Rapport annuel au Parlement 2009 concernant la Loi sur la protection des renseignements personnels et les documents électroniques

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3

613-947-1698, 1-800-282-1376
Télécopieur : 613-947-6850
ATS : 613-992-9190

© Ministre des Travaux publics et des Services gouvernementaux Canada 2010
N^o de catalogue IP51-1/2009

ISBN 978-1-100-51132-0

Cette publication se trouve également au www.priv.gc.ca.

---

Juin 2010

L’honorable Noël A. Kinsella, sénateur
Président
Sénat du Canada
Ottawa (Ontario) K1A 0A4

Monsieur,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada sur la Loi sur la protection des renseignements personnels et les documents électroniques pour la période s’échelonnant du 1^er janvier au 31 décembre 2009.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

---

Juin 2010

L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa (Ontario) K1A 0A6

Monsieur,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada sur la Loi sur la protection des renseignements personnels et les documents électroniques pour la période s’échelonnant du 1^er janvier au 31 décembre 2009.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

---

Message de la commissaire

En avril 2000, alors que je suis tombée par hasard sur un article du New York Times Magazine sur l’érosion de la vie privée à l’ère numérique, je me suis sentie profondément interpellée par la question du droit à la vie privée.

Cet article de l’éminent juriste américain Jeffrey Rosen décrivait en détail comment la technologie informatique donnait désormais un accès pratiquement illimité aux données personnelles.

Ce qui m’a frappé le plus, c’est l’impossibilité de supprimer de l’information, et l’illusion de confidentialité et de sécurité que nous continuons d’entretenir, malgré toutes les preuves du contraire.

Une semaine après avoir lu cet article, on m’a demandé de diriger la Commission d’accès à l’information du Québec, où j’étais responsable de faire appliquer la loi provinciale sur la protection des renseignements personnels. J’ai sauté sur l’occasion de travailler dans un domaine aussi stimulant et important.

Dix ans plus tard, les risques d’atteinte à la vie privée ne sont que plus nombreux. L’appel à l’action lancé par Jeffrey Rosen, dans cet article qui m’avait ouvert les yeux aux défis du monde numérique, est d’autant plus pressant aujourd’hui :

On nous apprend à croire que toute dissimulation est une forme d’hypocrisie. Mais peut-être sommes-nous sur le point d’apprendre ce qui est en jeu dans une culture de transparence — la capacité de créer, d’excentricité, d’épanouissement personnel et spirituel, de compréhension, d’amitié et même d’amour. L’érosion de la vie privée dans le cyberespace n’a rien d’inévitable — tout comme sa reconstruction n’a rien d’inévitable. Nous pouvons reconstruire certains des espaces privés que nous avons perdus. Tout ce qu’il nous faut, c’est la volonté de le faire.^{Note de bas de page 1} [traduction]

En faisant le bilan des travaux effectués par le Commissariat à la protection de la vie privée pour protéger les espaces privés des Canadiennes et des Canadiens, je suis extrêmement fière de nos réalisations.

Même si les intrusions dans notre vie privée sont considérables à l’ère numérique, nous avons su leur tenir tête. Nous sommes prêts à prendre position de manière ferme quand c’est nécessaire, mais je pense que notre approche raisonnable et flexible au sujet de la vie privée a fait notre réputation.

À plusieurs égards, l’année 2009 a été marquante pour le Commissariat.

Le nombre d’enquêtes marquées par les nouvelles technologies a connu une croissance exponentielle. Il semble clair que les enjeux technologiques auront une influence dominante sur nos travaux pour les années à venir.

Notre enquête au sujet d’une plainte de grande envergure contre Facebook a trouvé un écho partout au monde. Et ce n’est là que l’exemple le plus visible des travaux que nous avons entrepris en 2009 pour faire face aux défis que nous lancent les nouvelles technologies, Internet et un monde de plus en plus branché.

Nouvelles technologies

Je suis frappée par la vitesse avec laquelle les percées technologiques ont transformé nos vies — et avant tout la manière dont nous communiquons.

Il est difficile de se rappeler que le réseautage social tel qu’on le connaît n’existait pas au début de mon mandat. Aujourd’hui, Facebook compte à lui seul 400 millions d’utilisateurs, un nombre qui augmente chaque jour.

En 2003, nous ne gazouillions pas sur Twitter, nous n’affichions pas nos photos et nos vidéos sur Flickr et You Tube, nous ne faisions pas de ballades virtuelles sur Google Street View, et nous ne suivions pas nos déplacements sur Loopt et Foursquare.

En l’espace de peu d’années, on dirait que même le téléphone est tombé en désuétude. Une collègue me décrivait récemment la réaction d’horreur de sa fille quand elle lui a suggéré d’appeler une de ses amies. « Franchement, Maman! Appeler les gens, ça ne se fait plus. Maintenant, on leur envoie un texto. »

Il est de plus en plus évident que si les autorités de protection des données veulent demeurer efficaces, ils doivent faire partie du monde virtuel. Et c’est là en effet que le Commissariat tourne de plus en plus son attention.

En 2009, à la suite de notre enquête exhaustive sur les politiques et pratiques de gestion des renseignements personnels de Facebook, le géant mondial du réseautage social a apporté nombre de changements pour répondre à nos préoccupations. Nous suivrons la mise en œuvre de ces changements au cours de l’année 2010 afin de nous assurer qu’ils sont conformes à l’entente.

Nous sommes également intervenus pour faire face aux risques envers la vie privée lies à d’autres genres d’applications technologiques, telles que l’imagerie à l’échelle de la rue, et l’inspection approfondie des paquets qui permet aux fournisseurs de services Internet de voir à l’intérieur des paquets numériques qui composent un message ou une transmission par un réseau, afin par exemple de détecter des virus ou du pourriel. À la suite de nos interventions, Google Street View et Canpages, deux services qui permettent de faire des visites virtuelles à 360 degrés de certains quartiers canadiens, ont tous deux accepté d’apporter certaines modifications afin de mieux respecter le droit des Canadiennes et des Canadiens à la vie privée.

À la fin de l’année, nous avons reçu une nouvelle plainte à l’égard de Facebook, ainsi que des plaintes au sujet d’un autre site de réseautage social, d’un site de rencontres en ligne et de quelques détaillants sur Internet. Les enjeux de protection de la vie privée en ligne auront manifestement une place prépondérante dans nos travaux en 2010.

Le monde branché et les technologies en général seront sans contredit à l’origine de la majorité des nouveaux enjeux de vie privée pour les années à venir.

Nous avons déjà réagi à cette tendance en accueillant davantage d’experts en technologie parmi nos rangs. Cette équipe de spécialistes offrira son soutien à nos travaux d’enquête et de réponse aux demandes de renseignements, en plus de fournir conseils et recommandations à l’appui des vérifications, des examens d’évaluations des facteurs relatifs à la vie privée, et des examens de projets de lois et de modifications proposées aux politiques.

Nous avons également commencé à nous interroger sur la manière dont nous pourrions faire face de manière plus active aux enjeux de vie privée en ligne.

Nous devons également nous pencher sur nos lois en matière de protection des renseignements personnels et nos structures administratives pour nous assurer qu’elles sont en mesure de suivre la cadence des percées technologiques.

Dans l’ensemble, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique aisément, même à des technologies et des modèles d’entreprise qui n’existaient pas quand elle est entrée en vigueur. Il demeure toutefois important de nous assurer qu’elle continue à faire face aux défis qui découlent des nouvelles tendances.

Circulation transfrontière des données

Le Canada ne peut pas exister en vase clos. La conjoncture internationale joue un rôle de plus en plus critique dans la protection de la vie privée à l’intérieur des frontières canadiennes.

Dans ce monde branché qui est le nôtre, mon mandat national de protéger les renseignements personnels des Canadiennes et des Canadiens exige une approche tournée vers le monde. On ne peut plus protéger la vie privée au sein d’un seul pays à la fois — la circulation internationale des données est trop grande, les technologies évoluent trop rapidement et les défis juridictionnels sont trop importants.

Les défis liés à la vie privée qui découlent d’Internet ont une incidence mondiale; il faut donc pour leur faire face adopter une stratégie mondiale et des solutions mondiales.

La circulation transfrontière des données est un point de mire depuis le tout début de mon mandat. Je me préoccupe depuis longtemps des risques auxquels font face les Canadiennes et les Canadiens quand leurs renseignements personnels se retrouvent dans des pays où le régime de protection juridique est faible ou inexistant. En outre, les enjeux de vie privée qui traversent les frontières peuvent soulever des questions de compétence et donner lieu à des enquêtes beaucoup plus complexes.

Pour faire face aux défis croissants, nous avons participé de manière enthousiaste à de nombreuses initiatives visant à élaborer des solutions mondiales aux enjeux de vie privée.

En 2009, j’ai eu l’honneur d’être invitée à diriger un groupe de volontaires qui offre son soutien à la planification d’une série d’événements venant souligner le 30^e anniversaire des Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel. La LPRPDE est plus proche de ces lignes directrices que tout autre texte de loi au monde.

Le besoin d’adopter des normes internationales de protection des renseignements personnels est une cause qui m’est chère, depuis le début de mon mandat. Je demeure convaincue que nous ne pourrons jamais protéger efficacement les renseignements personnels des Canadiennes et des Canadiens à moins d’élaborer une solution mondiale à cet égard.

Établir une présence en région

Tisser des liens plus forts avec les Canadiennes et les Canadiens peu importe où ils vivent et peu importe où ils travaillent a été une autre de mes priorités. Je tiens à faire en sorte que le Commissariat à la protection de la vie privée n’est pas perçu comme étant replié sur Ottawa ou comme n’étant pas au courant des problématiques à l’extérieur de la région de la capitale nationale.

C’est peut-être parce que j’ai moi-même été à la tête d’une organisation provinciale que j’ai toujours vu l’importance de créer des liens plus forts avec les collègues des provinces et les autres parties intéressées d’un bout à l’autre du pays.

Il y a quelques années, le Parlement a reconnu notre besoin de créer une présence plus forte en région et nous a accordé un financement en conséquence. Plusieurs initiatives sont en cours au Commissariat à cet égard.

En Saskatchewan, par exemple, nous collaborons avec le commissaire à l’information et à la protection des renseignements personnels à nombre de projets, y compris l’élaboration d’outils destinés aux coopératives de crédit et aux petites entreprises.

Nous avons également embauché un nouveau conseiller principal à la recherche et à l’engagement pour représenter le Commissariat dans le Canada atlantique. Son travail de sensibilisation vise à habiliter les personnes et les entreprises commerciales de la région à protéger et à favoriser le droit à la vie privée.

Récemment, nous avons commencé à explorer des moyens d’établir une présence plus opportune dans la région de Toronto, là où se brasse une bonne part des affaires au Canada. Les deux tiers des plaintes que nous recevons à l’égard des organisations du secteur privé mettent en cause des entreprises dont le siège social est en Ontario.

Au cours des dernières années, nous avons également renforcé notre collaboration avec nos homologues provinciaux, en particulier ceux des provinces dotées de leur propre loi visant le secteur privé. Nous avons entre autres mené des enquêtes communes et élaboré conjointement de nombreux documents d’orientation destinés aux entreprises.

Renforcer le Commissariat à la protection de la vie privée du Canada

Je suis fière de reconnaître que l’un des plus grands défis qui m’attendaient quand je me suis jointe au Commissariat en 2003 a bel et bien été relevé. Ma nomination est arrivée à un moment où l’organisation commençait à se remettre d’une période très difficile.

Une bonne partie de mon travail au cours des premières années a été consacrée à remettre le Commissariat sur les rails après une période tumultueuse marquée par des crises administratives, financières et organisationnelles. Nous avons mis en œuvre un nouveau cadre de gestion organisationnelle et financière solide.

Les quatrième et cinquième années ont été une période de consolidation — notre organisation renouvelée a su démontrer son efficacité.

Nous avons pu ramener pleinement notre attention là où elle devrait être, c’est-à-dire vers notre mandat de protéger le droit à la vie privée de l’ensemble de la population canadienne. Nous menons des enquêtes révolutionnaires et trouvons des moyens novateurs de prendre contact avec les personnes et les entreprises.

Les parlementaires font appel de plus en plus à nos conseils, nous recevons des demandes d’allocution de partout au pays et notre participation à des discussions sur la scène internationale est constamment sollicitée. Tout cela m’amène à croire que nous sommes un défenseur crédible et respecté du droit des Canadiennes et des Canadiens à la vie privée.

Conclusion

À titre de commissaire à la protection de la vie privée, je suis confiante que le Commissariat accomplit un travail important qui a un effet tangible et positif sur la vie des Canadiennes et des Canadiens.

Je continue de m’inscrire en faux contre ceux et celles qui nous répètent que la vie privée n’existe plus à notre époque d’exhibitionnisme virtuel. Mon opinion entre en résonnance avec celles des nombreux Canadiens et Canadiennes qui communiquent avec le Commissariat.

La vie privée comme concept évolue avec les générations; il n’y a rien de nouveau à cela.

Les personnes de ma génération consignaient leurs secrets dans des journaux intimes cachés sous le matelas. Plusieurs jeunes d’aujourd’hui vident leur âme sur Internet et s’exposent aux regards du monde entier.

Bien que les notions qui entourent la vie privée soient toujours en mutation, le concept même de la vie privée continue d’avoir une importance primordiale, même pour ceux et celles qui se révèlent autant en ligne. La sphère du privé sera toujours un pivot des sociétés démocratiques, où l’on s’attend à ce que la personne soit respectée et sa dignité, protégée.

J’avoue que les défis de plus en plus complexes qui se dressent devant le droit à la vie privée me tiennent éveillée la nuit et que j’ai du mal à comprendre ce désir de rendre publique une si grande part de sa vie privée.

Cela étant dit, je demeure fondamentalement optimiste au sujet de l’avenir de la vie privée, en sachant que les gens ont à cœur ce droit fondamental.

Un des grands privilèges d’être commissaire à la vie privée, c’est d’avoir l’occasion de rencontrer des Canadiennes et des Canadiens de partout au pays. Au fil des ans, j’ai été marquée par la grande passion avec laquelle tant de gens — jeunes et moins jeunes — parlent du besoin de protéger leur vie privée. Je me souviens notamment de combien il a été gratifiant de recevoir tant de courriels et d’appels de félicitations après avoir publié les résultats de notre enquête sur Facebook. Je ne pense pas que le Commissariat n’ait jamais été témoin d’une telle réaction de la part du public. Ce fut certes très émouvant.

La vie privée demeure une valeur importante. Les Canadiennes et les Canadiens — et des millions d’autres personnes à travers le monde — s’attendent à ce qu’elle soit respectée.

À titre de commissaire à la protection de la vie privée du Canada, j’ai l’honneur et l’immense plaisir de côtoyer de nombreuses personnes remplies de talents et dévouées à la défense du droit à la vie privée, tant au Commissariat qu’à l’extérieur.

L’équipe relativement petite du Commissariat à la protection de la vie privée du Canada a su accomplir de grandes réalisations, en travaillant d’arrache-pied et en faisant preuve d’une passion contagieuse. Je tiens à saluer le dévouement des employés du Commissariat, maintenant comme au premier jour.

Je ne saurais passer sous silence le leadership exemplaire de la commissaire adjointe Elizabeth Denham en ce qui concerne les enjeux touchant le secteur privé. Elle a mené d’une main de maître les travaux du Commissariat dans le contexte de l’application de la LPRPDE au monde branché. En renforçant nos liens avec la communauté des affaires, où elle est reconnue comme étant juste et réceptive, la commissaire adjointe Denham a amélioré les connaissances générales au sujet des obligations en vertu de la LPRPDE et elle s’est faite la championne du signalement des atteintes à la protection des données. Elle comprend parfaitement le besoin de joindre les intéressés partout où ils se trouvent dans notre vaste pays et de travailler étroitement avec les commissaires provinciaux. Elle est intervenue de manière très efficace afin de rehausser notre présence dans les régions du Canada. Son approche pragmatique nous a valu de nombreux succès.

La vie privée mérite encore et toujours d’être défendue. Je suis profondément reconnaissante envers ceux qui partagent cet idéal et qui travaillent à leur manière pour faire en sorte que la protection de la vie privée et des renseignements personnels demeure une valeur déterminante au Canada.

Sommaire

Introduction

Le leitmotiv de notre travail en 2009 a été la protection de la vie privée dans un monde de plus en plus branché et sans frontières.

L’enquête sur Facebook, qui a suscité l’attention du public plus que toute autre enquête dans l’histoire du Commissariat, en est un bon exemple.

Cette enquête a été pour nous un travail de longue haleine en raison de sa grande envergure et de ses enjeux infiniment complexes, dont certains aspects étaient très techniques. Nous avions également affaire à une multinationale dont le siège social était aux États Unis.

Étant donné que le temps que les personnes passent de plus en plus de temps en ligne, nous prévoyons recevoir un nombre croissant de plaintes contre des organisations en ligne. À mesure que le monde numérique abaisse les frontières entre les pays, un plus grand nombre de plaintes mettront en cause des organisations établies à l’étranger.

Données sans frontières

Nous vivons dans un monde où les données arrivent de partout et parcourent le globe dans toutes les directions.

Ces afflux de renseignements personnels faisant le tour du monde ne feront qu’augmenter à mesure qu’un nombre croissant de personnes utiliseront des technologies de l’information et des communications.

À ce jour, il y a près de 1,5 milliard d’utilisateurs d’Internet. On s’attend à ce qu’un autre milliard de personnes, dont un grand nombre proviendront de pays comme la Chine, l’Inde et le Brésil, fasse de même au cours des dix prochaines années.

Le besoin d’une norme internationale relative à la protection de la vie privée est évident, compte tenu de la circulation transfrontière des données et de l’omniprésence des technologies de l’information et des communications. Dans ce monde sans frontières, nous devrons adopter une approche concertée pour assurer la protection des renseignements personnels.

En 2009, le Commissariat a collaboré avec plusieurs organisations et participé à de nombreuses initiatives afin de trouver une solution internationale en matière de protection de la vie privée, notamment l’Organisation de coopération et de développement économiques, la Coopération économique Asie Pacifique, la Conférence internationale des commissaires à la protection des données et de la vie privée, et l’Organisation internationale de normalisation.

Répondre aux besoins de la population canadienne

Les activités de la Direction des enquêtes et des demandes de renseignements sont une des manières les plus importantes dont nous aidons les Canadiennes et Canadiens.

En 2009, nous avons traité 5 095 nouvelles demandes de renseignements sur des enjeux qui relèvent de la LPRPDE. Ces demandes faites par écrit ou par téléphone traitaient de toutes sortes de sujets : par exemple, certaines personnes souhaitaient connaître la façon de procéder pour demander à une organisation d’avoir accès à des renseignements personnels, ou encore savoir si une organisation en particulier avait le droit de recueillir une empreinte numérique.

Nous avons observé qu’un nombre croissant de personnes se tournent vers notre site Web pour se renseigner sur les enjeux liés à la protection de la vie privée. En 2009, nous avons élaboré beaucoup de contenu et de nombreux outils pour notre site Web, dont des formulaires de plainte, des rapports d’atteinte à la protection des renseignements personnels et une multitude de fiches d’information et de documents d’orientation pour les entreprises.

Le Commissariat a reçu 231 nouvelles plaintes liées à la LPRPDE nécessitant une enquête en 2009, ce qui représente une baisse par rapport aux 422 plaintes reçues l’année précédente.

Cette baisse s’explique en partie par le fait que nous invitons les personnes à essayer de régler leurs différends directement avec les organisations avant de déposer une plainte officielle. Nous constatons que de nombreux problèmes peuvent être résolus rapidement et d’une manière satisfaisante pour les plaignants potentiels.

Nos enquêtes ont porté sur un grand éventail d’enjeux : la collecte et l’utilisation en ligne de renseignements personnels, la surveillance secrète effectuée par des entreprises d’enquête privées, la surveillance dans le milieu de travail par l’entremise de caméras vidéo et d’appareils de positionnement, entre autres, et la collecte de renseignements figurant sur le permis de conduire par des détaillants.

Nous avons résolu 587 plaintes en 2009, une hausse importante par rapport aux 412 résolues l’année précédente. Grâce à nos efforts concertés, nous avons réussi à éliminer l’arriéré de plaintes, ce qui nous permettra de régler les plaintes beaucoup plus rapidement à l’avenir.

Nous nous réjouissons que de nombreuses organisations du secteur privé aient signalé volontairement des atteintes à la protection des renseignements personnels au Commissariat. Nous avons reçu 58 rapports en la matière en 2009. C’est moins que l’année précédente, lorsqu’un grand nombre de courtiers en hypothèques nous ont signalé des atteintes à la protection des renseignements personnels.

Protéger la vie privée dans un environnement changeant

Nous avons continué à insister sur la nécessité que les lois tiennent compte des nouvelles menaces à la protection des renseignements personnels.

Nous avons salué l’adoption des modifications au Code criminel visant à combattre le vol d’identité.

Un projet de loi important pour contrer les pourriels, la Loi sur la protection du commerce électronique, a également été présenté et nous espérons qu’il sera adopté prochainement. À l’heure actuelle, le Canada est le seul pays du G8 qui ne possède pas de loi contre les pourriels.

Ce projet de loi comprend également des modifications législatives qui permettraient au Commissariat d’échanger davantage de renseignements sur les pourriels et autres enjeux liés à la vie privée avec ses homologues provinciaux et étrangers qui veillent au respect de lois semblables à la LPRPDE. Il donnerait également au commissaire un plus grand pouvoir discrétionnaire dans l’acceptation de plaintes et l’abandon d’enquêtes.

De nouvelles technologies mettent parfois à l’épreuve les lois en matière de protection des renseignements personnels, ce qui a été également le cas en 2009. Notamment, des sites de réseautage social et des applications d’imagerie à l’échelle de la rue ont fait ressortir de nouvelles méthodes de collecte et d’utilisation de renseignements personnels.

Nous avons constaté que la LPRPDE — une loi fondée sur des principes et neutre sur le plan technologique — semble avoir la latitude nécessaire pour orienter les utilisations commerciales de nouvelles technologies.

Tandis que nos préoccupations liées au réseautage social ont été abordées dans le cadre de nos enquêtes, nous avons adopté une approche proactive pour traiter de la question de l’imagerie à l’échelle de rue dans le cadre d’une série de discussions avec Google Street View et Canpages. Ces discussions ont abouti à de meilleures mesures de protection de la vie privée sur les deux sites Web.

Nous avons également travaillé longuement sur l’enjeu de l’inspection approfondie des paquets, à la fois dans le cadre d’une enquête exhaustive et de présentations au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC). De plus, nous avons créé un site Web mettant en valeur une série d’essais sur l’inspection approfondie des paquets rédigés par des universitaires et des professionnels reconnus dans le domaine des télécommunications, du droit, de la protection de la vie privée, des libertés civiles et de l’informatique. Le projet résulte de la volonté de mieux comprendre une technologie pouvant être utile à la gestion du trafic sur le réseau, à la publicité comportementale et à l’application de la loi. Nous espérons que le site favorisera un dialogue sur les conséquences de l’inspection approfondie des paquets pour la protection des renseignements personnels.

La protection de la vie privée en chiffres

Le Commissariat à la protection de la vie privée du Canada en 2009

Demandes de renseignements liées à la LPRPDE reçues	5 095
Plaintes liées à la LPRPDE reçues	231
Enquêtes liées à la LPRPDE résolues	587
Lois et projets de loi examinés sous l’angle de leurs effets sur la protection de la vie privée	12
Politiques et initiatives du secteur privé examinées	15
Documents d’orientation stratégique produits	19
Rapport de recherche produits	7
Témoignages faits devant des comités parlementaires	18
Autres activités menées auprès de parlementaires ou de leur personnel	69
Discours prononcés et présentations données	148
Intervenants externes reçus en visite officielle	32
Ententes de contributions établies	12
Contrats de recherche conclus	7
Appels de fichiers sur le site Web du Commissariat Appels de fichiers sur le blogue du Commissariat Total	1 695 564 488 829 2 184 393
Publications distribuées	13 689
Entrevues accordées aux médias	327
Communiqués et fiches d’information diffusés	24

Nota : Sauf indication contraire, ces données font également référence à des activités menées en vertu de la Loi sur la protection des renseignements personnels, qui sont décrites dans un rapport annuel distinct.

Enjeu clé : Données sans frontières

Nous vivons dans un monde où une multitude de renseignements nous concernant — adresse, date de naissance, numéros de carte de crédit, renseignements financiers, habitudes de consommation, etc. — parcourent le globe sans arrêt.

Des percées majeures dans le domaine des technologies de l’information et des communications font en sorte que la circulation transfrontière des données ne fait plus exception.

Un exemple tiré de la vraie vie figurant dans un rapport de 2009 sur la protection internationale des données montre à quel point la circulation des données est répandue et complexe.

Un spécialiste du marketing en Espagne utilise des critères créés par un fournisseur d’analyses en Inde afin d’élaborer une liste de clients à partir d’un système de gestion mondiale de relations avec les clients aux États Unis. La liste de clients est transmise à un centre d’appels au Mexique qui communique avec les consommateurs de l’Espagne. Enfin, les résultats de cette campagne de télémarketing sont renvoyés aux États-Unis pour mettre à jour le système de gestion des clients^{Note de bas de page 2}.

Cette campagne de marketing a entraîné à elle seule la communication de données personnelles entre quatre pays sur trois continents. Les renseignements personnels de cette seule opération sont assujettis aux lois — et aux régimes de protection des renseignements personnels très différents — de chacun de ces pays.

Nos renseignements personnels sont communiqués quotidiennement à l’extérieur du pays dans le cadre d’un grand nombre de nos propres activités courantes.

Lorsque nous envoyons un courriel, faisons une recherche dans Internet ou effectuons des achats en ligne, nos renseignements personnels pourraient se trouver dans des bases de données situées dans des pays dont le régime de protection de la vie privée est moins rigoureux que le nôtre.

Et lorsque nous fournissons nos renseignements par téléphone pour recevoir un appel de service à domicile ou pour obtenir du soutien technique, il est de plus en plus probable que la personne avec qui nous faisons affaire se trouve à l’autre bout du monde.

Ces changements transforment la nature de notre travail. Par exemple, nous avons reçu des plaintes de la population canadienne contre des entreprises en ligne qui n’ont aucune présence physique au Canada, sinon une présence très restreinte. L’enquête sur Facebook en est l’exemple le plus notable jusqu’à maintenant, mais ce n’est pas le seul.

Notre message aux entreprises reste le même : si vous offrez des produits et services en ligne au Canada, vous devez vous assurer de le faire dans le respect des lois canadiennes sur la protection des renseignements personnels.

Le fait que nous recevons un nombre croissant de plaintes concernant plusieurs administrations nous a amenés à examiner de nouvelles façons de collaborer davantage avec les organismes de réglementation en matière de protection de données des provinces et d’autres pays.

On dit que « de plus en plus, les renseignements personnels seront au cœur du commerce au 21^e siècle^{Note de bas de page 3} [traduction] ». Manifestement, ce cœur est alimenté de partout dans le monde.

Parallèlement, un nombre croissant de données personnelles sont communiqués entre le secteur privé et les gouvernements dans la lutte contre le terrorisme et les crimes transnationaux comme la fraude et le blanchiment d’argent.

Lorsque les renseignements personnels circulent entre les pays, les personnes concernées peuvent perdre une partie de leur droit à la vie privée, comme la capacité de demander accès à leurs renseignements afin d’en assurer la confidentialité ou de demander des corrections à une autorité de protection de données.

Sur la scène internationale

De plus en plus, la seule façon de protéger la vie privée des Canadiennes et Canadiens est de travailler de concert avec d’autres pays afin d’assurer une protection adéquate des renseignements personnels dans le monde entier.

Les affaires internationales sont une priorité majeure pour le Commissariat depuis plusieurs années. Nous collaborons avec de nombreuses organisations internationales afin de trouver des solutions globales aux problèmes de protection des renseignements personnels.

Il est important de participer à ces efforts pour de nombreuses raisons : l’établissement de normes rigoureuses est essentiel pour garantir le droit à la vie privée des Canadiennes et des Canadiens; notre participation nous permet d’avoir une incidence sur les résultats; notre propre modèle de protection des données — qui repose sur une approche flexible fondée sur des principes — gagne à être mieux connu par les autres pays et les organismes internationaux.

En 2008, le Groupe consultatif sur le financement et la surveillance des hauts fonctionnaires du Parlement a formulé une recommandation, approuvée par le Conseil du Trésor, selon laquelle le Commissariat devait avoir des ressources supplémentaires pour soutenir son travail sur la scène internationale, ce qui constitue une reconnaissance importante de la nécessité d’élaborer une réponse mondiale aux enjeux changeants en matière de protection de la vie privée.

Les gouvernements, les organismes de réglementation de la protection des données et de protection des consommateurs ainsi que les multinationales dans le monde entier reconnaissent l’urgence d’adopter une approche mondiale.

Cette reconnaissance a abouti à la mise en œuvre d’un certain nombre d’initiatives — anciennes et nouvelles — visant à élaborer une réponse internationale afin de mieux protéger la circulation mondiale de renseignements personnels.

La recherche de solutions mondiales n’est pas sans embûches.

Rapprocher des pays ayant des approches différentes peut s’avérer difficile. Même sur notre propre continent, les trois plus grands pays ont des traditions juridiques très différentes en ce qui a trait à la protection de la vie privée.

Le Commissariat a pris part au dialogue international dans le but d’établir une protection de base équivalente partout dans le monde qui tienne compte de nos différences juridiques et culturelles.

Certaines de nos contributions aux discussions internationales sur la protection de la vie privée sont décrites ci-dessous.

Organisation de coopération et de développement économiques

L’organisation de coopération et de développement économiques (OCDE) joue un rôle de premier plan dans l’élaboration de solutions aux problèmes liés à la protection des renseignements personnels et à la sécurité au niveau mondial. Les activités du Groupe de travail de l’OCDE sur la sécurité de l’information et la vie privée visent à faire en sorte que la circulation de l’information partout dans le monde est protégée de manière adéquate et à favoriser la collaboration des autorités chargées de l’application de la loi.

Nous collaborons de près avec Industrie Canada, qui représente le gouvernement du Canada auprès de l’OCDE, pour s’assurer que nous appuyons l’important travail de l’Organisation.

Les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’OCDE auront 30 ans en 2010. L’OCDE prévoit tenir une série d’activités au cours de l’année pour souligner l’anniversaire des Lignes directrices et entreprendre des discussions afin de déterminer si elles doivent être révisées.

La commissaire Stoddart a été chargée de diriger un groupe de volontaires qui aidera l’OCDE à planifier ces activités. Le Commissariat participera à l’ébauche d’un document de travail qui décrira le nouvel environnement de la protection de la vie privée et cernera les enjeux liés à la protection des renseignements personnels au 21^e siècle. De plus, nous prendrons part à l’organisation de deux ateliers et d’une conférence qui auront lieu en octobre 2010 dans le voisinage immédiat de la Conférence internationale des commissaires à la protection des données et de la vie privée.

Les Lignes directrices de l’OCDE, auxquelles la LPRPDE fait directement écho, ont résisté à l’épreuve du temps, et nous anticipons avec plaisir notre participation à ces activités en 2010.

Coopération économique Asie-Pacifique

D’importants efforts ont été déployés par la Coopération économique Asie Pacifique (APEC) dans la mise en œuvre de son cadre de protection de la vie privée. Nous croyons qu’il est essentiel que le Canada prenne part aux discussions de l’APEC sur les enjeux en matière de protection de la vie privée. Nous avons la responsabilité de veiller à la protection des renseignements personnels de la population canadienne peu importe où ils circulent, et ils circulent de plus en plus vers nos voisins d’Asie Pacifique.

Les 21 membres de l’APEC — qui représentent plus de 40 % de la population mondiale et la moitié des activités commerciales et économiques de la planète — possèdent des institutions économiques, sociales et juridiques qui en sont à des niveaux de développement très différents. Le Canada, la Nouvelle Zélande, l’Australie et Hong Kong ont des régimes de protection de la vie privée plus ou moins comparables, mais la majorité des économies de l’APEC ne sont pas régies par des lois en la matière.

La plus grande partie du travail effectué par le Sous-groupe de protection de données de l’APEC est axé sur l’élaboration de règlements transfrontières en matière de protection des renseignements personnels afin de régir la circulation de renseignements d’un pays à l’autre. En particulier, le Commissariat a collaboré à l’élaboration d’un cadre visant à simplifier la coopération entre les autorités chargées de l’application de la loi.

Le processus de l’APEC est important, car il met les économies membres qui ne possèdent pas de régime de protection de la vie privée au courant des principes et des concepts qui leur seront utiles lors de l’élaboration de lois nationales.

Organisation internationale de normalisation

L’établissement de normes liées à la protection des renseignements personnels pour régir l’utilisation et le déploiement de technologies nouvelles et existantes a fait l’objet de nombreux débats et discussions sur la scène internationale dans les milieux de la normalisation et de la protection des données.

L’Organisation internationale de normalisation (ISO) avait annoncé qu’elle comptait faire avancer ce travail par la création d’un groupe de travail sur la gestion de l’identité et les technologies de protection de la vie privée en 2006.

Le Commissariat a participé activement aux efforts déployés par l’ISO relativement à la conception et à la mise à jour de normes et de lignes directrices abordant l’aspect de la sécurité en ce qui a trait à la gestion de l’identité, à la biométrie et à la protection des renseignements personnels.

Les principaux projets de l’ISO en 2008 2009 visaient notamment à élaborer des cadres de gestion de l’identité et de protection de la vie privée de même qu’à cerner les exigences de futures normes et lignes directrices pour certaines technologies permettant d’accroître la protection de la vie privée.

Un membre de la haute gestion du Commissariat préside le Comité consultatif canadien qui alimente ce travail international, ainsi que la délégation canadienne du groupe de travail de l’ISO responsable de la gestion de l’identité et des technologies de protection de la vie privée. De plus, il est l’agent de liaison chargé de présenter les observations de la Conférence internationale des commissaires à la protection des données et de la vie privée à ce groupe de travail de l’ISO.

L’initiative espagnole

Lors de la 31^e Conférence internationale des commissaires à la protection des données et de la vie privée, les autorités de protection des données de partout dans le monde ont souscrit à un projet de norme internationale relative à la protection de la vie privée. L’élaboration de cette norme a été dirigée par le commissaire espagnol, Artemi Rallo Lombarte.

Ce projet a été mis au point par un groupe de travail international composé de représentants de divers milieux, dont la commissaire adjointe Elizabeth Denham.

La conclusion d’une entente sur les principes généraux de protection des données est un premier pas important vers la création d’une approche harmonisée en la matière. La norme prouve qu’il est possible de s’entendre sur des principes de haut niveau.

The Accountability Project

The Accountability Project (Projet responsabilité) examine ce que signifie pour une organisation d’être responsable des renseignements personnels qu’elle recueille et la façon dont elle peut rendre des comptes aux autorités de protection des données et à la population.

La responsabilité est au cœur de la LPRPDE. La commissaire adjointe Elizabeth Denham a participé dans le cadre de ce projet à des discussions qui nous ont aidés à mieux cerner le sens de ce concept.

Les discussions ont également permis de rapprocher des entreprises multinationales et des autorités de protection des données du monde entier — deux groupes qui ne communiquaient pas assez entre eux par le passé. Ce fut une occasion d’avoir une vue d’ensemble et de réfléchir à l’avenir.

Lors de la conférence des commissaires à la protection des données de 2009, Le Center for Information Policy Leadership, qui a son siège aux États-Unis, et la Commission nationale de l’informatique et des libertés (CNIL), l’autorité de protection des données française, ont annoncé la deuxième partie de ce projet, qui sera terminée en 2010. Il s’agit d’un travail international important et nous participerons à la deuxième phase.

Francophonie

Le Commissariat continue à participer aux activités de l’Association francophone des autorités de protection de données personnelles, qui représente les autorités de protection des données francophones de partout dans le monde.

À la fin de 2009, la commissaire adjointe Chantal Bernier a assisté à la troisième conférence internationale de l’Association francophone à Madrid, en Espagne, au cours de laquelle elle a présenté un exposé sur la protection des données personnelles dans un contexte de mondialisation.

En novembre 2009, nous avons publié un rapport faisant le survol de l’approche canadienne en matière de protection de la vie privée. Pour ce rapport, nous avons collaboré avec les commissariats à la protection de la vie privée des deux provinces francophones du Canada : la Commission d’accès à l’information du Québec et le Bureau de l’ombudsman du Nouveau Brunswick. Le rapport a été distribué aux membres de l’Association francophone.

Déclaration de Montevideo

La protection de la vie privée des jeunes est une priorité du Commissariat. En juillet, nous avons travaillé avec le groupe de Montevideo en ce qui a trait à la protection de la vie privée en ligne des jeunes des Amériques.

Le groupe a réuni des experts de divers pays de l’Amérique latine ayant adopté la Déclaration de Montevideo, qui énonce des lignes directrices pour aider les législateurs, les ministères et les organismes gouvernementaux, les entreprises et les établissements d’enseignement en Amérique latine à élaborer des politiques, des pratiques et des programmes ayant comme objectif la protection de la vie privée des jeunes sur Internet.

En décembre 2009, nous avons pris part au lancement officiel de la Déclaration de Montevideo, qui a eu lieu au Mexique.

Au cours des dernières années, nous avons créé des liens étroits avec les personnes travaillant dans le domaine de la protection des renseignements personnels en Amérique latine. Nous nous engageons à collaborer davantage avec elles afin de promouvoir le droit à la vie privée des jeunes.

Autres initiatives internationales

Nous observons un nombre croissant d’initiatives qui pourraient un jour avoir une incidence sur la protection de la vie privée dans le monde entier.

Par exemple, le Partenariat nord américain pour la sécurité et la prospérité, conclu entre le Canada, les États Unis et le Mexique, a un comité qui examine de quelle façon la protection des renseignements personnels qui circulent entre les pays nord-américains peut favoriser le commerce et la croissance économique.

Pendant ce temps, la Commission européenne a entrepris l’examen d’un cadre européen de protection des données qui pourrait entraîner des changements importants au modèle européen et nous rapprocher de notre but de créer une approche mondiale harmonisée.

En 2009, le Commissariat a accepté des invitations à participer à des réunions du Groupe de travail Article 29 qui conseille la Commission européenne sur la protection et la sécurité des données. Dans un des cas, nos homologues européens souhaitaient obtenir les observations du Commissariat et de nos homologues québécois sur l’application des lois fédérales et provinciales au travail de l’Agence mondiale antidopage dont le siège est à Montréal. Nous avons également été invités à assister à des audiences organisées par nos homologues européens sur des enjeux de protection de la vie privée liés aux moteurs de recherche. Ces réunions ont été pour nous une occasion de mieux comprendre ce qui se fait en Europe et de renseigner nos homologues européens sur la façon dont le Canada compose avec les problèmes posés par la circulation transfrontière des données.

Des changements semblent aussi être en train de s’effectuer aux États Unis. Le nouveau directeur du Bureau de la protection du consommateur de la Federal Trade Commission des États-Unis (FTC) a affirmé qu’il est temps que l’organisme revoie sa mission en matière de protection de la vie privée et établisse un nouveau cadre pour aborder les enjeux liés à la protection des renseignements personnels. David Vladeck, nommé en 2009, a défendu une vision selon laquelle la protection des données n’est pas seulement une question de protection contre les atteintes aux consommateurs, mais bien un enjeu qui rejoint la dignité humaine et le droit à la vie privée.

Nous surveillerons de près le travail accompli aux États Unis étant donné les répercussions que ces efforts pourraient avoir sur la protection de la vie privée des Canadiennes et des Canadiens.

Application concertée de la loi

Une autre façon notable dont les organismes de réglementation de la protection des données composent avec l’expansion de la circulation transfrontière des renseignements est en travaillant de concert, tant au Canada qu’à l’étranger.

Le Commissariat a établi d’étroites relations de travail avec les provinces qui ont leurs propres lois sur la protection des renseignements personnels applicables au secteur privé. Nous avons mené des enquêtes conjointes et conclu un protocole d’entente sur la coopération et la collaboration dans le domaine des politiques, de l’application de la loi et de la sensibilisation du public en matière de protection des renseignements personnels dans le secteur privé avec les commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie Britannique.

Nous collaborons régulièrement avec nos homologues des provinces pour faire en sorte que nous adoptons, dans la mesure du possible, une approche harmonisée pour faire face aux enjeux.

C’est pourquoi nous avons collaboré avec nos homologues provinciaux en vue de l’élaboration de documents d’orientation à l’intention des entreprises sur des sujets comme la collecte de renseignements figurant sur le permis de conduire.

Nous avons également lancé des initiatives concertées de sensibilisation à l’intention du public et des organisations. Par exemple, nous travaillons en partenariat avec notre homologue de la Saskatchewan afin d’élaborer des outils de protection de la vie privée pour les coopératives de crédit et les petites entreprises qui tiennent compte des leçons tirées dans les autres provinces et territoires. Dans le cadre de ce travail, le Commissariat, en collaboration avec le Commissariat à l’information et à la protection de la vie privée de la Saskatchewan, travaille au développement d’un site Web qui affichera l’image de marque des deux commissariats, afin de fournir des renseignements aux coopératives de crédit et aux petites et moyennes entreprises de la Saskatchewan et de communiquer avec eux.

Nous avons constaté que nous pouvons en faire davantage au Canada lorsque nous travaillons en partenariat. À l’avenir, nous aimerions transposer cette expérience à nos efforts sur la scène internationale.

Coopération internationale

À l’heure actuelle, notre capacité de travailler en collaboration avec nos homologues à l’étranger en ce qui concerne l’application de la loi est limitée par les dispositions de la LPRPDE qui limitent les renseignements que nous pouvons communiquer. Toutefois, cette situation pourrait changer prochainement.

La Loi sur la protection du commerce électronique déposée à la Chambre des communes en avril 2009 prévoyait des dispositions anti-pourriel très attendues (consulter la page 77 pour plus de détails), et aurait accru la capacité du Commissariat d’échanger des renseignements avec ses homologues provinciaux et étrangers qui appliquent des lois semblables à la LPRPDE, ce qui nous permettrait de mener nos enquêtes de manière plus efficace. À la suite de la prorogation du Parlement à la fin de 2009, ce projet de loi sera peut-être déposé de nouveau et adopté pendant la prochaine session, une mesure que nous appuierions.

Nous espérons pouvoir collaborer à des enquêtes futures, et nous avons déjà commencé à travailler de concert avec des organisations internationales par d’autres moyens.

En 2009, par exemple, nous avons suivi la conclusion d’une poursuite judiciaire intentée par la FTC, poursuite au cours de laquelle nous avons déposé des observations à l’appui de la position de la FTC dans le cadre du processus d’appel. L’affaire concernait un courtier américain de données en ligne, Abika.com, dont certaines activités au Canada enfreignaient nos lois. Le Commissariat a obtenu la permission de présenter un mémoire d’amicus curiae (un mémoire écrit pour guider le tribunal dans son processus décisionnel) dans le cadre d’une procédure devant la United States Tenth Circuit Court of Appeals. Nous avons également réussi à conclure notre enquête sur Abika.com grâce aux renseignements fournis par la FTC. (Consulter les pages 47 et 94 pour plus de détails.)

Futures orientations mondiales

De nombreuses idées ont été lancées en vue d’élaborer des normes internationales et de favoriser une coopération plus étroite, et il sera intéressant de voir le fruit de ces efforts à long terme.

Jusqu’à maintenant, nous avons constaté que les avantages tirés de l’accroissement du dialogue entre les divers groupes — autorités chargées de la protection des données, universitaires, entreprises et défenseurs du droit à la vie privée — sont immenses.

L’idéal serait de mettre au point une seule approche mondiale, mais la réalisation de cet objectif sera difficile. Pour l’instant, nous devrions demeurer disposés à accepter une combinaison d’approches qui tiennent compte de la divergence des valeurs sociales et culturelles.

Le plus important sera de reconnaître les éléments communs à nos différentes approches et d’établir des liens entre elles afin de mieux protéger la vie privée dans le monde entier.

Enjeu clé : Des risques persistent à la suite d’atteintes dans le secteur des courtiers en prêts hypothécaires

Des préoccupations en matière de protection de la vie privée concernant certains courtiers en prêts hypothécaires ont attiré notre attention lorsqu’une série de courtiers de l’Ontario ont signalé au Commissariat des atteintes concernant les renseignements personnels de centaines de personnes.

Dans chacune des 14 atteintes à la vie privée qui nous ont été signalées en l’espace de quelques mois vers le milieu de 2008, quelqu’un qui se faisait passer pour un agent en prêts hypothécaires chevronné téléchargeait des rapports de solvabilité de personnes qui n’avaient jamais présenté de demande de prêt hypothécaire.

Les rapports de solvabilité, qui renferment une mine de renseignements personnels, intéressent les criminels, car ils peuvent être utilisés dans la fraude d’identité. Ces rapports peuvent inclure notamment la date de naissance, le numéro d’assurance sociale et les détails des opérations et des paiements de crédit.

Les organismes d’application de la loi ont ouvert des enquêtes sur les vols allégués commis par un petit nombre d’agents malintentionnés. (Étant donné que ces enquêtes sont en cours, nous ne pouvons pas fournir de détails sur les activités criminelles alléguées.)

Compte tenu de la nature sérieuse et systémique des incidents, la commissaire à la protection de la vie privée a déterminé qu’il y avait des motifs raisonnables pour effectuer une vérification des pratiques de gestion des renseignements personnels de certains courtiers en prêts hypothécaires en vertu de l’article 18 de la LPRPDE.

Nous avons vérifié les pratiques de cinq courtiers en prêts hypothécaires établis en Ontario qui avaient signalé plusieurs atteintes à la protection des renseignements personnels. La vérification visait à évaluer la mesure dans laquelle les courtiers en question avaient élaboré et mis en œuvre des politiques et des procédures qui protégeaient suffisamment les renseignements personnels.

Les courtiers en prêts hypothécaires avaient pris quelques mesures satisfaisantes; toutefois, notre vérification a fait ressortir de nombreuses préoccupations résiduelles importantes qui exposaient les renseignements des clients — ainsi que ceux de nombreuses personnes n’ayant aucun lien avec les courtiers — au risque.

Nous avons conclu que les entreprises n’avaient pas mis en place les contrôles technologiques nécessaires pour donner le signal d’alarme dans le cas d’activités suspectes. Nous avions également des préoccupations concernant, entre autres, la sécurité, l’entreposage désordonné de documents renfermant des renseignements personnels, l’insuffisance du consentement obtenu des clients, une mauvaise connaissance de la protection de la vie privée en général et un manque de responsabilité en ce qui a trait à la protection des renseignements personnels.

Contexte

Les courtiers et leurs agents offrent des produits, des taux et des contrats aux personnes souhaitant obtenir un prêt hypothécaire, et agissent en tant qu’intermédiaires entre les personnes et les prêteurs, y compris les banques et les coopératives de crédit.

Les courtiers en prêts hypothécaires sont un secteur important en pleine croissance de l’industrie de l’hypothèque au Canada. Un sondage de 2009 de la Société canadienne d’hypothèques et de logement a indiqué que les courtiers en prêts hypothécaires avaient effectué le quart des opérations hypothécaires et que 44 % des acheteurs d’une première maison ont eu recours aux services d’un courtier en prêts hypothécaires pour obtenir du financement.

Les courtiers et les agents utilisent une grande quantité de renseignements personnels lorsqu’ils offrent des produits hypothécaires aux clients. Dans le cadre d’une demande de prêt hypothécaire, ils recueillent des renseignements personnels comme le nom, l’adresse, le numéro de téléphone, la date de naissance, le numéro d’assurance sociale, l’état matrimonial, les personnes à charge, l’emploi, le revenu, les actifs et les dettes.

Certains de ces renseignements servent à obtenir de l’information sur la solvabilité de la personne faisant la demande de prêt hypothécaire. Les courtiers et les agents achètent des rapports de solvabilité d’agences d’évaluation du crédit afin de déterminer l’admissibilité d’une personne à un prêt hypothécaire.

La demande de prêt hypothécaire et les renseignements du rapport de solvabilité sont communiqués aux prêteurs et parfois aux assureurs de prêts hypothécaires.

Dans le cadre de notre vérification, nous avons examiné de près les politiques, les systèmes, les contrôles administratifs et les mesures de sécurité mis en œuvre par cinq courtiers en prêts hypothécaires franchisés situés en Ontario, ainsi que les sièges sociaux de quatre courtiers nationaux situés à Toronto et à Vancouver. (Un des courtiers examinés était indépendant et n’avait donc pas de siège social.)

Dans le cadre de notre travail, nous avons rencontré des représentants de l’Association canadienne des conseillers hypothécaires accrédités, de l’Independent Mortgage Broker’s Association of Ontario et de la Commission des services financiers de l’Ontario. Nous avons également discuté avec des responsables de l’application de la loi.

Conclusions de la vérification

Dans le cadre de la vérification, nous avons constaté que les atteintes à la vie privée découlaient du non-respect par les courtiers en prêts hypothécaires de leurs responsabilités aux termes des lois canadiennes sur la protection des renseignements personnels. La LPRPDE stipule que les organisations doivent protéger les renseignements qu’elles recueillent contre la communication non autorisée. Cependant, les courtiers n’avaient pas en place les contrôles adéquats pour restreindre ou surveiller autrement l’accès aux rapports de solvabilité et leurs processus d’embauche manquaient de rigueur — laissant ainsi la porte ouverte à l’accès non autorisé à ces renseignements.

Depuis la constatation des atteintes, les courtiers en prêts hypothécaires faisant l’objet de la vérification ont resserré leurs pratiques d’embauche. Ils n’avaient pas toutefois mis en œuvre les contrôles appropriés pour limiter ou surveiller l’accès aux rapports de solvabilité.

La vérification a fait ressortir des lacunes importantes liées à l’outil Web que les courtiers utilisent pour obtenir des rapports de solvabilité. Les auteurs des atteintes à la vie privée étaient des agents en prêts hypothécaires malintentionnés qui ont téléchargé de manière inappropriée des centaines de rapports de solvabilité qui n’étaient pas nécessaires à des fins de prêt. Plusieurs mois après que les atteintes ont eu lieu, les courtiers en prêts hypothécaires n’étaient pas encore en mesure de surveiller des activités jugées suspectes ou de restreindre le nombre de rapports de solvabilité pouvant être téléchargés par un agent.

Nous avons également des préoccupations concernant le manque de politiques, de procédures et de formation globales liées à la protection de la vie privée. Les courtiers en prêts hypothécaires qui ont fait l’objet de la vérification avaient atteint différents niveaux de conformité en matière de protection de la vie privée, mais aucun d’entre eux n’avait entièrement respecté ses obligations en vertu de la LPRPDE.

Principales constatations et recommandations

I. Protection des renseignements personnels

Les organisations assujetties à la LPRPDE doivent protéger les renseignements personnels dont elles sont responsables en mettant en place des mesures de sécurité qui sont proportionnelles au degré de sensibilité. Nous avons constaté des lacunes dans plusieurs domaines.

Les risques liés aux renseignements personnels n’avaient pas été évalués

Aucun des courtiers n’avait entrepris une évaluation de la menace ou du risque afin de déterminer les dangers, d’établir les risques associés, et de recommander des mesures d’atténuation pour corriger les lacunes.

Une telle évaluation et la prise de mesures donnant suite aux recommandations auraient pu aider ces organisations à respecter leurs obligations en matière de sécurité aux termes de la LPRPDE. En l’absence d’une évaluation de la menace et du risque, ces organisations n’ont pas pu démontrer qu’elles avaient cerné les risques associés à la sécurité et pris les mesures d’atténuation qui s’imposaient.

Sécurité physique de niveau variable

Nous avons constaté que le niveau de sécurité des cinq courtiers en prêts hypothécaires était variable.

Certains courtiers en prêts hypothécaires n’avaient aucun système d’alarme pour protéger leurs locaux — pas même celui qui nous a dit qu’un commerce dans le voisinage avait été cambriolé.

Tous les courtiers sauf un avaient des murs extérieurs robustes et sûrs autour de leurs locaux. Toutefois, aucun d’entre eux n’avait de murs intérieurs solides qui entourent les bureaux individuels, y compris au-delà de leurs plafonds suspendus. Cela augmentait le risque d’un accès non autorisé, puisqu’une personne aurait pu retirer une tuile du plafond dans un secteur et passer par-dessus le mur pour accéder aux pièces voisines.

Lacunes dans l’entreposage de documents

Une partie des courtiers que nous avons examinés utilisaient des classeurs sécurisés, alors que d’autres entreposaient leurs dossiers dans des classeurs déverrouillés ou les empilaient sur le plancher ou sur des bureaux accessibles à tous. Un des courtiers entreposait son surplus de dossiers dans un stationnement non sécurisé.

En plus des dossiers sur support papier, tous les courtiers en question conservent la version électronique des demandes de prêt hypothécaire, des rapports de solvabilité et des feuilles de calcul. Les réseaux informatiques sur lesquels sont conservés les demandes de prêt hypothécaire et les rapports de solvabilité étaient protégés par des mots de passe et des logiciels antivirus; toutefois, aucun de ces réseaux n’avait été mis à l’essai pour déceler la présence de vulnérabilités.

Contrôle inadéquat de l’accès aux rapports de solvabilité

Les courtiers et agents en hypothèques utilisaient un outil Web pour obtenir des rapports de solvabilité qui servent à évaluer la santé financière des clients qui souhaitent se procurer des produits hypothécaires.

Comme nous l’avons mentionné précédemment, les atteintes à la protection des renseignements personnels résultaient du téléchargement par des agents malintentionnés d’un grand nombre de rapports de solvabilité concernant des personnes qui n’avaient même pas présenté de demande de prêt hypothécaire. Ce problème est passé inaperçu pendant un certain temps.

En testant l’outil Web, nous avons constaté que des mesures étaient en place pour limiter l’accès au système de production de rapports de solvabilité. Le système était chiffré et nécessitait un mot de passe pour ouvrir une session.

Cependant, nous étions très préoccupés par l’absence d’un système proactif qui surveillerait et signalerait les activités suspectes. De plus, en raison des limites de l’outil sur le Web, il était impossible de restreindre le nombre de rapports de solvabilité que les agents pouvaient télécharger.

Ces types de contrôles sont chose commune dans d’autres industries. Par exemple, de nombreuses organisations qui offrent à leurs employés des cartes de crédit professionnelles ont recours à des contrôles pour surveiller les achats, limiter les dépenses et en faire le suivi — ce qui permet de réduire les possibilités de fraude.

L’absence de contrôles signifiait que les courtiers n’avaient que deux façons de déceler l’accès inapproprié au système de production de rapports de solvabilité. La première était l’examen du journal d’exploitation — un processus fastidieux qui exige une expertise technique. La deuxième est la surveillance des activités des agents par la vérification des factures des agences d’évaluation du crédit associées aux rapports de solvabilité téléchargés. Autrement dit, un problème ne pouvait être constaté qu’après coup.

En ce qui concerne les atteintes signalées au Commissariat, les courtiers ont découvert les vols soupçonnés de différentes façons. Dans certains cas, les agences d’évaluation du crédit ont noté des activités suspectes et en ont avisé les courtiers. Dans d’autres, des personnes ayant demandé de recevoir leur rapport de solvabilité ont remarqué qu’une vérification de la solvabilité non autorisée avait été effectuée et ont signalé le problème aux courtiers. Enfin, certains courtiers se sont rendu compte du problème après avoir reçu des factures étrangement élevées pour des demandes de rapports de solvabilité.

Nos vérifications ont également soulevé des préoccupations au sujet de la duplication de fichiers renfermant des renseignements personnels. Lorsqu’un rapport de solvabilité est consulté par voie électronique, une copie de ce rapport est conservée dans le dossier « temporaire » de l’ordinateur du demandeur. Si le contenu de ce dossier n’est pas supprimé, le rapport de solvabilité demeure dans l’ordinateur.

Bien que nous n’ayons pas constaté de cas où ces copies auraient entraîné une atteinte à la protection des renseignements personnels, il s’agit d’un risque réel si les ordinateurs sont partagés ou si les rapports de solvabilité sont consultés sur des ordinateurs publics (p. ex. dans un cybercafé ou une bibliothèque). Un autre problème découle du fait que les ordinateurs contenant des copies de rapports pourraient être jetés sans qu’on prenne la précaution nécessaire d’effacer le disque dur : une personne pourrait ainsi facilement avoir accès à des renseignements personnels de nature très sensible.

Recommandations en matière de sécurité

Les courtiers en prêts hypothécaires examinés devraient s’assurer que :

• des mesures de sécurité physique adéquates sont en place, comme des alarmes et des classeurs pouvant être verrouillés;
• des mesures supplémentaires sont prises pour protéger les rapports de solvabilité et pour limiter le nombre de rapports pouvant être téléchargés.

II. Détermination des fins, collecte, consentement, utilisation, conservation et communication

Les organisations assujetties à la LPRPDE doivent respecter certains principes relatifs à l’équité dans le traitement de l’information. Elles doivent notamment :

• déterminer clairement les fins auxquelles les renseignements personnels sont recueillis avant la collecte ou au moment de celle ci;
• obtenir le consentement de la personne concernée pour la collecte, l’utilisation et la communication de renseignements personnels;
• limiter la collecte aux renseignements nécessaires aux fins déterminées;
• utiliser et communiquer des renseignements personnels uniquement aux fins auxquelles ils ont été recueillis;
• ne conserver les renseignements personnels qu’aussi longtemps que nécessaire.

Nous avons trouvé des lacunes dans tous ces domaines lorsque nous avons examiné les politiques sur la protection de la vie privée, les accords de consentement et les procédures des courtiers en prêts hypothécaires.

Les politiques sur la protection de la vie privée n’étaient pas toujours assez détaillées

Les politiques sur la protection de la vie privée sont des documents importants qui guident la façon dont une organisation protège les renseignements personnels dont elle est responsable. Elles informent également les clients et les clients potentiels de l’utilisation que l’organisation fera de leurs renseignements personnels.

Deux des sièges sociaux que nous avons examinés possédaient des politiques sur la protection de la vie privée très détaillées sur leurs sites Web. Par contre, la politique sur la protection de la vie privée affichée sur le site Web d’un autre des courtiers n’expliquait pas assez en profondeur la façon dont les courtiers en prêts hypothécaires géraient les renseignements personnels. De plus, le lien vers la politique sur la protection de la vie privée sur la page des conditions de service ne fonctionnait pas. Les deux autres courtiers avaient des politiques sur la protection de la vie privée, mais elles n’étaient pas affichées en ligne et les clients n’y avaient pas accès.

Collecte excessive de renseignements personnels

Les courtiers en prêts hypothécaires recueillent divers renseignements personnels pour vérifier l’identité d’un client potentiel, dont le numéro de permis de conduire, les renseignements figurant sur l’acte de naissance et le numéro d’assurance sociale.

Le numéro d’assurance sociale est souvent utilisé par les courtiers en prêts hypothécaires pour différencier les clients ayant un nom similaire. Toutefois, ce numéro n’est pas nécessaire pour vérifier la solvabilité d’une personne, et la loi n’oblige pas sa collecte dans le cadre d’une demande de prêt hypothécaire.

Nous avons constaté que les formulaires de demande de prêt hypothécaire n’indiquaient pas que le numéro d’assurance sociale est facultatif. Nous sommes d’avis que le numéro d’assurance sociale ne devrait pas servir de moyen d’identification général et qu’il ne devrait être utilisé qu’aux fins prévues par la loi.

Le consentement n’était pas toujours obtenu avant la collecte

La LPRPDE stipule que, pour que le consentement soit valable, les fins auxquelles les renseignements personnels seront recueillis, utilisés et communiqués doivent être clairement énoncées. Un consentement explicite est nécessaire si les renseignements sont de nature sensible.

Afin d’obtenir un prêt hypothécaire pour leurs clients, les courtiers doivent communiquer les renseignements personnels de ces derniers aux agences d’évaluation du crédit et aux prêteurs.

Nous avons constaté que même si les courtiers demandent à leurs clients de consentir par écrit à ce qu’ils aient accès à leurs rapports de solvabilité, parfois, les agents obtiennent un consentement verbal puis demandent aux clients de donner leur consentement par écrit après coup. Nous avons également eu affaire à des cas où les rapports de solvabilité avaient été produits avant l’obtention du consentement, et d’autres où aucun document ne permettait d’attester qu’un consentement avait été obtenu.

Les clients ne pouvaient pas refuser l’utilisation secondaire de leurs renseignements personnels

Les formulaires de consentement que nous avons examinés indiquaient que les renseignements personnels pouvaient également servir à des fins de marketing et d’autres utilisations secondaires et ne donnaient pas aux clients l’option de refuser les utilisations secondaires de leurs renseignements.

Trois courtiers en prêts hypothécaires nous ont expliqué que des renseignements personnels comme le nom et le numéro de téléphone peuvent être communiqués à des agents immobiliers, des planificateurs financiers et d’autres fournisseurs de services sous la forme de listes d’acheteurs potentiels. Les formulaires de consentement permettaient également l’utilisation de renseignements personnels à des fins de marketing comme l’envoi de bulletins et de cartes d’anniversaire aux clients.

Les demandes de prêts hypothécaires refusées ne devraient pas être conservées plus longtemps que nécessaire

La loi exige que les courtiers conservent les dossiers liés aux demandes de prêt hypothécaire approuvées pendant une période déterminée, ce qui n’est pas le cas des demandes refusées.

Cela étant dit, les formulaires de consentement pour les prêts hypothécaires indiquaient souvent que les dossiers pouvaient être conservés pendant une période précise, et ce, même si le prêt hypothécaire n’avait pas été approuvé par un prêteur. Les formulaires de consentement de quatre courtiers énonçaient que les agents peuvent conserver et utiliser les renseignements personnels pendant sept ans suivant la présentation de la demande. Un des courtiers a affirmé avoir comme politique de détruire les demandes de prêt hypothécaire dans les six mois, mais une vérification de ses dossiers a montré que cette politique n’était pas respectée. Le formulaire du cinquième courtier indiquait que les documents étaient conservés pendant trois ans.

Aucun des courtiers n’a réussi à prouver la nécessité de conserver des demandes refusées pendant de longues périodes.

Les pratiques de retrait doivent être renforcées

La vérification a également soulevé des préoccupations concernant le retrait des renseignements personnels.

Tous les courtiers possédaient des déchiqueteuses. Toutefois, sauf une exception, ces déchiqueteuses coupaient les documents en bandes, ce qui ne les détruit pas de manière adéquate. Rien ne nous permet de supposer que les déchiqueteuses étaient toujours utilisées, ni que les courtiers et les agents qui conservaient des dossiers chez eux les détruisaient comme il se doit.

Nous avons constaté un cas où un courtier avait réutilisé le verso d’anciennes demandes de prêt hypothécaire pour imprimer de nouvelles demandes. Cette façon de faire pourrait facilement entraîner la communication de renseignements personnels d’un client à une personne inappropriée.

Recommandations relatives à la « détermination des fins »

Les courtiers en prêts hypothécaires vérifiés :

• ne devraient pas avoir recours à la collecte régulière et la conservation de renseignements personnels (p. ex. numéros d’assurance sociale), à moins que cela soit nécessaire pour réaliser les fins déterminées conformément à la loi;
• devraient être en mesure de démontrer que les clients ont consenti à la collecte de leurs renseignements personnels, informer les clients de la communication et des utilisations potentielles de leurs renseignements et obtenir le consentement explicite pour les utilisations secondaires de ces renseignements;
• devraient élaborer et mettre en œuvre des politiques et des procédures en ce qui a trait à la conservation des renseignements personnels.

III. Responsabilité en matière de protection de la vie privée

Les organisations assujetties à la LPRPDE sont responsables des renseignements personnels qu’elles recueillent. Elles doivent également désigner clairement un responsable de la protection des renseignements personnels et du respect des lois en la matière.

La vérification a fait ressortir plusieurs préoccupations.

Les courtiers en prêts hypothécaires connaissaient mal les rôles en matière de protection de la vie privée

La LPRPDE stipule que les organisations qui recueillent des renseignements personnels doivent désigner clairement un responsable de la protection de la vie privée. De nombreuses organisations qui gèrent des renseignements personnels possèdent un responsable de la protection de la vie privée qui agit comme principale personne-ressource en ce qui a trait à la protection de la vie privée.

Tous les courtiers examinés avaient un responsable de la protection de la vie privée; cependant, peu de personnes semblaient au courant des responsabilités associées à ce poste. De nombreux agents ne connaissaient pas le nom du responsable de la protection de la vie privée, ni à qui adresser leurs questions à ce sujet.

Dans un des cas, un courtier franchisé nous a dit que le responsable de la protection de la vie privée de l’organisation se trouvait au siège social de la maison de courage, alors qu’en réalité, la politique indiquait que cette fonction revenait au courtier/propriétaire lui-même.

Les courtiers et les agents ne recevaient aucune formation sur leurs responsabilités en matière de protection de la vie privée

La LPRPDE stipule que les employés doivent être informés des pratiques et des politiques en matière de protection de la vie privée; pourtant, aucun des agents des maisons de courtage en prêts hypothécaires faisant l’objet de la vérification n’avait reçu une formation officielle et continue sur les pratiques en matière de protection de la vie privée propres à l’entreprise, ni sur ses responsabilités en vertu de la loi.

Les courtiers ont signalé des atteintes à la vie privée

Aucun des courtiers en prêts hypothécaires n’avait en place des politiques officielles de déclaration des atteintes à la vie privée au moment des vols soupçonnés. Toutefois, ils ont communiqué avec le Commissariat afin de déterminer des moyens de restreindre et d’atténuer les atteintes, et ont contacté les personnes touchées. En cours de vérification, un des courtiers a élaboré une politique officielle de déclaration des atteintes à la protection des renseignements personnels.

Les processus d’embauche sont maintenant plus rigoureux

Les courtiers en prêts hypothécaires ont considérablement resserré leurs processus d’embauche après le signalement des atteintes auprès du Commissariat.

Depuis 2008, en vertu de la Loi de 2006 sur les maisons de courtage d’hypothèques, les prêteurs hypothécaires et les administrateurs d’hypothèques, toute personne physique ou morale qui mène des activités de courtage en prêts hypothécaires en Ontario doit posséder un permis émis par la Commission des services financiers de l’Ontario. Pour obtenir ce permis, les courtiers et les agents doivent suivre un cours, réussir un examen et faire l’objet d’une vérification des antécédents criminels.

Avant les atteintes, les courtiers se fondaient principalement sur des entrevues, la connaissance du domaine par le candidat et les références pour embaucher un employé. Ils n’auraient pas nécessairement contacté les prêteurs avec lesquels le candidat faisait affaire. Un des courtiers ne vérifiait pas toujours si le candidat possédait un permis auprès de la Commission des services financiers de l’Ontario.

Depuis les atteintes, un des courtiers a commencé à s’assurer qu’un gestionnaire régional rencontre tous les candidats et qu’un cadre supérieur du siège social approuve tous les nouveaux employés. Ce même courtier exige que tous les agents soient officiellement membres de l’Association canadienne des conseillers hypothécaires accrédités. Deux des courtiers ont commencé à vérifier toutes les références.

De nombreux courtiers, par précaution, ont décidé de prendre d’autres mesures en vue de restreindre l’accès des nouveaux agents au logiciel de production des rapports de solvabilité. Par exemple, un des courtiers interdit aux nouveaux employés l’accès au logiciel en question pendant au moins 90 jours.

Recommandations en matière de responsabilisation

Les courtiers en prêts hypothécaires examinés devraient :

• désigner clairement un responsable de la formation en matière de protection de la vie privée et du suivi de la conformité à la LPRPDE;
• élaborer et mettre en œuvre des politiques et des procédures en matière de protection de la vie privée afin d’assurer le respect des principes de la LPRPDE, y compris des renseignements qui expliquent les politiques et procédures de l’organisation en matière de traitement de l’information;
• faire en sorte que leur personnel reçoit une formation sur les politiques et procédures organisationnelles, ainsi que sur leurs responsabilités en vertu de la LPRPDE;
• s’assurer que les courtiers en prêts hypothécaires et les clients savent que ces politiques existent et qu’ils y ont accès facilement.

Réponse des courtiers faisant l’objet de la vérification

Nous avons envoyé une version préliminaire de notre rapport de vérification à quatre des cinq courtiers en question; le cinquième ne travaille plus dans le domaine des prêts hypothécaires.

Les quatre courtiers ont indiqué qu’ils comptaient mettre en œuvre toutes nos recommandations.

Conclusion

Le Commissariat remercie les courtiers en prêts hypothécaires de leur collaboration pendant la vérification. Dans l’ensemble, ils ont soutenu notre travail et étaient ouverts et réceptifs à nos recommandations.

Les courtiers en prêts hypothécaires ont souligné que leur préoccupation principale était le service offert aux clients et la croissance de leur entreprise. Un grand nombre des problèmes concernant la protection de la vie privée que nous avons soulevés, en particulier pour ce qui est des procédures et pratiques connexes, ne leur étaient jamais venus à l’esprit, tout simplement.

Afin de combler ce manque d’information, le Commissariat travaille maintenant auprès d’associations de courtiers en prêts hypothécaires afin d’élaborer des documents d’orientation qui aideront les courtiers à respecter leurs obligations en matière de protection de la vie privée et qui informeront les Canadiennes et Canadiens des façons de s’assurer que les courtiers en prêts hypothécaires utilisent leurs renseignements personnels de manière appropriée.

Répondre à la population canadienne : Enquêtes sur les plaintes et demandes de renseignements

Pour le Commissariat, les enquêtes les plus importantes sont celles qui aboutissent à des changements ayant une incidence réelle sur la vie de tous les jours des Canadiennes et Canadiens et sur leur droit à la vie privée.

Étant donné que le temps que les gens passent en ligne ne cesse d’augmenter, il est de plus en plus évident qu’une grande partie de l’attention du Commissariat doit viser Internet. En effet, un nombre croissant de nos enquêtes examinent la façon dont les lois sur la protection des renseignements personnels s’appliquent au monde virtuel.

En 2009, nous avons notamment effectué une enquête exhaustive de Facebook, un site de réseautage social qui a attiré des millions d’utilisateurs canadiens. À la fin de l’enquête, Facebook s’était engagée à effectuer des changements qui offriraient de meilleures mesures de sécurité aux utilisateurs au Canada et à l’étranger. Nous suivrons de près la mise en œuvre des changements promis en 2010.

L’enquête sur Facebook n’était qu’une des nombreuses enquêtes traitant des répercussions de l’évolution rapide des technologies sur la protection de la vie privée. Nous avons également examiné l’utilisation de diverses technologies dans le cadre de nos enquêtes sur des sujets comme la surveillance secrète, la surveillance en milieu de travail, les applications d’imagerie à l’échelle de la rue et l’inspection approfondie des paquets.

Demandes de renseignements

Les agents chargés des demandes de renseignements ont toujours eu l’immense responsabilité d’être le premier point de contact des Canadiennes et Canadiens avec le Commissariat. Ils répondent aux questions, expliquent de quelle façon les lois sur la protection des renseignements personnels peuvent s’appliquer — ou non — à des situations précises et aident les personnes à mieux comprendre le mandat et le rôle du Commissariat.

Au cours de 2009, nous avons traité 5 095 nouvelles demandes de renseignements sur des enjeux relevant de la LPRPDE, soit environ 425 par mois. Il s’agit d’une baisse de 20 % par rapport aux 6 344 demandes de renseignements reçues l’année précédente.

Il semble qu’un plus grand nombre de personnes consultent notre site Web au lieu de nous appeler ou de nous écrire lorsqu’elles cherchent des renseignements sur des enjeux liés à la protection de la vie privée. Nous avons affiché sur notre site Web de nouveaux guides de référence et de nouvelles fiches d’information. Nous y avons également ajouté un nouveau formulaire de plainte, qui explique clairement la façon de déposer une plainte officielle ou de signaler une atteinte à la protection des données. Notre site Web a reçu en 2009 près d’un demi-million d’appels de fichiers de plus que l’année précédente.

La diminution du nombre de demandes de renseignements s’explique aussi en partie par la mise en place d’un nouveau système de gestion des cas qui comptabilise certaines statistiques différemment. Auparavant, une seule demande de renseignements concernant deux enjeux différents était comptée deux fois. Maintenant, une telle demande n’est comptée qu’une seule fois.

En examinant l’ensemble des lettres et des appels que nous continuons à recevoir, nous avons constaté une hausse des demandes de renseignements sur la façon dont les organisations traitent les renseignements personnels. Par exemple, à la suite de la couverture médiatique de notre enquête sur Facebook, nous avons reçu de nombreuses demandes de renseignements concernant des sites de réseautage social.

Dans certains cas, nous avons été contactés par des personnes qui ont entré leur nom dans un moteur de recherche et qui ont été surprises de constater que leurs renseignements personnels apparaissaient sur certains sites.

Nous recevons encore un grand nombre d’appels sur l’utilisation des numéros d’assurance sociale par les organisations. De nombreuses demandes de renseignements portent également sur la collecte d’autres types de renseignements comme le numéro du permis de conduire. On nous demande souvent : Ont-ils le droit de faire cela?

Certaines personnes qui communiquent avec nous pensent à tort que le Commissariat peut imposer des amendes aux organisations. Nous souhaitons nous assurer que les attentes du public correspondent aux services que nous pouvons lui fournir.

Lorsque des personnes nous signalent un problème qu’ils ont vécu avec une organisation en particulier, une des premières questions que nous leur posons est celle-ci : Avez vous fait part de vos préoccupations à cette organisation?

Il est souvent possible de résoudre les problèmes rapidement — sans même entreprendre un processus d’enquête officielle sur une plainte — en faisant directement affaire avec l’organisation. Dans certains cas, nous constatons que même les problèmes qui ne sont pas réglés à la suite de discussions avec des employés de première ligne peuvent effectivement être résolus en appelant le responsable de la protection de la vie privée de l’organisation. Nous tenons à jour une base de données des responsables de la protection de la vie privée afin que les personnes ayant des préoccupations en la matière puissent communiquer facilement avec la bonne personne au sein de l’organisation.

C’est pourquoi nous encourageons les personnes à d’abord communiquer directement avec l’organisation concernée.

Cependant, lorsqu’un problème ne peut pas être réglé entre les parties, nous demandons aux personnes de communiquer de nouveau avec nous afin de déterminer si le dépôt d’une plainte officielle est nécessaire.

En plus de répondre à des demandes de renseignements par téléphone, le Commissariat a conçu un grand nombre de fiches d’information et de documents d’orientation qui peuvent aider les personnes à mieux comprendre les enjeux liés à la protection de la vie privée en ce qui concerne la collecte et l’utilisation de leurs renseignements personnels. Par exemple, en 2009, nous avons publié de l’information traitant des sujets suivants : la collecte des renseignements figurant sur le permis de conduire dans le secteur du commerce de détail; l’imagerie à l’échelle de rue; la LPRPDE et la loi contre le blanchiment d’argent; le traitement des renseignements personnels communiqués d’un pays à l’autre; et la surveillance vidéo secrète dans le secteur privé.

Plaintes

Le Commissariat a reçu 231 nouvelles plaintes relatives à la LPRPDE en 2009, ce qui représente une baisse importante par rapport aux 422 plaintes reçues en 2008.

De plus, nous avons réglé 587 plaintes, comparativement à 412 l’année précédente.

Nous croyons que la principale raison pour laquelle le nombre de plaintes reçues a diminué est que nous avons réussi à donner suite aux préoccupations des personnes avec plus d’efficacité. Un grand nombre des problèmes portés à notre attention ont été réglés officieusement en appelant la bonne personne au sein de l’organisation.

Par conséquent, nous pourrons davantage consacrer nos ressources d’enquête là où le besoin est le plus important, c’est à dire pour les dossiers plus importants ou plus complexes et les enjeux systémiques en matière de protection de la vie privée.

Par exemple, notre enquête sur Facebook comprenait de nombreux enjeux complexes et techniques qui nécessitaient une enquête approfondie. Nous recevons un nombre croissant de plaintes en lien avec de nouvelles applications technologiques qui exigent un examen en profondeur.

L’enquête sur Facebook est aussi représentative de la hausse du nombre d’enquêtes concernant des entreprises établies à l’étranger. C’est là un reflet de la croissance fulgurante du nombre de données qui circulent d’un pays à l’autre.

Une autre enquête liée aux nouvelles technologies examinait la façon dont Bell Canada utilise l’inspection approfondie des paquets pour gérer le trafic sur ses réseaux de télécommunication. À la suite de l’enquête, la commissaire adjointe a conclu que les méthodes utilisées pour gérer le trafic sur le réseau étaient généralement acceptables, mais elle a également souligné qu’une utilisation plus vaste de l’inspection approfondie des paquets nécessiterait le consentement des personnes concernées.

Parmi les autres enjeux abordés dans le cadre de nos enquêtes, mentionnons la surveillance secrète par les organisations du secteur privé, la surveillance en milieu de travail, y compris l’utilisation de caméras vidéo et d’appareils de positionnement, et la collecte de renseignements figurant sur le permis de conduire.

Même si le nombre global de plaintes reçues a diminué, la répartition de ces plaintes entre les secteurs industriels a peu changé.

Les institutions financières, le secteur des télécommunications et les compagnies d’assurance sont encore cette année la cible du plus grand nombre de plaintes. Ensemble, ces trois secteurs sont visés par plus de la moitié des plaintes déposées au Commissariat.

La taille de ces industries et le volume important d’opérations effectuées auprès des Canadiens et Canadiennes chaque année sont une des principales raisons pour lesquelles ces industries se trouvent aux premiers rangs du palmarès lorsque nous répartissons les plaintes par secteur.

En ce qui a trait aux plaintes liées aux compagnies d’assurance, une des tendances qui persiste est le recours à des avocats ou à des « facilitateurs » pour le dépôt de plaintes au nom des plaignants. La plupart de ces cas ont trait à l’accès aux renseignements personnels, à leur collecte ou au consentement pour communiquer de tels renseignements. Vers le milieu de 2009, les plaintes facilitées représentaient plus du quart de l’arriéré de plaintes.

Dans de nombreux cas, la plainte a trait à un litige entre une personne et un assureur, un médecin conseil ou un autre fournisseur de prestations. Les plaignants déposent souvent plusieurs plaintes liées au même problème. La collecte de preuves est parfois difficile parce que les plaintes découlent d’un événement datant de plusieurs années; l’affaire concerne souvent une première partie intéressée, une deuxième partie et un tiers assureur, et des barèmes de prestations.

Trois types de plaintes — celles liées à l’accès, à l’utilisation et à la communication, et à la collecte — continuent de se tailler la part du lion (68 %) de toutes les plaintes reçues.

Nous avons constaté une augmentation notable de la proportion de plaintes relatives à l’accès aux renseignements personnels : 28 % des plaintes comparativement à 17 % l’année précédente. Nombre de petites et moyennes entreprises ont une connaissance toujours insuffisante du droit des personnes en vertu de la LPRPDE à l’accès aux renseignements qui les concernent, ainsi que la façon de traiter les demandes d’accès dans les délais prescrits par la loi.

Survol des enquêtes menées en 2009

Voici un survol de certaines enquêtes réalisées en 2009. Des renseignements supplémentaires sur un grand nombre de ces cas sont disponibles sur notre site Web.

Nous avons nommé les organisations visées par les plaintes seulement lorsque nous avons jugé que cela était conforme à l’intérêt public.

Enquêtes concernant des enjeux transfrontières

À mesure que les Canadiennes et Canadiens réalisent un nombre croissant de leurs activités quotidiennes en ligne — que ce soit acheter des produits chez des détaillants en ligne ou prendre des nouvelles de leurs amis grâce à des sites de réseautage social —, il n’est pas surprenant que les problèmes liés à la protection de la vie privée auxquels ils se heurteront concerneront des organisations n’ayant aucune présence physique au Canada, ou une présence limitée.

Cela signifie que le Commissariat reçoit un nombre grandissant de plaintes déposées contre des multinationales, dont le siège est souvent situé aux États Unis.

La LPRPDE s’applique aux transactions faisant intervenir des renseignements personnels qui ont un lien étroit et réel avec le Canada, ce qui comprend les transactions en ligne et même, dans certaines situations, les transactions d’une entreprise située à l’étranger.

Facebook

En juillet 2009, la commissaire adjointe Denham a publié les conclusions d’une enquête approfondie sur les pratiques en matière de protection de la vie privée de Facebook, un site de réseautage social californien qui compte des millions d’utilisateurs canadiens. L’enquête a découlé d’une plainte déposée par la Clinique d’intérêt public et de politique d’Internet du Canada de l’Université d’Ottawa.

Le rapport d’enquête a fait ressortir un certain nombre de problèmes liés à la protection de la vie privée. Le plus important de ceux-ci était le risque que posait une communication excessive de renseignements personnels aux tiers développeurs d’applications Facebook, comme les jeux et les questionnaires.

Étant donné que Facebook compte plus d’un million de développeurs dans le monde entier, la commissaire adjointe était préoccupée par l’insuffisance des mesures de sécurité visant à limiter de manière efficace l’accès des développeurs aux renseignements personnels des utilisateurs et aux renseignements de leurs « amis » en ligne.

Le fait que, dans certains cas, Facebook ne fournissait pas assez d’information à ses utilisateurs pour qu’ils puissent connaître la façon leurs renseignements personnels seraient traités était une autre source de préoccupations. Par exemple, les renseignements sur la différence entre la désactivation des comptes (les renseignements personnels sont conservés dans une mémoire numérique) et la suppression des comptes (les renseignements personnels sont supprimés des serveurs de Facebook) portaient à confusion.

À l’issue de l’enquête, Facebook s’est engagée à effectuer des changements afin d’améliorer les mesures de protection de la vie privée de ses utilisateurs.

Plus important encore, Facebook a consenti à mettre sa plateforme d’applications à niveau afin d’empêcher les applications d’avoir accès à des renseignements sans le consentement explicite des utilisateurs pour chaque catégorie de renseignements personnels visée. Ce nouveau modèle de permissions ferait en sorte que les utilisateurs reçoivent un avis lorsque l’ajout d’une application signifierait que cette dernière aurait accès à certaines catégories de renseignements. L’utilisateur pourrait alors choisir les catégories de renseignements auxquels l’application aurait accès. Un lien vers une déclaration du développeur qui explique l’utilisation qui sera faite des données sera également affiché. En raison de l’importance des modifications à apporter à la technologie, on prévoyait que la mise en œuvre de ce changement devrait prendre une année.

Facebook a en outre accepté d’apporter des changements pour aider les utilisateurs à mieux comprendre de quelle manière les renseignements personnels les concernant seraient utilisés et, ultimement, pour leur permettre de prendre des décisions plus éclairées sur le degré avec lequel ils veulent communiquer ces renseignements.

Comme il a été convenu, Facebook nous a tenus au courant des mesures prises en la matière. Nous continuerons à surveiller de près ce dossier et à fournir des commentaires.

L’enquête sur Facebook a été reprise par les médias partout dans le monde et nous a fait mieux connaître des multinationales.

Tout juste après la publication du rapport, un autre grand site de réseautage social a communiqué avec nous au sujet du respect des lois canadiennes, et d’autres entreprises américaines ont voulu nous rencontrer pour discuter de leurs applications mondiales. Il s’agit d’une première que nous espérons voir aboutir à une plus grande protection de la vie privée pour les Canadiennes et Canadiens ainsi que pour les citoyens du monde entier.

Accusearch Inc. (Abika.com)

En réponse à une plainte, nous avons enquêté sur les pratiques relatives au traitement des renseignements personnels d’un site Web offrant des services de recherche à partir du Wyoming. La commissaire adjointe Denham a conclu que le site contrevenait à des dispositions clés de la LPRPDE dans la manière dont il recueillait, utilisait et communiquait les renseignements personnels de personnes résidant au Canada.

Abika.com fournissait une gamme de services de recherche en retenant les services de chercheurs tiers qui cherchaient et obtenaient des renseignements personnels au sujet de personnes à partir d’un éventail de dossiers et de banques de données publiques et privées. L’entreprise offrait également un service de compilation de « profils psychologiques » qui étaient censés décrire le comportement et les traits de personnes.

La Federal Trade Commission (FTC) des États-Unis a mené séparément une enquête sur les activités d’Abika.com. (Consulter la page 94 pour plus de détails sur le soutien qu’a apporté le Commissariat à la FTC dans une affaire judiciaire concernant Abika.com.)

Fondée en grande partie sur des données fournies par la FTC, l’enquête a déterminé que l’entreprise américaine avait recueilli, utilisé et communiqué à des tiers les renseignements personnels de Canadiennes et de Canadiens, à leur insu et sans leur consentement, ce qui va à l’encontre de la LPRPDE. De plus, dans certains cas, l’entreprise a sciemment transmis des renseignements personnels de Canadiennes et de Canadiens à des fins qu’une personne raisonnable estimerait grandement inappropriées dans pratiquement n’importe quelle circonstance.

La commissaire adjointe a recommandé qu’Abika.com cesse de recueillir, d’utiliser et de communiquer les renseignements personnels de personnes vivant au Canada à leur insu et sans leur consentement. Étant donné l’efficacité des efforts de la FTC contre cette entreprise, en particulier le résultat positif de la poursuite judiciaire de la FTC, il a été déterminé qu’aucune autre mesure ne devait être prise par le Commissariat.

Cette enquête a été un jalon important dans la coopération et la collaboration internationales, qui s’avéreront de plus en plus nécessaires pour protéger adéquatement le droit à la vie privée des deux côtés de la frontière dans les années à venir.

Enquêtes concernant les nouvelles technologies

Bell Canada — Inspection approfondie des paquets

L’inspection approfondie des paquets (IAP) est une technologie utilisée pour gérer le trafic sur les réseaux de télécommunications, petits et grands, mais elle sert aussi à cibler des messages publicitaires sur ces mêmes réseaux.

Les gestionnaires de réseaux soutiennent que l’inspection approfondie des paquets n’est qu’un outil parmi d’autres pour s’assurer que les réseaux peuvent répondre à la demande variable de leurs clients en matière de bande passante. Par contre, les défenseurs du droit à la vie privée affirment que l’IAP peut servir à lire le contenu des paquets qui circulent entre les utilisateurs sur les réseaux — que ce soit des fichiers MP3, des messages personnels ou des documents commerciaux.

Nous avons enquêté sur une plainte qui alléguait Bell Sympatico (Bell) utiliserait la technologie d’IAP pendant les transmissions Internet pour recueillir et utiliser les renseignements personnels de ses clients sans leur consentement.

Le plaignant a soutenu également que :

• cette pratique permettait de recueillir davantage de renseignements personnels que ce dont l’entreprise a besoin pour réaliser ses objectifs déclarés d’assurer l’intégrité du réseau et la qualité du service;
• Bell n’informait pas ses clients de manière adéquate de ses pratiques et de ses politiques en matière de collecte de renseignements personnels lors de transmissions sur Internet.

Bell a reconnu que la technologie d’IAP qu’elle utilisait sur son réseau avait la capacité d’inspecter le contenu des courriels et des recherches sur Internet notamment, mais l’entreprise a affirmé qu’elle ne l’utilisait pas à cette fin. Nous n’avons pas trouvé de preuve montrant que la technologie était utilisée pour cibler de la publicité.

La plainte a été jugée non fondée en ce qui concerne le consentement et la limitation de la collecte, mais fondée en ce qui a trait à la transparence.

L’enquête a permis de conclure que le fait de gérer le trafic sur le réseau en ciblant les applications de partage de fichiers poste à poste afin d’assurer une répartition adéquate de la bande passante et la qualité du service Internet de ses clients constituait un objectif d’affaires acceptable pour un fournisseur d’accès Internet. La commissaire adjointe n’était pas convaincue que Bell recueillait ou utilisait des renseignements personnels autres que les adresses IP et numéros d’abonné des clients Sympatico quand elle utilisait sa technologie d’IAP aux fins de gestion du trafic sur le réseau.

La commissaire adjointe Denham a recommandé que Bell fournisse des renseignements clairs à ses clients sur l’IAP et sur l’incidence des pratiques de gestion du trafic de l’entreprise sur la protection des renseignements personnels de ses clients.

Elle a également souligné que toute utilisation élargie de l’IAP faite par Bell qui ferait en sorte que des renseignements personnels seraient recueillis, utilisés ou communiqués à des fins autres que celle de gérer le trafic sur le réseau devrait faire l’objet d’un consentement renouvelé, valable et éclairé.

Entreprise d’imagerie à l’échelle de la rue

Nous avons reçu une plainte contre une entreprise qui aurait pris une photo d’un homme à son insu et sans son consentement à l’aide d’appareils installés sur le dessus d’un véhicule.

Le plaignant a affirmé en outre qu’il ne savait pas où l’image était stockée ni comment elle était protégée.

Nous avons reçu cette plainte avant le lancement d’une application en ligne qui permet de visiter virtuellement des voisinages. À la suite de discussions avec le Commissariat, l’entreprise a accepté de ne pas diffuser la photo du plaignant en ligne.

Le plaignant s’est dit satisfait de l’engagement pris par l’entreprise. La plainte est donc considérée comme ayant été réglée en cours d’enquête.

Durant les dernières années, le Commissariat a eu des discussions approfondies avec des entreprises qui recueillent et utilisent des images à l’échelle de la rue. (Consulter la page 75 pour plus de détails à ce sujet.)

Enquêtes concernant la surveillance vidéo secrète

Plainte relative à une enquête privée

Une femme et sa fille se sont plaintes auprès du Commissariat après qu’elles aient appris, à leur grande surprise, qu’elles avaient été filmées durant une surveillance vidéo secrète visant la sœur de la femme en question.

La surveillance avait été effectuée par une agence d’enquête privée embauchée par la compagnie d’assurances de la sœur. Celle ci avait été impliquée dans un accident de la route et avait engagé une poursuite contre son assureur au sujet des prestations.

L’assureur a admis que des images de la plaignante et de sa fille avaient été prises par inadvertance durant l’enquête secrète.

L’agence d’enquête privée a fait valoir qu’il n’était pas raisonnable de s’attendre à ce qu’on obtienne le consentement de toutes les parties dont les renseignements personnels avaient été enregistrés sur une bande vidéo dans le cadre d’une enquête. Elle a aussi refusé de brouiller l’image des personnes qui étaient accidentellement filmées au cours d’une surveillance vidéo.

Dans certains cas, la LPRPDE permet, en vertu de l’alinéa 7(1)b), la collecte des renseignements personnels de tierces parties (qui ne font pas l’objet de la surveillance) à l’insu de celles ci au moyen de la surveillance vidéo. Ceci comprend, par exemple, les situations où l’agence a des raisons de croire que ces renseignements sont pertinents aux fins de la cueillette d’information sur la personne qui fait l’objet de la surveillance. L’assureur a confirmé que ce n’était pas le cas.

La commissaire adjointe à la protection de la vie privée a formulé plusieurs recommandations, notamment que l’agence :

• cesse de recueillir des renseignements personnels, à moins que l’alinéa 7(1)b) ne s’applique;
• dépersonnalise (par exemple à l’aide du brouillage) le plus rapidement possible ou supprime les renseignements personnels non pertinents, à moins que l’alinéa 7(1)b) ne s’applique;
• intègre à sa politique de confidentialité des procédures et des politiques précises en ce qui concerne la collecte, l’utilisation et la communication des renseignements personnels obtenus dans le cadre d’une surveillance secrète, y compris les renseignements personnels non pertinents de tierces personnes;
• prévoie une formation sur ces nouvelles politiques et procédures pour ses employés et ses sous traitants.

L’agence a accepté d’offrir une formation, mais elle a refusé de réviser ses politiques et procédures de confidentialité en matière de surveillance vidéo selon les recommandations. Elle a également refusé de dépersonnaliser ou de supprimer les renseignements personnels de tierces parties recueillis sans leur consentement.

La plainte a été jugée fondée.

Les plaignantes ont aussi déposé une plainte contre la compagnie d’assurance qui a embauché l’agence d’enquête privée. Cette enquête était toujours en cours à la fin de 2009.

Ces plaintes ont joué un rôle important dans le processus qui a mené à l’élaboration du document d’orientation du Commissariat sur la surveillance vidéo secrète dans le secteur privé. Ce processus a également fait appel à des consultations approfondies avec les industries des enquêtes privées et des assurances. Nous continuons de surveiller la conformité de l’industrie à ces orientations.

Enquêtes concernant la surveillance en milieu de travail

Société de transport — Surveillance par GPS

Un homme s’est opposé à l’installation d’un terminal de données mobile, qui comprend un système mondial de localisation (GPS), sur les véhicules qu’il conduit pour un service de transport municipal.

Il a allégué que le service de transport, qui offre des services aux citoyens à mobilité réduite, recueillait ses renseignements personnels de manière inappropriée, à savoir ses déplacements quotidiens au travail.

Le plaignant affirmait également que l’organisation de transport utilisait le nouveau système pour effectuer un suivi de ses heures pendant la journée et pour veiller à ce qu’il ne prenne pas de pause ni de repas.

Toutefois, selon l’organisation, le nouveau système visait à accroître l’efficacité et la qualité des services, par exemple, en donnant la possibilité d’aviser immédiatement les chauffeurs de toute modification à l’horaire sans avoir recours à un répartiteur.

La commissaire adjointe a déterminé que les renseignements recueillis avec le nouveau système de suivi ne différaient pas beaucoup de ceux recueillis à l’aide du système manuel que ce dernier est venu remplacer. Avant l’installation du nouveau système, l’organisation recueillait le même genre de renseignements personnels sur support papier. L’enquête a permis de déterminer qu’en ce sens, les nouvelles technologies utilisées ne portaient pas davantage atteinte à la vie privée que les anciennes méthodes de suivi employées pendant plus de 20 ans.

De plus, les renseignements en cause ont été recueillis et utilisés strictement à des fins appropriées, soit pour assurer un service efficace aux clients. Aucune preuve ne laisse croire que les renseignements personnels étaient utilisés pour gérer le rendement des employés.

La plainte a été jugée non fondée.

Entreprise de transport par autobus ― Surveillance vidéo non dissimulée

Un homme s’est plaint que son employeur, une entreprise de transport interurbain par autobus, utilisait 22 caméras vidéo installées dans une station d’autobus pour suivre et gérer le rendement de ses employés. Il a affirmé qu’aucune affiche ne se trouvait dans la station pour informer les employés et le public de la vidéosurveillance. Il était donc préoccupé par le fait que l’organisation recueillait des renseignements personnels sans le consentement des personnes.

L’organisation a expliqué que les fins du système de vidéosurveillance étaient les suivantes :

• veiller à la sécurité des clients et des employés à la station, où il y avait un niveau élevé d’activités criminelles;
• diminuer et décourager les actes de vandalisme et de conduite illégale;
• limiter le risque de responsabilité pour dommages en raison de fraudes, de vols ou de procédures opérationnelles inappropriées.

L’organisation a aussi affirmé avec raison que des affiches se trouvaient à l’entrée de la station pour aviser le public du recours à la vidéosurveillance et que les caméras n’étaient pas cachées.

La commissaire adjointe a déterminé que les fins mentionnées par l’organisation pour la collecte et l’utilisation de l’information saisie par les caméras de vidéosurveillance étaient raisonnables.

Ces fins étaient appuyées par des preuves se rapportant précisément à la station en question ainsi que par des données recueillies auprès de stations comparables de l’entreprise. Aucune des fins citées par l’entreprise ne consistait à suivre ou à gérer le rendement des employés, et nous avons remarqué que les emplacements des caméras dans la station étaient conformes aux fins énoncées.

Des affiches appropriées avaient été placées dans la station pour aviser les employés et le public de la vidéosurveillance, bien que la commissaire adjointe ait remarqué que l’organisation n’avait pas fait d’efforts raisonnables pour expliquer les fins de la surveillance aux employés.

L’organisation a accepté d’améliorer sa politique de vidéosurveillance, de former son personnel de sécurité et ses gestionnaires et de bien informer ses employés.

La plainte a été jugée fondée et résolue.

Collecte de numéros de permis de conduire

Détaillant

Lorsqu’elle a présenté une demande d’adhésion dans un magasin, une femme s’est vu demander de donner son numéro de permis de conduire et sa date de naissance. On ne lui a pas expliqué la raison de cette collecte de renseignements.

Lorsque la femme a plus tard demandé d’avoir accès à ses renseignements personnels, sa demande d’accès et ses demandes de suivi ont été ignorées jusqu’à ce que le Commissariat communique avec l’organisation.

Le détaillant nous a dit avoir besoin de renseignements personnels comme un numéro de permis de conduire ou une date de naissance complète tant pour détecter et surveiller la fraude que pour effectuer une vérification de crédit sur les membres qui demandent le droit de payer par chèque.

Nous avons remarqué que le formulaire de demande n’indiquait pas qu’une vérification de crédit serait effectuée. Par ailleurs, des agences d’évaluation de crédit nous ont informés que le numéro de permis de conduire n’est pas nécessaire pour effectuer une vérification de crédit.

L’organisation a déclaré que le numéro de permis de conduire servait à reconnaître les personnes qui se sont adonnées à des activités frauduleuses dans le passé et à les empêcher de présenter une nouvelle demande d’adhésion. Elle a de plus expliqué que le numéro aide à distinguer les clients qui ont des noms semblables.

L’organisation a affirmé qu’elle recueillait aussi la date de naissance des demandeurs pour vérifier qu’ils avaient au moins l’âge minimal requis. Cependant, au cours de l’enquête, l’organisation a convenu qu’il suffirait à cette fin de voir une carte d’identité.

Le Commissariat a donc formulé bon nombre de recommandations, y compris :

• de vérifier l’âge et l’identité du demandeur en examinant une pièce d’identité avec photo sans consigner l’information à cette fin;
• d’obtenir le consentement à la vérification de crédit en avisant le demandeur qu’une vérification de crédit peut être effectuée avant que le droit de payer par chèque soit accordé;
• de recueillir soit le jour et le mois de naissance, soit l’année et le mois de naissance lorsque cette information n’est recueillie qu’aux fins de la prévention et de la détection de la fraude (c.-à-d. auprès des clients qui ne cherchent pas à obtenir le droit de payer par chèque);
• de faire en sorte que le personnel de première ligne connaisse bien la politique et les procédures en matière de renseignements personnels;
• de supprimer de sa base de données les numéros associés aux pièces d’identité recueillis précédemment.

L’organisation a accepté les recommandations concernant les demandes d’adhésion. Elle s’est également engagée à mettre à jour sa déclaration relative à la gestion des renseignements personnels pour informer les personnes de la collecte de la date de naissance partielle aux fins de la prévention et de la détection de la fraude ou, pour celles qui demandent le droit de payer par chèque, de la collecte de la date de naissance complète afin de mener une vérification de crédit et de dissuader les fraudeurs.

La commissaire adjointe a conclu que la plainte était résolue.

Autres cas dignes de mention

Organisation de propriétaires — Échanger les renseignements personnels des locataires sans leur consentement

Un défenseur des droits des locataires a déposé une plainte contre une organisation de propriétaires dont le site Web comprenait une liste de personnes considérées comme de « mauvais » locataires, et une autre de personnes qui accusaient un retard dans le paiement de leur loyer.

Ces renseignements personnels étaient accessibles aux propriétaires membres de l’organisation. Toutefois, à un certain moment, ces renseignements étaient disponibles à toute personne ayant accès à Internet.

Le défenseur des droits des locataires s’est plaint que des renseignements personnels délicats étaient recueillis, utilisés et communiqués sans le consentement des personnes visées.

Après enquête, le Commissariat a déterminé que les documents utilisés par l’organisation et les propriétaires n’informaient pas suffisamment les locataires ou les locataires éventuels de la façon dont leurs renseignements personnels seraient utilisés et communiqués. Ces documents ne pouvaient pas non plus être considérés comme des formulaires de consentement valides permettant de diffuser des renseignements personnels des locataires sur le site Web.

L’enquête a révélé que l’organisation avait été négligente en omettant de mentionner dans son contrat de services que les propriétaires devaient obtenir le consentement des locataires lorsqu’ils recueillent des renseignements personnels afin de mettre à jour les antécédents en matière de crédit ou d’ajouter des renseignements sur les listes des mauvais locataires ou des locataires qui ont un arriéré de loyer.

De plus, les propriétaires membres n’avaient pas obtenu le consentement approprié des locataires pour recueillir, utiliser et communiquer de tels renseignements personnels.

L’enquête a confirmé que les renseignements personnels accessibles sur le site Web au sujet de plus de 1 300 personnes n’étaient pas suffisamment protégés, bien que l’organisation ait ensuite adopté des mesures acceptables pour protéger la liste des locataires ayant un arriéré de loyer.

Compte tenu des questions non résolues relatives au consentement, la commissaire adjointe a recommandé à l’organisation :

• de réviser la convention d’affiliation en y indiquant clairement que les propriétaires doivent obtenir le consentement valable des locataires avant de communiquer les renseignements personnels de ces derniers;
• de réviser le contrat de location en y ajoutant une clause de consentement précise concernant la communication de renseignements personnels à l’organisation;
• de confirmer que la liste des mauvais locataires, ou toute autre compilation de renseignements personnels de ce type, a été supprimée;
• de confirmer que toute liste semblable serait supprimée, à moins que la mise en cause puisse démontrer que le consentement valide des locataires a été obtenu.

La plainte concernant le consentement a été jugée fondée. Celle relative aux mesures de sécurité a été résolue. Nous croyons comprendre que l’organisation a mis fin à ses activités; toutefois, nous continuons de surveiller la situation avec nos homologues provinciaux.

Organisation compilant des données de clients — Combinaison de renseignements personnels accessibles au public avec des statistiques démographiques propres à un lieu géographique

Nous avons reçu une plainte à propos de l’utilisation et de la communication de renseignements personnels par une organisation qui fournit des listes de données sur les consommateurs aux entreprises à des fins de marketing direct.

Les plaignants ont allégué que l’organisation avait créé des renseignements démographiques personnalisés au moyen du couplage des renseignements des répertoires téléphoniques associés aux données de Statistique Canada. Ils ont affirmé que l’utilisation et la communication de ces « renseignements personnels » nouvellement créés nécessitaient l’obtention d’un consentement.

Les plaignants estimaient en outre que, puisque l’organisation avait utilisé et communiqué des renseignements démographiques détaillés au sujet d’une personne, il aurait été raisonnable de s’attendre à ce qu’elle obtienne le consentement de cette personne avant de compiler et de vendre les renseignements la concernant.

L’enquête a toutefois permis de déterminer que le processus de compilation des listes de consommateurs utilisé par l’organisation ne modifiait pas le statut des renseignements des répertoires téléphoniques en les faisant passer de renseignements personnels accessibles au public à des renseignements personnels visés par les dispositions relatives au consentement.

Les renseignements personnels auxquels le public a accès et qui figurent dans les listes de consommateurs avaient simplement été classés en fonction de critères géodémographiques.

La commissaire adjointe a observé que les listes contenaient des renseignements portant davantage sur des quartiers que sur des personnes identifiables. Par conséquent, elle a conclu que la plainte relative au consentement était non fondée.

Les plaignants ont aussi avancé que la mise en cause n’avait pas respecté le principe de la transparence énoncé dans la LPRPDE. Ils se sont dits préoccupés par le fait que l’organisation n’avait pas fourni d’explications sur la manière dont elle recueillait, utilisait et communiquait les renseignements personnels, ni sur ses pratiques et ses politiques connexes, et qu’elle s’était montrée réticente à répondre aux questions portant sur ses pratiques.

La commissaire adjointe Denham était d’accord que l’entreprise n’avait pas fourni suffisamment d’information sur ses politiques et pratiques relatives au traitement des renseignements personnels qu’elle vendait. Les renseignements personnels étaient certes accessibles au public, mais ils demeuraient des renseignements personnels. 

L’entreprise a modifié ses politiques et pratiques. La plainte relative au non respect du principe de transparence a été jugée fondée et résolue.

Assureur — Communication de renseignements personnels à une tierce partie

La plaignante a subi de graves blessures lors d’un accident de voiture. Au cours des quatre années qui ont suivi l’accident, elle a entrepris plusieurs procédures officielles de règlement des différends avec son assureur relativement à son droit aux prestations à long terme.

Elle souhaitait voir officiellement reconnu le fait qu’elle avait une « déficience invalidante » et attendait une audience pour un arbitrage obligatoire, processus dont elle était l’instigatrice.

Avant l’audience précédant l’arbitrage avec la Commission des services financiers de l’Ontario (CSFO), l’assureur a sollicité l’expertise de médecins consultants et leur a communiqué, sans le consentement de la plaignante, les antécédents médicaux de celle ci et deux évaluations médicales antérieures qui constituaient le sujet du différend.

Une fois mise au courant de la situation, la plaignante s’est opposée à la communication de ses renseignements médicaux sans son consentement explicite.

À la suite de l’enquête, la commissaire adjointe a conclu que la LPRPDE permettait la communication de renseignements personnels sans un consentement explicite, à la lumière des circonstances particulières de l’affaire en question.

En entreprenant auprès de la CSFO une procédure arbitrale dans laquelle elle a mis ses renseignements personnels médicaux en cause, la plaignante a implicitement consenti à la collecte, à l’utilisation et à la communication de ses renseignements personnels par l’assureur, qui devait s’en servir uniquement pour se défendre dans le cadre de ces procédures particulières.

Il s’avérerait raisonnable qu’une personne, dans pareilles circonstances et pour cet objet restreint, ne s’attende pas à ce qu’un assureur cherche à obtenir son consentement explicite afin de communiquer ses renseignements médicaux personnels.

La plainte a été jugée non fondée.

Élimination d’un arriéré

L’élimination presque totale d’un arriéré de plaintes vieilles de plus d’un an est l’une des réussites du Commissariat en 2009.

Au cours des dernières années, une pénurie d’enquêteurs et l’accroissement du nombre de plaintes concernant des questions très complexes et nécessitant une enquête approfondie ont provoqué un arriéré qui a compté jusqu’à 376 plaintes en vertu de la LPRPDE.

Le défi était d’autant plus difficile à relever que de nombreux dossiers portaient sur des questions extrêmement complexes; on pense notamment à des cas où le plaignant ou l’organisation mise en cause étaient campés sur leurs positions et refusaient le moindre compromis. Il avait été impossible de régler rapidement de tels cas.

Au cours des dernières années, cet arriéré a entraîné des temps de traitement inacceptables pour de nombreuses enquêtes.

La lutte contre l’arriéré a été l’une des principales priorités du Commissariat. L’initiative de diminution de l’arriéré s’est amorcée au tout début de 2008, après que le Conseil du Trésor nous a accordé des ressources financières supplémentaires.

Nous avons adopté une approche à plusieurs volets qui comportait la simplification de nos processus, l’instauration d’une « opération éclair » interne destinée à clore de vieux dossiers, l’embauche et la formation de nouveaux enquêteurs et le recours à des ressources externes.

Au cours de 2008 et 2009, nous avons réussi à diminuer progressivement l’arriéré de dossiers. Du début à la fin de l’année 2009, le nombre de dossiers faisant partie de l’arriéré est passé de 312 à 46. À la fin de mars 2010, l’arriéré était éliminé.

Éviter un nouvel arriéré — Régler les plaintes rapidement

Nous tenons maintenant à nous assurer de traiter les plaintes efficacement pour éviter les arriérés à l’avenir.

Notre stratégie consiste notamment à éviter que des préoccupations concernant la protection de la vie privée entraînent inutilement des enquêtes officielles. Comme nous l’avons mentionné précédemment, nous insistons sur l’importance que les plaignants éventuels tentent de résoudre une question directement avec une organisation avant de déposer une plainte officielle.

Nos agents des demandes de renseignements aident les personnes à formuler une plainte si ces dernières ne peuvent trouver une solution acceptable en s’adressant à une organisation. Nous disposons aussi d’un formulaire de plainte en ligne expliquant en détail les renseignements dont le Commissariat a besoin, ce qui peut aider à gagner du temps une fois le dossier confié à un enquêteur.

Un autre changement important à notre façon de traiter les plaintes a été la création d’un nouveau poste au sein du Commissariat, le registraire des plaintes, qui évalue la complexité d’une affaire, s’il faut la traiter en priorité et si elle peut être résolue rapidement.

Une fois que le registraire leur attribue une cote de priorité, les plaintes touchant une question sérieuse, systémique ou complexe — par exemple une juridiction incertaine, des allégations multiples ou des questions techniques complexes — sont immédiatement acheminées à un enquêteur.

Cependant, les plaintes qui pourraient être résolues à court terme, par exemple si le Commissariat a déjà formulé des conclusions sur un sujet, l’organisation a déjà réagi aux allégations de façon satisfaisante ou les plaintes peuvent être résolues facilement, sont maintenant transmises à notre nouvelle équipe de règlement rapide.

Nous avons toujours invité les plaignants et les organisations à régler les plaintes rapidement, mais nous avons instauré un processus de règlement rapide plus officiel à l’automne 2009. Celui ci vise à régler plus de plaintes rapidement grâce à la négociation, à la persuasion et à une connaissance approfondie des conclusions réalisées dans le cadre des plaintes antérieures.

Notre objectif est de régler les plaintes envoyées à l’équipe de règlement rapide en 45 jours ouvrables. Après ce délai, les cas sont envoyés à un enquêteur pour qu’il termine le travail.

Bien qu’il ait été instauré récemment, tout indique que le processus aidera à répondre aux préoccupations des plaignants.

Nous constatons que les organisations prennent souvent des mesures correctives sur-le-champ lorsque nous leur fournissons des conseils au sujet de leurs obligations en vertu de la LPRPDE. De plus, de nombreuses plaintes relatives à l’accès à des renseignements personnels sont résolues parce que le plaignant est rassuré qu’une tierce partie confirme que le refus de communiquer un document est légitime.

Atteintes à la protection des données

Depuis quelques années, le Commissariat encourage les organisations à signaler volontairement les atteintes à la protection des renseignements personnels.

Nous plaidons avec véhémence en faveur de modifications législatives qui obligeraient les organisations à signaler les atteintes graves au Commissariat et aux personnes concernées. Nous nous réjouissons qu’Industrie Canada ait tenu des consultations et élaboré un modèle d’avis d’incident qui comprend un seuil obligeant une organisation à faire un rapport au Commissariat et aux personnes touchées.

En 2009, 58 atteintes à la protection des renseignements personnels dans le secteur privé nous ont été signalées volontairement. Il s’agit d’une baisse par rapport à l’année précédente, durant laquelle 65 incidents avaient été signalés, mais la statistique de 2008 comprend un grand nombre d’incidents liés à un problème systémique dans l’industrie du courtage hypothécaire. En 2007, les organisations nous ont envoyé volontairement 48 avis d’atteinte à la protection des renseignements personnels.

Les grandes organisations ont rapporté la majorité des incidents en 2009, mais les petites et les moyennes entreprises commencent elles aussi à en signaler.

Lorsque nous recevons un avis d’incident, nous effectuons un suivi, donnons des conseils au besoin et rédigeons un rapport interne. En général, nous n’amorçons pas une enquête officielle si nous constatons que l’entreprise prend des mesures raisonnables pour régler le problème.

Cependant, nous agissons lorsque nous décelons un problème systémique. Par exemple, après avoir reçu de nombreux avis d’incident de la part de courtiers en hypothèques, nous avons décidé de vérifier si les organisations dans ce secteur disposaient de procédures et de pratiques appropriées pour protéger les renseignements personnels.

En général, les incidents signalés semblent être des cas isolés. L’erreur humaine est un facteur courant, et de nombreux incidents sont provoqués par un employé qui ne respecte pas les procédures de l’entreprise.

Les ordinateurs portatifs perdus et volés sont un autre problème chronique, mais la plupart de ces appareils et les renseignements personnels qu’ils contiennent sont maintenant protégés par de solides mesures de sécurité comme le chiffrement.

La première fois que nous avons publié notre liste de contrôle concernant les atteintes à la protection des renseignements personnels, en 2006, nous avons constaté que de nombreux responsables de la protection de la vie privée semblaient réticents à communiquer avec nous après un incident. Les choses ont changé depuis, et de nombreuses organisations nous téléphonent ou nous appellent très peu de temps après un incident.

La plupart de ces entreprises avisent rapidement les personnes touchées en cas d’incident grave.

Les responsables de la protection de la vie privée ont exprimé leur volonté de collaborer avec nous, car ils savent qu’ils font montre de diligence raisonnable et de transparence lorsqu’ils signalent un incident. Les entreprises considèrent aussi qu’il est avantageux pour elles de faire appel au Commissariat, car les clients sont quelque peu rassurés lorsqu’ils savent que la question est prise au sérieux et qu’une certaine supervision est assurée.

Le degré d’analyse et les renseignements fournis dans les avis d’incident constituent une autre tendance encourageante. Ces avis sont maintenant souvent très complets et comprennent des descriptions détaillées des mesures d’atténuation prévues par l’organisation.

Le gouvernement fédéral étudie la possibilité d’adopter des modifications législatives pour créer un régime de signalement obligatoire. Le Commissariat est très favorable à cette idée.

Le point de vue de l’industrie sur les avis d’incident

En 2009, alors qu’il semblait que le Parlement allait modifier la LPRPDE pour obliger les entreprises à informer le Commissariat des atteintes à la sécurité des renseignements personnels, nous avons commandé une étude visant à connaître le point de vue des entreprises sur les lignes directrices facultatives actuelles et sur la possibilité d’un régime obligatoire.

(Comme nous l’avons mentionné précédemment, Industrie Canada a élaboré un modèle d’avis d’incident que nous espérons voir instauré prochainement.)

Nous avons confié à Nymity, une firme mondiale de services de recherche sur la protection de la vie privée, le mandat d’effectuer l’étude. Le projet comprenait la préparation et la diffusion sur le Web d’un document d’information de base pour veiller à ce que les entreprises soient informées de l’enjeu. Par la suite, des entrevues téléphoniques d’une heure ont eu lieu avec 27 professionnels de la protection des renseignements personnels représentant des entreprises qui comptaient entre moins de 100 et plus de 80 000 employés.

Dans l’ensemble, les chercheurs ont constaté que les entreprises connaissaient bien l’avis d’incident volontaire et étaient ouverts au concept. Les 27 organisations étaient au courant de l’existence et du contenu général des lignes directrices du Commissariat publiées en 2007. Six d’entre elles avaient déjà signalé un ou plusieurs incidents au Commissariat, et la majorité ont qualifié l’expérience de positive. Quatre entreprises ont dit n’avoir jamais subi d’atteintes à la sécurité des données et n’avaient donc rien à signaler.

L’étude a démontré que la majorité des répondants disposait de processus pour cerner et signaler les atteintes à la vie privée et y faire face. Plus de la moitié de ces processus étaient des protocoles officiels et écrits, généralement fondés sur les lignes directrices du Commissariat. D’autres entreprises avaient prévu des procédures plus officieuses, comme le recours à l’expertise d’experts internes en matière de protection des renseignements personnels et à des conseillers juridiques externes.

Aucun changement attendu

Une minorité d’entreprises (seulement 22 %) ont prévu qu’un régime de signalement obligatoire n’aurait aucune répercussion sur elles. Les 78 % restantes étaient également partagées entre celles qui prévoyaient une incidence positive et négative.

L’aspect positif est que les répondants s’attendaient à ce que, sous un régime obligatoire, leur entreprise élaborerait une politique de signalement plus structurée, deviendrait plus sensibilisée à l’importance de protéger la vie privée, se préoccuperait davantage de la prévention des incidents et augmenterait la responsabilité à l’égard de la protection des renseignements personnels dans les activités de l’organisation. Près de six répondants sur dix ont dit prévoir des programmes de formation et de sensibilisation supplémentaires en 2010 et en 2011.

Les préoccupations des répondants à propos d’un régime obligatoire concernaient les coûts, y compris la crainte qu’il faille retenir les services d’avocats externes et embaucher plus d’employés responsables de la protection de la vie privée. Le quart des répondants (26 %) craignaient de se voir imposer une sanction ou attribuer une responsabilité pour l’omission d’un signalement. L’effet inverse — un empressement à signaler excessivement — est une autre préoccupation.

Malgré ces réserves, près des deux tiers (63 %) des répondants prévoyaient qu’un régime obligatoire ne changerait pas leur façon de décider si un incident donné devrait être signalé.

Voici d’autres constatations dignes de mention :

• La cause la plus répandue (51 %) des incidents signalés par les répondants était des erreurs d’employés, comme taper la mauvaise adresse de courriel, télécopier un document à la mauvaise organisation ou entrer un groupe d’adresses dans le champ « à » plutôt que « c.c.i. », rendant ainsi les adresses visibles pour les autres destinataires. Des « problèmes techniques » comme la perte d’ordinateurs portatifs ou d’appareils de stockage de données étaient invoqués dans 26 % des cas.
• La plupart des répondants étaient plutôt certains qu’un membre du personnel qui commettrait une erreur signalerait cette dernière à un superviseur. Selon la majorité des répondants, le personnel comprenait que la résolution d’un incident à la satisfaction des clients touchés était plus importante que l’imposition d’une sanction à l’employé fautif.
• Seulement deux organisations ont signalé des incidents externes, y compris une personne de l’extérieur qui a obtenu l’accès à la base de données d’une entreprise.

Nous avons été heureux de constater que, des six entreprises visées par l’étude qui ont signalé un incident au Commissariat, cinq ont mentionné que l’expérience globale avait été positive, très positive ou extrêmement positive. Une organisation a dit que l’expérience avait été mitigée.

Celles qui ont considéré l’expérience comme positive ont formulé les commentaires suivants :

« Le Commissariat a compris les particularités de la situation et a beaucoup mis l’accent sur les mesures prises pour régler la situation, aider les clients et veiller à ce qu’un tel incident ne se reproduise pas. [traduction] »

« Le Commissariat a été compréhensif et non dogmatique. [traduction] »

Sensibiliser les Canadiennes et les Canadiens

Durant une journée ordinaire, les Canadiennes et Canadiens pensent rarement à la façon dont leurs renseignements personnels sont traités. Le Canadien moyen peut réfléchir avant d’entrer son NIP ou de cocher une case sur un formulaire financier, mais il n’hésitera vraisemblablement pas longtemps avant de communiquer ses renseignements personnels à ses amis, ses parents ou d’autres personnes sur des réseaux sociaux, ou même à des magasins, des experts en marketing et d’autres organisations commerciales.

De la même façon, de nombreuses entreprises canadiennes recueillent des renseignements personnels dans le cadre de leurs activités quotidiennes, mais elles n’ont pas nécessairement la formation ou les ressources requises pour évaluer le risque posé par l’absence de mesures de protection des données ou la mauvaise qualité de celles ci. C’est particulièrement vrai dans les petites entreprises, qui comptent sur une équipe restreinte d’employés pour offrir des produits ou des services aussi rapidement et efficacement que possible.

Le Commissariat a mis en place bon nombre de programmes et d’activités pour encourager les Canadiennes et Canadiens de tous âges à prendre quelques secondes pour évaluer les risques et les avantages du traitement des renseignements personnels.

Ces programmes de sensibilisation visent à donner des conseils simples mais efficaces sur des questions communes liées à la protection de la vie privée à divers groupes communautaires et industriels, tant par des moyens traditionnels que technologiques.

Présentation d’exposés

Dans sa plus simple expression, le programme de sensibilisation du Commissariat prévoit que des membres du personnel prononcent des allocutions sur des sujets juridiques, techniques, culturels et législatifs dans des écoles et des universités ainsi que devant des groupes communautaires et des associations industrielles. Nous tenons à partager les connaissances acquises par notre personnel et à permettre aux Canadiennes et Canadiens de poser les questions qui les préoccupent le plus.

En 2009, nous avons participé à environ 150 activités publiques partout au Canada. Par exemple, la commissaire et les commissaires adjointes ont pris la parole lors de nombreuses activités conçues spécialement pour les professionnels de la protection de la vie privée, ainsi qu’à d’autres conférences auxquelles participaient des experts des domaines de la sécurité, des communications, des technologies, du monde en ligne et des questions juridiques.

Ces conférences comprenaient le Northwind Privacy Invitational Forum, la conférence de l’Institut international des communications, le forum d’un comité de l’OCDE sur la technologie au sujet de l’informatique dans les nuages, l’Association du Barreau de l’Ontario et l’Annual Leaders Forum de l’industrie géomatique canadienne.

D’autres représentants du Commissariat ont prononcé des allocutions dans des écoles secondaires, des collèges et des universités ainsi que devant des associations industrielles, des associations d’entreprises locales et des groupes communautaires.

Initiatives pour les entreprises

Bien que la LPRPDE date de près de dix ans, nos sondages ont permis de constater qu’une formation supplémentaire sur la protection des données et de la vie privée serait utile à de nombreuses entreprises. Par conséquent, nos efforts de sensibilisation ont surtout pour but de fournir des renseignements et des outils pratiques pour les cadres, les gestionnaires et les employés, qui sont déjà très occupés.

En 2009, cela s’est traduit par un nombre grandissant d’exposés à l’occasion des réunions mensuelles de chambres de commerce locales, par des allocutions devant des bureaux de développement économique et des associations industrielles provinciales et régionales ainsi que par des conférences destinées aux petites entreprises.

En outre, le Commissariat rencontre régulièrement des associations industrielles d’envergure, comme l’Association des banquiers canadiens, le Bureau d’assurance du Canada, l’Association canadienne des compagnies d’assurances de personnes, le Conseil canadien du commerce de détail et l’Association canadienne du marketing.

Nous élaborons des outils pour que les petites entreprises puissent apprendre dans le confort de leurs bureaux. En 2010, un outil en ligne révisé complètera notre très apprécié Guide à l’intention des entreprises et des organisations – Protection des renseignements personnels : Vos responsabilités. Cet outil permettra à un gestionnaire ou à un employé d’évaluer les pratiques de traitement des renseignements personnels et donnera des conseils sur les améliorations à y apporter.

Nous avons aussi élaboré une série de documents d’orientation et d’autres publications pour le secteur privé. En 2009, nous avons publié entre autres des guides sur la surveillance vidéo secrète dans le secteur privé et le traitement transfrontière des données.

Nous diffusons tous nos documents d’orientation et nos autres publications sur notre site Web, mais nous les distribuons aussi à de nombreuses conférences et autres activités. En 2009, nous avons donné près de 14 000 exemplaires papier de nos publications.

Harmonisation de la surveillance du secteur privé

Le Québec, l’Alberta et la Colombie Britannique ont adopté des lois provinciales sur la protection des renseignements personnels dans le secteur privé qui ont été jugées essentiellement similaires à la LPRPDE. Les entreprises dont les activités sont réparties dans plusieurs provinces et territoires doivent donc souvent se conformer à plus d’une loi sur la protection des renseignements personnels dans le secteur privé.

Ces diverses lois font en sorte que la coopération entre les administrations est un élément essentiel des lois fédérales et provinciales relatives à la protection des renseignements personnels.

En effet, dans certaines circonstances, des commissariats à la protection de la vie privée ont des responsabilités concurrentes ou chevauchantes avec les organisations qui exercent leurs activités partout au Canada. Par ailleurs, les entreprises pancanadiennes souhaitent que leurs responsabilités relatives à la protection des renseignements personnels soient harmonisées et claires, tandis que les Canadiennes et les Canadiens tiennent à une protection efficace des renseignements personnels.

Une surveillance efficace et efficiente du secteur privé demande de la coordination et des communications régulières entre les administrations.

L’incapacité de profiter pleinement de ces occasions de coopération susciterait une certaine frustration pour les propriétaires d’entreprise et les personnes et, en fin de compte, nuirait au droit de la population à la vie privée.

Le Commissariat et ses homologues de l’Alberta et de la Colombie Britannique ont créé un forum sur la protection des renseignements personnels dans le secteur privé, auquel participent des membres de la haute direction de chaque administration, pour coordonner et harmoniser autant que possible la surveillance fédérale et provinciale de la protection des renseignements personnels dans le secteur privé au Canada.

Le travail des membres du forum a permis au Commissariat de collaborer avec l’Alberta et la Colombie Britannique dans bon nombre de domaines, dont les enquêtes conjointes, les enquêtes parallèles, les documents d’orientation conjoints et les lettres collectives sur des questions d’intérêt mutuel.

Les trois commissariats ont signé un protocole d’entente visant à établir les paramètres de la collaboration fédérale provinciale.

La sensibilisation partout au Canada

Le Commissariat a une relation particulière avec ses homologues de l’Alberta et de la Colombie Britannique en raison de leurs régimes semblables de protection des renseignements personnels dans le secteur privé, mais il tient à maintenir une collaboration étroite avec tous les commissaires à la protection de la vie privée des provinces et territoires.

En agissant collectivement et en collaboration, nous pouvons avoir des répercussions plus positives sur le gouvernement fédéral, les organisations et le public.

Des réunions pancanadiennes à intervalle régulier font partie intégrante de la coopération, car elles permettent aux commissaires de se réunir pour discuter de questions d’intérêt mutuel, échanger de l’information et cerner des occasions de travailler ensemble.

Les commissaires ont commencé à travailler à l’établissement d’une stratégie de mobilisation des jeunes Canadiennes et Canadiens pour sensibiliser ceux ci aux risques pour la vie privée posés par le réseautage social sur Internet.

Nous avons aussi lancé un certain nombre d’initiatives dans diverses administrations pour fournir aux personnes l’information et les outils nécessaires à la protection de leur vie privée et aider les organisations à comprendre leurs obligations en vertu des lois sur la protection des renseignements personnels.

Un des principaux objectifs est de parler aux Canadiennes et Canadiens où ils vivent et travaillent. Le programme de sensibilisation régional ne vise pas à créer des bureaux satellites partout au Canada ou à décentraliser les principales fonctions d’enquête du Commissariat.

Le programme a été établi pour susciter une prise de conscience de la population et améliorer sa capacité d’autoprotection au moyen d’une formation ciblée destinée à sensibiliser les personnes et les entreprises à la protection de la vie privée.

La sensibilisation dans les provinces de l’Atlantique

Dans les provinces de l’Atlantique, nous avons conclu une entente d’échanges biennale avec l’ancien commissaire adjoint à l’accès à l’information et à la protection de la vie privée de Terre Neuve et Labrador. Celui ci est maintenant conseiller principal en recherche et en engagement au Commissariat. Bien qu’il travaille à partir de Terre Neuve et Labrador, il se rend régulièrement dans les autres provinces de l’Atlantique.

Grâce à cette initiative, nous sommes beaucoup mieux connus dans l’Atlantique. Nous pouvons maintenant accepter un grand nombre d’invitations à prononcer des allocutions — et prendre nous mêmes de telles initiatives — devant des entreprises, d’autres groupes et des écoles secondaires.

Projet en Saskatchewan

Nous avons également lancé un projet de sensibilisation en Saskatchewan, qui est axé sur l’élaboration d’outils de protection de la vie privée pour les coopératives de crédit et les petites entreprises de cette province.

Dans le cadre de ce projet, nous travaillons en partenariat avec le Commissariat à l’information et à la protection de la vie privée de la Saskatchewan pour élaborer un site Web visant à fournir du contenu et à interagir avec les coopératives de crédit ainsi que les petites et moyennes entreprises de la Saskatchewan. Le site Web comprendra une section de questions et réponses pour que les interrogations sur la protection de la vie privée puissent être soumises au Commissariat et les partagées avec le public.

De plus, nous mettons à jour notre outil d’apprentissage électronique pour les détaillants afin d’offrir aux coopératives de crédit et aux petites et moyennes entreprises un outil diagnostique en ligne convivial pour aborder les pratiques de gestion de la protection de la vie privée.

Un des principaux objectifs du projet de la Saskatchewan consiste à utiliser les leçons qui en seront tirées et à les appliquer aux initiatives à venir dans les autres provinces et territoires.

Initiative de Toronto

L’Ontario — et surtout Toronto — est une administration importante pour le Commissariat. Environ les deux tiers de nos enquêtes ont leur origine dans la province et plus de la moitié d’entre elles concernent des organisations de la région de Toronto. Qui plus est, les sièges sociaux de la majorité des associations industrielles, qui constituent un auditoire cible important de nos efforts de sensibilisation, se trouvent dans cette région.

Ces faits nous ont incités à commencer à examiner les options pour établir une présence dans la région.

Programme des contributions

Le Commissariat finance également des initiatives de sensibilisation du public par le biais du Programme des contributions. En 2009, par exemple, nous avons fourni des ressources :

• à l’IAPP (Association internationale des professionnels de la protection de la vie privée) pour donner des ateliers gratuits de sensibilisation à la protection de la vie privée dans plusieurs villes canadiennes afin de desservir les professionnels locaux de la protection des renseignements personnels et de la sécurité de l’information;
• à la Coopérative radiophonique de Toronto (CHOQ FM) pour diffuser une campagne de sensibilisation sur le cadre canadien de la protection de la vie privée à l’intention des communautés de langue française en situation minoritaire en Ontario, ainsi que d’autres groupes de langue française en situation minoritaire à l’extérieur du Québec;
• à l’Association des sourds du Canada afin de mettre au point une campagne visant à informer les personnes présentant une déficience auditive sur le vol d’identité, le droit à la vie privée et les escroqueries sur Internet;
• au groupe Option consommateurs pour tenir des ateliers de sensibilisation au vol d’identité et à la protection des renseignements personnels auprès des aînés.

Nous avons également annoncé du financement en 2009 pour divers projets de recherche concernant entre autres : l’échange de renseignements sur Facebook par les adolescents et les adultes; l’analyse des politiques et des pratiques en matière de protection de la vie privée d’entreprises offrant des tests génétiques directement aux consommateurs; l’inspection approfondie des paquets; les attitudes des résidents de Terre Neuve et Labrador au sujet de la protection de la vie privée et des renseignements personnels sur la santé; le contrôle des données personnelles de santé; et la vidéosurveillance.

Le Programme des contributions du Commissariat à la protection de la vie privée a été créé en 2004 pour appuyer la recherche sans but lucratif dans le domaine de la protection de la vie privée. Par la suite, il s’est développé pour englober des initiatives de sensibilisation du grand public. Ce programme, qui est considéré comme l’un des plus importants programmes de financement de ce genre au monde, a permis de verser près de 2 millions de dollars à plus de 50 initiatives.

Il a été renouvelé en janvier 2010 à la suite d’une évaluation qui a permis d’établir qu’il était bien géré et toujours pertinent. Par conséquent, nous avons fait un appel de propositions pour des projets examinant quatre domaines liés à la protection de la vie privée : les technologies de l’information, l’intégrité et la protection de l’identité, la protection des renseignements génétiques et la sécurité nationale. En 2010 2011, jusqu’à 500 000 $ seront versés à des initiatives de recherche et de sensibilisation du grand public.

Protection de la vie privée des jeunes

Par le passé, le Commissariat a attiré l’attention sur les enjeux auxquels sont confrontés les jeunes Canadiennes et Canadiens, qui reçoivent constamment des tonnes de demandes pour se joindre à divers réseaux sociaux, participer à des activités de marketing et communiquer des renseignements personnels à des entreprises commerciales. Alors même qu’ils s’efforcent de développer leur identité d’adulte, ils sont encouragés à communiquer des éléments de leur identité sur d’innombrables réseaux, même si des conséquences involontaires peuvent en découler.

Nous sommes conscients que les jeunes Canadiennes et Canadiens prendront leurs propres décisions en ce qui concerne leur identité et leur participation à une société réseautée. Il n’en demeure pas moins qu’ils devraient, selon nous, connaître leurs droits, ainsi que les avantages et risques liés à la communication de renseignements personnels.

Au cours des dernières années, le Commissariat a intensifié ses activités auprès des jeunes Canadiennes et Canadiens. À l’aide entre autres du slogan « Réfléchissez avant de cliquer », nous avons entrepris de sensibiliser les élèves, les parents, les enseignants et les mentors. Comme nous le faisons pour le milieu des affaires, nous donnons la possibilité aux jeunes Canadiennes et Canadiens de mieux connaître leur droit à la vie privée où cela leur convient — à domicile, à l’école et en ligne.

Le point d’ancrage de nos efforts est un site Web dédié à la protection de la vie privée des jeunes, viepriveedesjeunes.ca, où les élèves, les parents et les enseignants peuvent trouver de l’information et des liens donnant accès à diverses ressources préparées par le Commissariat et d’autres organisations. Le site héberge également notre concours annuel de vidéos sur la protection de la vie privée des jeunes, dont la popularité a quadruplé depuis son lancement en 2008.

En outre, le site, qui héberge un blogue rédigé par des jeunes Canadiennes et Canadiens pour leurs jeunes compatriotes, présente des questions d’actualité liées à la protection de la vie privée selon un point de vue et dans un contexte probablement plus faciles à assimiler.

Nous croyons quand même que les outils en ligne ne peuvent atteindre leur objectif s’il n’y a pas davantage d’interaction personnelle. C’est pourquoi en 2009 le Commissariat a présenté une série d’exposés très populaires dans les écoles pour attirer l’attention sur les risques et les avantages rattachés aux réseaux sociaux en ligne. En même temps, nous avons entrepris de rencontrer des dirigeants d’école, des bibliothécaires et des universitaires dans l’ensemble du Canada afin de cerner d’autres occasions d’établir des liens avec les jeunes Canadiennes et Canadiens, et de discuter des thèmes et questions présentant le plus d’intérêt pour eux.

Conclusion

Les efforts de sensibilisation du Commissariat visent à intensifier et à diffuser l’expertise et l’expérience acquises par ses employés, tout en encourageant diverses personnes susceptibles d’influencer leur communauté à examiner des questions concernant la protection de la vie privée et des données personnelles.

Compte tenu de la taille relativement petite de notre organisation, nous nous efforçons dans le cadre de notre travail de tirer parti des activités et des voies de communication en place qui ont déjà la confiance et l’attention de la population canadienne.

Protection de la vie privée dans un environnement en pleine évolution

Dans un monde où le paysage de la protection de la vie privée évolue sans cesse, il est essentiel que les lois du Canada progressent au même rythme.

Les développements technologiques rapides dont nous avons fait l’expérience au cours de la première décennie du 21^e siècle s’accompagnent de nombreux risques pour la protection de la vie privée. Nous avons également constaté une prolifération du vol d’identité, ainsi que d’autres fraudes commises sur Internet — où souvent des pourriels étaient utilisés comme une arme contre des Canadiennes et Canadiens peu méfiants.

Certains changements qui auront des répercussions positives importantes sur la protection de la vie privée au Canada ont acquis le statut de loi en 2009. Nous espérons que ce sera bientôt le cas de certains autres. En outre, nous attendons avec impatience le dépôt de divers projets de lois dans un avenir rapproché.

Mise à jour sur l’examen de la LPRPDE

En 2006, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des Communes a entrepris un examen de la LPRPDE, qui s’est terminé l’année suivante par un rapport présentant de nombreuses recommandations à l’intention du gouvernement aux fins d’examen ou de plus amples discussions.

À la suite du rapport du Comité, le gouvernement a convenu de procéder à un examen plus approfondi et de prendre des mesures en ce qui concerne un certain nombre d’enjeux.

Entre autres, le gouvernement a déclaré qu’il faut une obligation législative pour que les entreprises soient tenues d’émettre un avis à l’intention des personnes touchées par des atteintes à la protection des données, dans les cas où il existe un risque élevé de préjudice important. De plus, il a appuyé l’idée selon laquelle les atteintes à la protection des renseignements personnels devraient obligatoirement être signalées au Commissariat.

Selon nous, un régime de signalement obligatoire des atteintes à la vie privée comporte de nombreux avantages : les entreprises auront encore plus intérêt à prendre au sérieux la sécurité des renseignements personnels, les gens obtiendront des renseignements opportuns pour se prémunir eux mêmes du vol d’identité et le Commissariat sera davantage en mesure de cerner les tendances et les points faibles pour aider le secteur privé à éviter les incidents.

Industrie Canada a établi un modèle provisoire de régime de signalement obligatoire. Nous espérons que des modifications législatives dans ce domaine entreront en vigueur dans un avenir rapproché.

Le Commissariat a été satisfait d’apprendre que le gouvernement convient de la nécessité pour le commissaire à la protection de la vie privée de coopérer avec d’autres autorités en matière de protection des données, au Canada et à l’étranger, afin d’accomplir son mandat dans le cadre de la LPRPDE.

À l’heure actuelle, la LPRPDE n’autorise les échanges d’information qu’avec les commissaires des provinces qui surveillent l’application de lois essentiellement similaires, c’est à dire la Colombie Britannique, l’Alberta, le Québec et l’Ontario (où la loi sur la protection des renseignements personnels sur la santé a été jugée essentiellement similaire à la loi fédérale).

Comme le Commissariat reçoit de plus en plus de plaintes où plus d’un territoire sont en jeu, nous voudrions pouvoir travailler en collaboration plus étroite avec nos homologues d’autres pays. L’échange d’information nous permet de mener des enquêtes de manière plus efficace et efficiente.

Grâce à la Loi sur la protection du commerce électronique entrée en vigueur en 2009, nous serons en mesure de le faire. (Cette loi est présentée plus en détail ci dessous.)

Le deuxième examen parlementaire de la LPRPDE devrait avoir lieu en 2011.

Consultations publiques

Le Commissariat prépare une série de consultations sur les technologies en plein essor en 2010, qui permettra d’orienter nos interventions au cours du prochain examen parlementaire de la LPRPDE.

Les consultations publiques porteront sur deux thèmes : le suivi, le profilage et le ciblage de consommateurs en ligne, et divers enjeux concernant l’informatique dans les nuages. Nous voudrions comprendre plus en profondeur ces questions susceptibles d’avoir des effets importants sur la vie privée des Canadiennes et Canadiens.

Nous avons diffusé une demande d’observations écrites ou de déclarations d’intérêt de personnes qui voudraient participer aux tables rondes officielles qui se tiendront à Toronto, à Montréal et à Calgary en 2010. Nous aimerions entendre le point de vue de diverses entreprises, d’instances gouvernementales, d’universitaires, d’associations de consommateurs et de la société civile.

Imagerie à l’échelle de la rue

Depuis plusieurs années, le Commissariat suit de près le développement et l’utilisation de la technologie d’imagerie à l’échelle de la rue.

Des applications de l’imagerie à l’échelle de la rue, comme Google Street View et Canpages, emploient divers moyens pour photographier le paysage urbain. En règle générale, une caméra est montée sur un véhicule qui parcourt les rues pour capter des images à 360 degrés. Ces dernières, qui montrent parfois des personnes identifiables, sont rendues accessibles en ligne sur certains sites qui permettent aux utilisateurs de visiter de façon virtuelle un quartier en particulier.

En ce qui concerne l’utilisation commerciale de cette technologie, notre préoccupation constante est de faire en sorte qu’elle respecte la LPRPDE afin de protéger la vie privée des Canadiennes et Canadiens.

La question a également retenu l’attention des membres du Parlement en 2009.

L’efficacité des lois relatives à la protection de la vie privée au Canada, compte tenu des nouvelles technologies, a été examinée au cours d’une étude sur la vie privée et les services d’imagerie à l’échelle de la rue, effectuée par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique.

Bien que l’étude ait pris fin lors de la prorogation du Parlement en décembre 2009, le Comité peut revenir sur la question au cours de la reprise des travaux de la Chambre des communes en 2010.

Le Commissariat a commencé à suivre cette question en 2007, lorsqu’il a appris que Google photographiait les rues de certaines villes canadiennes en vue du lancement éventuel de son application Street View au Canada, à l’insu des intéressés figurant sur les images ou sans leur consentement apparent.

Nous avons discuté à de nombreuses reprises avec Google et Canpages de la nécessité de se conformer à diverses obligations juridiques comme la connaissance et le consentement, les mesures de sécurité et la conservation des renseignements personnels.

Il est important, par exemple, que les gens soient informés de façon adéquate que des véhicules prendront des photos dans leur quartier. Nous avons recommandé que les entreprises concernées identifient correctement leurs voitures caméras et utilisent également des communiqués de presse, des médias locaux et des sites Web pour annoncer les dates et les lieux où elles filmeront les rues.

Les discussions à ce sujet ont permis d’améliorer la protection de la vie privée sur les deux sites.

Google et Canpages ont accepté de « brouiller » les visages des gens et fournissent aussi à ces derniers des moyens de faire retirer facilement et rapidement des images d’eux mêmes ou de leur maison. Nous avons également constaté des améliorations en ce qui a trait à la manière dont les avis sont diffusés.

Il n’en reste pas moins que, selon nous, les entreprises pourraient en faire encore plus. Elles pourraient investir davantage dans les préavis, en ayant recours à divers moyens de communication pour joindre un plus grand nombre de personnes et en fournissant des renseignements plus précis sur les lieux qui seront photographiés et le moment où ils le seront. Nous voulons que les gens puissent avoir un plus grand pouvoir et aient le choix de se faire prendre ou non en photo dans un lieu public.

Étant donné que la technologie permettant de brouiller les images ne semble pas tout à fait au point, nous avons encouragé les entreprises à poursuivre leurs recherches pour trouver des moyens de parfaire cette technologie.

Le Commissariat travaille en collaboration avec ses homologues de la Colombie Britannique, de l’Alberta et du Québec pour établir des orientations en ce qui concerne la nouvelle technologie de l’imagerie à l’échelle de la rue. Les lignes directrices, qui s’intitulent Vous êtes photographiés, se trouvent sur notre site Web.

La commissaire a souvent rappelé aux multinationales qui lancent des produits et des services en ligne au Canada qu’elles doivent se conformer aux lois canadiennes en matière de protection des renseignements personnels.

Faits saillants des affaires législatives en 2009

Lutter contre le vol d’identité

En 2009, après plusieurs années d’étude, nous avons assisté à l’adoption d’une loi pour combattre le vol d’identité : la Loi modifiant le Code Criminel (vol d’identité et inconduites connexes) a reçu la sanction royale en octobre 2009 avant d’entrer en vigueur en janvier 2010.

Cette loi modifie le Code criminel pour rendre illégale l’obtention, la vente ou la possession de « documents d’identité » d’une autre personne, par exemple un certificat de naissance ou un permis de conduire. La possession ou le trafic de « renseignements identificateurs » est considéré comme une infraction lorsque les renseignements sont utilisés pour commettre un crime, par exemple une fraude. La Loi élargit également un certain nombre de dispositions du Code criminel se rapportant par exemple au vol ou à la falsification de cartes de crédit, au vol de courriel et à la fabrication de faux documents.

Le Commissariat a comparu devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles en mai 2009 et devant le Comité permanent de la justice et des droits de la personne de la Chambre des communes en octobre 2009.

À ces deux occasions, nous avons manifesté notre appui envers cette loi. Compte tenu de la complexité du problème et des nombreuses formes que peut prendre le vol d’identité, nous avons également insisté pour que le gouvernement d’adopte une approche coordonnée afin de combattre le vol d’identité, qui puise dans les ressources des services de police et des organismes de réglementation, des secteurs public et privé et des gouvernements fédéraux et provinciaux.

De plus, nous avons expliqué dans quelle mesure une réforme de la Loi sur la protection des renseignements personnels et le signalement obligatoire des atteintes donneraient aux Canadiennes et aux Canadiens les outils nécessaires pour prévenir le vol d’identité et encourageraient les entreprises et les organisations gouvernementales à protéger adéquatement les renseignements personnels.

Freiner les pourriels

En avril 2009, le ministre de l’Industrie a présenté la Loi sur la protection du commerce électronique, visant surtout à lutter contre les pourriels. Ce projet de loi prévoyait aussi certaines modifications législatives qui auraient des répercussions importantes sur le Commissariat.

Depuis longtemps, nous pressons le gouvernement de déposer un projet de loi antipourriel. Le Canada est le seul pays du G 8 à ne pas disposer d’une telle loi.

La Loi sur la protection du commerce électronique interdirait :

• l’envoi de courriels commerciaux non sollicités sans consentement;
• l’utilisation d’indications fausses et trompeuses en ligne, par exemple, des assertions trompeuses sur un produit;
• l’utilisation de systèmes informatiques pour recueillir sans consentement des adresses électroniques ou d’autres renseignements personnels sans consentement;
• la modification non autorisée de données de transmission pour détourner un courriel.

La Loi exigerait également que les courriels suivent une forme déterminée, c’est à dire qu’ils identifient l’expéditeur du courriel et la personne pour laquelle ils sont envoyés, qu’ils fournissent les coordonnées exactes de ces parties et un mécanisme de désabonnement.

Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), le Bureau de la concurrence et le CPVP seraient chargés de faire respecter cette loi; Industrie Canada serait responsable de la coordination. Nous aurions principalement à traiter les plaintes en matière de collecte, d’utilisation ou de communication non autorisées des renseignements personnels. En outre, le projet de loi prévoyait un droit d’action privé.

En juin 2009, lorsque le Commissariat a comparu devant le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes pour formuler des observations sur le projet de loi, la commissaire adjointe Elizabeth Denham a déclaré : « Nous sommes d’avis que la Loi établit un juste équilibre : elle donne aux gens davantage de contrôle sur les courriels et les messages textes qu’ils reçoivent tout en permettant aux entreprises légitimes de continuer à communiquer avec leurs clients et les consommateurs. »

Cette loi serait importante parce qu’elle pourrait aider à réduire le nombre de pourriels et d’autres formes de messages non sollicités.

De plus, elle augmenterait la capacité du Commissariat d’échanger de l’information dans le cadre de la LPRPDE avec d’autres organismes d’application de la loi, pas seulement avec le CRTC et le Bureau de la concurrence en ce qui concerne les pourriels, mais de façon plus vaste. Grâce aux modifications proposées, le commissaire serait davantage en mesure d’échanger de l’information et de coopérer avec ses homologues des provinces et de l’étranger responsables de l’application de lois similaires à la LPRPDE.

De plus, la Loi sur la protection du commerce électronique conférerait au commissaire un plus grand pouvoir discrétionnaire en ce qui a trait à la réception des plaintes ou à l’abandon de certaines enquêtes, que celles ci portent sur les pourriels ou d’autres enjeux liés à la protection de la vie privée. Par exemple, la Loi permettrait au commissaire de refuser une plainte jugée futile, pour laquelle il n’existe pas suffisamment d’éléments de preuve ou dont le règlement pourrait être obtenu en vertu d’autres lois fédérales ou provinciales.

Comme bon nombre d’autorités de protection des données ailleurs au monde, nous avons fait valoir que nos ressources d’enquête seraient mieux employées si nous mettions l’accent sur les questions de protection de la vie privée d’intérêt plus général.

En raison de la prorogation du Parlement le 30 décembre 2009, tous les projets de loi déposés lors de la deuxième session du 40^e Parlement sont morts au feuilleton. Nous espérons toutefois que le projet de loi sur la protection du commerce électronique, qui nous permettrait, croyons nous, de mieux protéger les intérêts de la population canadienne en matière de protection de la vie privée, soit présenté de nouveau en 2010.

Observations à l’intention du Conseil de la radiodiffusion et des télécommunications canadiennes

En 2009, le Commissariat à la protection de la vie privée a fourni au CRTC des observations écrites en ce qui concerne l’inspection approfondie des paquets et les renseignements confidentiels sur les clients.

Inspection approfondie des paquets

Nos observations dans le contexte de l’examen du CRTC sur les pratiques de gestion du trafic Internet des fournisseurs de services Internet étaient axées sur les incidences des utilisations possibles de l’inspection approfondie des paquets sur la vie privée.

L’inspection approfondie des paquets est un outil permettant aux fournisseurs de réseaux d’examiner les paquets numériques qui composent un message ou une transmission sur un réseau. Il sert à préserver l’intégrité et la sécurité des réseaux, en cherchant des signes de non conformité du protocole, des virus, des logiques malveillantes, des pourriels et d’autres menaces.

Cette technologie soulève des préoccupations liées à la protection de la vie privée parce qu’elle peut mettre en cause l’inspection de renseignements personnels envoyés d’un utilisateur à un autre, par exemple, des courriels.

Nous avons recommandé au CRTC d’exercer son pouvoir afin de protéger la vie privée des Canadiennes et Canadiens en vertu de la Loi sur les télécommunications, et d’élaborer des mesures réglementaires pour que les renseignements personnels des internautes canadiens soient respectés. (Nos observations se trouvent sur le site Web du Commissariat.)

Nous avons constaté avec satisfaction qu’à la suite de l’examen, le CRTC avait établi un certain nombre d’exigences en matière de protection de la vie privée à l’intention des fournisseurs de services Internet.

Les directives du CRTC interdisent l’utilisation des renseignements personnels recueillis aux fins de la gestion d’un réseau à toute autre fin, ainsi que la communication de renseignements personnels recueillis aux fins de la gestion d’un réseau, même avec le consentement du client.

En outre, les fournisseurs de services Internet doivent se montrer transparents avec leurs clients en ce qui a trait à la manière dont ils utilisent des outils de gestion du trafic Internet comme l’inspection approfondie des paquets sur leurs réseaux.

(Le résumé d’une enquête menée par le Commissariat sur une plainte concernant l’inspection approfondie des paquets se trouve à la page 48.)

Renseignements confidentiels sur les clients

Nous avons également présenté des observations écrites au CRTC au cours de son examen de la pertinence du maintien de mesures réglementaires visant à protéger les renseignements personnels des clients qui ont été recueillis, utilisés et communiqués par des fournisseurs de services de télécommunications. (Nos observations se trouvent sur le site Web du Commissariat.)

Nous avons demandé au CRTC de maintenir les mesures réglementaires exigeant que les fournisseurs de services Internet obtiennent le consentement explicite des clients avant de communiquer leurs renseignements personnels. De plus, nous avons déclaré qu’il était important pour le CRTC de conserver son rôle de réglementation pour protéger les renseignements personnels en ces temps où les menaces contre la vie privée ne cessent de se multiplier.

Le CRTC a finalement déterminé qu’un consentement implicite concernant la communication des renseignements confidentiels d’un client est permis dans certaines circonstances, par exemple la communication de renseignements à une société affiliée tenue de fournir des services au client.

Protection de la vie privée dans le secteur du sans fil

En 2009, le Comité sénatorial permanent des transports et des communications a étudié le secteur du sans-fil et divers nouveaux enjeux liés aux communications.

La commissaire a comparu devant le Comité pour discuter de l’incidence sur la vie privée du marketing comportemental et du suivi des activités en ligne des consommateurs, de la collecte de données géodépendantes rendue possible en raison des appareils mobiles dotés de GPS, et de l’informatique dans les nuages, qui permet de stocker des renseignements personnels sur des serveurs installés à de nombreux endroits différents.

Priorités stratégiques

Les concepts relatifs à la vie privée changent rapidement dans le monde d’aujourd’hui, tout comme les facteurs qui la menacent. Le Commissariat à la protection de la vie privée du Canada suit l’évolution de différents enjeux et en a cerné quatre qui, selon lui, auront des incidences importantes sur la protection de la vie privée au cours des années à venir. Nous croyons que les technologies de l’information, l’intégrité de l’identité, les progrès de la génétique et la sécurité nationale constituent les enjeux les plus importants pour les défenseurs de la vie privée.

Technologies de l’information

De nos jours, dans pratiquement toutes nos activités quotidiennes — qu’il s’agisse d’entretenir des liens avec les membres de notre famille et nos amis, d’acheter des biens et des services (en ligne et en personne) ou de faire des affaires avec le gouvernement —, nous avons recours à un certain type de technologie de l’information. Et cette technologie évolue rapidement, compte tenu des nouveautés presque quotidiennes en matière d’appareils et d’applications.

Nous suivons de près les innovations qui, dans le domaine des technologies de l’information, peuvent avoir une incidence sur la protection de la vie privée et nous effectuons des recherches à leur sujet. De plus, nous nous penchons sur la façon d’aborder ces nouveautés.

Dans le cadre de notre travail dans le domaine en 2009, nous avons tenu des séances d’information en collaboration avec le secteur privé pour mieux connaître le fonctionnement des nouvelles technologies, leur utilisation potentielle et les répercussions possibles sur la protection de la vie privée. Nous avons également mis sur pied une série de causeries sur les technologies. Ces dernières sensibilisent davantage le personnel à divers sujets, par exemple les réseaux de zombies et l’ingénierie sociale, et lui permettent de mieux les comprendre.

De plus, nous avons organisé des ateliers sur les conséquences pour la protection de la vie privée des technologies géospatiales. L’un des ateliers était axé sur les répercussions sur la vie privée d’une fusion des données géospatiales et de santé, notamment le risque lié à la repersonnalisation à partir de groupes de données soi disant anonymisées ou dépersonnalisées. Un deuxième atelier a permis d’examiner les incidences sur la protection de la vie privée du marketing mobile et d’autres services géodépendants.

Intégrité de l’identité

De nos jours, les Canadiennes et Canadiens doivent communiquer des renseignements personnels à des groupes d’amis plus élargis, aux membres de la famille, aux organisations gouvernementales et aux entreprises commerciales. Toutes les données, qu’elles soient démographiques ou qu’elles se rapportent aux marques favorites, ont une valeur sociale et financière. Ces renseignements sont explicitement communiqués dans le cadre de notre adhésion à divers programmes de carte de fidélité et réseaux sociaux. Nous ne nous rendons probablement pas compte que certaines informations sont également recueillies lorsque nous naviguons sur des sites Web commerciaux ou que nous répondons à des questions au moment de payer des achats dans les magasins.

La collecte de renseignements et l’étendue des types de données recueillies s’accroissent de plus en plus rapidement avec chaque nouveau logiciel et matériel informatique. Les Canadiennes et Canadiens, qui trouvent difficile de suivre l’évolution des innovations technologiques, se démènent en même temps pour définir leur identité dans un monde numérique. Ils veulent exercer un certain contrôle sur la manière dont ils sont identifiés et décrits dans un cadre privé et public.

Nous nous efforçons de mieux comprendre les forces qui encouragent une plus grande collecte de renseignements personnels, ainsi que la réaction des Canadiennes et Canadiens devant les tentatives répétées à cet effet. Nous étudions les motifs sociaux et économiques qui incitent les gens à fournir des renseignements personnels, et nous examinons les normes et les cadres qui donnent aux personnes plus de contrôle sur leurs renseignements. Le Commissariat a également entrepris des recherches sur divers éléments de l’économie de l’information, comme les données de localisation.

Nous élaborons des outils pour aider les jeunes Canadiennes et Canadiens à faire des choix plus éclairés en ce qui a trait à la manière dont ils communiquent des renseignements et participent aux réseaux sociaux. Nous remanions des guides tout simples pour permettre aux petites entreprises d’évaluer leur façon de recueillir et de protéger des renseignements personnels, et nous fournissons des orientations sur l’utilisation de la technologie par diverses organisations des secteurs public et privé.

Renseignements génétiques

La protection de la vie privée est souvent définie comme notre capacité d’établir à qui et dans quelles circonstances nous communiquerons des renseignements personnels à notre sujet.

Le contrôle de l’accès aux renseignements génétiques et de la manière dont ils seront utilisés ne constitue qu’un seul des principaux nouveaux enjeux du 21^e siècle en matière de protection de la vie privée.

En 2009, le Commissariat a organisé un atelier en collaboration avec des spécialistes externes du domaine de la génétique pour nous aider à développer une expertise à l’interne et mieux comprendre les enjeux rattachés à la protection des renseignements génétiques. L’atelier a abordé les quatre questions suivantes : la mise en banque de matériel génétique, l’utilisation de renseignements génétiques à des fins judiciaires, les tests génétiques offerts directement aux consommateurs et l’utilisation de renseignements génétiques aux fins d’une assurance.

Dans le cadre d’un examen parlementaire de la Loi sur l’identification par les empreintes génétiques, nous avons comparu devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes, ainsi que le Comité permanent des affaires juridiques et constitutionnelles du Sénat.

Lors de nos comparutions, nous avons fait part de nos préoccupations quant à l’accroissement de la base de données génétiques nationale au moyen du prélèvement de l’ADN d’un plus grand nombre de délinquants ayant commis un éventail plus large d’infractions, pour permettre des « recherches familiales » et augmenter les échanges internationaux de renseignements.

Nous avons également coparrainé un atelier en collaboration avec Génome Canada sur les biobanques de recherche et le consentement. Des décideurs principaux du gouvernement fédéral et des chercheurs se sont réunis pour discuter de questions sociales, juridiques et éthiques que soulève la disponibilité croissante des renseignements génétiques. Nous prenons part à la planification de deux activités connexes prévues pour 2010.

Sécurité nationale

La sécurité nationale est souvent considérée comme une question de protection de la vie privée se rapportant strictement au secteur public. Comme nous avons pu le constater en 2009, il y a aussi des implications pour le secteur privé.

En juin, le gouvernement fédéral a présenté deux textes de loi visant à conférer, notamment aux autorités canadiennes responsables de l’application de la loi et aux organisations chargées de la sécurité nationale, de plus grands pouvoirs pour qu’elles puissent recueillir des preuves numériques auprès d’organisations du secteur privé.

Le projet de loi C 46, Loi sur les pouvoirs d’enquête au 21^e siècle, donnerait aux autorités le pouvoir d’ordonner aux fournisseurs de services de télécommunication de conserver et de fournir des détails au sujet des communications de leurs abonnés. Les autorités auraient également le pouvoir de demander des ordonnances spéciales en vue de retracer des appareils de communication sans fil et, par extension, les propriétaires de ces derniers.

Le projet de loi C 47, Loi sur l’assistance au contrôle d’application des lois au 21^e siècle, permettrait aux autorités d’avoir accès à des renseignements sur les abonnés et leurs appareils sans fil, même sans mandat. La loi proposée obligerait également toutes les entreprises de télécommunication à intégrer à leurs réseaux les moyens nécessaires pour permettre aux autorités d’intercepter les communications.

Les dispositions des lois proposées soulèvent des préoccupations sérieuses en matière de protection des renseignements personnels. Par exemple, les autorités pourraient obtenir sans mandat l’accès à des renseignements personnels tels des numéros de téléphone confidentiels et des adresses de courriel ou IP.

Les Canadiennes et Canadiens considèrent qu’une bonne part de ces informations est de nature sensible et s’attendent à ce qu’elle reste confidentielle. Ils s’attendent également à ce que l’utilisation qu’ils font des ordinateurs et des appareils sans fil demeure privée.

Les projets de loi n’étaient pas seulement limités aux enquêtes de crimes sérieux; ils auraient même pu servir dans le cadre d’infractions mineures, voire des incidents qui ne sont pas d’ordre criminel.

Les projets de loi sont morts au feuilleton lors de la prorogation du Parlement en décembre 2009, mais pourraient être présentés de nouveau à l’avenir.

En septembre 2009, les commissaires à la protection de la vie privée et les ombudsmans du Canada ont publié une résolution commune priant les parlementaires de s’assurer qu’il existe un besoin clair et démontrable d’étendre les pouvoirs d’enquête existants des organisations responsables de l’application de la loi et de la sécurité nationale pour qu’elles puissent recueillir des preuves numériques. Ils ont également exhorté le Parlement à faire preuve de prudence en ce qui concerne les projets de loi visant à créer un régime de surveillance accrue dont les répercussions sur le droit à la vie privée seraient considérables.

Devant les tribunaux

Le Commissariat a continué d’intervenir dans un certain nombre d’affaires soumises aux tribunaux en 2009. En vertu de l’article 14 de la LPRPDE, un plaignant peut, dans des circonstances précises, demander une audience à la Cour fédérale pour toute question évoquée dans sa plainte ou dans le rapport de la commissaire.

De nombreuses demandes déposées par la commissaire à la protection de la vie privée aux termes de l’article 15 de la Loi restent en cours. Selon l’article 15 de la LPRPDE, la commissaire peut, avec le consentement du plaignant, demander directement une audience à la Cour fédérale concernant une affaire visée par l’article 14. Il permet également à la commissaire de comparaître devant la Cour fédérale au nom d’un plaignant ayant demandé une audience en vertu de l’article 14 ou, avec l’autorisation de la Cour, de comparaître comme partie à toute audience, conformément à l’article 14, non demandée par lui même.

La commissaire à la protection de la vie privée intente régulièrement des poursuites en justice lorsqu’une organisation refuse d’adopter ses recommandations dans des cas fondés. Cette politique a contribué à l’établissement d’un niveau élevé de conformité aux recommandations.

La commissaire présente également des documents préliminaires dans certaines actions en justice afin de ne pas comparaître comme partie lorsqu’elle est indûment citée.

Conformément à l’esprit et aux visées de notre mandat, nous avons respecté la vie privée des plaignants en n’incluant pas leur nom dans le présent rapport.

Causes réglées

Cette affaire résulte d’une plainte concernant un refus d’accès déposée auprès du Commissariat à la protection de la vie privée. La personne qui a porté plainte allègue que sa psychologue lui a refusé l’accès à ses renseignements personnels. La plaignante a plus particulièrement demandé l’accès aux notes de dossier évaluées par des pairs relatives aux discussions de la psychologue avec ses collègues au sujet de la plaignante.

La psychologue a affirmé que les renseignements personnels de la plaignante ne figuraient pas dans les notes, parce que celles ci étaient « dépersonnalisées », c’est à dire qu’elles ne faisaient référence au cas de la plaignante qu’en termes généraux, sans indiquer le nom de la plaignante.

Le Commissariat n’était pas d’accord avec la psychologue à ce sujet et a conclu que les notes comportaient des renseignements personnels sur la plaignante et que, par conséquent, cette dernière devrait avoir accès aux renseignements personnels la concernant dans les notes. La psychologue a néanmoins continué à refuser à la plaignante l’accès aux notes.

Le 9 avril 2009, le Commissariat a présenté une demande d’audience pour obtenir une déclaration de la Cour confirmant que les renseignements personnels de la plaignante se trouvaient dans les notes et que la mise en cause devait permettre à cette dernière d’avoir accès à ses renseignements personnels.

Avant que l’affaire ne soit entendue, la mise en cause a communiqué à la plaignante tous les renseignements personnels auxquels celle ci avait accès en vertu de la LPRPDE. En conséquence, la commissaire à la protection de la vie privée a abandonné la requête contre la mise en cause.

Demandes déposées par des plaignants en vertu de l’article 14 de la LPRPDE

Une personne a porté plainte auprès du Commissariat à la protection de la vie privée contre la Banque de la Nouvelle Écosse. Ce plaignant alléguait que la banque avait communiqué de manière inappropriée ses renseignements financiers à un tiers qui aurait substitué, selon le plaignant, sa propre adresse à celle indiquée au dossier.

Nous avons fait enquête et déterminé que la plainte était fondée et résolue. L’enquête a confirmé que la banque avait en place des politiques pertinentes au moment de l’affaire, et que ces politiques, si elles avaient été appliquées, auraient probablement permis d’éviter l’infraction à la Loi. L’incident lié à la LPRPDE découlait d’une erreur humaine isolée. La banque a mis en œuvre toutes les recommandations de la commissaire et a accepté d’offrir ses excuses au plaignant et de lui fournir des copies des relevés de compte expédiés par erreur au mauvais endroit.

Le 11 avril 2008, le plaignant déposait une demande d’audience devant la Cour fédérale qui citait la banque et le tiers comme intimés. L’auteur de la demande voulait obtenir des dommages intérêts au montant de 400 000 $, une mesure de redressement déclaratoire et diverses ordonnances contre la Banque. L’auteur de la demande souhaitait un redressement similaire contre le tiers.

Le 9 juin 2008, la commissaire à la protection de la vie privée a obtenu l’autorisation de comparaître comme partie. Toutefois, le 24 août 2009, le plaignant a retiré sa requête contre la banque. Il n’a pas abandonné sa requête contre le tiers mis en cause.

Étant donné que le tiers mis en cause n’était pas le sujet de l’enquête et du rapport de la commissaire à la protection de la vie privée, le Commissariat estime que la requête n’est plus à proprement parler une demande en vertu de l’article 14 (le mis en cause approprié en ce qui concerne une demande en vertu de l’article 14 doit être l’organisation intimée ayant à l’origine fait l’objet du rapport du Commissariat). Nous avons donc informé la Cour que nous n’interviendrions pas dans l’affaire entre le demandeur et le tiers et que nous ne participerions plus à la procédure.

Remarque : Cette affaire a été abordée dans le rapport annuel de 2008.

Le plaignant a allégué que le vice président d’une entreprise avait recueilli des renseignements personnels de manière inappropriée en ayant envoyé un courriel qui demandait si quelqu’un connaissait l’entreprise pour laquelle le plaignant travaillait. Une enquête effectuée par le Commissariat a déterminé que la plainte relative à la collecte de renseignements n’était pas fondée. Le plaignant a déposé une demande à la Cour fédérale dans laquelle il réclamait des dommages intérêts de 75 000 $ et une déclaration selon laquelle on aurait porté atteinte aux droits qui lui sont conférés par la LPRPDE.

En ce qui concerne la réclamation de dommages-intérêts en vertu de l’alinéa 16c) de la LPRPDE, le Commissariat a participé à l’affaire à titre de partie jointe afin de présenter son point de vue sur la façon dont la Cour devrait procéder pour accorder les dommages intérêts demandés en vertu de la LPRPDE.

Le 18 février 2009, la Cour fédérale a rejeté la demande du plaignant après être arrivée aux mêmes conclusions que la commissaire adjointe à la suite de son enquête.

Remarque : Cette affaire a également été abordée dans les rapports annuels de 2007 et de 2008.

Demandes déposées par la commissaire en vertu de l’article 15 de la LPRPDE

Par suite d’un incident survenu lors d’un vol court courrier, une personne a demandé à avoir accès à ses renseignements personnels conservés par Air Canada. La compagnie aérienne a refusé de fournir les renseignements, invoquant le secret professionnel de l’avocat.

La personne a porté plainte auprès du Commissariat. Nous n’avons pu régler l’affaire en cours d’enquête, car Air Canada refusait de fournir au Commissariat suffisamment de détails expliquant sa revendication du secret professionnel de l’avocat. En particulier, nous avons demandé qu’Air Canada fournisse une déclaration sous serment pour étayer cette revendication.

Air Canada était d’avis que le Commissariat n’avait pas le pouvoir d’enquêter sur les revendications du secret professionnel de l’avocat conformément à la décision de la Cour suprême du Canada dans l’affaire Canada (commissaire à la protection de la vie privée) c. Blood Tribe Department of Health.

Le 30 janvier 2009, nous avons déposé une demande d’audience pour obtenir une déclaration confirmant que la commissaire à la protection de la vie privée avait la compétence en vertu de la loi pour enquêter sur des plaintes relatives à l’application de l’exception au droit d’accès en raison du secret professionnel de l’avocat aux termes de l’alinéa 9(3)a) de la Loi.

Il est prévu que l’affaire sera entendue par la Cour fédérale le 23 mars 2010.

Remarque : Cette affaire a été abordée dans le rapport annuel de 2008.

Les requêtes découlent de plaintes relatives au refus de communiquer de l’information déposées contre State Farm. L’assureur avait refusé de donner aux plaignants accès aux renseignements personnels les concernant au motif que la LPRPDE ne s’appliquait pas parce que la collecte, l’utilisation et la communication des renseignements personnels demandés par les plaignants à State Farm ne constituaient pas des « activités commerciales », et que tout renseignement relatif aux plaignants serait exempté de l’obligation de communication conformément aux alinéas 9(3)a) (secret professionnel liant l’avocat à son client) et 9(3)d) (renseignements fournis à l’occasion d’un règlement officiel des différends) de la LPRPDE.

Dans ses rapports de conclusions, le Commissariat a conclu que State Farm menait des activités commerciales et qu’il revenait à State Farm de justifier toute revendication du privilège, ainsi que l’invocation des exceptions de la LPRPDE relatives aux renseignements fournis à l’occasion d’un règlement officiel des différends.

Étant donné que State Farm n’a pas fourni assez de renseignements pour s’acquitter du fardeau de la preuve, le Commissariat a conclu que les plaintes relatives au refus de communiquer de l’information étaient fondées.

Le 22 juillet 2009, le Commissariat a déposé trois demandes afin d’obtenir, notamment :

• des déclarations selon lesquelles State Farm menait des activités commerciales;
• des ordonnances qui confirment ou rejettent les revendications de State Farm selon lesquelles les documents demandés par les plaignants, dont la communication a été refusée, étaient protégés par le secret professionnel de l’avocat ou constituaient des renseignements fournis à l’occasion d’un règlement officiel des différends;
• des déclarations selon lesquelles le mis en cause doit communiquer tout renseignement illégalement refusé aux plaignants en contravention à la LPRPDE.

Le 29 septembre 2009, la Cour, en réponse à une requête déposée par State Farm, a ordonné une suspension d’instance pour les trois demandes jusqu’à ce qu’une décision finale soit rendue dans l’affaire State Farm c. Commissaire à la protection de la vie privée et procureur général du Canada qui tranchera une question semblable, à savoir si State Farm menait des « activités commerciales ». (Consulter la page 92 pour plus de détails à ce sujet.)

Cette affaire portait sur la collecte de renseignements personnels de clients d’un bar par l’entremise d’un appareil qui recueillait et conservait les renseignements personnels figurant au recto d’une pièce d’identité comme un permis de conduire.

À la suite de l’enquête relative à une plainte déposée par une cliente de Canad Inns, la commissaire adjointe à la protection de la vie privée avait conclu que les enregistreurs de pièces d’identité recueillaient plus de renseignements qu’il était nécessaire aux fins de la vérification de l’âge des clients et de sécurité invoquées par Canad Inns. La commissaire adjointe a recommandé que Canad Inns cesse de recueillir et de conserver ainsi des renseignements personnels et supprime les renseignements personnels des clients conservés dans la mémoire des enregistreurs de pièces d’identité.

Canad Inns s’est dit en désaccord avec ces recommandations. Avec le consentement de la plaignante, nous avons demandé une audience à la Cour fédérale afin de faire respecter nos recommandations.

À la suite de la médiation ordonnée par la Cour au début de 2009, cette dernière a accordé à Canad Inns une période de temps pour établir des moyens de limiter la quantité de renseignements personnels qu’elle recueille. L’affaire est encore devant la Cour, car les parties procèdent à l’examen des efforts de Canad Inns en la matière.

Remarque : L’affaire a été abordée dans les rapports annuels de 2007 et de 2008.

Demandes de contrôle judiciaire présentées en vertu de l’article 18.1 de la Loi sur les Cours fédérales

State Farm a déposé une demande de contrôle judiciaire à la Cour fédérale le 17 avril 2009. Dans sa demande, State Farm affirme que la commissaire à la protection de la vie privée a outrepassé sa compétence et a commis une erreur de droit en décidant de faire enquête sur une plainte contre State Farm relative au refus de communiquer de l’information.

Les principales questions soulevées dans la demande consistent à déterminer si les renseignements recueillis par un assureur à des fins d’enquête, de défense ou d’indemnisation liées à une réclamation d’assurance de responsabilité civile constituent une collecte, une utilisation ou une communication dans le cadre d’une « activité commerciale » aux termes de la LPRPDE. Si la Cour conclut qu’il s’agit d’activités commerciales, State Farm conteste la validité constitutionnelle de l’application de la LPRPDE à ces activités au motif que cette application est en conflit avec les règles de procédure civile et les lois applicables à l’industrie de l’assurance provinciales, et qu’une telle application outrepasserait donc la compétence législative du Parlement.

Le Commissariat a fait valoir que la demande de contrôle judiciaire de State Farm est prématurée puisqu’elle a été déposée avant la publication du rapport de conclusions du Commissariat. Si la Cour appuie la position du Commissariat, le fondement de la demande de State Farm ne sera pas entendu.

Une audience a été prévue pour le 13 avril 2010.

Remarque : Il s’agit de la suite d’une affaire décrite dans le rapport annuel de 2008 (State Farm Automobile Insurance Company c. commissaire à la protection de la vie privée du Canada, Cour d’appel du Nouveau Brunswick).

Le demandeur a présenté une demande de contrôle judiciaire du rapport de conclusions publié par le Commissariat traitant d’une plainte relative au refus de l’organisation mise en cause de communiquer de l’information. Le Commissariat a déposé une requête en radiation de la demande au motif que cette dernière était hors délai, qu’elle ne renfermait aucune allégation pouvant vraiment faire l’objet d’un contrôle judiciaire, et qu’il serait plus approprié de déposer une demande auprès de la Cour conformément à l’article 14 de la LPRPDE.

Le 10 février 2010, la Cour a accueilli notre requête et a rejeté la demande de contrôle judiciaire avec dépens au profit de la commissaire à la protection de la vie privée.

Autres

Le Commissariat a été autorisé à présenter un mémoire d’amicus curiae (à savoir un mémoire écrit pour guider un tribunal dans son processus décisionnel) dans le cadre d’une procédure devant la United States Tenth Circuit Court of Appeals de l’affaire Accusearch, Inc., s/n Abika.com, et X c. Federal Trade Commission des États Unis. L’entreprise, un site Web américain offrant des services de recherche, avait aussi fait l’objet d’une plainte déposée auprès du Commissariat. Nous avons également publié en 2009 les résultats de notre enquête sur Accusearch, Inc. (Consulter la page 47 pour plus de détails à ce sujet.)

Selon nous, l’affaire devant la United States Tenth Circuit Court of Appeals portait sur la circulation transfrontière des données entre les États-Unis et le Canada, la collecte, l’utilisation et la communication de renseignements personnels par les courtiers en données à l’insu de l’intéressé et sans son consentement, et les répercussions du commerce en ligne de renseignements personnels sur le droit à la vie privée. Comme tel, le mémoire d’amicus curiae du Comissariat expliquait la mesure dans laquelle la décision de la Cour aurait une incidence directe sur le droit à la vie privée des Canadiennes et Canadiens et sur la réputation des organisations canadiennes touchées par les activités des courtiers en données.

En juin 2009, la United States Tenth Circuit Court of Appeals a entériné une décision d’un juge de la Cour de district du Wyoming aux États-Unis qui a accordé une injonction et une réparation pécuniaire contre Accusearch, Inc.

Remarque : L’affaire a également été abordée dans le rapport annuel de 2008.

Lois provinciales et territoriales essentiellement similaires à la loi fédérale

Selon le paragraphe 25(1) de la LPRPDE, le Commissariat est tenu de déposer annuellement devant le Parlement un rapport sur « la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires » à la Loi.

Dans les rapports annuels antérieurs, nous avons abordé la législation au Québec, en Ontario (pour les renseignements personnels sur la santé), en Alberta et en Colombie-Britannique, qui a été déclarée essentiellement similaire.

En décembre 2009, Industrie Canada nous a demandé d’examiner et de commenter la Loi sur l’accès et la protection en matière de renseignements personnels sur la santé (LAPRPS) du Nouveau-Brunswick, à savoir si cette dernière est essentiellement similaire à la LPRPDE, afin d’inclure notre position dans sa recommandation au gouverneur en conseil.

Le gouvernement du Nouveau-Brunswick a demandé à ce que la LAPRPS soit reconnue comme étant essentiellement similaire à la LPRPDE. La LAPRPS a reçu la sanction royale le 19 juin 2009 et devrait entrer en vigueur en 2010.

Industrie Canada a établi que pour être reconnue comme étant essentiellement similaire, une loi provinciale ou territoriale doit :

• inclure les dix principes énoncés à l’annexe 1 de la LPRPDE;
• prévoir un mécanisme de surveillance et de recours indépendant et efficace, qui comprend le pouvoir d’enquêter; et
• restreindre la collecte, l’utilisation et la communication de renseignements personnels à des fins appropriées ou légitimes.

Au moment de rédiger ce rapport, nous n’avions pas terminé notre examen du texte de loi.

L’année qui vient

Alors que s’amorce l’année 2010, nous nous attendons à vivre une autre période remplie de nouveaux défis pour la vie privée. Voici un avant-goût de ce qui nous attend cette année.

Enquêtes

Le Commissariat a reçu de nouvelles plaintes qui laissent supposer que nous continuerons de nous pencher sur les enjeux de vie privée liés au réseautage social en 2010.

Nous avons reçu une nouvelle plainte au sujet de Facebook et entamé une enquête à ce sujet. La plainte en question porte sur un outil, mis en œuvre par Facebook à la mi-décembre 2009, qui amenait les utilisateurs à réviser leurs paramètres de confidentialité. Le plaignant a allégué que les nouveaux paramètres par défaut auraient rendu ses renseignements plus accessibles que les paramètres qu’il avait déjà mis en place.

Cette plainte reprend certaines des préoccupations que le Commissariat a entendues et exprimées à Facebook à la fin de 2009. Nous avons constaté en lisant des blogues et des groupes de discussion en ligne que certains utilisateurs de Facebook ont été déçus par certains changements apportés au site.

Nous avons également reçu une plainte de la part d’un groupe de défense de l’intérêt public au sujet de Nexopia, un site de réseautage social ayant son siège à Edmonton.

Consultations

Les percées technologiques seront également le point de mire d’une série de consultations que nous prévoyons mener en 2010.

Ces consultations publiques comprendront un examen approfondi des pratiques de suivi, de profilage et de ciblage en ligne des consommateurs, et de l’informatique dans les nuages.

Notre objectif est de recueillir de l’information qui contribuera à guider l’élaboration des politiques du Commissariat, et à nous préparer au prochain examen de la LPRPDE.

Vie privée et dispositions législatives

Avec le prochain examen de la LPRPDE prévu pour 2011, nous nous pencherons de plus en plus sur la question de savoir si des modifications sont nécessaires pour faire en sorte que la Loi puisse continuer de faire face aux nouveaux risques pour la vie privée.

Nous avons demandé à deux éminents universitaires, Lorne Sossin de l’Université de Toronto et France Houle de l’Université de Montréal, d’analyser l’efficacité du modèle d’ombudsman prévu par la LPRPDE dans la réglementation des pratiques de traitement des renseignements personnels dans le secteur privé. Il s’agit d’une question qui a suscité beaucoup d’intérêt et de débats depuis l’entrée en vigueur de la LPRPDE en 2001.

Parmi les enjeux qu’ils aborderont, on retrouve les suivants :

• le contexte réglementaire (économique, juridique et politique) dans lequel la LPRPDE a été édictée, comparativement à l’environnement actuel;
• le meilleur moyen d’évaluer le modèle d’ombudsman prévu par la LPRPDE (y compris une analyse comparative avec des modèles en place dans certaines provinces et avec un échantillon de modèles en vigueur dans d’autres pays); et
• une analyse qualitative de l’efficacité du Commissariat.

Ce rapport contribuera à orienter notre position alors que nous nous dirigeons vers le prochain examen de la LPRPDE. Nous prévoyons publier ce rapport en 2010.

En ce qui concerne les enjeux parlementaires, nous espérons voir la Loi sur la protection du commerce électronique, qui vise à contrer le pourriel, revenir au programme législatif. Cette loi serait d’une grande importance pour le Commissariat puisqu’elle inclut des modifications qui nous permettraient de travailler de plus près avec nos homologues provinciaux et internationaux. Elle nous donnerait également une plus grande latitude au moment d’accepter ou non des plaintes.

Nous espérons également que sera présenté un projet de loi qui rendrait obligatoire le signalement au Commissariat de fuites de données significatives de la part des organisations du secteur privé.

Sur la scène internationale

Nous poursuivrons également notre participation active auprès de la communauté internationale de la protection de la vie privée.

Nous nous concentrerons particulièrement sur les travaux de l’Organisation de coopération et de développement économiques (OCDE). Afin de souligner le 30^e anniversaire de ses Lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, l’OCDE planifie présentement une série d’événements portant sur la manière dont ces dernières ont été mises en pratique.

On a demandé à la commissaire Stoddart de diriger un groupe de volontaires qui aidera l’OCDE à planifier ces événements. Entre autres, le Commissariat contribuera à rédiger un document de discussion de l’OCDE qui décrira le nouvel environnement de la protection de la vie privée et identifiera les défis pour la protection de la vie privée au 21^e siècle. Nous participons également à la planification de deux ateliers et d’une conférence qui auront lieu en octobre 2010 dans le voisinage immédiat de la Conférence internationale des commissaires à la vie privée et à la protection des données.

Annexe 1 – Définitions et processus d’enquête

Définitions des types de plaintes déposées en vertu de la LPRPDE

Les plaintes adressées au Commissariat sont réparties selon les principes et les dispositions de la LPRPDE qui auraient été enfreints :

• Accès. Une personne s’est vue refuser l’accès aux renseignements personnels qu’une organisation détient à son sujet ou n’a pas reçu tous les renseignements, soit en raison de l’absence de certains documents ou renseignements ou parce que l’organisation a invoqué des exceptions afin de soustraire les renseignements.
• Collecte. Une organisation a recueilli des renseignements personnels non nécessaires ou les a recueillis par des moyens injustes ou illégaux.
• Consentement. Une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement explicite de la personne concernée ou elle a fourni des biens et des services à la condition que la personne consente à la collecte, à l’utilisation ou à la communication déraisonnable de renseignements personnels.
• Conservation. Les renseignements personnels sont conservés plus longtemps qu’il n’est nécessaire aux fins qu’une organisation a déclarées au moment de la collecte des renseignements ou, s’ils ont été utilisés pour prendre une décision au sujet d’une personne, l’organisation n’a pas conservé les renseignements assez longtemps pour permettre à la personne d’y avoir accès.
• Correction/Annotation. L’organisation n’a pas corrigé, à la demande d’une personne, les renseignements personnels qu’elle détient à son sujet ou, en cas de désaccord avec les corrections demandées, n’a pas annoté les renseignements afin d’indiquer la teneur du désaccord.
• Délais. Une organisation a omis de fournir à une personne l’accès aux renseignements personnels qui la concernent dans les délais prévus par la Loi.
• Exactitude. Une organisation a omis de s’assurer que les renseignements personnels qu’elle utilise sont exacts, complets et à jour.
• Frais. Une organisation a exigé plus que des frais minimaux pour fournir à des personnes l’accès à leurs renseignements personnels.
• Mesures de sécurité. Une organisation n’a pas protégé les renseignements personnels qu’elle détient par des mesures de sécurité appropriées.
• Possibilité de porter plainte. Une organisation a omis de mettre en place les procédures ou les politiques qui permettent à une personne de porter plainte en vertu de la Loi ou elle a enfreint ses propres procédures et politiques.
• Responsabilité. Une organisation a failli à l’exercice de ses responsabilités à l’égard des renseignements personnels qu’elle possède ou qu’elle garde ou elle a omis de désigner une personne responsable de surveiller l’application de la Loi.
• Transparence. Une organisation a omis de rendre facilement accessible aux personnes des renseignements précis sur ses pratiques et politiques en matière de gestion des renseignements personnels.
• Utilisation et communication. Les renseignements personnels sont utilisés ou communiqués à des fins autres que celles pour lesquelles ils avaient été recueillis, sans le consentement de la personne concernée, et l’utilisation ou la communication de renseignements personnels sans le consentement de la personne concernée ne font pas partie des exceptions prévues dans la Loi.

Définitions des conclusions et d’autres dispositions

Le Commissariat a élaboré des définitions de conclusions et de décisions afin d’expliquer les résultats des enquêtes effectuées conformément à la LPRPDE :

• Non fondée. L’enquête n’a pas permis de déceler les éléments de preuves qui suffisent à conclure qu’une organisation a enfreint la LPRPDE.
• Fondée. L’organisation n’a pas respecté une disposition de la LPRPDE.
• Résolue. L’enquête a corroboré les allégations, mais avant la fin de l’enquête, l’organisation a pris des mesures correctives pour remédier à la situation, à la satisfaction du Commissariat, ou s’est engagée à prendre ces mesures.
• Fondée et résolue. La commissaire est d’avis, au terme de son enquête, que les allégations semblent fondées sur des preuves, mais fait une recommandation à l’organisation concernée avant de rendre ses conclusions, et l’organisation prend ou s’engage à prendre les mesures correctives recommandées.
• Réglée en cours d’enquête. Le Commissariat aide à négocier, en cours d’enquête, une solution qui convient à toutes les parties. Aucune conclusion n’est rendue.
• Abandonnée. Il s’agit d’une enquête qui est terminée avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons, par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire ou il est impossible de lui demander de fournir des renseignements supplémentaires, lesquels sont essentiels pour en arriver à une conclusion.
• Hors juridiction. L’enquête a démontré que la LPRPDE ne s’applique pas à l’organisation ou à l’activité faisant l’objet de la plainte.
• Réglée rapidement. Situation dans laquelle l’affaire est réglée avant même qu’une enquête officielle ne soit entreprise. À titre d’exemple, si une personne dépose une plainte concernant un sujet qui a déjà fait l’objet d’une enquête par le Commissariat et qui a été jugé conforme à la LPRPDE, nous donnons les explications nécessaires à la personne plaignante. Cette conclusion s’applique également lorsqu’une organisation, mise au courant des allégations, règle immédiatement la question à la satisfaction du plaignant et du Commissariat.
• Aucun rapport émis aux termes du paragraphe 13(2). Le commissaire n’est pas tenu de dresser un rapport si certaines conditions sont remplies : a) si le plaignant devrait d’abord épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement ouverts; b) la plainte pourrait être avantageusement instruite, dans un premier temps ou à toutes les étapes, selon des procédures prévues par le droit fédéral ou le droit provincial; c) le délai écoulé entre la date où l’objet de la plainte a pris naissance et celle du dépôt de celle-ci est tel que le rapport serait inutile; ou d) la plainte est futile, vexatoire ou entachée de mauvaise foi. S’il ne dresse pas de rapport, le commissaire informe le plaignant et l’organisation, en précisant les motifs.

Processus d’enquête

Annexe 2 – Statistiques en matière d’enquête pour 2009

Plaintes reçues par type de plainte

Type de plainte	Nombre		Pourcentage
2009	2008	2009	2008
Accès	64	73	28	17
Utilisation et communication	59	162	26	38
Collecte	33	93	14	22
Consentement	22	24	10	6
Mesures de sécurité	21	30	9	7
Responsabilité	10	8	4	2
Exactitude	9	8	4	2
Transparence	4	3	2	< 1
Conservation	3	0	1	0
Délais	3	11	1	3
Possibilité de porter plainte	2	2	1	< 1
Correction/Annotation	1	5	< 1	1
Frais	0	1	0	< 1
Autre	0	2	0	< 1
Total	231	422

Comme on le mentionne ailleurs dans ce rapport, nous avons reçu moins de plaintes en 2009 pour tous les types de plaintes. Au cours des dernières années, les plaintes portant sur l’accès, l’utilisation et la communication, et la collecte ont formé une part significative de l’ensemble des plaintes reçues par le Commissariat.

Les plaintes relatives à l’accès représentent le plus grand nombre des plaintes que nous avons reçues en 2009. Les plaintes au sujet de l’accès allèguent que des organisations n’ont pas répondu à des demandes d’accès aux renseignements personnels ou n’ont pas fourni tous les renseignements auxquels les personnes considèrent avoir droit.

Les plaintes relatives à l’accès représentent une part beaucoup plus importante de l’ensemble des plaintes cette année que l’année dernière. Nous avons reçu un bon nombre de plaintes sur l’accès liées au secteur des assurances. Dans certains cas, des avocats et/ou des « facilitateurs » déposent des plaintes contre une ou plusieurs organisations au nom d’un plaignant. Ce genre de plainte est souvent faite en lien avec un litige opposant un assureur et une personne.

Les deuxièmes plaintes en importance sont liées à la manière dont les organisations ont utilisé et communiqué des renseignements. Par exemple, on allègue que des renseignements personnels seraient utilisés à des fins autres que celles pour lesquelles ils ont été recueillis ou seraient communiqués à des tiers sans le consentement de la personne concernée.

Les plaintes liés à la collecte, troisièmes en importance, portent habituellement sur la collecte de renseignements sans le consentement approprié ou sur la collecte de plus de renseignements qu’il n’est nécessaire pour remplir le but visé de la collecte.

Plaintes résolues par type de conclusion

Conclusion	Nombre		Pourcentage
2009	2008	2009	2008
Non fondée	142	74	24	18
Abandonnée	118	108	20	26
Résolution rapide	76	19	13	5
Fondée et résolue	61	30	10	7
Réglée en cours d’enquête	55	108	9	26
Résolue	51	27	9	7
Fondée	45	25	8	6
Hors juridiction	35	20	6	5
Aucun rapport émis en vertu du para 13(2)	4	0	1	0
Autre	0	1	0	< 1
TOTAL	587	412

Nous avons fermé un nombre beaucoup plus élevé de dossiers en 2009 en raison d’un effort concerté d’élimination de l’arriéré de dossiers d’enquêtes.

Nous avons également remarqué des changements significatifs d’une année à l’autre dans la répartition par type de conclusion. Ces variations peuvent être attribuées à deux facteurs : d’abord, nous avons terminé un grand nombre d’enquêtes qui duraient depuis longtemps et où il n’avait pas été possible de trouver une solution rapidement; ensuite, nous avons mis en œuvre un processus formel de résolution rapide à la fin de 2009.

Nous avons été fiers de voir une saillie importante dans le nombre de résolutions rapides. Nous espérons que ce type de règlement représentera une part de plus en plus grande de l’ensemble de nos conclusions, à mesure que de plus en plus de plaintes sont attribuées à notre nouvelle équipe chargée des résolutions rapides. (Consulter la page 59 pour plus de détails au sujet de ce nouveau processus.)

Par le passé, plusieurs plaintes faciles à régler étaient considérées comme étant réglées en cours d’enquête après avoir été attribuées à un enquêteur. Le nombre croissant de plaintes réglées rapidement explique le nombre plus faible de plaintes réglées en cours d’enquête.

Le nombre plus faible de plaintes résolues en cours d’enquête en 2009 s’explique également par le grand nombre de plaintes résolues qui faisaient partie de l’arriéré. Un nombre significatif des plaintes sur les assurances faisant partie de l’arriéré que nous avons résolues ont été jugées non fondées.

Conclusions par type de plainte

Abandonnée	Réglée rapidement	Hors juridiction	Non fondée	Aucun rapport émis aux termes du para 13(2)	Résolue	Réglée en cours d’enquête	Fondée	Fondée et résolue	TOTAL	Pourcentage
Utilisation et communication	50	23	8	59	0	10	15	15	27	207	35
Accès	19	19	5	17	4	15	12	8	15	114	19
Collecte	25	12	12	25	0	12	13	8	6	113	19
Mesures de sécurité	3	5	3	18	0	7	7	6	2	51	9
Consentement	5	8	1	8	0	2	2	2	1	29	5
Délais	3	3	1	1	0	2	2	2	3	17	3
Exactitude	3	2	2	4	0	2	0	1	1	15	3
Responsabilité	3	1	2	2	0	1	1	1	0	11	2
Transparence	2	0	1	3	0	0	0	1	2	9	2
Correction/ Annotation	1	2	0	2	0	0	0	0	2	7	1
Possibilité de porter plainte	1	1	0	0	0	0	1	0	2	5	< 1
Conservation	0	0	0	1	0	0	2	1	0	4	< 1
Frais	1	0	0	2	0	0	0	0	0	3	< 1
Autre	2	0	0	0	0	0	0	0	0	2	< 1
TOTAL	118	76	35	142	4	51	55	45	61	587

Conclusions par secteur industriel

Abandonnée	Résolue rapidement	Hors juridiction	Non fondée	Aucun rapport émis aux termes du para 13(2)	Résolue	Réglée en cours d’enquête	Fondée	Fondée et résolue	TOTAL
Institutions financières	17	31	8	30	0	12	14	5	26	143
Assurances	27	9	2	32	3	6	5	4	7	95
Ventes	42	9	6	10	0	7	6	5	6	91
Télécommunications	8	15	2	15	1	12	6	3	1	63
Transports	6	2	7	15	0	6	5	4	7	52
Hébergement	5	1	4	12	0	4	1	8	3	38
Autre	3	5	2	4	0	2	6	4	7	33
Services professionnels	5	1	1	7	0	1	3	7	2	27
Santé	1	2	2	13	0	0	0	1	1	20
Services	4	1	1	3	0	1	6	3	0	19
Divertissements	0	0	0	1	0	0	3	1	0	5
Location	0	0	0	0	0	0	0	0	1	1
TOTAL	118	76	35	142	4	51	55	45	61	587

Délais de traitement des enquêtes par type de plainte

Type de plainte	Délai moyen de traitement, en mois
Consentement	11
Responsabilité	15
Exactitude	15
Autre	17
Conservation	18
Délais	18
Utilisation et communication	18
Transparence	19
Accès	20
Collecte	20
Correction/Annotation	20
Mesures de sécurité	20
Frais	32 *
Moyenne globale	18.5

* Les frais ne représentent que trois dossiers d’enquête.

Délais de traitement par type de conclusion

Conclusion	Délai moyen de traitement, en mois
Résolue rapidement	6
Aucun rapport émis aux termes du para 13(2)	13
Abandonnée	14
Réglée en cours d’enquête	16
Hors juridiction	17
Résolue	20
Non fondée	24
Fondée et résolue	26
Fondée	27
Moyenne globale	18.5

Nos délais de traitement des enquêtes demeurent plus élevés que nous le souhaiterions, bien qu’ils soient moins élevés que ceux de l’année dernière. Nos délais moyens ont été plus longs en 2009 parce que nous avons fermé un grand nombre de dossiers qui faisaient partie de l’arriéré.

Maintenant que l’arriéré a été éliminé, nous nous attendons à voir une chute dramatique des délais de traitement pour l’année 2010.