Position de la commissaire à la protection de la vie privée du Canada à la clôture des audiences sur l’Examen, prévu par la loi, de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Table des matières

Résumé de la position de la commissaire à la protection de la vie privée du Canada

Introduction

Conclusion

Annexe I – Présentation du CPVP au Comité ETHI (le 27 novembre 2006)

Annexe II – Article 22 concernant les fusions et les acquisitions de la loi de l'Alberta (la PIPA)

Annexe III – Document du CPVP sur le produit du travail

Annexe IV – Communiqué de presse du CPVP – Fonds d'investissement Talvest (CIBC)

Annexe V – Communiqué de presse du CPVP et du Commissariat de l'Alberta – Winners et HomeSense

Annexe VI – Aperçu des lois américaines en matière de notification des atteintes à la protection des données

Annexe VII – Lettre du CPVP au ministre de l'Industrie concernant le pourriel

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Mémoire présenté au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique

Le 22 février 2007


Résumé de la position de la commissaire à la protection de la vie privée du Canada

Nous suggérons au Comité qu'il recommande des modifications à la LPRPDE dans les neuf domaines suivants (tirés de notre présentation de novembre 2006 et du présent document) :

  • secret professionnel (sujet 1, présentation du mois de novembre);
  • information sur les contacts d'affaires (sujet 2, présentation du mois de novembre);
  • relations entre employeurs et employés (sujet 4);
  • collecte et communication aux fins de l'application de la loi et de la sécurité nationale  (sujet 5);
  • tentative de collecte sans le consentement de l'intéressé (sujet 7);
  • exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins personnelles, familiales et d’intérêt public (sujet 8);
  • communication de renseignements personnels avant le transfert d’entreprises (sujet 10);
  • obligation d'aviser (sujet 12); et
  • collaboration avec d'autres autorités responsables de la protection des données (sujet 14)

Nous ne recommandons aucune modification à la LPRPDE dans les domaines suivants :

  • les pouvoirs de la commissaire (sujet 3);
  • désignation des organismes d'enquête (sujet 6);
  • consentement général (sujet 9);
  • produit du travail (sujet 11);
  • circulation transfrontalière des renseignements personnels (sujet 13); et
  • traiter la question du pourriel (sujet 15).

Introduction

Tel que le CPVP l'a énoncé lors de sa première comparution devant le Comité en novembre 2006, nous sommes d'avis que la LPRPDE est raisonnablement efficace, bien que des lacunes se soient manifestées, lesquelles n'avaient pas été prévues lorsque la Loi a été rédigée il y a plusieurs années.

C'est avec un grand intérêt que nous avons suivi les comparutions des témoins devant le Comité. Ils ont mis en lumière l’opposition entre les besoins des organisations et les droits des personnes. Cette opposition est également inhérente à la disposition de déclaration d'objet de la LPRPDE. La diversité des prises de position des témoins est comparable à ce que nous avons observé à l'automne 2006, alors que plusieurs parties ont soumis leurs réponses à notre document de consultations sur la LPRPDE. Dans l'ensemble, cette tension associée au fonctionnement de la LPRPDE est saine et permet de rechercher l'équilibre idéal entre des intérêts opposés.

À la lumière des nombreuses déclarations de témoins présentées au Comité depuis notre première comparution, et compte tenu d'événements récents concernant la protection de la vie privée, nous tenions à clarifier et à préciser certaines de nos positions.  À l'heure actuelle, nous recommandons que des modifications soient apportées à la LPRPDE dans neuf domaines. Le Parlement a adopté l'examen continu à tous les cinq ans de cette loi relativement jeune, ce qui fait que le Commissariat, et d'autres, auront la chance de recommander des modifications additionnelles après que nous ayons eu l'occasion de travailler davantage avec les dispositions de cette Loi. Entre-temps, le CPVP est persuadé que les outils de sensibilisation du grand public et les conseils que nous élaborons permettront à la LPRPDE de trouver l'équilibre essentiel entre les intérêts des diverses parties concernées.

Veuillez noter que nous n'avons pas jugé nécessaire de reproduire, dans le présent document, nos points de vue sur les questions dont nous avons traitées lors de notre précédente présentation lorsque nous ne modifions pas ou n’élaborions pas davantage sur notre position (Voir Annexe1).

Le mémoire reprend la forme de la présentation précédente, à cela a été ajouté: le secret professionnel et l'information sur les contacts d'affaires, lesquels ont été abordés dans l'introduction de notre présentation de novembre 2006.

1. Secret professionnel(Articles 9 et 12)

Nous reconnaissons l’importance du secret professionnel comme principe juridique fondamental. Mais nous sommes préoccupés à l'idée que des organisations pourraient contrecarrer les enquêtes du Commissariat en revendiquant injustement ce privilège.

Comme l'a indiqué la commissaire à la protection de la vie privée lors de sa première comparution devant le Comité, la décision rendue par la Cour d'appel fédérale en octobre 2006 dans l'affaire Blood TribeNote de bas de page 1 a diminué les pouvoirs d'enquête de la commissaire en l'empêchant d'examiner si la revendication du secret professionnel est valide. Cette décision crée une lacune dans les pouvoirs de la commissaire et ouvre largement la porte à d'éventuelles revendications du secret professionnel en rapport à des dossiers que détiennent les organisations, en vue de bloquer nos enquêtes et ce, sans possibilité de vérification indépendante à l’effet que les documents visés contiennent bien des renseignements assujettis au secret professionnel, autrement que par une demande officielle à la Cour.

Afin de comprendre les raisons pour lesquelles cette décision amoindrit de façon considérable les pouvoirs de la commissaire aux termes de la LPRPDE, il est nécessaire de prendre en considération le droit fondamental à l'accès que garantit cette loi. La LPRPDE donne aux personnes un droit étendu d'accès aux renseignements personnels les concernant que détiennent les organisations. La loi énonce un nombre limité d'exceptions au droit d'accès; selon l'une de ces exceptions, une organisation peut refuser qu'une personne accède aux renseignements protégés par le secret professionnel. Lorsque cette situation est invoquée, la commissaire doit enquêter et produire un rapport indépendant dans lequel sont formulées ses conclusions et ses recommandations. Si la commissaire n'est pas en mesure de contraindre une organisation à produire les documents qui font l'objet de la revendication de secret professionnel afin de vérifier le bien-fondé d'une telle revendication, elle se retrouve dans l'impossibilité de mener à bien le mandat que lui confère la Loi.

Les pouvoirs d'enquête de la commissaire – lesquels incluent la capacité de vérifier si une organisation peut légitimement invoquer le secret professionnel – sont fondamentaux pour assurer l'efficacité du modèle de l'ombudsman. La commissaire doit connaître tous les faits et les facteurs à prendre en considération afin d'émettre des conclusions valables pour les deux parties.

Le Commissariat est très préoccupé par l'aboutissement de l'affaire Blood Tribe. Bien que nous demandons l'autorisation d'en appeler de cette décision, il serait négligeant de notre part de ne pas soulever la question maintenant, auprès du Comité.

2. Information sur les contacts d'affaires(Article 2)

Comme nous l'avons indiqué au cours de notre première comparution, il faudrait élargir l'exception à la définition de renseignements personnels que renferme la LPRPDE afin d'inclure l'information sur les contacts d'affaires. Nous croyons que la définition contenue dans la loi de l'Alberta (PIPA) serait un modèle adéquat puisqu'elle a une portée suffisamment large mais elle impose des restrictions sur les fins pour lesquelles les renseignements d'affaires pourraient être recueillis, utilisés et communiqués.

3. Les pouvoirs de la commissaire

Le CPVP a abordé cette question dans le cadre de sa présentation en novembre 2006. Nous n'avons recommandé aucune modification à la LPRPDE dans ce domaine.

4. Relations entre employeurs et employés

Dans notre présentation de novembre 2006, nous disions que les renseignements personnels des employés étaient à la base de certaines des plaintes les plus difficiles à traiter déposées auprès du Commissariat au cours des cinq dernières années. Si bien que dans certains cas, nous nous sommes vus dans l'obligation « d’étendre la portée » la LPRPDE afin de traiter de questions relatives à l'emploi.

Nous croyons avoir trouvé une solution viable, bien que de définir les particularités d'un tel régime ne fût pas aisé. Nous encourageons le Comité à recommander que la LPRPDE soit modifiée selon l'approche de la loi albertaine (la PIPA) – un code relatif aux employés reposant sur le critère des fins raisonnables – tant et aussi longtemps qu'une telle exception à l'égard des renseignements personnels des employés existe concurremment à l'exigence de respecter la dignité des employés et une évaluation à savoir s’il s’agit d’une intrusion abusive dans la vie personnelle de l’employé. Dans le cas où il est impossible d’obtenir le consentement, la LPRPDE se trouvera améliorée si l'on prend en considération l'incidence, sur la dignité des employés, de toutes les mesures pouvant porter atteinte à la protection de la vie privée, afin de trouver un équilibre entre le droit des personnes à la vie privée et le besoin qu'ont les organisations de recueillir ou de communiquer des renseignements personnels.

L'article 7 de la LPRPDE renferme des exceptions à l'obligation d'obtenir le consentement des personnes concernées pour la collecte, l'utilisation et la communication de leurs renseignements personnels. Nous recommandons l'ajout d'un paragraphe aux termes duquel il serait permis de recueillir, d'utiliser ou de communiquer les renseignements personnels d'un employé afin d'établir, de gérer ou de mettre fin à une relation d'emploi entre une organisation et une personne, suivant des normes qui respecteraient à la fois le critère des fins raisonnables et la dignité et une évaluation d’une intrusion abusive dans la vie personnelle d’un employé. Nous voudrions également que la LPRPDE renferme l'exigence d'aviser suffisamment à l'avance de la collecte, de l'utilisation et de la communication de renseignements.

La notion de dignité est importante dans l'approche qu'a adoptée le Québec de la protection des renseignements personnels des employés. À notre avis, recourir à ce concept améliorerait la capacité du Commissariat à examiner le contexte d'une plainte. Nous jugeons qu'il serait utile, dans le cadre d'enquêtes sur des plaintes, d'être en mesure de considérer avec attention des pratiques plus étendues afin d'évaluer avec une plus grande précision l'ingérence dans la vie privée et la surveillance des employés. À titre d'exemple, plutôt que de se pencher sur une plainte pour ingérence résultant du recours aux empreintes vocales, aux systèmes de localisation ou à la vidéosurveillance, le CPVP devrait être habilité à pousser son enquête au-delà de l'application particulière de la technologie afin d'évaluer efficacement la portée de l'atteinte à la dignité d'un employé. Nous pourrions également faire valoir qu'en évaluant l'ensemble de la situation, nous serions plus en mesure d'évaluer l'équilibre prévu par la disposition de déclaration d'objet.

5. Collecte et communication aux fins de l'application de la loi et de la sécurité nationale (Article 7(1)e))

Le CPVP a abordé cette question dans sa présentation de novembre 2006 et a demandé au Comité de recommander une modification en la matière.

Nous avons indiqué que le CPVP entretient sans cesse de sérieuses préoccupations quant au libellé d'ordre général de l'alinéa 7(1)e). La disposition s'applique à toute organisation assujettie à la LPRPDE et a pour effet, malheureusement, de déléguer au secteur privé des activités relatives à l'application de la loi sans lui attribuer la responsabilité publique qui correspond à ce type d'activités. L'alinéa 7(1)e) ne limite pas la quantité de renseignements qui peuvent être recueillis sans le consentement de la personne concernée, ni n'impose-t-il de limite aux sources possibles de renseignements.

Nous avons demandé le retrait de cette disposition lors du débat sur la Loi de 2002 sur la sécurité publique. Nous sommes toujours d'avis qu'elle devrait être retirée ou modifiée de façon à ce qu'elle soit plus restrictive.

6. Organismes d'enquête

Le CPVP a abordé cette question dans sa présentation de novembre 2006. Nous n'avons pas recommandé de modifications dans ce domaine.

7. Tentative de collecte sans le consentement de l'intéressé

Le CPVP a abordé cette question dans sa présentation de novembre 2006 et a demandé que le Comité recommande une modification.

Nous avons indiqué que la question de la tentative de collecte demeurait une source de préoccupation au CPVP et que nous soutiendrions tout effort visant à combler cette lacune dans la LPRPDE par l'inclusion de la notion de tentative « délibérée » de collecte.

8. Exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins personnelles, familiales et d’intérêt public

Le CPVP a abordé cette question dans sa présentation de novembre 2006 et a demandé que le Comité recommande une modification.

Nous avons indiqué que certaines présentations qui nous ont été soumises mettaient en lumière des préoccupations légitimes, et que le Comité pourrait envisager de prendre en considération des exceptions très précises en ce domaine, telle la communication de renseignements à la famille d'une personne blessée, malade ou décédée, ou encore la nécessité d'aviser dans des situations d'urgence en milieu communautaire.

9. Consentement général

Le CPVP a abordé cette question dans sa présentation de novembre 2006. Nous n'avons pas recommandé de modifications à la LPRPDE dans ce domaine.

10. Communication de renseignements personnels avant le transfert d'entreprises

Comme nous l'avons indiqué lors de notre comparution en novembre 2006, aucune disposition de la LPRPDE ne permet aux organisations de communiquer des renseignements personnels (telles des listes de clients) à d'éventuels acquéreurs ou partenaires commerciaux sans le consentement des personnes concernées. Les acquéreurs éventuels ou partenaires peuvent devoir passer en revue cette information en tant qu’élément de leur « diligence raisonnable », de façon à savoir s’ils peuvent procéder à une transaction comme une fusion, une acquisition ou une vente d’entreprises.

Le modèle qu'énonce la loi de l'Alberta (PIPA) sur la protection des renseignements personnels serait adéquat.  Les articles afférents de la loi albertaine se retrouvent à l'Annexe II. En ce qui concerne les améliorations, nous croyons, par exemple, que le processus de diligence  raisonnable devrait faire appel à la plus petite quantité possible de renseignements permettant d'identifier une personne. Après le transfert d'une entreprise, toutes les personnes dont les renseignements personnels font l'objet du transfert devraient en être avisées le plus tôt possible. Le nouveau propriétaire devrait être tenu de respecter les politiques sur la protection de la vie privée de l'organisation qu'il achète jusqu'à ce que toutes les personnes aient eu l'occasion de choisir de poursuivre ou de cesser leur relation avec la nouvelle organisation.

Le CPVP continue de croire que le Comité devrait recommander de modifier la LPRPDE en adoptant l'approche de la loi albertaine, en plus des améliorations précisées ci-haut.

11. Produit du travail

Au cours de notre première comparution, nous avons fait valoir que cette question était complexe et nous sommes toujours de cet avis. Nous faisons part, à l'Annexe III, des nombreuses raisons de maintenir l'inclusion du produit du travail à la définition des « renseignements personnels » aux termes de la LPRPDE.

Certaines personnes ont laissé entendre que la question du produit du travail se réglerait aisément et qu'une modification d'ordre général constituerait une solution acceptable pour remédier à une situation particulière. Nous ne croyons pas qu’il s’agit d’une solution facile ou qu’il existe un modèle simple.  À titre d’exemple, le Québec et la Colombie-Britannique ont tous les deux abordé la question du produit du travail concernant les habitudes de prescription des médecins mais chacune d’elle a adopté une approche différente. Cela est très préoccupant et met en jeu des questions complexes se rapportant à des politiques et exigerait une étude plus approfondie. Déterminer s'il y a lieu de modifier la définition des renseignements personnels – l'élément central de la LPRPDE – exigerait en soi la contribution d'experts, d'organismes responsables de la santé et de dépenses liées aux médicaments, d'employés et de groupes œuvrant dans des domaines d'intérêt public.

L'approche qu'adopte actuellement le CPVP pour traiter de ces questions tient compte de la nature raisonnable de la collecte, de l'utilisation et de la communication de renseignements personnels selon le contexte, ce qui comprend les besoins de l'organisation et les normes applicables dans l'industrie. Par exemple, nous nous penchons sur la façon dont les renseignements sont utilisés et non sur leur provenance. Cette approche est avantageuse et elle permet au CPVP d'enquêter au cas par cas sur l'incidence que certaines pratiques particulières, et de prodiguer des lignes directrices et conseils en conséquence.

Voilà pourquoi nous sommes persuadés que d'exclure le produit du travail de la définition des renseignements personnels entraînerait une surveillance de nature envahissante en milieu de travail ainsi que d'autres abus, puisque la LPRPDE ne protégerait plus le produit du travail. Nous préférons continuer à traiter au cas par cas les questions relatives au produit du travail qui se rapportent à la LPRPDE.

Nous croyons de plus qu'en incluant un code relatif aux employés à la LPRPDE, tel qu'énoncé au sujet 4, il serait possible de régler plusieurs questions que l'exclusion du produit du travail tente d'aborder, sans toutefois nuire aux autres droits en matière de protection de la vie privée en milieu de travail.

12. Obligation d'aviser

Lors de notre première comparution devant le Comité, nous avons affirmé que nous appuyions, en principe, l'imposition d'une obligation d'aviser d'une effraction à la sécurité de l'information qui aurait entraîné la perte ou le vol de renseignements personnels. Depuis, les médias ont fait part de plusieurs effractions majeures à la sécurité de l'information. Nous avons ouvert des enquêtes concernant deux d'entre elles – celle impliquant la CIBC compromettant la protection des renseignements personnels des clients de la Talvest (voir l'Annexe IV) et, conjointement avec le commissaire à l'information et à la protection de la vie privée de l'Alberta, celle qui implique les détaillants Winners et HomeSense (voir l'Annexe V).

Suite à ces incidents, il s'est avéré urgent de résoudre le plus tôt possible la question de l'avis d'effraction à la sécurité. Bien que plusieurs organisations aient volontairement informé le Commissariat de brèches dans la protection des données, d'autres organisations ne vont très probablement nous informer ou informer les personnes concernées que si elles y sont contraintes. Nous soulignons également que la Clinique d'intérêt public et de politique d'Internet du Canada (CIPPIC) a publié un judicieux mémoire sur les avis d'effraction à la sécuritéNote de bas de page 2 dans lequel il est recommandé que la LPRPDE renferme une exigence d'avis d'effraction à la sécurité similaire à celles retrouvées dans les lois de certains états américains. L'Annexe VI présente un résumé des lois américaines en la matière.

Nous encourageons fortement le Comité à recommander de modifier la Loi de façon à y inclure une disposition sur les avis d'effraction à la sécurité. Nous sommes conscients que des consultations additionnelles seront nécessaires en vue de déterminer le modèle approprié pour cet avis; aussi nous collaborons actuellement avec divers intervenants afin d'élaborer des lignes directrices à suivre de façon volontaire  jusqu'à ce que la Loi soit modifiée. À cet effet, nous tirons profit de documents rédigés par les commissaires à l'information et à la protection de la vie privée de l'Ontario et de la Colombie-Britannique.

13. Circulation transfrontalière de renseignements personnels

Le CPVP a abordé cette question dans le cadre de sa présentation en novembre 2006. Nous n'avons recommandé aucune modification dans ce domaine.

14. Collaboration avec d'autres autorités responsables de la protection des données (Article 23)

Dans notre présentation de novembre 2006, nous avons mentionné que le CPVP souhaitait être habilité à échanger de l'information et à collaborer à des enquêtes avec des bureaux de protection de la vie privée d'autres provinces ou d'autres pays. Nous souhaitons maintenant donner des précisions quant à la portée et à la nécessité d'un tel échange d'information.

De façon générale, la LPRPDE exige que la commissaire considère comme confidentiel tout renseignement qu'elle a obtenu dans l'exercice de ses pouvoirs, bien qu'elle puisse rendre publique toute information relative aux pratiques d'une organisation si elle juge qu'elles sont d'intérêt public. Le commissariat n'échangerait jamais d'information sur une plainte sans le consentement de la personne concernée.

Dans sa forme actuelle, la LPRPDE permet à la commissaire à la protection de la vie privée de conclure des ententes afin de coordonner des activités, d'entreprendre des recherches ou d'en publier les résultats, d'élaborer des contrats types avec ses homologues de l'Ontario (uniquement avec les dépositaires ontariens des renseignements personnels sur la santé), de l'Alberta, de la Colombie-Britannique et du Québec. L'échange d'information avec les bureaux de surveillance de la protection de la vie privée de ces juridictions s'est avéré très utile. Par exemple, comme il a été mentionné plus haut, le Commissariat et le commissaire à l'information et à la protection de la vie privée de l'Alberta ont annoncé qu'ils allaient mener conjointement une enquête sur une effraction majeure à la sécurité mettant en jeu des renseignements personnels (voir l'Annexe V).

La collaboration avec d'autres autorités responsables de la protection des données répond aux défis juridictionnels auxquels nous faisons face. Nous ne sommes pas les seuls parmi les autorités responsables de la protection des données à faire face à ces défis. La commissaire préside un groupe de l'OCDE qui œuvre à explorer des méthodes pour favoriser la collaboration, entre les responsables de la protection des données et d'autres organismes chargés de l'application des lois en la matière, sur les questions de plaintes transfrontalières et de cas découlant de la circulation transfrontalière des données. L'APEC nous a récemment demandé de présider un groupe de travail afin d'expliquer l'approche du Canada dans ces domaines. De même, l'adoption récente de la US SAFE WEB Act assistera la Federal Trade Commission (FTC) dans sa lutte contre toute une gamme de pratiques nuisibles aux consommateurs américains, dont le pourriel, les espiogiciels et les brèches de sécurité et de protection de renseignements personnels. La loi habilite le FTC à échanger de l'information confidentielle avec des organismes étrangers chargés de l'application de la loi, lesquels sont tenus de garantir la confidentialité de façon appropriée.

Nous voulons nous assurer que le CPVP peut collaborer avec les organismes de protection des consommateurs ou d'application de la loi, comme le FTC, de façon à nous assurer que nous ne dédoublons pas les efforts que d'autres ont entrepris et que nous n'utilisons pas inutilement nos ressources limitées dans nos démarches pour trouver des solutions à ces problèmes ou à d'autres problèmes.

15. Traiter la question du pourriel

Le CPVP n'a pas traité directement de la question du pourriel dans ses observations précédentes au Comité, mais c'est une question qui mérite néanmoins qu'on lui porte attention, particulièrement à la lumière du mandat du Comité. Le pourriel et les menaces en ligne issues du pourriel (tels les attaques par les espiogiciels et par hameçonnage) s'immiscent dans la vie privée des Canadiennes et des Canadiens et menacent leur sécurité. Au-delà de leur impact sur la vie privée, ces activités minent la confiance dans Internet et poussent même certaines personnes à abandonner le commerce électronique.

Pourtant, aucune recommandation du Groupe de travail sur le pourriel – lesquelles recommandations ont été élaborées avec la participation du Commissariat – n'ont été mises en œuvre. Le Canada n'a toujours pas de loi antipourriel et, il est maintenant le seul pays du G-8 dans cette situation. Nous avons fait part de nos préoccupations auprès du ministre de l'Industrie et nous avons également fait parvenir une copie de la lettre aux membres du comité (voir l'Annexe VII). Nous reconnaissons, évidemment, que la LPRPDE et d'autres lois ne constituent qu'une partie de la solution au problème de pourriel. Néanmoins, nous exhortons le Comité à faire en sorte que cette question devienne une priorité et qu'il la porte à l'attention du ministre de l'Industrie.

16. Conclusion

Nous remercions le Comité de nous avoir fourni l'occasion d'émettre à nouveau nos observations sur ces enjeux de grande importance, ainsi que pour son engagement envers le processus d'examen de la LPRPDE. Le Commissariat se fera un plaisir de prêter son assistance pour traiter des enjeux que le comité souhaitera aborder.

Nous attendons avec impatience le rapport et les recommandations du Comité.

Date de modification :