Centre d’analyse des opérations et déclarations financières du Canada

Supports de substitution

Table des matières

Points principaux

Introduction

Observations et recommandations

Conclusion

Au sujet de la vérification

Annexe 1 : Personnes ou entités visées par la LRPCFAT

Annexe 2 : Renseignements désignés

Annexe 3 : Liste de recommandations et réponse de CANAFE

Article 37 de la Loi sur la protection des renseignements personnels
Paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes

Rapport Final
2013


Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3

613-947-1698 , 1-800-282-1376
Télécopieur : 613-947-6850
ATS : 613-992-9190
Suivez nous sur Twitter: @PriveePrivacy

© Ministre des Travaux publics et Services gouvernementaux Canada, 2013

No de catalogue. IP54-29/2013
ISBN : 978-1-100-54619-3


Points principaux

Éléments examinés

Le Commissariat à la protection de la vie privée (le Commissariat) a examiné les progrès accomplis par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) dans le cadre des efforts déployés pour donner suite aux recommandations formulées dans son rapport de vérification de 2009. Nous nous sommes aussi penchés sur la façon dont CANAFE gère les renseignements personnels recueillis, reçus, utilisés et communiqués à titre d’unité du renseignement financier ainsi que dans l’exercice de sa fonction de vérification, comme l’exige la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la LRPCFAT ou la Loi).

Nous avons passé en revue les politiques, les procédures et les lignes directrices de CANAFE en matière de gestion des renseignements personnels qui ont été modifiées ou élaborées depuis la dernière vérification. De plus, nous avons examiné les analyses des facteurs relatifs à la vie privée, les documents de formation, les dossiers d’examen de conformité, les évaluations de sécurité et les ententes d’échange de renseignements. Nous avons également étudié un échantillon choisi à dessein à partir d’une sélection statistique aléatoire de tous les types de déclarations que reçoit CANAFE, de même que l’information qu’il communique aux organismes d’application de la Loi, aux ministères fédéraux et aux unités étrangères du renseignement financier.

Enfin, nous avons examiné les changements apportés à la façon dont CANAFE attribue les responsabilités en matière de protection des renseignements personnels, gère les risques d’atteinte à la vie privée et veille au respect de ses obligations en vertu de la Loi sur la protection des renseignements personnels.

Importance de l’examen

En mars 2012, les bases de données de CANAFE comptaient environ 165 millions de déclarations contenant des renseignements personnels. Ces déclarations concernent des soupçons de recyclage de produits de la criminalité ou de financement d’activités terroriste, des opérations en espèces d’une valeur supérieure au seuil établi, certains transferts de fonds électroniques (télévirements), des mouvements transfrontaliers d’espèces ou d’effets dans des circonstances particulières ou leur saisie, ainsi que des informations fournies par des homologues étrangers ou nationaux. Elles peuvent notamment comprendre des renseignements sur les opérations suivantes : le versement initial pour l’achat d’une maison ou d’un véhicule, les télévirements reçus par des étudiants internationaux qui résident au Canada, ou l’envoi de fonds par des parents au Canada à leurs enfants qui étudient à l’étranger.

Les personnes et les entités de divers secteurs (voir l’annexe 1) qui sont assujetties à la Loi doivent examiner soigneusement les opérations financières des clients et en rendre compte. Ces entités, dont le nombre pourrait atteindre 300 000, transmettent à CANAFE des déclarations contenant des renseignements personnels de nature délicate sur des Canadiens. Certaines de ces déclarations peuvent être soumises à l’insu des personnes concernées. Les entités déclarantes n’ont pas à obtenir le consentement des personnes concernées pour soumettre les déclarations, et il se peut que ces dernières ne puissent pas avoir accès à l’information.

Lors de notre vérification de 2009, nous avions décelé des faiblesses dans les pratiques de gestion des renseignements personnels de CANAFE et nous avions recommandé qu’elles soient corrigées. Nos recommandations antérieures et celles qui sont contenues dans le présent rapport ont pour but d’aider CANAFE à s’acquitter de ses obligations aux termes de la Loi sur la protection des renseignements personnels.

Constatations

Bien que CANAFE continue d’avoir de bons contrôles de sécurité, nous avons constaté qu’il a accompli des progrès limités à l’égard de la mise en œuvre de cinq des dix recommandations formulées en 2009.

Nous avons examiné deux des secteurs de responsabilité de CANAFE. Le premier est son rôle dans l’analyse et la communication de renseignements financiers. Le deuxième est une fonction d’observation qui consiste à vérifier si les entités déclarantes s’acquittent de leurs obligations en vertu de la LRPCFAT et de son règlement d’application.

En exerçant ses fonctions d’analyse et de communication, CANAFE continue de recevoir et de conserver des renseignements personnels qui ne sont pas directement liés à son mandat. Des plans visant à renforcer les mesures de contrôle, dont un contrôle initial et le suivi continu des déclarations, doivent être mis en place. Tant que ces mesures de contrôle n’auront pas été instituées, CANAFE ne pourra pas garantir que ses fonds de renseignements sont pertinents par rapport à son mandat sans être excessifs.

Nous avons constaté que CANAFE a amélioré son processus de gestion des évaluations de la menace et des risques. Il possède en outre une approche exhaustive à l’égard de la sécurité, qui comprend des mesures de contrôle visant à protéger les renseignements personnels. Toutefois, lors de notre vérification, nous avons relevé des cas de non-conformité aux politiques établies en matière de sécurité.

CANAFE a amélioré son programme de gestion de la protection de la vie privée. Il a créé un poste officiel de chef de la protection des renseignements personnels, établi un processus d’évaluation des facteurs relatifs à la vie privée et élaboré des lignes directrices sur les atteintes à la vie privée. Il a aussi déployé des efforts afin de sensibiliser davantage les employés aux principes fondamentaux de la protection de la vie privée.

CANAFE reçoit, de la part des entités déclarantes, des demandes de renseignements sur l’interprétation et l’application pratique de la LRPCFAT et de son règlement d’application. Nous avons relevé un cas où les conseils formulés par CANAFE pourraient être interprétés comme un encouragement à déclarer de l’information non requise en vertu de la LRPCFAT.

Dans le cadre de sa fonction d’observation, CANAFE obtient des documents auprès des entités déclarantes. Or, même s’il a diffusé des lignes directrices internes pour que la collecte des données se limite à celles qui sont directement liées à ses programmes et activités, nous avons remarqué que cette pratique n’est pas appliquée de façon uniforme, ce qui entraîne la collecte de données pour lesquelles aucun besoin de collecte n’a été démontré, ainsi que leur conservation.

CANAFE a répondu à nos constatations. Dans le présent rapport, chacune de nos recommandations est donc suivie de la réponse de CANAFE.

Introduction

Contexte

1. Le blanchiment d’argent est le processus qui consiste à camoufler la provenance de sommes d’argent ou de biens qui sont le fruit d’activités criminelles. La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT ou la Loi) a été promulguée en 2000. Cette loi a fait du Centre d’analyse des opérations et déclarations financières (CANAFE) l’unité du renseignement financier du Canada.

2. Les modifications apportées à la LRPCFAT en 2006 ont entraîné une augmentation du nombre d’organisations assujetties à la Loi et des types d’opérations analysées et déclarées. Elles ont également permis à CANAFE de communiquer davantage de renseignements aux organismes chargés de l’application de la loi et de la sécurité, ainsi qu’à l’Agence des services frontaliers du Canada (ASFC) et à l’Agence du revenu du Canada (ARC). En février 2011, la Loi sur l’emploi et la croissance économique a modifié les seuils relatifs aux renseignements désignés que CANAFE peut communiquer à l’ARC et à l’ASFC.

3. Au moment de notre vérification, la LRPCFAT faisait l’objet d’un examen parlementaire quinquennal, comme l’exige le paragraphe 72(1) de la Loi.

4. Selon la Loi, les personnes et les entités, dont le nombre peut atteindre 300 000, appartenant à l’un ou l’autre de dix secteurs établis (voir l’annexe 1) doivent recueillir et conserver des renseignements précis sur leurs clients et les opérations de ceux-ci. Elles doivent aussi transmettre à CANAFE des déclarations contenant des renseignements personnels de nature délicate.

5. La Loi exige également que soient déclarés les mouvements transfrontaliers d’espèces ou d’effets d’une valeur égale ou supérieure à 10 000 $ ou d’une valeur équivalente en devises étrangères. CANAFE est aussi informé des espèces ou des effets saisis par l’ASFC, et ce, peu importe leur valeur.

À propos de l’entité faisant l’objet de la vérification

6. CANAFE est un organisme distinct qui relève du ministre des Finances et qui fonctionne sans lien de dépendance avec les organismes chargés de l’application de la loi et d’autres entités auxquelles il est autorisé à communiquer des renseignements. Créé en 2001, CANAFE a pour mandat de recevoir, de recueillir, d’analyser, d’évaluer et de communiquer des renseignements sur des opérations financières, ainsi que d’en diffuser afin d’aider à détecter, à prévenir et à décourager le blanchiment d’argent et le financement d’activités terroristes. Les responsabilités de CANAFE aux termes de la LRPCFAT comprennent notamment la protection des renseignements personnels qu’il détient.

7. CANAFE est aussi tenu d’analyser et de communiquer des renseignements liés à son mandat, et il doit entreprendre un programme de conformité afin de s’assurer que les entités déclarantes respectent leurs obligations en vertu de la LRPCFAT et de son règlement d’application.

8. CANAFE compte environ 352 employés. Au 30 juin 2012, son budget annuel totalisait 54 millions de dollars. Pour obtenir de plus amples renseignements sur CANAFE, il suffit de consulter son site Web à l’adresse suivante : http://www.fintrac-canafe.gc.ca.

Constatations de notre vérification de 2009

9. En 2009, le Commissariat a constaté que CANAFE avait reçu et conservé de l’information au-delà de ce qui est autorisé par la Loi. CANAFE avait besoin d’améliorer ses mesures de contrôle, y compris un contrôle initial et le suivi continu des déclarations, pour veiller à ce que ses fonds de renseignements soient pertinents sans être excessifs. Il avait une approche solide et exhaustive à l’égard de la sécurité. Il avait mis en place des éléments d’un cadre de gestion de la protection des renseignements personnels, mais il y avait des lacunes qui devaient être corrigées. Nous avons aussi constaté que CANAFE n’était pas en mesure de confirmer que les conseils fournis aux entités déclarantes par les partenaires de réglementation sont conformes aux exigences de la LRPCFAT.

10. Les progrès accomplis par CANAFE pour donner suite aux recommandations de la vérification de 2009 sont présentés dans la section « Observations et recommandations » du présent rapport.

Objet de la vérification actuelle

11. L’objectif de la vérification consistait à déterminer si CANAFE dispose des contrôles appropriés pour protéger les renseignements personnels, et si ses processus et ses pratiques de gestion de ces renseignements sont conformes aux principes relatifs à l’équité dans le traitement de l’information énoncés aux articles 4 à 8 de la Loi sur la protection des renseignements personnels. Selon cette loi, la « collecte » comprend à la fois la réception passive et la collecte active de renseignements personnels.

12. La vérification portait principalement sur l’examen des progrès accomplis par CANAFE afin de donner suite aux recommandations de notre vérification de 2009. Nous avons aussi examiné la gestion des renseignements personnels que CANAFE acquiert, utilise et communique en sa qualité d’unité du renseignement financier et aussi lorsqu’il s’acquitte des activités de conformité qui lui incombent en vertu de la LRPCFAT.

13. Nous n’avons pas examiné la façon dont CANAFE traite les renseignements personnels de ses employés ni évalué les cadres de contrôle mis en place par les entités déclarantes pour gérer leurs fonds de renseignements personnels.

14. La section « Au sujet de la vérification » du présent rapport contient des renseignements sur l’objectif, les critères, la portée et l’approche de la vérification.

Observations et recommandations

Respect du code de pratiques équitables en matière de gestion des renseignements personnels

15. La Loi sur la protection des renseignements personnels énonce les règles régissant la gestion des renseignements personnels détenus par les institutions fédérales. Les articles 4 à 8, désignés sous le nom de « Code de pratiques équitables en matière de gestion des renseignements personnels », imposent des limites quant à la collecte de renseignements personnels et à la façon dont les renseignements, une fois recueillis, peuvent être utilisés et communiqués. La Loi porte aussi sur la conservation et la suppression des renseignements personnels. Elle établit un juste équilibre entre les besoins légitimes en matière de collecte et d’utilisation de renseignements personnels qui sont liés à l’exécution des programmes fédéraux et le droit des personnes à la vie privée.

16. Pour évaluer dans quelle mesure CANAFE s’acquitte de ses obligations en vertu de la Loi sur la protection des renseignements personnels, nous nous sommes penchés sur la façon dont il gère les renseignements personnels qu’il obtient. Nous nous attendions à constater ce qui suit :

  • la réception et la collecte de renseignements personnels sont limitées aux renseignements liés directement aux programmes et activités de CANAFE;
  • l’information est utilisée et communiquée à des fins autorisées;
  • les dossiers sont conservés et éliminés conformément aux calendriers établis.

Peu de progrès ont été accomplis pour éviter la communication excessive de renseignements personnels

17. La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT ou la Loi) autorise CANAFE à recevoir de l’information, y compris des renseignements personnels de nature financière, de la part de personnes, d’entités déclarantes et d’autres sources, comme le Service canadien du renseignement de sécurité (SCRS), la Gendarmerie royale du Canada (GRC) et d’autres corps policiers. Elle permet aussi à CANAFE de recueillir de l’information qu’il considère comme pertinente sur des activités de blanchiment d’argent et de financement des activités terroristes, ainsi que l’information dont il a besoin pour s’acquitter de son mandat de vérification. En mars 2009, les bases de données de CANAFE contenaient environ 101 millions de déclarations; ce nombre était passé à approximativement 165 millions en mars 2012.

18. La Loi exige que certaines opérations financières effectuées par une personne ou une entité, ou en son nom, fassent l’objet d’une déclaration à CANAFE. Ces opérations financières comprennent les opérations en espèces, les télévirements internationaux et les déboursements de casinos de 10 000 $ ou plus, ainsi que les opérations qui, bien que chacune soit inférieure à 10 000 $, dépassent collectivement ce montant sur une période de 24 heures (règle de 24 heures). Il faut aussi déclarer les opérations concernant des biens appartenant à un groupe terroriste et les opérations douteuses, et ce, peu importe leur valeur. Les opérations déclarées peuvent inclure un versement initial pour l’achat d’une maison ou d’un véhicule, les télévirements reçus par des étudiants internationaux qui résident au Canada, ou les fonds envoyés par des parents au Canada à leurs enfants qui étudient à l’étranger. Les entités déclarantes qui ne présentent pas de déclarations, comme l’exige la LRPCFAT, se placent en situation de non-conformité et pourraient faire l’objet de sanctions civiles ou criminelles.

19. Les mouvements transfrontaliers d’espèces ou d’effets d’une valeur de 10 000 $ ou plus sont aussi déclarés à CANAFE par l’Agence des services frontaliers du Canada (ASFC).

20. Des renseignements concernant des activités présumées de blanchiment d’argent ou de financement d’activités terroristes sont aussi fournis, sur une base volontaire, par des membres du public. CANAFE reçoit en outre de l’information obtenue par des organismes responsables de la sécurité et de l’application de la loi dans le cadre de leurs propres enquêtes.

21. Lors de notre vérification de 2009, nous avons constaté que CANAFE avait reçu et conservé des renseignements personnels qu’il n’était pas autorisé à recevoir en vertu de la Loi et dont il n’avait pas besoin ou qu’il n’utilisait pas. Ces renseignements comprenaient notamment :

  • Des déclarations d’opérations d’un montant inférieur au seuil établi de 10 000 $, et qui n’auraient donc pas dû être communiquées;
  • Des déclarations d’opérations douteuses (DOD) qui n’établissent pas de « motifs raisonnables de soupçonner » des activités de recyclage de produits de la criminalité ou de financement d’activités terroristes;
  • Des déclarations de renseignements transmis volontairement (DRTV) sans qu’il y ait de motifs apparents de soupçonner des activités de recyclage de produits de la criminalité ou de financement d’activités terroristes;
  • Des renseignements personnels non pertinents, comme le numéro d’assurance sociale (NAS), le numéro de carte santé et des renseignements médicaux qui n’auraient pas dû être déclarés.

22. Lors de notre vérification de 2009, nous avons aussi constaté qu’à l’exception des déclarations de renseignements transmis volontairement (DRTV), les processus de contrôle de CANAFE ont été conçus principalement pour assurer la qualité des données — c’est-à-dire pour vérifier si tous les champs obligatoires des déclarations étaient remplis — et ne visaient pas à vérifier si les renseignements étaient pertinents compte tenu du mandat de CANAFE ou si leur collecte était excessive.

23. Nous avions recommandé que CANAFE prenne des mesures en vue de limiter l’acquisition de renseignements personnels à ce qui est autorisé en vertu de la LRPCFAT et à ce dont il a besoin ou qu’il utilise. Dans sa réponse, CANAFE acceptait la recommandation et indiquait qu’à l’aide de son nouveau système de production de déclarations, il améliorerait la façon de valider les déclarations transmises et réduirait ainsi le risque que soient reçus des renseignements qui n’auraient pas dû être envoyés. Il précisait aussi que le nouveau formulaire de déclaration des déboursements de casinos était assorti d’une mesure de contrôle initial améliorée qui permettrait d’éviter l’entrée de ce type de renseignements dans la base de données de CANAFE, et qu’il révisait et mettait régulièrement à jour les directives à l’intention des entités déclarantes. CANAFE indiquait par ailleurs qu’il estimait que cette mesure et les autres déjà prises permettraient de réduire efficacement la quantité de renseignements envoyés à CANAFE par erreur. Il s’engageait à entreprendre un examen de ses formulaires de déclaration afin d’évaluer la valeur analytique des données recueillies et de réduire le fardeau lié à la production de déclarations des entités déclarantes. Pour évaluer les progrès accomplis, nous avons interviewé des fonctionnaires de CANAFE et examiné un échantillon aléatoire choisi à dessein de déclarations et de DRTV reçus par CANAFE, ainsi que des rapports internes et des plans opérationnels.

24. Quatre-vingt-dix-huit pour cent des déclarations reçues par CANAFE sont des déclarations d’opérations importantes en espèces (DOIE) et des déclarations de télévirements (DT) internationaux. Nous avons choisi à dessein un échantillon de DOIE et de DT provenant d’une sélection aléatoire statistique afin de nous assurer qu’elles concernaient des opérations d’une valeur supérieure au seuil de déclaration de 10 000 $ (lors d’une seule opération, ou de deux opérations ou plus qui sont chacune d’un montant inférieur à 10 000 $, mais qui totalisent 10 000 $ ou davantage à l’intérieur d’une période de 24 heures, ces opérations étant effectuées par une même personne ou entité, ou en son nom). Nous avons repéré un certain nombre de déclarations concernant des opérations dont la valeur n’atteignait pas le seuil établi, et nous avons demandé à CANAFE de nous fournir les déclarations complémentaires (c.-à-d. les déclarations portant sur des opérations dont la valeur, ajoutée à celle de l’opération visée par la déclaration examinée par le Commissariat, permettrait d’atteindre ou de dépasser le seuil de 10 000 $). Dans sa réponse, CANAFE a indiqué que la situation n’avait pas changé depuis notre vérification de 2009, c.-à-d. qu’il n’a toujours pas la capacité technologique d’apparier électroniquement les déclarations. Il aussi précisé que le processus d’appariement des déclarations que nous avions repérées devrait se faire manuellement, et qu’un tel examen monopoliserait d’importantes ressources et prendrait beaucoup de temps. Par conséquent, nous ne pouvons toujours pas établir la quantité de déclarations qui concernent des opérations d’une valeur de moins de 10 000 $ dans l’ensemble des fonds de renseignements de CANAFE.

25. De la même façon, nous avons constaté que certaines déclarations de télévirements internationaux et déclarations de l’Agence des services frontaliers du Canada (ASFC) concernant des mouvements transfrontaliers d’espèces et d’effets concernaient des opérations qui n’atteignaient pas le seuil de déclaration de 10 000 $.

26. Nous avons en outre trouvé des déclarations d’opérations douteuses (DOD) où il n’y avait pas de motifs raisonnables de soupçonner l’existence d’activités de recyclage de produits de la criminalité ou de financement d’activités terroristes (voir les exemples qui figurent dans le tableau de la pièce A, ci-dessous). Dans chaque cas, une déclaration a été envoyée à CANAFE et ce dernier l’a conservée dans sa base de données.

Pièce A – Exemples de déclaration excessive à CANAFE

  • Un jeune professionnel a encaissé trois traites bancaires d’une valeur de près de 100 000 $ US achetées dans une grande banque canadienne. Celle-ci a confirmé la validité des traites. Le gestionnaire de l’entreprise de services monétaires où les traites ont été encaissées a obtenu des réponses satisfaisantes aux diverses questions posées au sujet de l’opération, mais il a néanmoins déposé une déclaration d’opération douteuse (DOD) en expliquant que la « somme d’argent était tout simplement incompatible avec l’âge du jeune homme ».
  • Une personne, qui a acheté la maison d’un ami d’enfance, a remis le dépôt directement au vendeur plutôt qu’à l’avocat du vendeur. Le notaire qui a signalé l’opération a fourni l’explication suivante : « Il s’agit d’un de mes clients de longue date et je n’ai aucune raison de soupçonner du blanchiment d’argent ou des activités terroristes, mais comme je n’étais pas certain s’il fallait déclarer ou pas ce genre d’opération (décrite ci-dessus), j’ai pensé qu’il était préférable de la déclarer. »
  • Une personne voulait convertir 5 000 euros en dollars canadiens. Selon la DOD, afin de dissuader la personne d’effectuer l’opération, on l’a informée que le plein montant serait gelé pendant 21 jours. La déclaration indiquait aussi que le client avait décidé de ne pas effectuer l’opération.

27. Nous avons aussi remarqué que, dans un certain nombre de déclarations, l’entité déclarante n’indiquait pas la raison pour laquelle elle soupçonnait le recyclage de produits de la criminalité ou le financement d’activités terroristes. En l’absence de cette information, il est difficile d’évaluer si le seuil des « motifs raisonnables » a été atteint. Des exemples de telles déclarations sont présentés dans le tableau de la pièce B, ci-dessous :

Pièce B – Exemples de déclarations dans lesquelles des motifs raisonnables d’avoir des soupçons ne sont pas indiqués

  • Une institution financière a présenté une DOD sans indiquer pourquoi l’opération lui semblait douteuse lorsqu’un commerçant a déposé la somme de 570 $ en coupures de 100, 50, 20 et 5 $.
  • Un gros lot de 10 000 $ a été remporté, mais n’a pas été remis, car le gagnant n’avait aucune pièce d’identité avec photo au moment de réclamer son prix. Le casino a déposé une DOD.

28. Les lignes directrices de CANAFE précisent que la carte santé provinciale d’une personne peut servir de pièce d’identité, mais seulement si les lois provinciales ou territoriales ne l’interdisent pas. Elles indiquent aussi que, même si le numéro d’assurance sociale (NAS) peut servir à vérifier l’identité d’un client, ce numéro ne doit être fourni à CANAFE dans aucun type de déclaration. Malgré cette consigne, nous avons constaté que des NAS et des numéros de carte santé apparaissaient dans certaines des déclarations présentées au CANAFE, et que ce dernier avait conservé ces renseignements.

29. CANAFE a mis en place un système de contrôle initial pour veiller à ce que tous les champs obligatoires des déclarations soient remplis lorsque celles-ci sont soumises électroniquement. Lorsque ces champs ne sont pas remplis, les déclarations sont retournées à l’entité déclarante. Toutes les autres déclarations et tous les autres documents sont acceptés, peu importe si le montant seuil est atteint ou s’il y a des motifs raisonnables de soupçonner des activités de recyclage de produits de la criminalité ou de financement d’activités terroristes. CANAFE a indiqué que, lorsque l’un de ses analystes s’aperçoit qu’une déclaration ne satisfait pas aux divers seuils de déclaration précisés dans la LRPCFAT, la déclaration est mise à l’écart. Toutefois, comme nous l’indiquions précédemment, nous avons trouvé un certain nombre de déclarations pour lesquelles CANAFE a été incapable de dire si le seuil de déclaration avait été atteint. Nous ne savons toujours pas dans quelle mesure les bases de données de CANAFE contiennent des déclarations de ce genre.

30. Même si CANAFE a affirmé qu’il avait l’obligation, en vertu de la LRPCFAT, de recevoir et de conserver les déclarations ou les renseignements qu’il a reçus, peu importe s’ils devaient être fournis ou pas, l’article 4 de la Loi sur la protection des renseignements personnels exige que les institutions fédérales limitent la collecte de renseignements à ceux qui ont un lien direct avec leurs programmes ou activités. En d’autres termes, les institutions ne devraient pas recueillir des renseignements dont elles n’ont pas besoin pour s’acquitter de leur mandat. De plus, selon la politique du Secrétariat du Conseil du Trésor, elles doivent démontrer qu’elles ont besoin de chaque renseignement personnel recueilli pour exécuter le programme ou l’activité. Compte tenu du volume et de la sensibilité des renseignements que CANAFE reçoit et recueille, nous nous attendons à ce qu’il s’assure que les renseignements sont pertinents et la collecte non excessive.

31. La LRPCFAT oblige CANAFE à analyser et à évaluer les déclarations qu’il reçoit. CANAFE a déclaré que son obligation à cet égard consiste à analyser et à évaluer les déclarations afin de déterminer s’il convient de communiquer l’information aux partenaires en matière d’application de la Loi ou de sécurité dans le cadre de la communication de renseignements financiers. Pour satisfaire à la fois aux exigences de la LRPCFAT et à celles de la Loi sur la protection des renseignements personnels, CANAFE doit analyser et évaluer les déclarations afin de s’assurer qu’il n’accepte ni ne conserve de renseignements qui ne correspondent pas aux paramètres et aux seuils établis dans la LRPCFAT. À moins qu’il n’y ait en place un processus à cette fin, CANAFE continuera de recevoir et de conserver des renseignements dont il n’a pas besoin ou dont il ne se sert pas dans le cadre de ses programmes ou activités.

32. Nous avons recommandé, en 2009, que CANAFE poursuive ses efforts en vue d’améliorer le processus de contrôle initial des déclarations et élabore un programme complémentaire de suivi et d’examen continus. CANAFE avait accepté cette recommandation. Comme peu de mesures ont été prises à ce chapitre, nous jugeons insatisfaisants les progrès accomplis par CANAFE pour donner suite à la recommandation concernant les déclarations excessives (voir la pièce C).

33. Recommandation : Pour satisfaire à la fois à ses obligations aux termes de la LRPCFAT et à celles qui lui incombent en vertu de la Loi sur la protection des renseignements personnels, CANAFE devrait analyser et évaluer les déclarations entrantes pour s’assurer qu’il reçoit et conserve seulement les renseignements qu’il est autorisé à recevoir en vertu de la Loi et dont il a besoin ou qu’il utilise dans le cadre d’un programme ou d’une activité en cours.

Réponse de CANAFE : CANAFE accepte la recommandation. Il respecte les obligations qui lui incombent en vertu de la LRPCFAT et de la Loi sur la protection des renseignements personnels, tout en s’acquittant de son mandat qui consiste à dépister et à prévenir le blanchiment d’argent et le financement d’activités terroristes, ainsi qu’à lutter contre ces activités. L’alinéa 54a) de la LRPCFAT prévoit que CANAFE a l’obligation de recueillir les rapports ou les déclarations qui lui sont transmis. En vertu des alinéas 54d) et 54e), CANAFE doit en outre conserver l’information contenue dans ces rapports ou déclarations pendant au moins 10 ans. Il reconnaît que les entités déclarantes indiquent parfois dans les déclarations des renseignements personnels qui ne devraient pas y figurer. CANAFE a mis en place un processus analytique qui lui permet de s’assurer que ces renseignements personnels ne sont pas utilisés à des fins d’analyse et, par conséquent, qu’ils ne sont pas communiqués aux partenaires des services de police, de l’application de la loi ou de la sécurité, comme l’a reconnu le Commissariat au paragraphe 53 du présent rapport.

En ce qui concerne les déclarations pour lesquelles le seuil de déclaration établi par la loi n’est pas atteint, un processus est en place pour les détruire conformément aux calendriers d’élimination de CANAFE. Celui-ci examinera ses calendriers à court terme pour s’assurer de l’évaluation et de la destruction des renseignements visés dès que cela est possible compte tenu de l’aspect pratique.

CANAFE passera en revue ses calendriers d’élimination, ce qui devrait être terminé à l’automne 2014.

34. Lorsqu’un Canadien, qu’il se trouve au pays ou à l’étranger, sait qu’un bien appartient à un terroriste ou à un groupe terroriste ou qu’il est contrôlé par ce dernier, il doit, en vertu du Code criminel, en informer la GRC ou le SCRS. Les entités assujetties à la LRPCFAT doivent aussi remplir une Déclaration de biens appartenant à un groupe terroriste (DBAGT) et la soumettre à CANAFE. Deux situations peuvent entraîner l’exigence de transmettre une DBAGT à CANAFE : a) le fait de savoir qu’un bien appartient à un terroriste ou à un groupe terroriste, ou est contrôlé par ce dernier ou en son nom; b) le fait de croire qu’un bien appartient à une personne dont le nom figure sur la liste des personnes désignées ou est contrôlé par celle-ci ou en son nom. Sécurité publique Canada et le Bureau du surintendant des institutions financières publient des listes des personnes et des groupes désignés qui sont des terroristes connus à des fins de vérification pour aider les entités à déterminer si elles doivent soumettre une déclaration.

35. Lors de notre vérification de 2009, nous avons constaté que près de la moitié des déclarations de biens appartenant à un groupe terroriste ont été produites en raison d’une « correspondance possible avec les listes d’entités terroristes inscrites ». Lorsque cette correspondance ne pouvait pas être confirmée, CANAFE ne poursuivait pas son analyse, mais les renseignements demeuraient dans sa base de données. La pratique habituelle consistait à conserver ces déclarations, peu importe si l’appartenance à un groupe terroriste était confirmée ou soupçonnée.

36. Nous avons examiné un échantillon des DBAGT transmises et, comme lors de notre vérification précédente, nous avons constaté qu’il y avait des cas où les déclarations avaient été soumises à CANAFE en raison d’une « correspondance possible avec les listes d’entités terroristes inscrites ». Comme nous l’indiquions en 2009, CANAFE conserve toutes ces déclarations et elles sont accessibles dans ses bases de données.

37. En 2009, nous avons recommandé que CANAFE consulte ses partenaires du renseignement pour mettre en place des procédures permettant, dans la mesure du possible, de confirmer l’appartenance à un groupe terroriste avant que les données contenues dans une déclaration ne soient conservées et utilisées à des fins d’analyse. Dans sa réponse, CANAFE a indiqué qu’il accueillait favorablement cette recommandation et qu’il s’engageait à dialoguer avec ses partenaires du renseignement afin d’explorer de nouvelles façons d’atténuer le risque associé à la conservation de renseignements après que l’appartenance des personnes concernées à un groupe terroriste a été infirmée.

38. CANAFE nous a indiqué qu’il demandait aux organismes d’application de la loi et de la sécurité de l’informer lorsque, dans le cadre de leurs enquêtes, ils confirmaient qu’une personne n’appartenait pas à un groupe terroriste. Lorsque cela se produit, CANAFE est avisé au moyen d’une déclaration de renseignements transmis volontairement (DRTV). Nous avons aussi été informés que, lorsqu’il est confirmé qu’une personne n’est pas un terroriste, la DRTV est marquée dans la base de données de CANAFE de façon à éviter qu’un analyste ne procède à une analyse approfondie sur la personne. Comme des efforts ont été déployés pour confirmer l’appartenance à un groupe terroriste, nous jugeons satisfaisants les progrès accomplis quant à notre recommandation (pièce C).

39. CANAFE a un programme de sensibilisation visant à fournir des directives aux entités déclarantes. Cela comprend la publication de lignes directrices, de bulletins d’interprétation et de brochures, la présentation d’ateliers annuels, ainsi qu’un centre d’appels et une adresse électronique pour répondre aux questions particulières et donner des éclaircissements sur les obligations liées à la LRPCFAT. Malgré ces efforts, notre vérification nous a permis de constater que les déclarations excessives demeurent un problème, en particulier pour ce qui est :

  • des déclarations concernant des opérations dont la valeur n’atteint pas le seuil de 10 000 $;
  • des déclarations d’opérations douteuses (DOD) qui ne démontrent pas l’existence de « motifs raisonnables de soupçonner » des activités de blanchiment d’argent ou de financement d’activités terroristes.

De plus, comme il en a été question dans notre vérification de 2009, CANAFE a reçu du public des déclarations de renseignements transmis volontairement pour lesquelles des soupçons d’activités de blanchiment d’argent ou de financement d’activités terroristes n’étaient pas apparents.

40. Recommandation : CANAFE devrait évaluer l’efficacité de ses programmes de sensibilisation et les renforcer au besoin afin d’atténuer le risque de recevoir des renseignements personnels qui dépassent les paramètres et les seuils précisés dans la LRPCFAT.

Réponse de CANAFE : CANAFE accepte la recommandation. Il évalue l’efficacité de son programme de sensibilisation et le renforce constamment grâce à des éléments additionnels ou revus qui détaillent les obligations des entités déclarantes aux termes de la LRPCFAT. Ce programme exhaustif de sensibilisation informe aussi les entités déclarantes des renseignements qu’elles ne sont pas tenues de déclarer à CANAFE. Voici un aperçu des moyens utilisés par ce dernier à des fins de sensibilisation, en plus des éléments énoncés :

  • Se doter d’une unité des entités déclarantes majeures chargée de gérer la relation de CANAFE avec les plus grandes entités déclarantes du secteur bancaire;
  • Tenir des consultations par secteur, notamment avec celui des coopératives de crédit, sur les directives concernant la mise en œuvre d’une approche fondée sur les risques et le règlement à venir sur la vigilance à l’égard des clients, ainsi qu’avec celui des entreprises de services monétaires (ESM), qui a demandé la publication de directives le concernant tout particulièrement;
  • Rendre disponibles, sur le site Web de CANAFE, de l’information par secteur sur les obligations des entités déclarantes, les lignes directrices officielles et les bulletins d’interprétation de CANAFE;
  • Participer aux réunions avec les associations de l’industrie, les organismes réglementaires et les partenaires en matière d’application de la loi, dont le Comité consultatif public privé qui se réunit deux fois par année.

Même si CANAFE sensibilise les entités déclarantes aux renseignements personnels qu’elles doivent transmettre, c’est à chacune d’entre elles qu’il incombe, en fin de compte, de ne pas envoyer de renseignements non exigés par la législation et la réglementation en vigueur. CANAFE convient qu’il faut régler cette question; par conséquent, il continuera d’appuyer le Commissariat dans ses efforts pour s’assurer que les entités déclarantes assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques satisfont aux exigences énoncées dans cette loi. Compte tenu de ce qui précède, CANAFE a donné suite à cette recommandation et continuera de le faire à l’avenir.

41. CANAFE offre des conseils aux entités déclarantes sur son site Web. Il a aussi collaboré avec le Commissariat à l’élaboration de documents d’orientation à l’intention des institutions financières sur la protection de la vie privée et la LRPCFAT. En outre, CANAFE reçoit régulièrement des demandes de renseignements de la part des entités déclarantes au sujet de l’interprétation et de l’application pratique de la LRPCFAT et de son règlement d’application. CANAFE élabore périodiquement un résumé des questions reçues des entités déclarantes du secteur financier et des réponses fournies, et les transmet à l’organisme de réglementation du secteur.

42. Nous avons vérifié si les documents d’orientation et les communications de CANAFE transmis aux organismes de réglementation et aux entités déclarantes étaient entièrement conformes à la LRPCFAT et à la Loi sur la protection des renseignements personnels. Ces documents sont importants car les entités déclarantes s’en servent pour respecter leurs obligations liées à la LRPCFAT.

43. Nous avons constaté qu’en répondant à une question d’une grande institution financière sur la présentation de documents justifiant une déclaration d’opérations importantes en espèces, CANAFE a reconnu que les renseignements en question n’auraient pas dû techniquement être inclus et qu’ils poseraient certainement un problème sur le plan de la protection de la vie privée. Il a néanmoins ajouté qu’il pourrait être utile d’avoir des renseignements supplémentaires sur l’opération à des fins de renseignement et d’analyse.

44. La réponse de CANAFE à l’institution financière indiquait que l’acquisition de renseignements additionnels non liés directement à ses programmes ou activités pouvait être utile à des fins de renseignement. Dans ce cas, CANAFE n’a pas découragé l’institution de déclarer des renseignements supplémentaires. Il y a donc un risque que l’entité déclarante en déduise que le message de CANAFE dans l’exemple ci-dessus s’applique à d’autres types de déclarations et de renseignements.

45. De plus, cette information risquait d’être diffusée à un grand nombre d’autres institutions du secteur financier. Étant donné que les déclarations soumises par les entités déclarantes du secteur financier représentent plus de 90 % des déclarations que reçoit CANAFE, le conseil transmis pourrait avoir une incidence considérable sur les fonds de renseignements de CANAFE en augmentant le risque de l’envoi de renseignements personnels non liés directement à ses programmes ou activités.

46. Même si cet exemple ne témoigne pas d’un problème systémique, nous avons soulevé la question auprès de CANAFE. Dans leur réponse, les représentants ont indiqué que pour diminuer le risque de fausse interprétation, CANAFE veillera à la clarté des documents sur la conformité qu’il diffuse.

Pièce C — Progrès accomplis en vue de donner suite aux recommandations formulées dans le rapport de vérification du Commissariat de 2009 en ce qui a trait au respect du Code de pratiques équitables en matière de gestion des renseignements personnels — Acquisition des renseignements
Recommandations découlant de la vérification de 2009 Progrès
CANAFE devrait travailler de concert avec les entités déclarantes afin de s’assurer qu’il n’obtient pas de renseignements personnels : 1) qu’il n’est pas autorisé à recevoir en vertu de la Loi; 2) dont il n’a pas besoin ou qu’il n’utilise pas. À cette fin, CANAFE devrait continuer d’améliorer le processus de contrôle initial des déclarations et élaborer un programme complémentaire de suivi et d’examen continus.

(La recommandation figure à la suite du paragraphe 60 dans le rapport de vérification de la commissaire à la protection de la vie privée (2009) portant sur le Centre d’analyse des opérations et déclarations financières du Canada.)
Insatisfaisants
CANAFE devrait consulter ses partenaires du renseignement pour faire en sorte que, dans la mesure du possible, l’appartenance à un groupe terroriste soit confirmée avant que les données soient conservées et utilisées à des fins d’analyse.

(La recommandation figure à la suite du paragraphe 65 dans le rapport de vérification de 2009.)
Satisfaisants
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Officialisation des critères de CANAFE relatifs à la communication de certains renseignements

47. En vertu de l’article 55 de la LRPCFAT, une fois que CANAFE a déterminé qu’il existe des motifs raisonnables de soupçonner que des renseignements seraient utiles à des fins d’enquête ou de poursuite relativement à une infraction de recyclage des produits de la criminalité ou de financement d’activités terroristes, il doit les communiquer aux forces policières compétentes. Aux termes de l’article 55.1, s’il a des motifs raisonnables de soupçonner que les renseignements désignés se rapportent à des menaces pour la sécurité du Canada, il doit les communiquer au SCRS.

48. CANAFE doit aussi communiquer les « renseignements désignés » (voir l’annexe 2) à l’Agence des services frontaliers du Canada (ASFC), au Centre de la sécurité des télécommunications Canada (CSTC) et à l’Agence du revenu du Canada (ARC) lorsqu’il a des motifs raisonnables de soupçonner qu’ils seraient utiles à des fins d’enquête ou de poursuite relativement à une infraction de recyclage des produits de la criminalité ou de financement d’activités terroristes, ainsi qu’à d’autres institutions gouvernementales nommées au paragraphe 55(3) de la LRPCFAT lorsque les renseignements concernés répondent aux critères particuliers établis pour celles-ci.

49. Lors de notre vérification de 2009, CANAFE travaillait à l’élaboration de critères permettant de repérer, en se fondant sur l’examen des opérations effectuées, les cas possibles d’évasion fiscale ou de non-paiement de droits imposés par une loi fédérale dont l’application relève du ministre du Revenu national, en vue de leur communication à l’ARC. Nous avons toutefois constaté qu’il n’existait pas de critères écrits permettant de cerner les cas pour lesquels le seuil de déclaration à l’ASFC ou au CSTC avait été atteint. Nous avions recommandé que CANAFE établisse une série de critères écrits permettant de déterminer si le seuil de communication à l’ASFC et au CSTC avait été atteint.

50. Pour évaluer les progrès accomplis à cet égard, nous avons obtenu une copie des lignes directrices écrites que CANAFE a élaborées en ce qui a trait à la communication de renseignements à l’ASFC, au CSTC et à l’ARC. Ces lignes directrices sont maintenant en place et énoncent les considérations et les critères dont il faut tenir compte avant de communiquer des renseignements désignés (voir l’annexe 2) aux organismes indiqués au paragraphe 55(3) de la LRPCFAT.

51. Par conséquent, nous jugeons satisfaisants les progrès accomplis en vue de donner suite à notre recommandation d’officialiser les critères pour ces types de communication de renseignements (voir la pièce D).

Pièce D — Progrès accomplis en vue de donner suite à notre recommandation relative au respect du Code de pratiques équitables en matière de gestion des renseignements personnels — Usage et communication des renseignements
Recommandation découlant de la vérification de 2009 Progrès
CANAFE devrait établir une série de critères par écrit permettant de déterminer si le seuil des communications à l’ASFC et au CSTC a été atteint.

(La recommandation figure à la suite du paragraphe 70 dans le rapport de vérification de 2009.)
Satisfaisants
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Les pratiques liées à l’utilisation et à la communication de renseignements sont conformes à la Loi

52. Les articles 7 et 8 de la Loi sur la protection des renseignements personnels régissent l’utilisation et la communication des renseignements personnels. En général, les institutions fédérales ne peuvent utiliser des renseignements personnels qu’aux fins auxquelles ils ont été recueillis ou à des usages compatibles avec ces fins. La Loi sur la protection des renseignements personnels limite également les circonstances dans lesquelles des renseignements personnels peuvent être communiqués sans le consentement de la personne concernée. Le pouvoir de CANAFE d’utiliser et de communiquer des renseignements est énoncé dans les articles 54 à 65.1 de la LRPCFAT.

53. Lors de notre vérification précédente, nous avons examiné un échantillon de dossiers, y compris des rapports d’analyse accompagnant des recommandations sur la communication de renseignements. Nous n’avons trouvé aucun élément indiquant que des renseignements personnels avaient servi à des fins autres que celles pour lesquelles ils avaient été recueillis ou à des usages non compatibles avec ces fins. De plus, nous avons établi que la communication de renseignements s’effectue dans des circonstances strictement contrôlées et conformément à la LRPCFAT.

54. Dans le cadre de notre vérification, nous avons examiné un échantillon de dossiers choisi à dessein. Comme ce fut le cas lors de notre vérification précédente, nous avons établi que la communication de renseignements avait eu lieu dans des circonstances contrôlées et conformément à la LRPCFAT.

Les pratiques actuelles continuent de contrevenir au principe de limitation de la conservation des renseignements

55. En vertu de la Loi sur la protection des renseignements personnels, la collecte de renseignements personnels doit avoir un lien direct avec un programme ou une activité d’une institution. La détermination de l’existence de ce lien repose sur le fondement législatif. La politique pertinente du Secrétariat du Conseil du Trésor prévoit par ailleurs que les institutions fédérales doivent pouvoir démontrer que chaque renseignement personnel recueilli est nécessaire à l’exécution du programme ou de l’activité indiqué.

56. Comme il est indiqué aux paragraphes 24 à 29 du présent rapport, CANAFE continue de recevoir et de conserver des renseignements qui dépassent les paramètres et les seuils indiqués dans la LRPCFAT. La conservation de renseignements personnels qui ne sont pas liés directement à un mandat est contraire à la Loi sur la protection des renseignements personnels, à la politique du Secrétariat du Conseil du Trésor et au principe de limitation de la conservation des renseignements. Elle représente un risque important pour la protection de la vie privée en rendant accessibles des renseignements qui n’auraient jamais dû être obtenus.

57. La politique de confidentialité de CANAFE indique que, conformément à l’alinéa 54d) de la LRPCFAT, ce dernier doit conserver toutes les déclarations reçues de la part des entités déclarantes, ainsi que tous les autres renseignements reçus ou recueillis, pendant au moins dix ans. CANAFE doit également supprimer tous les renseignements permettant d’identifier des individus contenus dans une déclaration qui n’a pas fait l’objet d’une communication quinze ans après la réception de cette dernière.

58. Lors de notre vérification de 2009, nous avions recommandé que CANAFE supprime de ses dossiers, et ce, de façon permanente, tous les renseignements qu’il n’était pas autorisé à recevoir en vertu des pouvoirs qui lui sont conférés par la Loi. Dans sa réponse, CANAFE avait accueilli favorablement la recommandation de supprimer les renseignements. Il avait toutefois indiqué que cela représentait un défi sur le plan technique. Il avait aussi mentionné qu’il travaillait à l’élaboration d’une stratégie et d’un plan de travail afin de donner suite aux recommandations le plus rapidement possible.

59. Pour évaluer les progrès accomplis, nous avons examiné des rapports d’élimination, des plans opérationnels ainsi que le niveau de mise en œuvre des projets de conservation et d’élimination, en plus d’interviewer des représentants de l’organisme. Nous avons constaté que CANAFE a élaboré un plan afin de repérer les renseignements et de les isoler ou de les retirer.

60. La première phase de ce projet consistait à repérer et à éliminer les déclarations qui n’avaient pas fait l’objet d’une communication et qui dataient d’au moins dix ans. En mars 2012, CANAFE a repéré manuellement ces déclarations pour la période allant du 10 février au 16 mars 2002, et a procédé à leur élimination. Aucune autre activité de retrait n’a eu lieu depuis. CANAFE a indiqué au Commissariat que le processus de repérage et d’élimination de ces déclarations serait automatisé pendant la deuxième phase du projet.

61. La deuxième phase en est présentement à l’étape de la planification et comprend la mise à l’écart des déclarations et des renseignements qui ne devraient pas se trouver dans les bases de données de CANAFE. Ce dernier nous a informés que les déclarations et les renseignements ne seraient pas détruits, mais plutôt conservés dans une base de données distincte qui ne sera pas accessible par les analystes.

62. CANAFE reconnaît qu’un très petit nombre de déclarations et de renseignements seront repérés dans le cadre de ce processus, qui sera mené manuellement, puisqu’il permettra de mettre à l’écart les déclarations et les renseignements accessibles dans le cadre du programme d’analyse et de communication seulement. Par conséquent, de nombreuses déclarations, y compris celles qui ne sont pas liées directement à un programme ou à une activité, demeureront accessibles pendant au moins 10 ans dans les fonds de données de CANAFE, soit jusqu’à ce qu’elles soient détruites conformément aux exigences d’élimination décrites précédemment.

63. Le plan de CANAFE , qui consiste à conserver les déclarations et les renseignements dans une base de données distincte, ne donne pas suite à notre recommandation de 2009. Des renseignements personnels que CANAFE n’aurait pas dû recevoir aux termes de la LRPCFAT et de la Loi sur la protection des renseignements personnels seront conservés dans ses bases de données. Par conséquent, nous jugeons insatisfaisants les progrès accomplis en vue de donner suite à notre recommandation concernant le principe de limitation de la conservation (voir la pièce E).

Pièce E — Progrès accomplis en vue de donner suite à notre recommandation relative au respect du Code de pratiques équitables en matière de gestion des renseignements personnels — Conservation et retrait des renseignements
Recommandation découlant de la vérification de 2009 Progrès
Afin de se conformer à la LRPCFAT et à la Loi sur la protection des renseignements personnels, CANAFE devrait supprimer de ses dossiers de façon permanente tous les renseignements qu’il ne pouvait recevoir en vertu d’une autorisation législative.

(La recommandation figure à la suite du paragraphe 79 dans le rapport de vérification de 2009.)
Insatisfaisants
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

64. Recommandation : CANAFE devrait repérer et supprimer les renseignements qu’il n’aurait pas dû recevoir et qui ne sont pas liés directement à ses programmes et activités.

Réponse de CANAFE CANAFE accepte la recommandation. Il a mis en place un processus pour le traitement des renseignements que les entités déclarantes n’auraient pas dû lui envoyer. Selon l’alinéa 54a) de la LRPCFAT, CANAFE doit recueillir les rapports ou déclarations qui lui sont transmis par les entités déclarantes. Les alinéas 54d) et 54e) établissent aussi les autorisations relatives à la conservation et au retrait de renseignements contenus dans les déclarations transmises. Or, même s’il est tenu de recevoir et de conserver ces renseignements, CANAFE a aussi mis en place un processus analytique bien défini qui fait en sorte que les renseignements personnels qui n’auraient pas dû être entrés dans les déclarations par les entités déclarantes ne sont pas utilisés à des fins d’analyse.

En ce qui concerne les déclarations qui n’atteignent pas le seuil établi par la loi, un processus est en place pour les détruire conformément aux calendriers d’élimination de CANAFE. Celui-ci examinera ses calendriers à court terme pour s’assurer de l’évaluation et de la destruction des renseignements visés de la façon la plus pratique possible.

CANAFE passera en revue ses calendriers d’élimination, ce qui devrait être terminé à l’automne 2014.

Il n’existe pas de politique de conservation pour certains documents

65. Nous avons constaté qu’il n’existe pas de politique de conservation pour les documents et les renseignements non visés par les dispositions sur la conservation et l’élimination énoncées dans la LRPCFAT, notamment les dossiers d’examen de conformité et les dossiers administratifs relatifs à l’analyse financière et à la communication (à l’exception des déclarations d’opérations financières).

66. La conservation et l’élimination de ces données sont gérés en conformité avec la Politique de gestion de l’information de CANAFE. Ce dernier négocie actuellement une autorisation de disposition des documents (ADD) avec Bibliothèque et Archives Canada (BAC) concernant l’archivage et la disposition des dossiers opérationnels. Par conséquent, il est impossible de mettre en œuvre une politique de conservation et de disposition tant que les modalités n’ont pas été officialisées avec Bibliothèque et Archives Canada.

67. Recommandation : CANAFE devrait : a) conclure une entente avec BAC au sujet des modalités relatives au transfert de ses documents d’archives; b) mettre en œuvre une politique officielle de conservation et de disposition de l’information et des documents dont la période de conservation et de disposition n’est pas explicitement prévue par la LRPCFAT.

Réponse de CANAFE : CANAFE accepte la recommandation. Au sujet du volet a), il collaborera avec BAC pour conclure une entente. Toutefois, il convient de noter que CANAFE et BAC en sont venus à une entente, à l’automne 2012, sur les modalités requises pour l’obtention par CANAFE d’une autorisation de disposition des documents (ADD). CANAFE a signé les modalités, qui ont été envoyées à BAC pour signature et approbation. Depuis, les processus de BAC à l’égard de la délivrance des ADD ont été modifiés; une révision additionnelle est donc en cours pour que l’autorisation de disposition des documents finale rende bien compte du nouveau processus.

Au sujet du volet b), CANAFE travaille activement avec les intervenants internes et avec BAC à l’établissement des calendriers de disposition des documents, qui seront conformes à la Directive sur la tenue de documents du Conseil du Trésor. CANAFE tient à préciser que toutes les déclarations sauvegardées dans sa base de données continueront d’être assujetties au calendrier de 15 ans prévu par la LRPCFAT, période après laquelle le CANAFE est tenu de supprimer les renseignements d’identification contenus dans les déclarations d’opérations financières n’ayant pas fait l’objet d’une communication.

CANAFE s’engage à travailler avec BAC pour conclure une entente, établir les calendriers de disposition des documents et rédiger les politiques nécessaires. L’échéancier de réalisation de cet engagement dépend de BAC.

Protection des renseignements personnels

68. La protection des renseignements personnels constitue un élément clé pour satisfaire aux exigences de la Loi sur la protection des renseignements personnels. Les mesures et les contrôles appropriés garantissent que les données personnelles ne seront pas utilisées, communiquées, modifiées ou détruites sans autorisation.

69. La Politique du gouvernement sur la sécurité (PGS) du Secrétariat du Conseil du Trésor, qui prévoit des mesures pour protéger et préserver la confidentialité et l’intégrité des actifs gouvernementaux, y compris les renseignements personnels, établit les exigences de base (obligatoires) en matière de sécurité. Les ministères et organismes fédéraux sont tenus, en vertu de cette Politique, d’effectuer leur propre évaluation pour déterminer si des mesures de protection allant au-delà des exigences de base sont nécessaires. La PGS préconise aussi la surveillance continue des menaces potentielles afin que des mesures de sécurité adéquates soient maintenues.

70. Nous nous attendions à constater que CANAFE avait mis en place une solide infrastructure de la sécurité physique, un processus d’enquête sur la sécurité du personnel, ainsi qu’un cadre de gestion globale de la sécurité des technologies de l’information (TI) pour protéger les renseignements personnels qu’il recueille ou reçoit. Nous avons examiné les politiques, les procédures, les évaluations des risques et les contrôles d’accès. Nous avons aussi effectué des inspections physiques des installations de l’administration centrale et des bureaux régionaux.

71. Sécurité physique. Nous avons constaté que CANAFE utilise des mécanismes de protection tels que des alarmes, des caméras et des gardiens afin de sécuriser ses installations et ses biens. Les renseignements de nature délicate sont stockés, et les opérations se déroulent dans des zones d’accès réservé. Une politique en matière de rangement du bureau est appliquée au moyen de ratissages de sécurité périodiques; les infractions sont enregistrées et signalées à l’agent de sécurité du ministère.

72. Sécurité personnelle. Nous avons constaté que CANAFE a établi des processus relatifs à l’attribution, au retrait et à la modification de l’accès aux biens pour les nouveaux employés et ceux qui quittent l’organisme, y compris ceux qui sont en congé prolongé ou qui changent de rôle au sein de l’organisation. Nous avons examiné un échantillon de dossiers de sécurité d’employés actuellement en service et d’anciens employés, d’entrepreneurs et d’étudiants, et nous avons conclu que les enquêtes de sécurité sur le personnel et les processus de cessation d’emploi sont conformes à la politique.

73. Applications et systèmes de TI. Nous avons constaté que CANAFE dispose d’une solide infrastructure de sécurité des TI pour protéger ses réseaux et ses applications. Cela comprend la sécurité du périmètre, la séparation des réseaux ainsi que des contrôles d’accès stricts. Les mesures de contrôle physique et technique sont assorties de divers processus complémentaires, notamment l’évaluation des risques et de la vulnérabilité ainsi que les mesures de correction appropriées, la réaction aux incidents, la gestion du changement et un programme bien établi de certification et d’accréditation. Conformément à la politique du Secrétariat du Conseil du Trésor, la certification permet de vérifier que les exigences de sécurité obligatoires concernant un système de TI sont appliquées. Elle permet aussi de vérifier que les mesures de contrôle et de protection des données fonctionnent comme prévu. L’accréditation signifie que la direction a autorisé la mise en service du système et qu’elle a accepté les risques résiduels.

Amélioration de la gestion des évaluations de la sécurité et de la menace et des risques

74. Dans notre vérification précédente, nous avons observé que CANAFE avait embauché des tiers pour effectuer une évaluation de la sécurité physique et une évaluation de la menace et des risques (EMR). Même si CANAFE a démontré que les problèmes relevés lors de ces évaluations avaient été réglés, nous avons constaté, en 2009, que les documents faisant état des mesures prises pour remédier aux lacunes n’étaient pas joints aux rapports d’évaluation pertinents, et que les rapports omettaient de confirmer que les recommandations et les constatations avaient été analysées et acceptées par la haute direction.

75. Nous avions recommandé que CANAFE s’assure que toutes les mesures prises pour donner suite aux observations formulées dans les EMR ou les évaluations de la sécurité soient jointes au dossier. De plus, la direction devait, en signant le document pertinent, reconnaître et accepter officiellement les risques indiqués dans ces évaluations.

76. Pour évaluer les progrès accomplis, nous avons examiné le répertoire de recommandations relatives à la sécurité, les rapports sur l’état d’avancement présentés à la haute direction, les comptes rendus de décisions, les rapports de certification et les lettres d’accréditation. Nous avons aussi tenu des réunions avec les responsables de la sécurité de CANAFE.

77. Nous avons constaté que CANAFE a accompli des progrès satisfaisants à l’égard de cette recommandation. Il a mis en place un processus de surveillance afin de documenter tous les aspects des examens de la sécurité et des EMR; de plus, il suit les progrès accomplis dans l’application de toutes les recommandations. CANAFE s’affairait à mettre en œuvre des procédures de gestion des observations mises en relief dans les examens de la sécurité et les EMR. Ces procédures indiquent à qui incombent la responsabilité et l’obligation de rendre des comptes en ce qui a trait à l’application des recommandations. Elles prévoient aussi un processus pour vérifier l’acceptation des risques résiduels par la haute direction.

78. Par conséquent, nous jugeons satisfaisants les progrès accomplis en vue de donner suite à notre recommandation concernant la gestion des observations provenant des évaluations de la sécurité (voir la pièce F).

Pièce F — Progrès accomplis en vue de donner suite à nos recommandations sur la protection des renseignements personnels
Recommandations découlant de la vérification de 2009 Progrès
CANAFE devrait s’assurer que toutes les mesures prises pour donner suite aux observations formulées dans les EMR ou les évaluations de la sécurité soient jointes au dossier. De plus, la direction devrait, en signant le document pertinent, reconnaître et accepter officiellement les risques indiqués dans ces évaluations.

(La recommandation figure à la suite du paragraphe 18 du rapport de vérification de 2009.)
Satisfaisants
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Les procédures de sécurité ne sont pas toujours suivies

79. La politique sur la sécurité de CANAFE définit les articles à usage restreint comme étant ceux qui pourraient constituer une menace à la sécurité de ses biens. CANAFE a fourni des documents et a confirmé que tous les appareils électroniques, comme les téléphones cellulaires non autorisés, sont interdits dans les zones d’accès restreint de CANAFE et doivent être laissés à la réception. CANAFE a aussi confirmé que les entrepreneurs doivent être escortés en tout temps. Nous nous attendions à ce qu’on respecte entièrement ces exigences en matière de sécurité.

80. Toutefois, lors de notre visite à l’un des bureaux régionaux, nous avons observé qu’un entrepreneur n’était pas escorté pendant son travail et avait un accès sans restriction à une zone d’accès réservé. Nous avons aussi observé que l’entrepreneur utilisait son téléphone cellulaire à l’intérieur de cette zone de travail, ce qui, comme nous l’indiquions précédemment, est interdit selon la politique sur la sécurité de CANAFE.

81. En préparation d’un examen devant avoir lieu dans les bureaux d’une entité déclarante, les agents de conformité peuvent devoir extraire des renseignements des bases de données de CANAFE. Ils peuvent aussi consigner des données provenant de dossiers de l’entité déclarante pendant l’examen sur place. Les agents disposent d’ordinateurs portatifs cryptés à ces fins. CANAFE a établi une politique sur l’utilisation des ordinateurs portatifs, ainsi que sur la gestion de l’information tirée des bases de données analytiques de CANAFE en vue d’un examen sur place. La politique fait état des types de renseignements qui peuvent être stockés sur l’ordinateur portatif et comprend des lignes directrices sur la protection de l’ordinateur portatif à l’extérieur du bureau. Selon la politique, de l’information tirée des bases de données analytiques peut sortir des bureaux de CANAFE pourvu qu’elle ne contienne pas de renseignements personnels et qu’elle soit adéquatement protégée.

82. CANAFE nous a indiqué que sa politique interdit l’utilisation de dispositifs de stockage portatifs (clés USB). Celle-ci est conforme aux lignes directrices émises par le Centre de la sécurité des télécommunications Canada. Lorsque des renseignements personnels sont transportés sur des dispositifs de stockage portatifs, il y a un risque qu’ils soient consultés sans autorisation. Au cours de la vérification, nous avons été témoins d’un telle atteinte. Une mallette contenant l’ordinateur portatif et la clé USB non cryptée d’un agent de conformité a été volée alors qu’elle se trouvait dans le coffre d’une voiture. Cette atteinte a eu une incidence sur 777 personnes. Les renseignements personnels de 295 de ces personnes étaient stockés sur la clé USB non cryptée ou apparaissaient sur des documents papier.

83. Recommandation : CANAFE devrait mettre en œuvre des mesures pour s’assurer que tous les membres de son personnel connaissent bien ses politiques en matière de sécurité et de confidentialité, afin d’être en mesure de protéger les renseignements personnels, de même que leur obligation de s’y conformer en tout temps.

Réponse de CANAFE : CANAFE accepte la recommandation. Il a mis en place des politiques distinctes sur la protection de la vie privée, la sécurité et la gestion de l’information, qui font partie de son cadre de protection de la vie privée. Ce cadre peut être consulté par tous les employés sur l’intranet de CANAFE. En outre, le Code de conduite, de valeurs et d’éthique mis à jour de CANAFE est entré en vigueur en juin 2012 et fait expressément référence à la protection des renseignements personnels, à la Loi sur la protection des renseignements personnels et aux politiques de CANAFE en matière de protection de la vie privée, de sécurité et de gestion de l’information. CANAFE joint à chaque lettre d’offre un document sur les conditions d’emploi qui comprend notamment l’exigence de lire et d’accepter, en apposant sa signature, le Code de conduite, de valeurs et d’éthique de CANAFE. L’acceptation du Code, ainsi que le respect des valeurs, des comportements attendus et des responsabilités qui y sont décrits, est une condition d’emploi pour tous les employés de CANAFE. Tous les ans, on rappelle aux employés leurs obligations à l’égard du Code. Enfin, CANAFE a donné une formation obligatoire sur ses programmes de sécurité à tous ses employés à l’hiver 2013.

En raison des mesures déjà en place, CANAFE a donné suite à cette recommandation.

Programme de gestion de la protection de la vie privée

84. Un programme de gestion de la protection de la vie privée est un ensemble de structures, de politiques, de procédures et de processus qui permettent à une institution fédérale de s’acquitter de ses obligations en vertu de la Loi sur la protection des renseignements personnels. Les éléments de base d’un tel programme comprennent une gouvernance efficace, des responsabilités claires, un protocole en cas d’atteinte à la protection des renseignements personnels, un processus pour le recensement et la gestion des risques pour la vie privée et des activités de formation.

85. Au cours de notre vérification précédente, nous nous sommes penchés sur les structures, les politiques, les systèmes et les processus utilisés par CANAFE pour attribuer les responsabilités en matière de protection des renseignements personnels, coordonner les travaux dans ce domaine, gérer les risques qui menacent ces renseignements et assurer le respect de la Loi sur la protection des renseignements personnels.

86. Nous avons constaté que CANAFE avait mis en place certains éléments d’un programme de gestion de la protection de la vie privée. Nous avons cependant relevé des lacunes dans les domaines de la gouvernance et de la reddition de comptes en matière de protection des renseignements personnels, de la gestion des risques et de la formation du personnel.

87. Pour combler ces lacunes, nous avons recommandé que CANAFE désigne un chef de la protection des renseignements personnels, que toutes les initiatives exigeant une évaluation des facteurs relatifs à la vie privée soient repérées et fassent l’objet de rapports et d’un suivi, que CANAFE se conforme aux attentes en matière de signalement des atteintes à la protection des renseignements personnels énoncées par le Secrétariat du Conseil du Trésor, et que CANAFE veille à ce que les employés qui traitent des renseignements personnels ou qui ont des responsabilités en matière de protection de la vie privée reçoivent une formation adéquate. Pour évaluer les progrès accomplis, nous avons examiné la structure de gouvernance en matière de protection des renseignements personnels de CANAFE, ainsi que ses programmes de gestion des risques et de formation. Nous avons également interviewé des fonctionnaires de l’administration centrale et des régions.

Établissement des responsabilités liées à la conformité aux exigences en matière de protection des renseignements personnels

88. Au milieu de l’année 2010, CANAFE a nommé un chef de la protection des renseignements personnels (CPRP). L’organisme a en outre créé un Comité sur la protection des renseignements personnels, qui est présidé par le CPRP. Le rôle du CPRP est d’agir comme chef de file stratégique en matière de protection de la vie privée et de surveiller les activités liées à la protection de la vie privée au sein de CANAFE. Les objectifs du Comité consistent notamment à assurer une approche coordonnée à l’égard des questions liées à la protection des renseignements personnels, y compris la mise en œuvre des recommandations découlant de la vérification du Commissariat, et le renforcement de la sensibilisation à la protection de la vie privée à l’échelle de CANAFE.

Officialisation du processus de détermination des risques liés à la protection de la vie privée

89. La Directive sur l’évaluation des facteurs relatifs à la vie privée (EFVP) du Secrétariat du Conseil du Trésor (SCT), qui est entrée en vigueur le 1er avril 2010, est conçue pour faire en sorte que les principes s’appliquant à la protection des renseignements personnels soient pris en considération pour tous les programmes et services nouveaux ou restructurés en profondeur ayant des répercussions sur la protection de la vie privée. CANAFE a établi une liste de contrôle portant sur les facteurs relatifs à la vie privée, qui doit être remplie au cours de l’étape de la conception de tout projet, ainsi qu’une procédure d’approbation des évaluations des facteurs relatifs à la vie privée. Ces deux éléments aident à évaluer le niveau des répercussions qu’un programme peut avoir sur la vie privée d’une personne, et ils fournissent des directives sur l’élaboration d’EFVP. Ainsi, le processus d’EFVP de CANAFE répond aux exigences de base du SCT.

Parachèvement des lignes directrices sur les atteintes à la protection de la vie privée

90. Au cours de notre vérification précédente, nous avions constaté que la Politique sur la sécurité de CANAFE comportait une section sur les procédures à suivre en cas d’atteinte à la sécurité. Or, ces procédures n’indiquaient pas expressément les étapes à suivre dans le cas des incidents qui impliquaient aussi la collecte, l’utilisation, la communication ou la suppression inappropriée de renseignements personnels. CANAFE a mis à jour sa Politique sur la protection des renseignements personnels afin de combler cette lacune. La politique de CANAFE comprend donc maintenant de l’information supplémentaire sur la façon d’intervenir en réponse à une atteinte à la sécurité ayant une incidence sur le droit à la vie privée des particuliers.

91. CANAFE a élaboré des lignes directrices sur les incidents relatifs aux atteintes à la vie privée qui fournissent aux employés de l’information sur ce qui constitue un renseignement personnel et un incident d’atteinte à la vie privée, les mesures à prendre en cas d’atteinte à la vie privée, les rôles et responsabilités à cet égard, ainsi que la façon de prévenir les atteintes à la vie privée. Nous avons examiné les lignes directrices et constaté qu’elles sont conformes aux recommandations sur le signalement des atteintes à la vie privée énoncées par le SCT.

Amélioration de la formation de sensibilisation à la protection de la vie privée

92. Au cours de notre vérification précédente, nous avions constaté qu’une formation de sensibilisation à la protection de la vie privée et à la sécurité était offerte à tous les employés dans le cadre du programme d’orientation de CANAFE. Nous avions également constaté que CANAFE abordait les questions liées à la protection des renseignements personnels de diverses façons, notamment au moyen de fiches d’information et d’une vidéo en ligne. Toutefois, nous avions remarqué que la formation ne comportait pas assez d’information sur les principes fondamentaux relatifs à la protection de la vie privée pour permettre aux employés de prendre connaissance de leurs obligations en vertu de la Loi sur la protection des renseignements personnels.

93. Pour évaluer les progrès accomplis, nous avons examiné le contenu des programmes de formation et de sensibilisation de CANAFE et nous avons interviewé le personnel qui participe à l’élaboration et à la prestation de ces programmes. Nous avons également interviewé les employés des bureaux régionaux afin de déterminer dans quelle mesure ils sont sensibilisés à leurs obligations en matière de protection des renseignements personnels.

94. Nous avons constaté que la Politique sur la protection des renseignements personnels de CANAFE a été mise à jour et distribuée à tous les employés. Le programme d’orientation des nouveaux employés comprend aussi une section sur la protection des renseignements personnels, qui indique que les employés doivent connaître les exigences énoncées dans la Politique sur la protection des renseignements personnels de CANAFE et qui souligne les conséquences du non-respect de ces exigences. La formation de sensibilisation à la sécurité et à la gestion de l’information, qui comporte un module sur la protection des renseignements personnels, a également été mise à jour et est obligatoire pour tous les employés.

95. Les employés interviewés ont déclaré que la protection des renseignements personnels et la sécurité avaient été abordées peu de temps après leur entrée en fonction à CANAFE, dans le cadre de leur orientation. La plupart d’entre eux ont cependant indiqué qu’ils avaient reçu une formation sur la sécurité, mais qu’ils n’avaient pas reçu de formation officielle sur les principes fondamentaux relatifs à la protection de la vie privée. Ils ont également indiqué qu’ils n’étaient pas au courant que des lignes directrices sur les atteintes à la protection de la vie privée avaient été élaborées et qu’ils ne savaient pas vraiment ce qui constitue une atteinte à la vie privée. À la suite de nos entrevues, le Code de conduite, de valeurs et d’éthique de CANAFE a été distribué à tous les employés. Ce document porte notamment sur la protection des renseignements personnels, la Loi sur la protection des renseignements personnels et la Politique sur les renseignements personnels de CANAFE. Nous avons constaté que tous les employés étaient tenus de lire le Code et de l’accepter en tant que condition d’emploi.

96. Compte tenu des mesures prises par CANAFE pour donner suite aux quatre volets de la recommandation de 2009, nous jugeons que les progrès accomplis en ce qui a trait à cette recommandation sont satisfaisants (voir la pièce G).

Pièce G — Progrès accomplis en vue de donner suite aux quatre volets de la recommandation de 2009 sur le programme de gestion de la protection de la vie privée
Recommandations découlant de la vérification de 2009 Progrès
Pour renforcer son cadre de gestion de la protection de la vie privée, CANAFE devrait :
  • nommer un cadre supérieur à titre de chef de la protection des renseignements personnels qui agira comme chef de file stratégique en matière de protection de la vie privée et qui surveillera et coordonnera les activités liées à la protection de la vie privée;
  • veiller à ce que toutes les initiatives et tous les programmes qui exigent une évaluation des facteurs relatifs à la vie privée soient ciblés, enregistrés et comptabilisés;
  • finaliser et mettre en œuvre des lignes directrices sur les incidents relatifs à la protection de la vie privée pour se conformer aux attentes en matière de signalement des atteintes à la vie privée énoncées par le Secrétariat du Conseil du Trésor;
  • étendre les initiatives de sensibilisation à la sécurité pour veiller à ce que les employés qui traitent des renseignements personnels ou ont des responsabilités en matière de protection de la vie privée reçoivent une formation particulière sur les principes fondamentaux de la protection de la vie privée et les exigences liées à l’analyse des facteurs relatifs à la vie privée.
Satisfaisants
(La recommandation figure à la suite du paragraphe 96 du rapport de vérification de 2009.)
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que la recommandation a été formulée.

Mandat de conformité de CANAFE

97. En plus de ses fonctions d’analyse et de communication, CANAFE exécute un programme de conformité dans le cadre duquel il s’assure que les entités déclarantes se conforment aux obligations énoncées dans la LRPCFAT et son règlement d’application.

Le manque d’uniformité des pratiques en matière de minimalisme des données continue de poser problème

98. Le minimalisme des données, qui consiste à limiter la collecte de renseignements personnels à ce qui est strictement nécessaire à l’atteinte d’un objectif précis, constitue un élément fondamental de la législation en matière de protection des données. Cette pratique atténue les risques d’atteinte à la protection des renseignements personnels.

99. Au cours de notre vérification précédente, nous avions trouvé des cas où la conservation par CANAFE de certains types de documents ne correspondait pas à un besoin démontré lié à ses obligations en vertu de la Loi. Nous avions remarqué que certains dossiers d’examen comprenaient des renseignements personnels très détaillés qui ne semblaient pas être nécessaires à l’établissement de conclusions. Nous avons donc recommandé que CANAFE respecte le principe de minimalisme des données.

100. Pour évaluer les progrès accomplis, nous avons examiné un échantillon choisi à dessein de dossiers d’examen de la conformité de CANAFE, examiné les politiques et les procédures internes de l’organisme et interviewé des agents de conformité en poste dans les régions ainsi que des représentants de l’administration centrale.

101. En juillet 2009, CANAFE a adopté une politique en vertu de laquelle tous les documents provenant des entités déclarantes doivent être numérisés, et les documents papier originaux, détruits. En raison du volume accru d’examens de la conformité, CANAFE a diffusé, en juin 2011, une directive à l’intention du personnel responsable de la conformité indiquant que seuls les dossiers ou documents nécessaires pour appuyer des lacunes doivent être numérisés, et que tous les autres peuvent être détruits.

102. CANAFE n’a pas mis à jour les politiques et procédures pertinentes afin de rendre officiellement compte du contenu de la directive de juin 2011, qui est mentionnée dans le paragraphe précédent. Nous avons relevé des différences en ce qui a trait à l’application de la politique et de la directive sur la numérisation par les différents bureaux régionaux. Les documents papier originaux n’étaient pas déchiquetés après avoir été numérisés ni après la fermeture du dossier d’examen, et ils étaient conservés dans les dossiers pendant des périodes variables après avoir été numérisés.

103. Les fonctionnaires de CANAFE ont indiqué qu’aucun critère ou directive n’a été élaboré pour aider les agents de conformité à déterminer quels documents sont considérés comme « pertinents » pour appuyer les lacunes.

104. Nous avons également constaté un manque d’uniformité en ce qui a trait aux approches utilisées pour la collecte et la reproduction des renseignements permettant d’identifier une personne dans les copies de travail des rapports et des dossiers. Par exemple, des agents de conformité ont indiqué dans leurs rapports de travail qu’un numéro d’assurance sociale (NAS) ou un numéro de carte santé avait été utilisé pour identifier une personne, tandis que d’autres agents ont pris en note les numéros en question et ont photocopié les cartes d’identité. Nous avons observé que ces identificateurs personnels et d’autres ont été pris en note ou photocopiés dans des cas où ils n’appuyaient aucune lacune.

105. Nous avons examiné un échantillon aléatoire choisi à dessein de dossiers d’examen de la conformité et nous avons trouvé des cas où la conservation de certains types de documents ne pouvait être justifiée par aucun besoin démontré. Des exemples sont présentés dans la pièce H.

Pièce H – Exemples de renseignements personnels conservés inutilement dans les dossiers de conformité :

  • Renseignements sur les exécuteurs testamentaires, dossiers d’impôt de personnes décédées, dossiers médicaux, actes de décès;
  • Photocopies de documents d’identification, comme les permis de conduire, les passeports, les numéros d’assurance sociale et renseignements personnels de tiers n’ayant aucun rapport avec les lacunes;
  • Rapports de solvabilité;
  • Dossiers de formation des employés;
  • Copies de travail de vérifications du Centre d’information de la police canadienne (CIPC) provenant de la base de données d’enregistrement des entreprises de services monétaires comportant des renseignements personnels non expurgés.

106. Par conséquent, nous jugeons que les progrès accomplis en ce qui a trait à notre recommandation sur le minimalisme des données sont insatisfaisants (voir la pièce I).

Pièce I — Progrès accomplis en vue de donner suite à la recommandation de notre rapport de vérification de 2009 sur le mandat de conformité de CANAFE — minimalisme des données
Recommandations découlant de la vérification de 2009 Progrès
Conformément aux pratiques exemplaires en matière de protection de la vie privée, nous encourageons CANAFE à respecter le principe de minimalisme des données dans l’exécution de ses activités de conformité.

(La recommandation figure à la suite du paragraphe 103 dans le rapport de vérification de 2009.)
Insatisfaisants
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

107. Recommandation : Afin de respecter les pratiques exemplaires en matière de protection de la vie privée et d’assurer la mise en place d’approches uniformes en matière de minimalisme des données par les agents de la vérification de la conformité, CANAFE devrait mettre à jour ses politiques et procédures de façon à définir clairement ce que les agents de conformité devraient enregistrer et conserver dans les dossiers de conformité pour appuyer les lacunes.

Réponse de CANAFE : CANAFE accepte la recommandation. Il a mis en place une politique sur les renseignements que les agents de conformité devraient prendre en note et conserver. Cette politique a été communiquée à tous les agents de conformité en juin 2011. Elle prévoit ce qui suit : « Seuls les dossiers ou documents utilisés pour étayer les infractions doivent être balayés; tous les autres dossiers et documents peuvent être détruits. Cependant, il faut indiquer clairement dans les notes d’examen les types de dossiers reçus » Depuis sa mise en œuvre, la politique est devenue une pratique courante et elle continue de faire partie intégrante du processus d’examen. Elle est également communiquée à tous les nouveaux agents de conformité de façon continue, dans le cadre de la formation régionale sur les examens. De plus, CANAFE est en train de renforcer davantage ses politiques et procédures en ce qui concerne le traitement de l’information sur les entités déclarantes. Les politiques et procédures mises à jour énonceront clairement que tous les documents papier officiels qui sont liés à des lacunes/manquements en matière de conformité doivent être numérisés et que les documents qui ne sont pas liés à des lacunes/manquements en matière de conformité devront être éliminés. Les procédures mises à jour exigeront également que l’information à l’appui des lacunes/manquements soit numérisée sur place au moyen de numériseurs portables.

CANAFE s’engage à parachever la mise à jour de la politique sur la numérisation, la conservation et l’élimination des documents d’examen, ce qui devrait être terminé d’ici la fin de 2013.

Le programme d’assurance de la qualité ne comporte pas de volet lié à la protection de la vie privée

108. À la fin de 2010, CANAFE a mis en œuvre un programme d’assurance de la qualité (AQ) afin de se pencher sur la présence et le contenu des principaux éléments des dossiers d’examen de la conformité de CANAFE. Ce programme était axé sur la fonction d’examen de la conformité.

109. Nous nous attendions à ce que le programme d’AQ comporte un examen visant à déterminer si les renseignements personnels reçus et recueillis par les agents de conformité sont nécessaires pour justifier les lacunes constatées dans le cadre des examens de la conformité. Nous avons examiné les évaluations d’AQ et les autres documents pertinents, et interviewé des agents participants et des fonctionnaires de l’administration centrale. À la lumière de nos entrevues et de nos examens des dossiers, nous avons constaté que le programme d’assurance de la qualité ne comporte aucun volet visant à vérifier si les agents de la vérification de la conformité acquièrent ou conservent des renseignements personnels inutiles, comme ceux dont il est question à la pièce H.

110. Recommandation : CANAFE devrait inclure un volet de surveillance de la conformité aux exigences relatives à la protection de la vie privée dans son programme d’AQ afin de déterminer si les renseignements recueillis et conservés lors de la réalisation des examens de la conformité sont limités aux renseignements nécessaires aux fins de la conformité à la Loi.

Réponse de CANAFE : CANAFE accepte la recommandation. Le programme d’examen de la conformité de CANAFE vise déjà à réduire au minimum la quantité de renseignements recueillis afin d’évaluer adéquatement la conformité d’une entité déclarante. Dans le cadre d’initiatives d’amélioration continue, CANAFE travaille actuellement à la modernisation de son programme d’examen. Les améliorations prévues permettront de faire en sorte que les renseignements conservés se limitent qu’à ce qui est nécessaire pour documenter adéquatement la non-conformité relevée lors d’un examen.

CANAFE s’engage à parachever la mise à jour des politiques et procédures relatives au programme de conformité, ce qui devrait être terminé d’ici la fin de 2013.

Des efforts supplémentaires sont nécessaires pour s’assurer que le consentement est valable

111. Lorsqu’une entité déclarante se trouve dans un lieu de résidence, CANAFE doit obtenir le consentement avant de procéder à la visite du lieu dans le cadre d’un examen de la conformité. Autrement, il doit obtenir un mandat en vertu du paragraphe 63(2) de la LRPCFAT. Le formulaire « Autorisation de pénétrer dans une maison d’habitation à des fins d’examen » demande non seulement le consentement (pour que CANAFE puisse entrer), mais aussi le nom, le sexe, la date de naissance et l’adresse de la personne. Pour que le consentement soit valable, les fins visées pour la collecte de ces renseignements personnels doivent être énoncées de façon à ce que la personne puisse bien comprendre de quelle manière les renseignements seront utilisés ou communiqués.

112. Lors de notre vérification de 2009, nous avons constaté que le formulaire de consentement n’indiquait pas si le consentement pouvait être refusé ou les conséquences d’un tel refus. De plus, le formulaire de consentement n’indiquait ni l’objet de la collecte de la date de naissance, ni l’utilisation qui en serait faite, notamment pour confirmer l’identité d’une personne et pour effectuer une vérification des antécédents criminels.

113. Nous avions recommandé que CANAFE modifie le formulaire afin d’y indiquer l’autorisation législative en vertu de laquelle l’information est recueillie, l’objet de la collecte et l’utilisation qui sera faite de l’information.

114. Bien que CANAFE ait modifié le formulaire, la version révisée n’indique toujours pas l’objet de la collecte ni l’utilisation qui sera faite de la date de naissance de la personne concernée.

115. Par conséquent, nous jugeons que les progrès accomplis en ce qui a trait à notre recommandation concernant le formulaire de consentement sont insatisfaisants (voir la pièce J).

Pièce J — Progrès accomplis en vue de donner suite à la recommandation de notre rapport de vérification de 2009 sur le mandat de conformité de CANAFE — formulaire de consentement
Recommandations découlant de la vérification de 2009 Progrès
Le formulaire « Autorisation de pénétrer dans une maison d’habitation à des fins d’examen » devrait être modifié afin d’indiquer le pouvoir en vertu duquel l’information est recueillie, l’objet de la collecte et l’utilisation qui sera faite de l’information.

(La recommandation figure à la suite du paragraphe 107 du rapport de vérification de 2009.)
Insatisfaisants
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

116. Recommandation : Le formulaire « Autorisation de pénétrer dans une maison d’habitation à des fins d’examen » devrait être modifié afin d’indiquer l’objet de la collecte et l’utilisation qui sera faite de la date de naissance demandée.

Réponse de CANAFE : CANAFE accepte la recommandation. L’objet de la collecte de la date de naissance au moyen du formulaire « Autorisation de pénétrer dans une maison d’habitation à des fins d’examen » est de vérifier l’identité de la personne qui réside dans la maison d’habitation.Le formulaire a été mis à jour afin de faire état de l’objet de la collecte de tels renseignements, et la version mise à jour est utilisée depuis le 22 mai 2013.

Le processus révisé atténue les risques liés à la transmission des renseignements personnels

117. CANAFE demande des copies de certains documents avant d’entreprendre un examen de la conformité sur place ou un examen administratif de la conformité. Au moment de notre vérification précédente, on demandait aux entités déclarantes de faire parvenir les documents à CANAFE par la poste, par courriel ou par télécopieur. En 2009, nous avons constaté qu’une entité déclarante avait envoyé par courriel à CANAFE des dossiers de clients renfermant des noms, des adresses, des NAS, des numéros de comptes et des relevés des mouvements de comptes.

118. Nous avons recommandé que CANAFE modifie la « lettre d’avis d’examen » afin d’indiquer clairement aux entités déclarantes de s’abstenir de transmettre des documents contenant des renseignements personnels. Nous avons également recommandé, dans le cas où il aurait été nécessaire de transmettre ces renseignements, que CANAFE collabore avec les entités déclarantes pour veiller à ce qu’elles n’utilisent que des méthodes de transmission sécuritaires.

119. Nous avons, afin d’évaluer les progrès accomplis, examiné les politiques de transmission de l’information, les lettres d’avis et un échantillon choisi à dessein de dossiers d’examen de la conformité. Nous avons également mené des entrevues auprès des agents de conformité des bureaux régionaux.

120. Nous avons constaté que la lettre de demande de renseignements avait été modifiée. On demande maintenant aux entités déclarantes de ne communiquer des renseignements que par la poste ou par service de messagerie, plutôt que par télécopieur ou par courriel. Notre examen du Guide d’examen pour les agents de conformité a confirmé que le changement avait officiellement été mis en œuvre.

121. Par conséquent, nous jugeons que les progrès accomplis en ce qui a trait à notre recommandation sur la transmission sécuritaire des renseignements personnels sont satisfaisants (voir la pièce K).

Pièce K — Progrès accomplis en vue de donner suite à la recommandation de notre rapport de vérification de 2009 sur le mandat de conformité de CANAFE — transmission des renseignements personnels
Recommandations découlant de la vérification de 2009 Progrès
Il est recommandé que CANAFE modifie la lettre d’avis d’examen afin d’informer clairement les entités déclarantes de ne pas faire suivre de documents contenant des renseignements personnels. Dans le cas où il serait nécessaire de faire suivre ces renseignements, CANAFE devrait collaborer avec les entités déclarantes pour veiller à ce qu’elles utilisent seulement des méthodes de transmission sécuritaires.

(La recommandation figure à la suite du paragraphe 110 du rapport de vérification de 2009.)
Satisfaisants
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

Les directives fournies par certains partenaires de réglementation continuent d’encourager la communication excessive de renseignements personnels

122. CANAFE a indiqué qu’afin de mener à bien ses activités d’examen de la conformité, il avait conclu des ententes d’échange de renseignements avec 18 organismes de réglementation nationaux et provinciaux. Plusieurs d’entre eux ont transmis aux membres de leur secteur de réglementation des directives sur la lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes.

123. Lors notre vérification précédente, nous avons trouvé des cas où les lignes directrices émises par certains organismes de réglementation encourageaient l’identification de clients, la surveillance et la présentation de déclarations dans une mesure qui dépassait clairement les exigences de la LRPCFAT. Or, la responsabilité de veiller à la conformité à la partie 1 de la LRPCFAT relève au bout du compte de CANAFE. Si celui-ci n’examine pas toutes les directives sur la lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes qui sont émises par ses organismes partenaires, il ne peut pas avoir l’assurance que ces directives encouragent des pratiques conformes à la Loi.

124. Nous avons recommandé que CANAFE analyse toutes les directives sur la lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes émises par ses partenaires de réglementation fédéraux et provinciaux afin de s’assurer qu’elles n’encouragent pas des pratiques qui dépassent les exigences de la Loi. Pour évaluer les progrès accomplis, nous avons examiné les documents internes, les plans opérationnels et les directives en matière de réglementation, et nous avons interviewé des fonctionnaires de CANAFE.

125. CANAFE nous a informés qu’il n’avait pas examiné les directives émises par les organismes de réglementation. L’organisme nous a par ailleurs informés qu’à l’exception des directives émises par deux organismes de réglementation nationaux, il ne possèdait pas une copie des directives sur la lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes émises par ses partenaires de réglementation. Par conséquent, CANAFE n’est toujours pas en mesure de démontrer que ces directives encouragent des pratiques conformes à la Loi.

126. Malgré l’engagement pris en 2009 par CANAFE de continuer à collaborer avec ses partenaires de réglementation afin que toute directive émise par ceux-ci cadre avec les exigences établies en vertu de la LRPCFAT, nous avons trouvé des cas où les organismes de réglementation avaient émis des directives sur la lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes qui donnaient pour consigne aux membres de déclarer des activités qui dépassent les exigences de la LRPCFAT.

127. Par conséquent, nous jugeons que les progrès accomplis en ce qui a trait à notre recommandation concernant la tenue d’un examen par CANAFE des directives émises par ses partenaires de réglementation sont insatisfaisants (voir la pièce L).

Pièce L — Progrès accomplis en vue de donner suite à la recommandation de notre rapport de vérification de 2009 sur le mandat de conformité de CANAFE — directives des partenaires de réglementation
Recommandations découlant de la vérification de 2009 Progrès
CANAFE devrait analyser toutes les lignes directrices relativement à la LRPCFAT émises par ses partenaires réglementaires fédéraux et provinciaux afin de s’assurer qu’elles n’encouragent pas l’identification de clients, la conservation de dossiers et la présentation de déclarations de sorte à dépasser les exigences de la Loi.

(La recommandation figure à la suite du paragraphe 114 du rapport de vérification de 2009.)
Insatisfaisants
Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

128. Recommandation : Étant donné que des organismes de réglementation ont émis des directives sur la lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes qui donnent pour consigne aux entités de déclarer des opérations d’une valeur inférieure au seuil établi par laLoi, CANAFE devrait prendre des mesures pour s’assurer que les directives émises par ses partenaires de réglementation sont conformes aux exigences de la LRPCFAT.

Réponse de CANAFE : CANAFE accepte la recommandation. Il collabore déjà avec ses partenaires de réglementation en vue d’aider les secteurs à se conformer aux obligations énoncées dans la LRPCFAT. Il continuera de collaborer avec ses partenaires de réglementation afin de veiller à ce que la communication de l’information pertinente ait lieu de façon cohérente dans tous les secteurs, en respectant les autorisations législatives et les mandats en vertu desquels les organismes de réglementation exercent leurs activités. Par cette collaboration, CANAFE informera à nouveau ses partenaires de réglementation des renseignements qui doivent lui être communiqués conformément à la LRPCFAT.

CANAFE informera à nouveau ses partenaires de réglementation des renseignements qui doivent lui être communiqués conformément à la LRPCFAT, ce qui sera fait de façon continue.

Conclusion

129. La Loi sur la protection des renseignements personnels impose aux organismes du gouvernement fédéral l’obligation de gérer les renseignements personnels et de respecter le droit à la vie privée des Canadiens. La Loi sur la protection des renseignements personnels, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) et la politique du Secrétariat du Conseil du Trésor fixent des limites sur les renseignements personnels que Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) peut recevoir, recueillir, utiliser et communiquer dans le cadre de son mandat. Notre vérification précédente a donné lieu à un certain nombre de recommandations, à la plupart desquelles CANAFE s’est engagé à donner suite.

130. CANAFE a accompli des progrès limités en ce qui a trait au respect de ses engagements pris en 2009 dans le but d’améliorer les contrôles en vue de s’assurer que son fonds de renseignements est à la fois pertinent et limité à ses besoins ou à son utilisation. Jusqu’à ce que CANAFE fasse concorder les exigences de la Loi sur la protection des renseignements personnels avec celles de la LRPCFAT, il continuera de recevoir, recueillir et conserver des renseignements dont il n’a pas besoin ou dont il ne se sert pas dans le cadre de ses programmes et de ses activités.

131. CANAFE a accompli des progrès satisfaisants en établissant des critères permettant de déterminer si le seuil de communication des renseignements désignés à certains partenaires nationaux a été atteint. La communication de renseignements aux unités du renseignement financier et aux corps policiers continue de s’effectuer dans des circonstances strictement contrôlées et conformément à la LRPCFAT.

132. CANAFE continue de favoriser une culture axée sur les questions de sécurité et de confidentialité et met en œuvre diverses mesures pour protéger son fonds de renseignements. Il a amélioré son processus de documentation en ce qui concerne les évaluations de la menace et des risques et les examens de la sécurité, et il a pris des mesures pour s’assurer que les entités examinées transmettent l’information de façon sécuritaire. Malgré tout, il reste du travail à faire pour assurer la pleine conformité à ses politiques de sécurité.

133. CANAFE a pris des mesures pour remplir ses engagements visant à donner suite à nos recommandations concernant son programme de gestion de la protection de la vie privée. De plus, il s’est engagé à renforcer l’importance de respecter le principe de minimalisme des données dans la formation de ses agents de conformité et la mise à jour des ses politiques. Cependant, certains renseignements personnels continuent d’être recueillis et utilisés sans que l’organisme ait démontré qu’il avait besoin de le faire, et les politiques n’ont pas encore été mises à jour pour rendre officiellement compte de l’orientation en matière de minimalisme des données.

134. Même si CANAFE continue de mener des activités de sensibilisation et de mettre à jour régulièrement ses lignes directrices à l’intention des entités déclarantes, il n’examine pas les lignes directrices émises par ses partenaires de réglementation afin de s’assurer qu’elles n’encouragent pas la conservation de dossiers et la présentation de déclarations dans une mesure qui dépasse les exigences de la LRPCFAT. De même, il est important que CANAFE s’assure que ses réponses aux demandes de renseignements des entités déclarantes ne donnent pas lieu à la communication excessive de renseignements.

135. Dans l’ensemble, nous concluons que le Centre dispose de contrôles solides pour la protection des renseignements personnels. Toutefois, nous avons constaté qu’il avait accompli des progrès limités en donnant suite à cinq des dix recommandations formulées en 2009. Pour se conformer pleinement à ses obligations en vertu de la Loi sur la protection des renseignements personnels, CANAFE doit prendre des mesures pour limiter la réception, la collecte et la conservation des renseignements personnels uniquement à ce qui est directement pertinent pour l’exécution de son mandat.

Au sujet de la vérification

Autorisation législative

L’article 37 de la Loi sur la protection des renseignements personnels confère au commissaire à la protection de la vie privée l’autorisation législative d’examiner la conformité des institutions fédérales en ce qui concerne la gestion de leurs fonds de renseignements personnels, et de formuler des recommandations au besoin.

Conformément au paragraphe 72.(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), le commissaire à la protection de la vie privée doit mener un examen biennal des mesures prises par Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) afin de protéger les renseignements qu’il reçoit ou qu’il recueille, et faire rapport des résultats de cet examen au Parlement.

Objectif

L’objectif de la vérification était d’évaluer si CANAFE dispose de contrôles adéquats en ce qui a trait à la protection des renseignements personnels et si les processus et les pratiques qu’il a mis en place pour la gestion de ces renseignements sont conformes aux pratiques équitables en matière de gestion des renseignements personnels qui sont énoncées aux articles 4 à 8 de la Loi sur la protection des renseignements personnels.

La vérification portait principalement sur l’examen des progrès accomplis par CANAFE en vue de respecter les engagements qu’il a pris pour donner suite aux recommandations et aux observations pertinentes découlant de notre vérification de 2009.

Critères

Les critères utilisés pour la vérification reposent sur les autorisations pertinentes de la Loi sur la protection des renseignements personnels, la LRPCFAT et les politiques connexes du Secrétariat du Conseil du Trésor (SCT). Nous nous attendions à ce que CANAFE :

  • limite la réception, la collecte et l’utilisation de renseignements personnels à ce qui est nécessaire pour l’exécution de son mandat;
  • limite la communication de renseignements personnels à ce qui est autorisé en vertu de la Loi sur les renseignements personnels et de la LRPCFAT;
  • conserve et élimine les renseignements personnels conformément aux autorisations en vigueur;
  • ait mis en place des mesures de sécurité appropriées pour veiller à ce que les renseignements personnels soient protégés tout au long de leur cycle de vie;
  • définisse clairement les rôles et les responsabilités liés à la protection des renseignements personnels et mette en œuvre des mesures pour veiller à ce que ses obligations en matière de protection de la vie privée soient respectées.

Nous avons attribué l’une des notes suivantes au CANAFE en nous fondant sur notre évaluation des mesures prises par celui-ci pour donner suite à chacune des recommandations découlant de notre vérification de 2009 :

  • Satisfaisants — Les progrès accomplis sont satisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée;
  • Insatisfaisants — Les progrès accomplis sont insatisfaisants, compte tenu de l’importance et de la complexité de la question ainsi que du temps qui s’est écoulé depuis que le paragraphe de la recommandation a été formulée.

Pour déterminer la note à attribuer à chacune des recommandations, l’équipe de vérification a pris en considération les facteurs suivants :

  • les conditions faisant partie intégrante de la recommandation;
  • la question de savoir si les mesures prises par CANAFE sont liées directement et délibérément à la recommandation;
  • la complexité de la recommandation;
  • le temps qui s’est écoulé depuis que la recommandation a été formulée;
  • la portée des mesures existantes et prévues pour ce qui est de donner suite à la recommandation;
  • l’équilibre entre les activités et les résultats;
  • les changements de situation importants depuis la vérification de 2009.

Portée et approche

La vérification comprenait un examen des programmes et des processus de gestion de l’information de CANAFE pour lesquels les répercussions sur la vie privée semblaient être considérables.

Nous avons interviewé le personnel de CANAFE et examiné les politiques, les lignes directrices, les outils d’analyse, les documents de formation, les évaluations de la menace et des risques pour la sécurité physique et la technologie de l’information, les accords d’échange de renseignements, les protocoles d’entente et les évaluations des facteurs relatifs à la vie privée. Nous avons également étudié les processus d’établissement de déclarations, un échantillon de déclarations et les communications de renseignements à des organismes nationaux et à des unités du renseignement étranger. Une stratégie d’échantillonnage à dessein a été utilisée pour déterminer les échantillons pour la vérification, en tenant compte de la nature, du volume et de l’incidence sur la vie privée de la population visée par l’échantillon. Le nombre de dossiers choisis était fondé sur l’évaluation des risques pour la protection de la vie privée et le nombre de dossiers disponibles. Pour assurer une sélection non biaisée des dossiers, nous avons eu recours à un échantillon statistique aléatoire lorsque tous les dossiers n’avaient pas été retenus.

Au moment de la rédaction du présent rapport, le Comité sénatorial permanent des banques et du commerce travaillait à l’élaboration d’un rapport provisoire sur l’examen parlementaire après cinq ans d’existence de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. Par conséquent, la vérification n’a pas tenu compte de l’incidence des modifications qui pourraient être apportées à la LRPCFAT.

Les activités de vérification ont été menées dans les bureaux de l’administration centrale de CANAFE et dans les bureaux régionaux de Montréal, Toronto et Vancouver. Le travail lié à la vérification a été achevé en grande partie le 31 octobre 2012.

Normes

La vérification a été effectuée conformément au mandat législatif, aux politiques et aux pratiques du Commissariat à la protection de la vie privée du Canada, ainsi qu’à l’esprit des normes de vérification recommandées par l’Institut Canadien des Comptables Agréés.

Équipe de vérification

Directeur général : Steven Morgan

Garth Cookshaw
Sylvie Gallo Daccash
Anne Overton
Ivan Villafan

Annexe 1 : Personnes ou entités visées par la LRPCFAT

  • Comptables
  • Notaires de la Colombie-Britannique
  • Casinos
  • Négociants en métaux précieux et en pierres précieuses
  • Entités financières
  • AvocatsNote de bas de page 1
  • Compagnies, courtiers et agents d’assurance-vie
  • Entreprises de services monétaires
  • Courtiers et agents immobiliers
  • Courtiers en valeurs mobilières

Source : Rapport annuel de CANAFE, 2012, page 20

Annexe 2 : Renseignements désignés

Les communications de CANAFE consistent en des renseignements désignés concernant des particuliers ou des entités et leurs opérations. Une communication peut comprendre l’un des éléments ou tous les éléments suivants :

Personne concernée

  • le nom (y compris le pseudonyme), la date de naissance, l’adresse, le numéro de téléphone, l’adresse de courriel
  • la citoyenneté, le numéro de passeport, de fiche relative au droit d’établissement ou de carte de résident permanent
  • les détails dignes d’intérêt du casier judiciaire et toute accusation au criminel portée contre la personne/l’entité concernée ou une personne agissant en son nom
  • les liens existants entre les personnes/les entités que l’on soupçonne, selon des motifs raisonnables, d’être impliquées
  • l’intérêt financier d’une personne dans une entité au nom de laquelle des opérations douteuses ont été effectuées ou tentées
  • le nom de la personne soupçonnée, selon des motifs raisonnables, de diriger l’opération, l’opération tentée, l’importation ou l’exportation
  • le nom et l’adresse de toute personne au nom de laquelle l’opération ou la tentative d’opération est menée ou au nom de laquelle l’importation ou l’exportation est effectuée

Entité concernée

  • le nom et le numéro de l’entreprise, la date de son incorporation et sa compétence, l’adresse, le numéro de téléphone, l’adresse de courriel
  • le nom, l’adresse, l’adresse de courriel et le numéro de téléphone de chaque partenaire, directeur ou agent d’une entité soupçonnée d’être impliquée
  • le nom de toute personne ou entité agissant en son nom
  • l’adresse et le numéro de téléphone du principal lieu d’affaires
  • les détails dignes d’intérêt du casier judiciaire et toute accusation au criminel portée contre l’entité concernée ou une personne/une entité agissant en son nom
  • les relations entre les personnes/les entités que l’on soupçonne, selon des motifs raisonnables, d’être impliquées
  • l’intérêt financier d’une entité au nom de laquelle des opérations douteuses ont été effectuées ou tentées
  • le nom de l’entité soupçonnée, selon des motifs raisonnables, de diriger l’opération, l’opération tentée, l’importation ou l’exportation
  • le nom et l’adresse de toute entité au nom de laquelle l’opération ou la tentative d’opération est menée ou au nom de laquelle l’importation ou l’exportation est effectuée

Renseignements sur le compte/l’opération

  • le numéro de domiciliation et le numéro de compte, le type d’opération ou de tentative d’opération, la date et l’heure de l’opération ou de la tentative
  • la valeur de l’opération, de la tentative d’opération ou des fonds faisant l’objet de l’opération ou de la tentative
  • le nom, l’adresse et le numéro de téléphone du lieu d’affaires où l’opération ou la tentative d’opération a eu lieu
  • le type de compte et le numéro de l’opération
  • le nom complet de chaque titulaire du compte et les noms des parties impliquées dans l’opération
  • le nom et l’adresse de toutes les personnes autorisées à agir relativement au compte

Déclarations

  • le nombre et les catégories de déclarations sur lesquelles la communication se fonde
  • le nombre et les catégories de personnes ou d’entités ayant effectué ces déclarations

Importation ou exportation

  • l’adresse du bureau des douanes où l’importation ou l’exportation a eu lieu
  • la date à laquelle l’importation ou l’exportation a eu lieu
  • le montant et la devise ou le type d’instrument monétaire concerné

Autres renseignements

  • les motifs pertinents pour lesquels une personne ou une entité a transmis une déclaration d’opération douteuse ou de tentative d’opération douteuse
  • les indicateurs d’une infraction relative au blanchiment d’argent ou au financement d’activités terroristes associés aux opérations, aux tentatives d’opérations, à l’importation ou à l’exportation

Source : Rapport annuel de CANAFE, 2012, pages 8 et 9

Annexe 3 : Liste de recommandations et réponse de CANAFE

Conformité au Code de pratiques équitables en matière de gestion des renseignements personnels
Recommandation Réponse de CANAFE
Pour satisfaire à la fois à ses obligations aux termes de la LRPCFAT et à celles qui lui incombent en vertu de la Loi sur la protection des renseignements personnels, CANAFE devrait analyser et évaluer les déclarations entrantes pour s’assurer qu’il reçoit et conserve seulement les renseignements qu’il est autorisé à recevoir en vertu de la Loi et dont il a besoin ou qu’il utilise dans le cadre d’un programme ou d’une activité en cours. CANAFE accepte la recommandation. Il respecte les obligations qui lui incombent en vertu de la LRPCFAT et de la Loi sur la protection des renseignements personnels, tout en s’acquittant de son mandat qui consiste à dépister et à prévenir le blanchiment d’argent et le financement d’activités terroristes, ainsi qu’à lutter contre ces activités. L’alinéa 54a) de la LRPCFAT prévoit que CANAFE a l’obligation de recueillir les rapports ou les déclarations qui lui sont transmis. En vertu des alinéas 54d) et 54e), CANAFE doit en outre conserver l’information contenue dans ces rapports ou déclarations pendant au moins 10 ans. Il reconnaît que les entités déclarantes indiquent parfois dans les déclarations des renseignements personnels qui ne devraient pas y figurer. CANAFE a mis en place un processus analytique qui lui permet de s’assurer que ces renseignements personnels ne sont pas utilisés à des fins d’analyse et, par conséquent, qu’ils ne sont pas communiqués aux partenaires des services de police, de l’application de la loi ou de la sécurité, comme l’a reconnu le Commissariat au paragraphe 53 du présent rapport.

En ce qui concerne les déclarations pour lesquelles le seuil de déclaration établi par la loi n’est pas atteint, un processus est en place pour les détruire conformément aux calendriers d’élimination de CANAFE. Celui-ci examinera ses calendriers à court terme pour s’assurer de l’évaluation et de la destruction des renseignements visés dès que cela est possible compte tenu de l’aspect pratique.

CANAFE passera en revue ses calendriers d’élimination, ce qui devrait être terminé à l’automne 2014.
CANAFE devrait évaluer l’efficacité de ses programmes de sensibilisation et les renforcer au besoin afin d’atténuer le risque de recevoir des renseignements personnels qui dépassent les paramètres et les seuils précisés dans la LRPCFAT. CANAFE accepte la recommandation. Il évalue l’efficacité de son programme de sensibilisation et le renforce constamment grâce à des éléments additionnels ou revus qui détaillent les obligations des entités déclarantes aux termes de la LRPCFAT. Ce programme exhaustif de sensibilisation informe aussi les entités déclarantes des renseignements qu’elles ne sont pas tenues de déclarer à CANAFE. Voici un aperçu des moyens utilisés par ce dernier à des fins de sensibilisation, en plus des éléments énoncés :
  • Se doter d’une unité des entités déclarantes majeures chargée de gérer la relation de CANAFE avec les plus grandes entités déclarantes du secteur bancaire;
  • Tenir des consultations par secteur, notamment avec celui des coopératives de crédit, sur les directives concernant la mise en œuvre d’une approche fondée sur les risques et le règlement à venir sur la vigilance à l’égard des clients, ainsi qu’avec celui des entreprises de services monétaires (ESM), qui a demandé la publication de directives le concernant tout particulièrement;
  • Rendre disponibles, sur le site Web de CANAFE, de l’information par secteur sur les obligations des entités déclarantes, les lignes directrices officielles et les bulletins d’interprétation de CANAFE;
  • Participer aux réunions avec les associations de l’industrie, les organismes réglementaires et les partenaires en matière d’application de la loi, dont le Comité consultatif public privé qui se réunit deux fois par année.
Même si CANAFE sensibilise les entités déclarantes aux renseignements personnels qu’elles doivent transmettre, c’est à chacune d’entre elles qu’il incombe, en fin de compte, de ne pas envoyer de renseignements non exigés par la législation et la réglementation en vigueur. CANAFE convient qu’il faut régler cette question; par conséquent, il continuera d’appuyer le Commissariat dans ses efforts pour s’assurer que les entités déclarantes assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques satisfont aux exigences énoncées dans cette loi.

Compte tenu de ce qui précède, CANAFE a donné suite à cette recommandation et continuera de le faire à l’avenir.
CANAFE devrait repérer et supprimer les renseignements qu’il n’aurait pas dû recevoir et qui ne sont pas liés directement à ses programmes et activités. CANAFE accepte la recommandation. Il a mis en place un processus pour le traitement des renseignements que les entités déclarantes n’auraient pas dû lui envoyer. Selon l’alinéa 54a) de la LRPCFAT, CANAFE doit recueillir les rapports ou déclarations qui lui sont transmis par les entités déclarantes. Les alinéas 54d) et 54e) établissent aussi les autorisations relatives à la conservation et au retrait de renseignements contenus dans les déclarations transmises. Or, même s’il est tenu de recevoir et de conserver ces renseignements, CANAFE a aussi mis en place un processus analytique bien défini qui fait en sorte que les renseignements personnels qui n’auraient pas dû être entrés dans les déclarations par les entités déclarantes ne sont pas utilisés à des fins d’analyse.

En ce qui concerne les déclarations qui n’atteignent pas le seuil établi par la loi, un processus est en place pour les détruire conformément aux calendriers d’élimination de CANAFE. Celui-ci examinera ses calendriers à court terme pour s’assurer de l’évaluation et de la destruction des renseignements visés de la façon la plus pratique possible.

CANAFE passera en revue ses calendriers d’élimination, ce qui devrait être terminé à l’automne 2014.
CANAFE devrait : a) conclure une entente avec BAC au sujet des modalités relatives au transfert de ses documents d’archives; b) mettre en œuvre une politique officielle de conservation et de disposition de l’information et des documents dont la période de conservation et de disposition n’est pas explicitement prévue par la LRPCFAT. CANAFE accepte la recommandation. Au sujet du volet a), il collaborera avec BAC pour conclure une entente. Toutefois, il convient de noter que CANAFE et BAC en sont venus à une entente, à l’automne 2012, sur les modalités requises pour l’obtention par CANAFE d’une autorisation de disposition des documents (ADD). CANAFE a signé les modalités, qui ont été envoyées à BAC pour signature et approbation. Depuis, les processus de BAC à l’égard de la délivrance des ADD ont été modifiés; une révision additionnelle est donc en cours pour que l’autorisation de disposition des documents finale rende bien compte du nouveau processus.

Au sujet du volet b), CANAFE travaille activement avec les intervenants internes et avec BAC à l’établissement des calendriers de disposition des documents, qui seront conformes à la Directive sur la tenue de documents du Conseil du Trésor. CANAFE tient à préciser que toutes les déclarations sauvegardées dans sa base de données continueront d’être assujetties au calendrier de 15 ans prévu par la LRPCFAT, période après laquelle le CANAFE est tenu de supprimer les renseignements d’identification contenus dans les déclarations d’opérations financières n’ayant pas fait l’objet d’une communication.

CANAFE s’engage à travailler avec BAC pour conclure une entente, établir les calendriers de disposition des documents et rédiger les politiques nécessaires. L’échéancier de réalisation de cet engagement dépend de BAC.
Protection des renseignements personnels des Canadiens
CANAFE devrait mettre en œuvre des mesures pour s’assurer que tous les membres de son personnel connaissent bien ses politiques en matière de sécurité et de confidentialité, afin d’être en mesure de protéger les renseignements personnels, de même que leur obligation de s’y conformer en tout temps. CANAFE accepte la recommandation. Il a mis en place des politiques distinctes sur la protection de la vie privée, la sécurité et la gestion de l’information, qui font partie de son cadre de protection de la vie privée. Ce cadre peut être consulté par tous les employés sur l’intranet de CANAFE. En outre, le Code de conduite, de valeurs et d’éthique mis à jour de CANAFE est entré en vigueur en juin 2012 et fait expressément référence à la protection des renseignements personnels, à la Loi sur la protection des renseignements personnels et aux politiques de CANAFE en matière de protection de la vie privée, de sécurité et de gestion de l’information. CANAFE joint à chaque lettre d’offre un document sur les conditions d’emploi qui comprend notamment l’exigence de lire et d’accepter, en apposant sa signature, le Code de conduite, de valeurs et d’éthique de CANAFE. L’acceptation du Code, ainsi que le respect des valeurs, des comportements attendus et des responsabilités qui y sont décrits, est une condition d’emploi pour tous les employés de CANAFE. Tous les ans, on rappelle aux employés leurs obligations à l’égard du Code. Enfin, CANAFE a donné une formation obligatoire sur ses programmes de sécurité à tous ses employés à l’hiver 2013.

En raison des mesures déjà en place, CANAFE a donné suite à cette recommandation.
Mandat de conformité de CANAFE
Afin de respecter les pratiques exemplaires en matière de protection de la vie privée et d’assurer la mise en place d’approches uniformes en matière de minimalisme des données par les agents de la vérification de la conformité, CANAFE devrait mettre à jour ses politiques et procédures de façon à définir clairement ce que les agents de conformité devraient enregistrer et conserver dans les dossiers de conformité pour appuyer les lacunes. CANAFE accepte la recommandation. Il a mis en place une politique sur les renseignements que les agents de conformité devraient prendre en note et conserver. Cette politique a été communiquée à tous les agents de conformité en juin 2011. Elle prévoit ce qui suit : « Seuls les dossiers ou documents utilisés pour étayer les infractions doivent être balayés; tous les autres dossiers et documents peuvent être détruits. Cependant, il faut indiquer clairement dans les notes d’examen les types de dossiers reçus » Depuis sa mise en œuvre, la politique est devenue une pratique courante et elle continue de faire partie intégrante du processus d’examen. Elle est également communiquée à tous les nouveaux agents de conformité de façon continue, dans le cadre de la formation régionale sur les examens. De plus, CANAFE est en train de renforcer davantage ses politiques et procédures en ce qui concerne le traitement de l’information sur les entités déclarantes. Les politiques et procédures mises à jour énonceront clairement que tous les documents papier officiels qui sont liés à des lacunes/manquements en matière de conformité doivent être numérisés et que les documents qui ne sont pas liés à des lacunes/manquements en matière de conformité devront être éliminés. Les procédures mises à jour exigeront également que l’information à l’appui des lacunes/manquements soit numérisée sur place au moyen de numériseurs portables.

CANAFE s’engage à parachever la mise à jour de la politique sur la numérisation, la conservation et l’élimination des documents d’examen, ce qui devrait être terminé d’ici la fin de 2013.
CANAFE devrait inclure un volet de surveillance de la conformité aux exigences relatives à la protection de la vie privée dans son programme d’AQ afin de déterminer si les renseignements recueillis et conservés lors de la réalisation des examens de la conformité sont limités aux renseignements nécessaires aux fins de la conformité à la Loi. CANAFE accepte la recommandation. Le programme d’examen de la conformité de CANAFE vise déjà à réduire au minimum la quantité de renseignements recueillis afin d’évaluer adéquatement la conformité d’une entité déclarante. Dans le cadre d’initiatives d’amélioration continue, CANAFE travaille actuellement à la modernisation de son programme d’examen. Les améliorations prévues permettront de faire en sorte que les renseignements conservés se limitent qu’à ce qui est nécessaire pour documenter adéquatement la non-conformité relevée lors d’un examen.

CANAFE s’engage à parachever la mise à jour des politiques et procédures relatives au programme de conformité, ce qui devrait être terminé d’ici la fin de 2013.
Le formulaire « Autorisation de pénétrer dans une maison d’habitation à des fins d’examen » devrait être modifié afin d’indiquer l’objet de la collecte et l’utilisation qui sera faite de la date de naissance demandée. CANAFE accepte la recommandation. L’objet de la collecte de la date de naissance au moyen du formulaire « Autorisation de pénétrer dans une maison d’habitation à des fins d’examen » est de vérifier l’identité de la personne qui réside dans la maison d’habitation. Le formulaire a été mis à jour afin de faire état de l’objet de la collecte de tels renseignements, et la version mise à jour est utilisée depuis le 22 mai 2013.
Étant donné que des organismes de réglementation ont émis des directives sur la lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes qui donnent pour consigne aux entités de déclarer des opérations d’une valeur inférieure au seuil établi par la Loi, CANAFE devrait prendre des mesures pour s’assurer que les directives émises par ses partenaires de réglementation sont conformes aux exigences de la LRPCFAT. CANAFE accepte la recommandation. Il collabore déjà avec ses partenaires de réglementation en vue d’aider les secteurs à se conformer aux obligations énoncées dans la LRPCFAT. Il continuera de collaborer avec ses partenaires de réglementation afin de veiller à ce que la communication de l’information pertinente ait lieu de façon cohérente dans tous les secteurs, en respectant les autorisations législatives et les mandats en vertu desquels les organismes de réglementation exercent leurs activités. Par cette collaboration, CANAFE informera à nouveau ses partenaires de réglementation des renseignements qui doivent lui être communiqués conformément à la LRPCFAT.

CANAFE informera à nouveau ses partenaires de réglementation des renseignements qui doivent lui être communiqués conformément à la LRPCFAT, ce qui sera fait de façon continue.
Date de modification :