Examen de la mise en œuvre et du mode d’application de la Loi sur la communication d’information ayant trait à la sécurité du Canada

Affaires mondiales Canada
Agence des services frontaliers du Canada
Gendarmerie royale du Canada
Immigration, Réfugiés et Citoyenneté Canada
Service canadien du renseignement de sécurité

Rapport final 2017

---

Principaux points

Éléments examinés

La Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC),^{Note de bas de page 1} entrée en vigueur le 1^er août 2015, a pour objet d’encourager et de faciliter la communication d’information entre les institutions fédérales à des fins de sécurité nationale. En vertu du paragraphe 5(1) de la Loi, une institution fédérale peut, de sa propre initiative ou sur demande, communiquer de l’information à l’un des 17 ministères ou organisme désignés si l’information se rapporte à la compétence ou aux attributions de l’institution destinataire à l’égard d’activités portant atteinte à la sécurité du Canada. L’article 2 de la LCISC inclut une définition de l’expression « activité portant atteinte à la sécurité du Canada ».

Nous avons examiné les activités de communication d’information en vertu de la LCISC pour la période d’un an allant du 1^er août 2015 au 31 juillet 2016. Cinq entités fédérales ont été sélectionnées pour examen, soit le Service canadien du renseignement de sécurité (SCRS), la Gendarmerie royale du Canada (GRC), l’Agence des services frontaliers du Canada (ASFC), Affaires mondiales Canada (AMC) ainsi qu’Immigration, Réfugiés et Citoyenneté Canada (IRCC). Elles avaient toutes déclaré avoir communiqué ou reçu de l’information au cours de la période à l’étude.

Nous avons passé en revue non seulement la communication d’information en vertu de la LCISC, mais aussi les politiques, pratiques et mécanismes de contrôle interne de ces institutions à l’appui de cette communication. Nous avons également examiné les ententes de communication d’information et la mesure dans laquelle les institutions procédaient généralement à l’évaluation et à l’atténuation des risques d’atteinte à la vie privée associés à l’échange d’information en vertu de la LCISC.

Raison d’être de l’examen

L’équilibre entre les intérêts du Canada en matière de sécurité nationale et le droit à la vie privée des Canadiens revêt une grande importance. Nous sommes conscients qu’une communication accrue de l’information permet parfois de détecter et d’éliminer des menaces pour la sécurité. Toutefois, les institutions qui communiquent de l’information doivent aussi tenir compte de la vie privée des individus à qui elle appartient. Nous sommes d’avis que l’on doit communiquer l’information avec précaution et en tenant compte des répercussions possibles sur les individus. C’est le cas, en particulier, pour les citoyens respectueux des lois – ceux qui ne font l’objet d’aucune enquête mais qui pourraient à leur insu être plongés dans les activités de communication d’information du gouvernement ou y participer. Le traitement inapproprié de renseignements personnels pourrait avoir de graves répercussions sur la vie privée, la liberté, la réputation et le gagne-pain d’un individu et de sa famille.

Le seuil pour la communication d’information est d’une importance cruciale pour atteindre un juste équilibre dans la protection du droit à la vie privée. Pour que cet équilibre soit atteint, les renseignements personnels devraient être communiqués uniquement lorsqu’il y a un besoin manifeste de le faire et que leur communication est contrôlée rigoureusement de manière à atténuer le plus possible les répercussions négatives sur les individus. En outre, les institutions qui communiquent ou reçoivent des renseignements personnels en vertu de la LCISC devraient être responsables du traitement approprié de cette information et en rendre compte conformément aux exigences imposées par les lois et les politiques.

Constatations

Au cours de l’examen, nous avons constaté de graves lacunes dans les procédures de mise en œuvre et d’application de la Loi. Nous nous attendions à ce que les institutions qui communiquent ou reçoivent de l’information en vertu de la LCISC aient élaboré et mis en œuvre des systèmes ou des processus de surveillance et de consignation de l’information ainsi échangée. Ces systèmes ou processus sont essentiels pour appuyer de saines pratiques de gouvernance et faciliter la surveillance opérationnelle des échanges de renseignements personnels.

Ces institutions n’avaient mis en place aucune structure de déclaration officielle pour consigner l’échange d’information en vertu de la Loi. Les pratiques de tenue des documents variaient d’une institution à l’autre – et, dans un cas, au sein d’une même institution – et les activités de communication ou de réception d’information en vertu de la LCISC n’étaient pas toujours consignées. Par conséquent, certaines institutions ne nous ont pas fourni de registres complets et rapprochés des activités de communication d’information en vertu de la Loi. Le Commissariat n’a donc pas été en mesure d’examiner toute l’ampleur de la communication d’information en vertu de la LCIS ni de déterminer si toute l’information avait été communiquée en conformité avec la Loi sur la protection des renseignements personnels.

Les institutions qui tenaient des registres ne respectaient pas toujours les lignes directrices ou les attentes du gouvernement énoncées dans le Guide pour une communication d’information responsable de Sécurité publique Canada. À l’heure actuelle, la loi n’oblige pas les institutions à tenir un registre des communications en vertu de la LCISC, mais en l’absence de ce registre (et de bonnes pratiques de tenue des documents dans l’ensemble), il est difficile de demander aux institutions de rendre compte de l’information qu’elles communiquent en vertu de la Loi. En outre, les institutions peuvent difficilement montrer qu’elles respectent les exigences de la LCISC en matière de communication d’information et celles de la Loi sur la protection des renseignements personnels^{Note de bas de page 2}, ce qui complique la gouvernance, la surveillance et l’évaluation de l’efficacité de la Loi.

Presque toute l’information communiquée à ce jour en vertu de la LCISC était destinée au SCRS ou à la GRC. Selon les registres des communications soumis à notre examen, la communication faisait suite dans la plupart des cas à une demande officielle d’information sur des individus faisant l’objet d’une enquête et l’information fournie ne dépassait pas les paramètres de la demande. En outre, de nombreuses communications proactives avaient été précédées d’une discussion entre les institutions participant à l’échange d’information. Bref, la grande majorité des communications respectaient le seuil prévu par la Loi à cet égard.

Il ne s’agit pas d’un problème systémique, mais nous avons vu des cas où une institution avait communiqué de l’information au sujet de membres de la famille d’individus faisant l’objet d’une enquête, alors que rien ne prouvait que cette information se rapportait à la compétence ou aux pouvoirs de l’institution destinataire à l’égard d’une activité susceptible de porter atteinte à la sécurité du Canada. L’institution destinataire n’avait pas examiné l’information reçue avant de la conserver. De même, aucune des entités ne l’avait vérifiée pour s’assurer qu’elle respectait le seuil prévu par la Loi pour la communication.

La LCISC confère aux institutions le pouvoir de communiquer de l’information sensible sur un individu qui est recueillie dans le cadre de leurs activités courantes. Lorsque l’institution destinataire pourrait utiliser cette information pour prendre des décisions qui touchent directement l’individu, nous nous attendons à ce que l’institution qui communique l’information et celle qui la reçoit en vertu de la Loi aient effectué une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour ces activités. Or, aucune des cinq institutions visées par le présent examen ne l’a fait.

Le préambule de la LCISC mentionne explicitement que les institutions doivent communiquer l’information en vertu de la Loi d’une manière conforme à la Charte canadienne des droits et libertés et à la protection de la vie privée. Cela signifie entre autres qu’elles doivent s’assurer que l’information échangée se limite au strict nécessaire et que l’information, une fois communiquée, est assujettie aux restrictions appropriées, notamment aux limites applicables à l’utilisation, à la communication et à la conservation. Cela signifie aussi que l’institution doit s’assurer que toute information communiquée se rapporte à une activité qui porte atteinte à la sécurité du Canada et qu’elle concorde avec les pouvoirs de l’institution destinataire. Pour les institutions qui les reçoivent, chacun des renseignements personnels recueilli devrait avoir un lien direct avec ses programmes ou ses activités et être manifestement nécessaire.

En l’absence d’une tenue de documents et de mécanismes de contrôle interne appropriés, les pouvoirs prévus par la LCISC en matière de communication d’information continueront de poser un risque d’atteinte à la vie privée. Le préambule de la Loi souligne l’importance de protéger la vie privée, mais les institutions qui communiquent des renseignements personnels ne semblent pas toutes avoir examiné en bonne et due forme les répercussions sur la vie privée de leurs pratiques de communication d’information en vertu de la Loi.

Introduction

À propos de la Loi sur la communication d’information ayant trait à la sécurité du Canada

1. Les menaces qui pèsent sur la sécurité nationale du Canada sont variées – terrorisme, cyberattaques, espionnage, etc. – et l’information les concernant peut provenir de diverses sources. Pour réagir efficacement aux menaces, le gouvernement du Canada estime qu’il devrait pouvoir obtenir auprès de toutes les institutions fédérales de l’information ayant trait à la sécurité nationale et que cette information devrait être communiquée aux institutions désignées afin de mieux comprendre et évaluer le risque d’atteinte aux intérêts du Canada.
2. En janvier 2015, le projet de loi C-51 (aussi appelé Loi antiterroriste de 2015^{Note de bas de page 3}) a été déposé au Parlement. Ce projet de loi édictait entre autres la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC), qui vise à améliorer l’efficacité et la rapidité de la communication d’information entre les institutions fédérales à des fins de sécurité nationale. À cette fin, elle a notamment conféré explicitement à toutes les institutions fédérales le pouvoir de communiquer de l’information – y compris des renseignements personnels – à 17 institutions désignées dont le mandat touche la sécurité nationale, lesquelles sont énumérées à l’annexe 3 de cette loi. La LCISC autorise la communication d’information aux institutions désignées si cette information se rapporte à la compétence ou aux attributions de l’institution destinataire à l’égard d’activités portant atteinte à la sécurité du Canada.

Tableau 1 : Institutions fédérales autorisées à recevoir de l’information en vertu de l’annexe 3 de la LCISC

Agence canadienne d’inspection des aliments

Agence de la santé publique du Canada

Agence des services frontaliers du Canada

Agence du revenu du Canada

Centre d’analyse des opérations et déclarations financières du Canada

Centre de la sécurité des télécommunications

Commission canadienne de sûreté nucléaire

Forces armées canadiennes

Gendarmerie royale du Canada

Ministère de la Citoyenneté et de l’Immigration (maintenant Immigration, Réfugiés et Citoyenneté Canada)

Ministère de la Défense nationale

Ministère de la Santé

Ministère de la Sécurité publique et de la Protection civile

Ministère des Affaires étrangères, du Commerce et du Développement (maintenant Affaires mondiales Canada)

Ministère des Finances

Ministère des Transports

Service canadien du renseignement de sécurité

Préoccupations initiales

3. Avant la mise en œuvre de la LCISC, le Commissariat à la protection de la vie privée du Canada avait soulevé plusieurs préoccupations, dont la principale concerne l’ampleur possible des activités de communication d’information qui pourraient être autorisées en vertu de la Loi. Une communication sans précédent, combinée à l’utilisation éventuelle de l’analytique, pourrait donner lieu à l’analyse de grandes quantités de renseignements personnels afin de dégager des tendances, de prévoir des comportements et d’établir des liens au sujet d’individus qui pourraient ne jamais représenter une menace pour la sécurité du Canada.
4. Le seuil trop bas pour la communication d’information prévu par la LCISC constitue aussi un sujet de préoccupation. La Loi autorise la communication simplement si elle « se rapporte » à la compétence de l’institution destinataire ou à ses attributions à l’égard d’activités portant atteinte à la sécurité du Canada, et non si elle est nécessaire à l’exercice de son mandat et proportionnelle à l’objectif de sécurité nationale visé. Selon nous, l’application de la norme de pertinence pourrait donner aux organismes de sécurité nationale des pouvoirs pratiquement illimités pour surveiller tous les Canadiens – et non seulement les individus soupçonnés d’activités terroristes – et établir leur profil. De même, la Loi ne définit pas clairement les obligations incombant aux organisations en ce qui concerne la conservation et la destruction de l’information et n’exige aucune entente écrite pour assurer la communication appropriée de l’information.

Principaux éléments examinés

5. En 2015, le Commissariat a amorcé une approche progressive pour l’examen de la mise en œuvre et du mode d’application de la LCISC. La première phase, lancée en janvier 2016, visait à informer les intervenants (en particulier le Parlement de Canada) de l’ampleur de la communication d’information en vertu de la LCISC. À cette fin, le Commissariat a mené un sondage auprès des 17 institutions autorisées à recevoir et à communiquer de l’information mentionnées à l’annexe 3 de la Loi et aux 111 institutions fédérales autorisées à communiquer de l’information en vertu de la LCISC.
6. En réponse au sondage, seules cinq des 17 institutions désignées à l’annexe 3 ont indiqué avoir reçu ou communiqué de l’information en vertu de la LCISC, à savoir l’Agence des services frontaliers du Canada, le Service canadien du renseignement de sécurité, Immigration, Réfugiés et Citoyenneté Canada, Affaires mondiales Canada et la Gendarmerie royale du Canada.
7. Alors que la première phase de notre examen portait sur l’ampleur de la communication d’information en vertu de la LCISC, la deuxième se rapportait au mode de communication de cette information. Elle visait à cerner les enjeux relatifs à la protection de la vie privée initiaux et nouveaux liés à la mise en œuvre et au mode d’application de la LCISC et à examiner de plus près les pratiques de traitement des renseignements personnels des institutions qui communiquent de l’information en vertu de la Loi. Le traitement de l’information ayant trait à des tiers non visés par une enquête revêtait un intérêt particulier.
8. À cette fin, nous avons examiné tous les échanges d’information en vertu de la LCISC documentés pour la période allant du 1^er août 2015 au 31 juillet 2016. Nous avons aussi déterminé la mesure dans laquelle les institutions procédaient généralement à l’évaluation et à l’atténuation des risques d’atteinte à la vie privée associés à la communication d’information en vertu de la LCISC et nous nous sommes penchés sur les mécanismes de contrôle interne en place pour s’assurer que les renseignements personnels communiqués ou reçus en vertu de la LCISC sont traités conformément à la Loi sur la protection des renseignements personnels.
9. Le Commissariat a entrepris son travail dans le but de déterminer si la communication d’information en vertu de la LCISC se rapportait à une enquête en cours portant sur une activité susceptible de porter atteinte à la sécurité du Canada. Nous n’avons toutefois pas évalué les utilisations courantes de cette information par les institutions destinataires ni le respect des mises en garde applicables à l’information communiquée.
10. La section du présent rapport intitulée « Au sujet de l’examen » donne plus de détails sur l’examen.

Observations et recommandations

11. L’adoption d’une approche progressive pour l’examen de la mise en œuvre et du mode d’application de la LCISC visait à permettre aux intervenants de comprendre rapidement les rouages de la Loi. Toutefois, il faudra peut-être plusieurs années avant que l’on puisse évaluer pleinement l’incidence de la Loi sur le droit à la vie privée.
12. La Loi autorise la plupart des institutions fédérales à communiquer de l’information – et elle autorise 17 d’entre elles à la recevoir –, mais notre examen a révélé que pratiquement toute l’information communiquée en vertu de la Loi était destinée au SCRS ou à la GRC. Dans la grande majorité des dossiers soumis à notre examen, l’information avait été communiquée en réponse à une demande de renseignements officielle concernant des individus qui faisaient l’objet d’une enquête et l’information en question ne dépassait pas les paramètres de la demande. Bon nombre des communications proactives avaient été précédées d’une discussion entre les institutions participant à l’échange d’information. Bref, le seuil pour la communication d’information en vertu de la Loi avait été respecté dans la grande majorité des dossiers que nous avons examinés.
13. Nous avons toutefois constaté des cas où l’information communiquée comprenait des renseignements au sujet de membres de la famille d’individus faisant l’objet d’une enquête, alors que rien ne prouvait que cette information se rapportait à la compétence ou aux attributions de l’institution destinataire à l’égard d’une activité susceptible de porter atteinte à la sécurité du Canada. En outre, nous n’avons pas été en mesure d’effectuer un rapprochement entre certaines communications déclarées et l’information reçue, ce qui nous a empêchés d’examiner et d’évaluer toute l’ampleur de la communication d’information en vertu de la LCISC.
14. La LCISC est entrée en vigueur en août 2015 et seules cinq institutions ont communiqué ou reçu de l’information en vertu de la Loi à ce jour. Nos recommandations sont toutefois utiles à toutes les institutions qui y sont assujetties.

Les registres sont incomplets et aucune structure officielle n’est en place pour assurer le suivi et la surveillance de l’échange d’information en vertu de la LCISC.

15. Dans les mémoires que nous avons présentés au Parlement concernant la LCISC, nous soulignons l’importance d’une bonne gouvernance et d’une surveillance rigoureuse de la communication de renseignements personnels. Une bonne gouvernance aide à s’assurer que les institutions qui communiquent l’information rendent compte de la communication des renseignements personnels et qu’elles font preuve de transparence au sujet de l’information qu’elles échangent avec d’autres institutions fédérales pour des raisons de sécurité nationale.
16. La LCISC elle-même souligne la nécessité d’une bonne gouvernance et d’une reddition de comptes concernant la communication d’information. En vertu du paragraphe 4d), la communication d’information devrait reposer sur le principe selon lequel « la fourniture de rétroaction sur la façon dont l’information qui est communiquée est utilisée et sur son utilité en matière de protection contre des activités portant atteinte à la sécurité du Canada facilite une communication d’information responsable et efficace ». Dans la même optique, le préambule de la Loi indique que « les institutions fédérales sont garantes d’une communication d’information responsable et efficace ».
17. Nous estimons que la reddition de comptes et la responsabilité commencent par une bonne tenue de documents. En l’absence de registres indiquant quelle information est communiquée, à qui elle l’est et à quelles fins, il est impossible de déterminer si une communication donnée est appropriée ou non dans les circonstances. L’absence de registres bien tenus nuit aussi à la capacité du gouvernement de surveiller, de mesurer et d’évaluer l’efficacité de la Loi dans la poursuite de ses objectifs.
18. Au cours de notre examen, nous avons demandé aux institutions d’indiquer le nombre de fois où elles avaient communiqué de l’information en vertu de la LCISC ainsi que le nombre de fois où elles en avaient reçu. Au total, elles avaient communiqué de l’information 118 fois et en avaient reçu à 97 reprises en vertu de la Loi au cours de la période allant du 1^er août 2015 au 31 juillet 2016. Le tableau qui suit résume les activités de communication d’information déclarées.

    Tableau 2 : Communication ou réception d’information en vertu de la LCISC

    Institution	Communication d’information en vertu de la LCISC	Réception d’information en vertu de la LCISC
    Agence des services frontaliers du Canada	Oui	Oui
    Service canadien du renseignement de sécurité		Oui
    Affaires mondiales Canada	Oui
    Immigration, Réfugiés et Citoyenneté Canada	Oui	Oui
    Gendarmerie royale du Canada	Oui	Oui
    Nombre d’activités de communication d’information	118	97

19. Comme le montre le tableau, le nombre total de dossiers que les institutions ont déclaré avoir communiqués en vertu de la LCISC ne correspond pas au nombre de dossiers reçus. De plus, les activités de communication déclarées ne correspondent pas au nombre réel de dossiers qui nous ont été présentés aux fins d’examen. Nous avons eu accès à 130 dossiers concernant la communication d’information et à 98 concernant la réception d’information. Le Commissariat a tenté d’effectuer un rapprochement entre les dossiers de communication et de réception déclarés, mais nous n’y sommes pas toujours parvenus. Nous n’avons donc pas été en mesure d’examiner et d’évaluer toute l’ampleur de la communication d’information en vertu de la Loi. Dans certains cas, les écarts pourraient être attribuables aux facteurs suivants :
    • l’institution a déclaré au départ que l’activité de communication d’information avait été faite en vertu de la LCISC, mais on a constaté par la suite que ce n’était pas le cas;
    • l’institution a mentionné que la LCISC était à l’origine de la communication de l’information, mais l’activité de communication avait eu lieu en vertu d’une autre autorité législative;
    • l’institution a donné une réponse négative (c’est-à-dire la confirmation que l’institution ayant répondu à la demande ne possédait pas d’information sur l’individu visé) qui a été considérée comme une activité de communication d’information par une seule des deux institutions.
20. Nous n’avons trouvé aucune preuve de tentatives délibérées de dissimuler la communication d’information, mais l’écart observé indique un grand manque d’uniformité dans les pratiques à l’échelle du gouvernement lorsqu’il s’agit de consigner les échanges d’information en vertu de la LCISC. Ce constat explique aussi nos préoccupations concernant la reddition de comptes. Des déclarations divergentes et incomplètes sur les activités en vertu de la LCISC nuisent à une surveillance efficace de l’administration de la Loi. Elles empêchent aussi d’évaluer de façon appropriée l’efficacité de la LCISC dans la poursuite de ses objectifs.
21. L’absence d’un mécanisme de déclaration uniforme à l’échelle du gouvernement pour suivre l’échange d’information en vertu de la LCISC nous semble préoccupante. Comme nous l’avons mentionné, en l’absence d’un registre clair et fiable faisant état de l’information communiquée, du destinataire et des fins ainsi visées, il est difficile d’évaluer la conformité d’une institution à la Loi. En outre, on peut difficilement déterminer si le nombre déclaré de communications en vertu de la LCISC dans l’ensemble du gouvernement est exact et si tous les échanges ont été déclarés. Ce constat ressort des dossiers qui nous ont été fournis aux fins d’examen.
22. Au-delà de l’absence d’un processus uniforme pour la déclaration de la communication et de la réception d’information en vertu de la LCISC, nous sommes aussi préoccupés par le manque apparent d’information dans les dossiers portant sur les communications connues ou déclarées. Dans bien des cas, les pratiques de tenue de documents des institutions visées par notre examen ne répondaient pas aux attentes minimales ni aux recommandations formulées par le gouvernement du Canada lui-même.
23. Pour appuyer la mise en œuvre de la LCISC, Sécurité publique Canada a publié le Guide pour une communication d’information responsable. Ce document de référence fait autorité aux fins de l’application de la Loi. Les orientations qu’il donne, entre autres, encouragent les institutions à examiner et à documenter les éléments suivants avant de communiquer de l’information en vertu de la LCISC :
    • les pouvoirs de l’institution en question et toute autre restriction prévue par la loi qui pourrait s’appliquer à la communication de renseignements personnels;
    • le pouvoir de l’institution destinataire de recevoir l’information en vertu de la LCISC;
    • la nature de l’information et la question de savoir si elle se rapporte aux responsabilités et aux fonctions de l’institution destinataire à l’égard d’une activité portant atteinte à la sécurité du Canada;
    • la sensibilité de l’information et, le cas échéant, la question de savoir s’il faut imposer des exigences particulières en ce qui a trait à son traitement.
24. Les éléments susmentionnés ne s’appliquent pas forcément dans chaque cas, mais nous nous attendions à ce que les institutions aient documenté en détail la raison d’être des communications de renseignements personnels en vertu de la LCISC. Cette pratique s’avère particulièrement importante lorsque l’information concerne des individus ne faisant l’objet d’aucune enquête.
25. En vertu de la LCISC, l’information peut être communiquée uniquement si elle « se rapporte à la compétence ou aux attributions de l’institution destinataire […] à l’égard d’activités portant atteinte à la sécurité du Canada^{Note de bas de page 4} ». Ainsi, avant de communiquer de l’information en vertu de la LCISC, les institutions doivent être convaincues qu’elle a trait à une activité portant atteinte à la sécurité du Canada et qu’elle se rapporte aux attributions de l’institution destinataire à l’égard de cette activité.
26. Bon nombre des dossiers examinés contenaient peu d’information attestant l’application de l’un des critères établis pour la communication de renseignements personnels en vertu de la LCISC. Nous reconnaissons que des discussions entre les institutions ont pu donner lieu dans bien des cas à l’application du seuil ou des critères pour la communication d’information, mais nous nous serions attendus à ce que l’essentiel de ces discussions et de l’analyse subséquente soit documenté afin de montrer que la décision de communiquer l’information a été prise de manière raisonnable.

    Recommandation n^o 1

    Afin d’encourager une bonne gouvernance en matière de communication de renseignements personnels en vertu de la LCISC et de renforcer la reddition de comptes et la transparence en ce qui a trait à leur utilisation, les institutions devraient mettre en œuvre en collaboration avec leurs partenaires un processus officiel et normalisé pour détecter et consigner les activités de communication d’information en vertu de la Loi.

    Recommandation n^o 2

    Les pratiques de tenue de documents des institutions qui communiquent de l’information devraient respecter les normes minimales énoncées dans le guide publié par Sécurité publique Canada. Les dossiers devraient en outre expliquer en détail la manière dont les faits dans une situation donnée répondent aux motifs de communication d’information prévus par la loi.

Aucune activité de gestion du risque n’a été menée pour détecter et atténuer les risques d’atteinte à la vie privée liés à la mise en œuvre et au mode d’application de la Loi.

27. En vertu de la Politique sur la protection sur la vie privée du gouvernement du Canada, les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels doivent réaliser, mettre à jour et publier des évaluations des facteurs relatifs à la vie privée (ÉFVP) pour les programmes ou les services nouveaux qui utilisent des renseignements personnels^{Note de bas de page 5}. Elles doivent entreprendre une ÉFVP pour un programme ou une activité lorsque des renseignements personnels concernant un individu sont utilisés (ou susceptibles de l’être) « dans le cadre d’une décision le touchant directement ». Une ÉFVP est aussi nécessaire lorsqu’une institution apporte des modifications importantes à une activité ou un programme existant qui utilise des renseignements personnels.
28. Nous sommes conscients que les répercussions opérationnelles de la LCISC pourraient varier d’une institution à l’autre. De nombreuses institutions fédérales échangeaient de l’information à des fins de sécurité nationale bien avant l’entrée en vigueur de cette loi. Elles ont donc déjà (ou devraient déjà avoir) évalué en bonne et due forme les risques de la communication de données à ces fins. Dans d’autres cas, toutefois, la communication ou la réception de renseignements personnels à des fins de sécurité nationale peut être une nouveauté, en particulier pour les nombreuses institutions à qui la LCISC a récemment conféré des pouvoirs ou celles dont le mandat n’est pas articulé autour des questions de sécurité nationale. Par conséquent, de nombreuses institutions qui devraient communiquer des renseignements personnels en vertu de la LCISC n’ont probablement mis en place aucune politique ni aucune pratique officielles à l’appui de l’échange d’information dans ce contexte.
29. Alors que la LCISC confère aux institutions le pouvoir de communiquer des renseignements personnels à l’une des 17 institutions destinataires et que l’institution en question peut les utiliser dans un processus décisionnel ayant une incidence directe sur la personne concernée, les institutions qui communiquent de l’information en vertu de la LCISC doivent déterminer et évaluer les répercussions sur la vie privée associées à cet échange avant d’exercer les pouvoirs que leur confère la Loi. Les institutions ayant déjà réalisé des ÉFVP devraient les mettre à jour dans la mesure où la LCISC a une incidence sur le mode de collecte, d’utilisation et de communication de l’information. En l’absence de la réalisation ou de la mise à jour d’une ÉFVP officielle, nous ne sommes pas en mesure de déterminer clairement comment les institutions prévoient évaluer les répercussions sur la vie privée et assurer la conformité aux exigences des lois, des règlements et des politiques liés à l’administration de la Loi sur la protection des renseignements personnels.
30. Nous avons cherché à savoir si les cinq institutions visées par l’examen avaient entrepris une ÉFVP – ou modifié une évaluation existante – en lien avec la LCISC. Deux institutions ont affirmé que les ÉFVP n’étaient pas obligatoires, une n’avait pas vu la nécessité d’une ÉFVP à ce moment et les deux autres avaient reporté la réalisation des évaluations en attendant un examen plus approfondi.
31. En résumé, aucune des cinq institutions n’avait mené une activité particulière de gestion du risque pour déterminer et atténuer les risques d’atteinte à la vie privée liés à la mise en œuvre et au mode d’application de la LCISC, en dépit des répercussions importantes que peut avoir la Loi sur les types d’information et l’ampleur de la communication d’information entre les institutions et à l’échelle du gouvernement fédéral en vertu de la Loi.
32. À notre avis, la communication d’information à des fins autres que celles visées au moment de la collecte pourrait constituer une modification importante à un programme ou à une activité d’une institution, ce qui exigerait la réalisation d’une ÉFVP (ou la modification d’une ÉFVP existante) alors qu’elle n’était pas exigée auparavant. Les pouvoirs de collecte que possèdent les institutions destinataires en vertu de la LCISC demeureront inchangés, mais la Loi vise manifestement à permettre aux institutions de recevoir davantage de renseignements et des renseignements différents de ceux qu’elles recevaient avant son entrée en vigueur, ce qui constituerait aussi une modification importante à un programme ou à une activité.

    Recommandation n^o 3

    Conformément aux exigences de la Politique sur la protection de la vie privée du gouvernement du Canada et de la Directive sur l’évaluation des facteurs relatifs à la vie privée connexe, les institutions qui communiquent ou reçoivent des renseignements personnels en vertu de la LCISC devraient évaluer en bonne et due forme les répercussions, sur la vie privée, de la mise en œuvre et du mode d’application de la Loi.

Il faut améliorer certains mécanismes de contrôle interne pour assurer un traitement approprié des renseignements personnels

33. En vertu de la Politique sur la protection de la vie privée, les institutions fédérales sont tenues d’adopter des pratiques pour la saine gestion des renseignements personnels qui relèvent d’elles. Ces pratiques visent à assurer une administration adéquate et uniforme des exigences de la Loi sur la protection des renseignements personnels. Par ailleurs, le gouvernement du Canada a élaboré, à l’appui de cette politique, la Directive sur les pratiques relatives à la protection de la vie privée^{Note de bas de page 6}. Cette directive énonce plus en détail les exigences relatives aux pratiques, y compris la nécessité de mécanismes de contrôle interne pour la gestion des renseignements personnels.
34. Au cours de notre examen, nous avons évalué la mesure dans laquelle les institutions avaient mis en place des mécanismes de contrôle interne pour gérer et atténuer les risques d’atteinte à la vie privée associés à l’échange de renseignements personnels en vertu de la LCISC. Par « mécanismes de contrôle interne », on entend les politiques et les processus visant à favoriser la conformité aux objectifs opérationnels et aux exigences législatives. Dans le cadre de notre travail, nous avons examiné des politiques à l’appui du traitement des renseignements personnels. Nous avons aussi revu des processus internes régissant la communication et la réception de renseignements personnels.
35. En vertu de la LCISC, la communication de renseignements personnels doit être ciblée et spécifique. Chaque renseignement personnel ainsi communiqué doit se rapporter à la compétence ou aux attributions de l’institution destinataire à l’égard d’une activité portant atteinte à la sécurité du Canada. En revanche, en vertu de l’article 4 de la Loi sur la protection des renseignements personnels, les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. De plus, la Directive sur les pratiques relatives à la protection de la vie privée^{Note de bas de page 7} précise que les institutions destinataires doivent limiter la collecte de renseignements personnels à ceux qui sont manifestement nécessaires.
36. Alors que la LCISC autorise l’ASFC, le SCRS, la GRC, AMC et IRCC à communiquer et à recevoir des renseignements personnels, nous nous attendions à ce que ces institutions aient conçu et mis en œuvre des mécanismes de contrôle pour les aider à s’assurer que les pratiques de traitement des renseignements personnels communiqués ou reçus en vertu de la LCISC respectaient les exigences en matière de protection de la vie privée qui leur incombent en vertu des lois et des politiques. Nous nous attendions aussi à ce que les institutions aient mis en place des mécanismes pour respecter et appliquer les limites relatives à l’utilisation, à la communication et à la conservation courantes des renseignements personnels, le cas échéant, reçus d’une autre institution.

    

    Version textuelle

    Tableau 3 : Continuum recommandé pour les mécanismes de contrôle interne

    Institution communiquant l’information

    1. Une institution autorisée découvre ou demande l’information.
    2. L’institution examine l’information pour s’assurer qu’elle respecte le seuil établi pour la communication d’information.
    3. L’institution examine l’information pour s’assurer qu’elle se rapporte au mandat de l’institution destinataire.
    4. L’institution vérifie l’information de façon à limiter la communication d’information non pertinente et d’information se rapportant à des tiers.
    5. L’institution examine l’information pour s’assurer qu’elle est aussi exacte et complète que possible.
    6. L’institution crée et met à jour un registre officiel de l’information communiquée.
    7. L’institution communique l’information à une institution autorisée et à son représentant.

    Institution recevant l’information

    1. Une institution autorisée et son représentant reçoivent l’information.
    2. L’institution crée et conserve un registre officiel faisant état de la réception de l’information.
    3. L’institution examine l’information pour s’assurer qu’elle se rapporte à une activité susceptible de porter atteinte à la sécurité du Canada.
    4. L’institution examine l’information pour s’assurer qu’elle se rapporte à son mandat.
    5. L’institution vérifie l’information de façon à en limiter la collecte à ce qui est strictement nécessaire.
    6. L’institution examine l’information pour s’assurer qu’elle est exacte et complète compte tenu de son utilisation prévue.
    7. Les mises en garde concernant l’utilisation, la communication et la conservation courantes de l’information sont prises en compte et respectées.
37. Des politiques judicieuses sont essentielles pour protéger les biens d’une organisation, y compris les renseignements personnels. Elles établissent la reddition de comptes et les responsabilités connexes et donnent accès au mécanisme qui permettra d’intégrer la sécurité et la protection de la vie privée dans les activités quotidiennes. L’absence de politiques bien définies pourrait entraîner un manque d’uniformité et des pratiques inadéquates de traitement de l’information qui posent un risque d’atteinte à la vie privée.
38. Parmi les cinq institutions sélectionnées aux fins d’examen, quatre avaient mis en œuvre des politiques régissant la communication d’information en vertu de la LCISC. La cinquième avait adopté une directive pour l’échange d’information avec un partenaire. À la fin de notre examen, elle n’avait pas élaboré de politique pour appuyer la mise en œuvre à grande échelle de la LCISC.
39. Nous nous attendions à ce que les politiques comportent à tous les moins des éléments de base portant sur le seuil établi par la Loi pour la communication d’information, le pouvoir discrétionnaire des institutions, la tenue de documents, la reddition de comptes et la surveillance. Plusieurs de ces éléments étaient absents dans certaines politiques que nous avons examinées. On trouvera ci-après notre analyse à cet égard.

    Tableau 4 : Résumé des politiques régissant la communication d’information en vertu de la LCISC

    Élément de base	Nombre de politiques traitant de l’élément de base
    Pouvoirs
    Seuil prévu pour la communication d’information en vertu de la LCISC	4 sur 5
    Activités non visées par la définition de l’expression « activités portant atteinte à la sécurité du Canada »	3 sur 5
    Interdictions ou limites imposées par la loi	4 sur 5
    Pouvoir discrétionnaire des institutions – la communication n’est pas obligatoire	4 sur 5
    Communication d’information
    Entités désignées autorisées à recevoir de l’information en vertu de la LCISC	4 sur 5
    Mention de la Charte canadienne des droits et libertés et de la protection de la vie privée en tant qu’éléments à prendre en compte dans la prise des décisions concernant la communication de l’information	4 sur 5
    Exigences relatives à la communication d’information (pertinence et nécessité)	3 sur 5
    Exigence relative aux mises en garde (p. ex. fiabilité des données, limites applicables à l’utilisation, à la communication et à la conservation de l’information communiquée et protection)	4 sur 5
    Réception d’information
    Examen de l’information reçue afin d’en déterminer la pertinence et la nécessité	2 sur 5
    Traitement de l’information ne respectant pas le seuil établi par la loi	2 sur 5
    Respect des mises en garde émises par l’institution concernant l’information qu’elle communique	3 sur 5
    Tenue de documents
    Consignation et suivi de la communication ou de la réception d’information en vertu de la LCISC à des fins de reddition de comptes et de transparence	4 sur 5
    Conservation de registres ayant trait à la communication d’information (p. ex. date, information communiquée, destinataire, fins de la communication et analyse effectuée à l’appui de la communication)	4 sur 5
    Ententes de communication d’information
    Conclusion d’ententes écrites pour la communication d’information en vertu de la LCISC	1 sur 5
    Reddition de comptes et surveillance
    Représentants désignés pour autoriser la communication d’information en vertu de la LCISC	3 sur 5
    Représentants désignés pour recevoir de l’information en vertu de la LCISC	4 sur 5

40. De plus, nous avons constaté que certaines institutions n’avaient pas mis en place de mécanismes de contrôle officiels pour assurer le respect de toutes les exigences des politiques. Nous avons notamment remarqué qu’une institution n’avait aucun mécanisme de contrôle au départ pour s’assurer que toute l’information communiquée avait trait à une activité susceptible de porter atteinte à la sécurité de Canada. De même, l’institution destinataire n’avait mis en place aucun mécanisme de contrôle pour s’assurer que chaque renseignement personnel qu’elle recueillait avait un lien direct avec ses programmes ou ses activités ou était manifestement nécessaire. Dans plusieurs cas, l’absence des mécanismes de contrôle a permis la communication de renseignements personnels concernant des tiers qui pourraient ne jamais représenter une menace pour la sécurité du Canada. De façon plus générale, en l’absence de certaines pratiques de tenue de documents, nous n’avons pas été en mesure de vérifier si d’autres mécanismes de contrôle étaient en place et fonctionnaient de la façon voulue.

    Recommandation n^o 4

    Les institutions devraient s’assurer d’adopter des politiques pour régir toutes les activités de communication d’information en vertu de la LCISC.

    Recommandation n^o 5

    Les institutions devraient examiner et, au besoin, ajuster les outils de gouvernance interne pour s’assurer que la communication d’information en vertu de la LCISC respecte les exigences législatives.

    Recommandation n^o 6

    Les institutions devraient s’assurer que les politiques régissant les échanges d’information en vertu de la LCISC sont appuyées par des mécanismes de contrôle interne proportionnés.

    Recommandation n^o 7

    Les institutions devraient examiner l’information reçue en vertu de la LCISC afin de s’assurer qu’elle se rapporte à leur compétence et à leurs attributions à l’égard d’activités portant atteinte à la sécurité du Canada. Elles ne devraient conserver aucun renseignement qui ne respecte pas ce seuil.

41. Dans ses orientations, le gouvernement du Canada recommande aux institutions fédérales de conclure des ententes écrites sur la communication de renseignements personnels. Ces ententes font état de l’accord conclu entre les parties concernant les échanges de données et contribuent à établir les modalités de l’échange de renseignements personnels.
42. Outre les politiques officielles et les mécanismes de contrôle interne régissant le traitement des renseignements personnels en vertu de la LCISC, nous nous attendions à ce que les institutions qui participent à la communication d’information aient conclu des ententes de communication d’information par écrit. Le commissaire à la protection de la vie privée du Canada a réclamé que ces ententes soient dorénavant exigées par la loi,^{Note de bas de page 8} indiquant qu’elles devraient à tout le moins définir explicitement les renseignements personnels qui seront communiqués, préciser les fins particulières visées par la communication et limiter les utilisations secondaires et tout transfert ultérieur. Ces critères ont été inclus dans le tableau ci-dessous.
43. Trois institutions avaient communiqué de l’information en vertu de la LCISC au cours de la période d’examen : deux avaient conclu une entente de communication d’information avec les institutions destinataires tandis que l’autre en avait conclu une avec une seule des deux institutions auxquelles elle avait communiqué de l’information.
44. Dans le cadre de notre examen, nous avons obtenu et examiné les ententes de communication d’information pour évaluer les mesures de protection de la vie privée. Pour les besoins de cette évaluation, nous avons utilisé comme point de référence la publication du gouvernement du Canada intitulée Document d’orientation pour aider à préparer des ententes d’échange de renseignements personnels^{Note de bas de page 9}. Ce document définit les modalités que devrait prévoir toute entente régissant la communication de renseignements personnels.
45. Nous estimons que les ententes de communication d’information conclues entre les institutions devraient être suffisamment robustes et étayées pour permettre de détecter et d’atténuer de façon appropriée les risques prévisibles liés à l’échange de renseignements personnels. À cette fin, les institutions devraient s’assurer d’y intégrer un minimum de dispositions sur la protection de la vie privée. Bien que l’objet de la communication d’information ait été défini dans les ententes examinées, nous avons relevé plusieurs lacunes concernant des mesures de protection de la vie privée que nous jugeons importantes. On trouvera ci-après un résumé de nos observations à cet égard.

    Tableau 5 : Évaluation des principaux éléments figurant dans les ententes de communication d’information

    Protection de la vie privée	Nombre d’ententes renfermant une disposition sur l’élément
    Définition des fins précises de la collecte d’information	Toutes les ententes
    Présentation des méthodes ou des procédures qui seront utilisées pour communiquer l’information	3 sur 5
    Détermination des renseignements personnels qui seront communiqués	3 sur 5
    Établissement de limites concernant les utilisations secondaires	2 sur 5
    Établissement de limites concernant les transferts ultérieurs (communications subséquentes)	3 sur 5
    Présentation des mesures qui seront prises pour s’assurer que les renseignements personnels sont exacts, complets et à jour	3 sur 5
    Détermination de la durée de conservation de l’information	Aucune
    Détermination de l’organisation dont relèvent en vertu de la loi les renseignements personnels communiqués	Aucune
    Présentation des principaux mécanismes de protection et de contrôle administratifs, techniques et physiques nécessaires pour prévenir tout accès, utilisation ou communication subséquente non autorisés	3 sur 5
    Énoncé indiquant qu’en cas d’atteinte à la vie privée (utilisation ou communication non autorisées de l’information), la partie contrevenante en avisera la partie qui lui a communiqué l’information	3 sur 5

46. Plusieurs ententes de communication d’information passaient sous silence les mécanismes ou méthodes de communication des renseignements personnels, l’exactitude et l’exhaustivité des données ainsi que les obligations en matière de conservation en lieu sûr et de traitement sécuritaire des renseignements personnels. De même, aucune entente examinée ne contenait de dispositions concernant la conservation des données et l’exercice d’un contrôle sur l’information communiquée.
47. À nos yeux, les ententes de communication d’information jouent un rôle de premier plan à l’appui de l’échange de renseignements personnels en vertu de la LCISC, tout particulièrement en l’absence de règlements officiels appuyant l’administration de la Loi. Des ententes bien conçues aident à clarifier les droits et les obligations des parties, à préciser les questions ayant trait à la garde et au contrôle et à établir des protocoles pour réagir en cas de problème ou d’incident. Elles permettent aussi de sensibiliser les fonctionnaires fédéraux ayant des responsabilités en matière de communication d’information et de les orienter. Plus important encore, les ententes de communication d’information aident à s’assurer que les institutions qui communiquent ou reçoivent l’information se conforment aux exigences de la Loi sur la protection des renseignements personnels.

    Recommandation n^o 8

    Les institutions devraient s’assurer que les activités de communication d’information en vertu de la LCISC font l’objet d’une entente écrite.

    Recommandation n^o 9

    Les institutions devraient s’assurer que les ententes écrites régissant la communication et la réception d’information en vertu de la LCISC prévoient des mesures de protection de la vie privée appropriées.

Conclusions

48. Dans le cadre de notre examen, nous nous attendions à ce que les institutions qui communiquent de l’information en vertu de la LCISC aient élaboré et mis en œuvre un système de tenue de documents en bonne et due forme afin de pouvoir suivre et surveiller constamment la communication et la réception d’information dans ce contexte. Cette pratique est conforme aux orientations du gouvernement du Canada lui-même sur la mise en œuvre et le mode d’application de la LCISC. Il est essentiel de bien tenir les documents pour assurer une bonne gouvernance et encourager la reddition de comptes et la transparence concernant la communication de renseignements personnels.
49. Nous nous attendions aussi à ce que les institutions mènent des activités de gestion du risque appropriées afin de détecter et d’atténuer le plus possible les répercussions sur la vie privée associées à l’échange d’information en vertu de la Loi. Dans la mesure où la LCISC a une incidence sur les types d’information qu’elles communiquent ainsi que sur les fins de la communication et la manière dont elle se fait, les institutions doivent s’assurer que les problèmes liés à la protection de la vie privée sont détectés, évalués et résolus de façon appropriée avant de communiquer des renseignements personnels quels qu’ils soient.
50. Enfin, nous nous attendions à ce que toutes les institutions aient mis en place des mécanismes de contrôle interne appropriés – entre autres des politiques et des ententes de communication d’information – pour gérer et atténuer les risques d’atteinte à la vie privée associés à la communication d’information en vertu de la LCISC. Mentionnons aussi les mesures de contrôle destinées à limiter la communication d’information ayant trait à des tiers qui ne sont pas la cible ou ne font pas l’objet d’une enquête et à s’assurer que l’information est vérifiée de façon appropriée dès sa réception.
51. Les résultats de notre examen montrent que les institutions n’ont pas comblé toutes nos attentes. Elles doivent faire davantage pour s’assurer que leurs activités de communication d’information en vertu de la Loi sont bien documentées à des fins de reddition de comptes et de transparence et que les répercussions sur la vie privée associées à la mise en œuvre et au mode d’application de la Loi sont pleinement prises en compte et atténuées ou éliminées.
52. En réfléchissant à l’ensemble de nos constatations, nous avons remarqué que bon nombre de nos préoccupations initiales concernant la LCISC demeurent pertinentes. D’entrée de jeu, nous avions affirmé craindre que la Loi ne donne lieu à une vaste communication de renseignements personnels entre les institutions fédérales. Nous n’avons pu effectuer un rapprochement entre toutes les communications en vertu de la Loi. Par conséquent, on ne connaît toujours pas toute l’étendue des activités dans le domaine.
53. En l’absence de registres officiels et uniformes sur la communication d’information dans l’ensemble du gouvernement et de la mise en œuvre de mécanismes de contrôle interne vigoureux, le risque de communication non autorisée et excessive de renseignements personnels persiste. Le seuil pour la communication d’information était respecté dans la grande majorité des dossiers que nous avons examinés, mais cette norme de pertinence est extrêmement faible. La Loi prévoit un seuil aussi bas et ne renferme pas de dispositions sur le traitement adéquat de l’information pouvant être communiquée, si bien qu’il est tout à fait possible que la LCISC soit invoquée pour communiquer de l’information au sujet d’individus qui pourraient ne jamais représenter une menace pour la sécurité du Canada.

Au sujet de l’examen

Autorisation législative

L’article 37 de la Loi sur la protection des renseignements personnels confère au commissaire à la protection de la vie privée du Canada le pouvoir d’examiner la conformité des pratiques de gestion des renseignements personnels des entités fédérales figurant à l’annexe de la Loi.

Objectif

Notre examen visait à vérifier si les activités de communication d’information de certaines institutions étaient conformes aux dispositions de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC). Il avait aussi pour objet de déterminer si les institutions retenues avaient mis en place des mécanismes de contrôle adéquats afin de s’assurer que leurs pratiques de traitement de l’information étaient conformes à la Loi sur la protection des renseignements personnels.

Portée

Notre examen portait sur les activités de cinq institutions – le SCRS, la GRC, l’ASFC, AMC et IRCC – pendant la période d’un an allant du 1^er août 2015 au 31 juillet 2016. Il a reposé principalement sur des entretiens et l’étude des documents fournis par les représentants des institutions. En plus de nous pencher sur les registres de communication d’information pendant la période à l’étude, nous avons évalué les politiques, les procédures et les mécanismes de contrôle interne des institutions. Nous n’avons toutefois pas examiné les systèmes de technologies de l’information à l’appui de la communication d’information en vertu de la LCISC.

L’examen était en grande partie terminé le 31 mars 2017.

Critères

Les critères d’examen ont été définis à partir de la Loi sur la protection des renseignements personnels et des politiques, directives, normes et lignes directrices connexes du gouvernement du Canada régissant la gestion des renseignements personnels.

L’examen avait pour but de déterminer :

• si l’information communiquée en vertu de la LCISC correspondait à la définition d’« activité portant atteinte à la sécurité du Canada » et si elle se rapportait au mandat de l’institution destinataire;
• si l’information ne répondant pas aux exigences législatives ou réglementaires était isolée ou renvoyée, ou si les institutions en disposaient de façon sécuritaire;
• si les institutions conservaient les dossiers faisant état de toutes les communications faites en vertu de la LCISC, y compris des documents écrits indiquant quelle information avait été communiquée, à qui et à quelles fins;
• si la communication d’information par les institutions avait fait l’objet d’une entente écrite;
• si la communication d’information par les institutions avait fait l’objet d’une surveillance et de mécanismes de contrôle interne appropriés;
• si les institutions avaient dûment évalué les risques d’atteinte à la vie privée associés à la communication d’information en vertu de la LCISC avant de communiquer les renseignements personnels.

Normes

L’examen a été effectué conformément au mandat du Commissariat à la protection de la vie privée prévu par la loi, à ses politiques et à ses propres pratiques et respectait l’esprit des normes de vérification recommandées par Comptables professionnels agréés du Canada.

Annexe A : Réponse des institutions aux recommandations

Affaires mondiales Canada

Recommandation	Réponse
Afin d’encourager une bonne gouvernance en matière de communication de renseignements personnels en vertu de la LCISC et de renforcer la reddition de comptes et la transparence en ce qui a trait à leur utilisation, les institutions devraient mettre en œuvre en collaboration avec leurs partenaires un processus officiel et normalisé pour détecter et consigner les activités de communication d’information en vertu de la Loi.	Affaires mondiales Canada accepte cette recommandation. Affaires mondiales Canada a mis en place des processus selon lesquels chaque communication fait l’objet au préalable d’un examen rigoureux, notamment d’une consultation juridique. Le ministère continuera d’examiner les processus existants avec ses partenaires au cours du prochain exercice et s’efforcera d’adopter un processus plus normalisé pour détecter et consigner les activités de communication d’information en vertu de la Loi.
Les pratiques de tenue de documents des institutions qui communiquent de l’information devraient respecter les normes minimales énoncées dans le guide publié par Sécurité publique Canada. Les dossiers devraient en outre expliquer en détail la manière dont les faits dans une situation donnée répondent aux motifs de communication d’information prévus par la loi.	Affaires mondiales Canada accepte cette recommandation. Affaires mondiales Canada a créé un dépôt pour suivre toutes les demandes reçues en vertu de la LCISC ainsi que ses propres réponses à ces demandes. Au cours du prochain exercice, le ministère examinera ses pratiques de tenue de documents en vue de les améliorer afin d’indiquer aussi par écrit la raison d’être de la communication et de préciser comment le seuil prévu par la loi pour la communication a été respecté.
Les institutions devraient examiner et, au besoin, ajuster les outils de gouvernance interne pour s’assurer que la communication d’information en vertu de la LCISC respecte les exigences législatives.	Affaires mondiales Canada accepte cette recommandation. L’une des pratiques de gouvernance interne actuelles d’Affaires mondiales Canada ayant pour objet d’assurer la conformité à la LCISC consiste à consulter systématiquement son service juridique sur chaque décision de communiquer de l’information. Au cours du prochain exercice, le ministère déterminera si des travaux supplémentaires s’imposent pour ajuster ou améliorer les outils de gouvernance. Il est à noter que le projet de loi C 59 déposé récemment renferme des dispositions supplémentaires concernant la mise en œuvre et le mode d’application de la LCISC (notamment la publication du mandat de chaque institution en matière de sécurité nationale; la publication de la délégation de pouvoir; et l’établissement d’un centre d’expertise pour toutes les institutions en matière de sensibilisation, de formation et de pratiques exemplaires). Affaires mondiales Canada continuera de suivre cette modification et les autres modifications éventuelles pour assurer la conformité aux exigences législatives.
Les institutions devraient s’assurer que les politiques régissant les échanges d’information en vertu de la LCISC sont appuyées par des mécanismes de contrôle interne proportionnés.	Affaires mondiales Canada accepte cette recommandation. À l’heure actuelle, chaque décision de communiquer de l’information doit être documentée et approuvée par un directeur ou un directeur général et les communications (entrantes et sortantes) font l’objet d’un suivi via un dépôt électronique. Au cours du prochain exercice, Affaires mondiales Canada évaluera la nécessité d’élaborer un document de politique cadre pour faire état des diverses procédures opérationnelles en place (orientation tripartite des missions; Guide des bureaux consulaires mis à jour; ÉFVP pour les bureaux consulaires, entente de communication d’information avec le SCRS, etc.).
Les institutions devraient s’assurer que les ententes écrites régissant la communication et la réception d’information en vertu de la LCISC prévoient des mesures de protection de la vie privée appropriées.	Affaires mondiales Canada accepte cette recommandation. L’entente de communication d’information consulaire conclue par Affaires mondiales Canada avec le SCRS prévoit plusieurs mesures de protection de la vie privée. Au cours du prochain exercice, le ministère explorera l’élaboration d’une entente similaire avec la Gendarmerie royale du Canada et veillera à ce que des mesures de protection de la vie privée appropriées soient en place. Il continuera également de déterminer si d’autres programmes doivent faire l’objet d’une entente de communication d’information.
Conformément aux exigences de la Politique sur la protection de la vie privée du gouvernement du Canada et de la Directive sur l’évaluation des facteurs relatifs à la vie privée connexe, les institutions qui communiquent ou reçoivent des renseignements personnels en vertu de la LCISC devraient évaluer en bonne et due forme les répercussions, sur la vie privée, de la mise en œuvre et du mode d’application de la Loi.	Affaires mondiales Canada accepte cette recommandation. Il est important de signaler que toutes les communications d’information d’Affaires mondiales Canada en vertu de la LCISC, à l’exception d’une seule, ont été faites par le programme consulaire. Les responsables de ce programme ont déjà réalisé une évaluation des facteurs relatifs à la vie privée (ÉFVP) qui s’applique pleinement à la LCISC de même qu’à toutes les décisions prises par les Opérations consulaires de communiquer de l’information en vertu d’autres autorisations. Ils ont commencé à évaluer les facteurs relatifs à la vie privée pour le programme Sécurité des missions. Le ministère continuera de déterminer s’il est nécessaire d’effectuer des ÉFVP supplémentaires.

Agence des services frontaliers du Canada

Recommandation	Réponse
Afin d’encourager une bonne gouvernance en matière de communication de renseignements personnels en vertu de la LCISC et de renforcer la reddition de comptes et la transparence en ce qui a trait à leur utilisation, les institutions devraient mettre en œuvre en collaboration avec leurs partenaires un processus officiel et normalisé pour détecter et consigner les activités de communication d’information en vertu de la Loi.	L’ASFC accepte cette recommandation. L’ASFC a déjà mis en place des processus pour assurer ce suivi et elle prévoit améliorer en continu le suivi officiel et normalisé de ses activités de communication d’information tout en se conformant à toutes les exigences énoncées dans le projet de loi C 59 et tous les futurs règlements connexes éventuels. Elle mettra en œuvre toutes les améliorations dans les limites de sa capacité technique.
Les pratiques de tenue de documents des institutions qui communiquent de l’information devraient respecter les normes minimales énoncées dans le guide publié par Sécurité publique Canada. Les dossiers devraient en outre expliquer en détail la manière dont les faits dans une situation donnée répondent aux motifs de communication d’information prévus par la loi.	L’ASFC accepte cette recommandation. L’ASFC établira une orientation stratégique appropriée pour s’assurer que les motifs des décisions de communiquer ou de recevoir de l’information seront indiqués au besoin et elle donnera suffisamment de détails pour bien renseigner les spécialistes ayant une certaine connaissance du contexte, par exemple des juges, des avocats – notamment des procureurs – et des enquêteurs, sur les raisons pour lesquelles une décision particulière a été prise.
Les institutions devraient examiner et, au besoin, ajuster les outils de gouvernance interne pour s’assurer que la communication d’information en vertu de la LCISC respecte les exigences législatives.	L’ASFC accepte cette recommandation. En plus d’examiner régulièrement ses activités de communication d’information, l’ASFC donne une orientation stratégique en temps réel pour les décisions complexes à cet égard. Elle met à jour ou remanie au besoin les documents de politique pour les adapter en fonction de l’évolution des réalités opérationnelles et s’assurer que l’orientation est fondée sur les derniers développements dans la législation fédérale, par exemple les exigences qu’imposera le projet de loi C 59 et les modifications éventuelles à la Loi sur la protection des renseignements personnels.
Les institutions devraient s’assurer que les politiques régissant les échanges d’information en vertu de la LCISC sont appuyées par des mécanismes de contrôle interne proportionnés.	L’ASFC accepte cette recommandation. L’ASFC continuera d’examiner et d’adapter sa pratique actuelle consistant à exiger que toutes les communications d’information soient approuvées au niveau hiérarchique approprié. En outre, elle donne régulièrement une formation personnalisée aux fonctionnaires qui communiquent de l’information pour s’assurer qu’ils possèdent un niveau de connaissance leur permettant de rendre des comptes.
Les institutions devraient s’assurer que les ententes écrites régissant la communication et la réception d’information en vertu de la LCISC prévoient des mesures de protection de la vie privée appropriées.	L’ASFC accepte cette recommandation. Selon la pratique actuelle de l’ASFC, à mesure que des ententes ou des arrangements sont mis en œuvre ou renouvelés, elle s’assure que ces documents prévoient des mesures de protection de la vie privée appropriées, par exemple des mises en garde contre la communication ultérieure, l’obligation de corriger l’information inexacte le cas échéant et celle de faire part de toute atteinte à la vie privée portant sur des renseignements propres à l’entité qui a fourni l’information en question afin que l’on puisse appliquer des solutions efficaces. D’autres dispositions peuvent prévoir la vérification des modalités prévues par les participants à un arrangement ou les parties à une entente.
Conformément aux exigences de la Politique sur la protection de la vie privée du gouvernement du Canada et de la Directive sur l’évaluation des facteurs relatifs à la vie privée connexe, les institutions qui communiquent ou reçoivent des renseignements personnels en vertu de la LCISC devraient évaluer en bonne et due forme les répercussions, sur la vie privée, de la mise en œuvre et du mode d’application de la Loi.	L’ASFC accepte cette recommandation. La Loi sur la communication d’information ayant trait à la sécurité du Canada ne confère aucun nouveau pouvoir de collecte d’information, si bien qu’elle ne modifie pas ni n’élargit le mandat actuel de l’ASFC ou de toute autre entité susceptible d’invoquer cette loi. Néanmoins, l’ASFC convient d’évaluer, en concertation avec Sécurité publique Canada, la nécessité de tenir compte de la LCISC dans les ÉFVP se rapportant à des programmes de l’Agence qui prévoient la communication d’information en vertu de cette loi.

Gendarmerie royale du Canada

Recommandation	Réponse
Afin d’encourager une bonne gouvernance en matière de communication de renseignements personnels en vertu de la LCISC et de renforcer la reddition de comptes et la transparence en ce qui a trait à leur utilisation, les institutions devraient mettre en œuvre en collaboration avec leurs partenaires un processus officiel et normalisé pour détecter et consigner les activités de communication d’information en vertu de la Loi.	La GRC accepte cette recommandation. Les Services de police fédérale modifieront le Manuel des opérations de la GRC afin d’exiger la consignation des éléments d’information ci-après pour toutes les communications faites par la GRC en vertu de la LCISC : description de l’information communiquée; nom de la personne qui a autorisé la communication; nom de l’institution destinataire; date de la communication; description des éléments probants attestant que la communication d’information était autorisée en vertu de la Loi; toute autre information prévue par la réglementation.
Les institutions devraient examiner l’information reçue en vertu de la LCISC afin de s’assurer qu’elle se rapporte à leur compétence et à leurs attributions à l’égard d’activités portant atteinte à la sécurité du Canada. Elles ne devraient conserver aucun renseignement qui ne respecte pas ce seuil.	La GRC accepte en partie cette recommandation. Le personnel des Services de police fédérale continuera de prendre contact avec les partenaires de la GRC pour s’assurer que l’information communiquée est ciblée et qu’elle se rapporte expressément à l’individu ou aux individus visés. En outre, les équipes de gestion des Services de police fédérale et de l’ASFC ont convenu de diffuser un communiqué conjoint à l’intention de leur personnel, entre autres pour réitérer l’importance de veiller à ce que les communications soient ciblées et qu’elles se rapportent à l’individu ou aux individus visés.
Les institutions devraient examiner et, au besoin, ajuster les outils de gouvernance interne pour s’assurer que la communication d’information en vertu de la LCISC respecte les exigences législatives.	La GRC accepte cette recommandation. La GRC examinera le Manuel des opérations de la GRC pour confirmer que la communication d’information en vertu de la LCISC est conforme aux exigences législatives. Elle mettra ce manuel à jour au besoin et, le cas échéant, diffusera les mises à jour à l’interne.
Les institutions devraient s’assurer que les politiques régissant les échanges d’information en vertu de la LCISC sont appuyées par des mécanismes de contrôle interne proportionnés.	La GRC accepte cette recommandation. La GRC examinera le Manuel des opérations de la GRC pour confirmer que la communication d’information en vertu de la LCISC est appuyée par des mécanismes de contrôle interne proportionnés. Elle mettra ce manuel à jour au besoin et, le cas échéant, diffusera les mises à jour à l’interne.
Les institutions devraient s’assurer que les ententes écrites régissant la communication et la réception d’information en vertu de la LCISC prévoient des mesures de protection de la vie privée appropriées.	La GRC accepte en partie cette recommandation. La GRC examinera le Manuel des opérations de la GRC pour confirmer que les mises en garde s’appliquant à toute l’information communiquée en vertu de la LCISC sont appropriées. Elle mettra ce manuel à jour au besoin et, le cas échéant, diffusera les mises à jour à l’interne.
Conformément aux exigences de la Politique sur la protection de la vie privée du gouvernement du Canada et de la Directive sur l’évaluation des facteurs relatifs à la vie privée connexe, les institutions qui communiquent ou reçoivent des renseignements personnels en vertu de la LCISC devraient évaluer en bonne et due forme les répercussions, sur la vie privée, de la mise en œuvre et du mode d’application de la Loi.	La GRC accepte cette recommandation. La GRC évaluera les facteurs relatifs à la vie privée pour ses activités de communication et de réception d’information en vertu de la LCISC.

Immigration, Réfugiés et Citoyenneté Canada

Recommandation	Réponse
Afin d’encourager une bonne gouvernance en matière de communication de renseignements personnels en vertu de la LCISC et de renforcer la reddition de comptes et la transparence en ce qui a trait à leur utilisation, les institutions devraient mettre en œuvre en collaboration avec leurs partenaires un processus officiel et normalisé pour détecter et consigner les activités de communication d’information en vertu de la Loi.	IRCC accepte cette recommandation. IRCC se réjouit de la recommandation préconisant un processus officiel et normalisé pour détecter et consigner les activités de communication d’information entre les institutions. Le ministère est résolu à encourager une bonne gouvernance tout en renforçant la reddition de comptes et la transparence en ce qui a trait à la communication d’information en vertu de la LCISC. IRCC a mis en œuvre un système pour assurer le suivi des communications faites en vertu de cette loi. Ce système comprend un suivi manuel de l’information clé concernant chaque communication ou réception d’information en vertu de la LCISC, la conservation d’une copie de l’information communiquée ainsi que l’envoi de lettres pour demander ou communiquer de l’information. À l’appui de ce système, le ministère donne une formation sur la communication et la réception d’information en vertu de la LCISC. En outre, IRCC accueille favorablement la modification à la LCISC prévue par le projet de loi C 59 en vue de prévoir la présentation à l’Office de surveillance des activités en matière de sécurité nationale et de renseignement, à la fin de chaque année civile, une copie des documents préparés à l’égard de l’information communiquée en application de la Loi.
Les pratiques de tenue de documents des institutions qui communiquent de l’information devraient respecter les normes minimales énoncées dans le guide publié par Sécurité publique Canada. Les dossiers devraient en outre expliquer en détail la manière dont les faits dans une situation donnée répondent aux motifs de communication d’information prévus par la loi.	IRCC accepte cette recommandation. IRCC reconnaît l’importance de pratiques de tenue de documents transparentes et s’efforce de continuer à améliorer les siennes. Le ministère a mis en place un système pour assurer le suivi des communications faites en vertu de la LCISC. Ce système comprend un suivi manuel de l’information clé concernant chaque communication ou réception d’information en vertu de la LCISC, la conservation d’une copie de l’information communiquée ainsi que l’envoi de lettres pour demander ou communiquer de l’information. IRCC a aussi élaboré des lignes directrices détaillées afin de guider le processus d’analyse nécessaire au cas par cas pour s’assurer que la communication et la réception d’information répondent aux motifs de communication prévus par la loi.
Les institutions devraient s’assurer que les politiques régissant les échanges d’information en vertu de la LCISC sont appuyées par des mécanismes de contrôle interne proportionnés.	IRCC accepte cette recommandation. IRCC a pris des mesures pour s’assurer que ses activités de communication d’information en vertu de la LCISC et les politiques connexes régissant la communication d’information sont appuyées par des mécanismes de contrôle interne proportionnés. Le ministère a adopté une politique interne à l’appui de la mise en œuvre et de l’application de la LCISC. Le Commissariat a examiné cette politique et il estime qu’elle est très judicieuse. La politique donne des lignes directrices sur les mécanismes de contrôle interne, notamment le recours à des mises en garde, la communication secondaire et la tenue de documents. IRCC a élaboré des lignes directrices détaillées afin de guider ses employés qui communiquent ou reçoivent de l’information en vertu de la Loi pour s’assurer que les employés désignés examinent les activités de communication et de réception comme il se doit.
Les institutions devraient s’assurer que les ententes écrites régissant la communication et la réception d’information en vertu de la LCISC prévoient des mesures de protection de la vie privée appropriées.	IRCC accepte cette recommandation. IRCC reconnaît l’importance de conclure des ententes de communication d’information suffisamment robustes et étayées. Le ministère a pris en compte la LCISC dans une entente de communication d’information conclue avec une institution pour couvrir l’échange d’information en vertu de la Loi. Le ministère prendra contact avec les partenaires clés auxquels il communique régulièrement de l’information à mesure que les ententes de communication d’information seront renégociées.
Conformément aux exigences de la Politique sur la protection de la vie privée du gouvernement du Canada et de la Directive sur l’évaluation des facteurs relatifs à la vie privée connexe, les institutions qui communiquent ou reçoivent des renseignements personnels en vertu de la LCISC devraient évaluer en bonne et due forme les répercussions, sur la vie privée, de la mise en œuvre et du mode d’application de la Loi.	IRCC accepte cette recommandation. IRCC reconnaît l’importance de réaliser, de tenir à jour et de publier des évaluations des facteurs relatifs à la vie privée (ÉFVP) pour les nouveaux programmes et services qui utilisent des renseignements personnels. Les cas de communication d’information en vertu de la LCISC ont été peu fréquents et n’ont pas modifié de façon importante les programmes ou les activités d’IRCC. La LCISC fournit un mécanisme efficace pour communiquer de l’information ciblée qui aurait probablement aussi été communiquée par le passé à des partenaires en matière de sécurité, mais au moyen d’un processus plus lourd. Quoi qu’il en soit, IRCC reconnaît les répercussions sur la vie privée de la communication de renseignements personnels à des fins de sécurité nationale.

Service canadien du renseignement de sécurité

Recommandation	Réponse
Afin d’encourager une bonne gouvernance en matière de communication de renseignements personnels en vertu de la LCISC et de renforcer la reddition de comptes et la transparence en ce qui a trait à leur utilisation, les institutions devraient mettre en œuvre en collaboration avec leurs partenaires un processus officiel et normalisé pour détecter et consigner les activités de communication d’information en vertu de la Loi.	Le SCRS accepte cette recommandation. Toutes les communications du SCRS sont faites en vertu de l’article 19 de la Loi sur le SCRS, et non en vertu de la LCISC. L’obligation de consigner les communications incombe à l’institution qui la communique. Toutefois, le SCRS a adopté une approche initiale selon laquelle il consigne l’information reçue d’autres partenaires en vertu de la LCISC. Le SCRS examinera son approche et l’actualisera au besoin.
Les institutions devraient mettre en œuvre des politiques et des procédures ou ajuster les outils de gouvernance existants pour s’assurer que toutes les activités de communication d’information en vertu de la LCISC respectent les exigences législatives.	Le SCRS accepte cette recommandation. L’approche du SCRS concernant la mise en œuvre et le mode d’application de la LCISC, comme il l’a indiqué au Commissariat avant la mise en œuvre, consistait à adopter une démarche bilatérale stratégique pour mobiliser les partenaires afin d’assurer un exercice responsable de ce pouvoir. Affaires mondiales Canada et l’Agence du revenu du Canada ont été désignés comme partenaires prioritaires. Le SCRS et Affaires mondiales Canada ont élaboré conjointement un cadre de gouvernance. Ils ont notamment produit du matériel de communication conjoint à l’intention des employés; élaboré par écrit une entente de communication d’information précisant quels sont les renseignements qui peuvent être communiqués et comment ils seront gérés et utilisés; normalisé des modèles pour faciliter la communication d’information; et lancé des initiatives de formation conjointes pour faire connaître aux employés toutes les exigences connexes. Le SCRS poursuit ses efforts de concert avec l’Agence du revenu du Canada afin d’élaborer par écrit une entente de communication d’information pour régir la communication en vertu de la LCISC. En réponse à cette recommandation, le SCRS examinera au cours du prochain exercice tous les documents d’orientation et il les mettra à jour au besoin. Il élaborera aussi du nouveau matériel selon les besoins.
Les institutions devraient s’assurer que les politiques régissant les échanges d’information en vertu de la LCISC sont appuyées par des mécanismes de contrôle interne proportionnés.	Le SCRS accepte cette recommandation. Le SCRS ne communique pas d’information en vertu de la LCISC, mais il est tenu de s’assurer que toute l’information reçue de partenaires en vertu de cette loi est conforme à la Loi sur le SCRS. Pour s’en assurer, il a mis en place un processus particulier afin de gérer la communication proactive émanant de ses partenaires. Plus précisément, le SCRS a désigné une direction comme point de contact unique, ce qui constitue un mécanisme de contrôle interne de l’accès initial et à l’information et de son utilisation. En ce qui a trait aux communications reçues à la suite d’une demande d’information émanant de sa propre organisation, le SCRS applique les politiques et procédures pertinentes régissant l’accès à l’information ainsi que son utilisation et sa gestion et il continuera de les appliquer. En réponse à cette recommandation, le SCRS déterminera s’il y a lieu d’élaborer une politique ou une procédure particulière concernant la LCISC.
Les institutions devraient s’assurer que les activités de communication d’information en vertu de la LCISC font l’objet d’une entente écrite.	Le SCRS accepte en partie cette recommandation. Le SCRS évalue au cas par cas la nécessité de conclure une entente de communication d’information écrite et elle continuera de le faire. À ce jour, comme il l’a signalé au Commissariat au cours du processus d’examen, le SCRS a jugé nécessaire de conclure une entente écrite avec Affaires mondiales Canada et une avec l’Agence du revenu du Canada. L’entente avec Affaires mondiales Canada a déjà été conclue et celle avec l’Agence du revenu du Canada est en voie d’être finalisée.
Les institutions devraient s’assurer que les ententes écrites régissant la communication et la réception d’information en vertu de la LCISC prévoient des mesures de protection de la vie privée appropriées.	Le SCRS accepte cette recommandation. Les ententes de communication d’information susmentionnées renferment des dispositions sur des mesures de protection de la vie privée, notamment en ce qui concerne l’utilisation et la gestion de l’information communiquée. Si d’autres ententes similaires sont élaborées, le SCRS veillera à ce que toutes les ententes écrites régissant la réception d’information en vertu de la LCISC prévoient des mesures de protection de la vie privée appropriées.
Conformément aux exigences de la Politique sur la protection de la vie privée du gouvernement du Canada et de la Directive sur l’évaluation des facteurs relatifs à la vie privée connexe, les institutions qui communiquent ou reçoivent des renseignements personnels en vertu de la LCISC devraient évaluer en bonne et due forme les répercussions, sur la vie privée, de la mise en œuvre et du mode d’application de la Loi.	Le SCRS accepte en partie cette recommandation. Au cours du prochain exercice, le SCRS procédera à une évaluation officielle pour déterminer s’il doit évaluer les facteurs relatifs à la vie privée pour ses activités de mise en œuvre et d’application de la LCISC.