Rapport annuel concernant la Loi sur la protection des renseignements personnels 2011-2012

Supports de substitution

Table des matières

Message de la commissaire

Un bref historique : La loi fédérale en matière de protection des renseignements personnels et le Commissariat à la protection de la vie privée du Canada

La protection de la vie privée en chiffres en 2011-2012

Chapitre 1

Bilan de l’année : principales réalisations en 2011-2012

Chapitre 2

Intégration de la protection de la vie privée dans les politiques publiques

Chapitre 3

Défis en matière de gestion des renseignements personnels

Chapitre 4

Le Commissariat à l’œuvre — Renforcer le droit de la population canadienne à la vie privée

Chapitre 5

L’année à venir

Annexe 1 — Définitions

Annexe 2 — Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels

Plaintes et enquêtes en vertu de la Loi sur la protection des renseignements personnels, du 1er avril 2011 au 31 mars 2012

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

La Loi sur la protection des renseignements personnels, 1982 – 2012
Trois décennies de protection des renseignements personnels au Canada

Commissariat à la protection de la vie privée du Canada
Trois décennies de protection des renseignements personnels au Canada 112, rue Kent
Ottawa (Ontario)
K1A 1H3

(613) 947-1698, 1-800-282-1376
Télécopieur : (613) 947-6850
ATS : (613) 992-9190

Suivez-nous sur Twitter : @privacyprivee

© Ministre des Travaux publics et des Services gouvernementaux Canada 2012
No de cat. IP50-2012
1910-006X

Suivez nous sur Twitter : @priveeprivacy


Octobre 2012

L’honorable Noël A. Kinsella, sénateur
Président
Le Sénat du Canada
Ottawa (Ontario) K1A 0A4

Monsieur le Président,

J'ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada sur la Loi sur la protection des renseignements personnels pour la période du 1er avril 2011 au 31 mars 2012, conformément à l’article 38 de la Loi.

Veuillez agréer, Monsieur le Président, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

(Document original signé par)

Jennifer Stoddart


Octobre 2012

L’honorable Andrew Sheer, député
Président
La Chambre des communes
Ottawa (Ontario) K1A 0A6

Monsieur le Président,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada sur la Loi sur la protection des renseignements personnels pour la période du 1er avril 2011 au 31 mars 2012, conformément à l’article 38 de la Loi.

Veuillez agréer, Monsieur le Président, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

(Document original signé par)

Jennifer Stoddart


À propos de la Loi sur la protection des renseignements personnels

La Loi sur la protection des renseignements personnels, qui est entrée en vigueur en 1983, oblige environ 250 ministères et organismes fédéraux à respecter le droit à la vie privée des personnes en limitant la collecte, l’utilisation et la communication de leurs renseignements personnels.

La Loi sur la protection des renseignements personnels permet également aux personnes de demander l’accès aux renseignements personnels les concernant qui pourraient être conservés par des organismes fédéraux. Si elles pensent que ces renseignements sont inexacts ou incomplets, elles ont aussi le droit, en vertu de la Loi, de demander une correction.

Message de la commissaire

L’évolution de la protection de la vie privée au fil de trois décennies 

C’était le meilleur et le pire de tous les temps, le siècle de la folie et celui de la sagesse; une époque de foi et d’incrédulité; une période de lumière et de ténèbres, d’espérance et de désespoir […].

–          Lignes d’ouverture, Paris et Londres en 1793 (A Tale of Two Cities), Charles Dickens

Lorsque la Loi sur la protection des renseignements personnels a vu le jour il y a 30 ans, très peu de personnes connaissaient l’expression « société de surveillance » et encore moins étaient préoccupées par son émergence.

Pour illustrer ce concept, le premier rapport annuel du Commissariat à la protection de la vie privée du Canada présentait en page couverture le dessin humoristique d’un homme regardant par le trou d’une serrure.

Comme cela semble innocent en rétrospective!

Qui d’entre nous aurait pu prévoir qu’une surveillance aussi omniprésente serait à la portée des systèmes gouvernementaux?

Qui aurait pu imaginer que des caméras vidéo traqueraient des personnes vaquant innocemment à leurs activités quotidiennes sur la rue principale d’un quartier? Que les aéroports auraient recours à des scanneurs permettant de voir à travers nos vêtements? Ou encore que les lettres sur support papier traditionnelles de cette époque échapperaient davantage aux regards indiscrets de l’État que les courriels qui les remplacent aujourd’hui?  

L’appétit des gouvernements pour les renseignements personnels des citoyens au cours des trois dernières décennies s’est avéré vorace.

À maintes reprises, les commissaires à la protection de la vie privée ont tiré la sonnette d’alarme et mis le public et le Parlement en garde contre les risques que pose la collecte excessive de renseignements sur les citoyens.

Au fil des ans, diverses enquêtes menées par le Commissariat ont mis au jour des cas de refus d’accès ou de collecte et de communication indues de renseignements.

Une vérification menée en 2008 a révélé que les fichiers inconsultables nationaux de la Gendarmerie royale du Canada (GRC) — auxquels le public n’a pas accès — contenaient des dizaines de milliers de dossiers qui n’auraient pas dû y être. Les fichiers inconsultables renferment les renseignements les plus confidentiels liés à la sécurité nationale et à la criminalité, et pourtant, plus de la moitié des dossiers examinés dans le cadre de notre vérification ne répondaient pas au critère pour continuer d’être conservés parmi les fichiers inconsultables.

Dix ans plus tôt, lorsque le système fédéral de navigation aérienne a été privatisé, les préoccupations du Commissariat concernant le transfert de renseignements personnels par Transports Canada a mené à l’élimination d’un million de pages de documents périmés ou non pertinents.

L’évolution de la protection de la vie privée

L’évolution des enjeux liés à la protection de la vie privée au cours de nos 30 premières années d’existence a été très remarquable.

La Loi sur la protection des renseignements personnels a été adoptée par le Parlement en 1982, soit deux années avant l’apparition du premier téléphone cellulaire au pays. Les machines à écrire électriques étaient encore la norme dans les secteurs public et privé. Les visionnaires parlaient d’une chose appelée Internet. 

Les gros titres des années 1980 sur les questions de protection de la vie privée témoignent de ces temps plus faciles.

Lorsque les renseignements personnels de près de 16 millions de contribuables ont été volés d’un bureau de Revenu national en 1986 — incident que nous avons qualifié de « véritable Tchernobyl pour la protection de la vie privée » —, les détails miniaturisés étaient enregistrés sur des rectangles de pellicule photographique appelés microfiches.

À cette époque, l’un des motifs les plus couramment invoqués dans les plaintes déposées au Commissariat était les demandes de production du numéro d’assurance sociale, qui se retrouvait sur une carte que beaucoup transportaient dans leur portefeuille.

À la même époque, toutefois, de nouvelles inquiétudes liées aux renseignements personnels ont surgi; le Commissariat a signalé les risques pour la vie privée que pouvaient poser le couplage de données, la circulation transfrontalière des renseignements, les cartes à puce et la génétique.  

La prolifération des atteintes à la vie privée de faible technicité et l’apparition de nouvelles menaces ont contribué à transformer le paysage de la protection de la vie privée. Comme l’a écrit John Grace, commissaire à la protection de la vie privée, en 1990, « la protection de la vie privée était naguère une question sociale marginale, une préoccupation ésotérique qui n’intéressait qu’un petit groupe; elle est devenue un problème universel d’actualité ».

Ce changement s’est reflété dans la charge de travail du Commissariat, le nombre de plaintes ayant augmenté annuellement de plus de 10 % durant les années 1980.

C’est là que le rythme a commencé à s’accélérer.

Deuxième décennie

Durant la deuxième décennie d’existence de la Loi sur la protection des renseignements personnels, soit de 1992 à 2002, l’évolution rapide de la société canadienne — l’essor de l’informatique, le développement des logiciels et la transformation des renseignements personnels en marchandise — a entraîné une augmentation des risques d’atteinte à la vie privée.

Les enjeux sont devenus de plus en plus complexes et le public mettait du temps à prendre conscience des nouveaux risques. La sensibilisation du public est devenue une grande priorité.

Dans notre rapport annuel de 1995-1996, deux pages sont consacrées à la description de la piste électronique de renseignements personnels que la population canadienne laisse involontairement derrière elle lors d’une journée typique dans la nouvelle société de l’information. 

Le commissaire à la protection de la vie privée de l’époque, Bruce Phillips, avait abandonné l’espoir que la prise de mesures volontaires dans le secteur privé arriverait à protéger efficacement les renseignements personnels. Il exhortait plutôt le gouvernement à élaborer une loi fédérale sur la protection des renseignements personnels applicable au secteur privé. 

Bruce Phillips a également invité l’ensemble de la population canadienne à établir un fondement éthique pour la nouvelle cybertechnologie, appel éloquent qui trouve encore un écho aujourd’hui. « Si nous ne voulons pas voir notre existence obéir à la technologie, cette dernière doit aussi contribuer à affirmer notre dignité et à réaliser notre potentiel humain », a-t-il affirmé.  

Une invitation qui s’avère toujours de circonstance.

Cinq années plus tard, notre rapport annuel de 1999-2000 révélait l’existence jusqu’ici non publicisée d’un « dossier unique sur chaque citoyen », créé par Développement des ressources humaines Canada.

Une vérification menée par le Commissariat a révélé qu’une base de données portant le titre inoffensif de « Fichier longitudinal sur la main-d’œuvre » contenait jusqu’à 2 000 éléments d’information sur des particuliers canadiens extraits notamment de divers dossiers liés aux déclarations de revenus, aux programmes provinciaux et municipaux d’aide sociale, au service national de placement et à la prestation fiscale pour enfants, ainsi que du fichier maître de l’assurance sociale. Puisque les données n’avaient jamais été épurées, la base de données contenait des dossiers sur 33,7 millions de personnes, un chiffre qui dépassait le nombre de personnes formant la population canadienne à l’époque.

Deux semaines après la publication du rapport annuel, le gouvernement annonçait que la base de données serait détruite.

M. Phillips se souvient que cet incident est celui qui a suscité la plus grande réaction de la part des médias et des Canadiennes et Canadiens au cours de son mandat. Selon M. Phillips, des dizaines de milliers de demandes ont été adressées au Ministère pour savoir quels renseignements la base de données contenait à leur sujet.   

La charge de travail du Commissariat a continué à augmenter, malgré les lourdes contraintes auxquelles les ressources ont été soumises pendant plusieurs années.

Troisième décennie

Le crépuscule de la deuxième décennie a été marqué par deux événements qui ont eu des répercussions importantes sur la troisième décennie d’existence du Commissariat. Il y a eu d’abord l’élargissement de notre mandat au secteur privé, avec la mise en œuvre progressive de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), puis les attaques terroristes du 11 septembre 2001.

Le deuxième événement a amené les gouvernements occidentaux à croire que la sécurité nationale exigeait une collecte de plus en plus importante de renseignements personnels — par des moyens ouverts ou subreptices — et le croisement de ces renseignements avec ceux contenus dans des bases de données disparates.  

Dans notre rapport annuel de 2001-2002, l’ancien commissaire George Radwanski fait mention d’une base de données « à la Big Brother », qui aurait retenu pendant sept ans jusqu’à 30 renseignements personnels sur tous les voyageurs aériens se rendant au Canada.

Heureusement, on peut lire dans notre rapport annuel de l’année suivante que « notre opposition, qui a reçu l’appui du public, a finalement incité la ministre du Revenu national à revoir le projet et, ce faisant, à en réduire considérablement l’incidence sur le droit à la vie privée ».

Pendant ce temps, les préoccupations en matière de sécurité nationale aux États-Unis ont eu des répercussions au Canada.

L’entrée en vigueur du permis de conduire Plus, qui contient des puces d’identification par radiofréquence (IRF) pouvant être balayées électroniquement, illustre bien comment des initiatives prises par les États-Unis en matière de sécurité nationale ont soulevé des questions de protection des renseignements personnels.

Lorsque les États-Unis ont resserré leurs exigences d’entrée, on a proposé le permis de conduire Plus comme une alternative au passeport. En 2007, l’Agence des services frontaliers du Canada a travaillé avec le département de la Sécurité intérieure des États-Unis à la mise au point d’un système axé sur l’utilisation du permis de conduire Plus aux postes frontaliers. Les deux organismes ont convenu que durant la période d’essai du programme, les fichiers de données de milliers de Canadiennes et de Canadiens seraient confiés au département de la Sécurité intérieure aux fins de stockage dans sa base de données aux États-Unis.

Depuis 2002, le gouvernement fédéral exige que les institutions effectuent des évaluations des facteurs relatifs à la vie privée pour toutes les initiatives qui soulèvent des préoccupations en matière de protection de la vie privée.

Au moment de l’examen de l’évaluation des facteurs relatifs à la vie privée portant sur le permis de conduire Plus, le Commissariat a appris des détails sur le plan; il a alors souligné que non seulement le transfert de données proposé nuisait à la protection de la vie privée de la population canadienne, mais il n’était pas nécessaire au bon fonctionnement du système.     

Par conséquent, lorsque le département de la Sécurité intérieure effectue le balayage d’un permis de conduire Plus aujourd’hui, son système se connecte à une base de données au Canada, et seul l’accès au dossier de la personne concernée est autorisé aux fins de vérification.  

Les choses auraient pu être très différentes si aucune évaluation des facteurs relatifs à la vie privée n’avait été réalisée. Si les renseignements personnels des Canadiennes et des Canadiens avaient été systématiquement exportés aux États-Unis comme proposé, il aurait pu s’avérer trop coûteux de faire marche arrière.   

Un outil efficace

Plus loin dans le présent rapport, nous donnons davantage d’exemples de la façon dont le processus d’évaluation contribue à promouvoir un environnement favorable à la protection de la vie privée au sein de la fonction publique fédérale.

Parmi les autres mesures de protection de la vie privée qui ont amplement prouvé leur utilité en cette troisième décennie tumultueuse, mentionnons les vérifications détaillées de la protection des renseignements personnels que nous menons auprès des ministères et programmes gouvernementaux.

Alors que le processus d’évaluation des facteurs relatifs à la vie privée (EFVP) sert essentiellement à des fins préventives, les vérifications sont de nature corrective et cernent des questions systémiques liées à la protection de la vie privée, souvent après que des enquêtes distinctes ont révélé l’existence de certains problèmes.

Une telle vérification a d’ailleurs mené à la publication, en 2008, de notre tout premier rapport spécial au Parlement, comme mentionné précédemment, qui portait sur le stockage inapproprié de milliers de dossiers contenant des renseignements personnels dans les fichiers inconsultables de la GRC.   

Des vérifications plus récentes ont soulevé des préoccupations concernant le programme de sûreté aérienne appelé « liste des personnes interdites de vol » et le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE), l’organisme responsable de surveiller les activités potentielles de blanchiment d’argent.

Plus loin dans le présent rapport annuel, nous formulons des observations sur des pratiques de traitement des renseignements personnels mis au jour par une vérification d’Anciens Combattants Canada, un ministère qui faisait déjà l’objet de critiques publiques pour avoir porté atteinte à la vie privée d’un ancien combattant.

Parmi les autres préoccupations importantes en matière de protection de la vie privée qui ont été soulevées au cours des dernières années, mentionnons le projet de loi visant à offrir davantage de pouvoirs aux autorités chargées de l’application de la loi. Le projet de loi sur l’« accès légal », déposé en février 2012, propose de créer un régime de surveillance accrue qui aurait des répercussions importantes sur le droit à la vie privée.

Espoir et inquiétudes

En rétrospective, comme dans la citation de Dickens, les trois dernières décennies ont été une période d’espérance et de profondes inquiétudes sur le plan de la protection de la vie privée.

Sur une note positive, malgré les nombreux problèmes soulevés au cours des trois dernières décennies, la grande majorité de la population canadienne continue d’attacher une grande importance au droit à la vie privée. En fait, lors d’un sondage commandé en 2011 par le Commissariat, les deux tiers des répondants ont affirmé que la protection des renseignements personnels constituera l’un des enjeux les plus importants du pays au cours des dix prochaines années.

En agissant comme ombudsman, le Commissariat a obtenu des résultats positifs dans certains dossiers, comme ceux du permis de conduire Plus, du Fichier longitudinal sur la main-d’œuvre et de la protection des images saisies au moyen des scanneurs corporels dans les aéroports.

Malgré certains revers, de façon générale, le secteur public fédéral est davantage sensibilisé aux questions de protection de la vie privée.   

De plus en plus, les ministères et organismes gouvernementaux consultent le Commissariat au préalable au sujet des répercussions possibles de certaines initiatives sur la protection de la vie privée, y compris dans le domaine très sensible de la sécurité nationale.

Malgré tout, des inquiétudes demeurent.

Certaines de ces inquiétudes sont résumées au chapitre 3, qui porte sur la vérification et les enquêtes que nous avons menées auprès d’Anciens Combattants Canada et les enquêtes concernant le Service correctionnel du Canada et l’Agence du revenu du Canada.  

Par ailleurs, certains ministères mettent encore beaucoup trop de temps à répondre aux demandes légitimes de particuliers concernant les renseignements personnels qu’ils détiennent à leur sujet — dans des cas extrêmes, certaines personnes doivent attendre des années avant d’obtenir l’accès à ces renseignements.

Enfin, au risque de rappeler l’évidence, je dois reprendre le thème de nombreux messages des commissaires précédents : la Loi sur la protection des renseignements personnels est complètement désuète et doit être révisée le plus rapidement possible pour que l’on puisse répondre aux défis que posent l’ère numérique et les énormes systèmes gouvernementaux capables d’exercer une surveillance que bien peu d’entre nous auraient pu imaginer en 1982.

Malgré tout, en ce 30anniversaire, le Commissariat à la protection de la vie privée a vraiment de quoi être fier.

Notre plus grand atout au fil des ans a été notre personnel dévoué et talentueux qui s’est employé à protéger le droit à la vie privée de la population canadienne. Nous avons toujours été une équipe relativement petite, mais nous avons accompli beaucoup de choses.

Depuis notre création, nous avons répondu à quelque 260 000 demandes d’information. Nous avons mené 37 600 enquêtes, examiné plus de 500 évaluations des facteurs relatifs à la vie privée depuis 2002 (date à laquelle les EFVP sont entrées en vigueur) et effectué environ 150 vérifications d’institutions fédérales.

Mais surtout, nous avons travaillé afin que les choses changent pour la population du Canada.

Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Un bref historique : La loi fédérale en matière de protection des renseignements personnels et le Commissariat à la protection de la vie privée du Canada

Le Parlement du Canada a adopté la Loi sur la protection des renseignements personnels en 1982. Avant cela, les dispositions relatives à la protection des données étaient intégrées à la Loi canadienne sur les droits de la personne.

Le Commissariat à la protection de la vie privée du Canada a ouvert ses portes le 1er juillet 1983 au moment de l’entrée en vigueur de la Loi sur la protection des renseignements personnels, qui régit les pratiques de traitement des renseignements personnels des ministères et organismes fédéraux.

Au cours des trois décennies qui ont suivi, notre champ d’application s’est étendu au secteur privé.

Par ailleurs, alors que nous misions presque essentiellement sur la réalisation d’enquêtes, nous mettons maintenant davantage l’accent sur la sensibilisation du public de manière à informer les organisations sur la façon de respecter leurs obligations en adoptant des pratiques exemplaires et à informer les personnes sur les mesures à prendre afin de protéger leur vie privée et faire valoir leurs droits.

À ses débuts, le Commissariat partageait ses dépenses de gestion organisationnelles avec le Commissariat à l’information du Canada. Les deux organismes possédaient un effectif combiné de 59 employés à plein temps et un budget annuel d’un peu plus de 2 millions de dollars.  

À partir de 2001, les activités du Commissariat se sont étendues au secteur privé en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La Loi est entrée en vigueur par étapes de 2001 à 2004.

En 2004, le Commissariat ne partageait plus ses dépenses de gestion organisationnelles. Il disposait d’un budget annuel d’un peu plus de 11,7 millions et des fonds nécessaires pour employer 100 équivalents temps plein.

En 2005, nous avons reçu l’autorisation de stabiliser le financement destiné à la LPRPDE et d’augmenter les fonds à l’appui de notre mandat général. Au cours des années suivantes, nous avons reçu des fonds additionnels pour diverses initiatives, comme la Loi fédérale sur la responsabilité, l’élimination de l’arriéré des enquêtes, l’accroissement de la sensibilisation du public et l’établissement d’une fonction de vérification interne au sein du Commissariat, ainsi que pour soutenir nos nouvelles responsabilités en vertu de la loi canadienne antipourriel.

Ces dernières années, nous avons renforcé notre capacité de composer avec le fait que de nombreux nouveaux enjeux associés à la protection de la vie privée sont liés aux technologies de l’information et à l’univers en ligne. Il est essentiel que nous disposions de l’expertise et des outils nécessaires pour évaluer les répercussions sur la protection de la vie privée de diverses technologies.

L’univers en ligne est planétaire et, au cours des dernières années, nous avons aussi constaté que la collaboration avec les autorités de protection des données des autres pays est essentielle pour protéger le droit à la vie privée de la population canadienne.

Aujourd’hui, le Commissariat peut employer 176 équivalents temps plein et dispose d’un budget annuel de dépenses d’environ 24,5 millions de dollars. Pour donner suite au plan d'action pour la réduction du déficit du gouvernement fédéral, le Commissariat a proposé de faire des économies annuelles de 5 % dans ses dépenses de fonctionnement d’ici l’exercice 2014-2015 tout en continuant à offrir le meilleur niveau de service possible à la population canadienne.

Citations d’anciens rapports annuels sur la Loi sur la protection des renseignements personnels


John Grace (commissaire à la protection de la vie privée de 1983 à 1990)
John Grace
(commissaire à la
protection de la vie privée
de 1983 à 1990)




Les protecteurs de la vie privée ne peuvent pas se laisser paralyser par l’ordre établi ni relâcher leur vigilance. Nouveaux, urgents, variés et ingénieux, les dangers qui menacent la vie privée émanent d’une technologie qui ne sommeille jamais et qui est rarement interdite.

—        1984-1985

Avant que les pays aient le droit de prêcher la protection de la vie privée dans l’écoulement des renseignements personnels au-delà des frontières, ils doivent se donner pour leur propre territoire des lois qui protègent les données d’une manière satisfaisante.

—        1985-1986
Bruce Phillips (commissaire à la
protection de la vie privée de 1991 à 2000)
Bruce Phillips
(commissaire à la
protection de la vie privée
de 1991 à 2000)
Dans la société complexe d’aujourd’hui, rien n’est plus fragile, en dépit de toute son importance, que le droit de compter sur une intimité raisonnable. Contrairement à ce que certains cyniques prétendent, ce n’est pas un droit invoqué seulement par ceux qui ont quelque chose à cacher, car si nos libertés d’expression fondamentales ne sont pas protégées par un certain respect de notre intimité, il ne sera plus possible d’avoir des idées, des amis et des connaissances.

—        1990-1991

La technologie évolue si vite que ni les ingénieurs, ni les décideurs n’ont le temps de réfléchir à ses impacts sociaux. Chaque nouvelle découverte sape ou perce les barrières érigées si laborieusement contre la précédente pour protéger notre vie privée.

—        1991-1992

Notre société de l’information pourrait tout aussi bien être décrite comme une jungle de l’information où règne la loi du plus fort. Notre vie privée risque de devenir bien plus menacée encore à cause de l’introduction de systèmes infiniment plus puissants de collecte et de manipulation de nos renseignements personnels, capables de les distribuer à d’innombrables utilisateurs.

—        1993-1994



George Radwanski (commissaire à la protection de la vie privée de 2000 à 2003)
George Radwanski
(commissaire à la
protection de la vie privée
de 2000 à 2003)





Nous faisons maintenant face à la possibilité réelle de devoir vivre en surveillant nos arrières, soit métaphoriquement, soit littéralement.

[L]’évolution des droits fondamentaux, comme le droit à [la] vie privée, nous enseigne que leur plus grande valeur découle de leur pérennité et de leur capacité de nous protéger en période d’adversité.

—        2000-2001

Plus le gouvernement accumulera de renseignements sur notre compte, plus il y aura de ces renseignements qui seront erronés. C’est une réalité inéluctable.

—        2001-2002
Robert Marleau (commissaire à la
protection de la vie privée par intérim en 2003)
Robert Marleau
(commissaire à la
protection de la vie privée
par intérim en 2003)







Une personne peut bien avoir une vie privée même si elle passe le plus clair de son temps en public, pourvu que ses activités ne puissent pas être reliées entre elles et qu’aucun lien ne puisse être établi entre cette personne et ses activités. La capacité de relier des activités entre elles et de les relier à une personne identifiable constitue l’essentiel de l’établissement de profils et de la surveillance.

En matière de droit à la vie privée, ce qui est perdu ne peut être retrouvé.

—        2002-2003
Jennifer Stoddart  (commissaire à la protection de la vie privée depuis 2003)
Jennifer Stoddart
(commissaire à la
protection de la vie privée
depuis 2003)
Le Commissariat n’est pas convaincu qu’en réduisant les libertés de tous les membres d’une société on réussisse à empêcher les terroristes de proférer d’autres menaces à la sécurité publique.

—        2003-2004

C’est un euphémisme que de qualifier la Loi [sur la protection des renseignements personnels] de surannée quand il s’agit de faire face aux réalités d’aujourd’hui. Il est plus juste de la comparer à un cheval de trait se démenant pour suivre des appareils technologiques frôlant la vitesse de la lumière.

—        2003-2004

La population canadienne mérite d’obtenir concrètement réparation pour les torts qui lui sont causés, ce que ne peut lui procurer une commissaire à la protection de la vie privée dépourvue même du pouvoir de s’adresser à la Cour fédérale en vue d’obtenir jugement et dommages-intérêts pour collecte injustifiée ou communication malveillante de renseignements personnels.

—        2004-2005

[I]l faudra prendre davantage conscience que notre droit à la vie privée est fragile aux mains de l’État. Ce droit vacille chaque fois que nous troquons le personnel et le privé contre la promesse d’une plus grande sécurité, d’une meilleure efficacité ou d’un service plus rapide.

La dystopie orwellienne était fondée sur une société totalitaire. Dans notre démocratie, il semble que ce soient nos bonnes intentions qui nous poussent vers une société de surveillance.

—        2007-2008

La protection de la vie privée en chiffres en 2011-2012

Demandes de renseignements

Liées à la Loi sur la protection des renseignements personnels 1 310
Liées à la LPRPDE 4 717
Demandes n’étant pas exclusivement liées à l’une ou l’autre des lois 3 086
Total des demandes 9,113

Plaintes liées à la loi sur la protection des renseignements personnels*

Acceptées  
Accès 442
Délais 326
Protection des renseignements personnels 218
Total des plaintes acceptées 986
 
Fermées par l’entremise du processus de règlement rapide  
Accès 95
Délais 66
Protection des renseignements personnels 213
Total 213
 
Fermées par l’entremise d’enquêtes  
Accès  340
Délais 256
Protection des renseignements personnels 104
Total 700
Total des plaintes fermées 913
*Pour une description de chaque catégorie de plaintes, veuillez consulter l’annexe 1.

Examens des évaluations des facteurs relatifs à la vie privée

Reçues 58
Présentant un risque élevé 31
Présentant un risque faible 26
Total des évaluations examinées 57

Vérifications

Vérifications de la protection des renseignements personnels dans le secteur public 1

Politiques et affaires parlementaires

Lois ou projets de loi examinés sous l’angle de leurs répercussions sur la vie privée 16
Politiques ou initiatives du secteur public examinées sous l’angle de leurs répercussions sur la vie privée 54
Documents d’orientation stratégique rédigés 8
Témoignages devant des comités parlementaires sur des enjeux touchant le secteur public 5
Présentations au Parlement 2
Autres rencontres avec des parlementaires ou leur personnel 53

Activités de communication*

Discours et exposés 138
Communiqués et autres outils de communication 34
Expositions et autres activités de promotion hors site 42
Publications distribuées 13,351
Visites sur le site Web principal du Commissariat 1.77 million
Visites sur les blogues et autres sites Web du Commissariat 865,280
Nouveaux abonnements au bulletin électronique 364
Total des abonnements au bulletin électronique 1,365
*Secteurs public et privé combinés

Demandes soumises au Commissariat en vertu de la Loi sur l’accès à l’information

Demandes reçues 64
Demandes fermées 58

Demandes soumises au Commissariat en vertu de la Loi sur la protection des renseignements personnels

Demandes reçues 11
Demandes fermées 10

CHAPITRE 1

Bilan de l’année : principales réalisations en 2011-2012

Voici les faits saillants concernant le travail accompli au cours du dernier exercice pour renforcer et protéger le droit à la vie privée de la population canadienne dans ses échanges avec le gouvernement du Canada. Les détails sont fournis dans les chapitres suivants.

Vérifications du respect de la protection des renseignements personnels

Au cours de l’année, nous avons procédé à une vérification d’Anciens Combattants Canada afin d’évaluer sa conformité avec la Loi sur la protection des renseignements personnels.

Cette vérification a permis de constater que le Ministère a pris plusieurs mesures positives et demeure déterminé à regagner la confiance de ses quelque 200 000 clients après l’incident grandement médiatisé mettant en jeu le traitement inapproprié des renseignements les plus confidentiels d’un ancien combattant.

L’enquête menée par le Commissariat en 2010 sur cette affaire a mis en lumière de graves problèmes systémiques qui ont mené à la réalisation d’une vérification plus large.

La vérification, décrite en détail au chapitre 3, a révélé que la haute direction d’Anciens Combattants Canada est déterminée à faire en sorte que les pratiques de traitement des renseignements personnels du Ministère respectent la Loi sur la protection des renseignements personnels et qu’elle suit de près les efforts déployés pour combler les lacunes relevées lors de notre enquête.

Les composantes clés d’un programme exhaustif de gestion de la protection de la vie privée sont maintenant en place. De plus, le Ministère surveille l’accès aux dossiers des anciens combattants, améliore les contrôles d’accès aux systèmes et sensibilise ses employés. Le Ministère a également rédigé des politiques, procédures, processus et lignes directrices pour assurer le respect de la vie privée des anciens combattants.  

Demandes de renseignements, plaintes et atteintes à la protection des renseignements personnels

Notre centre d’information est chargé de répondre aux demandes de renseignements des personnes et des organisations au sujet du droit à la vie privée et des responsabilités en ce domaine. Il s’agit d’un service extrêmement important que nous offrons à la population du Canada. En 2011-2012, nous avons reçu plus de 9 000 demandes de renseignements et près de 15 % de celles-ci avaient trait à des questions concernant le secteur public fédéral.

Par ailleurs, nous avons observé une augmentation importante du nombre de plaintes relatives à la Loi sur la protection des renseignements personnels acceptées et fermées.

En 2011-2012, nous avons accepté 986 plaintes, ce qui représente une hausse de près de 40 % par rapport à l’an dernier. Nous avons fermé 913 plaintes, soit 60 % de plus que l’année dernière.

Une part importante de cette hausse est attribuable aux plaintes reçues relativement à quatre institutions : le Service correctionnel du Canada, la Défense nationale, la Gendarmerie royale du Canada (GRC) et Anciens Combattants Canada. Nous examinons les raisons de cette augmentation aux chapitres 3 et 4.

Depuis quelques années, nous recourons de plus en plus aux processus de règlement rapide. Ces processus nous permettent de traiter efficacement et rapidement diverses plaintes au moyen de la négociation et de la conciliation. En 2011-2012, dans près du quart de tous les dossiers fermés, nous avons eu recours aux processus de règlement rapide.

Les institutions fédérales ont signalé 80 cas d’atteinte à la protection des renseignements personnels en 2011-2012. Il s’agit du nombre le plus élevé de cas rapportés au cours des dernières années. On ignore si l’augmentation observée est attribuable à une plus grande diligence en matière de signalement des cas ou à une augmentation effective du nombre d’incidents.

Évaluations des facteurs relatifs à la vie privée

Nous avons examiné 57 évaluations des facteurs relatifs à la vie privée (EFVP) en 2011-2012, dont 31 de façon plus approfondie en raison de l’importance des risques pour la vie privée ou des vastes questions relatives à la société qui étaient en jeu. Bon nombre de nos examens des EFVP et de nos consultations avec des ministères avaient trait à des initiatives de sécurité publique.

Les institutions fédérales doivent réaliser des EFVP pour toute activité ou initiative qui mettent en cause des renseignements personnels afin de démontrer que les risques pour la vie privée ont été cernés et éliminés ou atténués. Le Commissariat reçoit des copies de ces évaluations et peut les examiner et les commenter s’il le juge nécessaire.  

Politiques et affaires parlementaires

L’horaire des séances du Parlement a été restreint en 2011 compte tenu des élections fédérales en mai. Au cours de l’exercice 2011-2012, le Commissariat a comparu cinq fois devant des comités parlementaires et soumis deux mémoires écrits, ce qui est un peu moins que par le passé.   

Un certain nombre d’initiatives législatives et internationales du gouvernement ont soulevé des préoccupations en matière de protection de la vie privée — dont le projet de loi sur l’« accès légal » (projet de loi C-30), le plan d’action sur la sécurité du périmètre Canada-États-Unis et le projet de loi sur la sécurité des rues et des communautés (projet de loi C-10).

Sensibilisation auprès des institutions fédérales

La sensibilisation est un élément important de nos interactions avec les ministères et organismes du gouvernement fédéral. Parmi les activités de sensibilisation que nous avons menées en 2011-2012, mentionnons la tenue d’un troisième atelier annuel sur les évaluations des facteurs relatifs à la vie privée à l’intention des fonctionnaires, la production d’une vidéo destinée à aider les fonctionnaires à comprendre le processus d’EFVP et la participation à l’organisation d’un événement pour les professionnels fédéraux de l’accès à l’information et de la protection des renseignements personnels avec nos collègues du Commissariat à l’information du Canada.  

Avancement du savoir

Notre travail de protection du droit à la vie privée de la population canadienne est un défi constant compte tenu du rythme effréné des changements technologiques. Il est crucial que nous prenions le temps de bien comprendre les changements qui influent sur notre vie privée et d’y réfléchir. Le savoir nous permet de suivre l’évolution du changement.

À l’occasion, nous commandons des recherches liées au secteur public pour appuyer nos travaux. En 2011-2012, nous avons commandé des recherches sur les sujets suivants : la vie privée à l’ère des médias sociaux, de la surveillance et du journalisme citoyen; la collecte de renseignements liés à la sécurité nationale par l’entremise du secteur privé; la prolifération de drones; et l’utilisation de l’ADN à des fins d’application de la loi.

CHAPITRE 2

Intégration de la protection de la vie privée dans les politiques publiques

Examen de quelques changements positifs pour la protection de la vie privée au gouvernement fédéral au cours des 30 dernières années.

Rétrospective

Lorsqu’il a été créé, il y a 30 ans, le Commissariat à la protection de la vie privée du Canada s’est fixé comme objectif de favoriser le développement d’une culture axée sur la protection de la vie privée au sein de la fonction publique fédérale.

Le modèle d’ombudsman incarné par le Commissariat et l’absence de pouvoirs de contrainte ont imposé une approche de collaboration pour protéger les renseignements personnels de nature délicate des Canadiennes et des Canadiens, qui sont constamment recueillis par les institutions fédérales.

Grâce au travail de nombreux fonctionnaires dévoués, nous avons été témoin de la prise en compte progressive de la protection de la vie privée dans l’élaboration des politiques publiques au cours des trois dernières décennies.

Cette intégration s’est faite en quelques phases distinctes.

Bien souvent, pendant les 20 premières années, la protection de la vie privée était prise en considération après qu’une initiative gouvernementale eut été mise en œuvre. En général, une plainte du public ou une vérification du Commissariat attirait l’attention sur une initiative portant atteinte à la vie privée, et des changements étaient alors apportés à la politique.

C’est ce qui s’est produit en 1991 avec les questions du recensement qui portaient sur la religion et la fécondité. Des Canadiennes et des Canadiens s’étaient plaints en disant que ces questions étaient intrusives, et elles ont été supprimées dans le recensement de 1996.

On avait également omis de prendre en considération la protection de la vie privée au début de l’initiative qui concernait l’enquête longitudinale sur la main-d’œuvre, dans le cadre de laquelle le ministère du Développement des ressources humaines de l’époque avait discrètement constitué des dossiers — certains contenant 2 000 éléments d’information — sur 33,7 millions de Canadiennes et de Canadiens (dont un grand nombre étaient décédés).

Deux semaines après que l’existence du fichier longitudinal eut été révélée dans notre rapport annuel 1999-2000, le Ministère a fermé ce « dossier unique sur chaque citoyen ».

Une deuxième phase de la prise en considération de la protection de la vie privée dans l’élaboration des politiques s’est amorcée en 2002, lorsque le Secrétariat du Conseil du Trésor (SCT) a été l’initiateur de la Politique d’évaluation des facteurs relatifs à la vie privée.

Plutôt que de remédier aux atteintes à la vie privée après le fait, ce qui est coûteux et compliqué, les évaluations des facteurs relatifs à la vie privée sont axées sur la prévention.

La Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT (qui a remplacé l’ancienne politique en 2010) oblige la plupart des institutions fédérales à examiner les répercussions qu’ont sur la vie privée les nouveaux programmes ou activités, ou ceux qui sont considérablement transformés. Les ministères et organismes doivent déterminer quels renseignements personnels seront recueillis.

Lorsque nous examinons les évaluations des facteurs relatifs à la vie privée, nous nous demandons si les institutions fédérales ont démontré qu’il y avait un objectif public urgent et important ayant un lien rationnel avec les activités qui empiètent sur la vie privée.

Nous nous attendons aussi à trouver des données empiriques montrant de quelle façon la collecte et l’utilisation proposées des renseignements personnels correspondent à cet objectif public.

Si des risques liés à la protection de la vie privée sont décelés, l’évaluation des facteurs relatifs à la vie privée (EFVP) devrait décrire et quantifier ces risques et proposer des solutions pour les éliminer ou les atténuer à un niveau acceptable.

En exigeant que les institutions fédérales effectuent des EFVP, le gouvernement du Canada fait figure de chef de file mondial. De même, le Commissariat est souvent consulté par les organisations internationales et les autorités de protection des données au sujet de son propre processus d’examen de ces EFVP, qui s’est développé et a évolué au cours de la dernière décennie. Bien que les institutions ne soient pas obligées de tenir compte de notre avis, nous constatons que la plupart tiennent compte de nos recommandations et collaborent avec nous pour régler ou atténuer les problèmes liés à la protection de la vie privée.

Ce qui a commencé modestement (six EFVP en 2001-2002) s’est rapidement transformé en un flot ininterrompu d’évaluations, que le Commissariat traite en faisant un tri et en s’occupant en priorité des initiatives qui, croyons-nous, présentent les plus grands risques pour la vie privée.

Entre 2002 et la fin de l’exercice 2011-2012, le Commissariat a reçu 588 EFVP en tout. Un record a été atteint en 2009-2010 avec 103 EFVP.

L’une des réussites remarquables des EFVP concerne l’utilisation des permis de conduire Plus pour franchir la frontière par voie terrestre. Il en a été question au début du présent rapport, dans le message de la commissaire.

Notre travail dans de nombreux autres dossiers a aussi donné des résultats positifs en matière de protection de la vie privée. Nous présentons quelques exemples ci-dessous.

Examen des évaluations des facteurs relatifs à la vie privée :

avoir une influence

Saisie d’images du corps entier dans les aéroports

Les vastes consultations entre le Commissariat et l’Administration canadienne de la sûreté du transport aérien (ACSTA) ont débouché sur des mesures plus efficaces pour la protection de la vie privée. Ces mesures consistent entre autres à s’assurer que les imageurs à ondes millimétriques ne sont utilisés que pour les contrôles secondaires et que l’on y recourt seulement lorsque les voyageurs qui subissent une fouille sommaire y consentent. (Dans d’autres ressorts, la saisie d’images du corps entier est utilisée pour le premier contrôle et est obligatoire.) Les images numérisées sont regardées dans une zone distincte par un agent qui ne peut pas voir le passager. Après des vérifications de suivi, le Commissariat a recommandé une application plus rigoureuse de ces mesures convenues pour la protection de la vie privée.

Certificat sécurisé de statut d’Indien

Les citoyens des Premières Nations doivent posséder un certificat de statut d’Indien délivré par le gouvernement pour se prévaloir de leurs droits aux termes de la Loi sur les Indiens. Dans une EFVP soumise en 2009, Affaires indiennes et du Nord Canada proposait qu’une nouvelle version « sécurisée » de ce certificat serve aussi de document de passage de la frontière étant donné le resserrement des règles de sécurité des États-Unis.

Cela aurait impliqué que tous les renseignements fournis lors d’une demande de certificat auraient automatiquement été enregistrés par les autorités frontalières du Canada, et peut-être par celles des États-Unis. Le Ministère a plutôt accepté notre recommandation, à savoir offrir aux titulaires de certificat la possibilité d’accepter les caractéristiques requises pour traverser la frontière ou d’avoir un certificat ne possédant pas ces caractéristiques, préservant ainsi leur droit d’utiliser un passeport ou un permis de conduire Plus à la place, comme le font les autres Canadiennes et Canadiens à la frontière.

Programme de reconnaissance automatique des plaques d’immatriculation en Colombie-Britannique

Depuis 2007, dans le cadre du Programme de reconnaissance automatique des plaques d’immatriculation de la GRC en Colombie-Britannique, les voitures de police identifiées et banalisées utilisent des caméras vidéo, couplées à des logiciels d’identification des profils, pour relever les numéros de plaque d’immatriculation des véhicules stationnés ou en mouvement. Plus de 3,6 millions de numéros de plaque ont été relevés au cours des deux premières années et demie du programme.

Les numéros de plaque sont vérifiés par recoupement avec des bases de données contenant des listes de véhicules volés, de permis suspendus et de véhicules non assurés. Une correspondance déclenche une enquête plus poussée et l’intervention de la police. Moins de 2 % des vérifications révèlent des correspondances.

L’examen de l’EFVP de la GRC nous a permis de constater que la police conservait les renseignements qui ne donnaient pas lieu à des correspondances. Nous estimions que cela équivalait à une surveillance constante de citoyens respectueux des lois, qui n’avaient commis aucune infraction. La GRC a accepté de ne plus conserver les renseignements dits « sans correspondance » pour le moment.

Au cours des dernières années, nous avons assisté à l’enclenchement d’une nouvelle phase prometteuse pour la prise en considération de la politique.

Un plus grand nombre de ministères et d’organismes fédéraux sollicitent le concours du Commissariat pour des initiatives ou des activités élargies avant même de préparer une EFVP.

Par exemple, la GRC nous a informés récemment d’un projet concernant la création d’un centre pour appuyer les enquêtes sur les personnes disparues et les restes humains non identifiés.

En plus de la base de données Accèsible uniquement aux autorités policières, la GRC a l’intention de créer une base de données publique contenant un nombre restreint de renseignements sur les personnes disparues et les restes humains non identifiés.

Le Commissariat a passé en revue avec la GRC les préoccupations liées au couplage des données, à l’accès à la base de données et à l’utilisation d’un site Web public pour afficher des renseignements et solliciter de l’information.

Ce genre de consultations préalables portent sur une vaste gamme de programmes — surveillance accrue des étudiants étrangers (Citoyenneté et Immigration Canada); développement d’initiatives et de protocoles internationaux concernant la cybersécurité (Sécurité publique Canada); une initiative de renouvellement de la cyberauthentification, qui implique l’utilisation de justificatifs d’identité du secteur privé pour authentifier les utilisateurs des programmes gouvernementaux en ligne (Services partagés Canada); étude sur les options possibles en vue du recensement de 2016 et des recensements ultérieurs (Statistique Canada).

Cette prise en considération dynamique de la vie privée dans l’élaboration des politiques est susceptible de procurer des avantages considérables à la population. Cela signifie que les intérêts de la population en matière de protection de la vie privée sont pris en considération dès les étapes initiales de l’élaboration de politiques pour de nouveaux programmes. Cela devrait aussi se traduire par une mise en œuvre plus rapide de programmes plus soucieux de la protection de la vie privée.

Nos processus d’examen des EFVP se transforment également. Le Commissariat effectue davantage de visites sur place pour compléter l’examen de la documentation, et il fait plus souvent appel à l’expertise de ses spécialistes en politiques et en technologies lorsqu’il procède à l’examen des EFVP. L’aide et la collaboration de spécialistes d’autres directions du Commissariat nous permettent d’effectuer plus efficacement des examens plus complexes et plus exigeants. Par ailleurs, notre travail sur les dossiers d’EFVP a contribué à éclairer les activités d’autres directions, notamment en ce qui concerne les comparutions devant le Parlement, les vérifications, les demandes de renseignements et les enquêtes.

Globalement, les EFVP offrent au Commissariat un poste d’observation extrêmement utile par lequel il peut voir comment les initiatives sont mises en œuvre dans l’ensemble du gouvernement fédéral.

Le présent exercice

Examen des évaluations des facteurs relatifs à la vie privée

Une évaluation approfondie des facteurs relatifs à la vie privée peut faire en sorte que le gouvernement ne recueille que les renseignements qu’il a légalement le droit de recueillir et qui sont nécessaires pour réaliser un programme, une activité ou une initiative légitime; qu’il protège adéquatement cette information; qu’il protège l’information contre les communications inappropriées ou illégales, et qu’il se défait de l’information en temps utile lorsqu’elle n’est plus nécessaire.

Nous avons reçu 58 nouvelles EFVP au cours du dernier exercice.

En tenant compte des dossiers soumis au cours de l’exercice précédent, nous avons examiné 57 EFVP en 2011-2012. Nous avons envoyé 31 lettres de recommandations détaillées concernant des initiatives qui nous semblaient particulièrement envahissantes, et 26 lettres moins détaillées qui contenaient des recommandations générales concernant des initiatives qui, selon nous, présentaient moins de risques pour la vie privée.

Nous avons aussi prodigué des conseils et des recommandations à la demande d’institutions fédérales au sujet de 19 autres questions, allant des protocoles d’attestation de sécurité à l’entreposage des documents, en passant par l’utilisation des renseignements personnels pour mener des recherches en sciences sociales.

Nous répondons avec plaisir aux demandes de rencontres sur ces questions, et nous croyons que ce processus de consultation joue un rôle important car il contribue à doter les programmes gouvernementaux de mesures de protection des données dès le départ.

Voici quelques exemples d’examens et de consultations dans le cadre des EFVP.

CITOYENNETÉ ET IMMIGRATION CANADA
Centre de réception des demandes de visa — Mexique

Citoyenneté et Immigration Canada a beaucoup consulté le Commissariat au sujet des nouvelles exigences imposées aux demandeurs de visa de résident temporaire et des changements au processus de demande à l’étranger. Le personnel des centres de réception des demandes de visa, exploités en sous-traitance par le secteur privé, aide les gens à remplir les demandes, fournit de l’information, vérifie que les demandes sont complètes et les transmet à Citoyenneté et Immigration aux fins de traitement et de prise de décisions.

La façon dont le Ministère établit ces centres de réception des demandes de visa à l’étranger est en train de changer. À l’avenir, les contrats avec les fournisseurs de services seront gérés par l’administration centrale de Citoyenneté et Immigration plutôt que par les bureaux régionaux du Ministère.

Dans certains pays, les demandeurs devront faire prendre leurs empreintes digitales au centre de réception des demandes; celles-ci, de même qu’une photographie numérique, serviront à vérifier l’identité du demandeur lorsqu’il arrivera au point d’entrée sur le territoire canadien.

Nous avons reçu une EFVP pour le centre de réception des demandes de visa du Mexique en juillet 2011, et nous avons formulé des recommandations sur la collecte de renseignements personnels sensibles par des entrepreneurs du secteur privé, ainsi que des recommandations sur la nécessité de protéger les documents clés. Nous avons également formulé des recommandations générales concernant le soin particulier à apporter à la protection des empreintes digitales, qui seront exigées des demandeurs de visa de certains pays à partir de 2013 (ces pays n’ont pas encore été déterminés).

Nous avons également soulevé des questions sur l’accès aux renseignements personnels par les gouvernements des pays où ces centres sont établis. Nous avons demandé que le Commissariat soit informé lorsque le Ministère décide dans quels pays les demandes de visa doivent être accompagnées des empreintes digitales des demandeurs. Nous avons aussi demandé que l’EFVP soit révisée pour tenir compte de la nécessité d’établir des mesures de protection supplémentaires pour les identificateurs biométriques sensibles.

Pour faire en sorte que les fournisseurs de services indépendants se conforment aux clauses sur la protection de la vie privée de leurs ententes de services, nous avons recommandé que Citoyenneté et Immigration effectue régulièrement des vérifications des centres de réception des demandes de visa. Citoyenneté et Immigration a indiqué qu’il le ferait et que les ententes pourraient être résiliées si les fournisseurs de services ne se conforment pas aux exigences.

GENDARMERIE ROYALE DU CANADA
Vidéosurveillance sur la Colline du Parlement, phase II

Nous avons examiné l’EFVP préliminaire sur l’accroissement des activités de vidéosurveillance sur la Colline du Parlement. Il s’agit d’un projet conjoint de la Gendarmerie royale du Canada (GRC) et des directions de la sécurité du Sénat, de la Chambre des communes et de Travaux publics et Services gouvernementaux Canada.

La phase I du projet de vidéosurveillance s’est achevée en 2003; 50 caméras avaient alors été installées sur les toits des édifices du Parlement. Au cours de la phase II, on prévoit installer 134 caméras de plus pendant une période de trois ans. Les zones surveillées par caméra comprennent le périmètre extérieur de tous les édifices, les portes piétonnières et les aires de rassemblement.

Certaines caméras prendront des vues panoramiques et seront dotées d’une fonction zoom. Les images vidéo seront surveillées 24 heures par jour, 7 jours par semaine.

Nous étions préoccupés par l’ampleur du projet et son incidence éventuelle sur le droit à la vie privée des parlementaires, du personnel parlementaire, des invités et des visiteurs qui se rendent sur la Colline du Parlement, et des personnes qui participent à des manifestations et à des rassemblements pacifiques. Selon l’EFVP préliminaire, on a pris délibérément la décision de ne pas placer d’affiches indiquant que la Colline du Parlement est surveillée par caméra.

Cette décision préoccupait particulièrement le Commissariat. Nous avons indiqué à la GRC que les Lignes directrices [du Commissariat] concernant le recours, par les forces policières et les autorités chargées de l’application de la loi, à la surveillance vidéo dans les lieux publics précisent que des affiches doivent informer le public lorsque des caméras de surveillance sont utilisées.

Nous avons recommandé qu’une EFVP complète soit effectuée pour ce projet, de manière à ce que nous puissions évaluer les futures phases à mesure qu’elles se dérouleront.

Nous avons aussi demandé de visiter le centre des opérations de la vidéosurveillance afin d’observer les pratiques de collecte, de conservation et de communication. La GRC a accepté, et elle a indiqué qu’elle ferait part à ses partenaires de nos préoccupations au sujet de la signalisation et qu’une EFVP complète serait effectuée. Une visite sur place a été organisée, et elle nous a permis d’accroître considérablement nos connaissances et de mieux comprendre le projet. Les consultations se poursuivent avec la GRC, et nous continuerons de suivre ce dossier de près.

Politique nationale en matière d’assistance aux victimes  

La GRC fournit des services de police dans le cadre de contrats avec les provinces et les territoires du Canada, à l’exception du Québec et de l’Ontario. La GRC est assujettie à la Loi sur la protection des renseignements personnels, mais elle doit aussi respecter les lois et politiques provinciales là où elle intervient.

L’un des dossiers les plus intéressants et les plus difficiles du dernier exercice concernait la communication, par des membres de la GRC travaillant à forfait pour des gouvernements provinciaux, de renseignements personnels sur des victimes d’actes criminels à des organismes de services d’aide aux victimes sans le consentement des victimes — et, dans certains cas, alors que les victimes avaient expressément refusé le service. Cette pratique est désignée par le terme « renvoi proactif ».

Nous sommes conscients qu’il est important que les victimes reçoivent le soutien et les services auxquels elles ont droit. Pourtant, cette pratique nous préoccupe à bien des égards lorsque nous l’examinons dans l’optique de la protection de la vie privée.

Au cours de l’examen de cette EFVP, nous avons eu des consultations suivies avec la GRC et les commissaires provinciaux à la protection des données, et une équipe du Commissariat a visité des organismes d’aide aux victimes en Colombie-Britannique. Notre personnel a été impressionné par le dévouement dont ces organismes font preuve lorsqu’ils aident des personnes dont la vie a été bouleversée par un crime.

Cependant, compte tenu de la nature extrêmement sensible de l’information communiquée, et du fait que la Loi sur la protection des renseignements personnels s’applique à la GRC, nous avons recommandé que celle-ci revoie la politique sur le renvoi proactif. Nous avons aussi indiqué qu’il fallait obtenir le consentement de la victime avant de communiquer des renseignements personnels à un organisme tiers.

Dans les cas où la victime donne son consentement, nous avons recommandé que la GRC s’assure que l’organisme de services ait mis en place des processus appropriés garantissant que les renseignements obtenus sont protégés et qu’ils sont détruits comme il se doit. Nous avons aussi recommandé que la GRC effectue régulièrement des vérifications pour s’assurer que ces dispositions sont respectées.

En outre, nous avons proposé que la GRC cherche d’autres moyens, portant moins atteinte à la vie privée, pour inciter les victimes à donner leur consentement pour que leurs renseignements personnels soient communiqués à des services d’aide aux victimes. Ces moyens pourraient comprendre une campagne de sensibilisation ciblée, menée en collaboration avec les gouvernements provinciaux et les organismes provinciaux d’aide aux victimes. Nous poursuivons nos consultations avec la GRC au sujet des questions soulevées par l’EFVP.

SERVICES PARTAGÉS CANADA
Service Clé d’accès

Nous avons continué d’examiner le service Clé d’accès, qui relève maintenant de Services partagés Canada. Le service Clé d’accès permet d’authentifier les personnes et les entreprises qui traitent avec le gouvernement du Canada en ligne.

Nous avons eu de nombreuses rencontres avec les institutions fédérales concernées par cette initiative, notamment Services partagés Canada et le Secrétariat du Conseil du Trésor.

On nous a assurés que les institutions fédérales qui prévoient offrir des services ou des programmes en ligne à l’aide du service Clé d’accès doivent d’abord faire une évaluation exhaustive des risques pour s’assurer que le niveau de protection qu’elles offriront est proportionné au caractère sensible de l’information fournie dans la transaction en ligne et aux risques connexes.

Nous continuerons de surveiller ce dossier de près, car le plan de renouvellement de l’authentification en ligne du gouvernement est en constante évolution. Le service Clé d’accès sera éliminé progressivement à la fin de 2012, et il sera remplacé par un nouveau service de justificatifs d’identité portant la marque du gouvernement du Canada. Nous examinerons l’EFVP de cette initiative.

Service de courtier de justificatifs d’identité

Parallèlement au service Clé d’accès et dans le cadre de la stratégie fédérale de renouvellement de l’authentification électronique, Services partagés Canada met en œuvre un nouvel élément de son service d’authentification des Canadiennes et des Canadiens qui utilisent les services gouvernementaux en ligne.

Le nouveau service de courtier de justificatifs d’identité, offert en vertu d’un contrat avec le gouvernement, permettra aux gens d’utiliser des justificatifs d’identité en ligne fournis par le secteur privé — comme les justificatifs bancaires électroniques — pour avoir accès aux services du gouvernement du Canada.

Nous avons eu des consultations suivies avec Services partagés Canada, le Secrétariat du Conseil du Trésor ainsi que Travaux publics et Services gouvernementaux Canada. Nous avons reçu une EFVP pour cette initiative; cependant, elle n’était pas accompagnée de la documentation requise, et nous avons demandé qu’une EFVP révisée soit soumise. Services partagés Canada a accepté d’en préparer une. Entre-temps, nous avons poursuivi nos discussions, et nous avons exprimé nos préoccupations concernant les niveaux d’authentification offerts par le service et les problèmes éventuels au chapitre de la responsabilité si des atteintes à la protection des renseignements personnels survenaient.

On nous a rassurés en nous disant que des mesures d’atténuation appropriées étaient intégrées au processus et que les contrats entre le gouvernement fédéral et le service de courtier de justificatifs d’identité du secteur privé contenaient des clauses sur la protection de la vie privée.

SERVICE CORRECTIONNEL DU CANADA
Communications de renseignements aux fins de recherche en santé

Service correctionnel Canada a soumis une EFVP concernant la communication de renseignements médicaux sur les détenus à des établissements d’enseignement canadiens désirant effectuer des recherches sur la santé de la population carcérale sous responsabilité fédérale.

Selon l’EFVP, cette recherche est importante pour que la transition des délinquants dans la collectivité se fasse en toute sécurité; pour offrir des services de santé efficaces aux délinquants des Premières Nations, métis et inuits, et pour améliorer les services de santé mentale. Cependant, le dossier qui nous a été soumis manquait de précisions sur les projets de recherche proprement dits et ne donnait pas de détails sur les ententes d’échanges de données.

Ce manque de précision nous préoccupait, étant donné la nature sensible des renseignements concernés. Nous étions aussi préoccupés par le fait que chaque projet de recherche peut nécessiter différents éléments de données et que cela peut engendrer différents risques d’ordre technique.

Nous avons demandé au Service correctionnel du Canada d’effectuer des EFVP distinctes pour chaque entente de partage de données. Il sera ainsi possible de réaliser une analyse approfondie des risques liés à la vie privée qui sont propres à chaque projet de recherche et de les atténuer.

Nous avons aussi demandé à l’organisme d’examiner soigneusement l’utilisation qu’il entend faire du sous-alinéa 8(2)j)(i) de la Loi sur la protection des renseignements personnels pour ces communications. Ce sous-alinéa de la Loi prévoit que, aux fins de recherche, les renseignements ne peuvent être communiqués sous une forme permettant d’identifier les individus concernés que si le responsable de l’institution est convaincu que les fins auxquelles les renseignements sont communiqués ne peuvent être normalement atteintes d’aucune autre façon. Nous demandons au Service correctionnel du Canada d’évaluer le mérite de chaque activité de recherche individuellement pour déterminer si c’est bien le cas.

ADMINISTRATION CANADIENNE DE LA SÛRETÉ DU TRANSPORT AÉRIEN
Projet pilote d’observation du comportement des passagers

Nous avons effectué un autre examen important : l’analyse du projet pilote d’observation du comportement des passagers, qui a été lancé par l’Administration canadienne de la sûreté du transport aérien (ACSTA) en 2011. L’essai pratique s’est échelonné sur cinq mois, de février à juillet 2011. Dans le cadre de cette initiative, des agents spécialement formés ont observé les passagers qui attendaient aux points de contrôle de sûreté des aéroports pour repérer les comportements suspects.

Comme nous le mentionnions dans notre rapport annuel 2010-2011, notre examen de l’EFVP du projet pilote d’observation du comportement des passagers nous a amenés à nous poser des questions sur l’efficacité de cette initiative pour ce qui est de repérer des menaces pour la sûreté aérienne. Nous avons noté des risques de profilage inapproprié fondé sur des caractéristiques comme la race, l’origine ethnique, l’âge ou le sexe.

En plus d’analyser l’EFVP et de beaucoup consulter l’ACSTA, nous avons organisé une visite sur place pour voir comment se déroulaient les opérations sur le site du projet pilote, l’aéroport international de Vancouver.

Un agent d’examen des EFVP et un analyste technique ont effectué une visite sur place, en juin 2011, et ils ont longuement discuté avec les représentants de l’ACSTA directement concernés par le programme à l’aéroport.

Cette visite nous a permis de mieux comprendre le projet et nous a aidés à évaluer les risques qu’il représentait pour la protection de la vie privée et des renseignements personnels.

Nous prévoyons faire davantage de visites sur place à l’avenir, car elles se sont avérées des compléments précieux aux documents qui nous étaient soumis au cours du processus d’examen des EFVP.

Activités parlementaires

Les échanges et les interactions entre le Commissariat et le Parlement constituent une autre façon d’intégrer la question du respect de la vie privée dans l’élaboration des politiques.

Nos discussions et nos mémoires peuvent déboucher sur des changements considérables qui offrent une meilleure protection de la vie privée à la population canadienne. Évidemment, c’est le Parlement qui décide si nos contributions peuvent être utilisées et quel est le meilleur moyen de le faire. 

Les questions liées à la sécurité nationale et publique, y compris le projet de loi sur l’accès légal et l’initiative visant la sécurité frontalière, ont suscité de grandes préoccupations cette année.

L’élection fédérale de 2011 a eu pour résultat que le Parlement a siégé un moins grand nombre de jours pendant le dernier exercice et, par conséquent, le Commissariat a comparu de manière officielle devant les députés et les sénateurs moins souvent qu’il ne le fait d’habitude.

La commissaire et d’autres représentants du Commissariat ont comparu cinq fois, et nous avons présenté deux mémoires écrits. Parmi les questions abordées, mentionnons :

  • la Loi sur la sécurité des rues et des communautés;
  • les répercussions sur la vie privée des changements éventuels au système d’immigration;
  • les changements proposés à la loi actuelle portant sur le recyclage des produits de la criminalité et le financement des activités terroristes.

Voici quelques-uns des points saillants de nos activités parlementaires en 2011-2012.

Accès légal

L’interaction entre la protection de la vie privée et la sécurité est une question fondamentale dans toute société ouverte et démocratique. Le Commissariat est conscient qu’il est nécessaire et important d’intégrer la protection de la vie privée dans les mesures de sécurité publique.

La Loi sur les enquêtes visant les communications électroniques criminelles et leur prévention (projet de loi C-30), déposée en février 2012, n’est que la dernière incarnation d’un projet des autorités visant à réformer le cadre juridique canadien régissant l’utilisation de la surveillance électronique.

Le Commissariat s’intéresse depuis longtemps à ce dossier, et nous avions déjà des échanges avec le gouvernement à ce sujet dans le milieu des années 1990.

Le Commissariat comprend les difficultés auxquelles sont confrontés les organismes responsables de l’application de la loi et de la sécurité nationale dans la lutte contre la cybercriminalité — en particulier à une époque où les technologies de communication sont en constante évolution.

Cependant, une loi qui cherche à redéfinir les pouvoirs des corps de police dans le cyberespace doit contribuer manifestement à protéger le public, respecter les principes fondamentaux en matière de protection de la vie privée qui sont inscrits dans les lois canadiennes, et faire l’objet d’une surveillance adéquate. Lorsqu’il s’agit de surveillance, c’est la norme au Canada que le caractère envahissant d’un nouveau pouvoir policier ou d’une nouvelle méthode d’enquête soit compensé par un niveau correspondant d’examen juridique, de responsabilité et de surveillance.

Les Canadiennes et les Canadiens ont la protection de la vie privée à cœur. Des citoyens de tous les horizons, de toutes les régions du pays, peu importe leur âge et leur éducation, se sentent concernés par cette question.

Par conséquent, lorsque le gouvernement propose de nouvelles méthodes de surveillance électronique — et qu’il cherche l’équilibre idéal entre des mesures de sécurité efficaces et des mesures judicieuses de protection de la vie privée —, l’opinion des citoyens doit être prise en considération.

Depuis 2005, nous avons exprimé publiquement nos préoccupations dans le cadre de mémoires au Parlement et de déclarations, de réponses aux consultations gouvernementales, de communiqués émis conjointement avec nos homologues provinciaux et territoriaux, et de lettres adressées aux ministres et ministères responsables. Nous avons exposé ces mêmes préoccupations dans des discours prononcés devant des associations professionnelles, des exposés lors de conférences, des documents de travail et même des exposés en classe.

En octobre 2011, nous avons envoyé une lettre ouverte au ministre de la Sécurité publique pour exprimer encore une fois notre vive inquiétude avant que le projet de loi soit déposé à nouveau.

Le traitement adéquat des renseignements personnels et la protection des droits et libertés des citoyens dans le contexte de la sécurité nationale font partie des tâches les plus urgentes du gouvernement. La protection de la vie privée n’est pas un enjeu secondaire dans ce domaine; elle est plutôt au cœur des libertés sociales que les gouvernements doivent protéger.

Jusqu’à maintenant, on n’a pas présenté de justifications suffisantes à la population canadienne pour les nouveaux pouvoirs proposés, alors que d’autres options moins envahissantes pourraient être examinées. Il est indispensable d’adopter une approche ciblée et taillée sur mesure.

En février 2012, le gouvernement fédéral a présenté la dernière version d’une loi sur l’accès légal, qui propose d’accroître les outils juridiques permettant à l’État d’exercer une surveillance et d’avoir accès à des renseignements de nature privée.

Depuis de nombreuses années, le Commissariat demande instamment que l’on procède avec prudence dans la création d’un régime de surveillance élargi qui aurait de profondes répercussions sur le droit à la vie privée. Nous ne sommes pas convaincus que la dernière version du projet de loi adopte l’approche ciblée et taillée sur mesure qui est nécessaire pour éviter l’érosion de notre société libre et ouverte.

Nous reconnaissons que, dans ce projet de loi, le gouvernement a réduit le nombre d’éléments de données auxquelles les autorités pourraient avoir accès sans mandat ou sans autorisation judiciaire préalable. La dernière version du projet de loi contient aussi certaines dispositions relatives à la vérification.

Dans l’ensemble, toutefois, le projet de loi soulève de sérieuses préoccupations en matière de protection de la vie privée, comme les versions antérieures.

Notamment, nous sommes préoccupés par le fait qu’il sera possible de consulter l’information associée à une adresse IP sans mandat. Puisque ce vaste pouvoir ne se limite pas aux cas où il existe des motifs raisonnables de soupçonner des activités criminelles ou aux cas où une enquête criminelle est en cours, cela pourrait avoir une incidence sur les citoyens respectueux de la loi.

Les problèmes liés à la protection de la vie privée qui ne sont pas encore résolus concernent notamment :

  • l’étendue des nouveaux pouvoirs, dont peut se prévaloir un large éventail d’autorités provinciales et fédérales;
  • l’accès aux renseignements personnels sans autorisation judiciaire, y compris dans les cas sans lien avec des crimes ou des problèmes de sécurité;
  • l’absence de dispositions concernant l’établissement de rapports destinés au public, ce qui amoindrit l’obligation de rendre des comptes et complique l’examen parlementaire;
  • l’absence d’un processus d’examen spécial, pour superviser et vérifier adéquatement l’utilisation des nouveaux outils d’enquête.

Nous avons hâte de faire connaître en détail notre point de vue sur ce projet de loi au Parlement, lorsque le projet de loi C-30 sera étudié en comité.

Plan d’action sur la sécurité du périmètre Canada-États-Unis

L’initiative de la sécurité du périmètre Canada-États-Unis est un autre dossier important dans le domaine de la sécurité publique. L’objectif déclaré de cette initiative est d’accroître la sécurité et de faciliter le commerce le long de notre frontière commune. Bien que les informations continuent de filtrer mois après mois, le Commissariat a fortement préconisé que toutes les initiatives découlant de l’entente respectent le droit à la vie privée et les protections juridiques auxquels s’attend la population canadienne et qu’elles en tiennent compte véritablement et adéquatement.

Le premier ministre du Canada, Stephen Harper, et le président des États-Unis, Barack Obama, ont signé la déclaration intitulée Par-delà la frontièreen février 2011. Le Commissariat a par la suite participé à la consultation publique menée par le gouvernement, et il a présenté une série de recommandations concernant les risques pour la vie privée qui découlent des divers éléments du modèle de sécurité du périmètre. Les thèmes abordés comprenaient les principes directeurs en matière de protection de la vie privée, les plans d’urgence en santé, la cybersécurité, la biométrie, la surveillance des voyageurs, l’échange d’information et les contrôles frontaliers.

À la suite de ces discussions, le plan d’action sur la sécurité du périmètre Canada-États-Unis a été rendu public en décembre 2011.

Les conditions étaient alors réunies pour que le Commissariat et ses homologues provinciaux et territoriaux publient une résolution conjointe sur cette initiative. Le document soulignait l’importance de la protection de la vie privée dans le contexte des nouvelles initiatives de sécurité et des canaux d’échanges de renseignements découlant du plan d’action des deux gouvernements.

Dans les recommandations présentées au gouvernement fédéral, nous avons attiré l’attention sur les points suivants :

  • Toutes les initiatives découlant du plan d’action dans le cadre desquelles des renseignements personnels sont recueillis devraient aussi prévoir des mécanismes de recours et de réparation appropriés pour vérifier l’exactitude des fichiers, corriger les erreurs et limiter la communication de l’information à d’autres pays.
  • Le Parlement, les commissaires à la protection de la vie privée des provinces et la société civile devraient être sollicités au moment de la conception des initiatives découlant du plan d’action.
  • Les renseignements sur les Canadiennes et les Canadiens devraient autant que possible être conservés au Canada ou du moins être protégés par le Canada.
  • Les nouvelles technologies de surveillance utilisées au Canada, comme les véhicules aériens sans pilote, doivent être visées par des mesures de contrôle adéquates énoncées dans un cadre réglementaire approprié.

Le Commissariat a déjà pris des dispositions en vue de l’intensification de la fonction d’examen et des activités qui, selon nos prévisions, découlera des divers nouveaux programmes associés à l’initiative : examiner les évaluations des facteurs relatifs à la vie privée, formuler des observations sur la révision de la réglementation et fournir de l’information aux parlementaires sur les nouvelles propositions législatives et les questions touchant la protection de la vie privée qui découlent de l’effort déployé conjointement par le Canada et les États-Unis pour assurer la sécurité.

Loi sur la sécurité des rues et des communautés

La Loi sur la sécurité des rues et des communautés rétablit un certain nombre de mesures destinées à durcir les sanctions pour certains crimes, qui étaient incluses dans neuf projets de loi ayant fait l’objet d’un débat au Parlement pendant une session précédente, mais qui n’avaient pas été adoptés.

Nous avons informé les parlementaires que les modifications législatives proposées dans cette loi omnibus auraient des répercussions importantes et durables sur le droit à la vie privée de bien des Canadiennes et Canadiens.

Ces répercussions ne toucheraient pas uniquement les personnes trouvées coupables d’actes criminels. Par exemple, les personnes qui travaillent dans un établissement correctionnel, ou qui visitent un tel établissement, ou les personnes qui sont mariées à certains détenus ou qui leur rendent visite, pourraient voir leurs renseignements personnels recueillis plus facilement et communiqués plus largement parmi les organismes gouvernementaux.

Le Commissariat a formulé des recommandations pour atténuer les atteintes éventuelles à la vie privée et réduire autant que possible la collecte inutile des renseignements personnels des Canadiennes et Canadiens respectueux de la loi. Nous avons exhorté le gouvernement à mettre en place des contrôles et des limites solides pour que les renseignements personnels soient recueillis, utilisés, communiqués et conservés seulement quand c’est absolument nécessaire et approprié.

Aucune de nos recommandations n’a été suivie, et la loi a reçu la sanction royale le 13 mars 2012.

Blanchiment d’argent et financement des activités terroristes

La commissaire a comparu devant le Comité sénatorial permanent des banques et du commerce le 1er mars 2012, alors que ce dernier examinait la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes.

Au cours de son témoignage, elle a exprimé ses préoccupations concernant l’expansion éventuelle du régime de lutte contre le blanchiment d’argent et le financement des activités terroristes, alors qu’il n’a pas été prouvé que des changements sont nécessaires pour s’occuper des problèmes nationaux.

Le Canada a déjà un régime tentaculaire qui, comme l’a révélé notre vérification de 2009, a mené à la communication excessive de grandes quantités de renseignements personnels sur la population canadienne, mais on ne dispose pas de preuves concluantes relativement à son efficacité et à ses effets sur les Canadiennes et les Canadiens.

La commissaire a recommandé que les sénateurs évaluent en détail l’efficacité du régime et qu’ils se demandent si d’autres mesures de lutte contre le blanchiment d’argent et le financement d’activités terroristes pourraient être plus efficaces et moins envahissantes pour la vie privée.

La commissaire a souligné que, si le gouvernement fédéral croit que des changements additionnels au régime sont absolument nécessaires aux fins d’application de la loi ou de sécurité nationale, il serait important qu’il fournisse au public des justifications pour ces changements, en s’appuyant sur des données et des preuves. Nous prévoyons déposer notre deuxième rapport de vérification sur le Centre d'analyse des opérations et déclarations financières du Canada en 2012-2013.

Sécurité du système d’immigration du Canada

Le Comité permanent de la citoyenneté et de l’immigration de la Chambre des communes a accepté, en décembre 2012, d’examiner la question de la sécurité du système d’immigration du Canada. Plus précisément, le Comité a examiné les lacunes qui existent et les mesures que le gouvernement fédéral a prises ou qu’il prévoit prendre pour augmenter la sécurité de ce système.

Lors de sa comparution devant le Comité, le 16 février 2012, la commissaire a souligné que la Loi sur la protection des renseignements personnels impose des obligations chaque fois que le gouvernement fédéral recueille des renseignements personnels. Il incombe notamment aux organismes fédéraux de veiller à l’établissement de certaines mesures de protection, de limiter l’utilisation des renseignements à des fins secondaires et de publier la liste de leurs bases de données, et ce, quelle que soit la citoyenneté des personnes concernées.

La commissaire a également dit aux membres du Comité que, si le gouvernement fédéral apportait des changements législatifs ou réglementaires au système d’immigration, elle s’attendrait à ce que l’institution appropriée nous fournisse des évaluations détaillées des facteurs relatifs à la vie privée.

Enfin, elle a insisté sur l’équilibre nécessaire entre l’examen minutieux des visiteurs et l’engagement global du Canada à l’égard des droits et des libertés. Ces valeurs font partie des obligations du gouvernement en matière de protection de la vie privée lorsqu’il traite les renseignements personnels des personnes qui viennent visiter notre pays ou qui entreprennent de devenir citoyens canadiens.

Recensement

À la suite de l’abolition du formulaire complet de recensement, Statistique Canada a consulté à maintes reprises le Commissariat au sujet du Rapport final sur les options du Recensement de 2016 : cadre proposé de détermination du contenu et options méthodologiques.

Statistique Canada a évalué les options méthodologiques pour effectuer le recensement de la population de 2016 et les suivants. Ces options, fondées sur des pratiques internationales, comprennent la méthodologie du recensement traditionnel actuellement utilisé au Canada, l’utilisation de dossiers administratifs et d’enquêtes pour remplir le questionnaire abrégé du recensement, ainsi que la création d’un recensement se fondant sur un registre central de la population qui requiert un numéro d’identification personnel (NIP) universel.

Dans notre réponse, nous avons indiqué que nous ne pouvions pas considérer l’utilisation d’un NIP universel et obligatoire et d’un registre central de la population comme une option viable. Nous avons aussi formulé de sérieuses réserves quant à l’utilisation aux fins de recensement de données additionnelles provenant des dossiers administratifs.

Nous continuons de collaborer avec Statistique Canada.

CHAPITRE 3

Défis en matière de gestion des renseignements personnels

Trois décennies après l’adoption de la Loi sur la protection des renseignements personnels, il y a encore place à de substantielles améliorations dans la façon dont certains ministères fédéraux abordent la protection des renseignements personnels.

Bien que des progrès très encourageants aient été enregistrés relativement à la protection de la vie privée dans l’administration fédérale au cours des 30 dernières années, il y a encore des défis à relever.

Le présent chapitre décrit certains des domaines où il y a encore place à l’amélioration.

Deux thèmes se recoupent dans les études de cas qui suivent :

Premièrement, la nécessité de mieux prévoir les problèmes potentiels dans la gestion des renseignements personnels et, deuxièmement, la nécessité d’offrir une formation plus adaptée quant à la réduction des secteurs de risque.

Par exemple, une meilleure formation aurait dû permettre à des agents correctionnels de remettre en question le bien-fondé d’afficher les rendez-vous médicaux de détenus à la vue de tous dans un établissement carcéral fédéral. Qui voudrait que ses collègues (ou codétenus, selon le cas) connaissent, outre la date et l’heure où l’on verrait un médecin, l’objet du rendez-vous? Dans le même ordre d’idées, la méconnaissance des marches à suivre a amené des responsables à révéler à tort, deux fois plutôt qu’une, la gravité de l’invalidité d’un membre des Forces canadiennes à des gens ayant ni le droit ni le besoin de connaître l’information.

Cependant, des directives claires de la haute direction et un plan de formation et de communication bien conçu peuvent améliorer énormément la sensibilisation à la protection de la vie privée et à la gestion des renseignements personnels.

La vérification exhaustive que nous avons menée auprès d’Anciens Combattants Canada trace le portrait encourageant d’un ministère déterminé à regagner la confiance de ses plus de 200 000 clients après un incident hautement médiatisé de traitement incorrect des renseignements des plus personnels d’un ancien combattant.

Le présent chapitre s’intéresse aussi à deux autres ministères qui figurent constamment aux listes annuelles des cinq institutions visées par le plus grand nombre de plaintes au Commissariat au cours de la dernière décennie — le Service correctionnel du Canada, qui est dans une classe à part en ce qui concerne le nombre de plaintes au Commissariat, et l’Agence du revenu du Canada.

Pour des raisons intrinsèques, certaines institutions fédérales continueront d’engendrer un nombre important de plaintes en vertu de la Loi sur la protection des renseignements personnels. Elles détiennent en effet une quantité impressionnante de renseignements personnels, dont la plus grande partie est extrêmement délicate.

Cependant, ces deux institutions suscitent des préoccupations constantes en matière de protection de la vie privée. Dans certains cas, une approche véritablement proactive pourrait se traduire par une meilleure gestion de la protection de la vie privée et, par conséquent, moins de plaintes.

Les atteintes à la protection des données restent une source constante de préoccupations. Le nombre d’atteintes signalées au Commissariat au cours du dernier exercice a en effet atteint un sommet.

Comme le montrent les exemples, le simple bon sens aurait permis d’éviter que se produise un grand nombre de ces atteintes. Et d’autres auraient pu être empêchées si les gens en place avaient suivi les règles.

Enfin, le fait de constamment retarder l’accès aux renseignements personnels revient à en refuser la communication. C’est ce qu’estimait le Parlement lorsqu’il a prévu au plus deux mois pour le traitement des demandes faites en vertu de la Loi sur la protection des renseignements personnels.

Pourtant, ce délai est trop souvent dépassé. Dans certains cas même, le temps de traitement de demandes s’est étiré sur des années.

Vérification d’Anciens Combattants Canada

Contexte

En octobre 2010, la commissaire a rendu publics les résultats d’une enquête relative à une plainte selon laquelle Anciens Combattants Canada aurait traité incorrectement les renseignements personnels du plaignant.

L’enquête a mis au jour de sérieux problèmes systémiques, ce qui a amené le Commissariat à lancer une vérification.

L’enquête a révélé que les renseignements médicaux et personnels délicats d’un ancien combattant avaient été communiqués — en apparence sans aucun mécanisme de contrôle — à des fonctionnaires du Ministère n’ayant aucun besoin légitime de les voir. Ces renseignements personnels ont par la suite figuré dans des notes d’information ministérielles sur les activités de défense des droits menées par l’ancien combattant.

L’enquête a aussi confirmé que deux notes d’information au sujet du plaignant contenaient des renseignements personnels dépassant largement ce qui était nécessaire pour réaliser l’objectif énoncé dans les notes. Les documents comprenaient des renseignements médicaux délicats ainsi qu’une description détaillée des interactions du plaignant avec le Ministère à titre de client et de défenseur des droits des anciens combattants.

La commissaire avait conclu que le Ministère ne respectait pas la Loi sur la protection des renseignements personnels et ne s’était pas doté de mesures de contrôle suffisantes pour protéger les renseignements personnels des anciens combattants.

La commissaire avait recommandé qu’Anciens Combattants Canada :

  • élabore un cadre amélioré de protection des renseignements personnels afin de restreindre l’accès aux renseignements personnels au sein du Ministère;
  • revoie les politiques et les pratiques de gestion de l’information en vigueur afin de s’assurer que les renseignements personnels ne sont communiqués qu’aux employés du Ministère qui en ont véritablement besoin;
  • s’assure que le consentement pour le transfert des renseignements personnels a été obtenu et que les renseignements communiqués se limitent à ce qui est nécessaire;
  • offre aux employés une formation sur le traitement des renseignements personnels.

En réponse au rapport de la commissaire et à la demande du ministre des Anciens Combattants de l’époque, le Ministère a élaboré un plan d’action en matière de protection de la vie privée en dix points en vue de la mise en œuvre des recommandations.

Dans le cadre de ce plan, le Ministère :

  • a mis en œuvre une structure de gouvernance de la protection de la vie privée;
  • a élaboré des politiques, des procédures, des processus et des lignes directrices pour la gestion des renseignements personnels des anciens combattants;
  • a institué une formation obligatoire sur la protection de la vie privée à l’intention des employés;
  • a instauré des mécanismes de surveillance applicables au Réseau de prestation des services aux clients, qui est le principal répertoire électronique pour les renseignements personnels des anciens combattants.

À propos d’Anciens Combattants Canada

Anciens Combattants Canada offre des programmes et des services à plus de 200 000 clients, dont des anciens combattants de la Deuxième Guerre mondiale et de la guerre de Corée ainsi que des militaires retraités et actifs des Forces canadiennes et les membres de leur famille admissibles. Le Ministère administre également les prestations de pension d’invalidité et les régimes de soins de santé de certains membres actifs et retraités de la Gendarmerie royale du Canada.

Comptant environ 3 900 employés, Anciens Combattants Canada a trois bureaux régionaux et 35 points de service dans tout le pays. Le Ministère a également instauré 24 centres intégrés de soutien du personnel avec le ministère de la Défense nationale.

Pour obtenir des précisions, voir www.ancienscombattants.gc.ca.

Point examinés

Nous avons examiné divers documents du Ministère ayant trait à la gestion des renseignements personnels : politiques, procédures et processus, dossiers de programmes, lignes directrices, évaluations des facteurs relatifs à la vie privée, examens de sécurité, documents de formation, ententes d’échange de renseignements et contrats conclus avec des tiers fournisseurs de services.

Nous avons également examiné les contrôles en vigueur pour la protection des renseignements personnels qui sont conservés sur support électronique et sur papier. De plus, nous avons étudié un échantillon de dossiers d’anciens combattants.

Nous cherchions ainsi à évaluer si le Ministère avait mis en œuvre des contrôles suffisants pour protéger les renseignements personnels des anciens combattants et si les politiques, les procédures et les processus pour la gestion de tels renseignements correspondent aux pratiques équitables en matière de renseignements énoncées aux articles 4 à 8 de la Loi sur la protection des renseignements personnels.

La vérification excluait toutefois la gestion par le Ministère des renseignements personnels concernant les employés, le personnel contractuel ou les programmes administrés pour la GRC. Elle ne portait pas non plus sur les pratiques de traitement des renseignements personnels en vigueur au Tribunal des anciens combattants (révision et appels), au Bureau de l’ombudsman des vétérans, au Bureau de services juridiques des pensions, à l’Hôpital Sainte-Anne ou chez les tiers fournisseurs de services du Ministère.

Importance de cet enjeu

Le Ministère offre un large éventail de programmes et de services aux anciens combattants, à leurs personnes à charge et à leurs survivants, ce qui nécessite la collecte et l’utilisation de renseignements personnels délicats ainsi que la tenue d’un vaste répertoire contenant l’information en question.

Les fonds de données sont, certes, volumineux, mais ils contiennent aussi des renseignements très sensibles. Outre les données biographiques (noms, dates de naissance, état matrimonial, etc.), les dossiers des anciens combattants peuvent comprendre les états de service militaire, les antécédents en matière d’emploi et d’études, des données financières et des renseignements d’ordre médical.

L’utilisation et la communication non autorisées des renseignements personnels pourraient avoir des conséquences considérables pour les anciens combattants, leurs personnes à charge et leurs survivants. Il pourrait s’ensuivre des pertes financières découlant du vol d’identité ou de fraudes; des révélations gênantes, des atteintes à la réputation ou à la sécurité personnelle.

Anciens Combattants Canada est tenu par la loi de mettre en œuvre des politiques, des procédures et des contrôles pour protéger les renseignements personnels recueillis dans le cadre de son mandat. Cela est essentiel pour conserver la confiance des anciens combattants en sa capacité à préserver le caractère confidentiel des renseignements qui lui sont confiés.

Constatations

La haute direction d’Anciens Combattants Canada s’est engagée à faire en sorte que les méthodes de traitement des renseignements personnels du Ministère répondent aux conditions de la Loi sur la protection des renseignements personnels et elle a supervisé activement les efforts déployés pour corriger les lacunes relevées par la commissaire à la protection de la vie privée en octobre 2010.

Les éléments clés d’un programme exhaustif de gestion des renseignements personnels sont en place.

Une structure de gouvernance interne officielle a été instaurée afin de favoriser une culture de protection de la vie privée dans toutes les sphères de l’organisation et d’assurer l’exécution d’une approche coordonnée et cohérente à l’égard de la gestion des renseignements personnels dans les opérations courantes. Les services de spécialistes de la gestion de l’information et de la protection de la vie privée ont été retenus afin que ceux-ci examinent les pratiques du Ministère en matière de gestion des renseignements personnels et proposent des améliorations.

De plus, le Ministère a investi dans la surveillance de l’accès aux dossiers des anciens combattants, l’amélioration des mécanismes de contrôle de l’accès aux systèmes, une meilleure sensibilisation des employés et l’élaboration de politiques, procédures, processus et lignes directrices sur le respect de la vie privée des anciens combattants.

Notre rapport d’enquête de 2010 portait sur deux notes d’information destinées au ministre contenant des renseignements personnels superflus par rapport aux fins annoncées des documents.

En l’espace d’un mois, le Ministère a établi des lignes directrices sur la rédaction de notes d’information et d’autres documents internes, dans le cadre de son plan d’action sur la protection des renseignements personnels.

Il ressort des lignes directrices que les documents d’information devraient contenir uniquement les renseignements personnels qui sont absolument nécessaires pour réaliser les fins du document. Les employés ont aussi été invités à déterminer si les fins peuvent être atteintes sans inclure des données d’identification personnelle comme les noms des anciens combattants.

Les employés participant à la rédaction de notes d’information et de rapports de synthèse concernant un client particulier ont suivi une formation sur l’application des nouvelles lignes directrices. Le Ministère a également constitué des services centralisés chargés de traiter les documents d’information destinés au ministre.

Dans le cadre de notre vérification, nous avons examiné un échantillon de 88 documents d’information ministériels concernant des clients particuliers qui ont été rédigés entre avril 2011 et mars 2012.

Nous avons constaté que pratiquement tous les documents respectaient le principe du droit de savoir — c’est-à-dire que les renseignements personnels révélés se limitaient à ce qui était nécessaire pour réaliser les fins du document.

Même si deux documents d’information contenaient des renseignements superflus par rapport aux données qui auraient été strictement nécessaires, il convient de mentionner que les documents en question avaient été rédigés avant l’instauration d’un processus d’assurance de la qualité, à l’automne 2011.

Pratiques équitables en matière de renseignements

Le principe voulant que les renseignements personnels ne doivent être recueillis qu’en vertu d’un besoin légitime et autorisé directement lié à un programme ou une activité est au cœur de la protection de la vie privée. Nous avons constaté que les activités de collecte de renseignements du Ministère sont pertinentes et raisonnables et que les renseignements personnels des anciens combattants sont utilisés selon les fins autorisées.

Cependant, des améliorations pourraient être apportées à la façon dont le Ministère gère le consentement des anciens combattants. De façon générale, le Ministère obtient le consentement avant de communiquer les renseignements personnels d’un ancien combattant à un tiers (p. ex. : un fournisseur de services externe ou un membre de la famille). Nous avons toutefois vu des formulaires de consentement qui ne précisent pas le tiers ni les renseignements que le Ministère était autorisé à communiquer. De plus, nous avons constaté que des renseignements avaient été communiqués et que le consentement pour ce faire ne figurait pas au dossier.

Dans le même ordre d’idées, nous avons constaté que les précisions entourant le consentement n’étaient pas toujours inscrites dans le Réseau de prestation des services aux clients, le principal répertoire électronique des dossiers des anciens combattants. Des efforts concertés doivent être déployés pour que le consentement soit inscrit de façon suffisante et uniforme au dossier, faute de quoi le Ministère pourrait communiquer par erreur les renseignements personnels d’anciens combattants.

Nous avons recommandé qu’Anciens Combattants Canada veille à ce que le consentement des anciens combattants soit inscrit de façon uniforme au dossier et soit facilement Accèsible à des fins de vérification. Nous avons aussi recommandé que le Ministère établisse des mécanismes permettant de s’assurer que le consentement est bien indiqué dans le Réseau de prestation des services aux clients.

Le Ministère a établi des calendriers énonçant la durée de conservation des renseignements personnels avant leur destruction. Nous avons constaté qu’un nombre extrêmement élevé de dossiers papier avait été conservé au-delà de la période de conservation.

Avant 2008, on jugeait que les dossiers de tous les anciens combattants avaient une valeur archivistique et, par conséquent, ils étaient conservés indéfiniment. Cependant, en 2008, le bibliothécaire et archiviste du Canada a changé la désignation de certains dossiers pour qu’ils n’aient plus de valeur archivistique, c’est-à-dire qu’ils peuvent être détruits sept ans après le décès d’un ancien combattant.

Le Ministère doit donc examiner le contenu de plus de deux millions de dossiers papier afin de déterminer quels documents devraient être détruits.

De plus, comme le Réseau de prestation des services aux clients n’a pas la capacité technique d’éliminer des documents, l’information reste indéfiniment dans la base de données.

Nous avons recommandé qu’Anciens Combattants Canada mette en œuvre des systèmes pour garantir que les documents sur support électronique et papier sont éliminés à l’expiration de leur durée de conservation établie.

Protection des renseignements personnels des anciens combattants

S’assurer que l’accès aux renseignements personnels se limite aux personnes ayant un besoin légitime de les consulter représente une mesure de protection de clé de la protection de la vie privée. Les résultats de notre enquête de 2010 ont incité Anciens Combattants Canada à revoir les droits d’accès des employés au Réseau de prestation des services aux clients.

Tous les postes ont été examinés dans le cadre de cet exercice. Les gestionnaires ont dû présenter des justifications pour chaque niveau d’accès jugé essentiel pour l’exercice des fonctions. Les justifications ont été examinées par un comité ministériel, qui les a acceptées ou rejetées, souvent après avoir remis en question les justifications fournies.

À la suite de l’examen, quelque 500 employés ont perdu leurs privilèges d’accès au système. De plus, les niveaux d’accès ont été réduits pour 95 % des autres postes.

Cependant, nous avons constaté qu’Anciens Combattants Canada a recours à un système manuel pour déterminer et conserver les niveaux d’accès — méthode qui risque de donner un niveau d’accès inapproprié à certains employés.

Nous avons recommandé que, pour atténuer le risque que des employés accèdent à des renseignements dont ils n’ont pas besoin sur les anciens combattants, le Ministère informatise les mécanismes de contrôle de l’accès au Réseau de prestation des services aux clients selon les fonctions exercées, et non selon les titulaires.

Le Ministère a confié à un tiers, en l’occurrence Croix Bleue Medavie, la gestion du traitement des demandes de soins de santé et de certains services. Dans le cadre de l’accord conclu, Medavie a mis sur pied le Système fédéral de traitement des demandes de soins de santé, dont il est le propriétaire et l’exploitant.

Bien que des processus et des procédures soient en place pour gérer l’accès au système par les employés d’Anciens Combattants Canada, le Ministère n’a pas cherché à vérifier si les droits d’accès de ses employés sont conformes au principe du besoin de savoir. Notre échantillon de 26 comptes d’utilisateurs a révélé que plus du tiers avait accès à des renseignements dont ils n’ont pas nécessairement besoin dans l’exercice de leurs fonctions.

Nous avons recommandé qu’Anciens Combattants Canada revoie l’accès au Système fédéral de traitement des demandes de soins de santé par les employés pour s’assurer que les privilèges des utilisateurs respectent le principe du besoin de savoir. Nous avons aussi indiqué que le Ministère pourrait tirer parti de l’instauration d’un accès automatisé au Système selon les fonctions exercées.

À l’exception de deux bureaux régionaux et d’un bureau de district, le Ministère a confié en sous-traitance l’élimination des dossiers papier des anciens combattants à des entreprises de déchiquetage du secteur privé. Environ le tiers des activités ne sont pas régies par des ententes écrites assorties de conditions répondant aux normes de sécurité du Conseil du Trésor.

Nous avons également relevé l’absence d’une surveillance systématique quant à la destruction sécuritaire des dossiers. Sur les 25 sites où les dossiers sont déchiquetés sur place, les responsables de dix d’entre eux ont indiqué que le processus n’est pas surveillé. Nous avons également constaté que le Ministère ne surveille pas systématiquement les pratiques de destruction hors site des entrepreneurs à la faveur d’inspections périodiques.

Nous avons recommandé qu’Anciens Combattants Canada veille à ce que soient établies, pour toutes les activités d’élimination des renseignements personnels confiées à des entrepreneurs, des ententes écrites comportant des modalités correspondant aux normes du Conseil du Trésor. Nous avons aussi recommandé que le Ministère surveille l’élimination sur place des documents et mette en œuvre un protocole pour la surveillance des pratiques des entrepreneurs relativement à la destruction hors site des documents.

Gestion et responsabilités en matière de protection des renseignements personnels

Une approche globale à l’égard du signalement des atteintes à la protection des données peut aider les ministères à mieux gérer les risques relatifs à la protection de la vie privée en leur permettant d’adapter leurs politiques, processus et procédures en fonction des leçons retenues. En mars 2011, Anciens Combattants Canada a établi un protocole applicable aux atteintes à la protection des données en quatre étapes : 1) limitation et évaluation préliminaire de l’atteinte, 2) évaluation des risques associés à l’atteinte, 3) signalement, et 4) prévention.

Même si le protocole du Ministère prévoit un cadre à cet égard, nous avons constaté que des atteintes à la protection des données n’avaient pas été signalées à l’administration centrale ou au coordonnateur de l’accès à l’information et de la protection des renseignements personnels.

Nous avons recommandé qu’Anciens Combattants Canada renforce l’obligation pour les membres du personnel et les employés contractuels de signaler toutes les atteintes à la protection des données avérées ou présumées.

En octobre 2010, Anciens Combattants Canada a lancé un programme obligatoire de sensibilisation à la protection de la vie privée destiné à tout le personnel.

Le programme est assorti de bulletins et d’autres ressources portant sur la protection de la vie privée qui sont Accèsibles sur le site intranet du Ministère. Même si les diverses initiatives de formation ont permis de mettre en lumière l’importance de respecter les renseignements personnels des clients, il serait utile que les employés assistent à des séances de sensibilisation élargies portant sur les principes fondamentaux de protection de la vie privée.

Conclusion

Le Ministère a lancé un message clair selon lequel le respect de la vie privée représente un élément essentiel de ses opérations et a consacré des ressources considérables à l’amélioration de sa gestion des renseignements personnels des anciens combattants. Grâce à des cadres supérieurs motivés et à l’instauration de structures et de mécanismes de contrôle, le Ministère est bien placé pour passer d’une approche réactive aux situations touchant la protection de la vie privée à une approche proactive.

Anciens Combattants Canada a accueilli favorablement nos conclusions et mettra en œuvre toutes les recommandations formulées dans la vérification.

Enquêtes concernant Anciens Combattants Canada

Comparativement à d’autres ministères, Anciens Combattants Canada n’a pas fait l’objet d’un grand nombre de plaintes. (Le Commissariat a fermé, en tout, 157 dossiers de plainte concernant Anciens Combattants Canada depuis 1983.)

Cependant, la grande médiatisation des questions sur lesquelles nous avons fait enquête en 2010 a sans doute incité d’autres anciens combattants à demander accès à leurs renseignements personnels, ce qui a entraîné une hausse des plaintes au Commissariat.

En 2011-2012, nous avons accepté 39 nouvelles plaintes contre Anciens Combattants Canada — une augmentation par rapport aux 15 plaintes enregistrées au cours de l’exercice précédent.

Sans surprise, cette hausse englobait de nombreuses plaintes de non-respect des délais — 18 sur 39 — que l’on peut associer à une poignée de demandeurs ayant demandé à consulter un grand nombre de documents.

Il est encourageant de constater que sept des 39 plaintes ont été réglées au moyen de notre processus de règlement rapide.

Dans une de celles-ci, notre enquête a permis d’établir que les documents médicaux demandés par un plaignant avaient été transférés aux archives fédérales à partir d’un ancien hôpital pour anciens combattants et, par la suite, détruits.

Le nombre de plaintes se rapportant à l’accès a aussi augmenté pendant l’exercice, passant de cinq à neuf. Les plaintes officielles ayant trait à la protection des renseignements personnels — qui touchent la collecte, la conservation et l’élimination, ainsi que l’utilisation et la communication de renseignements — sont restées stables, à 10.

Les conclusions des enquêtes résumées ci-dessous ont confirmé certaines des préoccupations mentionnées dans l’enquête de 2010, qui est à l’origine de notre décision d’effectuer une vérification d’Anciens Combattants Canada.

Anciens Combattants Canada refuse qu’une famille ait accès au dossier de pension du père

Les enfants adultes d’un ancien combattant décédé ont demandé à consulter les documents figurant dans le dossier de pension détenu par Anciens Combattants Canada. Le Ministère a refusé de communiquer les documents, soutenant que la Loi sur les pensions l’oblige à protéger les renseignements personnels pendant 20 ans après le décès et que les enfants adultes ne sont pas admissibles aux prestations de pension d’un ancien combattant.

Par l’intermédiaire d’un avocat, les enfants ont porté plainte auprès du Commissariat, indiquant que les documents étaient nécessaires pour l’administration de la succession de leur père. Ils ont notamment soutenu que les droits à pension n’avaient pas été acquittés totalement et qu’il se pouvait qu’Anciens Combattants Canada ait traité de mauvaise foi la demande de prestations de pension de leur père.

Le Commissariat a conclu qu’il n’était pas raisonnable qu’Anciens Combattants Canada dicte aux héritiers les documents dont ils ont besoin pour administrer une succession. En vertu du règlement applicable à la Loi sur la protection des renseignements personnels, les plaignants ont droit de consulter le dossier personnel d’un pensionné pour s’acquitter de l’administration de la succession.

Nous avons confirmé que la plainte était fondée.

Une fois que les conclusions ont été communiquées à Anciens Combattants Canada, le Ministère nous a fait savoir qu’il avait remis le dossier de pension de l’ancien combattant à ses survivants.

Copier un résultat de Google équivaut à recueillir des renseignements personnels

En juin 2010, une personne a contacté des fonctionnaires d’Anciens Combattants Canada et de la Commission de la capitale nationale pour obtenir de l’information au sujet du Monument aux anciens combattants autochtones, qui a été dévoilé à Ottawa en 2001.

Cette personne s’est ensuite plainte que son adresse électronique personnelle avait été communiquée à de nouveaux destinataires qui s’étaient ajoutés au fil de courriels.

L’un de ces nouveaux destinataires, un fonctionnaire d’Anciens Combattants Canada, a fait une recherche au moyen de l’adresse électronique de cette personne sur Google pour voir si le public y avait accès. La recherche a mené à une page d’un forum de discussion Google, où la personne avait affiché des renseignements personnels concernant ses études et ses opinions sur la transparence gouvernementale. Google avait « masqué » l’adresse électronique sur la page — c’est-à-dire que les utilisateurs doivent inscrire des caractères spéciaux sur la page pour la « déverrouiller » et voir l’adresse électronique au complet. C’est ce que Google appelle le masquage des adresses électroniques pour empêcher des programmes informatiques de saisir des adresses complètes pour l’envoi de pourriels.

Quoi qu’il en soit, le fonctionnaire d’Anciens Combattants Canada a répondu à la personne que son adresse électronique relevait du domaine public comme la sienne, et a transmis le message, ainsi que l’adresse URL de la page, à tous les destinataires du fil.

La personne s’est plainte au Commissariat que ses renseignements personnels avaient été recueillis de façon inappropriée.

En vertu de l’article 4 de la Loi sur la protection des renseignements personnels, les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou activités. Le Commissariat a conclu qu’Anciens Combattants Canada n’avait pas un besoin démontrable de recueillir l’adresse URL menant aux renseignements personnels affichés par le plaignant sur la page du forum de discussion Google.

Anciens Combattants Canada a soutenu que, parce que le public avait accès à l’information, le plaignant pouvait difficilement invoquer la protection de la vie privée.

Cependant, pour ce qui est des renseignements personnels auxquels le public a accès, la Loi sur la protection des renseignements personnels établit une distinction entre l’utilisation et la communication — qui ne sont pas protégées — et la collecte, qui doit toujours se rapporter directement à un programme ou une activité.

Par conséquent, la collecte de l’adresse URL du plaignant contrevenait à la Loi sur la protection des renseignements personnels,et nous avons confirmé que la plainte était fondée.

Le Ministère a envoyé une lettre d’excuses à l’intéressé et a pris des mesures pour s’assurer que le courriel était supprimé de ses systèmes informatiques.

Anciens Combattants Canada révèle de façon inappropriée la gravité d’une invalidité — à deux reprises

Un militaire actif des Forces canadiennes touchant une pension d’invalidité a eu besoin de traitements et d’un transfert médicaux en 2009. Répondant à l’urgence, un fonctionnaire du ministère de la Défense nationale a demandé l’aide d’Anciens Combattants Canada.

Anciens Combattants Canada est responsable du versement des prestations d’invalidité, tandis que la Défense nationale administre les régimes de soins de santé des membres des Forces canadiennes.

Un employé d’Anciens Combattants Canada a répondu à la demande par un courriel contenant des précisions d’ordre médical et le pourcentage exact de la pension d’invalidité versée à l’ancien combattant.

Le militaire s’est plaint au Commissariat que le pourcentage de la pension d’invalidité avait été communiqué à la Défense nationale sans son consentement et en contravention des dispositions officielles relatives à la communication de renseignements personnels prises par les deux ministères.

Le même militaire avait présenté une plainte similaire en 2008 au sujet de la communication du pourcentage de sa pension d’invalidité à la Défense nationale. Sa plainte avait été jugée fondée.

Une enquête menée par le Commissariat a établi qu’une entente entre les deux ministères limite l’échange de renseignements personnels au sujet des pensions d’invalidité à cinq éléments d’information, excluant le pourcentage indiquant la gravité de l’invalidité.

Nous n’avons rien trouvé qui établit que la communication du pourcentage de pension d’invalidité du plaignant était utile ou nécessaire pour faciliter son traitement.

Anciens Combattants Canada a soutenu que la communication avait été faite en vertu des dispositions liées à l’« intérêt public » de la Loi sur la protection des renseignements personnels (sous-alinéas 8(2)m)(i) et 8(2)m)(ii)).

Cependant, notre enquête n’a révélé aucun élément établissant que la communication du pourcentage de pension d’invalidité du plaignant avait été délibérée, comme il l’aurait fallu pour justifier l’exception liée à l’« intérêt public ».

En fait, l’information a été divulguée parce qu’une chaîne de courriels échangés par des fonctionnaires d’Anciens Combattants Canada a été transmise à un responsable du ministère de la Défense nationale sans que soient éliminés les renseignements personnels délicats que la Défense nationale n’avait aucun besoin apparent de connaître.

Nous avons confirmé que la plainte était fondée.

Nous avons recommandé qu’Anciens Combattants Canada revoie et respecte ses politiques et procédures en vigueur concernant la communication de renseignements personnels à la Défense nationale. Nous avons aussi recommandé qu’Anciens Combattants Canada diffuse ces politiques et procédures à ses employés et donne une formation sur les pratiques appropriées de traitement des renseignements avec la Défense nationale.

Les deux recommandations ont été acceptées et mises en œuvre. De plus, Anciens Combattants Canada a réexaminé son entente avec la Défense nationale concernant la communication de renseignements personnels.

Cet incident s’est produit en 2009, avant qu’Anciens Combattants Canada mette en place son plan d’action en matière de protection de la vie privée en dix points.

Enquêtes concernant le Service correctionnel du Canada

Pour la dixième année consécutive, le Service correctionnel du Canada a fait l’objet du plus grand nombre de plaintes reçues par le Commissariat — et toujours  pour la dixième année consécutive — dépassait de loin l’institution occupant la deuxième place.

En 2011-2012, nous avons accepté 326 plaintes contre le Service correctionnel du Canada, soit une augmentation de 18 % par rapport aux 276 plaintes reçues l’an dernier.

Depuis notre premier rapport annuel, en 1983-1984, nous avons mené enquête à l’égard de plus de 11 000 plaintes déposées contre le Service correctionnel du Canada.

Certains facteurs clés importants expliquent ces nombres constamment élevés de plaintes. Les 57 établissements carcéraux fédéraux abritent plus de 13 000 personnes sous la surveillance de plus de 7 000 agents correctionnels. Or, dans le milieu carcéral, l’information représente une monnaie d’échange.

Cependant, le portrait n’est pas aussi sombre que les chiffres le laissent entrevoir.

Les plaintes relatives au respect des délais (127) représentaient plus du tiers du nombre total de plaintes acceptées, même s’il y en avait 32 de moins que dans l’exercice précédent. Ces données donnent à penser que le Service correctionnel du Canada réussit à réduire les sources de retards dans son système de traitement des demandes au titre de la Loi sur la protection des renseignements personnels.

Environ le quart des plaintes liées aux délais de réponse ont été résolues au moyen du processus de règlement rapide.

Le processus de règlement rapide a aussi été un succès pour plus du tiers des plaintes sur l’accès aux renseignements personnels et près de 40 % des plaintes sur la protection des renseignements personnels, essentiellement l’utilisation et la communication de renseignements personnels.

Globalement, 106 des 326 plaintes ont été traitées au moyen du règlement rapide, comparativement à seulement 19 au cours de l’exercice précédent.

Les 33 plaintes résiduelles relatives à la protection des renseignements personnels, cependant, représentaient une augmentation de 175 % par rapport aux 12 qui n’ont pas été traitées au moyen du processus de règlement rapide en 2010-2011.

Cependant, ce nombre a été gonflé par 16 plaintes portant sur le même sujet et visant le même établissement, et huit autres plaintes dans un autre établissement carcéral. Dans les deux cas, les enquêtes se poursuivent.

Les deux cas suivants reflètent la diversité et la complexité des plaintes déposées contre le Service correctionnel du Canada :

Dépistage de drogue et droit de visite liés à une communication inappropriée

Cette affaire concerne une plainte déposée par une femme sur qui des appareils de détection ionique ont relevé des traces d’une substance illicite lors d’une visite dans un établissement pénitentiaire fédéral.

L’ex-mari de la femme était un employé du Service correctionnel du Canada. L’avocat de l’ex-mari a fait savoir à la femme que — à la lumière de plusieurs tests de dépistage de drogue positifs — celui-ci ne la laisserait plus voir leurs enfants parce qu’il craignait pour leur sécurité et leur bien-être.

La femme s’est plainte auprès du directeur de prison par intérim au sujet de la communication présumée inappropriée de ses renseignements personnels. Plusieurs mois plus tard, le détenu à qui elle avait rendu visite a appris du directeur de prison par intérim que deux employés du Service correctionnel du Canada avaient, de façon inappropriée, eu accès à ses renseignements personnels conservés dans des bases de données clés.

La femme et le détenu croyaient que l’ex-mari avait ainsi obtenu l’information relative au test de dépistage de drogue.

Les responsables du Service correctionnel du Canada ont établi que l’ex-mari n’avait pas pris part à l’intrusion dans la base de données et n’ont trouvé aucun élément de preuve indiquant que les employés coupables du méfait lui avaient transmis l’information. Cependant, le Ministère n’a pas cherché à déterminer par quel moyen l’ex-mari avait appris que des traces de drogue avaient été décelées sur son ex-épouse.

Notre enquête a permis d’établir que d’autres employés du Service correctionnel du Canada avaient révélé à l’ex-mari la détection de traces de drogue sur la femme. Nous n’avons pu établir qui avait transmis ce renseignement personnel ni la provenance de l’information.

Nous avons confirmé que la plainte était fondée et aussi conclu que le Service correctionnel du Canada n’avait pas traité comme il se devait le problème de communication au cœur de l’affaire.

Affichage des renseignements médicaux d’un détenu

Un détenu dans un établissement pénitentiaire fédéral s’est plaint que le Service correctionnel du Canada avait contrevenu à la Loi sur la protection des renseignements personnels en affichant à la vue de tous des renseignements sur ses rendez-vous médicaux dans l’établissement. Il a indiqué que son nom, l’heure de ses rendez-vous et une partie de son numéro de détenu avaient été communiqués au moins trois fois à la population carcérale.

Le détenu a également indiqué que les noms, les heures de rendez-vous médicaux, les numéros de détenu intégraux et d’autres renseignements d’ordre médical ont également été communiqués au sujet d’autres détenus à plusieurs occasions.

Le Service correctionnel du Canada a reconnu avoir contrevenu à la Loi sur la protection des renseignements personnels en affichant les renseignements et indiqué qu’il informerait désormais chaque détenu personnellement de ses rendez-vous médicaux au lieu d’afficher une liste.

Cependant, les autorités carcérales n’ont pas accepté notre recommandation voulant que seuls les numéros de détenu partiels soient affichés sur les listes que les employés utilisent pour avertir chaque détenu de ses rendez-vous.

Nous avons confirmé que la plainte était fondée.

Enquêtes concernant l’Agence du revenu du Canada

Il n’est arrivé qu’une fois au cours des dix dernières années que l’Agence du revenu du Canada ait été exclue de la liste annuelle des cinq institutions ayant fait l’objet du plus grand nombre de plaintes en vertu de la Loi sur la protection des renseignements personnels.

Depuis notre premier rapport annuel, en 1983-1984, nous avons mené enquête à l’égard d’environ 4 000 plaintes de ce genre déposées contre l’Agence.

Et, encore, les raisons expliquant ce nombre constamment élevé de plaintes n’ont rien d’étonnant.

La plupart des gens trouveront plus facile de révéler toutes sortes de renseignements à leur sujet que de parler de leur situation financière. Dès qu’ils ont la moindre impression que l’Agence du revenu du Canada a été moins que parfaite dans le traitement des données sur leurs revenus, les déductions qu’ils utilisent et leur taux d’imposition, ils n’hésiteront pas à se plaindre.

Les 65 plaintes que nous avons acceptées en 2011-2012 représentaient une augmentation de 23 % par rapport aux 53 reçues l’année précédente. Cependant, 15 des plaintes reçues au cours du présent exercice ont été traitées sans tarder grâce au processus de règlement rapide, par rapport à une seulement en 2010-2011. La moitié des plaintes résolues par règlement rapide concernaient la protection des renseignements personnels, ce qui signifie que les enquêtes à l’égard de plaintes officielles dans cette catégorie essentielle n’ont augmenté que légèrement, de sept au cours de l’exercice précédent à 11 pour la période visée par le présent rapport.

Ces dernières années, le Commissariat a décelé plusieurs risques permanents pour la vie privée à l’Agence du revenu du Canada. Ces risques sont dus aux mesures de contrôle inadéquates entourant l’accès des employés aux renseignements électroniques sur les contribuables. Ces risques, qui ont un lien direct avec une série de plaintes concernant la protection de la vie privée, ont incité le Commissariat à procéder à une vérification de l’Agence. La vérification sera effectuée au cours de l’exercice 2012-2013.

Un an pour confirmer qu’un ex-mari a obtenu des renseignements fiscaux sur son ex-femme

À la faveur d’une demande d’accès à l’information présentée à l’Agence du revenu du Canada, une femme a appris qu’une employée de l’Agence du revenu du Canada, qui est la conjointe de fait de son ex-mari, avait consulté ses renseignements fiscaux. L’ex-mari avait alors utilisé l’information pour demander une modification à la pension alimentaire pour enfant.

La femme a déposé une plainte aux termes de la Loi sur la protection des renseignements personnels auprès de l’Agence du revenu du Canada. Une enquête menée par l’Agence a confirmé que les renseignements fiscaux de la plaignante avaient bien été consultés de façon inappropriée par une employée, qui a communiqué l’information à l’ex-mari.

Il a fallu treize mois à l’Agence du revenu du Canada pour mener enquête. Une lettre informant la plaignante des résultats de l’enquête interne a été rédigée, mais n’a jamais été envoyée. Devant cette longue attente, la femme a porté plainte au Commissariat.

Notre enquête a conclu que l’Agence du revenu du Canada a une politique rigoureuse et exhaustive concernant les mesures disciplinaires à l’égard des employés fautifs. Cependant, pour que les politiques de ce genre soient efficaces, l’institution doit intervenir plus rapidement et plus efficacement en cas d’allégations d’inconduite.

Nous avons aussi insisté sur le fait qu’il est nécessaire d’accentuer la formation sur la protection des renseignements personnels afin que les employés qui ont accès aux renseignements fiscaux personnels soient pleinement informés de leurs obligations quant à la protection de la vie privée des contribuables canadiens.

Nous avons confirmé que la plainte était fondée. Notre recommandation a été acceptée et mise en œuvre.

Agence du revenu du Canada communique des renseignements personnels à une tierce partie sans son consentement

Une femme a fait une demande de redressement, sans avoir mis à jour son nom de famille dans le système de l’Agence du revenu du Canada. Un employé de l’Agence a fait une recherche afin de localiser le demandeur (la plaignante) à la suite de la réception de sa demande de redressement. L’employé a omis de vérifier si les renseignements concernant l’adresse correspondaient à celles apparaissant sur la demande et les documents l’accompagnant. Ainsi, la nièce de la femme s’est retrouvée avec une lettre lui étant adressée et comprenant son numéro d’assurance sociale, mais dont le texte concernait la plaignante. Cette dernière et la nièce de son mari ont toutes deux le même nom de famille et prénom, quoique l’orthographe du prénom diffère légèrement.

Le Commissariat a trouvé qu’il s’agissait du résultat d’une erreur humaine étant donné que la procédure en place n’avait pas été suivie rigoureusement.  La plainte était fondée.

À la suite de l’incident, l’Agence a reconnu son erreur et a mis en place des mesures afin de s’assurer qu’un incident semblable ne se reproduise pas à l’avenir.

Délais — Accès aux renseignements personnels

Un trop grand nombre de ministères et d’organismes fédéraux affichent une lenteur excessive quand il s’agit d’autoriser des Canadiennes et des Canadiens à consulter leurs renseignements personnels.

Année après année, le Commissariat mène enquête dans les ministères au sujet de plaintes de non-respect des dispositions de la Loi sur la protection des renseignements personnels obligeant la communication de réponses étoffées dans un délai de deux mois.

Le nombre de ministères et d’organismes présentant des retards de traitement a grimpé à 27 au cours de la période visée par le présent rapport, contre 19 en 2010-2011. En fait, pour la première fois, le nombre total de plaintes concernant les délais a été de plus de 300.

Certains dossiers relatifs aux délais sont véritablement navrants, notamment quatre qui ont pu être fermés au cours du dernier exercice après des retards de 24 mois (Travaux publics et Services gouvernementaux Canada et l’Agence des services frontaliers du Canada), de 19 mois (Service correctionnel du Canada) et de 17 mois (ministère de la Justice).

Dans les deux cas concernant le Service correctionnel du Canada, il s’était écoulé tellement de temps après le dépôt des demandes d’accès à l’information que nous avons présenté une requête devant la Cour fédérale. Peu après le dépôt de notre requête, le Service correctionnel du Canada a fourni une réponse satisfaisante aux deux personnes en cause, et nous avons abandonné les deux procédures. (Voir, pour de plus amples renseignements, le chapitre 4 — Devant les tribunaux.)

À la suite de nos préoccupations de longue date sur ce sujet, la commissaire adjointe à la protection de la vie privée a fait savoir à 23 ministères que, à compter de septembre 2011, une nouvelle façon de faire respecter les délais sera utilisée.

Nous avertirons les ministères lorsque nous accepterons une plainte relative aux délais. Dans un maximum de quatre mois, ceux-ci devront fournir une date d’engagement ou un plan de travail pour la production des renseignements personnels demandés.

Faute de quoi, le Commissariat pourrait officiellement conclure que l’institution a refusé la communication, ce que l’on appelle aussi « la présomption de refus ».

Ainsi, le demandeur ou la commissaire pourront confier l’affaire à la Cour fédérale pour instruction.

Si « justice différée est justice refusée », retarder la communication de renseignements personnels équivaut aussi à un refus.

Rapports sur les atteintes à la protection des données

Au cours du dernier exercice, le nombre d’atteintes à la protection des données qui ont été signalées au Commissariat par les institutions fédérales a atteint 80, soit un sommet pour les dernières années et une augmentation de 25 % par rapport à l’année précédente.

La perte ou la communication inappropriée de renseignements personnels constitue une atteinte à la protection des données. Dans certains cas, les personnes touchées n’étaient pas au courant de l’atteinte; dans d’autres, elles en ont été informées ou l’ont appris par d’autres moyens. Certaines d’entre elles ont déposé des plaintes auprès du Commissariat.

Atteintes à la protection des données dans le secteur public fédéral signalées au Commissariat

2007-2008 44
2008-2009 26
2009-2010 38
2010-2011 64
2011-2012 80

Étant donné que le signalement des atteintes à la protection des données est volontaire, il est impossible de dire catégoriquement si l’augmentation actuelle est le signe d’une plus grande diligence en matière de signalement ou d’une augmentation du nombre d’atteintes.

Le gouvernement fédéral a des lignes directrices qui encouragent les institutions fédérales à signaler sans tarder au Commissariat toutes les atteintes à la protection des données importantes.

Lignes directrices sur les atteintes à la vie privée

Le Secrétariat du Conseil du Trésor recommande fortement aux institutions d’aviser le Commissariat de toute atteinte à la vie privée qui :

  • touche des données personnelles de nature délicate telles que des renseignements financiers ou médicaux, des numéros d’assurance sociale ou d’autres identificateurs personnels;
  • risque d’entraîner un vol d’identité ou une fraude similaire;
  • risque de causer un tort ou embarras qui nuirait à la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de la personne.

Il convient d’aviser les personnes touchées le plus rapidement possible de l’atteinte et des mesures d’atténuation qui ont été prises une fois que l’institution constate l’atteinte, de préférence dans les jours qui suivent.

Les Lignes directrices reconnaissent que « dans le cas des incidents très mineurs », les institutions peuvent décider de régler la situation à l’interne avec les personnes visées, sans informer le Commissariat.

Si l’on en juge par les deux derniers exercices, Ressources humaines et Développement des compétences Canada semble faire preuve d’une diligence considérable pour ce qui est d’avertir le Commissariat.

Le Ministère a signalé 19 atteintes à la protection des données en 2011-2012, soit presque le quart de la totalité des incidents qui ont été signalés au Commissariat. En 2010-2011, le Ministère comptait pour le tiers de toutes les atteintes signalées. Cependant, nous sommes encouragés par la diligence avec laquelle le Ministère s’efforce de réparer les atteintes.

Sur les 80 signalements d’atteinte à la protection des données que nous avons reçus, quatre concernaient le vol de renseignements, y compris des documents sur l’impôt des sociétés et des particuliers subtilisés lors d’un vol commis dans une voiture appartenant à un employé de l’Agence du revenu du Canada. Neuf autres atteintes découlaient de la perte de documents, y compris deux passeports à des ambassades du Canada à l’étranger.

Treize atteintes découlaient de l’accès non autorisé à des renseignements personnels ou, dans un cas, de la transmission non autorisée de documents.

Là encore, la plus grande catégorie d’atteintes à la protection des données — et la plus difficile à éliminer — est liée à la communication accidentelle, avec 54 atteintes causées essentiellement par l’erreur humaine.

Les deux atteintes suivantes ressortent du lot :

Des responsables de l’AIPRP n’ont pas été informés d’un incident concernant les données de contribuables

À la demande d’une employée partie à un conflit de travail, l’Agence du revenu du Canada a fourni à celle-ci, en mars 2006, 16 disques compacts contenant les copies de tous les dossiers figurant sur le « H » de son ordinateur personnel. L’employée pensait que figurait dans les dossiers un courriel susceptible d’être utile dans le conflit. Elle avait rangé les disques compacts dans un classeur sécurisé chez elle.

Lors de l’audience sur les relations de travail tenue en septembre 2008, l’Agence du revenu du Canada a appris que les disques compacts contenaient, certes, les dossiers personnels de l’employée, mais aussi des renseignements de l’Agence — 76 documents faisant état de plus de 42 000 renseignements sur les contribuables, dont des noms, numéros d’assurance sociale, adresses et données financières.

Le contenu de tous les disques compacts, à l’exception de deux, avait été copié sur un ordinateur portable qu’utilisait pour le travail le petit ami de l’employée afin de trouver le courriel en question. Pendant l’enquête menée par l’Agence du revenu du Canada, le petit ami a déclaré qu’il avait supprimé tous les renseignements copiés.

Lorsque l’incident a été mis au jour, l’Agence a mené un examen sur la sécurité et déterminé qu’aucune donnée sur des contribuables n’avait été communiquée de façon inappropriée. Par conséquent, les responsables de l’Agence chargés de la protection des renseignements personnels n’ont pas été informés de l’incident.

L’Agence du revenu du Canada prend désormais des mesures pour faire en sorte que lorsque des renseignements personnels sont compromis, les responsables de l’accès à l’information et de la protection des renseignements personnels seront informés. Il reviendra ensuite à ceux-ci d’informer le Commissariat.

L’« hameçonnage » entraîne la fermeture du Guichet emplois fédéral pendant deux semaines

Le Guichet emplois est un service d’emploi gratuit mis à la disposition des employeurs et des chercheurs d’emploi canadiens par Ressources humaines et Développement des compétences Canada.

Au début de février 2012, les responsables du Guichet emplois ont détecté un problème de sécurité limité mais sérieux et fermé le site afin d’y apporter d’importantes améliorations en matière de sécurité.

Un tiers, se présentant comme un employeur légitime, avait affiché de fausses annonces d’emploi dans le but d’obtenir les renseignements bancaires des chercheurs d’emploi, opération de mascarade électronique communément appelée « hameçonnage ».

Cinq comptes d’employeurs ont été touchés sur les plus de 135 000 figurant dans le système. Dans chaque cas, le Guichet emplois a sans tardé supprimé les annonces et informé les employeurs touchés, le Commissariat et l’Agence du revenu du Canada.

Le Guichet emplois a été réactivé après une fermeture de deux semaines, avec de nouvelles caractéristiques de sécurité, dont un nouveau système de connexion et des procédures de surveillance plus exhaustives à l’intention des employeurs. Les chercheurs d’emploi reçoivent désormais des avertissements sur le site Internet sur le risque d’hameçonnage, y compris des renseignements sur l’incident.

De plus, les chercheurs d’emploi sont invités à contacter le Guichet emplois immédiatement s’ils voient une offre d’emploi douteuse dans laquelle un employeur demande des renseignements personnels ou bancaires. Les chercheurs d’emploi et les employeurs sont également invités à contacter la police locale ou le Centre antifraude du Canada s’ils croient avoir été victimes d’hameçonnage.

Le Guichet emplois travaillait avec des spécialistes de la TI afin de permettre aux chercheurs d’emploi de créer des mots de passe sûrs pour protéger leur compte, tout en essayant d’atténuer les risques de corruption des comptes. Ces mesures s’inscrivent dans la deuxième étape des améliorations relatives à la sécurité, laquelle devait être mise en œuvre à l’été 2012.

CHAPITRE 4

Le Commissariat à l’œuvre — Renforcer le droit de la population canadienne à la vie privée

Les différends entre les citoyens et l’État sont, par définition, un combat entre des forces inégales. Dans un premier temps, les citoyens doivent habituellement tenter de savoir à quel organisme du gouvernement fédéral s’adresser.

Dans le domaine de la protection de la vie privée, l’organisme qui peut les aider est le Commissariat à la protection de la vie privée du Canada.

Notre travail de « première ligne »

Demandes de renseignements

Au cours des deux dernières années, nous avons apporté des changements majeurs pour mieux servir la population canadienne. Nous avons créé un centre d’information afin de susciter leur intérêt et de leur fournir des renseignements utiles aussi rapidement que possible, ce qui, dans certains cas, peut permettre de régler des problèmes immédiatement sans avoir à recourir au processus de traitement des plaintes officiel.

Le Centre d’information répond aux demandes de renseignements du public et des organisations sur les droits et les responsabilités en matière de protection des renseignements personnels. En 2011-2012, nous avons reçu plus de 9 000 demandes de renseignements.

Un peu plus de la moitié de ces demandes portaient sur des questions visant le secteur privé.

Moins de 15 % des demandes de renseignements étaient liées à la Loi sur la protection des renseignements personnels. Ces demandes portaient sur une très grande variété de questions, les plus fréquentes étant les suivantes : la façon dont les personnes peuvent s’y prendre pour avoir accès aux renseignements personnels les concernant détenus par les ministères; le processus relatif aux plaintes du Commissariat; l’obligation ou non de communiquer certains renseignements aux ministères et organismes fédéraux.

Un nombre important des demandes reçues (environ le tiers) concernaient des problèmes de protection de la vie privée qui ne sont pas de notre ressort. Dans de tels cas, nous offrons de l’aide en dirigeant les personnes vers d’autres organisations ou en proposant des stratégies pour régler les problèmes ou trouver l’information recherchée.

Accueil

Dans le cadre de nos efforts pour améliorer nos services de première ligne, nous avons créé une unité spéciale pour l’accueil en 2011-2012. Elle est chargée d’analyser, de trier et d’enregistrer les plaintes soumises au Commissariat.

Toutes les plaintes écrites portant sur la protection de la vie privée sont transmises à cette unité.

L’unité d’accueil examine la plainte et, s’il y a lieu, elle fait le suivi avec le plaignant pour clarifier notre compréhension du problème et obtenir des renseignements supplémentaires pour entreprendre une enquête.

L’équipe de l’unité d’accueil réussit de plus en plus à régler certains problèmes de façon satisfaisante sur-le-champ, de sorte que le plaignant potentiel n’a pas à présenter de plainte au Commissariat.

Règlement rapide

Le processus de règlement rapide permet de régler certaines plaintes plus efficacement grâce à la négociation et à la conciliation.

Il s’agit souvent de transmettre de l’information aux deux parties pour dissiper un simple malentendu. Par exemple, les plaignants peuvent ne pas être au courant des exceptions que peut invoquer le ministère en vertu de la Loi sur la protection des renseignements personnels pour retenir des renseignements personnels. Une fois qu’ils comprennent la Loi, certains plaignants sont satisfaits, et l’affaire est considérée comme réglée.

De même, les plaignants potentiels acceptent généralement l’idée que le processus d’enquête officiel peut mener à la conclusion que la plainte n’est pas fondée quand nous leur expliquons qu’il a été déterminé par le passé que les ministères avaient respecté la Loi dans des enquêtes sur des questions semblables.

Quand il réussit, le processus de règlement rapide se révèle la meilleure solution pour les deux parties.

Les particuliers obtiennent rapidement les réponses qu’ils cherchaient. L’institution fédérale évite un processus de longue haleine.

Le succès du processus de règlement rapide ne cesse de croître depuis quelques années.

Au cours du dernier exercice, nous avons fermé plus du cinquième des dossiers de plaintes grâce au règlement rapide. Le nombre d’interventions de ce type a presque triplé par rapport à l’exercice précédent (213 en 2011-2012, contre 78 en 2010-2011).

Exemples de cas de règlement rapide en 2011-2012

Transports Canada

Lorsqu’un homme a fait immatriculer un voilier auprès de Transports Canada, il avait reçu l’assurance que les renseignements demeureraient confidentiels. Or, deux ans plus tard, il a reçu un formulaire du gouvernement de l’Ontario lui demandant le prix et la date d’achat du bateau aux fins d’évaluation des taxes. Il s’est plaint, affirmant que c’était une atteinte à son droit à la vie privée.

Toutefois, le formulaire d’immatriculation de Transports Canada comporte un avertissement précisant que les renseignements peuvent être divulgués dans certaines circonstances particulières, notamment à un organisme chargé de l’observation de « l’obligation de payer la taxe de vente provinciale ».

Compte tenu de cette information, le plaignant a accepté que le dossier soit fermé.

Gendarmerie royale du Canada

Après son inculpation en vertu de la Loi sur les véhicules à moteur, le plaignant a demandé tous les renseignements s’y rapportant, y compris les notes de l’agent qui a porté l’accusation, les enregistrements audio des communications entre cet agent et le détachement de la Gendarmerie royale du Canada (GRC), ainsi que la vidéo de l’incident filmé avec la caméra se trouvant dans le véhicule de l’agent.

La GRC a répondu à la demande du plaignant en expliquant que les renseignements demandés étaient visés par une exception aux termes du sous-alinéa 22(1)a)(ii) de la Loi sur la protection des renseignements personnels et qu’ils ne seraient donc pas communiqués. En vertu de cet article, la GRC n’a pas à prouver que la communication des renseignements risque de causer un préjudice, comme c’est le cas pour d’autres exceptions de la Loi sur la protection des renseignements personnels.

Comme la GRC a démontré qu’elle satisfaisait aux critères de la disposition d’exception, le Commissariat était limité dans ce qu’il pouvait faire pour réclamer de l’organisme qu’il divulgue les renseignements demandés.

Il convient toutefois de noter qu’une fois franchies toutes les étapes du processus judiciaire dans le cas d’une enquête criminelle, il arrive souvent que la GRC divulgue les renseignements en question, dans la mesure où elle ne dévoile pas des techniques d’enquête ou des renseignements personnels concernant d’autres personnes.

Plaintes

Après six années consécutives où le nombre de plaintes était en diminution, le Commissariat a assisté en 2011-2012 à une hausse de 39 % des plaintes par rapport à l’exercice précédent; il a accepté en tout 986 plaintes, ce qui nous ramène presque au niveau record de 2005-2006.

Il existe 10 raisons pouvant justifier le dépôt d’une plainte en vertu de la Loi sur la protection des renseignements personnels et elles appartiennent à trois catégories : accès, protection des renseignements personnels et délais. Ces catégories sont décrites à l’annexe 1.

Nous avons constaté une augmentation du nombre de plaintes dans ces trois catégories, mais ce sont les plaintes pour refus d’accès qui ont le plus augmenté.

Cette augmentation est probablement attribuable au fait que davantage de Canadiennes et de Canadiens exercent leur droit d’accès à leurs renseignements personnels. Nous croyons que l’intérêt accru des médias pour les questions de protection de la vie privée a fait en sorte que la population est plus sensibilisée au droit d’accès.

L’augmentation du nombre de demandes d’accès a donné lieu à des délais de traitement plus longs et, par conséquent, le nombre de plaintes concernant les délais reçues par le Commissariat a augmenté.

Certaines institutions fédérales ont enregistré une augmentation des demandes d’accès, mais les ressources pour traiter ces demandes sont demeurées les mêmes ou ont diminué.

Plaintes acceptées par catégorie

Plaintes acceptées par catégorie
Type de plainte Pourcentage Description
ACCÈS 45 % Problèmes relatifs à la tentative d'avoir accès aux renseignements personnels sur soi détenus par les ministères ou les organismes gouvernementaux.
DÉLAIS 33 % Problèmes relatifs aux délais pris par les institutions pour répondre aux demandes de communication.
UTILISATION ET COMMUNICATION 22 % Problèmes relatifs à la façon dont les institutions utilisaient ou communiquaient les renseignements personnels.

Les dix institutions ayant fait l'objet du plus grand nombre de plaintes en 2011-2012 (historique de trois ans)

Les dix institutions ayant fait l'objet du plus grand nombre de plaintes en 2011-2012 (historique de trois ans)
Organisation 2009-2010 2010-2011 2011-2012
Service correctionnel du Canada 290 276 326
Gendarmerie royale du Canada 60 75 117
Défense nationale 47 65 115
Agence du revenu du Canada 49 53 65
Agence des services frontaliers du Canada 26 29 55
Anciens Combattants Canada 2 15 39
Service canadien du renseignement de sécurité 26 16 32
Ressources humaines et Développement des compétences Canada 20 25 26
Travaux publics et Services gouvernementaux Canada 7 8 25
Société canadienne des postes 23 27 22
Tous les autres ministères et organismes 98 111 164

Près de 60 % de l’augmentation du nombre de plaintes reçues par le Commissariat était attribuable à seulement quatre institutions : le Service correctionnel du Canada (50 plaintes de plus); la Défense nationale (50 plaintes de plus); la GRC (42 de plus); Anciens Combattants Canada (24 de plus).

Au cours de la dernière décennie, le Service correctionnel du Canada, la Défense nationale et la GRC ont à maintes reprises fait partie de la liste annuelle des cinq principales institutions visées par les plaintes reçues au Commissariat.

Le chapitre 3 présente une analyse des plaintes concernant le Service correctionnel du Canada et Anciens Combattants Canada.

Voici quelques observations sur les deux autres institutions.

Ministère de la Défense nationale

Le nombre de plaintes acceptées au sujet du ministère de la Défense nationale au cours de l’exercice a augmenté de près de 80 % par rapport à celui de l’an dernier; de 65, il a grimpé à 115.

Cette augmentation a touché essentiellement les plaintes liées aux délais, qui ont quadruplé, passant de 19 à 76.

Dans la plupart des cas, ces hausses importantes reflètent un déséquilibre entre le volume croissant de demandes et les ressources disponibles pour y répondre. Les plaintes reçues par le Commissariat au sujet de l’accès ont en fait diminué pour ce qui est de la Défense nationale, et la plupart de celles qui n’ont pas pu être réglées rapidement portaient sur le refus d’accès provenant d’employés du Ministère ou de membres des Forces canadiennes.

Gendarmerie royale du Canada

Les problèmes relatifs aux délais ont aussi fait grimper le nombre total de plaintes acceptées au sujet de la Gendarmerie royale du Canada (GRC), cette catégorie augmentant par un facteur de trois. Les plaintes sur l’utilisation et la communication de renseignements personnels ont aussi connu une hausse notable, passant de 75 plaintes en 2010-2011 à 117 en 2011-2012.

Il est cependant important de souligner que 13 des 32 plaintes de la catégorie sur l’utilisation et la communication ont été traitées grâce au processus de règlement rapide.

L’exemple qui suit porte sur l’une des plaintes concernant l’utilisation et la communication déposées contre la GRC et sur laquelle nous avons enquêté.

La GRC donne le nom d’un suspect dans une affaire de meurtre à une réunion communautaire

Le responsable d’un groupe communautaire a invité à une réunion un sergent d’état-major de la GRC afin que ce dernier aborde une affaire de meurtre remontant à dix ans et explique particulièrement pourquoi le nom d’un membre de la collectivité revenait constamment dans les discussions sur le meurtre.

Le sergent a indiqué qu’il parlerait de l’homme en question seulement s’il était présent. Le responsable du groupe l’a assuré que cela ne posait pas de problème. L’homme avait assisté à une réunion récente du groupe, où il avait été convenu d’inviter la GRC à venir parler de l’affaire non résolue.

Le sergent n’a pas eu de contact avec l’homme jusqu’à ce qu’ils se rencontrent à la réunion. Pendant une discussion sur l’affaire non résolue, il a indiqué que l’homme était une « personne d’intérêt » qui avait refusé de se soumettre à un test polygraphique.

L’homme a fait remarquer qu’il avait des droits garantis par la Charte. Un autre homme l’a accusé de ne pas coopérer.

L’homme a porté plainte au Commissariat alléguant que le sergent de la GRC avait indûment communiqué le fait qu’il était un suspect dans une enquête pour meurtre à la réunion. Il a indiqué avoir été informé qu’on discuterait de lui à la réunion, sans toutefois qu’on précise à quel sujet.

Selon les éléments de preuve, le sergent a présumé que le plaignant avait consenti à la discussion, du fait que ce dernier avait assisté à la réunion et qu’il avait reçu des assurances de représentants du groupe que le plaignant était au courant de la discussion prévue et qu’il ne s’y était pas opposé.

Même s’il est louable de la part du sergent d’être sensible aux intérêts de la collectivité, c’était à la GRC d’obtenir activement le consentement, plutôt que de le présumer. Ce n’est pas au plaignant de s’opposer à la communication de renseignements personnels le concernant.

Nous avons déterminé que la plainte était fondée.

Autres enquêtes d’intérêt

Le chapitre 3 présentait des exemples de cas provenant de trois institutions, mais d’autres ministères et organismes fédéraux ont aussi fait l’objet d’enquêtes d’intérêt.

Voici un aperçu des autres enquêtes terminées en 2011-2012.

Le mystère de l’identification d’un réfugié de la mer par un journal

Le 17 octobre 2009, le bateau Ocean Lady a amarré à Victoria, en Colombie-Britannique, transportant à son bord 76 passagers réfugiés. Cinq jours plus tard, un reportage paru dans le National Post a indiqué qu’un des passagers était un fugitif de 26 ans recherché par l’Organisation internationale de police criminelle (INTERPOL) pour une infraction de terrorisme.

Au nom d’une organisation sans but lucratif, une plaignante a soutenu que les renseignements personnels concernant ce réfugié avaient été transmis à un journaliste du National Post. Elle a nommé quatre institutions fédérales susceptibles d’être responsables de la fuite : l’Agence des services frontaliers du Canada, le Service canadien du renseignement de sécurité, Citoyenneté et Immigration Canada et la Gendarmerie royale du Canada.

Notre enquête a confirmé que la personne en question était un fugitif recherché sur le site Web d’INTERPOL. L’avis d’INTERPOL Accèsible au public comportait le nom complet de l’individu, son sexe, la date et lieu de sa naissance, sa nationalité et les langues qu’il parle, la couleur de ses yeux et de ses cheveux, ainsi qu’une photo de lui.

En raison de la protection des sources journalistiques, il nous a été impossible, dans le cadre de notre enquête, de confirmer comment le journaliste du National Post avait obtenu l’information publiée dans l’article.

N’ayant pas cette information, nous n’avons pas pu établir de preuve factuelle soutenant l’allégation qu’une des quatre institutions nommées dans la plainte aurait divulgué des renseignements sur le passager au journaliste.

Par conséquent, nous avons conclu que la plainte n’était pas fondée.

Toutefois, le Commissariat a profité de l’occasion pour rappeler à chacun des ministères que les renseignements personnels des réfugiés et des demandeurs d’asile peuvent être de nature très délicate, compte tenu du risque d’atteinte à la sécurité des personnes qui demandent la protection du Canada en vertu de son programme pour les réfugiés.

Postes Canada partage des renseignements personnels avec une agence d’évaluation du crédit

La protection contre le vol d’identité a compliqué ce qui était auparavant une question relativement simple — changer son adresse postale au bureau de poste —, particulièrement lorsque la population canadienne veut le faire en ligne pour des raisons pratiques.

Le processus en ligne comporte sept étapes, et un homme s’est plaint du fait qu’à la dernière étape, Postes Canada a vérifié sa cote de crédit.

Notre enquête a permis d’établir que Postes Canada avait une raison légitime de confirmer l’identité des personnes demandant un changement d’adresse. Le détournement du courrier personnel est une tactique courante dans le vol d’identité.

Pour vérifier l’identité des demandeurs en ligne, Postes Canada a retenu les services d’Equifax, surtout connue comme agence d’évaluation du crédit.

Les renseignements personnels fournis en ligne à Postes Canada par un demandeur sont envoyés électroniquement à Equifax.

Le demandeur en ligne est dirigé sans autre formalité vers le site Web de vérification de l’identité d’Equifax où on lui pose des questions sur des prêts en souffrance et d’autres opérations financières dont est au courant l’agence d’évaluation du crédit.

Si la personne répond correctement à ces questions « hors portefeuille », Equifax avise Postes Canada que l’identité a été vérifiée avec succès. Postes Canada traite ensuite le paiement pour le changement d’adresse et active ce dernier.

Equifax nous a assurés que les renseignements fournis par la personne durant le processus de vérification de l’identité resteront entièrement séparés de ceux recueillis et conservés dans le dossier de crédit de la personne à titre de renseignement sur sa solvabilité.

À la suite de notre enquête, nous étions convaincus que Postes Canada possède l’autorisation législative de recueillir les renseignements personnels utilisés dans ce processus en ligne. Nous étions en outre convaincus que Postes Canada n’effectue pas de vérification de la solvabilité des personnes qui veulent changer leur adresse en ligne. Il n’y a donc pas eu d’infraction de la Loi sur la protection des renseignements personnels à cet égard. Nous avons déterminé que la plainte n’était pas fondée.

Néanmoins, le Commissariat était inquiet, car les clients n’étaient pas informés adéquatement du fait que leurs renseignements personnels étaient partagés avec Equifax. Nous recommandons donc que Postes Canada énonce clairement sur son site Web qu’elle transmet à Equifax des renseignements personnels de particuliers et qu’elle indique quels renseignements seront ou pourront être divulgués. De plus, nous recommandons que la Société précise ses exigences en matière d’identification pour les demandes en ligne. Postes Canada a mis en œuvre nos recommandations.

Une erreur de la part d’un agent d’immigration entraîne la communication de renseignements personnels

Une Canadienne voulait engager un Bangladais comme aide familial résident pour son enfant. L’homme a fait une demande d’autorisation d’emploi au Haut-commissariat du Canada à Dhaka et a fourni tous les documents exigés.

Pour appuyer la demande de l’homme, la femme a prié son député d’envoyer une lettre au Haut-commissariat. Elle l’a aussi prié d’y joindre des photocopies de documents personnels comme son passeport et sa cotisation d’impôt sur le revenu, dans lesquels figuraient sa date de naissance, son numéro d’assurance sociale et d’autres renseignements personnels.

Le bureau du député a acheminé tous ces renseignements aux fonctionnaires de Citoyenneté et Immigration Canada au Haut-commissariat à Dhaka.

La demande d’autorisation d’emploi du Bangladais a été refusée. Selon la pratique normale, l’agent d’immigration a retourné à l’homme tous les documents de son dossier, qui comprenaient non seulement ses documents à lui, mais aussi les documents personnels de la femme envoyés par le bureau du député.

Selon la femme, l’homme a ensuite transmis les renseignements personnels la concernant à sa famille et à ses amis. Elle craignait que cette communication n’entraîne un vol d’identité ou menace sa sécurité si elle se rendait au Bangladesh. Elle a déposé une plainte au Commissariat.

Les représentants de Citoyenneté et Immigration ont reconnu qu’ils n’avaient pas obtenu le consentement de la plaignante et qu’ils n’auraient pas dû transmettre les documents personnels de celle-ci à l’homme. À notre demande, ils se sont excusés par lettre à la plaignante.

Nous confirmons que la plainte est fondée.

Ce n’est pas la première fois qu’un incident de cette nature se produit dans un haut-commissariat du Canada.

Nous avons recommandé que tous les hauts-commissariats créent un tampon « À DÉTRUIRE/À NE PAS RETOURNER AU DEMANDEUR » qui servira à indiquer les documents ne provenant pas du demandeur de visa. La mission de Dhaka l’a déjà fait.

Enquêtes et décisions — des chiffres

Ailleurs dans le présent rapport, nous avons consacré une longue section à la description des enquêtes sur les plaintes. Nous présentons ici une vue d’ensemble en chiffres. Les lecteurs qui désirent des statistiques détaillées peuvent également consulter les tableaux de l’annexe 3.

En 2011-2012, le Commissariat a accepté presque le même nombre de plaintes qu’il a fermé de dossiers de plainte : 986 dans la « corbeille d’arrivée » et 913 dans la « corbeille de sortie ».

Les 913 plaintes traitées représentent une augmentation de 60 % par rapport aux 570 plaintes traitées au cours de la période précédente. Ce nombre comprend 213 plaintes fermées à la suite du recours au processus de règlement rapide, soit près du quart du total.

Comme il a été mentionné précédemment dans le présent rapport, le Commissariat a eu recours davantage aux techniques de règlement rapide ces dernières années.

Les trois quarts des plaintes non fondées concernaient l’accès. En général, il s’agit de cas où des personnes contestent le refus d’une institution de leur donner accès à leurs renseignements personnels. Nous avons cependant constaté que des exceptions pertinentes avaient été invoquées.

Le nombre de plaintes fondées visant le secteur public est considérablement plus élevé que celui des plaintes visant le secteur privé. La grande majorité (88 %) des plaintes fondées liées à la Loi sur la protection des renseignements personnels en 2011-2012 portaient sur les délais (il s’agit de cas où une institution ne répond pas aux demandes d’accès dans le délai prévu par la loi).

DÉCISIONS* Nbre de cas Pourcentage
Non fondées 248 27%
Fondées 247 27%
Règlement rapide 213 23%
Abandonnées 96 11%
Réglées 63 7%
Fondées et résolues 32 4%
Résolues 14 2%
Total 913  
* Les définitions des décisions sont fournies à l’annexe 1. Pour une répartition détaillée, prière de consulter le tableau intitulé Décision par type de plainte, à l’annexe 3.

Le délai de traitement moyen pour terminer exclusivement les enquêtes officielles a été légèrement réduit, passant de 8 mois en 2010-2011 à 7,6 mois en 2011-2012.  

Le peaufinage de notre approche de règlement rapide nous a permis de réduire de façon constante le délai moyen requis pour clore un dossier. Le délai de traitement combiné pour les enquêtes officielles et le règlement rapide a diminué de la façon suivante : 19,5 mois en 2008-2009, 12,9 mois en 2009-2010, 7,2 mois en 2010-2011 et 5,8 mois au cours du dernier exercice.

Il convient également de remarquer que, dans le passé, le Commissariat calculait le délai de traitement à partir de la date de réception de la plainte, même s’il manquait des renseignements essentiels dans le dossier et qu’il fallait demander des précisions avant de pouvoir commencer le travail.

Depuis 2011, les plaintes sont considérées comme « acceptées » une fois seulement que le dossier est complet. Nous estimons que cette nouvelle définition donne une idée plus juste des délais de traitement.

Cela signifie que le nombre de plaintes de l’exercice en cours a été établi différemment de celui des exercices précédents.

Pour les pourcentages, cela ne fait pas beaucoup de différence. Aux fins de comparaison, si le délai de traitement de cette année avait été calculé de la même façon que celui de l’an dernier, notre délai de traitement moyen en 2011-2012 aurait été de 6,2 mois, alors qu’il était de 7,2 mois en 2010-2011.

Les dix institutions ayant fait l’objet du plus grand nombre de plaintes ont totalisé 84 % de toutes les plaintes acceptées en 2011-2012, un pourcentage quasiment identique à celui des deux exercices précédents.

Cependant, les ministères qui faisaient partie de la liste des dix institutions ayant fait l’objet du plus grand nombre de plaintes ne sont pas les mêmes que l’an dernier :

  • Le Service canadien du renseignement de sécurité qui se classait en 9e place est maintenant en 7e place.
  • La Société canadienne des postes est passée du 6e rang au 10e rang.
  • Anciens Combattants Canada a atteint la 6e place au classement.
  • Travaux publics et Services gouvernementaux Canada figure sur la liste de cette année : il affiche la 9e position.
  • Citoyenneté et Immigration Canada ne fait pas partie de la liste cette année, alors qu’il se trouvait au 8e rang en 2010-2011.

Les dix institutions ayant fait l’objet du plus grand nombre de plaintes acceptées en 2011-2012

Institution 2011-2012
Service correctionnel du Canada 326
Gendarmerie royale du Canada 117
Défense nationale 115
Agence du revenu du Canada 65
Agence des services frontaliers du Canada 55
Anciens Combattants Canada 39
Service canadien du renseignement de sécurité 32
Ressources humaines et Développement des compétences Canada 26
Travaux publics et Services gouvernementaux Canada 25
Société canadienne des postes 22
Tous les autres ministères et organismes 164

Sensibilisation auprès des institutions fédérales

La sensibilisation auprès des institutions fédérales est un élément important de notre travail dans le secteur public. Tous les ans, nous discutons d’enjeux liés à la protection des renseignements personnels avec le plus grand nombre possible des 250 institutions fédérales assujetties à la Loi sur la protection des renseignements personnels.

Aide pour les évaluations des facteurs relatifs à la vie privée

En janvier, plus de 100 agents chargés de la protection des données et des renseignements personnels provenant de 38 institutions fédérales ont assisté au troisième atelier annuel sur les évaluations des facteurs relatifs à la vie privée (EFVP), que nous avons tenu de concert avec le Secrétariat du Conseil du Trésor.

Les représentants du Secrétariat du Conseil du Trésor et du Commissariat ont expliqué nos rôles respectifs à l’égard des évaluations des facteurs relatifs à la vie privée et de la Directive sur l’évaluation des facteurs relatifs à la vie privée. Nous avons aussi exposé nos attentes respectives au sujet du contenu des EFVP.

De plus, le Commissariat a présenté une évaluation de la Direction de l’analyse des technologies portant sur les principaux risques à la sécurité susceptibles de porter atteinte à la protection des renseignements personnels dans les institutions fédérales; il a expliqué comment les EFVP peuvent servir à évaluer et à gérer efficacement ces risques.

Le Commissariat a été ravi du nombre de gestionnaires et d’employés fédéraux intéressés à assister aux exposés afin d’entendre nos conseils sur la préparation des EFVP. Le document sur nos attentes, qui donne de nombreux conseils à ce sujet, a connu aussi un grand succès.

Par conséquent, nous avons produit une courte vidéo qui sera diffusée sur notre site Web au cours du prochain exercice, de sorte que les personnes désirant entendre nos conseils pourront visionner la vidéo en tout temps.

Sensibilisation à l’égard de l’AIPRP

Le Commissariat, en collaboration avec le Commissariat à l’information du Canada, a organisé une activité à l’intention des professionnels fédéraux responsables de l’accès à l’information et de la protection des renseignements personnels (AIPRP) — un petit-déjeuner de l’AIPRP — en juin 2011.

L’activité, qui a attiré plus de 100 professionnels de l’AIPRP travaillant dans divers ministères, a soutenu nos efforts pour mieux comprendre les défis et les nouveaux enjeux que pose la protection des renseignements personnels pour les ministères et organismes fédéraux. Ce fut également l’occasion pour la communauté de l’AIPRP de se réunir pour partager ses expériences et échanger des idées, ainsi que de rencontrer la commissaire et la commissaire adjointe à la protection de la vie privée.

Nous croyons que l’activité nous a aidés à renforcer notre relation avec la communauté de l’AIPRP et à améliorer les services que nous offrons conjointement à la population canadienne.

Dans le cadre de nos efforts continus pour moderniser le processus d’enquête découlant de l’application de la Loi sur la protection des renseignements personnels, au moment où nous rédigions ce rapport, nous rencontrions un certain nombre de responsables chargés de l’AIPRP afin de leur présenter nos priorités à ce chapitre et d’écouter leur réflexion sur les façons possibles de rendre nos processus plus efficaces. Notre principal objectif est de simplifier le processus d’enquête et de régler les plaintes plus rapidement.

Discours et exposés

La commissaire, la commissaire adjointe et d’autres représentants du Commissariat ont prononcé plusieurs discours sur des questions liées au secteur public tout au long de l’année. Par exemple, la commissaire a donné un exposé lors d’une activité spéciale sur la protection des données tenue à Postes Canada, et nous nous sommes aussi adressés aux fonctionnaires à l’occasion d’activités organisées par l’Agence des services frontaliers du Canada, la Commission de l’immigration et du statut de réfugié du Canada, et le Conseil du Trésor. En outre, nous avons participé à des conférences comme le Symposium de l’APEC et la Conférence nationale sur les droits de la personne, organisée par l’association nationale des commissions des droits de la personne fédérale, provinciales et territoriales. En octobre 2011, nous avons aussi coparrainé avec l’Université de Montréal une conférence internationale sur l’intégration de la protection de la vie privée dans les mesures de sécurité publique. La commissaire et la commissaire adjointe y ont toutes deux participé. La commissaire a présidé un panel sur la cybersurveillance et le cyberterrorisme, et la commissaire adjointe a fait un exposé sur l’expérience canadienne en matière d’intégration de la protection de la vie privée dans les mesures de sécurité publique.

Journée de la protection des données 2012

Le 28 janvier 2012, à l’instar de nombreux pays dans le monde, le Canada a souligné la Journée de la protection des données. Reconnue par les professionnels de la protection de la vie privée, les entreprises, les responsables gouvernementaux, et les milieux universitaire et étudiant de par le monde, la Journée de la protection des données met en lumière l’incidence des technologies sur notre droit à la vie privée et souligne la nécessité de valoriser et de protéger nos renseignements personnels.

Le Commissariat a profité de cette journée pour insister sur l’importance de la protection de la vie privée et mieux faire connaître les divers enjeux s’y rapportant aussi bien dans les secteurs privé que public.

Dans le secteur public, nous avons envoyé à tous les coordonnateurs fédéraux de l’accès à l’information et de la protection des renseignements personnels un courriel contenant de l’information sur la Journée de la protection des données et nos activités prévues, ainsi que des liens vers nos ressources en ligne, dont des affiches imprimables et des éléments graphiques pour le Web.

Nous avons également partagé notre matériel de promotion pour la Journée de la protection des données avec le Groupe de travail sur la sensibilisation, l’éducation et la formation en matière de sécurité, de même qu’avec d’autres ministères fédéraux intéressés, notamment l’Agence du revenu du Canada, Ressources humaines et Développement des compétences Canada, Santé Canada et Sécurité publique Canada.

Au cours de la semaine incluant la Journée de la protection des données, nous avons tenu une discussion informelle à l’École de la fonction publique du Canada sur les évaluations des facteurs relatifs à la vie privée et l’importance de sensibiliser la fonction publique à la protection de la vie privée.

Calendrier 2012 sur la protection de la vie privée

Cette année, le Commissariat a encore une fois produit et distribué un calendrier sur la protection de la vie privée comportant des vignettes illustrant les principaux enjeux liés à la protection de la vie privée, ainsi que des conseils judicieux et des liens utiles vers de l’information connexe. Dans le cadre de nos efforts de sensibilisation du secteur public, nous avons fait parvenir un exemplaire du calendrier 2012 à tous les coordonnateurs fédéraux de l’accès à l’information et de la protection des renseignements personnels.

Conseils relatifs aux ressources humaines

Les renseignements sur les employés — que ce soit dans le secteur public ou privé — sont souvent de nature très délicate et doivent être traités avec soin. En 2011-2012, nous avons élaboré une fiche-conseil intitulée Dix conseils aux professionnels des ressources humaines, afin d’aider les organisations à traiter avec intégrité et professionnalisme les renseignements de tous les employés.

Interventions devant les tribunaux

La commissaire à la protection de la vie privée peut participer à un recours en révision devant la Cour fédérale aux termes de l’article 42 de la Loi sur la protection des renseignements personnels, en demandant à comparaître devant cette instance lorsqu’une institution fédérale rejette une demande d’accès à des renseignements personnels déposée par une personne. Elle peut aussi à l’occasion faire l’objet de demandes de contrôle judiciaire.

Le Commissariat peut aussi demander à participer à titre d’intervenant dans d’autres affaires devant les cours ou autres tribunaux. Nous pouvons demander l’autorisation d’intervenir pour clarifier des questions liées à l’interprétation de certaines dispositions de la Loi sur la protection des renseignements personnels, ou pour donner à une cour ou à un tribunal notre point de vue sur d’autres questions juridiques ayant trait au droit à la vie privée ou à la protection des renseignements personnels (par exemple, la mesure dans laquelle le principe de l’audience publique s’applique aux tribunaux administratifs).

Voici des résumés des affaires auxquelles nous avons participé en 2011-2012.

Conformément à l’esprit de notre mandat, nous ne publions pas le nom des plaignants. Le numéro de dossier et le nom des institutions mises en cause sont toutefois fournis.

Commissaire à la protection de la vie privée c. Service correctionnel du Canada
Nos de dossier de la Cour fédérale : T-1218-11 et T-1219-11

Deux personnes ont présenté des demandes d’accès à l’information au Service correctionnel du Canada et les deux ont reçu des lettres leur indiquant que l’organisme avait besoin d’une prorogation de 30 jours au délai initial de 30 jours. Elles n’ont cependant pas pu avoir accès aux documents demandés après la période en question; chacune d’elles a donc déposé par la suite une plainte au Commissariat.

Dans les deux cas, nous avons contacté le Service correctionnel du Canada afin de demander les documents et de tenter d’établir un plan de travail pour que l’organisme puisse les fournir rapidement. Le Service correctionnel du Canada n’a donné suite à aucune de ces demandes.

En raison du délai qui s’est écoulé depuis le dépôt des deux demandes d’accès à l’information, la commissaire adjointe a jugé que l’accès avait été refusé aux termes de la Loi et a conclu que les deux plaintes étaient fondées.

Le 22 juillet 2011, la commissaire a déposé une demande à la Cour fédérale en vertu de l’alinéa 42a) de la Loi sur la protection des renseignements personnels au sujet du refus du Service correctionnel du Canada de communiquer les renseignements personnels demandés par les deux personnes.

Peu de temps après le dépôt de la demande, le Service correctionnel du Canada a répondu de façon satisfaisante aux plaignants relativement à leurs demandes d’accès à l’information, et la commissaire a abandonné les deux affaires.

Ces cas ont coïncidé avec la communication d’information par le Commissariat aux institutions fédérales au sujet des demandes où il y a présomption de refus d’accès en vertu de la Loi, étant donné que la grande majorité des plaintes que nous recevons proviennent de personnes alléguant qu’une institution fédérale aurait, de manière injustifiée, refusé de leur communiquer les renseignements personnels les concernant dans les délais prévus.

X.c. Hon. Peter Gordon Mackay et al. et commissaire à la protection de la vie privée du Canada et procureur général du Canada
No de dossier de la Cour fédérale : A-274-11

En 2006 et 2007, une personne a déposé trois plaintes distinctes liées à l’accès contre le ministère de la Défense nationale, Citoyenneté et Immigration Canada, et le Service canadien du renseignement de sécurité.

Le Commissariat a jugé que les plaintes n’étaient pas fondées, car il était d’avis que les réponses fournies et les exceptions appliquées par chacune des institutions fédérales mises en cause en vertu de la Loi sur la protection des renseignements personnels étaient appropriées.

La personne a présenté une demande conformément à l’article 41 de la Loi sur la protection des renseignements personnels. La Cour fédérale a ensuite rejeté la demande, et le demandeur a interjeté appel devant la Cour d’appel fédérale. Dans la procédure d’appel, le demandeur a désigné par erreur le Commissariat comme défendeur. Nous avons présenté une requête et obtenu une ordonnance pour le retrait du nom de la commissaire comme défenderesse dans cet appel le 2 septembre 2011.

X. c. Commissaire à la protection de la vie privée du Canada et ministre de Travaux publics et Services gouvernementaux Canada
No de dossier de la Cour fédérale : T-425-12

Une ancienne candidate à un poste au sein de la fonction publique souhaitait déposer un grief relatif à de prétendues pratiques répréhensibles utilisées au cours d’un concours de recrutement.

À cette fin, elle a demandé accès aux renseignements personnels recueillis à son sujet par le ministère des Travaux publics et des Services gouvernementaux du Canada. Elle a ensuite déposé une plainte au Commissariat, alléguant un accès incomplet. Dans le cadre de notre enquête, nous avons été incapables de prouver que des documents avaient été omis sans raison de l’ensemble de documents à communiquer. Nous avons donc conclu que la plainte n’était pas fondée.

Le 24 février 2012, la plaignante, qui se représentait elle-même, a demandé la tenue d’une nouvelle audience en vertu de l’article 41 de la Loi sur la protection des renseignements personnels. Elle voulait avoir accès à des renseignements personnels que ne lui aurait pas communiqué Travaux publics et Services gouvernementaux Canada.

Elle a cependant indiqué comme défenderesse la commissaire à la protection de la vie privée du Canada, en plus de la ministre de Travaux publics et Services gouvernementaux Canada. Étant donné que la demande a été présentée conformément à l’article 41 de la Loi sur la protection des renseignements personnels, qu’elle concernait le prétendu refus du Ministère de donner à la plaignante accès à ses renseignements personnels et que la réparation demandée par celle-ci visait uniquement le Ministère, le Commissariat a présenté une requête pour que la commissaire ne figure plus comme défenderesse.

Le 19 avril 2012, la Cour a rendu sa décision et ordonné que le Commissariat ne soit plus un défendeur dans la demande et que l’intitulé de la cause soit modifié en conséquence.

X. c. Commissaire à la protection de la vie privée du Canada
Nos de dossier : T-555-10 (CF), 11-A-14 (CAF) et A-451-11 (CAF)

Nous avons fait état de cette affaire dans le rapport annuel de l’année dernière. Il s’agissait d’une demande de contrôle judiciaire qui a été présentée à l’endroit de la commissaire à la protection de la vie privée. En vertu de la Loi sur la protection des renseignements personnels, le plaignant y sollicitait une ordonnance afin d’obliger le Commissariat à mener une nouvelle enquête sur une plainte qu’il avait déposée contre le Conseil de recherches en sciences humaines au sujet d’un refus de communication de renseignements personnels le concernant.

Le 7 novembre 2011, la Cour fédérale a rejeté la demande, accordant au Commissariat 5 000 dollars au titre des dépens. Le 1er décembre 2011, le demandeur a signifié au Commissariat un avis d’appel de la décision. Au moment de la rédaction du présent rapport, l’appel était en instance devant la Cour d’appel fédérale.

De plus, le demandeur a déposé une série de plaintes parallèles relatives à l’accès dans différentes provinces et auprès du Commissariat à l’information du Canada. Il a présenté une deuxième demande de contrôle judiciaire contre le Commissariat. (Voir la cause T-272-12 ci-dessous.)

X. c. Commissaire à la protection de la vie privée du Canada
No de dossier de la Cour fédérale : T-272-12

Il s’agit d’une procédure de contrôle judiciaire distincte introduite par le demandeur dans les affaires mentionnées dans le paragraphe précédent. Le demandeur sollicite le contrôle judiciaire d’un autre rapport de conclusions du Commissariat, ainsi que diverses réparations. L’affaire est toujours pendante devant la Cour fédérale.

Avancement du savoir

Afin de suivre l’évolution rapide des menaces à la protection des renseignements personnels, le Commissariat parraine divers ateliers, commande des études et commandite des recherches. Voici quelques exemples de ces initiatives qui ont eu lieu au cours du dernier exercice :

La vie privée à l’ère des médias sociaux, de la surveillance et du journalisme citoyen

Au cours de la dernière décennie, nous avons été témoins d’une augmentation constante de la surveillance des espaces publics. Que la surveillance soit le fait de particuliers ou d’institutions, entre les mains des services policiers ou des manifestants, les dispositifs miniaturisés, les appareils mobiles et les nouveaux médias font en sorte que, désormais, même si nous sommes dans un lieu public, notre présence est dûment enregistrée et consignée, et nos actes de plus en plus diffusés, pour quelque raison que ce soit.

Pour éclairer la discussion sur cette tendance, le Commissariat a commandé deux documents indépendants, un à Jesse Hirsh, stratège, chercheur et journaliste Internet, l’autre à Kent Glowinski, avocat ontarien possédant une expertise dans les questions relatives à la protection de la vie privée dans le contexte des médias sociaux.

Leurs recherches portaient sur la façon dont les nouvelles formes de journalisme citoyen et les nouvelles technologies de prise d’images dans les appareils mobiles peuvent constituer de nouvelles sources possibles d’atteinte à la vie privée.

Les auteurs observent que les citoyens jouent de plus en plus un rôle actif dans l’identification et la condamnation d’autres citoyens ayant affiché un comportement répréhensible ou ayant pris part à des activités criminelles, et ce, à l’aide des appareils mobiles ou de propos humiliants dans les médias sociaux. Cette tendance est conjuguée avec l’intérêt croissant à l’égard de la surveillance active et de la participation des médias sociaux pour l’application de la loi.

Les appareils que les Canadiennes et les Canadiens utilisent et dont ils dépendent, la nature des médias interactifs qu’ils consomment, les technologies intelligentes qu’ils intègrent dans leur vie quotidienne s’unissent pour capter nos moindres gestes.

Les auteurs se penchent sur cette nouvelle réalité sociale et examinent les incidences sur la protection de la vie privée à l’ère des médias sociaux, où les mauvais jugements, indiscrétions ou erreurs sont souvent saisis — et pas facilement oubliés.

Nous prévoyons rendre disponibles ces rapports sur notre site Web au cours du prochain exercice.

La recherche dans le domaine de la surveillance, dix ans après les événements du 11 septembre

En collaboration avec des chercheurs de quatre universités, le Commissariat a coparrainé un atelier de recherche intitulé « The Expanding Surveillance Net: Ten Years after 9/11 », organisé par le projet de nouvelle transparence à l’Université Queen’s.

Les exposés et les discussions qui ont eu lieu pendant l’atelier portaient sur des thèmes liés aux implications sociales, politiques, juridiques et éthiques de la surveillance accrue de la part du gouvernement et du secteur privé dans la foulée de la tragédie du 11 septembre. Des documents sélectionnés issus de l’atelier seront publiés dans un numéro spécial de la Revue canadienne Droit et Société.

Recherche sur l’interception des communications électroniques et la protection de la vie privée

Le professeur Wesley Wark de l’Université de Toronto a reçu des fonds du Programme des contributions du Commissariat pour se pencher sur la question de la collecte de renseignements de sécurité effectuée au Canada à des fins de sécurité nationale par l’entremise du secteur privé.

L’étude comportait un examen des faits nouveaux dans ce domaine, traitant de sujets comme la collecte de communications électroniques par le Centre de la sécurité des télécommunications, la publication récente de la Stratégie de cybersécurité du Canada, les propositions d’échange accru de renseignements dans le plan de sécurité du périmètre canado-américain et le projet de loi sur l’« accès légal ».

Le professeur Wark a démontré comment le cadre stratégique approprié peut cohabiter à la fois avec la protection de la vie privée et l’augmentation de l’interception des communications électroniques — une caractéristique de l’époque du renseignement de l’après 11 septembre 2001.

Cette étude est disponible sur le site Web du Centre d’études en politiques internationales de l’Université d’Ottawa à http://cips.uottawa.ca/wp-content/uploads/2012/04/WARK_WorkingPaper_April2012.pdf [en anglais seulement].

Recherche sur les drones

La prolifération des drones dans l’espace aérien intérieur est une nouvelle question qui demande un examen attentif du point de vue de la protection des renseignements personnels.

À la lumière de cette tendance, nous avons commandé une étude à Angela Gendron, agrégée supérieure au Centre canadien d’études sur le renseignement et la sécurité de l’École Norman Paterson d’affaires internationales de l’Université Carleton.

Sa recherche a été menée pour répondre à des besoins internes, c’est-à-dire nous aider à comprendre ce domaine et à examiner certaines questions relatives à la protection de la vie privée.

Mme Gendron a communiqué ses perspectives de recherche sur l’évolution et les débats récents concernant la surveillance au moyen de systèmes d’aéronefs sans pilote, les implications juridiques et les effets sur la protection de la vie privée de leur utilisation, ainsi que les défis sur le plan de l’encadrement.

Elle a également étudié les facteurs relatifs à l’économie et à la sécurité qui favorisent la prolifération de drones dans l’espace aérien intérieur, ainsi que les répercussions sur le plan social et celui de la protection de la vie privée liées à leur capacité de dissimulation pour effectuer de la surveillance aérienne.

Comparaison internationale de l’utilisation de l’ADN pour l’application de la loi

Nous avons commandé un rapport de recherche à Amy Conroy, spécialiste du droit de la santé, afin d’examiner les risques relatifs à la protection de la vie privée inhérents à la collecte, à l’utilisation et à la conservation de renseignements génétiques dans le contexte des enquêtes criminelles.

Sa recherche a porté sur les mesures de protection de la vie privée exigées en vertu des lois canadiennes comparativement à celles requises dans d’autres pays, particulièrement aux États-Unis, au Royaume-Uni, en Australie et aux Pays-Bas. Elle a constaté que les pays communiquent de plus en plus de renseignements génétiques sauvegardés dans leurs bases de données nationales aux services de police étrangers afin de combattre le crime à l’échelle mondiale.

Toutefois, il existe peu d’information disponible sur les ententes à cet égard, ce qui indique le besoin d’une plus grande transparence.

Suivi de vérifications antérieures

La Loi sur la protection des renseignements personnels donne à la commissaire le pouvoir de mener, à sa discrétion, des vérifications sur les pratiques pertinentes en matière de protection de la vie privée utilisées par les ministères et les organismes fédéraux. Si une vérification révèle des lacunes, la commissaire peut recommander des mesures de correction à l’institution. Les conclusions et les recommandations des vérifications peuvent être publiées dans un rapport annuel ou dans des rapports spéciaux au Parlement.

La Loi ne lui procure pas d’autres pouvoirs d’application. Par conséquent, environ deux ans après la publication d’une vérification, nous assurons un suivi pour déterminer si l’organisation qui a été vérifiée suit nos recommandations ou donne suite aux engagements pris.

Cette année, nous avons procédé au suivi de nos vérifications concernant le Programme de protection des passagers de Transports Canada et les rapports annuels ministériels sur la protection des renseignements personnels.

Nous sommes heureux de constater que les six recommandations acceptées relatives à ces deux vérifications ont toutes été mises en œuvre entièrement ou en grande partie.

Programme de protection des passagers

Le Programme

Le Programme de protection des passagers est mieux connu de la population canadienne sous le nom de « liste des personnes interdites de vol ». Cet outil de contrôle des passagers mis sur pied en juin 2007 vise à empêcher ceux et celles dont le nom figure sur la Liste des personnes précisées de prendre place à bord de vols intérieurs et internationaux, en partance ou à destination du Canada.

Il s’agit d’un programme secret, utilisant des renseignements personnels de nature très délicate à l’insu des intéressés afin d’identifier les personnes que Transports Canada considère comme des menaces immédiates à la sûreté aérienne. Refuser l’embarquement d’une personne à bord d’un aéronef peut entraîner des conséquences profondes sur son droit à la vie privée et ses autres droits fondamentaux telles les libertés d’association, d’expression et le droit de se déplacer. Non seulement sa réputation risque d’en souffrir, mais également sa capacité de gagner sa vie.

La vérification

Notre vérification, terminée en novembre 2009, a révélé que la collecte et l’utilisation de renseignements dans le cadre de ce programme se faisaient conformément à la Loi sur la protection des renseignements personnels et à la Loi sur l’aéronautique.

Nous avons cependant aussi constaté ce qui suit :

  • Le sous-ministre de Transports Canada ne reçoit pas de l’information complète pour soutenir sa décision d’ajouter des noms à la Liste des personnes précisées ou de les en retirer;
  • Le système de technologie de l’information utilisé pour communiquer aux transporteurs aériens des renseignements sur la Liste des personnes précisées n’avait pas été certifié ni accrédité pour satisfaire aux normes de sécurité du gouvernement;
  • Les transporteurs aériens n’étaient pas tenus de signaler à Transports Canada les atteintes à la sécurité des renseignements personnels;
  • Transports Canada n’avait pas élargi ses activités de surveillance afin de vérifier si les transporteurs aériens se conforment aux exigences des règlements fédéraux sur le contrôle de l’identité liées au traitement et à la protection des renseignements relatifs à la Liste des personnes précisées.

Le suivi

Transports Canada a indiqué que des changements ont été apportés à la procédure avant même l’achèvement de la vérification de manière à ce que le sous-ministre reçoive tous les renseignements nécessaires pour prendre une décision éclairée. Depuis février 2011, la responsabilité de ce programme incombe à Sécurité publique Canada.

Le Ministère a aussi indiqué que pour assurer la protection adéquate des renseignements personnels dans ce système, il a mis à jour son évaluation de la menace et des risques. De plus, son système consultatif de la réglementation de la sûreté est maintenant accrédité comme respectant les normes gouvernementales.

Bien que Transports Canada n’ait pas entièrement accepté notre recommandation en 2009 d’obliger les transporteurs aériens à signaler les atteintes à la sécurité concernant les renseignements personnels, Sécurité publique Canada et Transports Canada ont tous les deux indiqué qu’ils procédaient à un examen des règlements afin de régler ce problème.

Enfin, Transports Canada a précisé que sa surveillance des activités des compagnies aériennes permettait de s’assurer que celles-ci respectent les exigences relatives au traitement et à la protection des renseignements personnels figurant sur la Liste des personnes précisées.

Rapports annuels ministériels sur la protection des renseignements personnels

En novembre 2009, nous avons rendu publiques les conclusions de notre vérification des rapports annuels sur la protection des renseignements personnels des institutions fédérales. Ces documents dressent un portrait de la façon dont les organisations gèrent et protègent les renseignements personnels des Canadiennes et des Canadiens aux termes de la Loi sur la protection des renseignements personnels lorsqu’elles exécutent les programmes. Nous avons examiné dans quelle mesure les 33 ministères fédéraux se conformaient aux exigences du Secrétariat du Conseil du Trésor pour ce qui est de l’établissement des rapports annuels au Parlement.

Nous avons constaté que, bien que la majorité de ces institutions respectent la plupart, sinon la totalité, des exigences obligatoires du Secrétariat du Conseil du Trésor en matière de production de rapports, bon nombre de rapports n’offraient rien de plus que de l’information de base.

Il ne s’y dégageait pas de tableau clair des pratiques de l’organisation quant à la protection de la vie privée, ni de son approche de gestion des risques liés aux renseignements personnels recueillis.

Le Secrétariat du Conseil du Trésor nous a indiqué qu’il veille à ce que les ministères respectent toutes les exigences obligatoires en matière de production de rapports, leur signalant le cas échéant les lacunes à cet égard.

Nous avions aussi recommandé que les ministères indiquent dans leurs rapports annuels sur la protection des renseignements personnels les atteintes à la vie privée, de même que les mesures prises pour éviter que de telles atteintes ne se reproduisent à l’avenir. Bien que le Secrétariat du Conseil du Trésor n’oblige pas les ministères à le faire, nous sommes heureux de constater qu’en 2010, le Secrétariat a émis une directive sur les pratiques relatives à la protection de la vie privée.

Selon cette directive, les responsables des institutions fédérales sont tenus de mettre en œuvre un plan qui, dans l’éventualité d’une atteinte, assure ce qui suit : les personnes touchées sont avisées; les procédures sont suivies; les risques pour la vie privée détectés dans le cadre d’une enquête sont atténués, et des mesures correctrices sont adoptées.

Communications dans l’intérêt public en vertu de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels

L’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels permet à une institution de communiquer des renseignements personnels sans le consentement de l’individu concerné si, de l’avis du responsable de l’institution :

  • des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée;
  • l’individu concerné en tirerait un avantage certain.

Les institutions qui ont l’intention de communiquer des renseignements pour des raisons d’intérêt public doivent en aviser le Commissariat par écrit, dans la mesure du possible avant que cette communication n’ait lieu ou tout de suite après.

Le Commissariat examine les communications et peut exprimer son inquiétude concernant les communications proposées ou peut recommander que la personne dont les renseignements personnels sont communiqués soit avisée de la communication si l’institution ne l’a pas déjà fait.

Si le ministère choisit de ne pas aviser la personne, la commissaire a l’autorité de le faire.

Toutefois, la décision de communiquer des renseignements personnels dans l’intérêt public repose uniquement sur le responsable de l’institution, et la commissaire ne peut intervenir.

Au cours de l’exercice 2011-2012, nous avons traité 107 avis de communication envoyés en vertu de l’alinéa 8(2)m), soit une forte hausse par rapport aux 80 traitées l’année précédente. Parmi les dossiers de 2011-2012, mentionnons ceux-ci :

Ministère des Affaires étrangères et du Commerce international

Le ministère des Affaires étrangères et du Commerce international a effectué 31 communications, ce qui est encore une fois le plus grand nombre parmi toutes les institutions. Vingt-six de ces communications portaient sur la transmission aux autorités de santé provinciales des coordonnées de gens qui pourraient avoir été exposés à la tuberculose infectieuse par un autre passager sur un vol.

Les cinq autres concernaient la communication aux services de police des coordonnées des proches de personnes disparues ou décédées.

Agence des services frontaliers du Canada

L’Agence des services frontaliers du Canada a avisé le Commissariat de 21 communications de renseignements dans l’intérêt public qui ont eu lieu au cours du dernier exercice, dont 20 concernaient le retrait d’individus de la Liste des personnes recherchées par l’ASFC.

L’autre communication avait trait à la transmission d’une adresse à une société d’aide à l’enfance afin de confirmer le bien-être d’une mineure qui avait été renvoyée du Canada avec sa mère.

Gendarmerie royale du Canada

La Gendarmerie royale du Canada a avisé le Commissariat de 21 communications de renseignements dans l’intérêt public.

Presque les deux tiers de ces communications concernaient des personnes qui devaient être libérées dans la communauté après avoir purgé une peine pour voies de fait, agression sexuelle ou possession de pornographie juvénile et qui présentaient un risque élevé de récidive.

Cinq autres cas portaient sur des renseignements relatifs à des infractions sexuelles communiqués à des postes de police locaux pour une enquête approfondie.

Dans un autre cas, on a communiqué des renseignements sur des personnes qui avaient subi une intervention chirurgicale particulière dans les années 1980 afin qu’elles puissent demander à leur médecin un suivi supplémentaire.

Les deux dernières communications avaient pour but d’informer le public d’actes de violence possibles entre deux gangs et d’aviser un collège provincial de médecins et chirurgiens de la consommation par un médecin de drogues non prescrites.

Service correctionnel du Canada

Le Service correctionnel du Canada a effectué neuf communications, soit pour informer les victimes avant le transfert d’un détenu dans un pénitencier, soit pour informer les membres de la famille des circonstances de la mort d’un détenu.

CHAPITRE 5

L’année à venir

Notre rapport annuel de l’an dernier se concluait par un avertissement : la protection de la vie privée est un élément beaucoup trop essentiel à notre société et au maintien de nos valeurs démocratiques pour qu’on laisse le gouvernement dominer le débat.

Nous répétons la même mise en garde au début du présent chapitre.

En tant que nation, nous devons continuer de nous poser des questions fondamentales au sujet de la protection de la vie privée, et cet examen requiert la pleine participation des Canadiennes et des Canadiens.

Au moment de rédiger ce rapport, le gouvernement fédéral entendait mettre en œuvre une pléthore de plans et de propositions ayant de profondes répercussions sur la protection des renseignements personnels de la population canadienne. Leur nombre même et leur complexité pourraient en décourager plusieurs de participer au processus d’envergure qui amène le public à porter un jugement, ce qui est pourtant essentiel dans une démocratie.

En 2012-2013, nous prévoyons que les nouvelles initiatives de surveillance et mesures de sécurité occuperont une place importante dans les discussions sur la protection de la vie privée dans le secteur public.

Sécurité du périmètre

Le Canada et les États-Unis se sont engagés dans un projet ambitieux visant à examiner comment leur frontière commune est gérée et dans quelle mesure les biens et les personnes qui entrent dans les deux pays font l’objet d’une surveillance.

Le Plan d’action canado-américain sur la sécurité du périmètre et la compétitivité économique, rendu public à la fin de 2011, présente 32 initiatives qui se concrétiseront dans quelques années. Globalement, ces initiatives représentent un changement majeur dans la façon dont les deux pays s’occupent de la sécurité, de l’échange de renseignements, de l’application de la loi et de l’inspection douanière.

L’élaboration des principes conjoints Canada-États-Unis de protection des renseignements personnels, qui guideront la mise en œuvre de tous les programmes et initiatives découlant du Plan d’action, est une étape cruciale à notre avis. Nous avons fait valoir qu’il fallait tenir compte des questions d’ouverture, de transparence, de conservation, de recours, d’exactitude et d’accès. Bref, tous les principes relatifs à l’équité dans le traitement de l’information doivent être pris en considération afin de fournir une base solide pour la protection du droit à la vie privée de la population canadienne.

Le Commissariat et ses homologues provinciaux et territoriaux ont déjà insisté sur le fait que les initiatives prévues entraînent des risques pour la protection de la vie privée.

Le Commissariat accordera beaucoup d’attention à l’examen et à l’analyse de ces engagements dans l’année qui vient, en sensibilisant les médias, en contribuant aux délibérations et aux études parlementaires, et en examinant les évaluations des facteurs relatifs à la vie privée.

Surveillance accrue

Entre-temps, il y a aussi des propositions visant à accroître la surveillance par le gouvernement. Dans certains cas, cette surveillance reposera sur de nouvelles technologies, comme les avions sans pilote ou les logiciels de reconnaissance faciale, qui évoluent rapidement.

Dans d’autres cas, la surveillance accrue s’exercera grâce à de nouveaux pouvoirs d’enquête pour la collecte d’information en ligne, le repérage des dispositifs électroniques et l’identification des utilisateurs des services Internet.

Des citoyens de tous les horizons, de toutes les régions du pays, se sentent instinctivement concernés par cette question. Par conséquent, lorsque le gouvernement propose de nouvelles méthodes de surveillance électronique — et qu’il cherche à redéfinir les mesures de protection de la vie privée dans la loi au profit de pouvoirs d’enquête plus étendus —, l’opinion des citoyens canadiens doit être prise en considération. En vertu de la Charte canadienne des droits et libertés et de la Loi sur la protection des renseignements personnels, les lois canadiennes imposent des limites claires concernant l’obtention de renseignements personnels.

Plus précisément, une institution fédérale ne peut recueillir des renseignements personnels que s’ils sont directement liés à un de ses programmes ou à une de ses activités, et on ne peut obliger quelqu’un à fournir de tels renseignements en vertu de l’application de la loi à moins d’avoir un mandat ou qu’il s’agisse d’une urgence. Le Commissariat demeure préoccupé par l’étendue des propositions législatives actuelles concernant l’accès légal, et nous croyons qu’il existe des options pour limiter son utilisation aux cas où il est justifié et proportionnel de le faire.

Autres initiatives

De plus, on s’attend à ce que les modifications aux lois sur l’immigration soient à l’origine de diverses EFVP concernant les changements dans les processus de demande et la façon dont l’information sur les demandeurs est communiquée et fait l’objet d’un suivi à une plus grande échelle.

Nous avons déjà eu quelques consultations sur les ententes d’échanges de renseignements qui sont en voie d’élaboration, et nous nous attendons à recevoir plus d’une dizaine d’EFVP relatives à la collecte, à l’utilisation et à l’échange de renseignements personnels, y compris les empreintes digitales, pour le contrôle bilatéral de l’immigration et le contrôle à la frontière.

Selon les plans du gouvernement fédéral, les ministères devraient commencer à partager des services, et le Commissariat fera éventuellement face à des défis sur plusieurs fronts. Nous rappellerons au gouvernement qu’il faut tenir compte comme il se doit de la protection de la vie privée lorsqu’on regroupe les infrastructures de TI, les centres de données et les services de courriel. Les enjeux liés à la protection de la vie privée devront être analysés soigneusement en même temps qu’on examinera la possibilité d’externaliser certains services à des fournisseurs de services non gouvernementaux.

Dans tous ces domaines, les questions d’ordre stratégique, juridique et technique sont complexes, et les répercussions éventuelles sur la protection de la vie privée au Canada sont profondes.

La position du Commissariat a été et continue d’être que, s’il est vrai que les environnements en ligne peuvent faire naître de nouveaux enjeux pour les organismes d’application de la loi, les normes juridiques canadiennes et  les attentes intrinsèques en matière de respect de la vie privée des citoyens méritent d’être reconnues et respectées.

En tant que nation, nous devons continuer de nous poser des questions fondamentales sur la protection de la vie privée. Pourquoi est-ce si important? À quoi ressemblerait notre société sans cette protection?

Il faut se poser ces questions avec l’ensemble des Canadiennes et des Canadiens, plutôt que de laisser le débat se faire dans le secteur public uniquement.

Nous allons donc continuer de sensibiliser les citoyens de tous les coins du pays aux questions relatives à la protection de la vie privée et des renseignements personnels, et au droit d’accès. Cela se fera au moyen d’événements publics, de recherche opportune, de discussions ouvertes, de séminaires et des nouveaux médias en ligne.

Le Commissariat aura une autre lourde responsabilité dans les 12 prochains mois. Comme les athlètes qui se préparent à une compétition importante, nous devons nous améliorer pour faire face à ces nouveaux défis.

C’est pourquoi nous avons déjà commencé à accroître la capacité de soutien technologique du Commissariat en augmentant notre équipe de technologues et en améliorant leur laboratoire d’essai à la fine pointe.

Au cours du prochain exercice, nous prévoyons rendre disponible en ligne un nouveau formulaire de plainte, ce qui facilitera le dépôt de plaintes.

Nous avons également entrepris un projet de modernisation visant à simplifier le processus d’enquête sur les plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et à diminuer le temps requis pour les régler.

Il est essentiel de réduire les délais de résolution pour que le Commissariat puisse faire face à l’augmentation anticipée des défis liés à la protection de la vie privée, alors que les ressources demeureront les mêmes pendant les deux prochains exercices. (Et il s’agit du scénario économique le plus optimiste, puisque le déménagement forcé dans de nouveaux locaux en 2013 entraînera des coûts additionnels considérables, pour lesquels nous demandons un financement supplémentaire.)

Vérification de l’Agence du revenu du Canada

Le Commissariat a décelé plusieurs risques de longue date d’atteinte à la vie privée à l’Agence du revenu du Canada, et il a décidé d’effectuer une vérification de cette organisation en vertu de l’article 37 de la Loi sur la protection des renseignements personnels.

L’organe d’archivage de l’Agence, qui contient plus de 30 millions de dossiers de contribuables et des centaines de millions de dossiers connexes, est l’un des fonds documentaires les plus volumineux au pays. Ces documents contiennent des renseignements extrêmement délicats sur les finances, l’emploi, la famille et la santé. Cette gigantesque banque de renseignements personnels est Accèsible à plus de 20 000 employés à plein temps et à plusieurs milliers d’employés occasionnels, qui sont embauchés chaque année pendant la période des déclarations de revenus.

Diverses atteintes à la protection des données, mettant en cause des employés ayant consulté de manière inappropriée des renseignements sur des contribuables, ont été signalées au Commissariat ces dernières années, et il y a un risque qu’une éventuelle atteinte touche des milliers de Canadiennes et de Canadiens et qu’elle mine la confiance du public à l’égard de l’Agence.

Au moment de rédiger ce rapport, la vérification avait commencé et le Commissariat était en train de déterminer les points à examiner.

Conclusion

Enfin, alors que la Loi sur la protection des renseignements personnels amorce maintenant sa quatrième décennie, nous nous rappelons cette réflexion du commissaire John Grace, qui figurait dans le premier rapport annuel du Commissariat :

Les sociétés qui traitent la vie privée avec mépris et utilisent les renseignements personnels comme des produits de peu de valeur auront tôt ou tard les mêmes attitudes à l’égard de leurs citoyens. Par conséquent, la vie privée n’est pas simplement une ressource humaine précieuse et souvent irremplaçable; le respect de la vie privée est la reconnaissance du respect de la dignité humaine et de l’individualité de l’être humain.

Trente ans plus tard, ces propos demeurent aussi vrais, et certainement encore plus importants, qu’à l’époque où ils ont été tenus.

Annexe  1 — Définitions

Types de plaintes

1. Accès

Accès — Tous les renseignements personnels n’ont pas été communiqués, soit parce qu’il manque des documents ou des renseignements ou parce que l’institution a invoqué des exceptions afin de ne pas communiquer les renseignements.

Correction/annotation — L’institution n’a pas apporté les corrections aux renseignements personnels ou ne les a pas annotés parce qu’elle n’approuve pas les corrections demandées.

Langue — Les renseignements personnels n’ont pas été fournis dans la langue officielle demandée.

Frais — Des frais ont été exigés pour répondre à la demande de renseignements en vertu de la Loi sur la protection des renseignements personnels; aucun frais n’est actuellement prévu pour l’obtention de renseignements personnels.

Répertoire Info Source (un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données — groupes de fichiers sur un même sujet — que l’institution possède) ne décrit pas de façon adéquate le fonds de renseignements personnels d’une institution.

2. Protection des renseignements personnels

Collecte — Une institution a recueilli des renseignements personnels qui ne sont pas nécessaires à l’exploitation d’un de ses programmes ou à l’une de ses activités, les renseignements personnels n’ont pas été recueillis directement auprès de la personne concernée, ou la personne n’a pas été informée des fins pour lesquelles les renseignements personnels ont été recueillis.

Conservation et retrait — Des renseignements personnels ne sont pas conservés selon les calendriers de conservation et de retrait approuvés par les Archives nationales et publiés dans Info Source : ils sont détruits trop rapidement ou conservés trop longtemps.

En outre, les renseignements personnels utilisés à des fins administratives doivent être conservés pendant au moins deux ans après la dernière application d’une mesure administrative, à moins que la personne ait consenti à leur retrait.

Utilisation et communication — Des renseignements sont utilisés ou communiqués sans le consentement de la personne concernée et ne satisfont pas à l’un des critères d’utilisation ou de communication permise sans consentement énoncés aux articles 7 et 8 de la Loi.

3. Délais

Délais — L’institution n’a pas répondu dans les délais prescrits.

Avis de prorogation — L’institution n’a pas donné une justification appropriée pour la prorogation, elle a fait la demande de prorogation après le délai initial de 30 jours, ou elle a fixé l’échéance à plus de 60 jours de la date de réception de la demande.

Correction/annotation — Délais — L’institution n’a pas corrigé les renseignements personnels ou n’a pas annoté le dossier dans les 30 jours suivant la réception de la demande de correction.

Conclusions et autres décisions en vertu de la Loi sur la protection des renseignements personnels

1. Conclusions d’enquêtes

Fondée : L’institution fédérale n’a pas respecté les droits d’une personne aux termes de la Loi sur la protection des renseignements personnels. Cette catégorie comprend les conclusions auparavant désignées « fondées » et « résolues », c’est-à-dire où les allégations étaient corroborées par l’enquête et l’institution fédérale acceptait de prendre des mesures correctives afin de remédier à la situation.

Non fondée : L’enquête n’a pas permis de déceler les éléments de preuve qui suffisent à conclure que l’institution fédérale n’a pas respecté les droits d’un plaignant en vertu de la Loi sur la protection des renseignements personnels.

Résolue : Après une enquête approfondie, le Commissariat a participé à la négociation d’une solution satisfaisant les deux parties. Cette conclusion est réservée aux plaintes qu’on pourrait difficilement qualifier de fondées du fait que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.

2. Autres décisions

Réglée rapidement : S’applique aux cas où l’affaire est réglée avant même qu’une enquête officielle ne soit entamée. Par exemple, si une personne dépose une plainte dont le sujet a déjà fait l’objet d’une enquête par le Commissariat et a été considéré conforme à la Loi sur la protection des renseignements personnels, nous expliquons la situation à cette personne. Il nous arrive également de recevoir des plaintes pour lesquelles une enquête officielle aurait pu avoir des conséquences défavorables pour la personne. En pareil cas, nous expliquons en détail la situation au plaignant. Si ce dernier décide de ne pas poursuivre l’affaire, le dossier est fermé et la plainte est considérée comme étant « réglée rapidement ».

Réglée en cours d’enquête : Le Commissariat a participé à la négociation d’une solution satisfaisant toutes les parties dans le cadre de l’enquête, mais aucune conclusion n’a été rendue.

Abandonnée : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons. Par exemple, le plaignant pourrait ne plus vouloir donner suite à l’affaire, ou ne plus être joignable pour fournir des renseignements supplémentaires essentiels pour arriver à une conclusion.

Annexe 2 — Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels

Processus d'enquête en vertu de la Loi sur la protection des renseignements personnels

Processus d'enquête en vertu de la Loi sur la protection des renseignements personnels

Processus d'enquête en vertu de la Loi sur la protection des renseignements personnels

Accueil :

Des personnes font parvenir des plaintes écrites au Commissariat concernant des infractions à la Loi sur la protection des renseignements personnels. L’unité d’accueil examine l’affaire en cause afin de déterminer si elle constitue bel et bien une plainte, c.‑à‑d. de déterminer si les faits allégués pourraient contrevenir à la Loi, ainsi que le moyen le plus efficace de la résoudre. Une personne peut déposer une plainte se rapportant à toute question énoncée à l’article 29 de la Loi sur la protection des renseignements personnels — par exemple, le refus d’une institution de communiquer à une personne les renseignements personnels qu’elle détient à son sujet, ou un retard inacceptable dans la communication de ces renseignements; la collecte, l’utilisation ou la communication inappropriée de renseignements personnels; des erreurs dans les renseignements personnels qu’une institution utilise ou communique. L’unité d’accueil réussit parfois à régler immédiatement les problèmes, éliminant ainsi la nécessité pour le Commissariat de s’occuper du dossier comme s’il s’agissait d’une enquête officielle. Dans ces cas‑là, nous fermons simplement le dossier, et la plainte est considérée comme ayant été réglée rapidement. La commissaire à la protection de la vie privée peut aussi déposer une plainte si elle est d’avis qu’il y a des motifs suffisants pour mener une enquête.

Plainte?

Non :

La personne est informée, par exemple, que la question ne relève pas de notre organisme.

Oui :

Un enquêteur est affecté au dossier.

  • Règlement rapide?

    Une plainte peut être résolue avant qu’une enquête officielle n’ait commencé si, par exemple, la question a déjà été traitée dans le cadre d’une autre plainte et que l’institution a cessé la pratique, ou si cette pratique ne contrevient pas à la Loi.
  • Enquête :

    L’enquête permet d’établir les faits sur lesquels la commissaire s’appuie pour déterminer si les droits des personnes garantis par la Loi sur la protection des renseignements personnels ont été enfreints.

    L’enquêteur explique à l’institution, par écrit, l’essentiel de la plainte. Il rassemble les faits se rapportant à la plainte en recevant les observations des deux parties, ainsi que par une enquête indépendante, des entrevues avec les témoins et l’examen de la documentation. Au nom de la commissaire à la protection de la vie privée, l’enquêteur a le pouvoir de recevoir des éléments de preuve, d’accéder à des lieux au besoin et d’obtenir ou d’examiner des copies de dossiers trouvés sur place.
    • Abandonnée?

      Une plainte peut être abandonnée si, par exemple, un plaignant décide de ne pas continuer avec sa plainte, ou s’il ne peut être localisé.
    • Analyse :

      L’enquêteur analyse les faits et prépare les recommandations pour la commissaire à la protection de la vie privée ou son délégué. L’enquêteur communique avec les parties et examine les faits recueillis au cours de l’enquête. Il informe également les parties des recommandations, fondées sur les faits, qu’il présentera à la commissaire à la protection de la vie privée ou à son délégué. À cette étape, les parties peuvent formuler d’autres observations.

      Au besoin, des consultations internes sont effectuées avec, par exemple, le concours de la Division des services juridiques ou de la Direction de la recherche et des politiques.
      • Résolue?

        Le CPVP cherche à régler les plaintes et à prévenir d’autres infractions à la Loi. La commissaire favorise la résolution des différends par l’entremise de la médiation, de la négociation et de discussions persuasives. L’enquêteur participe au processus.
      • Conclusion :

        La commissaire à la protection de la vie privée ou son délégué examine le dossier, évalue le rapport et prend une décision au sujet de la recommandation. La commissaire ou son délégué, et non l’enquêteur, décide de l’issue appropriée du dossier et s’il faut présenter des recommandations à l’institution.

        La commissaire à la protection de la vie privée ou son délégué envoie une lettre expliquant ses conclusions aux parties. Cette lettre présente le fondement de la plainte, les faits établis, l’analyse effectuée par la commissaire ou son délégué, ainsi que toute recommandation faite à l’institution. La commissaire à la protection de la vie privée ou son délégué peut demander à l’institution de lui indiquer par écrit, dans un délai précis, les mesures prévues pour mettre en œuvre les recommandations.

        Les conclusions possibles sont les suivantes :

        Non fondée : La preuve ne permet pas à la commissaire à la protection de la vie privée ou à son délégué de conclure que les droits du plaignant en vertu de la Loi ont été enfreints.

        Fondée : L’institution n’a pas respecté l’une des dispositions de la Loi.

        Fondée et résolue : L’enquête permet de justifier les allégations, et l’institution s’engage à prendre des mesures correctives pour remédier au problème.

        Résolue : La preuve recueillie au cours de l’enquête soutient les allégations soulevées dans la plainte, mais l’institution s’engage à prendre des mesures pour corriger le problème;  à la satisfaction du Commissariat. Cette conclusion est tirée dans les situations où, compte tenu que la plainte découle principalement d’un problème de communication, il serait trop sévère de conclure qu’elle est fondée.
      • Dans la lettre de conclusions, la commissaire à la protection de la vie privée ou son délégué informe le plaignant de son droit de recours à la Cour fédérale pour les cas de refus d’accès aux renseignements personnels.
    • Lorsque des recommandations sont présentées à une institution, le personnel du CPVP effectue un suivi pour vérifier si elles ont bel et bien été appliquées.
    • Lorsqu’on lui refuse l’accès à ses renseignements personnels, le plaignant, ou la commissaire à la protection de la vie privée, peut choisir de demander une audience à la Cour fédérale. La Cour fédérale a le pouvoir d’examiner l’affaire et de déterminer si l’institution doit fournir les renseignements au requérant.

Annexe 3 - Plaintes et enquêtes en vertu de la Loi sur la protection des renseignements personnels, du 1er avril 2011 au 31 mars 2012

Plaintes acceptées par type de plainte

Type de plainte Règlement rapide Plaintes officielles Total Pourcentage
Accès 129 299 428 43,41%
Correction/annotation 11 1 12 1,22%
Langue 1 0 1 0,10%
Frais 0 1 1 0,10%
Délais 94 227 321 32,56%
Correction — délais 0 1 1 0,10%
Avis de prorogation 1 3 4 0,41%
Collecte 16 18 34 3,45%
Conservation et retrait 3 5 8 0,81%
Utilisation et communication 60 116 176 17,85%
Total 315 671 986 100,00%

Comme en 2010-2011, le plus souvent, les plaintes déposées au Commissariat en 2011-2012 portaient sur les difficultés rencontrées par les gens qui voulaient avoir accès aux renseignements personnels que les ministères ou les organismes gouvernementaux détenaient sur eux. Ces plaintes comptaient pour un total combiné de 442, ou 45 % de toutes les plaintes acceptées. Le nombre de plaintes liées à l’accès a augmenté de 34 % par rapport à 2010-2011, alors que le Commissariat avait reçu 328 plaintes de ce type.

La deuxième raison la plus fréquente pour laquelle les personnes ont déposé des plaintes au Commissariat concernait le temps que les ministères et organismes ont pris pour répondre aux demandes d’accès. Le Commissariat a reçu 326 plaintes liées aux délais, ce qui représente environ le tiers des plaintes acceptées. Il s’agit d’une augmentation de 30 % par rapport à l’an dernier, alors que le Commissariat avait accepté 251 plaintes relatives aux délais.

Le nombre de plaintes liées à la protection des renseignements personnels, ce qui comprend les problèmes liés à la collecte, à l’utilisation, à la communication, à la conservation et au retrait des renseignements personnels, s’élevait à 218, ce qui représente 22 % du nombre total de plaintes acceptées. Il s’agit d’une augmentation notable (69 %) par rapport aux 129 plaintes liées à la protection des renseignements personnels reçues en 2010-2011.

Les 10 institutions ayant fait l'objet du plus grand nombre de plaintes acceptées

  Accès Délais Protection des renseignements personnels Total
Règlement rapide Plaintes officielles Total Règlement rapide Plaintes officielles Total Règlement rapide Plaintes officielles Total Total
Service correctionnel du Canada 53 92 145 32 95 127 21 33 54 326
Gendarmerie royale du Canada 36 24 60 12 13 25 13 19 32 117
Défense nationale 8 22 30 30 46 76 3 6 9 115
Agence du revenu du Canada 5 19 24 3 20 23 7 11 18 65
Agence des services frontaliers du Canada 5 34 39 2 6 8 2 6 8 55
Anciens Combattants Canada 4 5 9 1 17 18 2 10 12 39
Service canadien du renseignement de sécurité 3 27 30 1 0 1 0 1 1 32
Ressources humaines et Développement des compétences Canada 5 8 13 4 2 6 2 5 7 26
Travaux publics et Services gouvernementaux Canada 2 12 14 2 2 4 1 6 7 25
Société canadienne des postes 5 5 10 0 2 2 8 2 10 22
Tous les autres ministères et organismes fédéraux 15 53 68 8 28 36 20 40 60 164
Total 141 301 442 95 231 326 79 139 218 986

Le nombre de plaintes déposées contre une institution n'est pas nécessairement un indicateur permettant de conclure que ses pratiques ne sont pas conformes à la Loi sur la protection des renseignements personnels. En raison de leur mandat, certaines institutions détiennent une quantité considérable de renseignements personnels. Elles sont donc plus susceptibles de recevoir de nombreuses demandes d'accès à ces renseignements personnels, ce qui peut donner lieu à des plaintes subséquentes sur les pratiques de l'institution en matière de collecte, d'utilisation, de communication, de conservation ou de retrait des renseignements personnels, ou sur la manière dont l'institution donne accès à ces renseignements.

Se reporter à la page 70 pour une analyse des changements au fil des ans dans la liste des 10 institutions ayant fait l'objet du plus grand nombre de plaintes.

Les 10 institutions ayant fait l’objet du plus grand nombre de plaintes acceptées en 2011-2012
(Période de trois ans)

Organisation 2009-2010 2010-2011 2011-2012
Service correctionnel du Canada 290 276 326
Gendarmerie royale du Canada 60 75 117
Défense nationale 47 65 115
Agence du revenu du Canada 49 53 65
Agence des services frontaliers du Canada 26 29 55
Anciens Combattants Canada 2 15 39
Service canadien du renseignement de sécurité 26 16 32
Ressources humaines et Développement des compétences Canada 20 25 26
Travaux publics et Services gouvernementaux Canada 7 8 25
Société canadienne des postes 23 27 22
Tous les autres ministères et organismes 98 111 164

Plaintes acceptées par institution

Institution Règlement rapide Plaintes officielles Total
Administration canadienne de la sûreté du transport aérien 1 0 1
Affaires autochtones et Développement du Nord Canada 1 10 11
Affaires étrangères et Commerce international Canada 0 5 5
Agence canadienne d’inspection des aliments 0 3 3
Agence de la santé publique du Canada 1 5 6
Agence des services frontaliers du Canada 9 46 55
Agence du revenu du Canada 15 50 65
Agence spatiale canadienne 0 4 4
Anciens Combattants Canada 7 32 39
Bibliothèque et Archives Canada 0 1 1
Bureau du Conseil privé 0 1 1
Bureau du Directeur général des élections du Canada 1 1 2
Centre national des Arts 1 0 1
Citoyenneté et Immigration Canada 4 18 22
Comité de surveillance des activités de renseignement de sécurité 0 1 1
Comité des griefs des Forces canadiennes 1 6 7
Commission canadienne d’examen des exportations de biens culturels 0 1 1
Commission de la capitale nationale 1 0 1
Commission de la fonction publique du Canada 2 0 2
Commission de l’immigration et du statut de réfugié 2 2 4
Commission des libérations conditionnelles du Canada 1 1 2
Commission des plaintes du public contre la GRC 0 2 2
Commission des relations de travail dans la fonction publique 2 1 3
Commission d’examen des plaintes concernant la police militaire 1 0 1
Conseil de recherches en sciences humaines 0 2 2
Conseil national de recherches du Canada 0 1 1
Défense nationale 41 74 115
Environment Canada 0 1 1
Gendarmerie royale du Canada 61 56 117
Industrie Canada 2 1 3
Justice Canada 3 6 9
Musée des beaux-arts du Canada 0 2 2
Office national de l’énergie 0 2 2
Passeport Canada 2 13 15
Patrimoine canadien 0 3 3
Pêches et Océans Canada 1 4 5
Ressources humaines et Développement des compétences Canada 11 15 26
Ressources naturelles Canada 1 5 6
Santé Canada 2 2 4
Secrétariat du Conseil du Trésor du Canada 3 2 5
Sécurité publique Canada 1 1 2
Service canadien du renseignement de sécurité 4 28 32
Service correctionnel du Canada 106 220 326
Service des poursuites pénales du Canada 1 4 5
Société canadienne des postes 13 9 22
Société Radio-Canada 0 2 2
Statistique Canada 6 2 8
Transports Canada 2 4 6
Travaux publics et Services gouvernementaux Canada 5 20 25
Tribunal des anciens combattants (révision et appel) 0 1 1
VIA Rail Canada 0 1 1
  315 671 986

Plaintes acceptées par province ou territoire

Province ou territoire Règlement rapide Plaintes officielles Total Pourcentage
Ontario 121 277 398 40.37%
Québec 52 164 216 21.91%
Colombie-Britannique 75 92 167 16.94%
Alberta 33 62 95 9.63%
Saskatchewan 10 20 30 3.04%
Manitoba 7 20 27 2.74%
Nouvelle-Écosse 9 12 21 2.13%
Nouveau-Brunswick 5 7 12 1.22%
International* 0 9 9 0.91%
Terre-Neuve-et-Labrador 0 5 5 0.51%
Aucune source indiquée 1 1 2 0.20%
Territoires du Nord-Ouest 1 0 1 0.10%
Nunavut 0 1 1 0.10%
Île-du-Prince-Édouard 1 0 1 0.10%
Yukon 0 1 1 0.10%
Total 315 671 986  
* Les citoyens canadiens, les résidents permanents, les détenus des pénitenciers canadiens et les autres personnes « présentes au Canada » ont le droit d’accéder à leurs renseignements personnels. Ces personnes ont donc également le droit de déposer une plainte au Commissariat si elles se voient refuser l’accès à leurs renseignements personnels. Les Canadiennes et Canadiens vivant à l’étranger ont les mêmes droits en matière d’accès et de plainte que ceux qui vivent au Canada, et neuf personnes ont choisi d’exercer ce droit en 2011-2012. Les dispositions des articles 4 à 8 de la Loi sur la protection des renseignements personnels, qui portent entre autres sur la collecte, l’utilisation, la communication, la conservation et le retrait des renseignements personnels, visent toutes les personnes au sujet desquelles le gouvernement recueille des renseignements personnels, peu importe leur citoyenneté ou leur pays de résidence. Toute personne peut déposer une plainte au Commissariat à ce sujet.

L'Ontario, où vit une proportion importante de la population canadienne, arrive encore au premier rang pour le plus grand nombre de plaintes. Le nombre de plaintes provenant de l'Ontario est passé de 213, en 2010-2011, à 398 en 2011-2012 (une augmentation de 87 %), et ce chiffre représente 40 % de toutes les plaintes acceptées par le Commissariat en 2011-2012. L'augmentation peut être attribuée au fait que de multiples plaintes ont été déposées par le même plaignant dans de nombreux cas.

Nous avons constaté une diminution du nombre de plaintes provenant de Terre-Neuve-et-Labrador, qui est passé de 24 à 5 en un an.

Nous avons aussi noté que le nombre de plaintes provenant de l'étranger a augmenté : il était de 9 en 2011-2012, alors qu'il n'était que de 2 l'année précédente.

Décision par type de plainte

Type de plainte Conclusions Autres décisions
Fondée Fondée et résolue Non fondée Résolue Abandonnée Réglée rapidement Réglée en cours d’enquêt Total
Accès 3 26 185 12 65 83 44 418
Correction/annotation 0 2 0 1 1 11 1 16
Langue 0 0 0 0 0 1 0 1
Frais 0 0 0 0 0 0 0 0
Total (Accès) 3 28 185 13 66 95 45 435
Délais 216 0 21 0 11 65 3 316
Correction-délais 1 0 0 0 1 0 0 2
Avis de prorogation 0 0 3 0 0 1 0 4
Total (Délais) 217 0 24 0 12 66 3 322
Collecte 1 2 7 0 0 16 2 28
Utilisation et communicationn 26 2 28 1 18 32 11 118
Conservation et retrait 0 0 4 0 0 4 2 10
Total (Protection des renseignements personnels) 27 4 39 1 18 52 15 156
Total (Dossiers de plaintes fermés) 247 32 248 14 96 213 63 913

Nous avons accepté presque le même nombre de plaintes que nous avons fermé de dossiers en 2011-2012 : 986 plaintes acceptées et 913 dossiers fermés.

Les 913 dossiers de plaintes fermés en 2011-2012 représentent une augmentation de 60 % par rapport à 2010-2011, alors que nous avions fermé 570 dossiers de plaintes.

Les 913 dossiers de plaintes fermés comprennent 213 plaintes résolues en recourant au règlement rapide (23 % des dossiers de plaintes fermés).

Accès : Les plaintes relatives à l’accès aux renseignements personnels constituaient la catégorie la plus courante de dossiers que nous avons fermés l’an dernier — 435 plaintes au total, dont 48 % de tous les dossiers de plaintes fermés. Pour presque la moitié du nombre total de dossiers fermés (43 %), il a été déterminé que la plainte n’était pas fondée. Parmi les autres plaintes ayant fait l’objet d’une enquête, 28 ont été jugées fondées et résolues; 13 autres ont fait l’objet d’une enquête et ont été jugées fondées, mais elles ont été résolues dans le cadre de négociations plutôt que de donner lieu à une conclusion officielle; enfin, 3 plaintes ont été jugées fondées. Pour les 206 autres dossiers dans lesquels d’autres décisions ont été rendues, 95 plaintes ont été résolues dans le cadre du processus de règlement rapide, 66 plaintes ont été abandonnées et les 45 dossiers qui restent ont été réglés en cours d’enquête.

Délais : Les plaintes au sujet du temps que prennent les institutions pour répondre aux demandes d’accès aux renseignements personnels étaient, par ordre d’importance, le deuxième type de plaintes que nous avons clos le plus fréquemment l’an dernier — 322 plaintes au total, soit 35 % du nombre de cas. La plupart des plaignants s’adressent à nous une fois que le délai prescrit pour répondre à leur demande est effectivement échu et, par conséquent, 217 de ces plaintes (67 %) étaient fondées.

Protection des renseignements personnels : Les cas portant sur la collecte, l’utilisation, la communication, la conservation ou le retrait de renseignements personnels ont représenté 156 plaintes, soit 17 % du nombre de dossiers clos en 2011-2012. Nos enquêtes ont révélé que 27 plaintes étaient fondées et que 39 étaient non fondées. Il vaut la peine de mentionner que nous avons réussi à régler un tiers de ces dossiers (52) par le biais du processus de règlement rapide. La grande majorité des plaintes relatives à la protection des renseignements personnels concernait l’utilisation ou la communication inappropriée de renseignements personnels.

Décision à l’égard des plaintes relatives aux délais par institution

Institution Fondée Fondée et résolue Non fondée Résolue Abandonnée Réglée rapidement Réglée en cours d’enquête Total
Affaires autochtones et Développement du Nord Canada 3 0 0 0 0 0 0 3
Affaires étrangères et Commerce international Canada 3 0 0 0 0 0 0 3
Agence canadienne de développement international 1 0 0 0 0 0 0 1
Agence des services frontaliers du Canada 7 0 1 0 0 1 0 9
Agence du revenu du Canada 14 0 0 0 4 3 0 21
Anciens Combattants Canada 6 0 0 0 0 1 0 7
Bureau du Conseil privé 1 0 0 0 0 0 0 1
Citoyenneté et Immigration Canada 4 0 1 0 1 3 0 9
Comité des griefs des Forces canadiennes 0 0 0 0 0 1 0 1
Commission des plaintes du public contre la GRC 1 0 0 0 0 0 0 1
Défense nationale 33 0   0 1 19   53
Gendarmerie royale du Canada 7 0 3 0 2 7 1 20
Office national de l’énergie 1 0 0 0 0 0 0 1
Justice Canada 1 0 0 0 0 0 0 1
Patrimoine canadien 1 0 0 0 0 0 0 1
Pêches et Océans Canada 1 0 0 0 0 0 0 1
Ressources humaines et Développement des compétences Canada 4 0 0 0 0 1 0 5
Ressources naturelles Canada 1 0 1 0 0 0 0 2
Santé Canada 4 0 0 0 0 1 0 5
Secrétariat du Conseil du Trésor du Canada 0 0 2 0 0 0 0 2
Service canadien du renseignement de sécurité 1 0 0 0 0 1 0 2
Service correctionnel du Canada 118 0 12 0 4 23 2 159
Service des poursuites pénales du Canada 0 0 0 0 0 1 0 1
Société canadienne des postes 2 0 2 0 0 0 0 4
Transports Canada 3 0 0 0 0 0 0 3
Travaux publics et Services gouvernementaux Canada 2 0 0 0 0 2 0 5
Tribunal canadien des droits de la personne 0 0 2 0 0 0 0 2
Total 217 0 24 0 12 66 3 322

Décision à l’égard des plaintes relatives à l’accès ou à la protection des renseignements personnels par institution

Institution Fondée Fondée et résolue Non fondée Résolue Abandonnée Réglée rapidement Réglée en cours d’enquête Total
Administration canadienne de la sûreté du transport aérien 0 0 0 0 0 1 0 1
Affaires autochtones et Développement du Nord Canada 2 1 0 0 0 1 0 4
Affaires étrangères et Commerce international Canada 0 0 2 1 0 0 2 5
Agence canadienne d’inspection des aliments 0 0 1 0 2 0 0 3
Agence de la santé publique du Canada 0 0 0 0 1 0 0 1
Agence des services frontaliers du Canada 3 1 19 0 11 4 3 41
Agence du revenu du Canada 3 1 17 0 12 9 3 45
Agence spatiale canadienne 0 0 1 0 0 0 0 1
Anciens Combattants Canada 4 0 3 0 5 6 0 18
Banque de développement du Canada 0 0 0 0 1 0 0 1
Bibliothèque et Archives Canada 0 0 1 0 0 0 0 1
Bureau du Directeur général des élections du Canada 0 0 1 0 0 1 0 2
Centre d’analyse des opérations et déclarations financières du Canada 0 0 2 0 0 0 0 2
Centre national des Arts 0 0 0 0 0 1 0 1
Citoyenneté et Immigration Canada 1 2 7 1 1 0 1 13
Comité des griefs des Forces canadiennes 0 0 0 0 0 0 5 5
Commissariat à l’information du Canada 1 0 0 0 1 0 1 3
Commission de la capitale nationale 0 0 0 0 1 0 0 1
Commission de la fonction publique du Canada 0 0 0 0 0 1 0 1
Commission de l’immigration et du statut de réfugié 1 0 0 0 1 1 1 4
Commission des libérations conditionnelles du Canada 0 0 2 0 0 1 0 3
Commission des plaintes du public contre la GRC 0 0 0 0 0 0 1 1
Commission des relations de travail dans la fonction publique 1 0 0 0 0 2 0 3
Commission d’examen des plaintes concernant la police militaire 0 0 0 0 0 1 0 1
Conseil de la radiodiffusion et des télécommunications canadiennes 0 0 0 0 0 1 0 1
Conseil de recherches en sciences humaines 0 0 1 1 0 0 0 2
Défense nationale 2 7 17 2 7 8 5 48
Diversification de l’économie de l’Ouest Canada 0 0 1 0 0 0 0 1
Gendarmerie royale du Canada 2 5 39 4 6 40 3 99
Industrie Canada 1 0 0 1 0 1 0 3
Justice Canada 2 0 4 1 1 1 0 9
Passeport Canada 0 0 0 0 1 2 1 4
Patrimoine canadien 0 0 0 0 1 0 0 1
Pêches et Océans Canada 0 0 2 0 2 1 0 5
Ressources humaines et Développement des compétences Canada 2 2 9 0 3 7 1 24
Ressources naturelles Canada 0 0 0 0 2 1 0 3
Santé Canada 0 0 2 0 1 0 0 3
Secrétariat du Conseil du Trésor du Canada 0 0 0 0 0 3 0 3
Sécurité publique Canada 0 0 2 0 0 1 0 3
Service canadien du renseignement de sécurité 0 0 25 0 1 2 0 28
Service correctionnel du Canada 3 9 50 1 22 32 28 145
Société canadienne des postes 1 1 6 1 0 8 3 20
Société Radio-Canada 0 1 0 0 1 0 0 2
Statistique Canada 0 0 1 0 0 5 1 7
Transports Canada 0 2 3 0 0 2 0 7
Travaux publics et Services gouvernementaux Canada 0 0 5 1 0 3 0 9
Tribunal canadien des droits de la personne 1 0 0 0 0 0 0 1
Tribunal des anciens combattants (révision et appel) 0 0 0 0 0 0 1 1
VIA Rail Canada 0 0 1 0 0 0 0 1
Total 30 32 224 14 84 147 60 591

Durée de traitement

Dossiers de règlement rapide par type de plainte

Type de plainte Nombre de dossiers Délais de traitement moyens (en mois)
Accès 83 2,19
Délais 65 1,35
Utilisation et communication 32 2,38
Collecte 16 1,94
Correction/annotation 4 3,50
Conservation et retrait 11 0,73
Avis de prorogation 1 2,00
Langue 1 1,00
Total 213 1,89

Remarque sur les délais de traitement : Dans les rapports annuels précédents, nous rendions compte de la durée de traitement des plaintes en calculant cette durée à partir de la date de réception de la plainte — la date réelle à laquelle le Commissariat recevait une plainte. Cependant, cette façon de procéder faisait en sorte que les délais de traitement étaient artificiellement élevés dans certains cas où nous n’avions pas reçu suffisamment d’information pour entreprendre une enquête. En 2011, nous avons modifié notre processus de réception et révisé la définition du délai de traitement. Ce délai est maintenant calculé à partir de la date où une plainte est acceptée jusqu’à la date à laquelle l’enquête se termine, que ce soit par la formulation de conclusions ou par un autre moyen. Autrement dit, désormais, nous rendons compte du délai de traitement en nous fondant sur la date d’acceptation de la plainte — c’est-à-dire lorsque le Commissariat a reçu assez d’information pour que le dossier de plainte soit jugé complet et suffisamment clair pour entreprendre une enquête.

Durée de traitement

Enquêtes officielles par type de plainte

Type de plainte Nombre de dossiers Délais de traitement moyens (en mois)
Accès 335 8,16
Délais 251 4,41
Utilisation et communication 86 8,24
Collecte 12 10,00
Conservation et retrait 6 11,00
Correction/annotation 5 12,80
Avis de prorogation 3 3,00
Correction — délais 2 3,00
Total 700 7,58

Durée de traitement

Tous les dossiers fermés par décision

Décision Nombre de dossiers Délais de traitement moyens (en mois)
Non fondée 248 8,55
Fondée 247 5,24
Réglée rapidement 213 1,93
Abandonnée 96 7,39
Réglée en cours d’enquête 63 4,86
Fondée et résolue 32 10,45
Résolue 14 11,57
Total 913 5,76

La durée de traitement est calculée à partir de la date où la plainte est acceptée jusqu’à la date à laquelle l’enquête se termine, que ce soit par la formulation de conclusions ou par un autre moyen. Comme il a été indiqué précédemment, cette définition est différente de celle des années précédentes.

Le délai de traitement moyen pour terminer une enquête et pour les dossiers réglés rapidement(913 dossiers en tout) a chuté à 5,8 mois l’an dernier. En 2010-2011, le délai de traitement moyen avait été de 7,2 mois pour régler 570 dossiers.

L’accent que nous avons mis sur les stratégies de règlement rapide et l’élimination d’un arriéré de plaintes nous ont permis de réduire considérablement le délai de traitement de toutes les plaintes ces dernières années.

Le délai de traitement moyen pour les enquêtes officielles (en ne tenant pas compte des cas de règlement rapide) est passé à 7,6 mois (700 plaintes) en 2011-2012, alors qu’il était de 8,0 mois (492 plaintes) en 2010-2011.

Date de modification :