Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet de l’Étude des rapports annuels de la commissaire à la protection de la vie privée

Le 26 avril 2012
Ottawa (Ontario)

Déclaration prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Monsieur le président et mesdames et messieurs les membres du Comité.

Bonjour. Je suis très heureuse d’avoir l’occasion de vous entretenir de notre rapport annuel 2010‑2011 concernant la Loi sur la protection des renseignements personnels, ainsi que de notre rapport annuel 2010 concernant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Je suis accompagnée, aujourd’hui, de la commissaire adjointe à la protection de la vie privée, Chantal Bernier.

Mes observations préliminaires porteront principalement sur le travail que nous avons accompli dans le secteur public, bien qu’il y ait eu aussi des faits nouveaux intéressants dans le secteur privé.

Notre rapport annuel concernant la Loi sur la protection des renseignements personnels pour l’exercice 2010‑2011 était axé essentiellement sur l’administration, par le gouvernement fédéral, des renseignements personnels des Canadiennes et des Canadiens.

En particulier, nous avons examiné la protection de la vie privée dans le contexte de l'application des lois et de la sûreté du transport aérien.

Le rapport a permis de vérifier si les ministères et les organismes recueillaient, utilisaient et communiquaient les renseignements personnels d’une façon conforme à la Loi.

C’est d’une énorme importance, compte tenu de la nature très délicate d’une grande partie des données personnelles requises par l’État pour gouverner.

Après tout, nous parlons ici de renseignements liés au revenu des gens, à leurs impôts et prestations, à leurs habitudes de voyage et à une multitude d’autres aspects de leur vie.

Ce ne sont pas des renseignements que les personnes voudraient nécessairement donner; ils sont tout simplement recueillis pour répondre aux exigences des divers programmes ou activités du gouvernement.

Dans l’ensemble, nous avons conclu que le gouvernement du Canada dispose de politiques et de pratiques solidement établies pour protéger les renseignements personnels des Canadiennes et des Canadiens.

Mais nous avons aussi indiqué qu’il ne peut faire aucun compromis sur la qualité du traitement de ces renseignements.

Et cela doit s’appliquer non pas en quelques occasions, ou la plupart du temps, mais bien en toutes circonstances.

Le fait est que la collecte excessive, une mauvaise utilisation ou une communication inappropriée de renseignements personnels de nature délicate pourraient entraîner de graves conséquences pour les personnes touchées.

Notre rapport annuel résume deux vérifications effectuées par le Commissariat au cours de l’exercice.

Vérification de l’ACSTA

Nous avons évalué si les politiques et les pratiques de l’Administration canadienne de la sûreté du transport aérien (ACSTA) étaient conformes à la Loi sur la protection des renseignements personnels.

La vérification a permis de conclure que l’organisme recueille trop de renseignements sur les voyageurs aériens et qu’il ne protège pas toujours ces données de manière appropriée.

En particulier, nous avons observé que l’ACSTA recueillait des données personnelles sur les activités des voyageurs non liées à la sûreté du transport aérien – lesquelles sont, dans certains cas, parfaitement légales et légitimes.

Par exemple, l’ACSTA prendra note du fait qu’un passager d’un vol intérieur transporte d’importantes sommes d’argent, même si aucune loi ne l’interdit.

La collecte excessive de renseignements est inquiétante, car elle peut entraîner des soupçons non fondés sur une personne innocente.

De plus, nos vérifications ont révélé des lacunes dans les mesures prises pour protéger ces renseignements.

En fait, lors de nos vérifications ponctuelles effectuées dans plusieurs grands aéroports canadiens, nous avons trouvé des rapports d’incidents sur des étagères ouvertes ou sur le plancher, au même endroit où se rendent les passagers retenus pour un contrôle plus approfondi.

Vérification de la GRC

L’autre vérification portait sur la gestion de deux bases de données opérationnelles de la Gendarmerie royale du Canada (GRC), qui comprennent des renseignements échangés avec de nombreux services de police, institutions fédérales et autres organismes.

Vous avez peut-être entendu parler du Centre d’information de la police canadienne (CIPC) et du Système d’incidents et de rapports de police (SIRP).

Le CIPC a été décrit comme étant l'épine dorsale du système de justice pénale. Il permet le stockage et le repérage informatiques de renseignements sur les crimes et les criminels.

Il est régulièrement consulté par les organismes chargés de l’application de la loi et par la communauté de justice pénale.

Quant au SIRP, il s’agit du système de gestion des relevés judiciaires de la GRC. Il contient des renseignements sur les personnes qui sont entrées en contact avec la police, soit en tant que suspect, victime, témoin ou délinquant.

Selon notre vérification, la GRC dispose généralement de politiques et de procédures lui permettant de bien gérer l’accès aux données du CIPC ainsi que leur utilisation.

Toutefois, le tiers des organismes qui recouraient aux données du CIPC étaient incapables, pour des raisons techniques, de mettre en œuvre les protocoles nécessaires pour que seuls les utilisateurs autorisés aient accès aux renseignements du CIPC.

En ce qui concerne la base de données du SIRP, nous avons aussi découvert que des renseignements personnels désuets ou erronés étaient conservés alors qu’ils auraient dû être isolés ou éliminés.

Plus particulièrement, nous avons constaté que les services de police et autres organismes pouvant consulter le SIRP continuaient d’avoir accès aux relevés judiciaires liés à des cas ayant entraîné une condamnation injustifiée ou ayant fait l’objet d’une réhabilitation.

Cette situation contrevient aux dispositions relatives à la conservation des données énoncées dans la Loi sur la protection des renseignements personnels. Elle fait en sorte qu’il est difficile pour les gens de vivre une vie normale, sans qu’elle ne soit entachée de soupçons injustifiés.

L’ACSTA et la GRC ont tous les deux accepté de donner suite à nos recommandations. Nous suivrons de près leur mise en œuvre.

Progrès accomplis

Dans notre dernier rapport annuel, nous avons fait état des travaux de suivi à l’égard de trois vérifications menées en 2008 et en 2009.

Nous voulions savoir combien de nos 34 recommandations avaient été mises en œuvre. Nous avons constaté que 32 d’entre elles avaient été appliquées en totalité ou en grande partie au cours des années qui ont suivi.

Et dans certains cas, les résultats ont été appréciables. Par exemple, le suivi de la vérification sur les fichiers inconsultables de la GRC a permis de découvrir que l’organisme avait éliminé des dizaines de milliers de fichiers excédentaires pour se conformer à nos recommandations.

Rapport annuel sur la LPRPDE

Je parlerai maintenant de notre rapport annuel 2010 concernant la LPRPDE. Les principaux enjeux de ce rapport étaient la protection de la vie privée en ligne et la suppression des renseignements personnels.

Nous avons mis en relief notre vérification d’un important détaillant : Bureau en Gros Ltée – Staples Canada Inc.

Nous avons découvert que Bureau en Gros n’a pas supprimé toutes les données de clients se trouvant dans des dispositifs de stockage retournés, tels des ordinateurs portatifs ou des disques durs USB, destinés à la revente.

C’était particulièrement décevant étant donné que nous avions déjà effectué deux enquêtes concernant des dispositifs de stockage retournés à Bureau en Gros et que nous avions reçu l’assurance que l’entreprise règlerait les problèmes que nous avions décelés.

Même si certaines mesures ont été prises, la vérification a révélé que les procédures et les contrôles en question n’étaient pas appliqués de façon uniforme et qu’ils n’étaient pas toujours efficaces.

Par conséquent, cela présente des risques importants pour les renseignements personnels des clients.

L'enquête a révélé que les véhicules de Google Street View avaient indûment recueilli des renseignements personnels tels que des adresses électroniques, courriels, noms d'utilisateur, mots de passe, numéros de téléphone et adresses civiques.

L'explication de Google concernant cette grave atteinte au droit à la vie privée des Canadiennes et des Canadiens est qu’un ingénieur aurait mis au point un code qui inclut des lignes permettant la collecte de « données utiles », mais qu’il aurait omis d’en informer les conseillers juridiques de l’entreprise chargés de réviser le projet.

Nous étions préoccupés par le manque de contrôle des processus par Google afin d’assurer le suivi nécessaire à la protection de la vie privée.

C’est pourquoi nous avons recommandé que Google dispose d'un modèle de gouvernance afin de se conformer aux lois de protection de la vie privée.

Nous avons aussi recommandé qu’une formation améliorée sur la protection de la vie privée soit offerte aux employés de Google.

Des progrès importants ont eu lieu dans ce dossier depuis que nous avons publié notre rapport annuel. L'an dernier, nous avons examiné les mesures correctives que Google avait mises en place en réponse à l'enquête.

Nous avons constaté que l'entreprise était sur la bonne voie pour résoudre ces graves lacunes, cependant, nous avons demandé que Google fasse l'objet d'une vérification indépendante, effectuée par une tierce partie, en ce qui concerne ses programmes de protection de la vie privée.

Nous avons demandé à Google de nous transmettre le rapport de vérification dans un délai d’une année, et nous sommes impatients d'en examiner les résultats.

Nous avons également commencé à utiliser cette approche – soit, la demande de vérification par une tierce partie – auprès d'autres organismes.

Conclusion

Je n’ai abordé que quelques-unes des nombreuses questions traitées dans nos deux rapports annuels.

Je crois que les deux documents illustrent encore une fois le très large éventail d’enjeux liés à la protection de la vie privée qui ont des conséquences considérables pour les Canadiennes et les Canadiens.

Ils font aussi ressortir l’importance d’avoir des lois rigoureuses pour protéger notre droit à la vie privée.

Merci. C’est avec plaisir que je répondrai maintenant à vos questions.

Date de modification :