Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Les mesures d’anonymisation des enregistrements polygraphiques sensibles ont atténué les répercussions sur la vie privée découlant de l’examen de l’OSSNR

Plainte en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Le 24 janvier 2025

Description

Dans le cadre de son examen du programme de sécurité interne du Centre de la sécurité des télécommunications (CST), l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a demandé l’accès à des enregistrements polygraphiques, ce qui a mené à des plaintes concernant ses pouvoirs de recueillir ces renseignements personnels très sensibles. Comme le Secrétariat de l’OSSNR (mais pas l’OSSNR lui-même) est assujetti à la Loi, dans le cadre de notre enquête, nous avons examiné si des renseignements personnels ont été recueillis par le Secrétariat, et passé en revue les mesures d’atténuation mises en œuvre afin de protéger la vie privée et réduire le risque que des individus ayant passé un test polygraphique puissent être réidentifiés.

Dans l’ensemble, le Commissariat a conclu que les mesures d’atténuation qui ont été mises en place réduisaient considérablement le risque qu’un individu soit réidentifié. Cela inclut le fait que les enregistrements des tests polygraphiques visées par les plaintes étaient suffisamment anonymisées pour ne contenir aucun renseignement personnel sur les individus ayant fait l’objet des tests. À la lumière de ces mesures, du vaste droit d’accès à l’information de l’OSSNR prévu par la Loi sur l’OSSNR ainsi que du rôle du Secrétariat de l’OSSNR pour soutenir l’OSSNR dans le cadre de son mandat, nous avons conclu que la plainte visant la collecte était non fondée.

Cependant, nous avons exprimé des préoccupations concernant le temps qu’a mis le Secrétariat de l’OSSNR pour présenter une demande visant l’approbation de plusieurs changements concernant les fichiers de renseignements personnels (FRP) au Secrétariat du Conseil du Trésor (SCT), notamment l’établissement d’un nouveau FRP propre à l’examen. Le Secrétariat de l’OSSNR s’est engagé à faire de sa collaboration avec le SCT une priorité afin d’obtenir l’approbation des FRP.

Points à retenir

  • Les mesures visant à réduire au minimum la collecte de renseignements personnels atténueront les risques d’atteinte à la vie privée et sont essentielles pour favoriser la confiance des individus.
  • La dépersonnalisation peut réduire les risques d’atteinte à la vie privée, mais elle ne permet pas toujours de faire en sorte que les renseignements ne soient plus des renseignements personnels ou qu’ils ne soient plus visés par la portée de la Loi.
  • La publication de FRP et de pages Info Source à jour est essentielle à la transparence et à la responsabilité à l’égard du public au sujet des pratiques en matière de protection des renseignements personnels d’une institution ainsi qu’au respect de la Loi et des politiques pertinentes du Conseil du Trésor.

Rapport de conclusions

Vue d’ensemble

En mars 2021, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a entrepris un examen du programme de sécurité interne (mesures de protection) du Centre de la sécurité des télécommunications Canada (CST) en application des alinéas 8(1)a) et b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR)Note de bas de page 1 (l’examen). L’examen comprenait pour la première fois l’évaluation de l’utilisation de tests polygraphiques par le CST pendant le processus de filtrage de sécurité.

En juin 2022, le Commissariat à la protection de la vie privée du Canada (le Commissariat) a reçu six plaintes contre l’OSSNR au sujet de son examen du CST, et surtout de sa demande d’accès aux enregistrements polygraphiques d’un échantillon d’employés du CST au cours de cet examen. Les plaignants se sont dits préoccupés par le fait que la collecte de renseignements personnels dans le cadre des tests polygraphiques ne relevait pas du mandat de l’OSSNR, puisqu’ils sont relatifs aux activités du CST. Ils affirmaient donc que la collecte ne satisfaisait pas aux exigences de l’article 4 de la Loi sur la protection des renseignements personnels (la Loi). Des préoccupations ont aussi été soulevées concernant la conformité du Secrétariat à l’article 10 de la Loi, qui exige que tous les renseignements personnels qui relèvent de son institution soient versés dans des fichiers de renseignements personnels (FRP).

Tout d’abord, il convient de noter qu’il y a une distinction juridique à faire entre l’OSSNR (constitué au titre de l’article 3 de la Loi sur l’OSSNR) et le Secrétariat de l’OSSNR (constitué au titre du paragraphe 41(1) de la Loi sur l’OSSNR). Seul le SecrétariatNote de bas de page 2 est une « institution fédérale » et est donc assujetti à la Loi. Le Secrétariat joue un rôle important, car il aide l’OSSNR à s’acquitter de son mandat, notamment en effectuant des examensNote de bas de page 3. Dans la mesure où le Secrétariat recueille, utilise ou communique des renseignements personnels dans le but d’aider l’OSSNR, les activités qu’il exécute dans le cadre d’examens sont visées par la Loi.

L’objet de l’enquête du Commissariat était d’évaluer si les activités du Secrétariat étaient conformes aux articles 4 et 10 de la Loi. Les principes largement reconnus de la nécessité et de la proportionnalité ont également été examinés, et le présent rapport comprend des observations concernant l’exigence de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) pour les activités d’examen de l’OSSNR, comme le prévoient instruments de politique du Secrétariat du Conseil du Trésor (SCT).

Par conséquent, aux fins de l’enquête, le Commissariat a tenté d’établir si le Secrétariat avait recueilli des renseignements personnels et a examiné les mesures d’atténuation mises en œuvre afin de protéger la vie privée et réduire le risque global qu’un individu ayant fait l’objet d’un test polygraphiqueNote de bas de page 4 puisse être réidentifiéNote de bas de page 5 (par exemple, les caviardages, les techniques de dépersonnalisation d’image et les contrôles administratifs). Pour ce faire, nous avons sollicité, puis examiné, les observations du CST concernant les mesures qu’il a mises en œuvre pour anonymiser les documents. Le CST a également permis au Commissariat d’examiner sur place un échantillon de documents visés par l’examen.

Dans l’ensemble, le Commissariat a conclu que les mesures d’atténuation en place réduisaient considérablement le risque qu’un individu soit réidentifié, sans pour autant l’éliminer complètement. Nos observations clés concernant les renseignements personnels incluent ce qui suit :

  1. Compte tenu de la nature des éléments de données n’ayant pas été caviardés dans les dossiers de filtrage de sécurité, il y avait un risque qu’un individu soit réidentifié à l’aide des renseignements dont disposaient les examinateurs. Nous avons établi que les renseignements étaient des « renseignements personnels », et qu’ils étaient donc visés par la Loi;
  2. Lors de son examen, nous avons constaté que l’identité d’un individu avait accidentellement été révélée (erreur de caviardage) dans un dossierNote de bas de page 6;
  3. Les enregistrements des tests polygraphiques étaient suffisamment anonymisés pour ne contenir aucun renseignement personnel sur les individus ayant fait l’objet des tests;
  4. Les notes prises par le Secrétariat ne contenaient aucun renseignement personnel; ainsi, le Secrétariat n’a pas consigné ni recueilli de renseignements personnels dans les circonstances.

Les conclusions i) et ii) ci-dessus peuvent amener à se demander si la consultation possible de renseignements personnels par le Secrétariat constitue une collecte (voir l’article 4 de la Loi). Le Commissariat a toutefois estimé que cette question ne représentait pas un élément déterminant de ses conclusions en l’espèce, compte tenu du mandat et du droit d’accès à l’information étendus de l’OSSNR, prévus par la Loi sur l’OSSNR. Par conséquent, nous concluons que l’enjeu de la collecte est non fondé.

En ce qui concerne la conformité du Secrétariat à l’article 10 de la Loi, l’enquête du Commissariat a révélé que le Secrétariat avait tardé à demander au SCT d’approuver plusieurs modifications apportées aux FRP, notamment la constitution d’un nouveau FRP propre aux examens. Nous avons également constaté que l’OSSNR avait terminé des examens et en avait entrepris de nouveaux (y compris l’examen visé par le présent rapport) malgré l’absence d’un FRP propre aux examens. Par conséquent, nous ne sommes pas convaincus que le Secrétariat s’était acquitté de ses obligations prévues à l’article 10 de la Loi lorsqu’il a entamé l’examen et considère que cet enjeu est fondé. Cependant, comme le Secrétariat a présenté sa demande au SCT en janvier 2022, le Commissariat estime qu’il s’est maintenant acquitté des obligations qui lui incombent et que l’enjeu est résolu.

Malgré ce qui précède, pour que le Secrétariat fasse preuve de transparence à l’égard du public, comme le requièrent l’article 10 ainsi que les exigences du SCT connexes, le Commissariat a recommandé qu’il prenne les mesures décrites aux paragraphes 70 et 71 du présent rapport. Le Secrétariat a pris acte de nos préoccupations à l’égard du temps qu’il a mis pour soumettre sa demande d’approbation des FRP au SCT et il a accepté nos conclusions à cet égard. Il a également indiqué qu’il s’engageait à collaborer en priorité avec le SCT afin que lesdites modifications aux FRP soient définitivement approuvées ainsi qu’à publier la page d’Info Source sur le site Web de l’OSSNR au cours des mois à venir pour faire preuve de transparence envers le public.

Les plaignants ont également remis en question le caractère raisonnable et la proportionnalité de l’accès de l’OSSNR aux tests polygraphiques et de son examen de ceux-ci. Bien qu’il ne s’agisse pas d’une exigence prévue par la Loi, le Commissariat souscrit aux principes importants et largement reconnus de nécessité et de proportionnalité des données. Il encourage donc toutes les institutions qui gèrent les renseignements personnels des Canadiennes et des Canadiens à s’efforcer de réduire au minimum la collecte, l’utilisation et la communication des renseignements nécessaires à l’atteinte des objectifs de leurs programmes ou activités.

En ce qui concerne l’accès aux dossiers de filtrage de sécurité, y compris les enregistrements audiovisuels des tests polygraphiques, le Commissariat constate que, malgré son droit étendu d’accès à l’information, l’OSSNR a mis en œuvre des mesures d’atténuation pour tenir compte des préoccupations relatives à la protection de la vie privée et, en fin de compte, réduire le plus possible les répercussions négatives de l’examen sur la vie privée des individus ayant fait l’objet de ces tests. Du point de vue de la nécessité et de la proportionnalité, nous sommes d’avis que les mesures ont atténué les répercussions sur la vie privée.

Enfin, l’enquête du Commissariat a révélé que le Secrétariat s’est acquitté de ses obligations prévues par la Directive sur les pratiques relatives à la protection de la vie privée du SCT, puisqu’il a réalisé une EFVP pour la fonction d’examen de l’OSSNR et en a publié un résumé. Nous avons formulé des commentaires quant au caractère opportun de la soumission de l’EFVP au SCT aux paragraphes 60 à 62 du présent rapport.

Contexte

  1. En mars 2021, l’OSSNR a entamé un examen du programme de sécurité interne (mesures de protection) du CST (l’examen) en application des alinéas 8(1)a) et b) de la Loi sur l’OSSNR, qui comprenait la toute première évaluation de l’utilisation de tests polygraphiques par le CST pendant le processus de filtrage de sécurité.
  2. Le mandat de l’examen a été transmis au CST en octobre 2021. L’OSSNR y précisait comment l’utilisation des tests polygraphiques fera partie de son examen. Plus précisément, l’OSSNR y indique ce qui suit :

    « Il s’agit du premier examen de l’OSSNR sur les programmes de sécurité interne du CST. Il s’agira donc d’un examen exhaustif visant à déterminer si les politiques et les procédures internes du CST sont conformes aux lois applicables et aux directives ministérielles et si elles sont raisonnables et nécessaires. De plus, au cours d’examens antérieurs, l’OSSNR a relevé un certain nombre de lacunes liées à l’utilisation de tests polygraphiques pour les habilitations de sécurité de niveau très secret améliorées. Par conséquent, l’OSSNR s’est engagé à examiner l’utilisation des tests polygraphiques dans le présent examen afin d’évaluer les ramifications juridiques et l’utilité de cet outil d’enquêteNote de bas de page 7. »

  3. L’OSSNR a publié une fiche d’information sur son site Web ainsi qu’une copie du mandat et un communiqué à l’intention des employés du CST pour répondre aux préoccupations concernant l’incidence possible de l’examen sur la vie privée des individus compte tenu de la nature et du caractère sensible des renseignements personnels recueillis par le CST pendant le processus de filtrage de sécuritéNote de bas de page 8.
  4. Le communiqué aux employés du CST contenait des renseignements sur l’objectif et la portée de l’examen de l’OSSNR, notamment la façon dont l’OSSNR prévoyait protéger la vie privée des individus. Selon l’OSSNR, son accès aux renseignements personnels serait protégé et limité à ce qui est nécessaire pour effectuer l’examen, l’échantillon consulté serait limité à un faible pourcentage des dossiers de filtrage de sécurité traités pendant la période d’examenNote de bas de page 9, et les dossiers seraient sélectionnés en fonction d’identificateurs de dossiers génériques, et non de noms ou d’autres renseignements permettant d’établir l’identité d’un individu.
  5. L’OSSNR a également indiqué que l’examen portait sur le processus des tests polygraphiques et non sur les détails des communications personnelles. Il a aussi indiqué que chaque dossier sélectionné serait seulement examiné par un ou deux employés de l’OSSNR et qu’aucune copie d’un dossier ne serait retirée des bureaux de sécurité du CST. Il a souligné que les conclusions ou les recommandations du rapport final de l’OSSNR concernant cet aspect de l’examen (tests polygraphiques) porteraient sur le contenu général des dossiers de filtrage de sécurité et ne permettraient pas d’identifier des individus ni de reconnaître des situations précises.
  6. L’OSSNR a également mentionné au Commissariat que, compte tenu de la sensibilité des renseignements précis sur les employés auxquels il aurait accès, il était prêt à envisager d’autres mesures visant à anonymiser les renseignements pour protéger la vie privée des individus. Lors d’une réunion de l’ensemble du personnel, les employés du CST ont été informés qu’ils devaient transmettre leurs préoccupations concernant l’examen de l’OSSNR à leur député ou encore déposer une plainte auprès du Commissariat.

Les plaintes

  1. Le Commissariat a reçu six plaintes concernant l’examen de l’OSSNR, et plus particulièrement l’examen de l’utilisation de tests polygraphiques par le CST, dans le cadre duquel l’OSSNR doit accéder aux enregistrements audio et vidéo des tests polygraphiques d’un échantillon d’employés. Selon les plaignants, un test polygraphique est une entrevue extrêmement intrusive, tant sur le plan physique que psychologique, lors de laquelle un individu peut révéler des renseignements très personnels et privés, notamment concernant les membres de sa famille et ses amis. Les plaignants ont dit craindre que la consultation ou l’utilisation des entrevues à d’autres fins que celles nécessaires au processus de filtrage de sécurité soit inutile et intrusive et qu’elle constitue une atteinte importante à la vie privée.
  2. Les plaignants ont exprimé au Commissariat les préoccupations suivantes en matière de protection de la vie privée :
    1. La Loi sur l’OSSNR confie à l’OSSNR un mandat d’examen et un droit d’accès à l’information étendus. Cependant, l’OSSNR doit exercer ses pouvoirs d’une manière raisonnable et à des fins légitimes de surveillance des activités en matière de sécurité nationale et de renseignement. Les tests polygraphiques sont réalisés conformément à la Norme sur le filtrage de sécurité du SCT et de manière à respecter les exigences de celle-ci aux seules fins de ses activités de filtrage de sécurité. Bien que le bien-fondé des tests polygraphiques en tant qu’outils d’enquête puisse raisonnablement s’inscrire dans la portée de l’examen des politiques et des procédures internes du CST par l’OSSNR, les plaignants ont souligné qu’il n’est pas raisonnable ni justifié d’y inclure la collecte et l’examen des entrevues enregistrées d’employés du CST. Par conséquent, ils étaient d’avis que l’examen proposé était inutile et ne relevait pas du mandat de l’OSSNR en matière de sécurité nationale et de renseignement relativement aux activités du CST et qu’ainsi, il ne satisfaisait pas aux exigences de l’article 4 de la Loi.
    2. Le manque apparent de transparence et de responsabilisation de l’OSSNR quant au respect de ses obligations prévues à l’article 10 de la Loi, c’est-à-dire de repérer, de décrire et de publier les FRP et les catégories de renseignements personnels dans Info Source, la publication annuelle du SCT.Note de bas de page 10
    3. Les tests polygraphiques sont réalisés aux seules fins du processus de filtrage de sécurité, à savoir l’évaluation de la criminalité d’un individu et de sa loyauté envers le Canada pour déterminer s’il peut se voir attribuer une cote de sécurité approfondie de niveau « très secret ». Les plaignants ont consenti à faire l’objet d’un test polygraphique à ces fins seulement, notamment en signant une déclaration de consentement, et ont affirmé que la consultation des enregistrements par l’OSSNR sans leur consentement pourrait ne pas satisfaire aux exigences de la Loi.
    4. Compte tenu de la portée limitée de l’examen de l’OSSNR (c’est-à-dire évaluer les ramifications juridiques et l’utilité des tests polygraphiques en tant qu’outils d’enquête), les plaignants étaient d’avis que l’intrusion dans la vie privée dont il est question n’était pas nécessaire à la réalisation de l’examen. Les plaignants ont indiqué que de nombreuses autres solutions ont été proposées à l’OSSNR, mais que celui-ci les a rejetées, ce qui remet en question le caractère raisonnable et la proportionnalité de l’accès de l’OSSNR aux tests polygraphiques et de son examen de ceux-ci.
    5. Les tests polygraphiques sont réalisés par des employés qualifiés, en conformité avec des techniques reconnues et des normes écrites conçues pour protéger les droits de l’individu faisant l’objet du test prévus par la Charte canadienne des droits et libertés. Selon les plaignants, cela remet en question la valeur et l’efficacité de l’examen, puisque l’OSSNR n’est pas qualifié pour réaliser les tests ou interpréter leurs résultats, notamment les réactions et les indicateurs visuels, physiologiques ou psychologiques.
    6. Dans le cadre d’un examen précédent, l’OSSNR a fait une déclaration sur la réalisation d’EFVP et a affirmé qu’il croit qu’il faut réaliser une EFVP pour un programme aussi intrusif que les tests polygraphiques, d’une part, pour veiller à ce que les renseignements personnels soient recueillis, traités et stockés de manière appropriée et, d’autre part, pour signaler aux employés que le processus est aussi transparent et respectueux que possible. Considérant cette déclaration, des préoccupations ont été soulevées quant à savoir si l’OSSNR avait réalisé des EFVP pour son programme et ses activités d’examen.

Juridiction

  1. À titre préliminaire, la Loi sur l’OSSNR a prévu la constitution de deux entités distinctes : l’OSSNR (au titre de l’article 3) et le Secrétariat de l’OSSNR (au titre de l’article 41). Seul le Secrétariat est une « institution fédérale » et est donc assujetti à la LoiNote de bas de page 11.
  2. L’OSSNR est l’entité qui a le mandat d’effectuer des activités d’examen (comme l’examen du CST) au titre de l’article 8 de la Loi sur l’OSSNR. Aux termes du paragraphe 41(2) de la Loi sur l’OSSNR, le Secrétariat « soutient l’Office de surveillance dans l’exercice de son mandat ». Par conséquent, le Secrétariat joue un rôle important, car il aide l’OSSNR à effectuer des examens. Dans la mesure où le Secrétariat recueille, utilise ou communique des renseignements personnels pour aider l’OSSNR, les activités qu’il exécute dans le cadre d’examens sont assujetties à la Loi.

Portée et méthodologie

  1. À la lumière des préoccupations des plaignants, l’enquête du Commissariat visait à déterminer i) si la collecte de renseignements personnels par le Secrétariat dans le cadre de l’examen était autorisée au titre de l’article 4 de la Loi et ii) si le Secrétariat a respecté ses obligations prévues à l’article 10 de la Loi, c’est-à-dire de verser dans des FRP tous les renseignements personnels qui relèvent de son institution et qui : a) ont été, sont ou peuvent être utilisés à des fins administratives ou b) sont marqués de façon à pouvoir être retrouvés par référence au nom d’un individu ou à un numéro, symbole ou autre indication identificatrice propre à cet individu.
  2. En ce qui concerne les préoccupations soulevées dans les plaintes concernant l’exigence du SCT de limiter la collecte de renseignements personnels à ce qui est « manifestement nécessaireNote de bas de page 12 », le Commissariat a tenu compte des principes largement reconnus de nécessité et de proportionnalité des données. Il a également tenu compte de l’exigence de réaliser une EFVP pour les activités d’examen de l’OSSNR au titre des instruments de politique du SCT, qui permettra de répondre aux préoccupations soulevées dans l’une des plaintes.
  3. Enfin, le Commissariat souligne que les préoccupations soulevées concernant la valeur et l’efficacité de l’examen de l’OSSNR n’entrent pas dans le champ d’application de la Loi. Par conséquent, il n’a pas examiné ces questions dans le cadre de notre enquête.
  4. Pour arriver à ses conclusions, nous avons pris en considération les observations des plaignants, du Secrétariat de l’OSSNR ainsi que du CST, compte tenu de son rôle et de sa participation à l’examen. Des représentants du Commissariat ont également visité les sites du CST, tenu des réunions avec les principales parties prenantes ainsi qu’examiné les documents anonymisés liés aux tests polygraphiques que les examinateurs de l’OSSNR ont consultés et les notes prises par les examinateurs pendant l’examen.
  5. Bien que le CST ne soit pas un répondant dans cette affaire, il a été considéré comme un tiers en raison de son rôle et de sa participation à l’examen. Le CST a collaboré de manière ouverte avec le Commissariat, a répondu aux demandes de renseignements et a fourni l’accès aux documents anonymisés aux fins de l’enquête du Commissariat.

Analyse

Enjeu 1 : La collecte de renseignements personnels par le Secrétariat était-elle autorisée au titre de l’article 4 de la Loi?

  1. Selon l’article 4 de la Loi, « [l]es seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ».
  2. À titre préliminaire et pour répondre aux préoccupations soulevées dans les plaintes relativement au consentement (concernant la possibilité que le visionnement d’enregistrements polygraphiques par l’OSSNR sans consentement ne satisfasse pas aux exigences de la Loi), le Commissariat précise que le consentement n’est pas nécessaire pour recueillir des renseignements personnels au titre de l’article 4 de la Loi. Pour respecter l’article 4, les renseignements personnels recueillis doivent avoir « un lien direct avec le programme ou l’activité de l’institutionNote de bas de page 13 ».
  3. Dans le cadre de l’enquête, le Commissariat a évalué la conformité du Secrétariat à l’article 4 de la Loi en tenant compte du mandat unique de l’OSSNR et de ce que fait le Secrétariat pour aider l’OSSNR. L’OSSNR a le mandat d’effectuer des activités d’examen (comme l’examen du CST) au titre de l’article 8 de la Loi sur l’OSSNR. Tout particulièrement, aux termes de l’alinéa 8(1)a), l’OSSNR a le mandat d’examiner toute activité exercée par le CST. Aux termes du paragraphe 41(2) de la Loi sur l’OSSNR, le Secrétariat a pour mandat de soutenir l’OSSNR dans l’exercice de son mandat.
  4. Le Commissariat a également tenu compte du droit d’accès à l’information étendu de l’OSSNR dans le cadre de ses processus de surveillance des activités en matière de sécurité nationale et de renseignement des ministères et des organismes fédéraux, dont le CST. Plus précisément, le paragraphe 9(1) de la Loi sur l’OSSNR prévoit que « malgré toute autre loi fédérale et sous réserve de l’article 12, l’Office de surveillance a le droit d’avoir accès, relativement aux examens qu’il effectue et en temps opportun, aux informations qui relèvent de tout ministère ou qui sont en la possession de tout ministère ».
  5. De plus, l’évaluation du Commissariat s’est appuyée sur l’examen : i) des mesures de protection de la vie privée mises en œuvre par le CST pour réduire les risques d’atteinte à la vie privée et limiter l’accès aux renseignements personnels; ii) d’un échantillon de dossiers de filtrage de sécurité et d’enregistrements polygraphiques anonymisés consultés dans le cadre de l’examen de l’OSSNR; et iii) d’un échantillon des notes prises par les examinateurs de l’OSSNR pendant l’examen.

Mesures de protection de la vie privée mises en œuvre par le CST

  1. À titre préliminaire, le Secrétariat a redirigé le Commissariat vers le CST pour en savoir plus sur les mesures d’atténuation visant à protéger la vie privée utilisées dans le cadre de l’examen de l’OSSNR.
  2. Le CST a indiqué qu’au titre du paragraphe 9(1) de la Loi sur l’OSSNR, il est légalement tenu de fournir un accès à ses fonds de renseignements à l’OSSNR en temps opportun. Parallèlement, le CST doit veiller à traiter les renseignements personnels de manière à respecter la Loi et les instruments de politique connexes. Dans son mandat d’examen, l’OSSNR a indiqué qu’il « a déterminé que les dossiers de filtrage de sécurité des employés et des demandeurs, y compris les enregistrements audiovisuels des entrevues et des examens polygraphiques, sont très pertinents pour l’examen du programme de sécurité interne du CST par l’OSSNR (mesures de protection). L’accès à ces documents sera donc nécessaire pour atteindre les objectifs énoncés de l’examen. »
  3. Le CST a affirmé que, dans ses demandes de renseignements, l’OSSNR n’avait pas précisé les mesures de protection de la vie privée qu’il prévoyait appliquer, malgré le fait qu’il avait demandé de grandes quantités de renseignements personnels très sensibles. Le CST a indiqué qu’il avait collaboré avec l’OSSNR pendant plus d’un an pour veiller à lui communiquer clairement les préoccupations de ses employés en matière de protection de la vie privée, que d’autres méthodes moins intrusives avaient été envisagées pour procéder à l’examen et que des mesures d’atténuation visant à protéger la vie privée avaient été mises en œuvre pour réduire au minimum les répercussions sur la vie privée des individus. Le CST a expliqué que ses efforts visant à protéger la vie privée des individus tout au long de l’examen comportaient deux volets : communiquer régulièrement avec l’OSSNR pour exprimer les préoccupations concernant la protection de la vie privée liées à la méthodologie de l’examen et appliquer des mesures de protection de la vie privée aux renseignements personnels avant qu’ils ne soient transmis à l’OSSNRNote de bas de page 14.
  4. Dans sa réponse à la demande de renseignements du Commissariat, le CST a décrit les mesures de protection de la vie privée mises en œuvre avant de communiquer les renseignements personnels et les mesures prises pour limiter l’accès aux renseignements. Les mesures comprenaient ce qui suit :
    • communiquer certains renseignements à l’OSSNR sous forme de renseignements statistiques agrégés;
    • dépersonnaliser certains renseignements à l’aide d’un numéro permettant à un nombre limité d’employés du CST responsables de la sécurité d’identifier l’individu qu’ils concernent;
    • utiliser des solutions techniques pour flouter les visages et moduler les voix dans les enregistrements vidéo des tests polygraphiques;
    • caviarder des renseignements contenus dans les enregistrements audio et vidéo et les documents écrits des tests polygraphiques pouvant permettre à l’OSSNR d’identifier un individu;
    • exiger que l’OSSNR utilise un ordinateur autonome non connecté à un réseau ou à Internet pour effectuer son examen (y compris le visionnement d’enregistrements vidéo) dans un espace privé et sécurisé situé dans les locaux du CST pour éviter que les renseignements personnels provenant des tests polygraphiques ne sortent des locaux du CST;
    • réduire le nombre d’employés du CST qui connaissaient le nom des individus dont les tests polygraphiques ont été sélectionnés par l’OSSNR dans le cadre de l’examen;
    • réduire le nombre d’employés du CST qui avaient accès aux tests polygraphiques sélectionnés par l’OSSNR dans le cadre de l’examen;
    • utiliser des ordinateurs autonomes (non connectés à un réseau) pour caviarder la plupart des enregistrements vidéo et audio en vue d’éliminer le risque qu’un administrateur de système d’une autre équipe interne de sécurité des TI, de réseautage ou de stockage des données institutionnelles puisse accéder aux enregistrements non masqués, accidentellement ou non.
  5. Le CST a décrit le processus qu’il a entrepris pour fournir à l’OSSNR une liste anonymisée des tests polygraphiques qui ont eu lieu pendant la période d’examen (de janvier 2018 à juillet 2021). L’objectif était de veiller à ce que l’OSSNR choisisse au hasard les dossiers à inclure dans l’examen et qu’il n’apprenne pas l’identité des employés liés aux dossiers sélectionnés.
  6. Compte tenu du caractère très sensible des renseignements personnels qui pouvaient figurer dans les dossiers de filtrage de sécurité demandés par l’OSSNR, le CST a indiqué qu’il avait caviardé [traduction] « tous les renseignements pouvant permettre aux examinateurs de l’OSSNR d’identifier les individus ayant fait l’objet des tests ». Toutefois, le CST a également indiqué qu’à la demande de l’OSSNR, il s’était confirmé à la demande de l’OSSNR de lui fournir des renseignements précis, compte tenu de ses pouvoirs en vertu du paragraphe 9(1) de la Loi sur l’OSSNRNote de bas de page 15. Le CST a indiqué que l’application de mesures de dépersonnalisation (dépersonnalisation des images) aux enregistrements polygraphiques faisait en sorte qu’il était peu probable que les marques (par exemple, tatouages, cicatrices et autres caractéristiques physiques) soient clairement visibles.
  7. Le CST a expliqué que l’OSSNR n’était pas autorisé à sortir les dossiers à l’extérieur des locaux du CST ni à en faire des copies, mais que le CST n’avait pas accès aux notes prises par les examinateurs de l’OSSNR ni aucun contrôle sur celles-ci.
  8. Le CST a confirmé qu’il avait informé tous les employés concernés que leur dossier avait été sélectionné dans le cadre de l’examen de l’OSSNR. Ces employés ont reçu des détails relativement à la méthodologie de sélection et aux mesures de protection de la vie privée appliquées à leurs renseignements personnels avant qu’ils soient communiqués à l’OSSNR.

Examen des dossiers anonymisés

  1. Le CST a aidé le Commissariat à examiner (dans les locaux du CST) un échantillon des dossiers anonymisés aux fins de l’examen de l’OSSNRNote de bas de page 16. Les dossiers en question comprenaient le dossier de filtrage de sécurité et les enregistrements des tests polygraphiques des employés concernés. Nous avons également examiné les notes prises par les employés du Secrétariat dans le cadre de leur examen de ces dossiers. Les principales observations du Commissariat sont décrites ci-dessous.
Dossiers de filtrage de sécurité
  1. L’enquête du Commissariat consistait notamment à examiner les caviardages que le CST a appliqués pour anonymiser les dossiers de filtrage de sécurité et répondre à la demande de l’OSSNR. En analysant les renseignements que le CST a fournis à l’OSSNR, nous avons constaté ce qui suit : i) la communication de certains renseignements (par exemple, descriptions de tatouages ou d’autres marques physiques [cicatrices]) augmentait le risque qu’un individu concerné puisse être identifié; ii) la combinaison de certains renseignements (par exemple, des descripteurs physiques comme la taille, le poids et la couleur des yeux) augmentait le risque de réidentification; et iii) l’application inadéquate des caviardages à un dossier a engendré la communication accidentelle du prénom et du nom de l’individu concerné, de son adresse et de son numéro de téléphoneNote de bas de page 17.
  2. Dans l’ensemble, le Commissariat a constaté que les caviardages appliqués aux dossiers, combinés aux contrôles administratifs et aux mesures de protection mis en œuvre pendant l’examen, ainsi que les objectifs de l’examen (c’est-à-dire qu’ils se concentrent sur le comportement et les questions des polygraphistes, et non sur les individus faisant l’objet du test), permettaient de réduire considérablement le risque de réidentification, sans l’éliminer complètement. En effet, nous avons établi que les mesures étaient insuffisantes pour faire en sorte que les renseignements ne soient plus « personnels » et que la Loi ne s’y applique plus. Comme il est mentionné précédemment, le Commissariat a également constaté que l’identité d’un individu ayant fait l’objet d’un test polygraphique n’avait pas été caviardée et qu’elle avait donc été révélée par erreur dans l’un des dossiers de l’échantillon examiné.
Enregistrements polygraphiques
  1. L’examen des enregistrements polygraphiques anonymisés nous a permis de confirmer que le CST avait pris des mesures pour flouter le visage et moduler la voix des individus ayant fait l’objet des tests. Le CST a également partagé une description de la technologie et des méthodes utilisées pour dépersonnaliser les fichiers vidéo avec le Commissariat.
  2. Compte tenu des mesures d’atténuation visant à protéger la vie privée appliquées aux enregistrements ainsi que des contrôles administratifs et des mesures de protection mis en œuvre pendant l’examen, le Commissariat a établi que le risque de réidentification des individus ayant fait l’objet des tests était très faible. En fait, nous sommes d’accord avec le Secrétariat, qui a affirmé que [traduction] « les vidéos modifiées sont anonymisées et le visage de l’individu est pixélisé de telle sorte qu’on peut à peine détecter la silhouette humaine assise sur la chaise, sans parler de la modulation de la voix et des répercussions des modifications apportées au contenu de la conversation ». Nous sommes donc convaincus que les enregistrements polygraphiques ne contenaient aucun renseignement personnel lié aux individus ayant fait l’objet des tests.
Notes du Secrétariat
  1. Dans ses observations au Commissariat, le Secrétariat a toujours affirmé qu’il n’avait en sa possession aucun renseignement personnel tiré des tests polygraphiques. Plus précisément, le Secrétariat a indiqué que [traduction] « toutes les notes prises par le personnel du Secrétariat de l’OSSNR pendant l’examen des enregistrements portent uniquement sur le comportement des examinateurs polygraphiques et ne contiennent aucun renseignement personnel (déjà anonymisé) sur les individus ayant fait l’objet des tests ».
  2. Après avoir examiné un échantillon des notes prises par les examinateurs de l’OSSNR, le Commissariat a constaté qu’elles ne contenaient aucun renseignement personnel lié aux individus ayant fait l’objet des tests. Nous avons pu confirmer que les notes portaient sur le polygraphiste et les questions posées lors de l’entrevue polygraphique.

Le Secrétariat a-t-il recueilli des renseignements personnels qui ont un lien direct avec ses programmes ou ses activités?

  1. Comme il est mentionné précédemment, l’enquête du Commissariat a révélé que les mesures mises en œuvre (caviardages) pour protéger la vie privée des individus dont les dossiers papier ont été examinés présentaient des risques d’atteinte à la vie privée, puisque certaines données n’avaient pas été caviardées. Nous estimons qu’il y avait un risque que les individus soient réidentifiés à l’aide des renseignements dont disposaient les examinateurs. Par conséquent, nous avons conclu que les renseignements étaient des « renseignements personnels », et donc que la Loi s’y appliquait. Dans le même ordre d’idées, le Commissariat a constaté que l’identité d’un individu, qui est clairement un renseignement personnel, avait accidentellement été révélée (erreur de caviardage) dans un dossier.
  2. Dans une situation où des renseignements personnels sont vus (ou entendus), mais ne sont pas consignés ni conservés dans un document physique ou virtuel, il est plus difficile de déterminer s’ils ont été « recueillis » par l’institution. Même si les renseignements sont consultés sans avoir été recueillis, ils peuvent néanmoins être utilisés par la suite. Ainsi, bien qu’ils n’aient pas été consignés ni conservés dans une copie, l’article 4 de la Loi pourrait tout de même s’y appliquer.
  3. Toutefois, comme l’article 4 de la Loi exige seulement que les renseignements recueillis aient un lien direct avec le programme ou l’activité dont il est question, cet élément n’a pas eu d’effet déterminant sur les conclusions du Commissariat. Dans cette affaire, l’OSSNR a réalisé l’examen dans le cadre de son mandat d’examen considérable et de son droit d’accès à l’information étendu, prévus par la Loi sur l’OSSNR.
  4. Enfin, l’enquête a confirmé que les documents sources visés par les plaintes (c’est-à-dire, les enregistrements des tests polygraphiques) étaient suffisamment anonymisés pour ne contenir aucun renseignement personnel sur les individus ayant fait l’objet des tests. De plus, le Commissariat est convaincu que les notes prises par le Secrétariat ne contenaient aucun renseignement personnel et qu’il n’a donc pas consigné ni recueilli de renseignements personnels dans les circonstances.
  5. À la lumière de ce qui précède et compte tenu du mandat et du droit d’accès étendus prévus par la Loi sur l’OSSNR, le Commissariat conclut que l’enjeu de la collecte est non fondé.

Enjeu 2 : Le Secrétariat s’acquitte-t-il de ses obligations en matière de FRP prévues par la Loi?

  1. Aux termes de l’article 10 de la Loi, les responsables des institutions fédérales sont tenus de veiller à ce soient versés dans des FRP tous les renseignements personnels qui relèvent de leur institution et qui ont été, sont ou peuvent être utilisés à des fins administratives ou qui sont marqués de façon à pouvoir être retrouvés par référence au nom d’un individu ou à un numéro, symbole ou autre indication identificatrice propre à cet individuNote de bas de page 18.
  2. Au titre du paragraphe 71(4) de la Loi et des exigences de la Directive sur les pratiques relatives à la protection de la vie privéeNote de bas de page 19 (la Directive), le président du Conseil du Trésor, en tant que ministre désigné, a la responsabilité générale de consigner tous les FRP et est chargé d’examiner et d’approuver tous les FRP (nouveaux ou ayant subi des modifications importantes). La Directive soutient les responsabilités du président du Conseil du Trésor en veillant à ce qu’avant la mise en œuvre d’une activité ou d’un programme comportant des renseignements personnels, qu’il soit nouveau ou qu’ait subi des modifications importantes, ses incidences sur la vie privée soient cernées, évaluées et réglées. Comme l’exige l’article 11 de la Loi, le président du Conseil du Trésor doit également veiller à ce qu’au moins une fois par année, toutes les institutions fédérales publient un répertoire de tous leurs FRP, lequel doit contenir une description des FRP et divers autres éléments.
  3. Le Secrétariat a indiqué qu’en janvier 2022, il a présenté au SCT une demande d’approbation relative à de nombreuses modifications apportées aux FRP, notamment quant à la constitution d’un nouveau FRP pour les renseignements utilisés lors d’un examen. Au moment de la rédaction du présent rapport, les modifications demandées n’avaient pas encore été approuvées par le SCT. Le Secrétariat a affirmé qu’il satisfait aux exigences applicables prévues par la Loi et la Directive en matière de FRP et que tout retard lié à l’approbation du SCT est indépendant de sa volonté.
  4. La Norme sur l’évaluation des facteurs relatifs à la vie privée (Annexe C de la Directive) exige que les institutions s’acquittent de certaines responsabilités liées à l’article 10 de la Loi. L’une de ces responsabilités est l’obtention de l’approbation du SCT pour tous les FRP (nouveaux ou ayant subi des modifications importantes) avant de mettre en œuvre l’activité ou le programme nouveau ou considérablement modifié pour lequel le FRP a été constitué. Le Commissariat reconnaît que les retards du SCT échappent au contrôle du Secrétariat, mais nous précisons que le Secrétariat a attendu près de deux ans et demi après la constitution de l’OSSNR avant de présenter une demande d’approbation au SCTNote de bas de page 20. De plus, nous avons constaté que l’OSSNR a réalisé plus de 20 examens (y compris le présent examen, que l’OSSNR a terminé récemment)Note de bas de page 21 et en a entrepris cinq autres malgré l’absence de FRP propre aux examens. En fait, l’OSSNR a lancé l’examen dont fait l’objet le présent rapport en mars 2021, soit près de 10 mois avant de soumettre une demande au SCT.
  5. Conformément aux articles 10 et 11 de la Loi, il incombe aux institutions fédérales qui administrent des programmes et au SCT, en partenariat, de veiller à ce que les descriptions des FRP accessibles au public soient à jour et publiés en temps opportun. Toutefois, le Commissariat s’attend à ce que les institutions s’acquittent de leurs obligations prévues à l’article 10 dès qu’il est raisonnablement possible de le faire pour que toutes les modifications apportées aux FRP soient consignées dans la publication annuelle du répertoire de renseignements personnels ainsi que pour donner effet à l’article 11 de la Loi et le rendre applicable. Le paragraphe 71(4) de la Loi indique clairement que l’approbation du SCT est nécessaire pour constituer un nouveau FRP ou apporter des modifications importantes à un FRP existant.
  6. Pour respecter l’article 10, les institutions doivent d’abord rédiger de nouveaux FRP ou proposer des modifications aux FRP existants, puis les faire approuver par la personne déléguée par le responsable de l’institution relativement à la protection de la vie privée et enfin les soumettre au SCT avant de mettre en œuvre des activités ou des programmes (nouveaux ou considérablement modifiés).
  7. À la lumière de ce qui précède, le Commissariat n’est pas convaincu que le Secrétariat avait satisfait aux exigences de l’article 10 lorsqu’il a entamé l’examen et considère que cet enjeu est fondé. Cependant, comme la demande a été soumise au SCT en janvier 2022, nous sommes convaincus que le Secrétariat satisfait maintenant aux exigences de l’article 10 et que cet enjeu est résolu.
  8. Malgré ce qui précède, comme le SCT n’a pas encore approuvé les FRP en question, le Commissariat s’attend à ce que le Secrétariat collabore en priorité avec le SCT pour que celui-ci approuve les modifications demandées aux FRP existants ainsi que le nouveau FRP proposé et en autorise la publication, l’objectif étant que le Secrétariat fasse preuve de transparence à l’égard du public quant à sa collecte et à son traitement des renseignements personnels.
  9. Le Commissariat a également constaté que, depuis la constitution de l’OSSNR en 2019, rien ne démontre que le Secrétariat a pris des mesures pour publier la page d’Info Source de l’OSSNR sur le site Web de ce dernier de manière à satisfaire aux exigences en matière de publication en ligne d’Info Source du SCTNote de bas de page 22. En fait, nos recherches en ligne ont révélé que la liste de l’OSSNR sur le site Web Info Source : Liste des organisations du SCT permet aux utilisateurs d’accéder à la page d’Info Source de l’ancien Comité de surveillance des activités de renseignement de sécurité (CSARS)Note de bas de page 23.
  10. Les exigences en matière de publication en ligne du SCT sont entrées en vigueur le 1er juillet 2023 et définissent les fonctions des responsables des institutions (ou de leur délégué) quant aux publications et aux mises à jour d’Info Source sur leur site Web. Voici quelques-unes des exigences : i) publier des renseignements précis (par exemple, une description de l’histoire, du fondement législatif, du mandat et des responsabilités de programme de l’institution [ou des liens vers ceux-ci]); ii) mettre à jour la page d’Info Source de son institution chaque année avant la date d’échéance de l’institutionNote de bas de page 24; et iii) fournir une liste de tous les FRP qui sont enregistrés, en attente d’approbation et d’enregistrement, ou en attente de cessation (article 4.7.4).
  11. Compte tenu de l’esprit et des objectifs de la Loi, le Commissariat s’attend à ce que les institutions respectent les exigences du SCT. Ainsi, les institutions doivent notamment publier et mettre à jour chaque année leur page d’Info Source et la description de tous leurs FRP pour faire preuve de transparence à l’égard du public. À la lumière de ce qui précède, le Commissariat encourage fortement le Secrétariat à publier la page d’Info Source de l’OSSNR sur le site Web de ce dernier pour respecter les exigences du SCT.

Autres

Nécessité et proportionnalité

  1. Les plaignants ont indiqué que de nombreuses autres solutions ont été proposées à l’OSSNR pour lui permettre d’accéder aux tests polygraphiques et de les examiner, mais que celui-ci les a rejetées, ce qui, à leur avis, remet en question le caractère raisonnable et la proportionnalité de la demande de l’OSSNR. Par exemple, le CST a indiqué dans ses observations qu’il avait proposé à l’OSSNR une approche fondée sur le consentement, laquelle consistait à chercher des volontaires pour participer à l’examen. Cependant, l’OSSNR a refusé d’adopter cette approche.
  2. L’examen de l’OSSNR a clairement mis en évidence la nécessité d’établir un équilibre prudent entre des intérêts importants. D’une part, l’OSSNR a un besoin légitime d’accéder aux renseignements pour remplir son mandat d’examen. D’autre part, les plaignants ont soulevé des préoccupations selon lesquelles il faut imposer des limites adéquates quant à la quantité et aux types de renseignements personnels auxquels l’OSSNR peut avoir accès.
  3. Malgré le pouvoir étendu que la loi habilitante de l’OSSNR lui confère, l’enquête du Commissariat a révélé que l’OSSNR a reconnu la sensibilité des renseignements recueillis lors d’un test polygraphique et a pris des arrangements pour collaborer avec le CST en vue de mettre en œuvre des mesures de protection visant à atténuer les risques d’atteinte à la vie privée.
  4. Les principes largement reconnus de nécessité et de proportionnalité ont été adoptés dans de nombreuses juridictions à l’échelle mondiale en vertu de lois sur la protection des renseignements personnels ou encore à titre d’exigences prévues dans des politiques ou de pratiques exemplaires. Ce sont des considérations importantes pour protéger le droit fondamental à la protection de la vie privée, et le Commissariat encourage donc toutes les institutions qui traitent les renseignements personnels des Canadiennes et des Canadiens à s’efforcer de réduire au minimum les renseignements nécessaires à l’atteinte des objectifs de leurs programmes ou activités.
  5. Il convient de noter que le Commissariat recommande depuis plusieurs années que la collecte de renseignements personnels par les institutions fédérales soit régie par une norme du seuil de nécessité et de proportionnalitéNote de bas de page 25. Toutefois, la Loi ne l’exige pas encore et, à ce jour, il s’agit d’une exigence au titre d’un instrument de politique. Plus précisément, l’article 4.2.9 de la Directive du SCT indique que les institutions fédérales doivent limiter la collecte de renseignements personnels à ceux qui sont « manifestement nécessairesNote de bas de page 26 ».

Évaluation des facteurs relatifs à la vie privée

  1. À l’heure actuelle, l’EFVP est le processus en place le plus exhaustif pour évaluer l’incidence d’une initiative précise sur la vie privée des individus. Elle représente un élément essentiel du cadre de conformité en matière de protection de la vie privée d’une institution. Lorsqu’elles sont effectuées adéquatement et approuvées par le SCT avant le lancement d’une initiative, les EFVP peuvent aider les institutions à respecter les exigences prévues par la Loi ainsi qu’à gérer ou à atténuer les répercussions sur la vie privée.
  2. La Norme sur l’évaluation des facteurs relatifs à la vie privéeNote de bas de page 27 décrit les exigences quant à la réalisation des EFVP énoncées à l’article 4 de la Directive. Les institutions qui demandent au SCT d’approuver des programmes ou des activités comportant des renseignements personnels doivent faire tous les efforts raisonnables pour entamer l’EFVP le plus tôt possible à l’étape de la planificationNote de bas de page 28. Le SCT a la responsabilité d’examiner l’EFVP et de s’acquitter de ses obligations en matière d’examen et d’approbation des FRP. Les institutions sont également tenues de fournir la version finale de leur EFVP au Commissariat au moment où elles la fournissent au SCTNote de bas de page 29 et d’en publier un résumé. Les rapports destinés au public permettent aux individus de mieux comprendre comment une institution fédérale utilise leurs renseignements personnels et favorisent la confiance à l’égard des activités de l’institution.
  3. Pour ce qui est des préoccupations des plaignants concernant les obligations de l’OSSNR quant à la réalisation d’une EFVP (pour son programme et ses activités d’examen), l’enquête du Commissariat a permis de confirmer qu’une EFVP a été réalisée au moment de la constitution de l’OSSNR (la fonction d’examen du mandat de l’OSSNR a été analysée dans le cadre de cette EFVP) et a été soumise au SCT et au Commissariat en janvier 2022Note de bas de page 30. Nous avons également confirmé qu’un résumé de l’EFVP a été publié sur le site Web de l’OSSNR en août 2022, qui comprend une section complète sur l’identification et la catégorisation des secteurs de risqueNote de bas de page 31.
  4. À la lumière de ce qui précède, le Commissariat est convaincu que le Secrétariat s’est acquitté de ses obligations prévues par la Directive du SCT, puisqu’il a réalisé une EFVP et en a publié un résumé. Cependant, il a constaté que le Secrétariat a attendu près de deux ans et demi après la constitution de l’OSSNR avant de soumettre l’EFVP au SCT (au même moment où il a présenté sa demande de modification de ses FRP) et que, pendant cette période, l’OSSNR a réalisé un certain nombre d’examens. D’ailleurs, l’examen qui fait l’objet du présent rapport a été entamé en 2021, soit près d’un an avant que l’EFVP et la demande de modification de FRP ne soient soumises au SCT.
  5. Le délai de soumission des EFVP au SCT a un lien direct avec les obligations du SCT relatives aux FRP. Plus précisément, le SCT doit examiner les EFVP pour s’acquitter de ses obligations en matière d’examen et d’approbation des FRP, et les institutions doivent obtenir une approbation pour tous les FRP (nouveaux ou ayant subi des modifications importantes) avant de mettre en œuvre l’activité ou le programme nouveau ou considérablement modifié pour lequel un FRP a été constituéNote de bas de page 32.
  6. Par conséquent, nous tenons à rappeler au Secrétariat l’importance de soumettre les versions finales de ses EFVP ainsi que les descriptions de ses FRP (nouveaux ou ayant subi des modifications importantes) qu’il propose au SCT et au Commissariat en temps opportun (avant la mise en œuvre du programme ou de l’activité).

Examen du CST par l’OSSNR

  1. Le Commissariat a examiné le rapport final de l’OSSNR concernant son examen de l’utilisation des tests polygraphiques par le CST aux fins de filtrage de sécurité, publié le 26 septembre 2024. Nous avons confirmé que les conclusions de l’examen étaient présentées sous forme de données regroupées (résumé) et qu’elles ne contenaient pas de renseignements permettant d’établir l’identité d’un individu. Le tout cadre avec les observations faites par l’OSSNR.

Conclusions et recommandations

  1. L’objet de l’enquête du Commissariat était d’établir si le Secrétariat avait recueilli des renseignements personnels dans les circonstances décrites dans les plaintes. Nous avons estimé que les mesures d’atténuation mises en place pour dépersonnaliser les renseignements et limiter l’accès aux renseignements personnels réduisaient considérablement le risque qu’un individu soit réidentifié, sans pour autant l’éliminer complètement.
  2. Néanmoins, le Commissariat a pu confirmer que les documents sources visés par les plaintes (c’est-à-dire, les enregistrements des tests polygraphiques) étaient suffisamment anonymisés pour ne contenir aucun renseignement personnel sur les individus ayant fait l’objet des tests. De plus, aucun renseignement personnel ne figurait dans les notes prises par le Secrétariat.
  3. Bien que les conclusions du Commissariat puissent amener à se demander si la consultation possible de renseignements personnels par le Secrétariat constitue une collecte au titre de l’article 4 de la Loi, cette question ne représentait pas un élément déterminant de ses conclusions dans le cas présent.
  4. À la lumière de ce qui précède et compte tenu du droit d’accès à l’information étendu de l’OSSNR nécessaire pour assumer sa fonction d’examen indépendant ainsi que du fait que le Secrétariat se doit d’aider l’OSSNR à assumer cette fonction, le Commissariat conclut que l’enjeu de la collecte est non fondé.
  5. Pour ce qui est des obligations du Secrétariat énoncées à l’article 10 de la Loi, l’enquête du Commissariat a mis en évidence des préoccupations concernant le fait que le Secrétariat a tardé à demander au SCT d’approuver plusieurs modifications apportées aux FRP, notamment la constitution d’un nouveau FRP propre aux examens. Il a également constaté que l’OSSNR avait terminé des examens et en avait entrepris de nouveaux (y compris l’examen visé par le présent rapport) malgré l’absence d’un FRP propre aux examens.
  6. Le Commissariat conclut donc que le Secrétariat ne s’était pas acquitté de ses obligations prévues à l’article 10 de la Loi lorsqu’il a entamé le présent examen et que cet enjeu est fondé. Cependant, comme le Secrétariat a présenté sa demande au SCT en janvier 2022, nous estimons qu’il s’est maintenant acquitté des obligations qui lui incombent et que l’enjeu est résolu.
  7. Le Secrétariat a indiqué que le SCT n’a pas encore approuvé les FRP en question et que l’approbation de ce dernier est indépendante de sa volonté. Néanmoins, nous nous attendons à ce que le Secrétariat collabore en priorité avec le SCT afin que lesdites modifications aux FRP ainsi que le nouveau FRP proposé soient définitivement approuvées. Ainsi, le Secrétariat fera preuve d’une plus grande transparence à l’égard du public quant à ses pratiques de collecte et de traitement des renseignements personnels.
  8. Le Commissariat a également constaté que, depuis la constitution de l’OSSNR en 2019, rien ne démontre que le Secrétariat a pris des mesures pour publier la page d’Info Source de l’OSSNR sur le site Web de ce dernier de manière à satisfaire aux exigences en matière de publication en ligne d’Info Source du SCT. Par conséquent, nous encourageons fortement le Secrétariat à publier la page d’Info Source de l’OSSNR sur le site Web de ce dernier pour respecter les exigences en matière de publication en ligne d’Info Source du SCT.
  9. Dans sa réponse au rapport préliminaire du Commissariat, le Secrétariat a pris acte de nos préoccupations relativement au temps qu’il avait mis pour demander au SCT d’approuver les modifications apportées aux FRP et a indiqué qu’il s’engageait à collaborer en priorité avec le SCT pour obtenir son approbation définitive à cet égard. De plus, le Secrétariat a indiqué qu’il s’engageait à publier la page d’Info Source sur le site Web de l’OSSNR au cours des mois à venir pour s’acquitter de ses obligations énoncées dans les exigences en matière de publication en ligne d’Info Source du SCT et pour faire preuve de transparence à l’égard du public.

Observations

  1. Le polygraphe est l’un des principaux outils utilisés pendant le processus de filtrage de sécurité pour évaluer la fiabilité et la loyauté d’un individu. Son utilisation implique de recueillir une quantité importante de renseignements très personnels et sensiblesNote de bas de page 33. De plus, la communication des renseignements personnels lors d’un test polygraphique pourrait avoir des répercussions négatives importantes et durables sur la réputation, la carrière et les relations de l’individu ayant fait l’objet du test. Par conséquent, le Commissariat tient à reconnaître les préoccupations soulevées par les plaignants en l’espèce relativement à l’examen mené par l’OSSNR et à sa demande d’accès aux renseignements recueillis lors des tests polygraphiques.
  2. Le Commissariat reconnaît également que des examens antérieurs réalisés par l’OSSNR et son prédécesseur, le CSARS, ont relevé des lacunes liées à l’utilisation du polygraphe, notamment des préoccupations en matière de fiabilité et de protection de la vie privéeNote de bas de page 34. Dans son rapport annuel de 2019, l’OSSNR a présenté des observations concernant l’utilisation du polygraphe; il a notamment fait part de ses préoccupations concernant la Norme sur le filtrage de sécurité du SCT (la Norme)Note de bas de page 35. Nous soulignons que l’OSSNR a relevé des problèmes semblables dans son récent examen du CSTNote de bas de page 36. Comme l’OSSNR l’a mentionné dans son communiqué à l’intention des employés du CST, ces préoccupations mettent en lumière l’importance d’établir un juste équilibre entre les exigences en matière de sécurité et le droit à la vie privée des employés.
  3. Le Commissariat estime que les préoccupations sous-jacentes soulevées dans les plaintes (c’est-à-dire l’accès de l’OSSNR à des renseignements personnels très sensibles recueillis lors d’un test polygraphique) sous-tendent les objectifs de l’examen de l’OSSNR. En effet, il serait très difficile pour l’OSSNR d’évaluer le caractère intrusif et l’utilité des tests polygraphiques sans avoir accès aux documents sources. Par conséquent, nous tenons à reconnaître les efforts déployés par l’OSSNR, ainsi que ceux du CST compte tenu du rôle qu’il a joué dans les circonstances, pour tenir compte des préoccupations en matière de protection de la vie privée et atténuer les risques d’atteinte à la vie privée en mettant en place des mesures de protection. Malgré le pouvoir étendu que la Loi sur l’OSSNR lui confère, l’OSSNR a tenu compte de la sensibilité des renseignements recueillis lors d’un test polygraphique et a pris des mesures pour anonymiser certains renseignements personnels.
  4. Enfin, le Commissariat profite de l’occasion pour souligner l’importance des EFVP pour aider les institutions à satisfaire aux exigences prévues par la Loi. La réalisation d’une EFVP efficace peut aider les institutions à établir un lien de confiance avec les Canadiennes et les Canadiens, car elle démontre que l’institution fait preuve de diligence raisonnable et qu’elle respecte les exigences prévues par la Loi et les politiques ainsi que les pratiques exemplaires en matière de protection de la vie privée. Bien que la Loi ne l’exige pas, il est essentiel de veiller à ce que les EFVP qui ont été menées (et les descriptions des FRP nouveaux ou ayant subi des modifications importantes) soient soumises au SCT et au Commissariat en temps opportun afin de cerner et d’évaluer adéquatement les répercussions sur la vie privée et de prendre des mesures d’atténuation avant la mise en œuvre d’une activité ou d’un programme (nouveau ou ayant subi des modifications importantes) qui comporte des renseignements personnels.
Date de modification :