Lettre à l’intention du ministre de l’Industrie relativement à l’examen quinquennal obligatoire de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Le 13 juillet 2007
La commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, a fait parvenir la lettre suivante à l’honorable Maxime Bernier, ministre de l’Industrie, relativement à l’examen quinquennal obligatoire de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
L'honorable Maxime Bernier
Ministre de l'Industrie
5e étage, tour Ouest
Édifice C.D. Howe
235, rue Queen
Ottawa (Ontario) K1A 0H5
Monsieur le Ministre,
Je vous écris relativement au quatrième rapport du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique sur l'examen quinquennal obligatoire de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Il m’a semblé qu'il pourrait vous être utile de connaître les préoccupations du Commissariat relativement aux recommandations contenues dans ce rapport.
Permettez-moi tout d’abord d’exprimer mon appréciation pour le travail considérable qu’a effectué le Comité. Je crois que ce type d’examen régulier et continu est essentiel pour garantir que nous ayons la meilleure loi possible en matière de protection des renseignements personnels. En ce qui a trait aux renseignements médicaux, les provinces de l'Alberta, de la Colombie-Britannique et de l'Ontario ont adopté des mesures législatives depuis l'entrée en vigueur de la LPRPDE, et nous pouvons tous tirer des enseignements de cette nouvelle génération de lois.
Je suis généralement d’accord avec la grande majorité des 25 recommandations du Comité, formulées à titre de propositions ou aux fins de consultations plus approfondies. J’espère que vous irez de l’avant avec les changements législatifs requis.
Je ne me propose pas d’aborder ici toutes les recommandations énoncées dans le rapport, même si je suis tout à fait disposée à en discuter avec vous. Par souci de clarté, je ne souhaite qu’attirer votre attention sur les six questions qui soulèvent des préoccupations pour moi. L’une de ces questions, à savoir si j’ai les pouvoirs requis pour examiner les documents protégés par le secret professionnel de l’avocat, sera portée à l’attention de la Cour Suprême du Canada en février 2008. Bien que je ne sois pas d’accord avec le Comité sur cette question, je crois qu’il serait prématuré pour l’instant d’envisager des changements législatifs pour clarifier mes pouvoirs.
Dans la présente, j’aborde les cinq autres questions. Pour faciliter les choses, j’ai suivi l’ordre dans lequel les recommandations sont formulées dans le rapport.
1. Produit du travail (recommandation no 2)
Lors de nos comparutions devant le Comité, la commissaire adjointe, Heather Black, et moi-même avons discuté de la proposition d'exclure le produit du travail de la définition des renseignements personnels. Nous avons fait valoir à ce moment-là, et continuons de croire aujourd’hui, que ce serait manquer de prudence que de prévoir une telle exclusion. En effet, je crois que l'approche actuelle, qui nous permet d'examiner la question au cas par cas, est plus appropriée. L'une des principales préoccupations du Commissariat quant à ce retrait, c'est qu’il pourrait entraîner une surveillance accrue des employés et un suivi importun en milieu de travail, sans contrepartie de protection de la vie privée. Jusqu'à maintenant, nous avons été en mesure d'évaluer l’incidence de l’avènement des nouvelles technologies en milieu de travail, par exemple la biométrie, le positionnement global et le recours à l’identification par radiofréquence, et de garantir aux employés une protection appropriée de leur droit à la vie privée.
De plus, il n'y a pas actuellement de consensus clair quant à la définition du « produit du travail », et il n'y a pas eu suffisamment de discussions au sujet des conséquences que pourrait avoir une telle exclusion. À tout le moins, je demanderais au gouvernement de consulter un éventail d'intervenants dont les droits pourraient être touchés par une telle mesure et de solliciter des représentations de leur part afin de s'assurer de bien faire le tour des enjeux relatifs à la protection de la vie privée, qui sont complexes. Je joins une copie d'un document élaboré par le Commissariat à la demande du ComitéNote de bas de page 1 et qui décrit certaines des préoccupations que soulève pour nous une telle exclusion. Si le gouvernement devait accepter la recommandation no 5 du Comité concernant l’adoption d'un code employeur–employé pour les entreprises fédérales, les installations et les ouvrages, il se pourrait que certaines de nos préoccupations soient atténuées concernant le produit du travail. Je suis heureuse que le Comité ait reconnu la nécessité d'une telle modification, et les membres du Commissariat sont tout à fait disposés à travailler avec vous et votre ministère sur cette question.
2. Relations entre mandants et agents (recommandation no 8)
Le Commissariat n'est pas d'accord pour dire qu'il y a confusion dans la LPRPDE en ce qui a trait à la relation entre mandants et agents. En effet, la LPRPDE contient des dispositions relatives aux transferts à des fins de traitement (principe 4.1). Dans d'autres cas, lorsqu'une organisation communique des renseignements personnels à une autre organisation, la Loi l’oblige à obtenir le consentement de la personne concernée, et nous ne croyons pas que ce processus soit trop onéreux. Le Commissariat pourrait peut-être publier une FAQ offrant une orientation aux parties concernées.
3. Litiges/Instances judiciaires (recommandations 9 et 10)
L’Association du Barreau canadien a plaidé en faveur de la transparence en ce qui a trait aux dispositions des lois de l’Alberta et de la Colombie-Britannique relatives à l’accès à l’information juridique dans le cadre d’une instance judiciaire. Je ne crois pas que cette question ait posé de problèmes importants au cours des cinq dernières années. Le Commissariat a déjà constaté dans le cadre de l’examen des plaintes que, selon la taille des documents en cause dans une instance, les exigences relatives à la communication des renseignements sont plus restreintes que les dispositions de la LPRPDE visant la consultation de ces renseignements.
4. Collecte et communication à des fins d'application de la loi et de sécurité nationale (recommandation no 12)
Si le gouvernement croit que l’inclusion des définitions d’« autorité légitime » et d’« institution gouvernementale » permettra de clarifier la Loi, je n'y ai aucune objection. Toutefois, la recommandation no 12 indique également que la communication par les organisations à l'insu et sans le consentement de la personne concernée devrait être obligatoire (lorsqu'il s'agit de questions ayant trait à l’application de la loi et à la sécurité nationale). Cela constitue un autre pas en arrière par rapport à l'amendement mis au point en 2000 en vue de maintenir le statu quo en matière d'application de la loi en ce qui a trait aux demandes d’information des organisations préalables à la délivrance d’un mandat. Je crois qu’il conviendrait de laisser à la discrétion de l’organisation la décision de communiquer ou non les renseignements demandés.
5. Notification des brèches dans la protection des données (recommandations nos 22, 34 et 25)
Lors de notre première comparution devant le Comité, je me suis prononcée en faveur du devoir de notifier les intéressés en cas de brèche dans le dispositif de sécurité. Entre ma première et ma deuxième comparution, on a signalé au Commissariat plusieurs importantes brèches dans le dispositif de sécurité qui ont été rapportées dans les médias. Lors de notre deuxième comparution, nous avons demandé au Comité d'inclure dans la Loi une disposition relative à la notification des brèches dans la protection des données. Je suis heureuse de constater que le Comité a acquiescé à notre demande et je ne doute pas qu’il s’agira d’un ajout important à la Loi. Toutefois, je suis préoccupée par le fait que selon la recommandation du Comité, les organisations devront aviser le Commissariat afin que cette dernière détermine s’il y a lieu ou non de notifier les personnes concernées. Je crois que cette façon de procéder pourrait nous mettre dans une situation difficile, car nous aurions à prendre des décisions relativement aux notifications et ensuite à traiter les plaintes portant sur la même question. De plus, j’ignore actuellement quelles seraient les incidences d'un tel processus sur les ressources du Commissariat.
Comme je l'ai indiqué au Comité, le Commissariat a entrepris avec les intervenants un travail d'élaboration de lignes directrices qui s'appliqueraient en attendant que la Loi soit modifiée. Dans ces lignes directrices, nous encourageons les organisations à nous informer des brèches importantes et à nous demander conseil quant aux critères que nous y énonçons. Toutefois, nous leur laissons le fardeau de la décision de notifier ou non les personnes concernées, en consultation avec le Commissariat lorsque cela est approprié. Ces lignes directrices devraient être affichées sur notre site Web d'ici la fin du mois.
Plusieurs autres recommandations devront sans doute faire l’objet de consultations supplémentaires avec divers intervenants, y compris des discussions avec le Commissariat, et j'ai hâte de vous rencontrer, vous et vos représentants, au cours des mois à venir.
Compte tenu du grand intérêt que l’évolution de la LPRPDE suscite chez les intervenants et les Canadiennes et Canadiens, nous afficherons cette lettre sur notre site Web dans les semaines à venir.
Je vous prie d'agréer, Monsieur le Ministre, l’expression de mes sentiments respectueux.
La commissaire à la protection de la vie privée du Canada,
Original signé par
Jennifer Stoddart
- Date de modification :