Examen des pratiques de protection des passeports de quatre institutions fédérales

30 juin 2021

---

Enquête en vertu de l’article 37 de la Loi sur la protection des renseignements personnels (la Loi )

Description

Immigration, Réfugiés et Citoyenneté Canada (IRCC) est responsable du Programme de passeport, qui délivre des passeports canadiens en collaboration avec les institutions partenaires. Chaque année, le Commissariat reçoit des rapports de passeports perdus ou volés. Ces rapports sont transmis par des institutions fédérales. Cela nous a incités à examiner les mesures mises en place par IRCC pour protéger les passeports. Nous avons également examiné les pratiques de trois autres institutions partenaires participant à la délivrance de passeports – Emploi et Développement social Canada, Affaires mondiales Canada et la Société canadienne des postes. Nous avons constaté que les quatre institutions avaient généralement mis en place des mesures raisonnables pour prévenir la communication non autorisée de passeports. Toutefois, nous avons relevé quelques points à améliorer en ce qui concerne la détection des incidents, la correction pour les personnes touchées et l’apprentissage subséquent des leçons après les atteintes des passeports. IRCC et ses partenaires ont convenu de mettre en œuvre nos recommandations.

Points à retenir

• Lorsqu’une institution est responsable de la communication non autorisée (ou potentielle) d’un passeport en contravention de l’article 8 de la Loi sur la protection des renseignements personnels, elle doit prendre des mesures raisonnables pour réduire les risques que la contravention présente pour la personne, y compris l’aviser en temps opportun et lui offrir une aide concrète, comme la surveillance du crédit, le cas échéant.
• L’évaluation appropriée et uniforme des risques que présentent les personnes qui contreviennent ou qui pourraient contrevenir à la Loi constitue une étape de base importante pour remédier adéquatement aux risques pour les personnes.
• Les institutions devraient mettre en place des systèmes fiables pour évaluer les incidents de sécurité liés aux passeports afin de déceler les tendances qui pourraient indiquer des incidents malveillants. Elles devraient effectuer une analyse pour tirer des leçons des incidents qui se produisent, afin de prévenir la récurrence des infractions à l’article 8 de la Loi sur la protection des renseignements personnels.

Résumé

Ce que nous avons examiné

1. Immigration, Réfugiés et Citoyenneté Canada (IRCC) gère un certain nombre de programmes qui facilitent l’arrivée des immigrants, assurent la protection des réfugiés et accordent la citoyenneté. L’institution est également responsable du Programme de passeport, qui délivre des passeports et des documents de voyage canadiens, qu’elle exécute en collaboration avec les institutions partenaires.
2. Le paragraphe 8(1) de la Loi sur la protection des renseignements personnels interdit la communication de renseignements personnels qui relèvent d’une institution fédérale sans le consentement de la personne qu’ils concernent, sauf dans des circonstances particulières décrites au paragraphe 8(2). Aucune des circonstances du paragraphe 8(2) ne s’appliquerait aux communications accidentelles à des personnes non visées (par suite de pertes ou de vols). Dans ce contexte, nous nous attendons à ce que les institutions mettent en place des mesures de protection rigoureuses pour prévenir ces communications non autorisées. Les institutions devraient également atténuer les risques pour les personnes si de telles atteintes surviennent.
3. Étant donné que nous recevons chaque année d’institutions fédérales des rapports de passeports perdus ou volés, nous avons examiné la mesure dans laquelle IRCC et ses partenaires, Emploi et Développement social Canada (EDSC), Affaires mondiales Canada (AMC) et la Société canadienne des postes (SCP) ont mis en œuvre des contrôles adéquats pour la protection des passeports délivrés afin de prévenir toute communication non autorisée en contravention de l’article 8 de la Loi sur la protection des renseignements personnels. Nous avons également examiné leurs mesures pour détecter et corriger ces communications lorsqu’elles surviennent. Par souci de clarté, ce rapport met l’accent sur les passeports perdus ou volés avant que les personnes reçoivent leur passeport; il exclut donc les passeports qui ont été déclarés perdus ou volés une fois en possession de personnes. Dans ce contexte, nous avons lancé cet examen, en vertu de l’article 37 de la Loi sur la protection des renseignements personnels, afin d’examiner et d’évaluer plus en détail la gravité du problème et, s’il y a lieu, de déterminer les mesures qu’IRCC et ses partenaires pourraient adopter pour réduire la fréquence de telles infractions à l’article 8 de la Loi sur la protection des renseignements personnels et de les régler de façon appropriée lorsqu’elles surviennent.

Pourquoi cet examen est-il important?

4. Les passeports contiennent un éventail de renseignements personnels sensibles, y compris le numéro du passeport, le nom complet du titulaire, sa date et son lieu de naissance. Lorsqu’il se trouve entre de mauvaises mains, un passeport peut représenter un risque de préjudice pour des personnes en raison de l’utilisation non autorisée d’un passeport en leur nom. Les passeports canadiens volés auraient un prix élevé sur le marché noir, ce qui reflète leur valeur potentielle pour le vol d’identité au pays ou à l’étranger ou les voyages internationaux non autorisés au nom d’une personne^{Note de bas de page 1}.
5. Depuis que le Secrétariat du Conseil du Trésor (SCT) a rendu obligatoire le signalement d’atteintes substantielles au Commissariat à la protection de la vie privée (CPVP) en 2014, le Commissariat a toujours reçu des rapports d’atteintes à la vie privée concernant des passeports perdus ou volés pendant qu’ils étaient traités ou envoyés par la poste par le gouvernement du Canada. Ces atteintes représentent des infractions confirmées ou potentielles à l’article 8 de la Loi sur la protection des renseignements personnels. De plus, en 2017-2018, le Commissariat a effectué un examen des atteintes à des renseignements personnels au gouvernement fédéral. Il est vrai que cet exercice n’était pas axé sur les atteintes aux passeports. Cependant, selon l’une de ses observations, il existait des interprétations différentes entre les institutions quant à l’évaluation des risques pour la protection des renseignements personnels courus par les personnes qui ont perdu un passeport. Cette situation a une incidence sur les mesures correctives prises après de tels incidents, comme nous le verrons plus en détail ci-après.

Ce que nous avons trouvé

6. D’après notre examen des documents et des contrôles relatifs à la gestion des passeports par le Programme de passeport, ainsi que des entrevues avec des représentants des quatre institutions, nous n’avons trouvé aucune indication de lacunes dans les mesures mises en place par les institutions pour prévenir la communication non autorisée des passeports. Dans l’ensemble, le volume de passeports perdus ou volés sous le contrôle des institutions n’est pas élevé en proportion du nombre de passeports délivrés.
7. Toutefois, nous avons relevé quelques points à améliorer en ce qui concerne la détection des incidents, la correction pour les personnes touchées et l’apprentissage subséquent des leçons après les atteintes des passeports. IRCC et ses partenaires ont convenu de mettre en œuvre nos recommandations.

Introduction

Institutions concernées

8. IRCC, le ministère responsable du Programme de passeport canadien, et d’autres institutions jouent un rôle important. Emploi et Développement social Canada (EDSC) est responsable de la prestation des services au pays, y compris la réception en personne et par la poste, l’examen, le traitement, l’impression et les services des centres d’appels. En outre, Affaires mondiales Canada (AMC) joue un rôle dans la livraison des passeports à l’étranger par l’entremise de son réseau de services consulaires. De plus, la livraison des passeports est principalement gérée par la Société canadienne des postes (SCP) dans le cadre d’un protocole d’entente entre la SCP et IRCC. Voir la figure 1 et les descriptions ci-dessous.

Figure 1 – Résumé des rôles des institutions

Version textuelle de la figure 1

Figure 1 – Résumé des rôles des institutions

IRCC :

Le ministre d’IRCC est responsable de la politique du programme, de l’orientation fonctionnelle d’EDSC et d’AMC, des finances, de l’intégrité et de la plateforme de technologie de l’information pour le Programme de passeport canadien.

Arrangements entre IRCC et EDSC et AMC pour le traitement des passeports.

Entente de service entre IRCC et la SCP pour la livraison des passeports au Canada.

SCP

Livraison des passeports par courrier repérable aux demandeurs au Canada (à moins que les demandeurs choisissent de récupérer leur passeport auprès d’un bureau des passeports)

Demandeurs de passeport

• Demander un passeport au Canada
  • EDSC :
    • Traite les demandes et imprime les passeports
    • Passeports transférés (par l’entremise de la SCP) pour la livraison par AMC à l’étranger

• Demander un passeport de l’extérieur du Canada
  • AMC :
    • Reçoit et valide les demandes et (par l’entremise de sous-traitants) livre les passeports aux bénéficiaires à l’étranger
    • Envoyer à EDSC pour impression des passeports

9. Immigration, Réfugiés et Citoyenneté Canada : IRCC détient les pleins pouvoirs fonctionnels pour le Programme de passeport, ce qui comprend la responsabilité de la gestion du programme, l’administration du Décret sur les passeports canadiens (DPC) et la prestation d’un soutien complet des programmes et des politiques pour l’exécution du programme. Le Ministère est également responsable du traitement des demandes de passeports diplomatiques et spéciaux, de documents de voyage pour réfugiés, de certificats d’identité et de demandes complexes ou à risque élevé de passeports réguliers. IRCC a négocié des protocoles d’entente (PE) avec EDSC et AMC pour la prestation du Programme de passeport.
10. Emploi et Développement social Canada : EDSC, par l’entremise de Service Canada (SC), fournit des services de passeport au Canada pour les passeports réguliers. EDSC gère également les canaux de communication et de sensibilisation des clients du programme, y compris les médias sociaux et les centres d’appels du Programme de passeport. Au moment de la rédaction du rapport, les services de passeport en personne au Canada étaient principalement offerts par l’entremise d’un réseau de 34 bureaux des passeports de SC et de 315 centres Service Canada (CSC) partout au Canada. Service Canada appuie également le traitement et l’impression des passeports des demandeurs aux États-Unis et l’impression des passeports de l’étranger.
11. Affaires mondiales Canada : AMC fournit des services de passeport à l’étranger pour les passeports réguliers et temporaires ainsi que les documents de voyage d’urgence. Au moment de l’examen, AMC offrait 203 points de service par l’entremise d’un réseau de missions canadiennes à l’étranger à l’appui de la prestation du Programme de passeport.
12. Société canadienne des postes : La SCP est le transporteur principal des passeports et du courrier des passeports au Canada et à l’étranger (par l’entremise du service Priorité Mondial). La SCP est également responsable du repérage des envois, de l’enquête et de la notification en temps opportun des envois retardés, perdus, volés ou endommagés, de la présentation d’une preuve de livraison ou d’une lettre indiquant les détails des incidents au Programme de passeport. Les services postaux de la SCP comprennent le ramassage et la livraison des articles de courrier de départ et la livraison du courrier adressé entre les centres de traitement et les bureaux des passeports.

Portée et approche

13. L’examen a été effectué en vertu de l’article 37 de la Loi sur la protection des renseignements personnels (la Loi), qui habilite le commissaire à la protection de la vie privée à mener des enquêtes concernant des renseignements personnels qui relèvent d’institutions fédérales pour assurer la conformité aux articles 4 à 8 de la Loi.
14. Dans le cadre de notre examen, nous nous sommes penchés sur les rapports d’infraction reçus par notre bureau d’IRCC, d’EDSC et d’AMC au cours des quatre dernières années, ainsi que sur les politiques, les procédures, les ententes et les dossiers pertinents des institutions concernées. Des entrevues avec des représentants ministériels de ces trois institutions et de la SCP et des observations écrites des institutions ont complété la révision de ces documents.
15. Dans le cadre de l’évaluation des mesures de protection des passeports mises en place par les quatre institutions, nous avons également tenu compte des pratiques de protection des passeports en vigueur dans d’autres pays, en particulier en ce qui concerne la cause la plus courante des atteintes à la protection des passeports signalées au Commissariat, à savoir celles qui se produisent dans le contexte du processus d’envoi par la poste, comme décrit plus en détail ci-après.

Critères

16. Le paragraphe 8(1) de la Loi sur la protection des renseignements personnels interdit la communication de renseignements personnels qui relèvent d’une institution fédérale sans le consentement de la personne qu’ils concernent, sauf dans des circonstances particulières décrites au paragraphe 8(2). Aucune des circonstances du paragraphe 8(2) ne s’appliquerait aux communications accidentelles à des personnes non visées (par suite de pertes ou de vols). Dans ce contexte, nous avons évalué les protections en place pour prévenir de telles communications non autorisées. Nous avons également examiné les mesures en place pour atténuer les risques pour les personnes si de telles atteintes surviennent.
17. Un certain nombre d’instruments de politique pertinents du Secrétariat du Conseil du Trésor (SCT) décrivent en détail les attentes relatives aux mesures de protection et de correction. Ils comprennent les documents suivants : Politique sur la sécurité du gouvernement, Directive provisoire sur les pratiques relatives à la protection de la vie privée, Lignes directrices sur les atteintes à la vie privée, Ligne directrice sur les ententes de services – Synthèse et Ligne directrice sur les ententes de services – Éléments essentiels.
18. Les critères d’évaluation de notre examen sont donc tirés de l’article 8 de la Loi sur la protection des renseignements personnels et éclairés par les instruments de politique pertinents du SCT liés à la gestion et à la protection des renseignements personnels susmentionnés.

Échelle des risques pour les personnes

19. Deux types clés de risques peuvent découler d’un passeport perdu ou volé. Premièrement, il existe un risque que le passeport soit utilisé au nom de la personne pour voyager outre-frontière. Une telle utilisation pourrait transmettre un faux récit des activités d’une personne à l’étranger qui pourrait poser un risque pour elle. Deuxièmement, il existe un risque que le passeport puisse être utilisé, éventuellement de concert avec d’autres renseignements personnels ou des techniques d’ingénierie sociale, pour usurper l’identité d’une personne dans un autre contexte – pour commettre un vol d’identité ou accéder aux comptes financiers ou autres d’une personne.
20. Au départ, avant que la perte ou le vol ne soit détecté et signalé aux autorités, les deux types de risques sont présents. Une fois que la perte ou le vol d’un passeport est signalé aux autorités, un processus est déclenché pour annuler le passeport et le signaler comme perdu ou volé à Interpol. Lorsque cette étape est franchie, le risque de voyages illicites au nom d’une personne utilisant le passeport est considérablement réduit, bien qu’il puisse demeurer élevé pour les voyages illicites dans les pays qui n’utilisent pas les dossiers d’Interpol pour les exigences d’entrée et de sortie.
21. Toutefois, même après qu’un passeport perdu ou volé a été détecté, annulé et signalé à Interpol, le deuxième type de risque demeure. En tant que pièce d’identité officielle du gouvernement, un passeport demeure un outil précieux pour un criminel qui tente de se faire passer pour quelqu’un. Les organismes du secteur privé au Canada et à l’étranger n’ont aucun moyen de savoir qu’un passeport a été annulé. Un passeport est donc un outil très utile pour usurper l’identité d’une personne jusqu’à l’expiration du passeport – jusqu’à 10 ans pour la plupart des passeports canadiens.
22. Les cas réels confirment que ces risques découlant de la perte ou du vol de passeports avant ou après leur réception par des particuliers sont réels. L’ASFC a informé notre bureau qu’entre 2017 et 2019, 19 354 personnes de partout dans le monde ont été interceptées en raison de soupçons de fraude lorsqu’elles tentaient d’entrer au Canada en voyageant par avion. Ce nombre comprend 2 093 cas de passeports canadiens ou étrangers frauduleux ou modifiés. De même, 1 074 cas concernaient un imposteur utilisant un passeport frauduleux ou un passeport valide non altéré, canadien ou étranger.
23. Afin de mettre ces risques en contexte, nous avons compilé des renseignements des dernières années sur les passeports perdus ou volés sous le contrôle des institutions fédérales.

Figure 2. Passeports canadiens perdus, volés ou mal acheminés alors qu’ils sont sous le contrôle du Programme de passeport – IRCC, EDSC, AMC, SCP (source : le Bureau du Programme de passeport d’IRCC), et, entre parenthèses, les dossiers du CPVP concernant les signalements d’atteinte à notre bureau.

Année	Perdu (signalé au CPVP comme perdu en transit ou égaréNote de bas de page 2)	Mal dirigé (signalé au CPVP comme mal dirigé ou mal livré)	Volé (signalé au CPVP comme volé)	Total (total signalé au CPVP)	Total en pourcentage du nombre approximatif de passeports délivrés par année (total signalé au CPVP)
2016	206 (24)	18 (4)	6 (1)	230 (29)	0.005 % (0.0006 %)
2017	321 (4)	9 (8)	6 (0)	336 (23)	0.006 % (0.0004 %)
2018	281Note de bas de page 3 (23)	35 (12)	11 (2)	327 (37)	0.009 % (0.0010 %)
2019	247 (36)	2 (17)	6 (4)	255 (57)	0.010 % (0.0022 %)
Total	1 055 (87)	64 (41)	29 (7)	1 148 (146)

24. Nous constatons avec inquiétude que même si la proportion globale de passeports perdus, mal acheminés ou volés en pourcentage des passeports délivrés demeure faible, elle a augmenté d’une année à l’autre depuis 2016^{Note de bas de page 4}.

Observations et recommandations

Prévention des communications non autorisées de passeports

25. Nous avons examiné un échantillon de rapports d’atteinte à la vie privée que nous avons reçus d’IRCC, d’EDSC et d’AMC. Ces rapports portaient principalement sur des incidents liés à la livraison de passeports canadiens au pays. Par exemple, lorsqu’un document a été livré à la mauvaise personne ou lorsqu’il a été perdu alors qu’il était en transit. D’autres rapports portaient sur des incidents survenus dans des locaux du gouvernement du Canada au pays ou à l’étranger ou pendant leur transport entre eux.
26. Nous reconnaissons qu’il ne serait pas raisonnable de s’attendre à ce qu’un système de protection des volumes d’opérations liées au traitement des passeports par le gouvernement du Canada empêche toute communication non autorisée. Nous avons donc examiné les causes de ces incidents et cherché des tendances qui pourraient suggérer des lacunes particulières en ce qui concerne la conformité aux éléments décrits dans la section des critères ci-dessus relativement à la prévention de la communication non autorisée de passeports.

Cadre de gouvernance interorganismes

27. Compte tenu du nombre d’intervenants concernés dans plusieurs institutions, nous avons vérifié si le cadre de gouvernance en place entre les intervenants permet de bien protéger les passeports entre les différents rôles des institutions^{Note de bas de page 5}.
28. Nous avons examiné les ententes entre IRCC et ses partenaires et constaté qu’elles définissent clairement les rôles et les responsabilités des participants, y compris la gouvernance, les obligations redditionnelles, la prestation des services, la conception et la surveillance des politiques et des programmes, la mesure et l’évaluation du rendement, la gestion des risques et la gestion financière. Cela comprend les clauses relatives à la sécurité et à la protection de l’information et les procédures à suivre en cas d’incidents ou d’atteintes à de l’information. De plus, le Programme de passeport a élaboré des diagrammes détaillés des processus à l’appui du cadre de gouvernance.

Pertes pendant le traitement des passeports

29. Une proportion relativement faible d’atteintes aux passeports canadiens signalées à notre bureau est survenue pendant le traitement à IRCC, EDSC et AMC. En ce qui concerne ces incidents, nous avons examiné les rapports d’atteinte à la vie privée et les politiques et processus connexes de traitement des passeports, complétés par des entrevues avec les établissements. D’après notre examen, nous n’avons trouvé aucune indication de causes systémiques apparentes de ces incidents qui se sont produits avant l’envoi par la poste.

Passeports perdus ou volés pendant qu’ils étaient en transit au Canada

30. D’après les discussions avec EDSC et les statistiques présentées à la figure 2 ci-dessus, nous comprenons que la majorité des cas de passeports signalés comme perdus ou volés se rapportent aux passeports volés ou perdus (ou mal acheminés) dans le courrier. Dans ce contexte, nous avons examiné plus en détail les protections en place pendant le transport collectif.
31. Les demandes de passeports canadiens nouveaux ou renouvelés présentées à l’étranger ne représentent qu’environ quatre pour cent du nombre total de ces demandes. Nous n’avons trouvé aucune indication que les incidents liés à ces passeports étaient disproportionnés et, par conséquent, notre analyse ci-dessous porte sur les passeports en transit au Canada.
32. Pour les passeports expédiés au Canada, IRCC a conclu une entente avec la SCP pour la livraison du courrier du Programme de passeport aux particuliers. La SCP utilise un type de numéro de suivi spécial pour le courrier des passeports, qui contient des passeports ou, dans certains cas, d’autres documents liés au Programme de passeport.
33. En ce qui concerne la prévention du vol dans le courrier, la SCP confirme qu’elle dispose actuellement de contrôles de sécurité qui comprennent les alarmes, les coffres-forts, les caméras de sécurité, le contrôle d’accès et la gestion des visiteurs, et qu’elle effectue des vérifications régulières de ses installations pour examiner ces contrôles et s’assurer de la conformité à ses processus ainsi que des vérifications de suivi des lacunes relevées. Sont également effectuées des évaluations annuelles des menaces et des risques dans certains bureaux selon une approche axée sur les risques.
34. On pourrait raisonnablement s’attendre à ce qu’aucun service postal n’élimine toutes les pertes en transit, y compris le vol occasionnel de lots de courrier comprenant des passeports. Toutefois, comme il a été mentionné précédemment, les passeports volés ont de la valeur et il est donc possible que ce qui semble être des pertes puisse camoufler un vol intentionnel.
35. Dans ce contexte, notre examen a comparé le taux de perte de passeports (entre environ 0,005 % et 0,010 %) au taux moyen de perte du courrier repérable. Nous avons constaté que le taux de perte des passeports était beaucoup plus faible que le taux global de perte du courrier repérable, ce qui ne laisse pas présager un vol systémique caché de passeports.

Passeports livrés aux mauvais destinataires

36. Comme l’indique la figure 2 ci-dessus, entre 2016 et 2019, quelque 64 passeports ont été signalés par IRCC comme étant du courrier mal acheminé. Nous comprenons que cela englobe les cas où le courrier a été mal adressé et où le courrier a été correctement adressé, mais livré à un inconnu.
37. En ce qui concerne le courrier mal adressé, notre examen a révélé que le Programme de passeport utilise des mesures raisonnables pour assurer l’exactitude des adresses postales. Plus précisément, les employés du Programme de passeport impriment les étiquettes postales à l’aide de l’adresse disponible dans son Système intégré de récupération de l’information (IRIS), le système principal de traitement des passeports, lorsqu’ils étiquettent les enveloppes. Si les demandeurs remplissent le formulaire de passeport en ligne puis l’impriment, le système IRIS saisira l’adresse en balayant le code à barres inclus dans le formulaire imprimé. Ce n’est que lorsque les demandeurs remplissent le formulaire manuellement que les agents de passeport entrent ces données dans IRIS à la main, avec un risque connexe d’erreurs de transcription.
38. En ce qui concerne la livraison à des personnes inconnues, nous avons constaté que, dans un certain nombre d’incidents, la SCP avait livré des passeports par courrier repérable à l’adresse figurant sur l’enveloppe, obtenant une signature accusant réception, mais que le titulaire du passeport n’avait pas reçu son passeport. La SCP souligne qu’en général, son mandat est de livrer à des adresses plutôt qu’à des particuliers.
39. Postes Canada offre un service de preuve d’identité selon lequel le courrier ne peut être ramassé qu’à un bureau de poste avec preuve d’identité. L’utilisation d’un tel service permettrait d’éviter les infractions liées au courrier mal adressé (pourvu que le nom soit exact) et au courrier livré à des personnes inconnues. Toutefois, le fait d’exiger des bénéficiaires de passeport qu’ils ramassent leur passeport en personne entraînerait des compromis sur le plan de la commodité et, éventuellement, pour certaines personnes, des difficultés d’accessibilité attribuables à la géographie ou à d’autres facteurs. Par conséquent, pour déterminer si les pratiques actuelles offrent une assurance raisonnable que les biens sont protégés adéquatement, nous avons comparé les pratiques d’autres pays en ce qui concerne la délivrance des passeports.
40. Bien que certaines administrations étrangères livrent les passeports par la poste, notamment l’Australie, les États-Unis et le Royaume-Uni, beaucoup exigent la collecte en personne du nouveau passeport, notamment l’Allemagne, la France, l’Algérie, l’Arabie saoudite, Hong Kong et le Brésil. De plus, dans certains pays, dont le Mexique et le Pérou, tous les documents nécessaires pour obtenir un passeport sont préparés en personne à un bureau gouvernemental après la prise de rendez-vous, et le demandeur quitte le bureau gouvernemental avec son nouveau passeport.
41. À l’heure actuelle, le Programme de passeport offre l’option de ramassage en personne seulement dans un bureau des passeports. En raison de la géographie particulière du Canada, la collecte en personne des passeports est plus difficile que dans de nombreux pays, malgré un vaste réseau d’emplacements de Service Canada. Compte tenu de cette situation et du fait que le taux global de pertes n’est pas élevé, nous ne recommandons pas de modifier de façon générale le mode de prestation du Programme de passeport. Toutefois, certaines personnes peuvent être plus à risque de communication non autorisée de leur passeport dans le cadre du processus de livraison, en raison de leurs conditions de logement ou d’autres facteurs de risque particuliers à la personne. Nous encourageons donc IRCC à envisager d’offrir aux particuliers un meilleur accès aux options de livraison de passeports en personne, comme le ramassage à un endroit près d’eux (avec preuve d’identité requise) comme solution de rechange au ramassage à un bureau des passeports ou à la livraison par courrier repérable.

Détection d’une communication non autorisée potentielle de passeports

42. La détection rapide des atteintes à la vie privée, afin que des mesures correctives puissent être prises rapidement, est importante pour réduire le risque de perte ou de vol de passeports.
43. Notre examen des rapports sur les atteintes à la vie privée a révélé que lorsque des incidents se sont produits, dans la grande majorité des cas, ce sont des personnes qui ont détecté le passeport perdu ou volé. Le plus souvent, cela se produit lorsqu’il y a eu un retard dans la réception d’un passeport attendu ou, dans quelques cas, lorsque des personnes ayant reçu le passeport d’une autre personne par erreur ont déclaré avoir reçu ce passeport. Cette approche de détection semble raisonnable dans les circonstances, car un passeport non reçu est peu susceptible d’échapper à la personne.
44. Toutefois, il peut s’écouler un certain temps avant qu’une personne s’inquiète suffisamment d’un retard pour le signaler. Notre examen des rapports récents d’atteinte à la vie privée soumis à notre bureau a révélé que le délai moyen entre l’atteinte et l’annulation du passeport est d’environ un mois. Dans certains cas, nous avons constaté des retards, par exemple dans une atteinte signalée par EDSC à notre bureau en juin 2020, alors que l’incident s’est produit en août 2018 et que Service Canada a annulé le passeport en septembre 2019. La raison principale des retards dans l’annulation des passeports est le moment où le client communique avec le Programme de passeport pour demander son passeport, ce qui déclenche généralement un processus menant à l’annulation de ce document.
45. Notre recherche a révélé que pour atténuer ces risques, certains pays informent le demandeur lorsque son passeport a été envoyé. Par exemple, les bureaux des passeports de l’Australie et de la Nouvelle-Zélande envoient un courriel informant le demandeur que son passeport a été envoyé par la poste. D’autres pays, comme Israël, envoient des SMS (messages texte) au demandeur à diverses étapes du processus de livraison des passeports, dont un avec un numéro de suivi pour contrôler l’état de la livraison par le service postal national.
46. Nous avons également remarqué que des pays avaient mis en place des mesures pour assurer le suivi de la livraison correcte d’un passeport. Par exemple, aux États-Unis, les demandeurs sont invités à communiquer avec le bureau des passeports s’ils n’ont pas reçu leur passeport par la poste dix jours après leur envoi par la poste. Les demandeurs peuvent connaître l’état de leur demande par téléphone ou au moyen d’un outil en ligne.
47. À l’heure actuelle, AMC, IRCC et EDSC n’avisent pas, comme pratique générale, les particuliers lorsque leur passeport leur a été envoyé par la poste – que ce soit pour un nouveau passeport ou pour un passeport qui leur est retourné après le traitement. Étant donné que la majorité des atteintes aux passeports qui nous ont été signalées par les institutions ont eu lieu par la poste, le fait d’aviser les personnes lorsque leur passeport leur a été envoyé par la poste et de leur indiquer ce qu’elles doivent faire si elles n’ont pas reçu le passeport réduirait probablement le temps de détection à un coût relativement faible. Nous encourageons donc les institutions à envisager une pratique consistant à aviser les individus lorsque leur passeport leur a été envoyé par la poste et à leur indiquer ce qu’ils doivent faire s’ils ne sont pas reçus dans un délai déterminé – afin de détecter plus rapidement les infractions possibles à l’article 8 de la Loi et de permettre la prise de mesures correctives en temps opportun.
48. En réponse à ce qui précède, les institutions ont indiqué au CPVP qu’elles examineront les options pour mettre en œuvre un nouveau mécanisme de notification afin d’aider les parties touchées à faire le suivi des trousses de passeport et informer le Programme plus rapidement des trousses perdues ou volées. IRCC, en collaboration avec les partenaires du Programme de passeport, examinera la faisabilité de mettre en œuvre un mécanisme d’avis aux clients pour la livraison du courrier dans le modèle actuel de prestation de services complexes avec l’aide de la SCP et d’EDSC. La date d’achèvement cible est le 30 septembre 2022.

Atténuation des risques pour les personnes touchées

49. À notre avis, lorsqu’une institution est responsable d’une communication non autorisée (ou potentielle) en contravention de l’article 8 de la Loi sur la protection des renseignements personnels, elle doit prendre des mesures raisonnables pour réduire les risques que la contravention présente pour la personne. Dans cette optique, les Lignes directrices sur les atteintes à la vie privée du SCT et la Trousse d’outils de gestion des atteintes à la vie privée du SCT à l’appui invitent les institutions à évaluer le risque associé à une atteinte à la vie privée, à fournir des avis rapides et utiles aux personnes lorsque cela est justifié pour les aider à se protéger et à envisager d’autres mesures d’atténuation qui pourraient être appropriées.
50. Compte tenu des risques soulevés à la suite d’une atteinte au passeport, une des principales mesures correctives consiste à annuler un passeport (ce qui entraîne le signalement à Interpol comme document perdu ou volé). Une fois le passeport annulé, le premier type de risque mentionné ci-dessus, celui des voyages transfrontaliers illicites au nom d’une personne, est considérablement réduit. Dans les cas que nous avons examinés, nous avons constaté qu’une fois qu’une perte ou un vol était détecté, les passeports étaient annulés relativement rapidement.
51. Toutefois, comme nous l’avons déjà mentionné, le deuxième type de risque, à savoir que le passeport pourrait être utilisé pour usurper l’identité d’une personne dans un autre contexte, comme le vol d’identité ou l’accès à ses comptes financiers ou autres, persiste. Cela s’explique par le fait que les organisations du secteur privé au Canada et à l’étranger ne savent pas si un passeport a été annulé. Un passeport physique, comme pièce d’identité officielle du gouvernement, demeure très utile pour usurper l’identité d’une personne tant que le passeport n’est pas expiré (jusqu’à 10 ans)^{Note de bas de page 6}. Nous avons donc évalué les mesures prises par les institutions pour remédier à ces risques à long terme pour les particuliers.
52. Notre examen a permis de cerner un certain nombre de préoccupations concernant les mesures correctives prises. Ces préoccupations sont décrites plus en détail ci-dessous. Il s’agissait notamment i) d’une sous-évaluation de la gravité du risque pour les particuliers en raison de la perte de passeports ii) de retards dans les notifications aux particuliers et iii) de ne pas offrir d’aide concrète, comme une surveillance du crédit, aux particuliers pour gérer le risque de vol d’identité.

Sous-évaluation de la gravité du risque pour les personnes ayant perdu leur passeport

53. L’évaluation appropriée des risques présentés à une personne à la suite d’une contravention ou d’une contravention potentielle à la Loi (comme une communication possible ou confirmée non autorisée) constitue une étape de base importante pour remédier adéquatement au risque qui découle de cette contravention pour la personne. C’est ce qu’indiquent les Lignes directrices sur les atteintes à la vie privée du SCT, en vertu desquelles les institutions sont responsables d’évaluer si une atteinte particulière à la vie privée constitue une atteinte « substantielle ». Les atteintes substantielles sont définies comme étant celles qui portent sur des renseignements personnels sensibles et qui pourraient vraisemblablement causer une blessure ou un préjudice grave à une personne ou toucher un grand nombre de personnes. Le risque de vol d’identité ou de fraude connexe est spécifiquement identifié comme un exemple de préjudice grave. Cette évaluation éclaire ensuite les étapes suivantes : i) les institutions doivent signaler les atteintes jugées « substantielles » au CPVP et au SCT, et ii) les institutions sont fortement encouragées à aviser les personnes touchées, surtout si les mêmes critères relatifs au préjudice potentiel pour les personnes sont respectés.
54. À notre avis, compte tenu des risques décrits ci-dessus découlant de la communication inappropriée d’un passeport physique, tous les passeports perdus (qui n’ont pas été retrouvés après une recherche) comportent des renseignements personnels de nature délicate et pourraient vraisemblablement causer un préjudice grave à la personne. Par conséquent, à notre avis, il s’agit d’atteintes substantielles.
55. Dans ce contexte, nous étions préoccupés de constater que la plupart des incidents liés aux passeports n’ont pas été signalés au Commissariat et que ce ne sont pas toutes les institutions qui ont jugé les passeports perdus ou volés (seules) comme des atteintes substantielles. Nous avons appris qu’AMC considérait historiquement tout passeport canadien perdu ou volé comme une atteinte substantielle, mais qu’au cours des dernières années, AMC a changé sa position et considère maintenant ces atteintes comme substantielles seulement si d’autres documents ou renseignements ont été perdus ou volés en même temps que le passeport. AMC a soutenu que cela s’explique par le fait que les passeports perdus à l’étranger présentent un risque de vol d’identité beaucoup plus faible que pour les passeports perdus au Canada parce que les organisations du secteur privé à l’étranger sont plus susceptibles d’exiger une deuxième pièce d’identité. Malgré cette explication d’AMC, nous sommes d’avis que même s’il pouvait être confirmé qu’un passeport seul a été volé, compte tenu de sa sensibilité inhérente et du risque de préjudice, nous maintenons qu’il devrait être considéré comme une atteinte substantielle.
56. À l’inverse, EDSC, qui est responsable de la majeure partie du traitement des passeports sous forme matérielle dans le cadre du Programme de passeport, a dit au CPVP qu’historiquement, il ne considérait pas qu’un passeport perdu ou volé était une atteinte substantielle. En janvier 2019, il a modifié sa politique et examine maintenant chaque atteinte substantielle. Dans le même ordre d’idées, IRCC indique qu’il considère historiquement et actuellement les passeports perdus ou volés comme des atteintes substantielles.
57. EDSC et AMC ne nous ont pas fourni de politiques écrites sur la façon de déterminer, pour les unités respectives de l’AIPRP, l’« importance relative de l’atteinte » en ce qui concerne les passeports perdus ou volés. Ils ont plutôt indiqué que les décisions sont prises par leurs unités de l’AIPRP en fonction de leur interprétation des directives générales sur l’« importance relative » dans les Lignes directrices sur les atteintes à la vie privée du SCT.
58. Comme le montre la figure 2 (au paragraphe 23, reproduite ci-après par souci de commodité), au cours des 4 dernières années, seulement le quart des passeports ayant été volés ont été signalés au CPVP et seulement 12 % des pertes globales étaient liées aux passeports. Les incohérences manifestes relevées ci-dessous et le faible signalement général au CPVP en ce qui concerne les passeports, soulèvent des préoccupations au sujet de l’évaluation par les institutions de la gravité des risques liés aux atteintes aux passeports pour les personnes touchées.

Figure 2. Passeports canadiens perdus, volés ou mal acheminés alors qu’ils sont sous le contrôle du Programme de passeport – IRCC, EDSC, AMC, SCP (source : le Bureau du Programme de passeport d’IRCC), et, entre parenthèses, les dossiers du CPVP concernant les signalements d’atteinte à notre bureau.

Année	Perdu (signalé au CPVP comme perdu en transit ou égaréNote de bas de page 7)	Mal dirigé (signalé au CPVP comme mal dirigé ou mal livré)	Volé (signalé au CPVP comme volé)	Total (total signalé au CPVP)	Total en pourcentage du nombre approximatif de passeports délivrés par année (total signalé au CPVP)
2016	206 (24)	18 (4)	6 (1)	230 (29)	0.005 % (0.0006 %)
2017	321 (4)	9 (8)	6 (0)	336 (23)	0.006 % (0.0004 %)
2018	281Note de bas de page 8 (23)	35 (12)	11 (2)	327 (37)	0.009 % (0.0010 %)
2019	247 (36)	2 (17)	6 (4)	255 (57)	0.010 % (0.0022 %)
Total	1 055 (87)	64 (41)	29 (7)	1 148 (146)

Retards dans les notifications aux personnes touchées et manque d’aide concrète

59. Conformément à la politique du SCT, les institutions devraient informer rapidement les personnes lorsqu’une infraction potentielle à l’article 8 de la Loi sur la protection des renseignements personnels présente un risque de préjudice pour les personnes, afin de les aider à prendre des mesures éclairées pour se protéger au besoin^{Note de bas de page 9}.
60. Comme nous l’avons mentionné précédemment, la plupart des incidents de vol ou de perte de passeports ont été repérés par les personnes touchées elles-mêmes, de sorte que dans la plupart des cas, elles étaient au courant d’un problème potentiel dès le départ. Néanmoins, sans un avis de l’institution, les particuliers n’auraient pas accès à des renseignements et à de l’assistance supplémentaires pour les aider à prendre des mesures éclairées pour se protéger contre des risques comme le vol d’identité, à moins qu’ils n’aient cherché activement à obtenir eux-mêmes ces renseignements^{Note de bas de page 10}.
61. D’après l’échantillon de rapports d’atteinte à la vie privée que nous avons examinés, la grande majorité provenant d’EDSC, nous avons constaté que les clients touchés avaient été informés des incidents par EDSC, en moyenne, plus de quatre mois après l’incident.
62. De même, le SCT et notre Bureau ont été informés des incidents par EDSC, en moyenne, plus de cinq mois après s’être produits. Dans environ la moitié de ces cas, les rapports indiquaient que malgré le temps écoulé, le ministère n’avait pas encore écrit à la personne pour l’aviser de l’atteinte et lui fournir les renseignements susmentionnés. Ces retards sont excessivement longs, ce qui rend l’avis beaucoup moins efficace pour ce qui est d’habiliter les personnes à se protéger.
63. De plus, nous avons constaté que ces retards ne se produisent pas seulement dans les cas où l’atteinte a été détectée par la personne touchée. Nous soulignons par exemple l’arrestation en 2019 de personnes à Saskatoon qui volaient du courrier, y compris des passeports et des demandes de passeport, pour commettre une fraude d’identité afin d’ouvrir des comptes bancaires, d’obtenir et d’utiliser à mauvais escient des cartes de crédit et d’acheter des produits en ligne. Bien que la police de Saskatoon ait informé EDSC de ces incidents en septembre 2019, la notification aux personnes touchées n’a eu lieu qu’en juillet 2020.
64. Dans certains cas, EDSC a noté que les retards pourraient être attribuables à des retards dans la découverte ou à du temps prévu pour des enquêtes. Toutefois, EDSC a expliqué que ces retards sont principalement attribuables à l’important arriéré de sa division Gestion d’incidents et de divulgations législatives, qui aide le Programme de passeport à informer les clients touchés par une atteinte à leurs renseignements personnels. Même si nous reconnaissons que de nombreuses institutions fédérales font face à des contraintes en matière de ressources, il importe que les procédures établies soient suivies.
65. Pour ce qui est de fournir de l’aide aux personnes touchées afin de réduire leur risque, nous avons examiné des modèles et des exemples de lettres d’avis aux clients touchés. Ces modèles et ces exemples sont utilisés par EDSC, AMC et IRCC. Nous avons constaté qu’EDSC et AMC incluent tous deux des conseils d’atténuation des risques pour le vol d’identité et la fraude, mais que les lettres d’IRCC ne le font pas. En outre, aucune des lettres ne contenait d’offre aux personnes touchées de fournir une aide concrète pour gérer ce risque – comme couvrir le coût de la surveillance du crédit pendant un certain temps. À notre avis, dans les cas où des passeports ont été volés ou perdus et n’ont pas été retrouvés par la suite, compte tenu des risques en question, il est approprié d’apporter une aide concrète, comme une surveillance du crédit^{Note de bas de page 11}.

Recommandations

66. Le CPVP a donc recommandé qu’AMC, IRCC et EDSC établissent et mettent en œuvre conjointement : i) des directives écrites cohérentes sur la façon d’évaluer l’« importance relative » des atteintes liées aux passeports qui reflètent le risque persistant, pour les personnes, de la perte ou du vol d’un passeport; ii) des normes de service raisonnables pour signaler rapidement aux parties touchées la perte ou le vol de passeports; et iii) des conseils appropriés et des mesures d’atténuation, comme la surveillance du crédit, pour aider à protéger les personnes touchées contre les risques à long terme de vol d’identité.

Réponse des institutions

67. Les institutions ont convenu de mettre en œuvre les trois éléments de la recommandation.
    • En ce qui concerne i) les institutions ont convenu de mettre en œuvre la recommandation avant la date cible d’achèvement du 30 novembre 2021. Dans leur réponse conjointe, les institutions ont indiqué qu’IRCC travaillera en collaboration avec les partenaires du Programme de passeport pour élaborer des directives écrites sur la façon dont les ministères évaluent l’« importance relative » des atteintes liées aux passeports et des risques pour les personnes à la suite de la perte ou du vol d’un passeport. À la lumière du présent rapport, les institutions ont confirmé qu’il s’agira notamment de réévaluer la position sur l’« importance relative » des cas où un seul passeport est perdu à l’étranger.
    • En ce qui concerne ii) les institutions ont convenu de mettre en œuvre la recommandation avant la date cible d’achèvement du 31 mars 2022. Dans leur réponse conjointe, les institutions ont souligné que tous les ministères reconnaissent l’importance d’aviser rapidement les personnes des atteintes ainsi que les risques associés aux retards. AMC, IRCC et EDSC continueront de collaborer pour examiner les processus actuels et les normes de service raisonnables associés à l’avis aux parties touchées de passeports perdus ou volés.
    • En ce qui concerne iii) les institutions ont convenu de mettre en œuvre la recommandation avant la date cible d’achèvement du 30 septembre 2022. Dans leur réponse conjointe, les institutions ont indiqué qu’IRCC, EDSC et AMC examineront les lettres d’avis de tous les partenaires du Programme de passeport et veilleront à ce que des conseils cohérents soient fournis aux personnes touchées par des atteintes à la vie privée liées aux passeports. Les partenaires du Programme de passeport examineront également des options pour offrir des mesures d’atténuation supplémentaires afin de protéger les personnes touchées contre les risques à long terme de vol d’identité.

Leçons tirées des incidents d’atteinte aux passeports

68. Compte tenu de la sensibilité des passeports du point de vue de la protection des renseignements personnels et des éléments importants qui favorisent le vol de passeports, les institutions devraient disposer d’un système solide pour évaluer les incidents de sécurité liés aux passeports. Cette démarche vise à déceler les tendances qui pourraient indiquer des incidents malveillants. Elle a en outre pour but d’effectuer une analyse pour tirer des leçons des incidents qui se produisent, afin de se protéger contre la répétition de violations de l’article 8 de la Loi sur la protection des renseignements personnels.
69. Cela est conforme à la Politique sur la sécurité du gouvernement du SCT, qui exige que les institutions veillent à ce que les incidents de sécurité fassent l’objet d’une évaluation, d’une enquête, d’une consignation, d’un traitement et d’un signalement aux autorités compétentes et aux intervenants touchés. De plus, les Lignes directrices sur les atteintes à la vie privée du SCT prévoient que lorsqu’un incident de sécurité entraîne une atteinte à la vie privée, les institutions doivent mener une enquête pour cerner les lacunes dans les procédures ou processus de sécurité et formuler des recommandations, le cas échéant ou au besoin.
70. Comme il a été mentionné précédemment, EDSC signale la plupart des atteintes liées aux passeports – la majorité étant des atteintes qui surviennent pendant le transport par la SCP. Les lettres d’avis d’EDSC que nous avons examinées indiquaient ce qui suit : « Nous [EDSC] prenons cet incident très au sérieux et avons discuté de la question avec la SCP afin de prévenir ce type de situation à l’avenir. » Toutefois, dans nos entrevues avec EDSC, l’institution n’a pas été en mesure de corroborer la dernière partie de la déclaration. Nous avons été informés que la SCP ne fournit pas d’information sur des mesures précises visant à prévenir des incidents futurs. Dans ce contexte, EDSC ne pourrait donner aucune indication qu’il recueille de l’information pour tenter de réduire les risques particuliers de récurrence qui pourraient survenir.
71. Pour sa part, la SCP a indiqué que lorsqu’un passeport est déclaré non livré, elle effectue une recherche du courrier manquant et indique à EDSC si elle a pu le trouver ou non. Toutefois, il n’a pas indiqué s’il mène des enquêtes sur leurs causes, sauf dans les cas de vols confirmés des biens de la SCP qui comprennent des passeports, où ses Services de sécurité et d’enquête font enquête et formulent des recommandations pour prévenir la récurrence. On ne sait pas exactement quel renseignement, le cas échéant, est communiqué à EDSC ou à IRCC.
72. À titre de chef de file, le Programme de passeport d’IRCC assure le suivi de tous les incidents liés aux passeports. Des procédures détaillées ont été établies par lesquelles la SCP, EDSC et AMC informent le Programme de passeport lorsque de tels incidents surviennent. IRCC a soutenu dans notre examen qu’il surveille les incidents rattachés aux passeports qui lui sont signalés et que lorsqu’il y a un écart marqué par rapport à la normale, il examine les incidents pour déterminer s’il existe une tendance ou une justification et en fait rapport à la haute direction au besoin. Toutefois, étant donné qu’EDSC, qui signale la majorité des atteintes, ne pourrait fournir aucune indication qu’il recueille de l’information visant à réduire les risques particuliers de récurrence des incidents en transit, on ne sait pas clairement comment l’analyse post-événement effectuée par le Programme de passeport d’IRCC est éclairée et comment les résultats sont diffusés aux intervenants pertinents pour réduire les risques de récurrence de ces communications non autorisées.

Recommandation

73. Nous recommandons à IRCC de s’assurer que les processus actuels d’évaluation des incidents et d’enquête sont suffisamment robustes pour évaluer correctement les causes des incidents et les risques qui en découlent pendant que les passeports sont traités par EDSC, AMC et la SCP – afin de cerner les tendances suspectes potentielles et de partager les leçons apprises avec tous les intervenants concernés.

Réponse des institutions

74. Les institutions ont convenu de mettre en œuvre la recommandation avant la date cible d’achèvement du 31 mars 2022. Dans leur réponse conjointe, les institutions ont souligné que les partenaires du Programme de passeport reconnaissent qu’il importe de protéger les renseignements personnels des clients et de veiller à ce que des mesures soient en place pour prévenir de façon proactive les atteintes à la vie privée. La SCP continue d’examiner ses processus existants afin d’apporter d’autres améliorations. Outre le processus d’enquête mené par la SCP, IRCC accepte d’examiner les processus existants afin d’améliorer davantage, dans la mesure du possible, les évaluations des incidents et les enquêtes.

Conclusion

75. Notre examen a révélé que, dans l’ensemble, la proportion de passeports délivrés qui ont été communiqués en contravention de l’article 8 de la Loi sur la protection des renseignements personnels n’est pas élevée et n’a trouvé aucune indication de problèmes systémiques dans les systèmes conçus pour prévenir ces communications inappropriées.
76. Toutefois, étant donné le risque que présente la communication non autorisée de passeports à des personnes, lorsque de tels incidents surviennent, il importe qu’ils soient traités de façon appropriée afin d’atténuer les répercussions sur les personnes et de réduire la probabilité de récurrence. À cet égard, nous avons relevé un certain nombre de domaines dans lesquels IRCC et ses partenaires pourraient prendre des mesures pour améliorer la détection, la correction et les leçons apprises. Nous sommes heureux qu’IRCC et ses partenaires aient convenu de mettre en œuvre nos recommandations ci-dessus.