Comparution devant le Comité permanent de l'industrie, des sciences et de la technologie (INDU) de la Chambre des communes au sujet du projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence (Loi sur la protection des renseignements personnels numériques)

Le 17 février 2015
Ottawa (Ontario)

Déclaration prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Bonjour Monsieur le Président et membres du Comité.

Nous vous sommes très reconnaissants de nous avoir invités à exprimer notre opinion sur le projet de loi S-4, Loi sur la protection des renseignements personnels numériques.

Je suis accompagné aujourd’hui de Patricia Kosseim, avocate générale principale, et de Carman Baggaley, analyste principal en politiques. Vous savez sans doute que Mme Kosseim et M. Baggaley ont comparu devant le Comité sénatorial permanent des transports et des communications au sujet du projet de loi S-4 en juin dernier, peu avant la confirmation de ma nomination au poste de commissaire à la protection de la vie privée. Mes opinions sur le projet de loi S-4 s’accordent largement avec la position du Commissariat qui a été présentée à ce moment. Toutefois, j’aborderai plus en détail la modification proposée qui autoriserait des organisations à communiquer, sans consentement, des renseignements personnels à d’autres organisations. Je discuterai aussi des divulgations visées à l’alinéa 7(3)c.1) à la lumière de l’arrêt R. c. Spencer de la Cour suprême.

Mes opinions détaillées concernant le projet de loi S-4 sont énoncées dans la présentation que nous avons remise au Comité. Compte tenu du peu de temps dont je dispose aujourd’hui, permettez-moi d’aborder les questions les plus pressantes.

Je dirai pour commencer que je suis fort encouragé par l’engagement du gouvernement à actualiser la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE), et que j’appuie bon nombre des modifications proposées dans ce projet de loi. Des propositions comme l’avis à signifier en cas d’atteinte, les accords de conformité volontaires et l’amélioration du consentement contribueraient grandement à renforcer le cadre de protection de la vie privée des Canadiens quand ils ont à traiter avec des entreprises du secteur privé.

L’avis obligatoire en cas d’atteinte rehaussera la transparence et l’imputabilité dans la gestion des renseignements personnels par le secteur privé. J’appuie l’approche fondée sur le risque, qui obligera les organisations à mesurer la gravité de chaque incident ainsi que ses répercussions sur les personnes touchées. J’estime que l’organisation qui subit l’atteinte est la mieux placée pour évaluer le risque et décider s’il est justifié d’adresser un avis aux intéressés. Astreindre les organisations à tenir un registre des atteintes et à en fournir sur demande une copie à mon bureau conférera au Commissariat un important rôle de supervision quant au degré auquel les organisations se conforment à l’obligation de communiquer des avis.

Les accords de conformité volontaires proposés élargiront la capacité du Commissariat de veiller, en temps voulu et à peu de frais, à ce que les organisations s’acquittent de leur engagement d’améliorer leurs façons de protéger la vie privée sans avoir à recourir à de coûteux litiges devant la Cour fédérale dans des cas réglés sous conditions.

Quant à la proposition de disposition visant à préciser le concept de consentement valide, j’estime que c’est là une clarification pratique du sens à donner au consentement valable en vertu de la LPRPDE. Elle souligne la nécessité pour les organisations de bien préciser, d’une façon adaptée à l’auditoire cible, la nature des renseignements personnels qu’elles recueillent et pourquoi elles le font.

Si j’appuie bon nombre des modifications proposées dans ce projet de loi, j’exprime en revanche de fortes réserves au sujet des alinéas 7(3)d.1) et d.2), dispositions qui autoriseraient une organisation, dans certaines circonstances, à communiquer sans consentement des renseignements personnels à une autre organisation. Ma préoccupation est double.

Je crois tout d’abord que le régime axé sur les organismes d’enquête que prévoit actuellement la LPRPDE– et que les alinéas 7(3)d.1) et d.2) visent à remplacer – offre d’importantes protections en matière de transparence et d’imputabilité, protections que les modifications proposées feront disparaître.

Aux termes actuels de la LPRPDE, les organisations peuvent communiquer sans consentement des renseignements personnels à des organismes d’enquête désignés, selon un processus transparent du gouverneur en conseil. Une liste des organisations ayant le statut d’organisme d’enquête est disponible au public. Mais les modifications proposées prévoient que toute organisation pourrait potentiellement recueillir ou communiquer des renseignements personnels pour une vaste série de raisons, en l’absence de tout mécanisme permettant de déterminer quelles organisations recueillent ou communiquent des renseignements, et pourquoi.

De plus, les dispositions proposées cherchent à affaiblir les seuils et les motifs de divulgation actuels en vertu du régime des organismes d’enquête à l’alinéa 7(3)d). Je préférerais pour ma part maintenir le régime des organismes d’enquête. Si toutefois cela est impossible, je recommande de maintenir les seuils énoncés à l’alinéa 7(3)d) de la Loi, et de motiver les divulgations sur la base de problèmes véritables plutôt que de recherches à l’aveuglette :

  • le seuil en vertu de l’alinéa 7(3)d.1) devrait être basé sur des « motifs raisonnables de croire » que le renseignement est lié à une véritable violation ou contravention;
  • le seuil en vertu de l’alinéa 7(3)d.2) devrait être basé sur des « motifs raisonnables de croire » que le renseignement est lié à la détection ou la répression d’une fraude qui « a été commise ou est en train ou sur le point de l’être »;
  • les communications de renseignements en vertu des alinéas 7(3)d.1) et d.2) devraient seulement se faire à l’initiative de l’organisation responsable de la communication.

De plus, il faudrait établir un mécanisme pour améliorer la transparence et l’imputabilité entourant ces communications. On pourrait par exemple exiger des organisations responsables de telles communications qu’elles publient des rapports sur la transparence et documentent l’analyse effectuée avant de décider de faire des communications en vertu de ces dispositions.

Je voudrais enfin traiter de l’arrêt Spencer et des incidences qu’il a, selon moi, sur l’alinéa 7(3)c.1) de la LPRPDE. Dans l’arrêt Spencer, la Cour suprême a statué que les services policiers doivent obtenir un mandat ou une ordonnance lorsqu’ils demandent à une organisation assujettie à la LPRPDE de leur fournir des renseignements relatifs à un abonné. Selon la Cour, les renseignements sur les activités en ligne d’un abonné bénéficient d’une attente raisonnable de respect de la vie privée, et le fait que les services policiers demandent à l’organisation de communiquer volontairement ces renseignements équivaut à une perquisition en violation de la Charte.

Cela ne permet pas toutefois de déterminer quels types de renseignements feraient l’objet d’une attente raisonnable quant au respect de la vie privée; ni d’établir à quel moment les organisations pourraient volontairement communiquer d’autres types de renseignement à la demande des services policiers. Les organisations se trouvent ainsi dans un état d’incertitude et d’ambiguïté en ce qui touche les situations où elles peuvent ou non communiquer des renseignements personnels sans mandat, tandis que les individus ignorent dans quels cas leurs renseignements personnels peuvent être communiqués à des autorités d’État sans leur consentement ou sans autorisation judiciaire préalable.

J’incite donc le Comité à recommander qu’on mette fin à cette ambiguïté en clarifiant, après l’affaire Spencer, dans quelles circonstances les pouvoirs de police en common law d’obtenir des renseignements sans mandat peuvent encore être utilisés. J’estime nécessaire d’instaurer un cadre juridique, fondé sur l’arrêt Spencer, afin d’aider les organisations à se conformer à la LPRPDE et de veiller à ce que les autorités d’État respectent l’arrêt de la Cour suprême du Canada.

Plus précisément, je recommande que le Parlement améliore la clarté et la transparence en modifiant la LPRPDE de manière à définir l’« autorité légitime », aux fins de l’alinéa 7(3)c.1), en fonction de l’arrêt de la Cour suprême – à savoir, en présence de circonstances contraignantes, par l’application d’une loi raisonnable autre que l’alinéa 7(3)c.1) de la LPRPDENote de bas de page 1, ou dans des circonstances prescrites où les renseignements personnels ne font pas l’objet d’une attente raisonnable en matière de respect de la vie privée.

Je vous remercie, et répondrai avec plaisir à vos questions.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :