Une enquête permet de conclure à l'absence de preuves selon lesquelles la Commission canadienne des droits de la personne aurait accédé à la connexion Internet d'une personne

Une personne s’est plaint que la Commission canadienne des droits de la personne (CCDP) avait indûment recueilli puis utilisé ses renseignements personnels. Elle soutenait que la CCDP avait utilisé sa connexion Internet sans fil pour se brancher à un site Web militant pour la suprématie blanche et y afficher des messages dans le cadre d’une enquête.

La présente enquête visait à déterminer si la CCDP avait indûment recueilli, utilisé, communiqué ou conservé des renseignements personnels concernant cette personne dans le cadre d’enquêtes, en contravention des articles 4 à 8 de la Loi sur la protection des renseignements personnels. À cette fin, nous avons eu de nombreux entretiens sur place avec des représentants de la CCDP et recueilli des éléments de preuve pour déterminer les renseignements personnels, s’il y a lieu, qui avaient été recueillis et utilisés par la CCDP, comme l’affirmait la plaignante.

Pour rendre notre décision, nous avons examiné les articles 3 à 8 de la Loi.

L’article 3 de la Loi indique que les renseignements personnels sont des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge, à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire ou à ses antécédents professionnels, à tout numéro d’identification, à ses empreintes digitales ou à son groupe sanguin, à ses opinions personnelles, etc.

L’article 4 de la Loi sur la protection des renseignements personnels exige que les renseignements personnels recueillis par une institution fédérale aient un lien direct avec ses programmes ou activités.

L’article 5 énonce que l’institution est tenue de recueillir les renseignements personnels auprès de la personne concernée, à moins d’une autorisation contraire de sa part. Il permet également l’utilisation d’autres méthodes lorsque la collecte directe aurait pour résultat une collecte de renseignements inexacts ou serait contraire aux fins auxquels les renseignements sont destinés.

L’article 6 de la Loi sur la protection des renseignements personnels exige que l’institution fédérale conserve les renseignements personnels utilisés à des fins administratives après usage pendant une période déterminée par règlement et qu’elle procède au retrait selon le calendrier de conservation et d’élimination approuvé par le ministre désigné. Par ailleurs, selon l’article 4 du Règlement sur la protection des renseignements personnels, l’institution fédérale doit conserver les renseignements personnels pendant au moins deux ans après la dernière fois où ces renseignements sont utilisés.

L’alinéa 7a) de la Loi stipule qu’à défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins.

Les renseignements personnels, tels qu’ils sont définis dans la Loi, peuvent uniquement être communiqués avec le consentement de la personne concernée ou conformément à un des cas d’autorisation présentés au paragraphe 8(2) de la Loi.

En premier lieu, il s’agit de déterminer si les renseignements en question sont des renseignements personnels tels qu’ils sont définis à l’article 3 de la Loi.

Le renseignement pertinent dans cette enquête est l’adresse de protocole Internet (IP) de la plaignante. Le Commissariat a déjà statué qu’une adresse IP pouvait être considérée comme un renseignement personnel si elle était associée à une personne identifiable.

Dans le cas qui nous préoccupe, des renseignements personnels ont été présentés, à la suite d’une assignation à témoigner à l’endroit d’un fournisseur de services Internet, à la demande du mis en cause dans le cadre d’une audience publique du Tribunal canadien des droits de la personne. L’objet de l’assignation à témoigner était une adresse IP à laquelle la CCDP aurait accédé dans le cadre de ses enquêtes. En réponse à l’assignation à témoigner, le fournisseur de services Internet a communiqué le nom, l’adresse et le numéro de téléphone de l’abonnée qu’il associait à cette adresse IP, c’est-à-dire la plaignante. Dans ce cas-ci, le Commissariat est d’avis que l’adresse IP constitue un renseignement personnel concernant un individu identifiable, tel que le décrit l’article 3 de la Loi.

En deuxième lieu, il s’agit de déterminer si la CCDP a effectivement recueilli les renseignements personnels de la tierce partie puis les a utilisés dans le cadre d’enquêtes.

L’enquête n’a pas permis de trouver d’éléments de preuve selon lesquels la CCDP aurait recueilli des renseignements personnels concernant la plaignante ou même selon lesquels la CCDP aurait entendu parler de la plaignante avant les allégations du mis en cause dans le cadre d’une audience publique du Tribunal canadien des droits de la personne.

Il n’y a aucune preuve qui confirme que la CCDP ait recueilli ou utilisé, communiqué ou conservé des renseignements personnels concernant la plaignante de façon inappropriée.

Des experts en technologies ont indiqué qu’il est fort probable, mais qu’on ne peut établir avec certitude, que l’association entre l’adresse IP de la plaignante et la CCDP était simplement le résultat d’un mauvais rapprochement de la part d’une tierce partie, qui aurait pu se produire de plusieurs façons sans viser la CCDP.

Ce qui est sûr, c’est qu’il n’y a aucune preuve qui confirme que la CCDP ait recueilli ou utilisé, communiqué ou conservé des renseignements personnels de la plaignante de façon inappropriée.
  
Par conséquent, la commissaire adjointe à la protection de la vie privée a conclu qu’il n’y a pas eu infraction aux articles 4 à 8 de la Loi sur la protection des renseignements personnels et a déterminé que la plainte était non fondée.

Même si, en l’espèce, il n’y a pas d’éléments de preuve étayant les allégations soulevées, le Commissariat rappelle aux gens l’importance de protéger adéquatement leurs connexions Internet afin d’éviter toute utilisation non autorisée de leurs renseignements personnels.