Agence du revenu du Canada et Société Radio-Canada (ARC)

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Introduction

  1. Le présent rapport de conclusions se rapporte à des plaintes déposées contre l'Agence du revenu du Canada (ARC) en lien avec une atteinte à la vie privée dans laquelle les renseignements personnels d'environ 1 000 particuliers ont été postés par mégarde à la Société Radio-Canada (SRC).

Contexte

  1. Le 25 novembre 2014, l'ARC a avisé oralement le Commissariat à la protection de la vie privée du Canada (le Commissariat) de l'atteinte à la vie privée. Un avis formel par écrit de l'ARC a ensuite été reçu le 26 novembre 2014.
  2. L'ARC a confirmé que les renseignements personnels compromis par l'atteinte comprenaient le nom et l'adresse des particuliers, ainsi qu'une description de leurs dons, une proposition de juste valeur marchande des dons et la juste valeur marchande des dons fournie par la Commission canadienne d'examen des exportations de biens culturels.
  3. Entre le 3 décembre 2014 et la date du présent rapport, neuf personnes ont déposé une plainte auprès du commissaire à la protection de la vie privée en lien avec cet incident.
  4. Les plaignants allèguent que l'ARC a contrevenu à la Loi sur la protection des renseignements personnels en ayant divulgué leurs renseignements personnels à la SRC sans leur consentement. Par ailleurs, des inquiétudes ont été soulevées quant au fait que cette atteinte puisse avoir des répercussions négatives sur la capacité des organisations désignées à attirer des dons de propriétés culturelles et que, globalement, elle a ébranlé la confiance des personnes envers la capacité du gouvernement à protéger leurs renseignements personnels.

Résumé de l'enquête

  1. Notre enquête a confirmé qu'en préparant un dossier de consultation en lien avec un examen par le Service canadien d'appui aux tribunaux administratifs (SCATA), et en préparant en même temps un dossier de réponse à une demande d'accès à l'information des médias, le commis chargé de l'accès à l'information et de la protection des renseignements personnels (AIPRP) de l'ARC a, par mégarde, inversé les lettres de présentation des dossiers de réponse à ces deux demandes. Les deux dossiers ont été envoyés à la salle du courrier de l'ARC le 20 novembre 2014.
  2. Le responsable de l'AIPRP qui a traité la demande des médias a reçu un appel du SCATA lors duquel on lui a signalé avoir reçu le mauvais dossier. N'étant pas au courant que le SCATA avait reçu le bon dossier de réponse, mais la mauvaise lettre de présentation, le responsable de l'AIPRP a demandé au SCATA de renvoyer le dossier au complet à l'ARC.
  3. Le résultat de cette information a été que le dossier destiné au média demandeur a été récupéré à la salle de courrier de l'ARC, que la bonne lettre de présentation y a été ajoutée, et que le dossier a été renvoyé au média demandeur.
  4. Le 24 novembre 2014, l'ARC a reçu le paquet qui avait été renvoyé par le SCATA. Le gestionnaire et le commis de l'AIPRP qui avaient tous deux précédemment traité ces dossiers n'étaient pas au bureau. Un deuxième commis de l'AIPRP a reçu le dossier, mais n'était pas au courant que la demande des médias avait déjà été réglée et est allé demander conseil à l'analyste de l'AIPRP qui avait traité la demande. Le deuxième commis de l'AIPRP s'est fait conseiller de réorienter vers le média demandeur par messagerie le dossier envoyé initialement au SCATA.
  5. Par conséquent, le mauvais dossier qui avait été récupéré du SCATA a été envoyé par messagerie au média demandeur. L'ARC a confirmé que le média demandeur a reçu le dossier posté le 20 novembre 2014, ainsi que le dossier destiné au SCATA qui a été envoyé par messagerie le 24 novembre 2014.
  6. Le 25 novembre 2014, le commis qui était originalement responsable du dossier du SCATA est rentré au travail et a revérifié dans le système pour voir si tout avait été fait correctement. C'est à ce moment qu'il s'est rendu compte que le dossier de consultation du SCATA avait été communiqué par mégarde au média demandeur.
  7. Notre enquête a confirmé que le média demandeur était un journaliste de la SRC. Par suite de cet incident, la SRC a publié un article le 25 novembre 2014 dans lequel des détails sur l'atteinte ont été rendus publics, notamment les noms et photographies de certains des particuliers touchés par l'atteinte.

Mesures prises par l'ARC à la suite de l'incident

  1. Nous avons confirmé que l'ARC a, après avoir pris connaissance de l'erreur, tenté à plusieurs reprises de récupérer le dossier, y compris en communiquant avec le service de messagerie, avec le média demandeur par courriel et par téléphone, et avec la salle de courrier de la SRC.
  2. L'ARC a ensuite communiqué avec le coordonnateur de l'AIPRP de la SRC, qui lui a répondu qu'on tenterait de récupérer le dossier et de le mettre sous clef. La SRC a subséquemment indiqué ne pas avoir réussi à joindre le demandeur.
  3. Par la suite, nous avons confirmé que le commissaire de l'ARC a envoyé une lettre par courrier électronique au président de la SRC exigeant le renvoi des renseignements postés par erreur au média demandeur. La lettre a ensuite été livrée en personne le 26 novembre 2014.
  4. L'ARC a confirmé que la SRC avait refusé sa demande de renvoi des renseignements en question. Par conséquent, l'ARC a entamé une action en justice contre la SRC pour récupérer les renseignements. L'ARC a publié une déclaration sur son site Web le 15 mai 2015 au sujet du dernier avis envoyé à la SRC.
  5. Comme il est indiqué au paragraphe 2 du présent rapport, l'ARC a avisé oralement le Commissariat de cet incident le 25 novembre 2014, et l'avis formel de l'atteinte a ensuite été reçu le 26 novembre 2014.
  6. Selon les observations reçues de l'ARC, une enquête interne a immédiatement été mise en branle par sa Direction de la sécurité et des affaires internes à la suite de l'incident. Nous avons confirmé que l'enquête s'est terminée le 29 décembre 2014.
  7. Par suite de l'enquête interne de l'ARC sur l'atteinte, l'ARC a déclaré avoir procédé à un examen de l'incident selon sa Politique sur la discipline, le Code de déontologie et de conduite et les Procédures pour gérer les situations d'inconduite des employés.
  8. Par suite de son enquête interne, l'ARC a confirmé que 1 029 particuliers et entreprises avaient été touchés par l'incident.
  9. L'ARC a avisé les personnes touchées de la divulgation de leurs renseignements personnels par lettre recommandée. Ces lettres ont été postées en deux envois : les lettres du premier envoi étaient datées du 29 novembre 2014, et celles du deuxième envoi, du 11 décembre 2014.
  10. L'ARC a informé les personnes concernées que leurs renseignements personnels qui avaient été divulgués comprenaient leurs nom et adresse, ainsi qu'une description de leurs dons, une proposition de juste valeur marchande des dons et la juste valeur marchande des dons fournie par la Commission canadienne d'examen des exportations de biens culturels. De plus, l'ARC a créé une ligne 1-800 destinée aux personnes touchées pour leur permettre d'obtenir des précisions concernant l'incident.
  11. Le 2 décembre 2014, l'ARC a aussi fourni au Commissariat un exemplaire de son plan d'amélioration de la protection des renseignements et de la vie privée des contribuables à l'ARC (le « Plan d'action »), dans lequel sont décrites les mesures immédiates et à court terme qu'elle instaurera pour accroître la protection des renseignements personnels et de la vie privée des contribuables. Le Plan d'action touche trois grands domaines, soit les procédures opérationnelles, les communications et la formation, et la reddition de comptes.
  12. L'ARC a fourni au Commissariat une version actualisée de son Plan d'action le 28 janvier 2015, en indiquant qu'elle poursuivait l'examen de ses pratiques de gestion de la vie privée. Le Plan actualisé décrit les activités qu'a entreprises l'ARC pour consolider la protection des renseignements personnels en sa possession.
  13. L'ARC a indiqué que beaucoup des activités proposées ont été réalisées, notamment :
    • Signalement des atteintes à la vie privée : Le directeur de l'AIPRP a envoyé un courriel aux employés le 1er décembre 2014 pour leur indiquer que tout cas d'atteinte à la vie privée apparente ou confirmée (y compris le courrier mal adressé) doit être signalé immédiatement au directeur adjoint du secteur de la Direction de l'AIPRP où l'atteinte s'est déroulée.
    • Procédure d'envoi postal révisée : Tous les dossiers devant être postés sont dorénavant soumis à une assurance supplémentaire de la qualité par laquelle on s'assure que l'étiquette sur le dossier de diffusion et la lettre de présentation correspondent à l'étiquette sur l'enveloppe postale. Un bulletin technique et une liste de vérification visant à insister sur cette pratique d'envoi ont été distribués à tous les employés de l'AIPRP le 12 décembre 2014.
    • Processus de consultations révisé : Tous les DVD et CD (quel que soit leur contenu) envoyés à d'autres ministères à des fins consultatives doivent être protégés par mot de passe. Un bulletin technique décrivant ce processus a été distribué aux employés de l'AIPRP le 6 janvier 2015.
    • Formation : Les directeurs adjoints de la Direction de l'AIPRP ont reçu comme mandat de prendre connaissance de l'historique de formation de leurs employés pour s'assurer qu'ils ont bien suivi le module de formation sur la sécurité obligatoire de l'ARC La sécurité, c'est l'affaire de tous! Ceux qui n'avaient pas suivi la formation ont dû la suivre au plus tard le 1er janvier 2015.
  14. L'ARC indique par ailleurs qu'au cours des prochains mois, d'autres améliorations seront apportées aux pratiques de gestion de la vie privée de l'AIPRP. Par exemple, des consultations sont actuellement en cours avec d'autres ministères sur l'examen et la mise en œuvre de pratiques exemplaires appliquées ailleurs.
  15. De plus, l'ARC a fait entreprendre un examen par un tiers indépendant du cadre de contrôle de gestion de la vie privée de l'AIPRP. Au moment de ce rapport, l'ARC a confirmé qu'elle évalue une ébauche de rapport préparé par le tiers indépendant suite à son examen.

Application

  1. Pour rendre notre décision, nous avons pris en considération les articles 3, 7 et 8 de la Loi sur la protection des renseignements personnels.
  2. L'article 3 de la Loi définit les renseignements personnels comme les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment : les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé, à tout numéro qui lui est propre, à ses empreintes digitales ou à son groupe sanguin, à ses opinions personnelles, etc.
  3. L'alinéa 7a) de la Loi prévoit qu'à défaut du consentement de l'individu concerné, les renseignements personnels relevant d'une institution fédérale ne peuvent servir à celle-ci qu'aux fins auxquelles ils ont été recueillis ou préparés par l'institution de même que pour les usages qui sont compatibles avec ces fins.
  4. La Loi prévoit que les renseignements personnels ne peuvent être communiqués qu'avec le consentement d'un individu - paragraphe 8(1) - ou conformément à l'une des catégories de communication autorisée décrites au paragraphe 8(2) de la Loi.

Analyse

  1. Notre enquête a confirmé que le 25 novembre 2014, l'ARC a posté, par mégarde, les renseignements personnels de 1 029 particuliers et entreprises à un journaliste de la SRC. En particulier, nous avons confirmé qu'il y a eu préparation d'un dossier pour répondre à une demande d'AIPRP et, en même temps, préparation d'un dossier d'examen de consultation destiné au SCATA, et que le dossier de consultation a été fourni au demandeur de la demande d'AIPRP, qui s'est avéré être un journaliste de la SRC.
  2. Les renseignements postés par mégarde au journaliste de la SRC - comprenant le nom et l'adresse des particuliers, ainsi qu'une description de leurs dons, une proposition de juste valeur marchande des dons et la juste valeur marchande des dons fournie par la Commission canadienne d'examen des exportations de biens culturels - sont manifestement des renseignements personnels, aux termes de l'article 3 de la Loi.
  3. L'ARC est tenue, en vertu de la Loi sur la protection des renseignements personnels, de protéger les renseignements personnels en sa possession contre tout accès, utilisation ou divulgation non autorisés. Dans ce cas, l'enquête a confirmé que les renseignements personnels susmentionnés ont été divulgués par l'ARC sans consentement à un journaliste de la SRC.
  4. Dans le cas présent, il y a eu, selon nous, un manque évident de communication qui a mené à l'erreur d'envoi postal et qui a entraîné la divulgation non autorisée des renseignements personnels.
  5. Bien que nous croyions que les mesures correctives prises par l'ARC atténueront le risque de récurrence d'un incident du genre, la divulgation des renseignements personnels ne respecte pas les exigences des dispositions de divulgation prévues dans l'article 8 de la Loi.

Conclusions

  1. Sur la base des éléments évoqués, nous avons conclu que la plainte est fondée.
  2. Nous profitons de l'occasion pour communiquer nos observations à l'ARC.
  3. Le respect de la vie privée est une valeur fondamentale pour la population canadienne et est un élément essentiel au maintien de la confiance du public envers le gouvernement. Nous rappelons donc à l'ARC qu'elle se doit d'être constamment consciente des renseignements personnels en sa possession et de leur caractère sensible et critique.
  4. La protection des renseignements personnels doit être correctement intégrée dans toutes les fonctions organisationnelles de l'ARC, ce qui appelle la mise en place de politiques et de procédures qui favoriseront la gestion et la protection efficaces des renseignements des contribuables.
  5. Ce principe a déjà été énoncé dans le Rapport de vérification de la commissaire à la protection de la vie privée du CanadaNote de bas de page 1 de 2013. Bien que la portée et les conclusions de la vérification concernent précisément la gestion de l'accès et les processus de surveillance de l'ARC en lien avec les renseignements des contribuables, les conclusions générales de la vérification demeurent pertinentes. Dans toutes les fonctions organisationnelles qui se rapportent à la protection des renseignements des contribuables, ce qui comprend la fonction d'AIPRP, l'ARC devrait veiller à ce que des politiques et des procédures de protection des renseignements des contribuables soient en place et respectées.
  6. Dans le cas présent, notre enquête a permis de repérer une lacune dans l'application des procédures d'assurance de la qualité et un manque de communication entre les employés qui ont entraîné l'erreur d'envoi postal de même que la divulgation non autorisée de renseignements personnels. Nous avons mentionné que l'application des politiques et des procédures ministérielles dans les activités quotidiennes de l'ARC nécessite une sensibilisation continue des employés, qui sera réalisée par une formation, une gestion efficace, un leadership et une supervision des employés.
  7. Nous constatons que l'ARC a immédiatement pris des mesures pour instaurer plusieurs activités visant à consolider ses pratiques de gestion des renseignements personnels. L'ARC a élaboré un Plan d'action qui décrit plusieurs mesures immédiates et à court terme visant à atténuer les risques qu'un incident semblable se reproduise, et à renforcer la protection des renseignements personnels en sa possession.
  8. Étant donné que beaucoup de ces activités ont déjà été réalisées par l'ARC, nous croyons que le Commissariat n'a, pour l'instant, plus besoin d'agir dans ce dossier. Néanmoins, nous invitons l'ARC à continuer de mettre en œuvre son Plan d'action pour bonifier son cadre de gouvernance et de reddition de comptes pour la gestion et la protection des renseignements et de la vie privée des contribuables. À cet égard, nous allons continuer à surveiller l'examen et la mise en oeuvre par l'ARC des recommandations formulées à la suite de l'examen par un tiers indépendant du cadre de contrôle de gestion de la vie privée de l'AIPRP.
  9. Nous invitons aussi l'ARC à incorporer une surveillance et des inspections régulières d'assurance de la qualité dans ses activités quotidiennes afin d'atténuer davantage les éventuelles fuites de renseignements personnels. C'est l'application même de ces contrôles qui aidera l'ARC à protéger correctement les renseignements personnels que la population canadienne lui confie.
Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :