Enquête sur les exigences relatives à l’attestation de vaccination contre la COVID-19 établies par le ministère de la Défense nationale pour les membres des Forces armées canadiennes

Plaintes en vertu de la Loi sur la protection des renseignements personnels

Le 29 mai 2023

---

Description

Nous avons examiné les exigences relatives à l’attestation de vaccination établies en réponse à la pandémie de COVID-19 par le ministère de la Défense nationale (MDN) pour les membres des Forces armées canadiennes (FAC). Notre objectif était d’établir si ces exigences étaient conformes aux dispositions de la Loi sur la protection des renseignements personnels (la Loi) visant la collecte, l’utilisation et la communication de renseignements personnels et si les contrôles d’accès prévus dans le système Gestion SSAM (système de soutien de l’administration militaire) du MDN étaient suffisants. Nous avons de plus examiné la nécessité et la proportionnalité des mesures établies en fonction du contexte.

Points à retenir

• Le MDN avait le pouvoir, en vertu de la Loi sur la défense nationale et de la partie II du Code canadien du travail, de recueillir des renseignements sur le statut vaccinal contre la COVID-19 des membres des FAC. L’utilisation et la communication de ces renseignements étaient généralement conformes aux fins pour lesquelles ceux-ci avaient été recueillis.
• En ce qui concerne les systèmes, comme Gestion SSAM du MDN, où sont consignés des renseignements sensibles sur les employés (comme, en l’espèce, le statut vaccinal contre la COVID-19), il est important de mettre en place des activités centrales de vérification des permissions afin d’éviter un accès inapproprié, sans raison valable, à des renseignements personnels sensibles.
• Bien que le respect des principes de nécessité et de proportionnalité des mesures ne constitue pas actuellement une obligation au titre de la Loi, limiter la collecte de renseignements personnels à ceux qui sont strictement nécessaires est une obligation prévue par la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor. Dans le cas présent, nous avons conclu que la collecte de renseignements personnels découlant des mesures mises en place par le MDN pour les membres des FAC était, dans le contexte, nécessaire, efficace et proportionnelle.

---

Rapport de conclusions

Aperçu

En octobre 2021, le gouvernement du Canada a annoncé que les fonctionnaires fédéraux devraient être entièrement vaccinés contre la COVID-19. Au même moment, le ministère de la Défense nationale (MDN) a publié la Directive du CEMD sur la vaccination contre la COVID-19 des FAC (la Directive du CEMD), selon laquelle les membres des Forces armées canadiennes (FAC) doivent être entièrement vaccinés et attester leur statut vaccinal. À la suite de ces nouvelles directives, 16 plaintes contre le MDN, et plus précisément contre les FAC, ont été présentées au Commissariat.

Le Commissariat a également été saisi de plaintes contre le Secrétariat du Conseil du Trésor (SCT) et des institutions de l’administration publique centrale (notamment une plainte d’un employé civil contre le MDN) ainsi que des plaintes contre d’autres organisations publiques qui ne sont pas assujetties à la Politique sur la vaccination contre la COVID-19 applicable à l’administration publique centrale, y compris à la Gendarmerie royale du Canada du SCT (la Politique du SCT). Ces dernières ont plutôt leurs propres pouvoirs de gestion établis en vertu de la législation de leur institution. Ces plaintes sont traitées dans des rapports distincts.

Plusieurs plaignants ont affirmé qu’il était déraisonnable de recueillir des renseignements sur le statut vaccinal des membres des FAC et, dans certains cas, des renseignements médicaux ou religieux en vue d’appuyer une demande d’accommodement visant à être exemptés des exigences prévues par la Directive du CEMD. Après enquête et analyse, nous avons conclu que la collecte de renseignements personnels par le MDN et les FAC au titre de la Directive du CEMD était conforme aux exigences de l’article 4 de la Loi sur la protection des renseignements personnels (la Loi), étant donné qu’elle était directement liée aux programmes ou aux activités du MDN, notamment ses responsabilités en matière de santé et de sécurité au travail pendant une situation d’urgence nationale découlant de la pandémie de COVID-19.

Certains plaignants ont déclaré que l’utilisation de renseignements personnels relatifs à leur statut vaccinal par le MDN et les FAC était inappropriée. Nous avons établi que le MDN et les FAC avaient utilisé ces renseignements conformément aux fins pour lesquelles ils avaient été recueillis et que leur utilisation était donc conforme à l’article 7 de la Loi.

De nombreux plaignants ont également soulevé des préoccupations au sujet de l’utilisation de l’application Gestion SSAM par le MDN et les FAC pour consigner le statut vaccinal des membres. Ils ont affirmé qu’il n’y avait pas suffisamment de contrôles d’accès et de permissions pour empêcher l’accès non autorisé à leurs renseignements personnels. Nous n’avons relevé aucun cas d’accès inapproprié aux renseignements des membres des FAC; cependant, nous avons recommandé que le MDN et les FAC mettent en œuvre des mesures visant à confirmer périodiquement que les unités examinent et révoquent dûment les permissions qui permettent d’accéder aux renseignements sensibles des membres des FAC dans Gestion SSAM. Le MDN a refusé de mettre en œuvre cette recommandation.

Certains plaignants ont également affirmé qu’ils avaient refusé de fournir au MDN et aux FAC des renseignements sur leur statut vaccinal, ce qui a fait en sorte qu’ils ont été désignés comme étant « non vaccinés » dans Gestion SSAM. Selon eux, ces renseignements ne constituaient pas une représentation exacte de leur statut vaccinal, et le MDN et les FAC n’avaient pas pris toutes les mesures raisonnables pour s’assurer que leur statut vaccinal était exact, à jour et complet. Nous avons établi que le MDN et les FAC avaient, en fait, fourni aux membres l’occasion, les instructions et les outils nécessaires pour s’assurer que les renseignements relatifs à leur statut vaccinal étaient aussi exacts, à jour et complets que possible. Les membres des FAC qui ne voulaient pas attester leur statut vaccinal pouvaient choisir comme raison « refus de partager son statut vaccinal » pour refléter plus précisément leur décision ou leur statut. Cela n’a pas eu d’incidence importante sur le processus décisionnel du MDN et des FAC en ce qui concerne l’imposition de sanctions administratives aux membres des FAC qui ont refusé d’attester leur statut vaccinal.

Compte tenu de ce qui précède, nous avons conclu que les directives du CEMD avaient été mises en œuvre conformément aux exigences prévues par la Loi.

De plus, bien qu’il ne s’agisse pas d’une exigence en vertu de la Loi, nous avons également examiné les principes de nécessité et de proportionnalité en ce qui a trait aux collectes établies au titre de la Directive du CEMD. Nous avons établi que dans le contexte de la pandémie mondiale de COVID-19, la Directive du CEMD était, dans l’ensemble, nécessaire et proportionnelle étant donné la situation d’urgence qui était en cours; le potentiel réel que les membres des FAC soient déployés au Canada et à l’étranger; et le rôle que les FAC devaient jouer pour soutenir la réponse du gouvernement fédéral à la pandémie. À l’instar d’autres employeurs fédéraux, le MDN et les FAC ont des obligations claires en vertu du Code canadien du travail de protéger la santé et la sécurité de leurs employés (c.-à-d. les membres des FAC) en milieu de travail. Nous sommes également convaincus que, selon les conditions et les directives de santé publique à ce moment-là, la vaccination était la méthode la plus efficace pour prévenir les infections et les maladies graves causées par la COVID-19, et ce, afin d’assurer la santé et la sécurité de l’Équipe de la Défense et la disponibilité opérationnelle des FAC.

Par conséquent, nous sommes convaincus que la Directive du CEMD a tenu compte des principes de nécessité et de proportionnalité dans le contexte de la pandémie mondiale de COVID-19.

Contexte

1. Le 6 octobre 2021, le gouvernement du Canada a annoncé que tous les fonctionnaires de l’administration publique centrale devaient fournir une attestation selon laquelle ils sont pleinement vaccinés contre la COVID-19. En cas de refus, ils seraient mis en congé sans solde, à moins que des mesures d’adaptation ne soient prises pour des raisons médicales ou pour des motifs de distinction illicite. Ces exigences ont été officialisées pour les employés de l’administration publique centrale dans le cadre de la Politique du SCT.
2. On a demandé aux FAC, qui sont appuyées par le MDN, et à d’autres employeurs distincts de la fonction publique fédérale, de mettre en œuvre des politiques essentiellement semblables pour leurs employés.
3. Par la suite, le 6 octobre 2021, le chef d’état-major de la défense (CEMD) des FAC a émis la Directive du CEMD, à laquelle s’est ajoutée la Directive 002 du CEMD sur la vaccination contre la COVID-19 – Mise en œuvre des accommodements et mesures administratives (la Directive 002 du CEMD) le 15 novembre 2021. Un amendement a été apporté par la suite à la Directive 002 du CEMD le 22 décembre 2021. Les modifications donnaient des détails sur la souplesse supplémentaire pour les membres dans les régions éloignées et ceux qui étaient actuellement en déploiement opérationnel, et décrivaient des exigences supplémentaires pour le traitement des demandes de mesures d’adaptation.
4. En vertu de la Directive, tous les membres des FAC^{Note de bas de page 1}, y compris ceux qui travaillent de la maison, devaient fournir une attestation de leur statut vaccinal contre la COVID-19. Les personnes qui ne pouvaient pas être vaccinées pour des motifs protégés sous le régime de la Loi canadienne sur les droits de la personne (LCDP) pouvaient demander une mesure d’adaptation. Le défaut d’un membre de divulguer son statut vaccinal entraînerait des « sanctions administratives », notamment un avertissement écrit, une mise en garde et surveillance, ainsi qu’un examen administratif pouvant mener à sa libération des FAC. Les mêmes sanctions seraient imposées aux membres des FAC qui n’ont pas été vaccinés après un délai de grâce ou à ceux dont la demande de mesures d’adaptation a été refusée s’ils refusaient toujours de se faire vacciner.
5. La Directive faisait grandement référence à la Politique du SCT, notamment en ce qui concerne les demandes de mesures d’adaptation, afin d’assurer l’harmonisation. À cet égard, la Directive du CEMD et la Politique du SCT ont établi des exigences semblables avec des objectifs similaires. Il convient toutefois de noter que la Politique du SCT ne prévoyait pas que les employés non vaccinés (ou ceux qui ne voulaient pas attester leur statut vaccinal) perdent leur emploi de la même façon que les membres des FAC pourraient être libérés des FAC à la suite d’un examen administratif.
6. La Directive indiquait que les mesures étaient mises en œuvre « afin de protéger les membres des FAC et l’équipe de la défense, et de faire preuve de leadership responsable envers le Canada, les Canadiens, et Canadiennes par la réponse de l’Équipe de la Défense à la pandémie…^{Note de bas de page 2} ».
7. Afin de recueillir des renseignements sur l’attestation de vaccination, les membres des FAC devaient entrer leur statut vaccinal dans Gestion SSAM, une application opérationnelle de gestion des ressources humaines conçue et exploitée par le MDN et les FAC. Dans le cas des membres qui n’avaient pas accès à Gestion SSAM, ils pouvaient soumettre des formulaires papier à leur superviseur, qui saisissait ensuite les renseignements dans Gestion SSAM.
8. Le 11 octobre 2022, le CEMD a adopté la Directive 003 du CEMD sur la vaccination contre la COVID-19 des FAC (la Directive 003 du CEMD), qui a remplacé les directives précédentes du CEMD sur la vaccination contre la COVID-19 des FAC. Bien que cette directive prévoyait certaines conditions dans le cadre desquelles les membres des FAC ne seraient pas tenus d’être pleinement vaccinés contre la COVID-19 (c.-à-d. lorsque la vaccination n’est pas requise pour des raisons de disponibilité opérationnelle), elle a maintenu l’exigence selon laquelle tous les membres des FAC devaient attester leur statut vaccinal contre la COVID-19.

Champ de compétence

9. Plusieurs plaignants ont déclaré que le fait d’exiger la vaccination et l’attestation du statut vaccinal constituait une violation de leurs droits garantis par la Charte canadienne des droits et libertés (la Charte) et que, par conséquent, cette exigence était illégale. Toutefois, formuler des conclusions sur le respect de la Charte ne relève pas de la compétence du Commissariat et ne fait donc pas l’objet de l’analyse du présent rapport.

Méthodologie

10. Étant donné qu’on a demandé au MDN et aux FAC de se conformer aux exigences de la Politique du SCT et que, par conséquent, celle-ci a largement orienté les exigences générales des directives connexes du CEMD, nous nous sommes appuyés en outre sur les observations qu’avait faites le SCT au sujet de sa politique. Nous invitons les lecteurs qui souhaitent en savoir plus sur le contexte à consulter le rapport de conclusions portant sur notre Enquête sur les exigences relatives à l’attestation de vaccination contre la COVID-19 établies par le Conseil du Trésor du Canada pour les employés de l’administration publique centrale.

Analyse

Question n^o 1 : Les renseignements recueillis par le MDN et les FAC étaient-ils directement liés à un programme ou à une activité de l’institution, comme l’exige la Loi?

11. Plusieurs plaignants affirment que le MDN les a obligés, conformément à la Directive, à fournir des renseignements personnels concernant leur statut vaccinal contre la COVID-19 et, dans certains cas, de fournir des renseignements sur leurs croyances religieuses ou leurs antécédents médicaux afin d’obtenir une mesure d’adaptation au titre de ces exigences. Ces plaignants font valoir que la collecte de leurs renseignements constitue une atteinte déraisonnable à leur droit à la vie privée.
12. Selon l’article 4 de la Loi, les institutions ne peuvent recueillir les renseignements personnels que si ces renseignements ont un lien direct avec ses programmes ou ses activités. Ces programmes ou activités sont normalement établis par une loi qui autorise le programme ou l’activité en question. L’article 4 n’exige pas qu’une collecte soit « nécessaire », mais simplement qu’il y ait « un lien direct, immédiat, sans intermédiaire entre les renseignements collectés et les activités ou programmes du gouvernement^{Note de bas de page 3} ».
13. Même si certains plaignants ont affirmé que les renseignements sur leur statut vaccinal étaient recueillis sans leur consentement, il convient de noter que la Loi n’exige pas que les institutions obtiennent le consentement des personnes pour la collecte de leurs renseignements personnels. De plus, nous constatons que les renseignements sur le statut vaccinal ont été recueillis directement auprès des membres des FAC et que ces derniers ont été informés – à la fois dans la Directive du CEMD et dans l’avis de confidentialité de Gestion SSAM – de l’objet de la collecte, conformément à l’article 5 de la Loi.
14. Dans sa réponse, le MDN a expliqué qu’il recueillait des renseignements sur le statut vaccinal des membres contre la COVID-19 pour s’acquitter de ses responsabilités en vertu du Code canadien du travail et que la collecte visait directement à assurer la santé et la sécurité des membres des FAC en milieu de travail.
15. Le MDN a ajouté que les renseignements avaient été recueillis conformément aux articles 4 et 18 de la Loi sur la défense nationale en ce qui a trait à la direction et à la gestion des FAC; et, plus précisément, afin d’assurer la santé et la sécurité de l’Équipe de la Défense et la disponibilité opérationnelle des FAC.
16. Nous reconnaissons que les FAC jouent un rôle unique au sein du gouvernement du Canada en répondant à des événements au Canada et partout dans le monde, et que le MDN doit donc comprendre si chaque membre des FAC peut être déployé et dans quelles circonstances et dans quelles limites. De plus, il n’est pas toujours possible de prévoir à quel moment ou à quel endroit les membres des FAC, ou leurs unités, seront déployés.
17. À l’appui de la Directive, le MDN a présenté des éléments de preuve de l’Agence de la santé publique du Canada, datés du 3 septembre 2021, démontrant entre autres ce qui suit :
    1. Le variant Delta de la COVID-19, qui devenait alors la souche dominante, était plus contagieux que les variants précédents et plus susceptible d’entraîner des hospitalisations et des décès au milieu de ce qui était alors la quatrième vague de la pandémie au Canada;
    2. Les vaccins approuvés contre la COVID-19 étaient très efficaces pour prévenir les formes graves de la maladie, les hospitalisations et la mort.
18. À la lumière de ces éléments de preuve, nous sommes convaincus qu’au moment où la Directive a été mise en place, la collecte de renseignements sur le statut vaccinal des membres des FAC était directement liée aux responsabilités du MDN visant à assurer la santé et la sécurité des membres des FAC et des employés civils du MDN en milieu de travail et à assurer la disponibilité opérationnelle des FAC.
19. La Directive envisageait d’offrir aux membres des FAC 3 options possibles pour attester leur statut vaccinal : « complètement vacciné », « incapable de se faire vacciner » et « ne veut pas se faire vacciner ». Ce dernier statut inclurait les membres non vaccinés ou ceux qui auraient été vaccinés, mais qui ne voulaient pas divulguer leur statut vaccinal, et pour lesquels les demandes de mesure d’adaptation n’ont pas été approuvées selon les motifs définis dans la Loi canadienne sur les droits de la personne.
20. La Directive permettait aux personnes de demander une mesure d’adaptation si elles ne pouvaient pas « être complètement vaccinées en raison d’une contre-indication médicale certifiée, d’un motif religieux ou de tout autre motif interdit de discrimination tel que défini dans la Loi canadienne sur les droits de la personne^{Note de bas de page 4} (LCDP) ». Les détails de la demande de mesures d’adaptation ont été précisés plus tard dans la Directive 002 du CEMD sur la vaccination contre la COVID-19 – Mise en œuvre des accommodements et mesures administratives, publiée en novembre 2021 et mise à jour en décembre 2021 dans la Directive 002 du CEMD sur la vaccination contre la COVID-19 – Mise en œuvre des accommodements et mesures administratives – Amendement 1.
21. Pour demander une mesure d’adaptation pour des raisons médicales, les membres des FAC devaient fournir des renseignements sur les contre-indications médicales au moyen de formulaires remplis et signés par un fournisseur de soins de santé^{Note de bas de page 5}. Pour demander une mesure d’adaptation pour des motifs religieux, les membres devaient « définir l’exigence de la demande religieuse par attestation sous serment en utilisant le formulaire d’affidavit du GC Croyance religieuse, expliquant le fondement de la nature religieuse de l’exemption et la raison pour laquelle cela l’empêche de se faire vacciner^{Note de bas de page 6} ». Enfin, pour demander une exemption fondée sur des motifs de discrimination en vertu de la LCDP, un membre devait « définir son besoin d’accommodement en faisant une déclaration sous serment afin d’énoncer les motifs de distinction illicite en vertu de la LCDP et d’expliquer le fondement de sa demande et la raison pour laquelle cela l’empêche de se faire vacciner^{Note de bas de page 7} ».
22. Nous sommes d’avis que la collecte de renseignements personnels pour évaluer une demande de mesures d’adaptation en vertu de la Directive est directement liée aux responsabilités d’une institution fédérale sous le régime de la LCDP visant à éviter la discrimination contre les employés pour des motifs de distinction illicites^{Note de bas de page 8}. Il existe un lien direct et immédiat entre cette responsabilité et la collecte de renseignements auprès des employés pour justifier leur demande de mesures d’adaptation pour l’un de ces motifs. Dans ce contexte, il est difficile de bien saisir comment on pourrait s’attendre à ce que le MDN prenne une décision au sujet d’une demande de mesures d’adaptation sans obtenir des renseignements supplémentaires sur la nature de la situation du membre des FAC.
23. Le 11 octobre 2022, le CEMD a adopté la Directive 003 du CEMD sur la vaccination contre la COVID-19 des FAC, qui a remplacé les directives précédentes du CEMD sur la vaccination contre la COVID-19 des FAC. Bien que cette directive prévoyait certaines conditions dans le cadre desquelles les membres des FAC ne seraient pas tenus d’être pleinement vaccinés contre la COVID-19 (c.-à-d. lorsque la vaccination n’est pas requise pour des raisons de disponibilité opérationnelle), elle a maintenu l’exigence selon laquelle tous les membres des FAC devaient attester leur statut vaccinal contre la COVID-19.
24. À la lumière de ce qui précède, nous concluons que la collecte de renseignements requise en vertu de la Directive est directement liée aux activités ou aux programmes existants, c’est-à-dire : i) assurer la santé et la sécurité des membres des FAC et des employés civils en milieu de travail et ii) assurer la disponibilité opérationnelle des FAC. Nous n’avons relevé aucun cas de collecte qui n’était pas directement lié à la mise en œuvre de la Directive. Par conséquent, nous estimons que les allégations relatives à cette question sont non fondées.

Question n^o 2 : L’utilisation des renseignements personnels recueillis en vertu de la Directive était-elle autorisée par l’article 7 de la Loi?

25. Certains plaignants ont affirmé que l’utilisation par le MDN de renseignements relatifs à leur statut vaccinal, dans le but de prendre une décision sur l’application de sanctions administratives pour les personnes non vaccinées, était inappropriée.
26. L’article 7 de la Loi établit les conditions pour lesquelles les renseignements recueillis par les institutions peuvent être utilisés. Plus précisément, l’alinéa 7a) établit que les renseignements peuvent être utilisés « aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins ».
27. Comme il a été mentionné précédemment en l’espèce, nous reconnaissons que le but de la collecte de renseignements sur le statut vaccinal des membres des FAC est directement lié aux responsabilités du MDN visant à assurer la santé et la sécurité des membres des FAC et des employés civils du MDN en milieu de travail et à assurer la disponibilité opérationnelle des FAC.
28. Après que les utilisateurs se soient connectés à Gestion SSAM, un écran leur était présenté, les informant de ce qui suit :
    • « L’objet de la collecte et de l’utilisation de ces renseignements vise à permettre à votre superviseur de s’acquitter de ses responsabilités afin d’assurer la santé et la sécurité des membres des FAC. Il s’agit d’une exigence de la Directive du SM/CEMD – Politique de vaccination contre la COVID-19 des FAC. » [traduction]
    • « Les renseignements personnels recueillis seront utilisés pour confirmer votre statut vaccinal et pour examiner les demandes de mesures d’adaptation des personnes qui ne peuvent pas être vaccinées. Les renseignements personnels seront utilisés, conjointement avec d’autres mesures préventives contre la COVID-19, dont des tests rapides, afin de déterminer si l’accès au lieu de travail vous sera accordé sur place et de déterminer si vous pouvez vous présenter au travail en personne ou travailler à distance. Vos renseignements personnels seront également utilisés par votre organisation pour surveiller les répercussions globales de la COVID-19 et la conformité à la politique de vaccination et en faire rapport. » [traduction]
    • « Le refus de fournir les renseignements demandés entraînera des sanctions administratives comme le fait que les employés des FAC fassent l’objet de restrictions à l’emploi jusqu’à ce qu’ils se conforment entièrement aux exigences. » [traduction]
29. Nous n’avons trouvé aucune preuve montrant que l’utilisation des renseignements recueillis par le MDN était incompatible avec les fins énumérées ci-dessus; par conséquent, nous concluons que le MDN a utilisé les renseignements aux fins auxquelles ils ont été recueillis ou d’une manière compatible avec ces fins. Nous estimons donc que les allégations relatives à cette question sont non fondées.

Question n^o 3 : L’utilisation de Gestion SSAM pour la collecte et le stockage de renseignements sur le statut vaccinal des membres des FAC a-t-elle entraîné la communication non autorisée de renseignements?

30. Bon nombre de plaignants ont déclaré que les contrôles d’accès dans Gestion SSAM sont insuffisants et que, par conséquent, leurs renseignements risquaient d’être communiqués de façon inappropriée à d’autres membres de leur unité qui n’avaient pas besoin d’y avoir accès.
31. Le paragraphe 8(1) de la Loi stipule que les renseignements personnels qui relèvent d’une institution ne doivent pas être communiqués par cette institution, à défaut du consentement de la personne concernée, sauf dans les cas prévus au paragraphe 8(2). L’alinéa 8(2)a) permet la communication « aux fins auxquelles ils ont été recueillis ou préparés par l’institution ou pour les usages qui sont compatibles avec ces fins ».
32. Le guide de l’utilisateur de Gestion SSAM^{Note de bas de page 9} indique que « Gestion SSAM (système de soutien de l’administration militaire) est une application utilisée pour la gestion opérationnelle des ressources humaines en temps réel, qui aide la chaîne de commandement (C de C) dans la gestion quotidienne de son personnel. Gestion SSAM recueille des renseignements provenant de différents systèmes qui ont une incidence sur l’emploi quotidien des soldats au sein d’une unité. » [traduction] Le guide de l’utilisateur précise également que Gestion SSAM est autorisé à stocker et à traiter des renseignements jusqu’au niveau de classification Protégé B (c.-à-d. des renseignements dont la communication non autorisée pourrait vraisemblablement causer un préjudice grave qui n’est pas d’intérêt national, p. ex. à des particuliers ou à des entreprises).
33. Le MDN utilise Gestion SSAM pour recueillir et conserver les attestations de statut vaccinal contre la COVID-19 des membres des FAC. Ces derniers doivent ouvrir une session et entrer leur statut vaccinal dans l’application.
34. Les renseignements sur le statut vaccinal contre la COVID-19 d’un membre des FAC peuvent être consultés par les autres personnes au sein de la chaîne de commandement (c.-à-d. les superviseurs et les gestionnaires) de son unité dont le privilège « Voir les données sensibles » est activé dans leur compte Gestion SSAM.
35. Dans le cadre de nos discussions avec les membres du Centre de logiciels du commandement militaire (CLCM), l’équipe responsable de l’élaboration, de la gestion et de la mise à jour de l’application Gestion SSAM pour le MDN, nous avons appris que la gestion des privilèges (y compris la capacité d’accéder à des données sensibles sur les membres des FAC) est habituellement déléguée à l’échelle de l’unité et que de telles décisions relèvent du commandant de l’unité ou de l’officier responsable (pour les unités des FAC plus petites ou subordonnées). Les privilèges à l’échelle de l’unité sont mis en place par l’administrateur de l’application Gestion SSAM de l’unité au nom du commandant ou de l’officier responsable. Par conséquent, la gestion des privilèges est considérablement décentralisée dans Gestion SSAM.
36. Les membres du CLCM nous ont mentionné que cette approche décentralisée est intentionnelle et qu’elle permet à chaque unité de déterminer les rôles et les permissions à attribuer à ses membres d’une manière qui correspond le mieux à sa propre situation. Nous reconnaissons, dans une certaine mesure, que les besoins de chaque unité varient selon la nature de son rôle, sa composition et l’environnement ou le commandement sous lequel elle se trouve (p. ex. Armée canadienne, Marine royale canadienne, Aviation royale canadienne, Commandement des opérations spéciales); et que ces besoins peuvent changer au fil du temps selon l’état de déploiement et des niveaux de dotation de l’unité.
37. Nous estimons toutefois que dans un tel modèle décentralisé, il est prudent de veiller à la mise en place d’activités centrales de vérification et de surveillance rigoureuses afin de confirmer que les unités et les commandements s’acquittent adéquatement de leurs responsabilités en matière d’octroi de permissions et de révocation de celles-ci lorsque les personnes changent de poste ou lorsque les permissions ne sont plus nécessaires.
38. Le MDN nous a informés dans ses observations que le 12 janvier 2022, l’officier supérieur responsable du CLCM a envoyé par courriel un communiqué aux administrateurs de Gestion SSAM du commandement et de l’unité pour leur rappeler la nécessité d’utiliser les contrôles d’accès aux données et de protection des renseignements personnels de Gestion SSAM pour appuyer les « exigences fonctionnelles de leur unité et assurer la protection appropriée des données à caractère confidentiel ». Le communiqué rappelait également aux administrateurs la nécessité de « s’assurer que des politiques de gouvernance sont en place et qu’un ou plusieurs administrateurs désignés de Gestion SSAM ont une excellente compréhension des rôles lorsqu’ils accordent des permissions ». Enfin, on a conseillé aux unités de « procéder à un examen du privilège “Voir les données sensibles” de tous les membres afin de s’assurer que l’accès aux données est une exigence essentielle à l’exercice de leurs fonctions » [traductions].
39. Bien que nous considérions que les directives du communiqué étaient appropriées dans les circonstances, nous n’avons trouvé aucune preuve que le CLCM a fait un suivi auprès des administrateurs de Gestion SSAM pour confirmer qu’ils avaient entrepris des démarches en ce sens. Par ailleurs, aucune preuve ne montrait que le CLCM avait recueilli des données pour déterminer dans quelle mesure ces démarches avaient été entreprises et si elles étaient efficaces. Par conséquent, du point de vue de la gestion, il est difficile de savoir si le communiqué a atteint les résultats escomptés.
40. En raison du modèle décentralisé de contrôle d’accès et de gestion des privilèges utilisé pour Gestion SSAM et de la nature sensible des renseignements qui y sont stockés (dont le statut vaccinal des membres contre la COVID-19), nous avons recommandé que le MDN et les FAC établissent des mesures pour vérifier périodiquement que i) les commandements et les unités ont mis en œuvre et tiennent à jour des politiques de gouvernance appropriées pour la gestion des permissions au sein des unités et ii) les unités examinent régulièrement les privilèges « Voir les données sensibles » attribués aux membres de l’unité ainsi que pour ceux qui sont transférés à l’extérieur de l’unité. Cela aidera à protéger la vie privée des membres des FAC et à respecter le principe du « besoin de savoir ».
41. Le MDN a refusé de mettre en œuvre notre recommandation. Dans sa réponse, le MDN a indiqué que les mesures en place sont selon lui « suffisantes pour fournir l’assurance que les contrôles d’accès sont gérés et surveillés et que le traitement des renseignements personnels dans Gestion SSAM respecte le droit à la vie privée des membres des FAC » [traduction]. Nous ne sommes pas de cet avis et estimons que les mesures décrites par le MDN ne suffisent pas pour garantir que les privilèges accordés à l’échelle de l’unité dans Gestion SSAM respectent ses directives. De plus, nous ne sommes pas convaincus que le MDN surveille et contrôle adéquatement ces privilèges. Par conséquent, nous estimons que cette pratique présente un risque d’atteinte à la vie privée des membres des FAC. Nous encourageons vivement le MDN à mettre en œuvre la recommandation.
42. Nous n’avons trouvé aucune preuve que le statut vaccinal des membres des FAC contre la COVID-19 a été communiqué de façon inappropriée par l’intermédiaire de Gestion SSAM, et aucun exemple précis n’a été soulevé à cet égard. Par conséquent, nous estimons que les allégations selon lesquelles le manque de contrôles d’accès dans Gestion SSAM a mené à la communication inappropriée de renseignements sont non fondées.

Question n^o 4 : Le MDN a-t-il pris des mesures raisonnables pour s’assurer que les renseignements personnels utilisés pour déterminer le statut vaccinal des membres des FAC contre la COVID-19 étaient exacts?

43. Certains plaignants affirment qu’ils ont refusé de soumettre une attestation de statut vaccinal sous la forme et de la manière précisées par le MDN ou les FAC, ou qu’ils ont tout simplement refusé de soumettre une attestation de statut vaccinal, et que, par conséquent, leur statut vaccinal dans l’application Gestion SSAM indiquait qu’ils étaient « non vaccinés ». Ils affirment que cela a mené à la collecte, à la conservation et à l’utilisation de données inexactes au sujet des membres. Ils ajoutent que le MDN et les FAC ont donc utilisé des renseignements erronés pour prendre des décisions relatives à l’application de sanctions administratives.
44. En vertu du paragraphe 6(2) de la Loi, les institutions sont tenues de veiller, dans la mesure du possible, à ce que tous les renseignements personnels qu’elles utilisent à des fins administratives soient à jour, exacts et complets.
45. Il semble que les membres des FAC aient été raisonnablement informés de la façon et la marche à suivre pour établir leur propre statut vaccinal dans Gestion SSAM. Le MDN et les FAC ont communiqué aux membres des FAC, au moyen des directives du CEMD, la marche à suivre ainsi que les options de statut vaccinal possibles et leur signification. On a également fourni aux membres les outils nécessaires pour s’assurer que leur statut était entré correctement et avec exactitude dans Gestion SSAM. Pour les membres qui n’avaient pas accès à Gestion SSAM, le MDN et les FAC leur fournissaient une autre méthode, soit un formulaire papier que les plaignants en l’espèce auraient pu utiliser pour communiquer leur bon statut vaccinal à leur superviseur.
46. Les personnes qui ne voulaient pas attester leur statut vaccinal devaient sélectionner « non vacciné » dans Gestion SSAM, alors qu’en fait, cela n’était peut-être pas une représentation fidèle de leur statut. Toutefois, Gestion SSAM incluait également un champ « raison » qui leur permettrait d’indiquer « refus de communiquer mon statut vaccinal » [traductions].
47. Bien que le paragraphe 6(2) de la Loi n’ait pas suscité un grand volume de jurisprudence, une disposition comparable de la Health Information Act de l’Alberta (R.S.A. 2000 c. H-5, art. 61) a été interprétée comme exigeant que les renseignements soient suffisamment exacts pour parvenir « aux fins auxquelles ils seront utilisés ou communiqués^{Note de bas de page 10} » [traduction].
48. En pratique, le codage appliqué (c.-à-d. « non vacciné » plutôt que d’indiquer simplement que la personne ne veut pas fournir d’attestation) ne semble pas avoir eu d’incidence sur le processus décisionnel, en ce sens que les personnes qui ne veulent pas se faire vacciner et celles qui ne veulent pas fournir d’attestation ont fait l’objet des mêmes sanctions administratives. De plus, le champ « raison » permettait de fournir des précisions supplémentaires pour donner une représentation exacte du statut vaccinal des membres.
49. Malgré le fait que le codage n’avait pas d’incidence sur le processus décisionnel, il aurait été optimal et plus clair de donner aux employés la possibilité de sélectionner un champ indiquant « refus de fournir une attestation », ce qui aurait évité toute confusion.
50. Pour ce motif, nous avons conclu que le MDN et les FAC ont pris des mesures raisonnables pour s’assurer que le statut vaccinal des plaignants était exact, à jour et complet. Par conséquent, nous estimons que les allégations relatives à cette question sont non fondées.

Autres

Les renseignements recueillis étaient-ils nécessaires et proportionnels?

51. Notre bureau a également tenu compte de la nécessité et de la proportionnalité de la vaccination obligatoire et des mesures d’attestation à la vaccination mises en place par les institutions fédérales pendant la pandémie de COVID-19. Étant donné qu’on a demandé au MDN et aux FAC et à d’autres employeurs fédéraux distincts de suivre la Politique du SCT, notre analyse en l’espèce visait principalement à cerner toute différence importante entre le principe de nécessité et de proportionnalité des FAC et de l’administration publique centrale.
52. Pour aider les institutions à tenir compte de la nécessité et de la proportionnalité, le Commissariat préconise un critère à 4 volets^{Note de bas de page 11} qui demande aux institutions de se poser les questions suivantes lorsqu’elles établissent des programmes et des services pouvant porter atteinte à la vie privée :
    • La mesure est-elle nécessaire pour répondre à un besoin précis?
    • La mesure est-elle susceptible d’être efficace pour répondre à ce besoin?
    • Existe-t-il un moyen d’arriver au même but tout en réduisant l’atteinte à la vie privée?
    • L’atteinte à la vie privée est-elle proportionnelle à l’avantage obtenu?
53. En ce qui concerne le premier volet, la nécessité, nous avons tenu compte du fait que les exigences avaient été instaurées pendant la pandémie mondiale de COVID-19, qui représentait un ensemble de circonstances exceptionnelles auxquelles le gouvernement du Canada et les FAC, plus précisément, ont dû réagir. Nous sommes convaincus que les mesures prescrites par la Directive du CEMD étaient liées aux objectifs urgents et importants d’assurer la santé et la sécurité des membres des FAC en milieu de travail et de maintenir la disponibilité opérationnelle et de déploiement des FAC. Le MDN a également expliqué dans les observations qu’il a présentées au Commissariat que la vaccination visait également à atténuer le risque de transmission du virus aux groupes vulnérables que les FAC ont été appelées à servir dans le contexte de la pandémie.
54. En ce qui concerne le deuxième volet, le MDN a fourni la preuve que la Directive du CEMD était fondée sur les conseils de santé publique de l’Agence de la santé publique du Canada et sur des études scientifiques, et qu’elle était conforme aux exigences établies dans la Politique du SCT visant l’administration publique centrale. D’après les renseignements fournis par le MDN et notre analyse dans le cadre de notre enquête sur les exigences établies pour les employés de l’administration publique centrale, nous sommes convaincus que la vaccination obligatoire a été efficace pour atteindre les objectifs, et que la collecte de renseignements sur le statut vaccinal des membres en vue de mettre en œuvre cette obligation a donc été efficace pour atteindre les objectifs établis en vertu de la Directive du CEMD.
55. En ce qui concerne le troisième volet, le principe de la nécessité et de la proportionnalité exige qu’on se demande si des mesures permettant de réduire l’atteinte à la vie privée pourraient aider à atteindre le même but. Cet élément oblige le MDN à démontrer que des mesures portant moins atteinte à la vie privée n’auraient pas permis d’atteindre les objectifs importants de protection de la santé et de la sécurité de ses employés. Nous n’avons reçu aucun renseignement important indiquant que le MDN avait envisagé d’autres solutions possibles portant moins atteinte à la vie privée (comme les tests rapides). Nous sommes toutefois convaincus, comme dans le cas de notre enquête sur l’administration publique centrale, que d’autres solutions, y compris les tests rapides, n’auraient pas été aussi efficaces dans les circonstances pour s’assurer que les personnes qui se sont rendues sur leurs lieux de travail étaient protégées contre la COVID-19.
56. Comme nous l’expliquons en détail dans notre rapport de conclusions sur les exigences relatives à l’attestation de vaccination pour les employés de l’administration publique centrale, nous avons reçu une analyse de l’Agence de la santé publique du Canada, étayée par des références à des preuves externes, démontrant qu’au moment où le MDN et les FAC ont mis en place la Directive du CEMD, il existait une grande quantité de données probantes sur l’efficacité des vaccins pour protéger les personnes qui entrent en contact avec d’autres, comme dans un espace de travail partagé, contre une forme grave de la maladie. Comme nous l’avons aussi souligné dans ce même rapport, nous reconnaissons qu’à l’époque, la vaccination s’était révélée être le moyen le plus efficace de s’assurer que les personnes qui se rendent sur les lieux de travail étaient protégées contre la COVID-19.
57. Toutefois, nous avons également constaté que les décisions des tribunaux qui ont tenu compte des exigences en matière de vaccination à ce jour ont souligné l’importance d’évaluer le contexte opérationnel pertinent, notamment si les employés travaillent sur place ou à domicile^{Note de bas de page 12}.
58. En fait, nous reconnaissons que les membres des FAC pourraient, à tout moment, être tenus d’être présents sur place de façon ponctuelle pour répondre à des besoins opérationnels, et que les FAC, en particulier, peuvent être appelées à se déployer rapidement au pays et à l’étranger en réponse à des menaces, des urgences et des catastrophes dans des juridictions dont les exigences en matière de vaccination contre la COVID-19 varient. Nous reconnaissons qu’il est impossible de savoir avec certitude à l’avance à quel moment les FAC peuvent être appelées à se déployer, bien qu’il y ait des personnes et des unités dont l’état de disponibilité opérationnelle est considéré comme élevé^{Note de bas de page 13}. Nous sommes conscients également que la vaccination complète des personnes non vaccinées n’est pas quelque chose qui peut être fait rapidement, selon les besoins. Par conséquent, compte tenu de l’état de la pandémie à ce moment-là, nous estimons qu’il était raisonnable que le MDN et les FAC exigent que tous les membres soient entièrement vaccinés ou qu’ils demandent des mesures d’adaptation conformément aux exigences de la Directive du CEMD. De plus, nous reconnaissons que, pour savoir quels membres du personnel peuvent être déployés, la collecte des renseignements sur le statut vaccinal de tous les membres a été, et demeure, une approche raisonnable et efficace pour le MDN et les FAC.
59. En ce qui concerne le quatrième volet du critère, à savoir si l’atteinte à la vie privée est proportionnelle à l’avantage obtenu, nous nous attendons à ce que le MDN soit en mesure de démontrer que les répercussions potentielles sur la vie privée des membres des FAC, découlant de la collecte de renseignements sur leur statut vaccinal contre la COVID-19, étaient proportionnelles aux avantages que procurerait la collecte.
60. La Directive du CEMD exigeait la communication de renseignements limités sur le statut vaccinal des membres des FAC. Ces renseignements, au moment de la mise en œuvre de la Directive du CEMD, devaient également être communiqués afin d’accéder à de nombreux services dans un certain nombre de provinces, notamment les restaurants. En fait, les FAC recueillaient déjà ces renseignements avant la pandémie de COVID-19 relativement au le statut vaccinal des membres contre d’autres maladies. Néanmoins, il s’agit toujours de renseignements médicaux (de nature sensible) qui pourraient, dans certains cas, entraîner la communication d’autres renseignements personnels sensibles en ce qui concerne les employés qui présentent des demandes d’adaptation. Cette atteinte à la vie privée doit être évaluée en fonction des avantages de la Directive du CEMD.
61. Pour les motifs énoncés dans l’évaluation des premier et troisième volets, nous sommes convaincus que les avantages de la Directive du CEMD étaient les suivants : veiller à ce que les FAC demeurent prêtes et disposent des ressources nécessaires pour répondre aux exigences opérationnelles; protéger la santé et la sécurité de l’Équipe de la Défense; et atténuer le risque de transmission du virus aux groupes vulnérables que les FAC pourraient être – et ont été – appelées à servir dans le contexte de la pandémie mondiale.
62. Lorsqu’on la compare à ces objectifs, on constate que l’atteinte à la vie privée était proportionnelle aux avantages à tirer dans le contexte de cette situation d’urgence.
63. À la lumière des éléments de preuve et des observations dont nous sommes saisis, nous sommes convaincus que la Directive du CEMD répond aux exigences en matière de nécessité et de proportionnalité.

Conclusion

64. Nous concluons que les directives du CEMD ont été mises en œuvre conformément aux exigences prévues par la Loi. Les plaintes examinées dans le présent rapport sont donc non fondées.
65. Nous avons toutefois recommandé que le MDN et les FAC mettent en oeuvre des mesures visant à confirmer périodiquement que les unités examinent et révoquent dûment les permissions qui permettent d’accéder aux renseignements sensibles des membres des FAC dans Gestion SSAM. Le MDN a refusé de mettre en œuvre cette recommandation. Cela dit, nous l’encourageons vivement à le faire.

Annexe 1 – Liste des renseignements sur l’attestation à la vaccination recueillis par les intimés

Le MDN a indiqué que les renseignements suivants liés à l’attestation à la vaccination sont recueillis dans Gestion SSAM :

• Nom du membre des FAC
• Numéro de matricule du membre des FAC
• Attestation :
  • Entièrement vacciné (date – deuxième dose)
  • Partiellement vacciné (date – première dose)
  • Non vacciné demandant des mesures d’adaptation en raison de la situation suivante :
    • Contre-indication médicale certifiée ou handicap;
    • Croyance religieuse interdisant la vaccination complète;
    • Motif de distinction illicite défini dans la Loi canadienne sur les droits de la personne empêchant la vaccination.
  • Non vacciné :
    • Refus de communiquer le statut vaccinal;
    • Refus de se faire vacciner;
    • Refus de se conformer à la Directive sur la vaccination du CEMD (politique);
    • Mesures d’adaptation refusées.
  • Attestation non remplie
    • Raison – CNP (congé non payé); MATA/PATA (congé de maternité/paternité); libération; injoignable