

Au cours de l’année à venir, nous mettrons par écrit dans un guide notre méthode de vérification. Pour ce faire, nous nous sommes inspirés des normes et des bonnes pratiques d’organisations telles que l’Institut canadien des comptables agréés et l’Institut des vérificateurs internes.

Entre-temps, nous continuerons d’étayer nos processus pour l’examen des évaluations des facteurs relatifs à la vie privée de manière à reconnaître la valeur de cet exercice pour le gouvernement et le grand public. Nous souhaitons également maintenir nos liens avec le milieu de l’accès à l’information et de la protection des renseignements personnels par le truchement d’ateliers, de consultations et d’autres activités.

Nous suivrons aussi de près l’élaboration par le Secrétariat du Conseil du Trésor d’une nouvelle directive sur les évaluations des facteurs relatifs à la vie privée qui devrait remplacer la politique actuelle dans le contexte du renouvellement des politiques gouvernementales. Nous avons de nombreuses questions concernant la directive et voulons nous assurer que les préoccupations en matière de protection de la vie privée seront expressément abordées.

Sur le plan législatif, l’exercice 2010-2011 s’annonce déjà bien rempli. Nous avons porté notre attention sur les modifications à la Loi sur la protection des renseignements personnels et les documents électroniques, la loi sur la protection de la vie privée applicable au secteur privé, ainsi que sur une loi anti‑pourriel, auparavant connue comme la Loi sur la protection du commerce électronique et présentée à nouveau à la fin mai comme la Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil.

Nous continuerons également à suivre les propositions législatives ayant trait à la surveillance et à l’interception des communications électroniques de même que d’autres mesures visant à renforcer les pouvoirs des organismes chargés de l’application de la loi et de la sécurité nationale. 

Dans le cadre de ces nombreuses activités, nous demeurons fermement résolus à faire participer les Canadiennes et les Canadiens aux enjeux touchant la protection de la vie privée. Les défis auxquels est aujourd’hui confrontée la protection de la vie privée sont d’une ampleur et d’une complexité inégalées. Il est non seulement souhaitable mais essentiel que le Parlement et le grand public prennent part à un dialogue national éclairé.

Parce que nous croyons que cette discussion mènera à un consensus sur la protection de la vie privée au Canada au 21e siècle, le Commissariat à la protection de la vie privée du Canada continuera à jouer un rôle de premier plan à cet égard.

Annexe 1 — Définitions

Types de plaintes

1. Accès

Accès – Une personne n’a pas obtenu tous les renseignements personnels qu’une institution détient à son sujet, parce qu’il manque des documents ou des renseignements ou parce que l’organisation a invoqué des exceptions afin de ne pas communiquer les renseignements.

Correction/Annotation – L’institution n’a pas apporté les corrections aux renseignements personnels ou ne les a pas annotés parce qu’elle n’approuve pas les corrections demandées.

Langue – Les renseignements personnels n’ont pas été fournis dans la langue officielle demandée.

Frais – Des frais ont été exigés pour répondre à la demande de renseignements en vertu de la Loi sur la protection des renseignements personnels; aucun frais n’est actuellement prévu pour l’obtention de renseignements personnels.

Répertoire – Info Source (un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données — groupes de fichiers sur un même sujet — que l’institution possède) ne décrit pas de façon adéquate le fonds de renseignements personnels.

2. Protection des renseignements personnels

Collecte – Une institution a recueilli des renseignements personnels qui ne sont pas nécessaires à l’exploitation d’un de ses programmes ou à l’une de ses activités, les renseignements personnels n’ont pas été recueillis directement auprès de la personne concernée, ou la personne n’a pas été informée des fins pour lesquelles les renseignements personnels ont été recueillis.

Conservation et retrait – Des renseignements personnels ne sont pas conservés selon les calendriers de conservation et de retrait approuvés par les Archives nationales et publiés dans Info Source : ils sont détruits trop rapidement ou conservés trop longtemps.

En outre, les renseignements personnels utilisés à des fins administratives doivent être conservés pendant au moins deux ans après la dernière application d’une mesure administrative, à moins que la personne ait consenti à leur retrait.

Utilisation et communication – Des renseignements sont utilisés ou communiqués sans le consentement de la personne concernée et ne satisfont pas à l’un des critères d’utilisation ou de communication permise sans consentement énoncés aux articles 7 et 8 de la Loi.

3. Délais

Délais – L’institution n’a pas répondu dans les délais prescrits.

Avis de prorogation – L’institution n’a pas donné une justification appropriée pour la prorogation, elle a fait la demande de prorogation après le délai initial de 30 jours, ou elle a fixé l’échéance à plus de 60 jours de la date de réception de la demande.

Correction/Annotation – Délais – L’institution n’a pas corrigé les renseignements personnels ou n’a pas annoté le dossier dans les 30 jours suivant la réception de la demande de correction.

Conclusions et autres dispositions en vertu de la Loi sur la protection des renseignements personnels

1. Conclusions d’enquêtes

Fondée : L’institution fédérale n’a pas respecté les droits d’une personne aux termes de la Loi sur la protection des renseignements personnels. Cette catégorie comprend les conclusions jadis désignées fondées et résolues, c’est-à-dire où les allégations étaient corroborées par l’enquête et l’institution fédérale acceptait de prendre des mesures correctives afin de remédier à la situation.

Non fondée : L’enquête n’a pas permis de déceler les éléments de preuve qui suffisent à conclure que l’institution fédérale n’a pas respecté les droits d’un plaignant selon la Loi sur la protection des renseignements personnels.

Résolue : Après une enquête approfondie, le Commissariat a participé à la négociation d’une solution satisfaisant les deux parties. Cette conclusion est réservée aux plaintes qu’on pourrait difficilement qualifier de fondées du fait que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.

2. Autres dispositions

Réglée rapidement : S’applique aux cas où l’affaire est réglée avant même qu’une enquête officielle ne soit entamée. Par exemple, si une personne dépose une plainte dont le sujet a déjà fait l’objet d’une enquête par le Commissariat et a été considéré conforme à la Loi sur la protection des renseignements personnels, nous expliquons la situation à cette personne. Il nous arrive également de recevoir des plaintes pour lesquelles une enquête officielle aurait pu avoir des conséquences défavorables pour la personne. En pareil cas, nous expliquons en détail la situation au plaignant. Si ce dernier décide de ne pas poursuivre l’affaire, le dossier est fermé et la plainte est considérée comme étant « réglée rapidement ».

Réglée en cours d’enquête : Le Commissariat a participé à la négociation d’une solution satisfaisant toutes les parties dans le cadre de l’enquête. Aucune conclusion n’est rendue.

Abandonnée : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons. Par exemple, le plaignant pourrait ne plus vouloir donner suite à l’affaire, ou ne plus être disponible pour fournir des renseignements supplémentaires essentiels pour arriver à une conclusion.

Annexe 2 — Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels

Annexe 3 — Demandes de renseignements, plaintes et enquêtes en vertu de la Loi sur la protection des renseignements personnels, du 1er avril 2009 au 31 mars 2010

Statistiques sur les demandes de renseignements

Demandes de renseignements liés à la Loi sur la protection des renseignements personnels reçues
Demandes téléphoniques 1 448
Demandes écrites (par courrier, courriel ou télécopieur) 1 124
Total 2 572
   
Demandes de renseignements généraux* reçues
Demandes téléphoniques 2 587
Demandes écrites (par courrier, courriel ou télécopieur) 281
Total   2 868
   
Réponses aux demandes de renseignements liés à la Loi sur la protection des renseignements personnels
Par téléphone 1 450
Par écrit (courrier, courriel ou télécopieur) 1 193
Total 2 643
   
Réponses aux demandes de renseignements généraux*
Par téléphone 2 586
Par écrit (courrier, courriel ou télécopieur) 292
Total   2 878

* Demandes de renseignements sur la protection des renseignements personnels ne pouvant être liés exclusivement à la Loi sur la protection des renseignements personnels ou à la Loi sur la protection des renseignements personnels et les documents électroniques.

Plaintes reçues par type de plainte

Plainte Nombre Pourcentage Total par type de plainte
Accès 239 36 Accès
251
Correction/annotation 10 1
Frais 2 <1
Délais 264 40 Délais
292
Avis de prorogation 28 4
Collecte 17 3 Protection des renseignements personnels
122
Utilisation et communication 98 15
Conservation et retrait 7 1
Total 665 100 665

Comme au cours des exercices précédents, les plaintes soumises au Commissariat concernaient le plus souvent l’accès aux renseignements personnels (un total de 251, soit 38 % de l’ensemble) et la durée que les ministères et organismes gouvernementaux prennent pour répondre aux demandes d’accès (292 au total, soit 44 de l’ensemble). Les plaintes liées à la protection des renseignements personnels, qui comprennent les enjeux de collecte, d’utilisation, de communication, de conservation et de retrait des renseignements personnels, représentent au total 122 plaintes ou 18 % de l’ensemble. On trouvera une définition des types de plaintes à l’annexe 1.

Les 10 institutions ayant fait l’objet du plus grand nombre de plaintes

Organisation Accès Délais Protection des renseignements personnels Total
Service correctionnel du Canada 69 192 29 290
Gendarmerie royale du Canada 37 10 13 60
Agence du revenu du Canada 12 22 15 49
Défense nationale 19 20 8 47
Service canadien du renseignement de sécurité 21 4 1 26
Agence des services frontaliers du Canada 17 3 6 26
Société canadienne des postes 8 2 13 23
Ressources humaines et Développement des compétences Canada 10 5 5 20
Citoyenneté et Immigration Canada 7 3 5 15
Justice Canada 3 8 0 11
Autres 44 23 31 98
Total 247 292 126 665

Le nombre de plaintes déposées au sujet d’une institution ne signifie pas nécessairement que ses pratiques ne sont pas conformes à la Loi sur la protection des renseignements personnels. En raison de leur mandat, certaines institutions détiennent une quantité considérable de renseignements personnels. Elles sont donc plus susceptibles de recevoir de nombreuses demandes d’accès à ces renseignements personnels, qui pourraient donner lieu à des plaintes subséquentes sur les pratiques de l’institution en matière de collecte, d’utilisation, de communication, de conservation et de retrait de renseignements personnels, et sur la manière dont l’institution donne accès à ces renseignements.

Plaintes reçues par institution

  Total
Administration portuaire de Toronto 1
Affaires étrangères et Commerce international Canada 9
Affaires indiennes et du Nord Canada 4
Agence de la santé publique du Canada 4
Agence des services frontaliers du Canada 26
Agence du revenu du Canada 49
Agriculture et Agroalimentaire Canada 1
Anciens Combattants Canada 2
Bibliothèque et Archives Canada 2
Centre d’analyse des opérations et déclarations financières du Canada 2
Citoyenneté et Immigration Canada 15
Commissariat à l’intégrité du secteur public 4
Commission canadienne des droits de la personne 1
Commission canadienne du blé 1
Commission de l’immigration et du statut de réfugié du Canada 2
Commission de la fonction publique 4
Commission des relations de travail dans la fonction publique 1
Commission nationale des libérations conditionnelles 8
Conseil de recherches en sciences humaines du Canada 2
Défense nationale 47
Diversification de l’économie de l’Ouest Canada 1
Énergie atomique du Canada limitée 2
Gendarmerie royale du Canada 60
Industrie Canada 2
Justice Canada 11
Parcs Canada 2
Patrimoine canadien 1
Pêches et Océans Canada 1
Ressources humaines et Développement des compétences Canada 20
Ressources naturelles Canada 3
Santé Canada 9
Secrétariat du Conseil du Trésor du Canada 3
Sécurité publique Canada 3
Service canadien du renseignement de sécurité 26
Service correctionnel du Canada 290
Service des poursuites pénales du Canada 1
Société canadienne des postes 23
Statistique Canada 7
Transports Canada 8
Travaux publics et Services gouvernementaux Canada 7
Total 665

Plaintes reçues par province ou territoire

Province ou territoire Total Pourcentage
Ontario 234 35
Colombie-Britannique 151 23
Québec 87 13
Alberta 58 9
Saskatchewan 50 8
Nouveau-Brunswick 41 6
Nouvelle-Écosse 14 2
Terre-Neuve-et-Labrador 10 1
Manitoba 9 1
International * 9 1
Territoires du Nord-Ouest 1 <1
Île-du-Prince-Édouard 1 <1
Total 665 100

* Les citoyens canadiens, les résidents permanents, les détenus des pénitenciers canadiens et les autres personnes « présentes au Canada » ont le droit d’accéder à leurs propres renseignements personnels. Ces personnes ont également le droit connexe de déposer une plainte au Commissariat s’ils se voient refuser l’accès à leurs renseignements personnels. Les Canadiennes et Canadiens vivant à l’étranger ont les mêmes droits en vertu de la Loi sur la protection des renseignements personnels que ceux qui vivent au Canada, notamment le droit de déposer une plainte au Commissariat, et certains d’entre eux ont choisi d’exercer ce droit en 2009-2010. Les dispositions des articles 4 à 8 de la Loi sur la protection des renseignements personnels, qui portent entre autres sur la collecte, l’utilisation, la communication des renseignements personnels, visent tous les individus au sujet desquels le gouvernement recueille des renseignements personnels, peu importe leur citoyenneté ou leur pays de résidence. Toute personne peut déposer une plainte au Commissariat à ce sujet.

Issue par type de plainte

Conclusion Autre disposition Total
  FondéeNote de bas de page 3 Non fondée Résolue Résolue rapidement ou réglée en cours d’enquête Abandonnée  
Accès Accès 64 263 27 90 86 530
Correction/Annotation 0 5 1 7 3 16
Frais 0 0 0 1 0 1
Langue 0 1 0 1 0 2
Délais Délais 253 15 0 13 13 294
Correction/Délais 2 0 0 0 0 2
Avis de prorogation 11 6 0 0 1 18
Protection des renseignements personnels Collecte 3 18 1 9 6 37
Conservation et retrait 4 4 2 2 2 14
Utilisation et communication 119 39 6 38 38 240
  Total 456 351 37 161 149 1 154

Accès : Nous avons fermé au total 549 dossiers de plaintes concernant l’accès aux renseignements personnels, ce qui représente environ la moitié (48 %) du nombre de dossiers clos au cours de l’exercice précédent. La moitié des plaintes, soit 269, se sont avérées non fondées au cours de l’enquête. Toutefois, 64 d’entre elles étaient fondées et dans 54 cas, l’institution concernée avait déjà accepté de résoudre l’affaire au moment où l’enquête est arrivée à terme. Dans 28 dossiers relatifs à l’accès, l’enquête a permis de déterminer que la plainte était fondée, mais l’affaire a été résolue au terme d’une négociation.

Délais : Les plaintes au sujet du temps que prennent les institutions pour répondre aux demandes d’accès aux renseignements personnels étaient les deuxième en nombre parmi les dossiers fermés cette année : 314 plaintes au total, soit 27 % du nombre de cas. Puisque les plaignants s’adressent à nous une fois que le délai prescrit pour répondre à leur demande est effectivement échu, 266 de ces plaintes (85 %) étaient fondées.

Protection des renseignements personnels : Les cas portant sur la collecte, l’utilisation, la communication, la conservation ou le retrait de renseignements personnels ont représenté collectivement 291 plaintes au sujet desquelles nous avons fait enquête cette année, soit environ le quart de l’ensemble. De ce nombre, 126 plaintes (ou 43 %) étaient fondées, l’utilisation ou la communication inappropriée de renseignements personnels étant en cause dans la majorité d’entre elles.

Issue des plaintes relatives aux délais par institution

Institution Fondée Non fondée Résolution rapide Réglée en cours d’enquête Abandonnée Total
Affaires étrangères et Commerce international 2 0 0 0 1 3
Agence canadienne d’inspection des aliments 3 0 0 0 0 3
Agence de la santé publique du Canada 1 0 0 0 0 1
Agence des services frontaliers du Canada 2 0 0 0 0 2
Agence du revenu du Canada 13 0 3 0 0 16
Bureau du Conseil privé 2 0 0 0 0 2
Citoyenneté et Immigration Canada 2 1 0 0 0 3
Commission nationale des libertés conditionnelles 0 2 0 0 0 2
Défense nationale 13 0 0 0 0 13
Énergie atomique du Canada limitée 0 0 0 0 2 2
Gendarmerie royale du Canada 6 3 0 0 1 10
Justice Canada 2 1 0 0 0 3
Parcs Canada 1 0 0 0 0 1
Patrimoine canadien 1 0 0 0 0 1
Ressources humaines et Développement des compétences Canada 6 1 0 0 0 7
Santé Canada 4 0 0 1 1 6
Secrétariat du Conseil du Trésor du Canada 0 2 0 0 0 2
Service canadien du renseignement de sécurité 2 2 0 0 0 4
Service correctionnel du Canada 202 7 7 2 5 223
Société canadienne des postes 2 0 0 0 4 6
Transports Canada 2 0 0 0 0 2
Travaux publics et Services gouvernementaux Canada 0 2 0 0 0 2
Total 266 21 10 3 14 314

Issue des plaintes relatives à l’accès ou à la protection des renseignements personnels par institution

Institution Fondée Note de bas de page 4 Non fondée Résolue Résolue rapidement Réglée en cours d’enquête Abandonnée Total
Administration canadienne de la sûreté du transport aérien 0 1 0 0 0 0 1
Administration portuaire de Toronto 1 0 0 0 0 0 1
Affaires étrangères et Commerce international 2 5 0 4 4 3 18
Affaires indiennes et du Nord Canada 1 5 0 1 1 0 8
Agence canadienne d’inspection des aliments 1 0 0 0 3 0 4
Agence des services frontaliers Canada 9 28 4 1 1 6 49
Agence du revenu du Canada 4 31 0 6 5 9 55
Agriculture et Agroalimentaire Canada 0 0 0 0 5 1 6
Anciens Combattants Canada 2 3 1 0 0 0 6
Bibliothèque et Archives Canada 0 4 0 1 0 0 5
Bureau de l’enquêteur correctionnel 0 1 0 0 0 0 1
Bureau du Conseil privé 0 1 1 0 0 0 2
Bureau du Directeur général des élections du Canada 1 0 0 0 0 0 1
Centre d’analyse des opérations et déclarations financières du Canada 0 1 1 0 1 0 3
Citoyenneté et Immigration Canada 2 12 1 1 2 2 20
Commissariat à l’information du Canada 0 0 0 0 0 2 2
Commissariat à l’intégrité du secteur public 0 0 0 0 4 1 5
Commission canadienne de sûreté nucléaire 1 1 0 0 0 0 2
Commission de l’immigration et du statut de réfugié du Canada 1 0 0 1 0 16 18
Commission de la fonction publique du Canada 1 0 1 0 0 5 7
Commission des plaintes du public contre la GRC 1 1 1 0 0 1 4
Commission des relations de travail dans la fonction publique 1 0 0 0 1 1 3
Commission nationale des libérations conditionnelles 0 5 0 3 0 1 9
Conseil de recherches en sciences humaines du Canada 0 1 1 0 0 0 2
Conseil national de recherches du Canada 0 1 0 0 0 0 1
Défense nationale 7 11 3 2 7 8 38
Diversification de l’économie de l’Ouest Canada 0 0 0 1 0 0 1
Environnement Canada 2 0 0 0 0 1 3
Exportation et développement Canada 1 0 0 0 0 0 1
Gendarmerie royale du Canada 13 76 10 9 10 14 132
Industrie Canada 0 2 0 0 0 0 2
Justice Canada 1 7 0 0 3 6 17
Marine Atlantique S.C.C. 0 1 0 0 0 0 1
Parcs Canada 0 0 0 1 0 0 1
Pêches et Océans 2 4 0 0 1 0 7
Ressources humaines et Développement des compétences Canada 88 13 3 3 6 12 125
Ressources naturelles Canada 1 2 0 1 0 0 4
Ridley Terminals Inc. 0 1 0 0 0 0 1
Santé Canada 2 2 0 1 0 5 10
Secrétariat du Conseil du Trésor du Canada 1 1 0 0 1 1 4
Sécurité publique Canada 1 3 0 1 0 0 5
Service canadien du renseignement de sécurité 0 32 0 3 0 5 40
Service correctionnel du Canada 38 52 9 18 25 25 167
Service des poursuites pénales du Canada 0 0 0 1 0 0 1
Société canadienne d’hypothèques et de logement 0 2 0 0 0 0 2
Société canadienne des postes 2 15 0 2 3 7 29
Société du Musée des sciences et de la technologie du Canada 1 0 0 0 0 0 1
Transports Canada 1 2 0 1 2 2 8
Travaux publics et Services gouvernementaux Canada 0 3 1 0 1 0 5
Tribunal de dotation de la fonction publique 1 0 0 0 0 1 2
Total 190 330 37 62 86 135 840

Durée de traitement des enquêtes faisant suite à des plaintes en vertu de la Loi sur la protection des renseignements personnels

Par type de plainte
Type de plainte Nombre de plaintes Durée moyenne (en mois)
Langue 2 20
Conservation/Retrait 14 20
Accès 530 18
Collecte 37 17
Utilisation/Communication 240 11
Correction/Annotation 16 9
Délais 294 5
Correction/Délais 2 4
Avis de prorogation 18 4
Frais 1 2
Moyenne pondérée   12,9
Par issue
Issue Nombre de plaintes Durée moyenne (en mois)
Fondée et résolue 56 22
Réglée en cours d’enquête 89 22
Abandonnée 149 21
Résolue 37 18
Non fondée 351 15
Fondée 400 6
Résolution rapide 72 3
Moyenne pondérée   12,9

La durée de traitement est mesurée à partir de la date où la plainte est reçue et jusqu’à la date où l’enquête trouve son issue, que ce soit par l’émission d’une conclusion ou par un autre moyen.

Au cours de la dernière année, l’élimination d’un arriéré de plaintes datant de plus d’un an a été une priorité majeure. Conséquemment, nous avons fermé 1 154 dossiers, une augmentation de 17 % par rapport aux 990 dossiers clos en 2008-2009. Malgré cette augmentation de la charge de travail, l’importance que nous accordons aux stratégies de résolution rapide nous a permis de réduire du tiers les délais de traitement moyens, qui sont passés de 19,5 mois en 2008-2009 à 12,9 mois en 2009-2010.

Date de modification :