Protéger la vie privée pendant une pandémie

Rapport spécial au Parlement

Le 30 mai 2023

---

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)  K1A 1H3

Sans frais : 1-800-282-1376
Téléphone : 819-994-5444
ATS : 819-994-6591

© Sa Majesté le Roi du chef du Canada, pour le Commissariat à la protection de la vie privée du Canada, 2023

IP54-113/2023F-PDF
978-0-660-47988-0

---

Lettre à la présidente du Sénat

PAR COURRIEL

Le 30 mai 2023

L’honorable Raymonde Gagné, sénatrice
Présidente du Sénat
Sénat du Canada
Ottawa (Ontario)  K1A 0A4

Madame la Présidente,

J’ai l’honneur de présenter au Parlement le rapport spécial du Commissariat à la protection de la vie privée du Canada intitulé Protéger la vie privée pendant une pandémie. Ce dépôt se fait en vertu du paragraphe 39(1) de la Loi sur la protection des renseignements personnels.

Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.

Le Commissaire,

---

Lettre au président de la Chambre des communes

PAR COURRIEL

Le 30 mai 2023

L’honorable Anthony Rota, député
Président de la Chambre des communes
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Monsieur le Président,

J’ai l’honneur de présenter au Parlement le rapport spécial du Commissariat à la protection de la vie privée du Canada intitulé Protéger la vie privée pendant une pandémie. Ce dépôt se fait en vertu du paragraphe 39(1) de la Loi sur la protection des renseignements personnels.

Je vous prie d’agréer, Monsieur le Président, l’assurance de ma considération distinguée.

Le Commissaire,

---

Message du Commissaire

En ma qualité de commissaire à la protection de la vie privée du Canada, je suis heureux de présenter au Parlement un rapport spécial qui fait état des résultats de plusieurs enquêtes et consultations sur les moyens pris par le gouvernement fédéral pour protéger la vie privée dans le cadre des mesures adoptées durant la pandémie de COVID-19.

La pandémie a évolué rapidement et a déclenché une crise de santé publique sans précédent. Ses contrecoups se sont durement fait sentir dans nos vies et dans le monde entier. La question de la protection des renseignements personnels dans ce contexte est alors devenue un sujet important. La technologie a certes joué un rôle clé en aidant le gouvernement et les autorités de santé publique à agir sans tarder pour faire face à cette crise, s’y adapter et prévoir son évolution. Toutefois, l’utilisation accrue de la technologie et la numérisation de plusieurs aspects de la vie quotidienne, malgré des avantages indéniables, ont eu de grandes répercussions sur la vie privée. Il fallait donc s’y pencher.

La protection de la vie privée est importante pour la population canadienne. Dans notre plus récent sondage, 40 % des personnes interrogées ont déclaré que la protection de la vie privée les préoccupait davantage aujourd’hui qu’au début de la pandémie. Cela est inquiétant. Les Canadiennes et les Canadiens doivent avoir l’assurance que leur droit à la vie privée est dûment pris en compte et protégé. Les organisations devraient en faire une priorité : lorsque les gens ont l’assurance que leurs renseignements personnels sont protégés, on renforce par le fait même la confiance nécessaire envers les institutions et les initiatives qu’elles mettent en œuvre.

Tout au long de la pandémie, le Commissariat a offert des conseils essentiels aux organisations des secteurs public et privé. Nous avons examiné leurs pratiques de protection de la vie privée et veillé à ce que les mesures prises pour réagir à la crise soient conformes aux lois en la matière. À cet égard, nous avons publié un cadre permettant d’évaluer les initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée, ainsi qu’un document d’orientation destiné à aider les organisations à comprendre leurs obligations dans les circonstances. Selon nous, même en situation de crise sanitaire, les lois sur la protection des renseignements personnels et autres mesures de protection sont toujours en vigueur et ne devraient pas être considérées comme un obstacle à une collecte, une utilisation et une communication appropriées de renseignements. Cependant, il convient d’adopter une approche souple et contextuelle dans l’application de ces lois.

Nous avons demandé aux institutions publiques de continuer de se conformer aux lois et d’agir de façon responsable, en particulier pour ce qui est du traitement de renseignements qui peuvent être considérés comme sensibles, tels que ceux sur la santé. Les institutions devaient faire en sorte que les initiatives ayant une incidence sur la vie privée soient nécessaires et proportionnelles pour atteindre un objectif précis et soient limitées dans le temps. Elles devaient prendre les moyens qui s’imposent pour protéger adéquatement les renseignements personnels. Et elles devaient adopter des mesures claires de transparence et de responsabilité afin que les personnes visées puissent savoir comment leurs renseignements personnels sont recueillis, utilisés et communiqués, et ainsi avoir confiance dans le processus.

Le Commissariat a reçu une centaine de plaintes officielles liées à la crise de la COVID‑19. D’autres préoccupations quant à la protection de la vie privée ont aussi été exprimées dans les médias et devant des comités parlementaires. Les résultats de nos enquêtes, que nous rendons publics dans le présent rapport spécial, révèlent que la collecte, l’utilisation, la communication et la conservation des renseignements personnels par les institutions fédérales étaient conformes à la Loi sur la protection des renseignements personnels, à quelques exceptions près. Nous avons aussi relevé certaines choses à améliorer, des lacunes ou des faiblesses, et dégagé des leçons à retenir de la pandémie, la plus déterminante étant celle-ci : il est nécessaire de moderniser nos lois afin que les institutions gouvernementales soient légalement tenues de démontrer la nécessité et la proportionnalité de toute collecte de renseignements personnels, et afin d’encadrer l’utilisation de renseignements dépersonnalisés.

La pandémie de COVID-19 a eu des répercussions sur presque tous les aspects de notre vie au cours des dernières années, et ces répercussions se feront sentir encore longtemps. Rappelons-nous que la protection de la vie privée est essentielle à la dignité des personnes et à la pleine jouissance des autres droits et libertés. Il est primordial que le gouvernement protège notre droit fondamental à la vie privée, même en situation de crise ou d’urgence : c’est ainsi qu’on renforce la confiance envers nos institutions pour atteindre des objectifs importants d’intérêt public.

---

Introduction

En mars 2020, l’Organisation mondiale de la Santé (OMS) a déclaré une pandémie mondiale. Les efforts déployés pour contenir le virus de la COVID-19 et faire face aux contrecoups sociaux et économiques de la pandémie se sont traduits par des changements brusques et colossaux dans le monde entier. En réponse à cette crise sanitaire majeure, le gouvernement du Canada a mis en place des mesures de santé publique dont certaines ont donné lieu à la collecte, à l’utilisation et à la communication de renseignements personnels. Ces mesures visaient notamment à : i) faire le suivi de la propagation du virus, ii) appliquer la Loi sur la mise en quarantaine et d’autres mesures aux frontières du Canada, iii) offrir des prestations et relancer l’économie, et iv) gérer les pratiques de travail à distance des fonctionnaires et le retour éventuel de ceux-ci dans les espaces de travail fédéraux.

Le Commissariat à la protection de la vie privée du Canada a pour mandat de protéger le droit à la vie privée et de veiller au respect des lois canadiennes sur la protection des renseignements personnels applicables aux secteurs public et privé. Tout au long de la pandémie de COVID-19, le Commissariat a joué un rôle important pour protéger le droit à la vie privée : en menant des enquêtes sur le traitement des renseignements personnels par le secteur public fédéral à la suite de plaintes déposées par des particuliers, en consultant et conseillant le gouvernement et le secteur privé au sujet d’un large éventail de propositions et d’initiatives en matière de santé et de sécurité susceptibles de porter atteinte à la vie privée, en élaborant des politiques, en collaborant avec ses homologues nationaux et internationaux, et en échangeant des renseignements et des pratiques exemplaires.

Au début de la crise, le Commissariat a produit un document d’orientation sur la protection de la vie privée et l’éclosion de la COVID-19, qui visait à répondre aux questions sur la vie privée pendant une pandémie et à donner un aperçu général des lois fédérales qui s’appliquent dans ce contexte. Peu de temps après, le Commissariat a publié un cadre pour l’évaluation des initiatives en réponse à la COVID-19, puisque diverses autorités gouvernementales avaient commencé à décrire avec plus de précision les programmes et les initiatives qu’elles entendaient mettre en œuvre en réponse à la pandémie.

« La protection de la vie privée ne se limite pas à une série de règles techniques et de règlements. Elle représente plutôt un impératif constant de préserver les droits fondamentaux de la personne et les valeurs démocratiques, même dans les situations exceptionnelles », a déclaré le Commissariat lors du lancement du cadre.

Le cadre énonçait les principes clés de protection de la vie privée que les institutions fédérales devaient prendre en compte dans l’évaluation de toute mesure proposée pour lutter contre la COVID-19, dont les suivants :

• conformité à la loi : les mesures proposées doivent avoir une assise juridique claire;
• nécessité et proportionnalité : les mesures doivent être nécessaires et proportionnelles, donc être fondées sur la science et être nécessaires à une fin particulière déterminée;
• finalité : les renseignements personnels ne doivent être utilisés que pour des fins précises visant la protection de la santé publique, et pour aucune autre fin;
• dépersonnalisation et autres mesures de sécurité des renseignements personnels : des données dépersonnalisées ou agrégées doivent être utilisées dans la mesure du possible;
• populations vulnérables : les mesures exceptionnelles devraient être d’une durée limitée et les données recueillies durant la période visée devraient être détruites à la fin de la crise, puisque ces données peuvent être particulièrement sensibles et avoir des répercussions disproportionnées sur les populations vulnérables;
• transparence et responsabilité : le gouvernement devrait communiquer à la population canadienne de l’information claire et détaillée sur le fondement des mesures exceptionnelles, ainsi que sur les modalités applicables dans ce contexte, et en assumer la responsabilité.

En situation de crise sanitaire, les lois sur la protection des renseignements personnels et autres mesures de protection sont toujours en vigueur sans faire obstacle à une collecte, une utilisation et une communication de renseignements appropriée. En effet, quand on tient compte de la vie privée et qu’on la protège adéquatement – même (et surtout) dans des situations exceptionnelles –, on favorise le maintien de la confiance dans nos institutions et on s’assure que les droits fondamentaux sont respectés.

Le présent rapport spécial porte sur les enquêtes qui ont été menées à la suite de plaintes en lien avec la COVID-19 à la fin de 2021 et en 2022. Nous y présentons également les consultations que nous avons menées auprès d’organismes gouvernementaux au cours des 3 dernières années, ainsi que nos principales observations et les leçons à retenir de cette pandémie.

Dans l’ensemble, à quelques exceptions près, nous avons constaté que la réponse du gouvernement à la pandémie était conforme aux exigences prévues par la Loi sur la protection des renseignements personnels, et qu’elle était nécessaire et proportionnelle compte tenu de la situation, soit une crise sanitaire sans précédent. Cependant, en vue de mieux protéger la vie privée advenant qu’une situation similaire se présente à nouveau, nous avons aussi dégagé certaines leçons à retenir et formulé des recommandations prospectives concernant la détermination des fins, ainsi que l’évaluation et la consignation des mesures pouvant constituer une ingérence moins importante dans la vie privée.

Dans un dossier concernant l’application ArriveCAN, nous avons constaté une infraction à la Loi sur la protection des renseignements personnels, parce que des mesures insuffisantes avaient été prises pour garantir l’exactitude des renseignements contenus dans l’application, ce qui a fait en sorte que des personnes entièrement vaccinées avaient été avisées à tort qu’elles devaient se mettre en quarantaine.

Pour en savoir davantage (site Web du Commissariat)

Le commissaire publie un document d’orientation sur la protection de la vie privée et l’éclosion de la COVID-19

Le commissaire publie un cadre d’évaluation des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée

Appuyer la santé publique et bâtir la confiance des Canadiens : principes de protection de la vie privée et des renseignements personnels pour les applications de traçage des contacts et autres applications similaires

---

Enquêtes

Le Commissariat a mené des enquêtes sur plus de 100 plaintes déposées par des Canadiennes et des Canadiens au sujet de l’obligation de fournir leur statut vaccinal contre la COVID-19 comme condition pour entrer au Canada, voyager à l’intérieur du pays en avion ou en train, ou être employés du gouvernement fédéral. Même si la plupart étaient surtout préoccupés par l’obligation vaccinale en elle-même, des plaignants ont aussi exprimé leur inquiétude quant à la manière dont les renseignements personnels recueillis aux fins de la gestion de la pandémie étaient protégés contre la communication excessive ou l’utilisation à des fins secondaires, et quant à la durée de conservation de leurs renseignements.

Nous avons également mené une enquête sur des plaintes concernant les données recueillies par l’Agence de la santé publique du Canada (ASPC) sur les habitudes de déplacement des gens dans le contexte de différentes mesures de santé publique. Ces données avaient été obtenues à partir de données mobiles de localisation dépersonnalisées et agrégées.

Enfin, nous présentons les résultats de notre enquête sur une erreur survenue dans l’application ArriveCAN, laquelle a fait en sorte que des milliers de personnes ont reçu des notifications erronées de mise en quarantaine, ainsi que les résultats d’une enquête menée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), applicable au secteur privé, où nous avons conclu à une violation de la Loi.

Dans le cadre de ces enquêtes, les principes clés énoncés dans notre cadre et notre document d’orientation relatifs à la COVID-19 nous ont servi de guide. Nous avons aussi tenu compte du contexte particulier, à savoir qu’il y avait un besoin pressant d’agir pour protéger la santé de la population canadienne pendant la crise, tout en assurant la protection du droit fondamental à la vie privée.

1. Obligation vaccinale pour les voyages à l’intérieur du pays

De novembre 2021 à juin 2022, Transports Canada a rendu une série d’arrêtés obligeant les passagers qui voyageaient à l’intérieur du Canada par avion ou par train à présenter une preuve indiquant qu’ils étaient entièrement vaccinés. Le Commissariat a reçu 18 plaintes en vertu de la Loi sur la protection des renseignements personnels selon lesquelles la collecte de renseignements personnels dans ce contexte – plus précisément sur le statut vaccinal d’un particulier contre la COVID-19 – était illégale et constituait une restriction déraisonnable et injustifiée de la liberté de circulation. Selon certaines plaintes, les vaccins contre la COVID-19 étaient inefficaces et les tests de dépistage ou l’immunité naturelle constituaient des solutions de rechange raisonnables.

Soulignons que nous n’avons pas évalué si les exigences en matière de vaccination constituaient une restriction injustifiée de la liberté de circulation des individus, qui est garantie par la Charte canadienne des droits et libertés, car cette question ne relève pas de notre mandat.

Nous avons constaté que la collecte de renseignements personnels par VIA Rail, l’Administration canadienne de la sûreté du transport aérien (ACSTA) et Transports Canada en application de ces arrêtés était conforme à la Loi sur la protection des renseignements personnels, car elle était directement liée aux programmes de ces organisations visant à assurer la santé et la sécurité à bord des avions et des trains.

Nous avons également évalué la collecte de renseignements sur le statut vaccinal en fonction du principe de nécessité et de proportionnalité. Bien qu’il ne s’agisse pas d’une exigence prévue par la Loi sur la protection des renseignements personnels, la nécessité et la proportionnalité constituent un principe de protection de la vie privée auquel souscrit fermement le Commissariat. Ce principe est enchâssé dans les lois sur la protection des renseignements personnels de nombreuses autres juridictions, y compris plusieurs provinces canadiennes. Par ailleurs, la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor du Canada (SCT) indique qu’il faut limiter la collecte de renseignements personnels à ceux qui sont manifestement nécessaires.

Notre enquête a révélé qu’à l’automne 2021, avant la mise en place de l’obligation vaccinale contre la COVID-19 pour les voyages à l’intérieur du pays, le gouvernement fédéral disposait d’éléments probants indiquant que la COVID-19 présentait un risque grave pour la santé et que les vaccins contre la COVID-19 étaient efficaces pour réduire à la fois le risque de propagation du virus et le risque de maladie grave en cas d’infection. Mis à part certaines lacunes que nous expliquons ci-dessous, nous avons conclu que, dans l’ensemble, la collecte de renseignements personnels par VIA Rail, l’ACSTA et Transports Canada en application des arrêtés était nécessaire et proportionnelle. L’exigence de présenter une preuve de vaccination a contribué de manière efficace à l’atteinte des objectifs qui consistaient à assurer la sûreté des transports, en réduisant le risque de maladie grave pour les voyageurs. Également, les avantages pour les voyageurs étaient proportionnels à la perte de vie privée causée par la communication de leur statut vaccinal.

Lacunes dans l’évaluation de la nécessité et de la proportionnalité

Bien que nous ayons constaté que, dans l’ensemble, la collecte de renseignements personnels dans le cadre de l’obligation vaccinale était nécessaire et proportionnelle, nous avons relevé 2 lacunes dans l’évaluation de la nécessité et de la proportionnalité menée par Transports Canada.

Premièrement, nous avons constaté que l’objectif général des arrêtés, c’est-à-dire assurer la sûreté des transports, était vaste et qu’il y avait là un risque que des facteurs inappropriés ou non pertinents soient pris en compte dans l’évaluation de la nécessité et de la proportionnalité des arrêtés. Transports Canada a d’abord indiqué au Commissariat, dans l’examen de toute modification apportée aux arrêtés, que des facteurs comme celui de la « couverture vaccinale pour favoriser une plus grande protection de la société » avaient été pris en considération. Transports Canada a par la suite précisé que ce facteur était pris en compte par l’ASPC dans ses conseils à l’intention des ministères fédéraux, et que l’augmentation de la couverture vaccinale au Canada n’était pas l’un des objectifs des arrêtés. Toutefois, dans un communiqué de presse publié le 13 août 2021, le gouvernement du Canada a déclaré ce qui suit au sujet de la vaccination des employés fédéraux et du secteur des transports : « Ces mesures contribueront à atteindre les niveaux globaux de vaccination dont le Canada a besoin pour soutenir une reprise économique résiliente face aux préoccupants variants du virus, car ils sont plus contagieux et plus dangereux. »

De plus, compte tenu de la vaste portée de l’objectif d’assurer la sûreté des transports, aucune distinction n’a été faite entre ce qui peut être approprié pour protéger les individus contre les risques auxquels ils sont exposés en raison d’autres personnes, et les risques auxquels les individus acceptent de s’exposer eux-mêmes. Cette distinction est devenue importante au printemps 2022, car l’efficacité des vaccins contre la COVID-19 pour prévenir la transmission à d’autres personnes a diminué au fil du temps, tandis que les vaccins sont demeurés efficaces pour réduire le risque de maladie grave pour les individus eux-mêmes. Par conséquent, nous avons recommandé à Transports Canada, s’il envisage une collecte obligatoire de renseignements personnels à l’avenir aux fins d’assurer la sûreté des transports, de définir plus clairement les objectifs visés et la portée de telles mesures.

Deuxièmement, Transports Canada a indiqué qu’il avait évalué des solutions de rechange qui auraient pu constituer une ingérence moins importante dans la vie privée, mais n’a présenté au Commissariat qu’un petit nombre de documents à l’appui de cette évaluation. Par exemple, Transports Canada n’a pas fourni au Commissariat d’éléments probants démontrant qu’il avait envisagé les tests de dépistage de la COVID-19 comme solution de rechange à la présentation d’une preuve de vaccination au-delà du délai de grâce initial d’un mois, malgré le fait qu’il avait accès à des données à ce sujet, comme les données de l’ASPC sur les résultats des tests de dépistage de la COVID-19 à la frontière.

Même si l’utilisation de tests de dépistage comme solution de rechange peut réduire le risque d’infecter d’autres voyageurs ou les travailleurs du secteur des transports (c.-à-d. le risque qu’une personne pose pour autrui), ces tests ne réduisent pas le risque de souffrir d’une maladie grave (c.-à-d. le risque pour la personne), ce qui était l’un des objectifs de Transports Canada dans le cadre de l’objectif général d’assurer la sûreté des transports. Par conséquent, nous avons conclu que l’exigence de passer un test de dépistage n’aurait pas été aussi efficace que l’exigence de présenter une preuve de vaccination pour atteindre cet objectif.

Néanmoins, si Transports Canada envisage de prendre des mesures semblables à l’avenir, nous avons recommandé qu’il définisse plus clairement la portée du but visé ainsi que les conséquences et les objectifs prévus de telles mesures, et qu’il examine et consigne dans ses dossiers son évaluation des solutions de rechange qui pourraient constituer une ingérence moins importante dans la vie privée. Transports Canada a accepté nos recommandations.

Le traitement des renseignements personnels recueillis était raisonnable

Nos enquêtes ont aussi porté sur le traitement des renseignements personnels recueillis par le gouvernement dans le cadre de l’obligation vaccinale pour les voyages à l’intérieur du pays. À ce chapitre, nous avons constaté que les pratiques de Transports Canada, de l’ACSTA et de VIA Rail étaient adéquates.

Plus précisément, nous n’avons trouvé aucune indication de communication excessive des renseignements personnels recueillis par les institutions ni d’utilisation de renseignements personnels à des fins secondaires inappropriées. D’après ce que nous avons pu constater, Transports Canada a pris les mesures qui s’imposaient pour que les exigences relatives à l’échange de renseignements conformément aux arrêtés soient clairement énoncées, et il a réduit au minimum la quantité de renseignements conservés en donnant la consigne aux transporteurs ferroviaires et aériens de vérifier les preuves de vaccination des individus sans les conserver.

Pour en savoir davantage (site Web du Commissariat)

Vaccination obligatoire pour les voyages intérieurs

2. Obligation vaccinale pour les voyageurs entrant au Canada

Du 5 juillet 2021 au 30 septembre 2022, les décrets d’urgence adoptés par le gouvernement fédéral en vertu de la Loi sur la mise en quarantaine exigeaient des voyageurs qu’ils présentent une preuve indiquant qu’ils étaient entièrement vaccinés pour pouvoir entrer au Canada sans être mis en quarantaine, à quelques exceptions près. Nous avons reçu des plaintes de la part de 12 personnes relativement à cette exigence. Ces plaintes étaient semblables à celles concernant l’exigence vaccinale pour les voyages à l’intérieur du pays. Certains plaignants ont également demandé que leurs renseignements soient éliminés et ont affirmé que la conservation des renseignements personnels par l’Agence des services frontaliers du Canada (ASFC) et l’ASPC était inutile.

Nous avons constaté que l’ASFC et l’ASPC se sont conformées à la Loi sur la protection des renseignements personnels : la collecte de renseignements personnels avait un lien direct avec l’administration et l’exécution des décrets de quarantaine, les renseignements personnels étaient utilisés et communiqués à des fins autorisées par la Loi, et les mesures de conservation respectaient l’exigence en matière de retrait qui est prévue dans la Loi sur la protection des renseignements personnels, le Règlement sur la protection des renseignements personnels et la Directive sur les pratiques relatives à la protection de la vie privée du SCT.

Nous avons également évalué si la collecte de ces renseignements personnels était nécessaire et proportionnelle. Mis à part certaines lacunes que nous abordons ci-dessous, nous avons trouvé que, dans l’ensemble, les collectes étaient nécessaires et proportionnelles dans les circonstances. Plus particulièrement, les décrets d’urgence ont été publiés en réponse à une crise sanitaire majeure afin de réduire le risque d’introduction et de propagation de la COVID-19 au Canada. Cela a également permis d’atteindre l’objectif plus vaste de protéger la santé et la sécurité des Canadiennes et des Canadiens en atténuant une charge potentielle sur le système de soins de santé. D’après ce que nous avons constaté, la mesure visant à recueillir des renseignements sur le statut vaccinal des voyageurs était efficace pour répondre à ce besoin et, dans l’ensemble, la perte de vie privée subie par les voyageurs était proportionnelle au besoin auquel il fallait répondre.

Lacunes dans l’évaluation de la nécessité et de la proportionnalité

Notre enquête a permis de relever des lacunes dans l’évaluation qu’a faite l’ASPC des solutions de rechange qui auraient pu constituer une ingérence moins importante dans la vie privée, ainsi que des enjeux connexes en ce qui concerne la clarté des objectifs, au cours des 6 derniers mois des arrêtés. Durant cette période, les voyageurs internationaux entièrement vaccinés n’étaient plus tenus de subir des tests de dépistage avant l’arrivée, alors que l’exigence est demeurée en place pour les voyageurs non entièrement vaccinés. Pour la période en question, l’ASPC a indiqué au Commissariat qu’aux points d’entrée terrestres, le taux de positivité des tests de dépistage de la COVID-19 était relativement semblable entre le groupe de voyageurs entièrement vaccinés et le groupe de voyageurs qui n’étaient pas entièrement vaccinés mais qui avaient obtenu un résultat négatif au test de dépistage. Pour les voyageurs qui entraient au Canada par voie aérienne, le taux de positivité était systématiquement plus élevé chez les voyageurs entièrement vaccinés que chez les voyageurs non entièrement vaccinés qui avaient obtenu un résultat négatif au test de dépistage avant l’arrivée. D’après l’ASPC, cela donnait à penser que le test de dépistage avant l’arrivée permettait efficacement de réduire l’introduction de la COVID-19 au Canada.

Le fait que l’ASPC a recueilli des données sur l’efficacité du test de dépistage avant l’arrivée et en a tiré des conclusions constitue un pas dans la bonne direction. Toutefois, comme dans notre enquête sur l’obligation vaccinale pour les voyages à l’intérieur du pays, l’ASPC n’a pas démontré qu’elle avait envisagé des solutions de rechange qui auraient pu constituer une ingérence moins importante dans la vie privée, comme donner le choix aux voyageurs de fournir un résultat négatif à un test de dépistage avant l’arrivée ou de présenter une preuve de vaccination, pour pouvoir entrer au Canada sans devoir se mettre en quarantaine après le 1er avril 2022.

L’ASPC a soutenu que l’objet de la Loi sur la mise en quarantaine, selon lequel l’objectif de l’arrêté est « […] la protection de la santé publique au moyen de mesures exhaustives visant à prévenir l’introduction et la propagation de maladies transmissibles », suppose nécessairement qu’il ne s’agit pas seulement de réduire l’introduction d’une maladie au Canada, mais aussi de prendre des mesures pour en réduire la gravité ou l’incidence dans les cas où il n’a pas été possible d’en arrêter complètement l’introduction ou la propagation.

Nous avons recommandé à l’ASPC, si elle envisageait des collectes obligatoires de renseignements personnels à l’avenir, d’examiner et de consigner dans ses dossiers son évaluation des solutions de rechange qui auraient pu constituer une ingérence moins importante dans la vie privée en fonction d’objectifs qui sont clairement définis. L’ASPC a accepté notre recommandation. Par ailleurs, si la Loi sur la mise en quarantaine devait être revue au terme de la pandémie, nous encourageons le Parlement à préciser explicitement la portée de l’objet de la Loi sur la mise en quarantaine.

Pour en savoir davantage (site Web du Commissariat)

Obligation vaccinale pour les voyageurs entrant au Canada

3. Enquêtes liées à l’exigence pour les employés fédéraux de fournir une attestation de vaccination

Le Commissariat a reçu de nombreuses plaintes au sujet de l’exigence, annoncée par le gouvernement du Canada en octobre 2021, selon laquelle les employés fédéraux étaient tenus de fournir une attestation de leur statut vaccinal. Nous avons examiné cette situation dans le cadre de 3 enquêtes connexes. La principale allégation était que la collecte de renseignements sur le statut vaccinal des employés et, dans certains cas, sur leurs croyances religieuses ou leurs antécédents médicaux à l’appui d’une demande de mesures d’adaptation pour être exemptés de cette exigence, était déraisonnable.

Nous avons constaté que la collecte de renseignements sur le statut vaccinal était conforme à la Loi sur la protection des renseignements personnels, car elle avait un lien direct avec les responsabilités en matière de santé et de sécurité des institutions fédérales, en tant qu’employeurs, pendant une crise nationale en raison de la pandémie de COVID-19.

Après un examen attentif, nous avons aussi établi, même si les réponses des institutions à certaines de nos questions auraient pu et auraient dû être plus complètes et plus transparentes, que les mesures prises étaient nécessaires et proportionnelles, compte tenu de la situation d’urgence et du rôle central que jouaient le SCT et les fonctionnaires fédéraux dans la réponse du gouvernement fédéral à la pandémie, notamment pour protéger la santé et la sécurité des Canadiennes et des Canadiens et offrir des services publics importants et souvent essentiels pendant une crise sanitaire sans précédent.

Nous avons recommandé au SCT d’évaluer toute mesure de vaccination envisagée en utilisant le critère en 4 parties pour établir la nécessité et la proportionnalité, décrit précédemment dans le présent rapport. Le SCT n’a pas accepté de mettre en œuvre cette recommandation.

Nos enquêtes ont également révélé que, dans l’ensemble, le traitement des renseignements personnels, après avoir été recueillis, était conforme aux exigences prévues par la Loi sur la protection des renseignements personnels, à l’exception d’un petit nombre d’enjeux qu’il convient de souligner. Par exemple, dans le cadre de notre examen du système utilisé pour recueillir les attestations de statut vaccinal des membres des Forces armées canadiennes (FAC), soit le Système de soutien administratif militaire (Gestion SSAM), nous avons constaté que ce système n’était pas adéquatement surveillé pour empêcher l’accès non autorisé aux renseignements personnels qu’il contient. Bien que nous n’ayons trouvé aucun cas d’accès non autorisé, nous avons recommandé l’adoption de mesures visant à confirmer périodiquement que les unités examinent et retirent dûment les autorisations qui permettent d’accéder aux renseignements sensibles des membres des FAC dans Gestion SSAM là où il n’y a plus, ou il n’y a jamais eu, de besoin d’accès. Le ministère de la Défense nationale (MDN) n’a pas accepté de mettre en œuvre cette recommandation.

Nous avons aussi enquêté sur des allégations d’incidents de communication inappropriée de renseignements personnels. Nous avons constaté que 2 cas d’erreurs de traitement du courrier chez Postes Canada – erreurs qui ont par la suite été examinées et corrigées – ont entraîné la communication de renseignements personnels sur le statut vaccinal de certaines personnes. Dans l’un des cas, en raison d’une erreur d’envoi postal, environ 3 500 employés de Postes Canada, qui ne s’étaient pas conformés aux exigences de l’institution en matière d’attestation de vaccination ou qui avaient attesté être partiellement vaccinés, ont reçu du courrier destiné à un autre employé qui se trouvait dans une situation semblable. Par ailleurs, nous avons aussi relevé que dans 2 autres cas, des membres du personnel du MDN et des FAC ont communiqué de manière inappropriée à des destinataires non autorisés des renseignements sur l’identité de plusieurs personnes qui n’avaient pas attesté avoir été entièrement vaccinées ou qui avaient demandé une mesure d’adaptation, ainsi que des renseignements sur le statut vaccinal contre la COVID-19 de ces personnes. Dans le cadre d’autres enquêtes, nous avons constaté qu’un employé de l’ASFC et un autre à Affaires mondiales Canada ont informé de manière inappropriée l’unité de travail d’un employé que ce dernier était en congé pour cause de non-vaccination. Soulignons que nous n’avons trouvé aucun indicateur d’un enjeu systémique lors de notre enquête sur ces incidents.

Enfin, comme il est décrit dans le rapport ci-joint sur l’exigence de vaccination pour les employés de l’administration publique centrale, nous avons constaté que le SCT avait contrevenu à l’article 11 de la Loi sur la protection des renseignements personnels en omettant d’ajouter à son répertoire publié, dans le délai de 12 mois requis, une description du Fichier de renseignements personnels (FRP) pour les renseignements relatifs aux attestations de vaccination contre la COVID-19. (Il convient de noter que le SCT l’a maintenant fait.) Le répertoire des FRP est un outil de transparence et de responsabilisation qui décrit les renseignements personnels détenus par l’institution, ainsi que la façon dont ils sont recueillis, utilisés, communiqués, conservés ou éliminés. Même si l’avis relativement à l’attestation transmis aux employés à ce moment-là décrivait clairement les fins de la collecte de renseignements personnels, nous rappelons au SCT ses obligations prévues à l’article 11 de la Loi.

Pour en savoir davantage (site Web du Commissariat)

Enquête sur les exigences relatives à l'attestation de vaccination contre la COVID-19 établies par le Conseil du Trésor du Canada pour les employés de l’administration publique centrale

Enquête sur les exigences relatives à l’attestation de vaccination contre la COVID-19 établies par le ministère de la Défense nationale pour les membres des Forces armées canadiennes

Enquête sur les exigences d’attestation à la vaccination contre la COVID-19 établies par certains employeurs distincts de la fonction publique fédérale

4. Erreur dans l’application ArriveCAN : notifications indiquant à tort à certains voyageurs de se mettre en quarantaine

Pour établir les exigences d’entrée applicables à un voyageur donné en vertu des décrets de quarantaine en vigueur du 3 février 2020 au 30 septembre 2022, et s’assurer que ces exigences étaient respectées, l’ASFC et l’ASPC ont recueilli des renseignements personnels auprès des personnes entrant au Canada, principalement au moyen de l’application mobile ArriveCAN.

Étant donné les répercussions importantes des décrets d’urgence sur les droits des voyageurs entrant au pays et leur liberté de circulation, nous sommes d’avis que l’ASFC aurait dû faire preuve de la plus grande diligence raisonnable, conformément aux dispositions de l’article 6 de la Loi, pour garantir l’exactitude des renseignements personnels des voyageurs enregistrés dans ArriveCAN, puisque ces renseignements sont utilisés pour prendre des décisions administratives à propos de ces voyageurs. Nous nous attendions donc à constater : i) de rigoureuses mises à l’essai préalables au lancement de l’application pour les situations qui auraient pu entraîner des conséquences très négatives sur les utilisateurs, ii) une intervention humaine efficace dans les cas où une décision aurait eu des répercussions importantes sur les particuliers, iii) une correction efficace et rapide et un recours pour les particuliers.

Une erreur dans la version 3.0 d’ArriveCAN, lancée le 28 juin 2022, a eu un effet perturbateur pénible, car environ 10 000 utilisateurs d’appareils Apple ont reçu des notifications erronées indiquant qu’ils devaient se mettre en quarantaine, malgré le fait qu’ils étaient entièrement vaccinés et qu’ils respectaient toutes les conditions de l’exemption de quarantaine à cet égard. Pour les voyageurs utilisant la version 3.0 pour les appareils mobiles Apple, ArriveCAN indiquait « false » par erreur à la rubrique « quarantine exempted » s’ils avaient sauvegardé leur formulaire après avoir sélectionné les participants au voyage et continué de le remplir plus tard. Malheureusement, cette erreur n’a pas été repérée lors des essais de l’ASFC préalables au lancement de l’application. En raison de la façon dont le système a été conçu, elle n’a pas été repérée non plus par les agents de contrôle lorsque les voyageurs touchés traversaient la frontière. Il a fallu plus de 3 semaines à l’ASFC pour que l’erreur cesse de nuire aux nouveaux voyageurs, et presque 1 mois pour qu’une correction soit envoyée à toutes les personnes touchées. Nous sommes conscients que la pandémie a présenté des défis de taille aux autorités gouvernementales et de la santé publique, mais tenons à souligner que l’incident en question s’est produit plus de 2 ans et demi après le lancement initial d’ArriveCAN. Notre enquête nous a permis de conclure que l’ASFC n’a pas satisfait aux exigences de la Loi sur la protection des renseignements personnels, parce qu’elle n’a pas pris toutes les mesures raisonnables pour garantir l’exactitude des renseignements des particuliers dans les décisions administratives qui les concernaient.

Le Commissariat a recommandé à l’ASFC de corriger dans sa banque de données les renseignements inexacts qui ont été générés par l’erreur. À ce jour, l’ASFC refuse toujours de faire cette correction. Nous espérons qu’elle reviendra sur sa décision afin de corriger et/ou d’éliminer les renseignements inexacts qu’elle détient et de mettre en place toutes les mesures nécessaires pour atténuer le risque que de telles erreurs se produisent de nouveau.

Pour en savoir davantage (site Web du Commissariat)

Notifications erronées de mise en quarantaine provenant d’ArriveCAN

5. Enquête sur la collecte et l’utilisation de données dépersonnalisées sur la mobilité pendant la pandémie de COVID-19

Le Commissariat a reçu 12 plaintes en vertu de la Loi sur la protection des renseignements personnels contre l’ASPC et Santé Canada au sujet de la collecte et de l’utilisation de données sur la mobilité de la population canadienne, lesquelles comprenaient des données de localisation recueillies au fil du temps et d’autres renseignements connexes.

Les plaignants ont affirmé que l’ASPC a secrètement recueilli des données provenant de 33 millions d’appareils mobiles pendant la pandémie de COVID-19 et qu’elle prévoyait, selon une demande de propositions publiée en décembre 2021 visant à acquérir de manière continue les données de mobilité des exploitants de réseaux, de continuer de recueillir les données sur la mobilité des Canadiennes et des Canadiens au cours des 5 années suivantes.

En réponse à ces plaintes, l’ASPC a affirmé qu’elle s’appuyait sur des données dépersonnalisées et agrégées, qu’elle n’avait pas recueilli ni utilisé de renseignements personnels permettant d’identifier une personne et que, par conséquent, la Loi sur la protection des renseignements personnels ne s’appliquait pas.

Dans le cadre de notre enquête, nous avons évalué s’il y avait une sérieuse possibilité qu’un individu puisse être identifié à l’aide des données sur la mobilité obtenues par l’ASPC, en les utilisant seules ou en combinaison avec d’autres renseignements disponibles.

Nous avons conclu que les mesures de dépersonnalisation et de protection contre la repersonnalisation mises en œuvre par l’ASPC et ses fournisseurs de données ont réduit le risque qu’un individu puisse être de nouveau identifié sous le seuil de « forte possibilité ». Par conséquent, nous avons conclu que l’ASPC n’avait pas recueilli de renseignements personnels, et que la Loi sur la protection des renseignements personnels ne s’applique pas. Comme nous l’avons déjà fait, nous avons recommandé que le gouvernement propose des modifications à la Loi sur la protection des renseignements personnels afin d’y inclure un cadre juridique clair qui définit les différents types de données dépersonnalisées et qui précise les règles qui devraient en régir la production, la conservation, l’utilisation, la communication et la collecte.

Des Canadiennes et des Canadiens ont également exprimé des préoccupations au sujet du manque de transparence dans la collecte et l’utilisation par l’ASPC des données sur la mobilité. Or, dans ce cas-ci, la Loi sur la protection des renseignements personnels n’impose aucune obligation de transparence à l’ASPC, car celle-ci n’a pas recueilli de renseignements personnels au sens de la Loi. Toutefois, comme il est indiqué dans notre cadre publié au début de la pandémie, nous recommandons que le gouvernement communique de l’information claire et détaillée à la population canadienne sur le fondement de toute mesure exceptionnelle qu’il met en œuvre, ainsi que sur les modalités applicables dans ce contexte, et qu’il en assume la responsabilité.

Précisons que notre enquête ne visait pas à évaluer si les tiers du secteur privé qui fournissaient des données de mobilité à l’ASPC avaient recueilli et utilisé ces données conformément à leurs obligations en matière de protection de la vie privée, notamment s’ils avaient obtenu un consentement éclairé à cette fin. Nous tenons à souligner que les organisations qui obtiennent des données dépersonnalisées en sont également responsables et qu’elles doivent prendre les mesures qui s’imposent pour s’assurer que les tiers avec qui elles font affaire respectent les lois sur la protection des renseignements personnels.

Pour en savoir davantage (site Web du Commissariat)

Enquête sur la collecte et l’utilisation de données dépersonnalisées sur la mobilité dans le cadre de la pandémie de COVID-19

6. Enquête en vertu de la LPRPDE

Plus tôt pendant la pandémie, nous avons mené une enquête à la suite d’une plainte selon laquelle l’entreprise Biron Groupe Santé avait utilisé l’adresse de courriel d’un voyageur pour lui faire parvenir du matériel publicitaire et promotionnel sans son consentement après un test de dépistage de la COVID-19 à son arrivée à l’aéroport. Biron Groupe Santé croyait pouvoir s’appuyer sur le consentement implicite du plaignant pour utiliser les renseignements de ce dernier à ces fins.

Le Commissariat a conclu que Biron Groupe Santé ne pouvait pas présumer qu’elle avait le consentement implicite des voyageurs arrivant au Canada pour utiliser à une autre fin, comme le marketing, les renseignements qu’elle avait recueillis à une fin en particulier, soit le dépistage obligatoire de la COVID-19. Les renseignements personnels sensibles générés en situation de crise peuvent avoir une valeur considérable pour les organisations des secteurs public et privé, mais ces renseignements doivent être utilisés dans les limites de la loi. Même (et surtout) dans les situations d’urgence, les organisations doivent continuer de se conformer à la loi et d’agir de façon responsable, en particulier pour ce qui est du traitement des renseignements personnels sur la santé, qui sont généralement considérés comme sensibles.

Étant donné que Biron Groupe Santé a accepté de cesser la pratique en cause, le plaignant a consenti à ce que l’affaire soit considérée comme réglée. Un résumé complet de l'affaire se trouve sur notre site Web.

Consultation relative à la Loi sur les mesures d’urgence

Au début de 2022, des manifestations illégales liées à l’obligation vaccinale ont eu lieu à plusieurs endroits au pays, ce qui a mené à l’invocation de la Loi sur les mesures d’urgence. Les pouvoirs temporaires accordés à la suite de l’entrée en vigueur du Décret sur les mesures économiques d’urgence ont permis aux organismes d’application de la loi de travailler en étroite collaboration avec les banques et d’autres fournisseurs de services financiers. Le Décret prévoyait également des mesures supplémentaires pour surveiller et perturber les activités financières associées aux blocages illégaux. Bien que les activités des institutions fédérales doivent se limiter aux pouvoirs que leur confère leur autorisation légale et être conformes aux lois applicables, y compris la Loi sur la protection des renseignements personnels, le Décret a accordé une autorisation temporaire de communiquer certains renseignements personnels, comme l’obligation pour les entités financières de communiquer des renseignements à la Gendarmerie royale du Canada (GRC) ou au Service canadien du renseignement de sécurité (SCRS). À la suite de préoccupations exprimées par la députée Michelle Rempel Garner au sujet des répercussions sur la vie privée du recours à la Loi sur les mesures d’urgence, le Commissariat est entré en contact avec la GRC, le SCRS et le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE).

Comme nous l’avons indiqué dans notre mémoire au Comité mixte spécial sur la déclaration de situation de crise, nous avons évalué, en fonction de la Loi sur la protection des renseignements personnels, la façon dont ces 3 institutions avaient recueilli, utilisé et communiqué des renseignements personnels selon les dispositions du décret, et nous avons inclus nos observations dans un rapport.

Nous avons conclu que des mesures raisonnables avaient été prises pour réunir des renseignements pertinents, exacts et nécessaires visant à permettre aux institutions financières de respecter leurs obligations prévues par le décret. Nous avons aussi constaté que la communication de renseignements personnels était proportionnelle aux besoins engendrés par la situation sans précédent et aux obligations juridiques qui incombaient aux institutions en vertu de la Loi sur les mesures d’urgence.

Nous avons toutefois aussi conclu, au terme de notre enquête, qu’il y avait un manque de directives claires concernant les limites de la communication de renseignements personnels prévue par le décret. Par exemple, nous avons constaté que le décret ne précisait pas les conditions ou les exigences relatives à la communication de renseignements, notamment la nature et la portée des renseignements personnels qui pouvaient être communiqués, ou la façon dont les renseignements devaient être communiqués. Il ne prévoyait pas non plus de mesures de sécurité explicites visant à faire en sorte que des procédures appropriées soient établies et mises en œuvre pour protéger les renseignements personnels. La nécessité pour les organisations d’agir rapidement et efficacement en situation de crise justifie de disposer de procédures et d’orientations claires et précises pour communiquer des renseignements, afin que les institutions gouvernementales et les entités financières soient au fait de leurs obligations, et qu’elles garantissent à la population canadienne transparence et responsabilité en ce qui concerne la protection des renseignements personnels.

---

Conclusion

Dans l’ensemble, nos enquêtes ont révélé, à quelques exceptions près, que les mesures mises en œuvre par le gouvernement pendant la pandémie étaient conformes aux lois applicables sur la protection des renseignements personnels et qu’elles étaient nécessaires et proportionnelles dans le contexte d’une situation sanitaire sans précédent. Nous avons également observé que les initiatives du gouvernement respectaient de manière générale les principes de protection de la vie privée énoncés dans notre document d’orientation et notre cadre, ainsi que dans les déclarations et les résolutions que nous avons publiées conjointement avec nos homologues provinciaux et territoriaux pendant la pandémie.

Cependant, dans certains cas, nous avons constaté des lacunes dans la manière dont le gouvernement a évalué et consigné dans ses dossiers les solutions de rechange qui auraient pu constituer une ingérence moins importante dans la vie privée. Le gouvernement aurait aussi pu faire preuve d’une plus grande transparence à l’égard des mesures mises en œuvre, notamment en ce qui concerne l’utilisation des données sur la mobilité par l’ASPC, et préciser la portée des objectifs de la vaccination obligatoire. Comme nous l’avons fait remarquer au début de la pandémie, une plus grande souplesse dans l’utilisation des renseignements personnels dans l’intérêt public devrait être conjuguée à une transparence et à une responsabilité accrues.

Nos enquêtes ont également permis de faire ressortir l’importance et l’utilité du critère de nécessité et de proportionnalité dans l’évaluation des mesures proposées en fonction des principes de protection de la vie privée.

Les consultations que nous avons menées auprès du gouvernement nous ont permis de constater que les institutions fédérales avaient manifesté un réel désir de cerner et d’atténuer les risques d’atteinte à la vie privée dans les initiatives liées à la pandémie, mais que certaines se sont heurtées à des obstacles au sein même de leurs établissements : manque d’expertise en matière de protection des renseignements personnels, et manque de ressources et de processus fiables en la matière.

Les répercussions de la pandémie continuent de se faire sentir partout dans notre société, notamment sur le plan de la vie privée. Il y a beaucoup à faire pour s’assurer que les renseignements personnels recueillis qui ne sont plus nécessaires soient correctement supprimés, s’il y a lieu, et que toute nouvelle collecte amorcée pendant la pandémie (par exemple les renseignements recueillis par l’intermédiaire de l’application ArriveCAN) fasse l’objet d’un examen attentif du point de vue de la nécessité et de la proportionnalité.

Au cours de la pandémie, certains mécanismes n’étaient pas obligatoirement appliqués, comme les exigences du SCT qui prescrivent la réalisation d’évaluations des facteurs relatifs à la vie privée pour les nouvelles collectes et les nouvelles utilisations de renseignements personnels, et certains outils, comme ArriveCAN, ont été mis en place rapidement pour répondre à un besoin pressant. Nous pouvons donc tirer la leçon suivante de la pandémie : lorsque des mesures sont prises rapidement pour répondre à une urgence, il est encore plus important de veiller à ce que les politiques et les outils soient examinés attentivement une fois mis en œuvre et qu’il soient réévalués de façon régulière pour s’assurer qu’ils respectent le principe de nécessité et de proportionnalité et qu’ils protègent la vie privée aussi efficacement que possible.

Une fois l’urgence initiale passée, certaines technologies et certains programmes élaborés à des fins urgentes et spéciales pendant la pandémie ont été conservés et utilisés pour des activités courantes. Des changements introduits pendant la pandémie seront mis à profit dans des programmes permanents, faisant davantage appel à la numérisation et à l’analytique avancée des données. Il sera essentiel de se pencher sur l’incidence que pourraient avoir ces programmes, ou toute autre nouvelle initiative, sur la vie privée, en collaboration avec le Commissariat.

La crise de la COVID-19 a fait valoir l’importance de créer une culture de protection de la vie privée, une culture où des principes comme la nécessité et la proportionnalité font partie intégrante des nouvelles initiatives qui traitent des renseignements personnels sensibles. Les institutions fédérales et les organisations doivent communiquer avec le Commissariat le plus tôt possible – que ce soit en situation de crise ou non – afin que celui-ci puisse les épauler pour atteindre leurs objectifs tout en protégeant la vie privée. Le Commissariat est conscient qu’en temps de crise, il faut agir rapidement et appliquer les lois de façon souple et contextuelle, mais il prône aussi que le droit à la vie privée des Canadiennes et des Canadiens doit toujours être protégé. En outre, les restrictions et les dispositions concernant le droit à la vie privée qui peuvent s’appliquer pour faire face à une crise doivent être levées sans tarder une fois la crise terminée.

---

Annexe 1 : Consultation relative à la Loi sur les mesures d’urgence

Table des matières

---

Aperçu

À la suite de préoccupations soulevées par la députée fédérale Michelle Rempel Garner quant aux répercussions sur la vie privée que pouvait avoir le recours à la Loi sur les mesures d’urgence^{Note de bas de page 1}, le Commissariat à la protection de la vie privée du Canada (le Commissariat) s’est engagé à consulter 3 institutions fédérales au sujet de la prise des mesures d’urgence temporaires et de la façon dont les renseignements financiers personnels de Canadiennes et de Canadiens ont été recueillis et communiqués.

La consultation était axée sur des questions relatives à la Loi sur la protection des renseignements personnels (LPRP) et, plus précisément, visait à comprendre la manière dont la Gendarmerie royale du Canada (GRC), le Service canadien du renseignement de sécurité (SCRS) et le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) ont traité les renseignements personnels dans le contexte de la Loi sur les mesures d’urgence et du Décret sur les mesures économiques d’urgence^{Note de bas de page 2} connexe (le Décret). Plus précisément, le Commissariat a examiné la façon dont ces institutions avaient mis en œuvre les dispositions du Décret en ce qui concerne la collecte et la communication des renseignements personnels, notamment : i) les mesures prises pour veiller à l’exactitude des renseignements personnels; ii) la question de savoir si les renseignements personnels ont été utilisés ou communiqués à des fins autres que celles prévues lors de leur collecte; et iii) l’attention que les institutions ont accordée à la publication d’un fichier de renseignements personnels (FRP) nouveau ou modifié pour décrire tout renseignement personnel qui avait été ou était utilisé, ou qui était disponible à des fins administratives à la suite du recours à la Loi sur les mesures d’urgence. Le Commissariat a transmis par écrit les objectifs de la consultation aux 3 institutions en mars 2022.

Le Décret a été pris au titre de la Loi sur les mesures d’urgence. Il a permis aux organismes d’application de la loi de travailler en étroite collaboration avec les banques et d’autres fournisseurs de services financiers (les entités financières). Il prévoyait également la mise en place de mesures supplémentaires pour surveiller et perturber les activités financières associées aux blocages illégaux. Ces mesures comprenaient notamment : i) l’obligation pour certaines entités financières de vérifier si elles avaient en leur possession ou sous leur contrôle des biens qui appartenaient à une personne désignée^{Note de bas de page 3} ou qui étaient détenus ou contrôlés par elle ou pour son compte, et de communiquer cette information à la GRC ou au SCRS; ii) le pouvoir temporaire pour les institutions fédérales, provinciales ou territoriales (dont la GRC, le CANAFE et le SCRS) de transmettre de l’information pertinente aux entités financières si elles étaient convaincues que sa communication permettrait de faire observer le Décret; et iii) l’obligation pour certaines entités (p. ex. les plateformes de sociofinancement) de consigner certaines opérations financières et de les déclarer au CANAFE.

En se fondant sur sa recherche des faits et en tenant compte du rôle que jouent ces 3 institutions quant aux pouvoirs temporaires accordés à la suite du recours à la Loi sur les mesures d’urgence, le Commissariat a évalué, par rapport à la Loi sur la protection des renseignements personnels, la façon dont ces institutions ont recueilli et communiqué les renseignements personnels au titre des dispositions du Décret.

Dans l’ensemble, le Commissariat a conclu que la communication des renseignements personnels par la GRC aux entités financières avait une portée et une nature limitées, et qu’elle visait expressément à permettre à ces entités de répondre à leurs obligations au titre du Décret (c.-à-d. vérifier si elles avaient en leur possession ou sous leur contrôle des biens qui appartenaient à une personne désignée ou qui étaient détenus ou contrôlés par elle ou pour son compte). Le Commissariat a conclu que la GRC avait pris des mesures raisonnables pour : i) valider les renseignements avant de les transmettre aux entités financières et ii) évaluer et définir les entités à qui les renseignements devaient être communiqués. Il n’existe aucun élément de preuve donnant à penser que la communication par la GRC des renseignements personnels avait outrepassé les paramètres de ce qui était nécessaire pour que les entités financières répondent à leurs obligations au titre du Décret. Toutes les communications de renseignements personnels faites par la GRC étaient accompagnées d’une lettre qui présentait la justification et l’assise juridique en vertu de laquelle la communication a eu lieu, de même que d’un message d’avertissement au sujet de l’utilisation et de la protection de ces renseignements. Le Commissariat a conclu que rien ne permettait de croire que les renseignements personnels avaient été utilisés ou communiqués à des fins autres que celle prévue lors de leur collecte, c’est-à-dire pour répondre aux obligations au titre du Décret.

En ce qui concerne la consultation qu’il a menée auprès du CANAFE, le Commissariat a conclu que la communication des renseignements survenue pendant la période d’application du Décret était fondée sur les pouvoirs énoncés dans la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes^{Note de bas de page 4} (LRPCFAT). Par conséquent, les rapports que le CANAFE a obtenus de la part des entités existantes et les renseignements financiers qu’il a communiqués étaient fondés sur les seuils en place au titre de la LRPCFAT. Le CANAFE n’a pas fait le suivi des renseignements au sujet des « personnes désignées » définies dans le Décret, n’a pas cherché à établir si une personne ou entité nommée dans les renseignements financiers communiqués était une « personne désignée » et n’a pas tenu compte de cette caractéristique.

Le Commissariat a confirmé lors de sa consultation auprès du SCRS que celui-ci n’a demandé aucune mesure spéciale au titre de la Loi sur les mesures d’urgence et qu’aucun pouvoir supplémentaire ne lui a été accordé en vertu de cette loi. En outre, le Commissariat a confirmé que le SCRS n’a obtenu aucun renseignement de la part de l’une ou l’autre des entités financières visées à l’article 3 du Décret.

Le Commissariat constate que le CANAFE et le SCRS peuvent avoir recueilli et communiqué des renseignements personnels conformément aux pouvoirs que leur confère leur loi respective pendant la période durant laquelle on a eu recours à la Loi sur les mesures d’urgence, mais qu’il n’a pas poussé son examen au-delà de la portée des objectifs de la consultation (c.-à-d. la façon dont ces institutions ont mis en œuvre les pouvoirs temporaires accordés au titre du Décret relativement à la collecte et à la communication des renseignements personnels).

Il s’agissait de circonstances extraordinaires^{Note de bas de page 5}, et les institutions ont été tenues d’agir rapidement afin de répondre aux exigences du Décret. De plus, étant donné les répercussions sur la vie privée et la possibilité que les mesures temporaires enfreignent le droit à la vie privée des Canadiennes et des Canadiens, le Commissariat a examiné le recours à ces pouvoirs à la lumière des principes généraux de nécessité et de proportionnalité. Bien qu’il ne s’agisse pas d’obligations prévues par la Loi, les institutions fédérales doivent voir à ce que les mesures prises soient nécessaires et proportionnelles, même dans des circonstances exceptionnelles. Le Commissariat incite les organismes à appliquer un critère en 4 volets afin d’évaluer la pertinence de mesures susceptibles de porter atteinte à la vie privée. Le critère, qui est adapté de l’arrêt rendu en 1986 par la Cour suprême du Canada dans l’affaire R. c. Oakes^{Note de bas de page 6}, permet d’évaluer les répercussions sur la vie privée selon 4 questions portant sur la nécessité, l’efficacité et la proportionnalité de la mesure, et si des méthodes portant moins atteinte à la vie privée auraient permis d’atteindre le même objectif. À cet égard, le Commissariat, dans le cadre de sa consultation, a analysé si la communication des renseignements au titre du Décret était nécessaire et proportionnelle aux besoins et aux obligations juridiques découlant de la prise des mesures temporaires. Le Commissariat n’a pas examiné si les mesures temporaires précises que le gouvernement a choisies pour faire face à la crise ayant donné lieu à la déclaration de l’état d’urgence étaient nécessaires et proportionnelles (et respectaient le critère en 4 volets). Cette question fait l’objet d’un examen par la Commission sur l’état d’urgence (CEDU)^{Note de bas de page 7} et le Comité mixte spécial sur la déclaration de situation de crise (DEDC)^{Note de bas de page 8}.

À la lumière de ce qui précède, le Commissariat devait déterminer si seuls les renseignements nécessaires avaient été communiqués, s’ils avaient été transmis aux entités concernées et s’ils étaient proportionnels au besoin et au niveau de risque. Selon les renseignements qu’il a obtenus au cours de la consultation, le Commissariat a conclu que des mesures raisonnables avaient été prises pour déterminer les renseignements pertinents, exacts et nécessaires qui aideraient les entités financières à répondre à leurs obligations au titre du Décret. Il a conclu également que des mesures ont été prises pour limiter la communication des renseignements et qu’on s’était efforcé de protéger les renseignements transmis. La communication des renseignements s’est produite durant une période restreinte et a cessé lors de la révocation des pouvoirs temporaires. Dans l’ensemble, le Commissariat a conclu que la communication des renseignements personnels était proportionnelle aux besoins découlant de la situation sans précédent et aux obligations juridiques issues de la déclaration d’état d’urgence au titre de la Loi sur les mesures d’urgence.

Sans égard à ce qui précède, le Commissariat a conclu qu’il y avait eu un manque de directives et d’orientations claires sur les exigences précises en matière de communication de renseignements au titre du Décret. Plus précisément, il a souligné que le Décret ne renfermait pas de dispositions sur les types précis de renseignements personnels que les entités financières devaient transmettre à la GRC et sur leur portée ou sur la façon dont les institutions fédérales, provinciales et territoriales devaient communiquer les renseignements aux entités financières. Or, les circonstances permettant de communiquer des renseignements personnels sensibles étaient uniques. Le simple fait que les personnes en question aient été définies en tant que « personnes désignées » accroît davantage la sensibilité des renseignements communiqués et nécessite de recourir à des processus visant à s’assurer que les pratiques de communication de renseignements soient bien comprises et exécutées efficacement. De plus, étant donné les circonstances urgentes, la GRC et les entités financières ont dû agir rapidement et efficacement afin de remplir leurs obligations au titre du Décret. Voilà qui souligne l’importance de disposer d’orientations et de processus clairs et précis en vue de la communication de renseignements de sorte que les institutions fédérales et les entités financières connaissent leurs obligations et assurent la transparence et la responsabilité envers les Canadiennes et les Canadiens à l’égard de la protection des renseignements personnels. De tels orientations et processus clairs permettraient aux institutions de répondre efficacement à leurs obligations dans le cadre des mesures temporaires et conformément aux lois pertinentes sur la protection de la vie privée, dont la LPRP et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

À l’issue de la consultation, la GRC, le CANAFE et le SCRS ont eu l’occasion d’examiner les conclusions et les observations soulevées par le Commissariat et de formuler des commentaires à cet égard. Le Commissariat tient à remercier chacune de ces institutions pour l’esprit de collaboration et l’ouverture dont elles ont fait preuve dans le cadre de cette importante affaire.

Les conclusions et observations formulées par le Commissariat sont présentées de façon détaillée dans le rapport qui suit.

Contexte

1. Le 14 février 2022, le gouvernement fédéral a déclaré l’état d’urgence en vertu de la Loi sur les mesures d’urgence pour mettre fin aux perturbations à la frontière, aux blocages et à l’occupation d’Ottawa. À la suite du recours à la Loi sur les mesures d’urgence, le gouvernement fédéral a pris des mesures temporaires spéciales pour régler l’urgence, lesquelles sont exposées de façon détaillée dans le Règlement sur les mesures d’urgences (le Règlement)^{Note de bas de page 9}. De plus, une série de mesures financières visant à limiter le financement des blocages illégaux et à rétablir l’ordre public ont été annoncées. Les détails liés à ces mesures ont été présentés dans le Décret. La déclaration d’état d’urgence a été révoquée par le gouvernement fédéral le 23 février 2022.
2. Le 17 février 2022, le Commissariat a reçu de la correspondance de la part de la députée Rempel Garner qui se disait préoccupée par les répercussions sur la protection de la vie privée de l’application de la Loi sur les mesures d’urgence, y compris la communication des renseignements financiers à la GRC, au SCRS et au CANAFE. La députée a demandé que le Commissariat « enquête sur le recours à ces pouvoirs temporaires à la lumière des lois existantes sur la protection des renseignements personnels et du concept de la proportionnalité » [traduction].
3. Dans sa correspondance, la députée Rempel Garner n’a pas porté plainte au sujet d’une quelconque infraction à la Loi sur la protection des renseignements personnels, mais le Commissariat était d’avis qu’il fallait faire preuve de diligence raisonnable étant donné les répercussions sur la vie privée et les préoccupations soulevées à la suite du recours à la Loi sur les mesures d’urgence. Par conséquent, il a décidé de mener une consultation informelle auprès des 3 institutions afin de mieux comprendre la façon dont elles avaient mis en œuvre les pouvoirs temporaires accordés aux termes de la Loi sur les mesures d’urgence à l’égard de la collecte et de la communication des renseignements personnels.
4. Le Commissariat souligne également qu’au cours de la consultation menée auprès de ces institutions, divers comités parlementaires étudiaient simultanément les actions gouvernementales concernant le recours à la Loi sur les mesures d’urgence et la prise de mesures connexes. Le Commissariat a suivi avec intérêt le témoignage présenté par la GRC, le SCRS et le CANAFE à ces comités, de même que celui de la CEDU, qui a été mise sur pied pour enquêter sur les circonstances ayant mené à la déclaration d’état d’urgence et les mesures de règlement de l’urgence.

Portée

5. La portée de la consultation se limitait dès le départ aux 3 institutions fédérales désignées dans la correspondance de la députée Rempel Garner, à savoir la GRC, le SCRS et le CANAFE, et elle était axée sur la recherche de données concernant le respect de la LPRP.
6. Les objectifs de la consultation du Commissariat étaient les suivants :
   1. comprendre le rôle des 3 institutions dans l’application des autorisations et pouvoirs temporaires découlant de la Loi sur les mesures d’urgence à l’égard de la collecte et de la communication des renseignements financiers personnels, de même que la façon dont ces institutions ont mis en œuvre les dispositions du Décret quant à la collecte et à la communication des renseignements financiers personnels;
   2. dans le contexte de la Loi sur les mesures d’urgence, comprendre et évaluer la manière dont les 3 institutions ont traité les renseignements personnels conformément à la LPRP, en établissant notamment :
      1. les mesures prises, comme l’exige l’article 6 de la LPRP, pour veiller à l’exactitude des renseignements personnels utilisés à des fins administratives;
      2. en ce qui concerne les articles 7 (usage) et 8 (communication) de la LPRP, la mesure dans laquelle les institutions ont utilisé ou communiqué les renseignements personnels recueillis à des fins autres que celles prévues lors de leur collecte, et le cas échéant, à quelles fins elles l’ont fait;
      3. l’attention que les institutions ont accordée ou accorderaient à la publication d’un FRP nouveau ou modifié, comme l’exigent les articles 10 et 11 de la LPRP, pour décrire tout renseignement personnel qui a été ou est utilisé, ou qui est disponible à des fins administratives à la suite du recours à la Loi sur les mesures d’urgence.
7. Les conclusions qu’a tirées le Commissariat à la suite de sa consultation auprès de chacune des 3 institutions sont énoncées ci-dessous.

Décret

8. Le Décret a été promulgué au titre de la Loi sur les mesures d’urgence afin de permettre aux organismes d’application de la loi de collaborer plus étroitement avec les entités financières et il prévoyait des mesures supplémentaires visant à surveiller et à perturber les activités financières liées aux blocages illégaux. Les mesures comprenaient ce qui suit :
   • l’obligation pour les entités financières^{Note de bas de page 10} visées à l’article 3 du Décret d’établir si elles avaient en leur possession ou sous leur contrôle des biens qui appartenaient à une personne désignée ou qui étaient détenus ou contrôlés par elle ou pour son compte, et de communiquer, sans délai, ces renseignements à la GRC ou au SCRS. Une « personne désignée » représente toute personne ou entité qui participe, directement ou indirectement, à l’une ou l’autre des activités interdites au titre des articles 2 à 5 du Règlement;
   • l’autorisation pour les institutions fédérales, provinciales et territoriales de communiquer des renseignements à toute entité visée à l’article 3 du Décret si elles sont convaincues que les renseignements aideraient à l’application du Décret. Cela a permis aux organismes d’application de la loi de communiquer l’identité des personnes désignées aux entités financières, qui pouvaient ainsi mettre fin à leurs relations avec ces personnes, à leur discrétion;
   • l’obligation pour certaines entités (plateformes de sociofinancement et certains fournisseurs de services de paiement qui n’étaient pas antérieurement assujettis aux exigences d’inscription et de déclaration au CANAFE) de s’inscrire auprès du CANAFE si elles avaient en leur possession ou sous leur contrôle des biens appartenant à une personne désignée. Le Décret exigeait également que ces entités déclarent certaines opérations suspectes ou de grande valeur au CANAFE.
9. Le Décret a été révoqué automatiquement lorsque la Loi sur les mesures d’urgence l’a été, à savoir le 23 février 2022.

Consultation auprès de la GRC

Pouvoirs temporaires accordés au titre du Décret

10. L’article 5 du Décret exigeait que les entités financières visées à l’article 3 communiquent les renseignements à la GRC ou au SCRS, notamment l’existence de biens en leur possession ou sous leur contrôle qui appartenaient à une personne désignée ou qui étaient détenus ou contrôlés par elle ou pour son compte, et tout renseignement portant sur une transaction, réelle ou projetée, mettant en cause ces biens.
11. Également, le Décret a autorisé la GRC à communiquer des renseignements aux entités financières si elle estimait que les renseignements aideraient à l’application du Décret, conformément à l’article 6. C’est ainsi que la GRC a pu transmettre l’identité des personnes participant aux manifestations illégales et celle des propriétaires ou conducteurs de véhicules qui refusaient de quitter les secteurs touchés par les manifestations aux entités financières, lesquelles ont ainsi pu mettre fin à leurs relations avec ces personnes désignées, à leur discrétion.
12. Les entités financières étaient tenues de vérifier de façon continue si elles avaient en leur possession ou sous leur contrôle des biens appartenant à une personne désignée ou qui étaient détenus ou contrôlés par elle ou pour son compte, et de mettre fin à leurs relations avec elle (c.-à-d. geler les avoirs), conformément aux articles 2 et 3 du Décret.

Portée des renseignements personnels obtenus par la GRC

13. La GRC a confirmé que 20 entités financières différentes lui ont transmis des renseignements conformément à l’article 5 du Décret. Les renseignements se rattachaient à des produits financiers détenus par 69 personnes qui étaient visées par un gel des avoirs au titre du Décret. Dans certains cas, des comptes d’entreprise ont également été gelés. La GRC a confirmé que parmi ces 69 personnes, elle avait obtenu des renseignements au sujet d’une vingtaine d’entre elles qui ne semblaient pas découler de l’information communiquée par la GRC aux entités financières. Les renseignements touchant ces 20 personnes ont été communiqués conformément à l’obligation continue des entités financières mentionnée au paragraphe 12 ci-dessus.
14. Cependant, la GRC a fait observer que le Décret ne précisait pas quels types de renseignements les entités financières étaient tenues de déclarer; par conséquent, les renseignements obtenus par la GRC n’avaient pas tous la même portée et les mêmes détails. À titre d’exemple, dans certains cas, les renseignements déclarés comprenaient le nom de titulaires de compte, des numéros de compte, des soldes de compte et une justification des gels de compte. Dans d’autres cas, les entités financières ont déclaré très peu de détails – l’entité signalant que « des mesures avaient été prises par rapport à X personnes » [traduction], ce qui n’était accompagné d’aucune particularité permettant d’identifier des personnes, comme le nom ou le numéro de compte.
15. La GRC a confirmé qu’elle n’avait pas demandé de renseignements supplémentaires de la part des entités financières qui n’avaient transmis aucune particularité permettant d’identifier les personnes contre qui des mesures avaient été prises. Elle a soutenu que, conformément aux articles 2 et 3 du Décret, il incombait aux entités financières d’établir si elles avaient en leur possession ou sous leur contrôle des biens qui appartenaient à une personne désignée, et de mettre fin à leurs relations avec elle (c.-à-d. geler ses avoirs). En outre, la GRC a affirmé qu’elle n’exerçait aucune surveillance ni aucun pouvoir par rapport aux mesures prises par les entités financières au titre du Décret.
16. La GRC a confirmé que les renseignements qu’elle avait obtenus au titre de l’article 5 du Décret étaient gérés dans le Système d’incidents et de rapports de police (SIRP), qui est son système de gestion des dossiers d’incidents. Les renseignements personnels seront conservés pendant 5 ans conformément aux politiques de conservation des renseignements de la GRC^{Note de bas de page 11}.
17. Le FRP qui décrit la collecte, l’utilisation, la conservation et la communication de renseignements personnels en vue de l’administration ou de l’application de la loi figure dans Info Source^{Note de bas de page 12} sous le numéro de fichier « GRC PPU 005 » et est intitulé « Dossiers opérationnels »^{Note de bas de page 13}. La GRC a précisé qu’elle n’avait pas encore établi un usage compatible^{Note de bas de page 14} pour les renseignements qu’elle a obtenus au titre de l’article 5 du Décret.

Portée des renseignements personnels communiqués par la GRC

18. La GRC a fait remarquer que ses efforts étaient axés sur l’identification des personnes et des entités qui se livraient activement à des actes illégaux, soit en organisant ou en influençant les activités illégales, soit en participant aux manifestations illégales.
19. La GRC a signalé que 2 volets de communication étaient prévus dans le Décret. Dans le premier volet, la GRC a agi en qualité d’intermédiaire officiel entre le Service de police d’Ottawa (SPO), la Police provinciale de l’Ontario (OPP) et les entités financières^{Note de bas de page 15}, et a communiqué des renseignements au nom de ces services de police au sujet de personnes désignées en tant que participants aux manifestations illégales. Les renseignements personnels englobaient le nom des personnes, leur date de naissance, leur adresse résidentielle, l’information de sources ouvertes^{Note de bas de page 16} pertinentes et l’information de police connexe à propos des sujets d’enquête. Étant donné que la GRC a fait le pont entre les services de police et les entités financières, elle a confirmé qu’elle n’avait pas évalué ou complété les renseignements qu’elle avait transmis pour le compte des services de police.
20. Dans le deuxième volet, la GRC a obtenu des renseignements de l’OPP concernant les véhicules observés dans la zone de l’assemblée. Elle a corroboré les renseignements sur les véhicules et la présence des personnes participant aux manifestations illégales, en plus de communiquer les renseignements sur les personnes désignées en tant que propriétaires ou conducteurs de véhicules qui refusaient de quitter la zone de l’assemblée. Les renseignements personnels communiqués comprenaient le nom du propriétaire immatriculé du véhicule, l’adresse inscrite au registre et les renseignements qui auraient contribué à l’application du Décret, notamment l’information de sources ouvertes, comme les messages publiés dans les médias sociaux (c.-à-d. Facebook, Twitter, LinkedIn, etc.), qui a permis de confirmer l’identité d’une personne et de déterminer son dernier emplacement connu potentiel associé à un véhicule.
21. En ce qui concerne la nature et les limites des renseignements personnels communiqués à partir de sources ouvertes, la GRC a confirmé que l’information de sources ouvertes comportait le nom, l’adresse et des photographies de personnes ainsi que des renseignements sur leur entreprise, y compris le nom, le numéro de téléphone, l’adresse et l’adresse Web de celle-ci, le cas échéant, et le nom de l’avocat qui la représentait. La GRC a fait observer que la communication de l’information de sources ouvertes avait une portée limitée et que ces renseignements n’avaient été communiqués que dans le seul but d’aider les entités financières à confirmer ou à vérifier l’identité de la personne en question. Les entités ont ainsi pu éviter plus facilement de cibler des personnes qui auraient pu avoir le même nom que des personnes participant aux blocages illégaux ou un nom semblable.
22. La GRC a confirmé qu’elle n’avait pas communiqué de renseignements liés aux particuliers ayant fait des dons ou acheté des marchandises qui se rattachaient au convoi et aux manifestations illégales.
23. La GRC dit avoir mené des recherches approfondies afin de valider et d’assurer l’exactitude des renseignements avant de les communiquer aux entités financières^{Note de bas de page 17}. Elle a notamment communiqué avec des personnes pour confirmer leur participation continue aux activités interdites avant de transmettre les renseignements aux entités financières. À titre d’exemple, bon nombre de personnes avec qui la GRC a communiqué ont confirmé qu’elles participaient aux blocages à Ottawa et qu’elles refusaient de quitter les lieux. La GRC a avisé ces personnes du risque que leur compte bancaire soit gelé au titre du Décret. Dans d’autres cas, certaines personnes disaient vouloir quitter les lieux, mais elles ne pouvaient pas le faire parce que les rues n’étaient pas dégagées. La GRC a signalé que ces personnes s’étaient fait dire de se tenir prêtes à partir lorsque les rues seraient dégagées et que les renseignements à leur sujet n’avaient pas été transmis aux entités financières.
24. La GRC a ajouté que, dans un grand nombre de cas, son enquête avait mené à la décision de ne pas communiquer les renseignements aux entités financières s’ils ne permettaient pas de croire que la personne ou l’entité participait aux manifestations (c.-à-d. la plaque d’immatriculation était invalide dans le système de base de données de la police, la personne tentait de quitter les lieux, mais en était incapable, ou on ne croyait plus que la personne ou l’entité participait aux manifestations). Dans certains cas, la personne a quitté les lieux de son propre chef ou a été délogée par les services de police locaux.
25. Selon la GRC, elle a procédé à un total de 57 communications aux entités financières au titre de l’article 6 du Décret. Ces communications concernaient l’identité de 62 personnes et de 17 entreprises^{Note de bas de page 18}.
26. La GRC a confirmé que les renseignements communiqués aux entités financières étaient définis comme étant propres « aux personnes ou aux entités qui participaient, directement ou indirectement, à l’une ou l’autre des activités interdites au titre des articles 2 à 5 du Règlement sur les mesures d’urgences » [traduction]. Elle a également informé les entités financières qu’elles seraient tenues de compléter les renseignements provenant des organismes d’application de la loi au moyen de leurs fonds de renseignements internes pour répondre à leurs propres obligations au titre du Décret.
27. Dans le cadre de la consultation, le Commissariat a demandé à la GRC de confirmer la façon dont elle avait établi à quelles entités financières elle devait transmettre les renseignements. La GRC a souligné qu’elle avait fait tout ce qui était possible pour établir à quelles entités elle devait communiquer les renseignements au titre de l’article 6 du Décret et pour leur donner des renseignements opportuns et pertinents. Par conséquent, elle a soutenu qu’elle avait déterminé que certains organismes, comme les banques, l’Association des banquiers canadiens, l’Organisme canadien de réglementation du commerce des valeurs mobilières, les Autorités canadiennes en valeurs mobilières, les caisses populaires et l’Association canadienne des courtiers de fonds mutuels, étaient des entités visées par l’article 3 du Décret, et que la communication des renseignements à ces entités contribuerait à l’application du Décret (comme l’exige l’article 6).
28. La GRC a fourni au Commissariat une liste de toutes les entités financières auxquelles elle a communiqué les renseignements au titre du Décret, ainsi que son motif justifiant leur transmission à ces entités. En tant qu’institution ayant communiqué l’information, la GRC a fait savoir qu’elle était convaincue que les renseignements se rapportaient aux personnes ou aux entités qui participaient, directement ou indirectement, à l’une ou l’autre des activités interdites au titre des articles 2 à 5 du Règlement, et qu’ils aideraient à l’application du Décret.
29. Le Commissariat a aussi demandé à la GRC de confirmer les mesures qu’elle avait prises pour assurer la protection des renseignements communiqués, notamment les dispositions liées à la nature sensible des renseignements ou les directives visant la protection, la transmission ou la communication des renseignements par les entités destinataires. La GRC a confirmé qu’elle avait identifié des personnes-ressources au sein des entités financières à qui elle devait transmettre les renseignements afin d’en atténuer la circulation à grande échelle. De plus, elle a remis aux entités financières une « lettre d’information » qui énonçait la justification et l’assise juridique permettant la communication des renseignements, de même que le niveau de classification des renseignements qu’elle leur transmettait. Les lettres d’information comportaient un message d’avertissement selon lequel le document était la propriété de la GRC; qu’il était prêté et ne devait pas être autrement communiqué, ni reclassifié ou utilisé à d’autres fins sans le consentement de la GRC; et qu’il ne devait être communiqué qu’aux personnes ayant un besoin de savoir. Le message d’avertissement précisait également que le document devait être protégé conformément aux mesures normales de protection des renseignements concernant l’application de la loi.
30. Selon la GRC, une fois que les entités financières avaient obtenu les renseignements, il était entendu qu’il incombait à chacune d’elles de les protéger conformément à leurs propres règlements et politiques en la matière ainsi qu’à leurs obligations au titre de la LPRPDE, et que les renseignements ne devaient servir qu’à répondre à leurs obligations au titre du Décret.
31. La GRC a remis au Commissariat une copie caviardée d’un exemple de document d’information conforme au Décret. Comme il a été mentionné précédemment, le document d’information comprenait des catégories de renseignements comme les données de base (nom, adresse du domicile et date de naissance), les renseignements sur le véhicule, les vérifications par la GRC dans des bases de données^{Note de bas de page 19} et l’information de sources ouvertes pertinente.
32. Le Commissariat a également demandé à la GRC de lui fournir des renseignements au sujet de la classification des renseignements communiqués aux entités financières et du mode de transmission. La GRC a confirmé que les renseignements communiqués avaient été transmis par courrier électronique non chiffré aux personnes-ressources désignées des entités financières. Au dire de la GRC, les renseignements qu’elle a communiqués étaient désignés « Protégé A^{Note de bas de page 20} »; par conséquent, conformément à sa politique ministérielle sur la sécurité, elle était selon elle autorisée à transmettre les renseignements par courrier électronique non chiffré.
33. La GRC a confirmé que les renseignements personnels recueillis et communiqués au titre des exigences du Décret étaient conservés dans le SIRP.

Conclusions tirées de la consultation auprès de la GRC

34. Dans l’ensemble, le Commissariat a conclu que la communication des renseignements personnels par la GRC aux entités financières avait une portée et une nature limitées (c.-à-d. les communications concernaient l’identité de 62 personnes et de 17 entreprises), et qu’elle visait expressément à permettre à ces entités de répondre à leurs obligations au titre du Décret (c.-à-d. établir si elles avaient en leur possession ou sous leur contrôle des biens qui appartenaient à une personne désignée ou qui étaient détenus ou contrôlés par elle ou pour son compte).
35. Le Commissariat a conclu que la GRC avait fait preuve de diligence raisonnable en évaluant et en validant les renseignements avant de les transmettre aux entités financières, notamment en validant les renseignements sur la plaque d’immatriculation et le recours à l’information de sources ouvertes^{Note de bas de page 21} pour confirmer l’identité des personnes et le dernier emplacement connu potentiel d’une personne associée à un véhicule, et en communiquant avec les personnes pour confirmer leur présence ou leur participation aux blocages illégaux. La GRC a d’ailleurs informé les personnes des conséquences de leur participation aux activités interdites à la lumière des exigences du Décret et elle n’a communiqué aucun renseignement sur les personnes qui tentaient de quitter les lieux, mais qui en étaient incapables parce que les rues n’étaient pas dégagées.
36. Le Commissariat estime que la GRC a pris des mesures raisonnables pour confirmer l’exactitude et l’intégralité des renseignements qu’elle a communiqués aux entités financières et veiller à ce que l’information concerne les personnes ou les entités participant à l’une ou l’autre des activités interdites au titre des articles 2 à 5 du Règlement. Cela concorde avec les obligations de la GRC aux termes du paragraphe 6(2) de la LPRP, qui exige que les institutions fédérales prennent toutes les mesures raisonnables pour veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elles utilisent à des fins administratives soient exacts, à jour et complets.
37. En ce qui concerne l’usage et la communication par la GRC des renseignements personnels qu’elle a recueillis conformément au Décret, le Commissariat a conclu que rien ne permettait de croire qu’elle avait utilisé ou communiqué les renseignements personnels à des fins autres que celle prévue lors de leur collecte. En tout, 20 différentes entités financières ont transmis à la GRC des renseignements qui se rattachaient à des produits financiers ayant fait l’objet d’un gel au titre du Décret, conformément à l’article 5. La GRC a confirmé qu’elle avait transmis les renseignements obtenus d’une entité financière à un autre service de police au cours de la période d’application du Décret à des fins d’application de la loi, mais a souligné qu’elle n’avait pas établi pour les renseignements obtenus au titre de l’article 5 du Décret un usage compatible qui en aurait justifié la transmission à un tiers.
38. De plus, la GRC a recueilli des renseignements au sujet de personnes désignées en tant que propriétaires ou conducteurs de véhicules qui refusaient de quitter la zone de l’assemblée, après quoi elle a communiqué les renseignements pertinents aux entités financières au titre du Décret. Le Commissariat a conclu que rien ne permettait de croire que les renseignements personnels recueillis à cette fin avaient été utilisés ou communiqués à d’autres fins.
39. Selon les renseignements que le Commissariat a obtenus de la GRC, cette dernière a pris des mesures pour transmettre des renseignements pertinents et opportuns aux entités financières, et pour voir à ce qu’ils n’outrepassent pas les paramètres de ce qui était nécessaire pour que les entités répondent à leurs obligations au titre du Décret (c.-à-d. afin d’établir si les personnes en question étaient des personnes désignées). La « lettre d’information » que la GRC a remise aux entités financières était précise et claire, et elle appuyait les mesures que celle-ci avait prises pour communiquer des catégories pertinentes et uniformes de renseignements afin d’aider les entités à déterminer si elles doivent soumettre une déclaration.
40. En outre, la GRC a pris des mesures pour évaluer et définir les entités financières auxquelles les renseignements devaient être communiqués et, comme il est mentionné précédemment, la communication était accompagnée d’une lettre qui présentait la justification et l’assise juridique permettant la communication des renseignements, de même que d’un message d’avertissement au sujet de leur usage et de leur protection. En se fondant sur sa consultation auprès de la GRC, le Commissariat est d’avis que les mesures que cette dernière a prises pour répondre à ses obligations au titre du Décret étaient conformes aux articles 7 et 8 de la LPRP, qui imposent des limites à l’usage et à la communication de renseignements personnels sans le consentement de la personne concernée.
41. Pour ce qui est de la transmission par la GRC des renseignements aux entités financières, le Commissariat a constaté que celle-ci les avait communiqués par courrier électronique non chiffré, ce qui, selon la GRC, concorde avec les exigences de sa politique ministérielle sur la sécurité visant les renseignements « Protégé A ». Il incombe aux institutions du gouvernement du Canada d’attribuer le niveau de sécurité approprié à leurs renseignements et à leurs biens, mais le Commissariat s’interroge sur la question de savoir si les renseignements communiqués aux entités financières auraient pu être classifiés de manière à illustrer leur nature sensible et le degré de préjudice qui pourrait vraisemblablement se produire en cas de compromission.
42. Le Commissariat reconnaît que les données de base (p. ex. l’adresse et la date de naissance) peuvent généralement être classifiées au niveau « Protégé A »; cependant, si ces renseignements sont combinés à d’autres catégories de renseignements personnels (il s’agit ici des renseignements découlant des vérifications par la GRC dans des bases de données et de l’information de sources ouvertes) et si, en plus, les renseignements communiqués permettaient d’identifier les personnes qui étaient des « personnes désignées » au titre du Décret, il s’attendrait à ce que l’on songe à garantir que les renseignements soient classifiés adéquatement selon le degré de préjudice pouvant être causé par une communication non autorisée^{Note de bas de page 22}. De l’avis du Commissariat, la compromission des renseignements aurait pu avoir des répercussions financières pour les personnes en question et porté atteinte à leur réputation.
43. Même s’il ne revient pas au Commissariat d’examiner la classification des renseignements ou des biens d’une institution, ce dernier souligne que c’est cette classification qui établit en partie les exigences en matière de sécurité et les mesures de protection des renseignements, y compris les exigences adéquates concernant leur communication. Dans le présent cas, la GRC a transmis par courrier électronique non chiffré des renseignements étant par nature sensibles aux entités financières.
44. Les ministères et organismes fédéraux ont la capacité de transmettre et de recevoir des courriels au moyen d’un canal chiffré; toutefois, le Commissariat reconnaît que l’échange de renseignements entre les entités des secteurs public et privé ne bénéficie pas, dans la plupart des cas, du même niveau de sécurité de l’information^{Note de bas de page 23}. Néanmoins, étant donné la nature des renseignements personnels communiqués, le Commissariat s’attendrait à ce qu’on réfléchisse au mode de transmission des renseignements et qu’on garantisse que les institutions puissent prendre les mesures de sécurité technologiques adéquates pour protéger les renseignements.
45. La consultation a permis au Commissariat de conclure que la GRC avait conservé les renseignements personnels recueillis pendant que la Loi sur les mesures d’urgence était en vigueur conformément à ses politiques de conservation, et qu’elle avait ainsi répondu à ses obligations au titre du paragraphe 6(1) de la LPRP. Celui-ci prévoit que les renseignements personnels utilisés par une institution fédérale à des fins administratives doivent être conservés après usage par l’institution pendant une période, déterminée par règlement, suffisamment longue pour permettre à l’individu qu’ils concernent d’exercer son droit d’accès à ces renseignements.
46. Comme l’exigent les articles 10 et 11 de la LPRP, les renseignements personnels recueillis par la GRC à la suite du recours à la Loi sur les mesures d’urgence sont décrits dans le FRP intitulé « GRC PPU 005 ». Au dire de la GRC, elle n’a pas encore établi un usage compatible pour les renseignements qu’elle a obtenus au titre de l’article 5 du Décret; par conséquent, conformément aux exigences de la LPRP, le Commissariat s’attend à ce que la GRC modifie la description du FRP de manière à insérer un énoncé concernant les usages ou les fins s’appliquant aux renseignements personnels avant leur usage ou leur communication.
47. À l’issue de la consultation, la GRC a eu l’occasion d’examiner les observations soulevées par le Commissariat. Elle a indiqué qu’elle acceptait nos recommandations, notamment : i) veiller à ce que les renseignements soient protégés selon leur degré de sensibilité et ii) mettre à jour les descriptions de FRP de la GRC pertinents pour s’assurer que tous les usages compatibles y sont énumérés.

Consultation auprès du CANAFE

Pouvoirs temporaires accordés au titre du Décret

48. Le mandat du CANAFE est de faciliter la détection, la prévention et la dissuasion du blanchiment d’argent et du financement des activités terroristes, tout en assurant la protection des renseignements personnels qu’il détient. Le CANAFE a signalé que son mandat n’avait pas été élargi à la suite de la prise des mesures d’urgence temporaires accordées au titre du Décret. Les mesures d’urgence ont entraîné des obligations d’inscription et de déclaration pour certaines entités non assujetties à la LRPCFAT^{Note de bas de page 24} avant la prise du Décret, notamment celles indiquées aux alinéas 3k) et l) du Décret (c.-à-d. plateformes de sociofinancement, fournisseurs de services de paiement et certaines plateformes de cryptomonnaies). Ces entités étaient tenues de s’inscrire auprès du CANAFE si elles estimaient avoir en leur possession des biens appartenant à une personne désignée ou qui étaient détenus ou contrôlés par elle, et de signaler certaines opérations financières au CANAFE.
49. Également, le Décret autorisait le CANAFE à communiquer des renseignements à toute entité financière visée à l’article 3 s’il était convaincu que les renseignements aideraient à l’application du Décret (article 6).

Portée des renseignements personnels obtenus par le CANAFE

50. Le CANAFE a fait savoir qu’il n’avait pas eu l’occasion d’inscrire officiellement de nouvelles entités comme l’exige l’article 4 du Décret; par conséquent, aucune nouvelle entité ne lui a signalé d’opérations suspectes ou d’autres opérations financières de la part de personnes désignées pendant que le Décret était en vigueur. Il a confirmé que les signalements d’opérations financières qu’il avait reçus au cours de cette période avaient été faits par les entités existantes conformément à la LRPCFAT et aux seuils établis dans celle-ci.
51. En outre, le CANAFE a signalé que, puisqu’aucune nouvelle entité ne s’était inscrite auprès de lui après l’entrée en vigueur du Décret, il ne lui était pas nécessaire de modifier les FRP existants en vue de décrire toute collecte, utilisation ou communication de renseignements personnels faite par une de ces entités.

Portée des renseignements personnels communiqués par le CANAFE

52. Le CANAFE a fait observer que l’ensemble des renseignements financiers tactiques qu’il avait communiqués aux services de police et aux organismes d’application de la loi et de sécurité nationale pendant que le Décret était en vigueur avaient été transmis uniquement selon les autorisations prévues dans la LRPCFAT. Par conséquent, le CANAFE a satisfait à l’un des seuils de communication prévus par la loi, ce qui fait en sorte qu’il a dû s’assurer que les renseignements en question seraient utiles aux fins d’enquête ou de poursuite relativement à une infraction de recyclage des produits de la criminalité ou de financement d’activités terroristes, ou qu’ils se rapporteraient à des menaces envers la sécurité du Canada.
53. Le CANAFE a déclaré au Commissariat qu’il n’a pas fait le suivi des renseignements au sujet des « personnes désignées » définies dans le Décret et qu’il n’a pas cherché à établir si une personne ou une entité nommée dans les renseignements financiers tactiques communiqués était une « personne désignée ». Le Commissariat souligne que le CANAFE a aussi confirmé dans son témoignage au DEDC qu’il n’avait reçu aucune liste des « personnes désignées^{Note de bas de page 25} ».

Conclusions tirées de la consultation auprès du CANAFE

54. À la lumière de la consultation menée par le Commissariat auprès du CANAFE, l’échange de renseignements qui s’est produit pendant que le Décret était en vigueur reposait sur les autorisations prévues dans la LRPCFAT. Par conséquent, les rapports que le CANAFE a reçus de la part des entités existantes et les renseignements financiers qu’il a communiqués étaient fondés sur les seuils en place au titre de la LRPCFAT.
55. Étant donné que la consultation en l’espèce était informelle, le Commissariat n’a pas poussé son examen au-delà des objectifs établis dans la consultation. Plus précisément, il n’a pas examiné les activités du CANAFE concernant la collecte et la communication, le cas échéant, de renseignements personnels conformément aux pouvoirs et au mandat que lui confère la LRPCFAT.
56. Le CANAFE a eu l’occasion d’examiner les conclusions tirées par le Commissariat dans le cadre de la consultation et de formuler des commentaires à cet égard. Il a indiqué n’avoir aucun autre commentaire à formuler en ce qui concerne notre compréhension de son rôle à la suite du recours à la Loi sur les mesures d’urgence.

Autres

57. Le Commissariat a souligné que des modifications apportées au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes et au Règlement sur les pénalités administratives – recyclage des produits de la criminalité et financement des activités terroristes sont entrées en vigueur en avril 2022^{Note de bas de page 26}. Ces modifications font en sorte que les plateformes de sociofinancement et certains fournisseurs de services de paiement sont maintenant considérés comme des entreprises de services monétaires (ESM) ou des entreprises de services monétaires étrangères (ESME) assujetties à la LRPCFAT et ayant les obligations suivantes à remplir : i) s’inscrire auprès du CANAFE; ii) établir et mettre en œuvre un programme de conformité; iii) remplir les exigences relatives au besoin de « bien connaître son client », y compris vérifier l’identité des personnes et des entités à l’égard de certaines activités et opérations; iv) conserver certains documents, dont ceux concernant les opérations et l’identité des clients; et v) déclarer certaines opérations au CANAFE.

Consultation auprès du SCRS

Pouvoirs temporaires accordés au titre du Décret

58. Conformément à l’article 5 du Décret, les entités financières visées à l’article 3 étaient tenues de communiquer, sans délai, certains renseignements au SCRS ou à la GRC, notamment : a) le fait qu’elles croyaient que des biens qui étaient en leur possession ou sous leur contrôle appartenaient à une personne désignée ou étaient détenus ou contrôlés par elle ou pour son compte; et b) tout renseignement portant sur une opération, réelle ou projetée, mettant en cause des biens visés à l’alinéa a).
59. Le Décret autorisait également le SCRS à communiquer des renseignements à une entité financière visée à l’article 3 s’il était convaincu que les renseignements aideraient à l’application du Décret.

Conclusions tirées de la consultation auprès du SCRS

60. Le Commissariat a confirmé que le SCRS n’a demandé aucune mesure spéciale au titre de la Loi sur les mesures d’urgence et qu’aucun pouvoir supplémentaire ne lui a été accordé en vertu de cette loi. En outre, le Commissariat a confirmé que le SCRS n’a obtenu aucun renseignement de la part de l’une ou l’autre des entités financières visées à l’article 3 du Décret en application du Règlement ou dudit Décret. Dans le cadre de la présente consultation, le Commissariat n’est aucunement préoccupé par les activités du SCRS du point de vue de la protection de la vie privée.
61. Le Commissariat fait valoir que le pouvoir du SCRS de recueillir des renseignements sur les menaces envers la sécurité du Canada s’appuie principalement sur l’article 12 de la Loi sur le Service canadien du renseignement de sécurité (LSCRS)^{Note de bas de page 27}. Le SCRS a confirmé dans son rapport institutionnel à l’intention de la CEDU qu’il avait établi des protocoles de transmission de renseignements avec la GRC et d’autres organismes d’application de la loi. Tout au long des blocages et des manifestations, le SCRS et la GRC ont suivi ces protocoles pour échanger des renseignements pertinents sur les menaces envers la sécurité du Canada^{Note de bas de page 28}.
62. Étant donné que la consultation en l’espèce était informelle, le Commissariat n’a pas poussé son examen au-delà des objectifs établis dans la consultation. Plus précisément, il n’a pas examiné les activités du SCRS concernant la collecte et la communication, le cas échéant, de renseignements personnels conformément aux pouvoirs et au mandat que lui confère la LSCRS ou à d’autres protocoles de transmission de renseignements.

Observations

63. La consultation informelle visait à mieux comprendre la façon dont la GRC, le SCRS et le CANAFE avaient mis en œuvre les pouvoirs temporaires accordés à la suite du recours à la Loi sur les mesures d’urgence. L’objectif général du Commissariat consistait à évaluer ces pouvoirs temporaires par rapport à la LPRP – et plus précisément le pouvoir de transmettre des renseignements – par rapport aux exigences de la LPRP.
64. Le Commissariat fait observer que le DEDC a réalisé une étude parallèle et continue afin d’examiner l’exercice des attributions découlant de la déclaration d’urgence. Le Commissariat a été invité à présenter un mémoire au DEDC d’ici le 23 janvier 2023^{Note de bas de page 29}. Ce dernier doit remettre son rapport définitif à la Chambre des communes et au Sénat au plus tard le 31 mars 2023.
65. De plus, la CEDU a examiné et évalué le fondement de la décision du gouvernement de déclarer l’état d’urgence. Elle s’est penchée sur les circonstances ayant mené à cette décision ainsi que sur la pertinence et l’efficacité des mesures prises par le gouvernement face à la situation. Elle a aussi procédé à un examen stratégique du cadre législatif et réglementaire en cause, y compris la question de savoir si une modification quelconque à la Loi sur les mesures d’urgence était nécessaire. Le commissaire de la CEDU, l’honorable Paul Rouleau, a déposé le Rapport de l’Enquête publique sur l’état d’urgence déclaré en 2022 le 17 février 2023^{Note de bas de page 30}.
66. À la lumière de ces études parallèles, le Commissariat constate qu’il existe un risque de chevauchement avec les observations découlant de sa consultation. Néanmoins, compte tenu de l’importance de cette question, le Commissariat profite de l’occasion pour communiquer certaines des observations qu’il a soulevées dans le cadre de sa consultation auprès de ces institutions.
67. Dans l’ensemble, le Commissariat a conclu que la portée et la nature des renseignements communiqués étaient limitées, et que des mesures raisonnables avaient été prises pour définir quels renseignements étaient pertinents, exacts et nécessaires pour aider les entités financières à répondre à leurs obligations au titre du Décret (c.-à-d. afin d’établir si les personnes en question étaient des personnes désignées). Le Commissariat a également conclu que les institutions avaient pris des mesures raisonnables afin de voir à ce que la communication des renseignements conformément au Décret n’ait pas outrepassé les paramètres de ce qui était nécessaire pour que les entités financières répondent à leurs obligations au titre du Décret. En outre, il a conclu que les institutions avaient veillé à ce que les renseignements soient transmis aux entités concernées et que des messages d’avertissement accompagnent les renseignements communiqués. La communication des renseignements s’est produite à l’intérieur d’un délai prescrit et a cessé lors de la révocation des pouvoirs temporaires.
68. Compte tenu des répercussions sur la vie privée et de la possibilité que les mesures temporaires aient une incidence sur le droit à la vie privée des Canadiennes et des Canadiens, le Commissariat a examiné le recours à ces pouvoirs à la lumière des principes généraux de nécessité et de proportionnalité^{Note de bas de page 31}. Dans l’ensemble, le Commissariat a conclu que la communication des renseignements personnels était proportionnelle aux besoins découlant de la situation sans précédent et aux obligations juridiques issues de la déclaration d’état d’urgence aux termes de la Loi sur les mesures d’urgence.
69. Néanmoins, afin d’assurer la responsabilité au chapitre de la protection de la vie privée des Canadiennes et des Canadiens, il faut examiner de façon formelle les répercussions sur la vie privée que peuvent avoir des mesures temporaires comme celles accordées au titre de la Loi sur les mesures d’urgence, et ce, dans le contexte des mesures d’urgence. À cet égard, le Commissariat présente les observations ci-dessous.
70. D’abord, le Décret a prévu le pouvoir de transmettre des renseignements personnels qui sont par nature sensibles. Le simple fait que les renseignements communiqués concernent des personnes considérées comme étant des « personnes désignées » et susceptibles d’être visées par des mesures financières, en plus des autres identificateurs personnels et renseignements financiers (qui sont souvent sensibles sur le plan de la réputation), nécessite le recours à des procédures et processus clairs et adéquats pour traiter les risques en matière de sécurité et de confidentialité des renseignements. Cela est particulièrement important dans les cas où la compromission des renseignements personnels pourrait engendrer une atteinte importante à la réputation des personnes touchées ou leur faire subir d’autres préjudices notables.
71. Le Commissariat a fait observer que le Décret ne précisait pas les conditions ou les exigences liées à la communication de renseignements, notamment les types précis de renseignements personnels qui pourraient être communiqués et leur portée. Par conséquent, les renseignements transmis à la GRC conformément à l’article 5 du Décret n’avaient pas tous la même portée et les mêmes détails, ce qui peut poser un problème du point de vue de la responsabilité et de la transparence. Il faut définir les limites de la communication de renseignements pour veiller : i) à ce que seuls les renseignements personnels nécessaires sont communiqués aux fins convenues; ii) à l’uniformité et à l’exhaustivité des pratiques de tenue de documents ; et iii) à l’intégrité et la fiabilité des renseignements qui seront utilisés aux fins autorisées.
72. Le Commissariat fait aussi remarquer que le Décret n’a pas prescrit la façon dont les renseignements devaient être transmis aux entités financières. Au dire de la GRC, elle a fait le pont pour les institutions provinciales et territoriales afin de faciliter les communications et la transmission des renseignements aux entités financières. Cette approche peut avoir accru l’efficience et diminué les redondances pendant la crise (comme l’a soulevé la GRC), mais cela signifie également que les renseignements ont été transmis et traités par un tiers, augmentant ainsi les risques d’atteinte à la vie privée et à la sécurité des renseignements. Il est important de définir les pratiques de transmission de renseignements en utilisant des mesures de contrôle et des limites claires, et les institutions doivent comprendre les attentes à cet égard de manière à pouvoir s’assurer que les activités de transmission de renseignements soient conformes aux lois sur la protection des renseignements personnels et à ce que des mesures soient prises afin d’atténuer les risques d’atteinte à la vie privée.
73. De plus, le Décret ne comportait aucune exigence de protection explicite visant à ce que des procédures adéquates soient établies et mises en œuvre en vue de protéger les renseignements personnels, d’autant plus qu’il autorisait l’échange de renseignements entre le gouvernement et des entités du secteur privé. Les mesures de sécurité protègent les renseignements contre la perte ou le vol, ainsi que tout accès, utilisation, communication, copie ou modification non autorisés, et elles comprennent notamment : i) des moyens matériels (p. ex. des classeurs verrouillés); ii) des mesures administratives (p. ex. un accès sélectif aux renseignements personnels); et iii) des mesures techniques (p. ex. le recours à des mots de passe et à du chiffrement).
74. Enfin, la GRC a affirmé qu’elle n’avait pas compétence pour surveiller les mesures prises par les entités par rapport aux personnes désignées et au gel des avoirs. Pour cette raison, le Commissariat souligne que le Décret n’a prescrit aucune structure formelle de surveillance ou de reddition de compte en vue de la saisie des renseignements transmis. Il est ainsi difficile de tenir les institutions responsables des renseignements qu’elles transmettent et il est difficile pour le gouvernement du Canada d’évaluer l’efficacité des mesures et de faire preuve de transparence envers la population canadienne.

Conclusion

75. Le Commissariat a fait valoir précédemment que la protection de la vie privée ne se limitait pas à une série de règles techniques et de règlements, mais qu’elle représentait plutôt un impératif constant de préserver les droits fondamentaux de la personne et les valeurs démocratiques, même dans des circonstances exceptionnelles. En situation de crise, les lois sur la protection des renseignements personnels continuent de s’appliquer, mais elles ne doivent pas faire obstacle à la communication adéquate de renseignements^{Note de bas de page 32}.
76. À titre d’exemple, au cours de la crise sanitaire liée à la COVID-19, le Commissariat a publié le « Cadre pour l’évaluation par le gouvernement du Canada des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée^{Note de bas de page 33} ». Ce cadre souligne le fait que les nouvelles lois et mesures appliquées par rapport à la crise doivent également prévoir des dispositions précises pour la surveillance et la responsabilité puisqu’en temps de crise, les mesures de protection institutionnelles deviennent plus importantes, pas moins.
77. Le pouvoir de transmettre des renseignements personnels sensibles – surtout en période de crise où des mesures extraordinaires sont prises – doit être appuyé par des orientations et des processus clairs de sorte que les institutions fédérales et les entités financières connaissent leurs obligations dès le départ et assurent la transparence et la responsabilité envers les Canadiennes et les Canadiens au chapitre de la protection des renseignements personnels.
78. Le Commissariat estime qu’il y a ici des dispositions et des orientations qui régissent la prise des mesures temporaires et, plus précisément, la communication des renseignements personnels, et qui, à tout le moins : i) définissent les éléments précis de renseignements personnels à communiquer; ii) déterminent les fins particulières visées par la communication; iii) limitent les utilisations secondaires et les communications ultérieures; et iv) englobent des dispositions liées à la prise de mesures proportionnellement élevées de protection des renseignements. Les dispositions formulées ainsi donneront des précisions et des orientations aux institutions, en plus de les aider à répondre à leurs obligations conformément aux mesures temporaires et aux lois sur la protection des renseignements personnels.
79. Comme il a été mentionné précédemment, les nouvelles lois et mesures propres à la crise – particulièrement celles qui autorisent la communication de renseignements personnels – nécessitent des dispositions en matière de surveillance ou un mécanisme de reddition de compte, ou les deux, permettant d’effectuer le suivi de l’échange de renseignements. Il sera ainsi possible de voir à ce qu’il y ait des documents clairs et fiables qui font état des renseignements qui ont été communiqués, de leurs destinataires et des fins auxquelles ils ont été transmis. De plus, il sera plus facile pour les institutions de s’assurer qu’elles répondent à leurs obligations juridiques prévues par les mesures temporaires, mais aussi de veiller au respect de la LPRP et de la LPRPDE.
80. Lorsqu’on a eu recours à la Loi sur les mesures d’urgence au début de 2022, c’était la toute première fois que les pouvoirs prévus par cette loi étaient utilisés. Cette démarche visait à réagir aux événements extraordinaires qui sont survenus à Ottawa et ailleurs au Canada, de même qu’à des événements semblables qui se sont produits à l’étranger. Le Commissariat est heureux d’avoir mené une consultation auprès de la GRC, du CANAFE et du SCRS, et il tient à les remercier de l’esprit de collaboration et de l’ouverture dont ils ont fait preuve dans le cadre de cette affaire importante. Il espère que ses observations à la suite de cette consultation donneront des indications utiles au gouvernement du Canada sur la communication de renseignements ainsi que sur les dispositions qu’il s’attendrait à voir dans la loi pour la surveillance et la responsabilité en temps de crise au chapitre de la protection de la vie privée.