Protéger la vie privée dans le cadre des enquêtes

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors d'un Séminaire sur la fraude

Winnipeg (Manitoba)
le 17 mars 2009

Allocution prononcée par Chantal Bernier,

Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je suis très heureuse d’être ici, et j’aimerais remercier les organisateurs de ce séminaire d’avoir accordé une place privilégiée aux enjeux liés à la protection de la vie privée dans leur programme.

À première vue, les enquêtes judiciaires et la protection de la vie privée semblent des éléments quelque peu contradictoires. Dans le premier cas, l’objectif est de découvrir et de révéler les faits, et dans le deuxième, de limiter la communication des renseignements.

Toutefois, ces deux éléments pourraient ne pas être aussi incompatibles qu’il n’y paraît. En fait, je dirais qu’ils sont complémentaires, et même que les principes de protection de la vie privée peuvent vous aider dans vos enquêtes.

Compte tenu de la nature extrêmement délicate des renseignements que vous mettez au jour, il est absolument essentiel que vous compreniez le cadre de la législation relative à la protection des renseignements personnels.

Ce matin, j’aimerais vous donner un aperçu général du cadre juridique et du cadre de gouvernance de la législation sur la protection des renseignements personnels au Canada.

À partir de ce cadre juridique sont établis les principes clés de protection de la vie privée qui devraient vous guider dans vos travaux. J’aimerais vous donner des conseils pratiques sur la façon dont vous pourriez appliquer ces principes dans votre quotidien.

En terminant, je souhaiterais discuter de certaines tendances récentes qui sont à surveiller — et auxquelles on doit s’adapter.

Cadre juridique

La protection de la vie privée est régie par un ensemble de lois fédérales et provinciales. Pour savoir quelle loi s’applique à vous, il faut déterminer si vous êtes un employé, un fournisseur ou une entreprise exerçant des activités commerciales, et si vous êtes tenu par contrat de vous conformer à des dispositions législatives précises.

Si vous êtes un employé d’une institution fédérale citée à l’annexe de la Loi sur la protection des renseignements personnels, c’est cette loi fédérale qui s’appliquera. Parmi les organisations assujetties à cette loi figurent la GRC, les organismes de sécurité nationale du Canada et des services spécialisés au sein de ministères fédéraux  

Si vous êtes un entrepreneur travaillant pour le gouvernement fédéral, vous êtes assujetti aux modalités de votre contrat, qui doit intégrer les normes juridiques appropriées de la Loi sur la protection des renseignements personnels.

Si vous travaillez pour une entreprise privée ou que vous êtes propriétaire d’une entreprise privée, l’information que vous traitez est probablement visée par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Cette loi vise les activités commerciales exercées au Canada, sauf en Colombie-Britannique, en Alberta et au Québec. Ces provinces ont adopté des lois sur la protection des renseignements personnels applicables au secteur privé qui sont reconnues comme étant essentiellement similaires à la LPRPDE. Certaines provinces ont également adopté des lois visant les renseignements personnels sur la santé.

Enfin, si vous agissez au nom d’un organisme du gouvernement provincial ou d’une administration municipale, les questions de vie privée sont régies par la loi provinciale appropriée ou par des dispositions contractuelles.

Avant d’entreprendre toute enquête, demandez-vous quel est votre cadre juridique pour ce qui est de la protection de la vie privée. En d’autres mots, selon que vous êtes fonctionnaire, entrepreneur ou employé d’une entreprise du secteur privé, ou selon la province dans laquelle vous travaillez, quelles sont les lois en matière de protection des renseignements personnels que vous devez connaître et quelles sont vos obligations contractuelles?

L’application des diverses lois peut-être extrêmement complexe dans le cadre des enquêtes. Par exemple, les personnes qui sont assujetties à la LPRPDE peuvent également être tenues par contrat de se conformer à la Loi sur la protection des renseignements personnels lorsqu’elles mènent des travaux d’enquête pour le compte d’institutions fédérales assujetties à la Loi. Le Secrétariat du Conseil du Trésor a recommandé que les principes ou les normes de protection des renseignements personnels les plus rigoureux soient adoptés lorsque plus d’une loi s’applique.

Assurez-vous de demander conseil à un expert si vous avez des doutes quant à vos obligations et à vos responsabilités.

Structure de gouvernance au niveau fédéral

Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d’agir à titre d’ombudsman, de défenseur et de gardien du droit à la vie privée au Canada.

La commissaire est une haute fonctionnaire du Parlement.

Nous surveillons l’application des deux lois fédérales que j’ai mentionnées précédemment, soit la Loi sur la protection des renseignements personnels, qui régit la gestion des renseignements personnels dans les institutions publiques fédérales, et la LPRPDE, qui s’applique au secteur privé.

À titre d’ombudsman, la commissaire reçoit et examine les plaintes concernant les ministères et entreprises visés par les deux lois. Si le Commissariat conclut qu’une plainte est justifiée, il travaille avec l’organisation en cause pour améliorer ses politiques et ses pratiques en matière de protection des renseignements personnels.

Bien que la commissaire ait le pouvoir de convoquer des témoins, de faire prêter serment et d’exiger la production de preuves, il est rare qu’elle doive exercer ce pouvoir. La plupart des organisations coopèrent avec le Commissariat.

Nous menons également des travaux de recherche, d’élaboration de politiques et de sensibilisation du public pour soutenir les organisations des secteurs public et privé dans leurs efforts pour protéger le droit à la vie privée.

Nous aidons les ministères fédéraux à évaluer l’impact des programmes, des politiques gouvernementales et des lois sur la vie privée.

Cela comprend, entre autres, des vérifications de ministères et de programmes fédéraux.

Par exemple, vous avez peut-être entendu récemment des reportages sur notre vérification d’Élections Canada. Nous avons constaté que les lacunes dans la façon dont les renseignements personnels de 23 millions d’électeurs inscrits sont gérés pouvait exposer les Canadiennes et les Canadiens à de sérieux risques, comme le vol d’identité.

L’année dernière, nous avons effectué des vérifications qui ont soulevé des inquiétudes sur le plan de la vie privée en ce qui concerne les fichiers inconsultables de la GRC et des opérations liées au passeport canadien.

Je suis responsable de la mise en œuvre de la Loi sur la protection des renseignements personnels, qui est en place depuis 1983.

Ma collègue, Elizabeth Denham, est la commissaire adjointe responsable des questions liées à la LPRPDE.

Je dois également mentionner que la structure fédérale regroupe le Commissariat à la protection de la vie privée et le Commissariat à l’information. Le Commissariat à la protection de la vie privée traite des questions liées à l’accès aux renseignements personnels tandis que le Commissariat à l’information se concentre sur l’accès à d’autres types de renseignements détenus par le gouvernement fédéral.  

Structure de gouvernance au niveau provincial

Il existe beaucoup de lois provinciales relatives à la protection des renseignements personnels.  

Ici, au Manitoba, par exemple, il y a la Loi sur l’accès à l’information et la protection de la vie privée, qui s’applique aux organisations provinciales et municipales.

Le Manitoba a également adopté une loi qui protège les renseignements sur la santé, soit la Loi sur les renseignements médicaux personnels.

La plupart des provinces et des territoires ont des commissaires à l’information et à la protection de la vie privée, bien que certains d’entre eux, comme le Manitoba, ont un ombudsman.

Au niveau provincial, les fonctionnaires sont responsables de l’accès à l’information et de la protection des droits en matière de vie privée.

Les commissaires et ombudsmans provinciaux sont des agents indépendants de leur législature provinciale respective.

La protection de la vie privée et les entrepreneurs

Le recours à des entrepreneurs pour la tenue d’enquêtes judiciaires a considérablement augmenté ces dernières années.

Si vous confiez des travaux à la sous-traitrance, vous devez veiller à ce que vos entrepreneurs comprennent quelle loi sur la protection des renseignements personnels s’applique et, bien sûr, à ce qu’ils s’acquittent de leurs obligations aux termes de cette loi. 

On recommande fortement aux organisations du secteur privé de préciser ces exigences dans les contrats. Les institutions gouvernementales doivent veiller à ce que leurs ententes contractuelles ne minent pas leur capacité de se conformer à leurs obligations en vertu de la Loi sur la protection des renseignements personnels.

Il convient également de stipuler, dans les contrats, qu’à la fin du projet, l’entrepreneur doit remettre toute documentation renfermant des renseignements personnels.

Nous sommes actuellement en train d’enquêter sur une affaire survenue dans le secteur public fédéral où un entrepreneur a largement communiqué des renseignements personnels sur une personne. Nous avons découvert qu’aucune clause du contrat ne mentionnait l’obligation de se conformer à la Loi sur la protection des renseignements personnels. (Le Ministère en cause a changé son contrat type depuis.)

En vertu de la Loi sur la protection des renseignements personnels, les entrepreneurs doivent être tenus par contrat d’obéir aux mêmes règles que celles applicables aux fonctionnaires. En ce qui touche la protection des renseignements personnels, ils doivent se plier aux mêmes exigences que les employés gouvernementaux.

Contexte juridique : la Charte canadienne des droits et libertés

Notre cadre juridique et de gouvernance repose sur la Charte canadienne des droits et libertés — en particulier sur les articles 7 et 8.

En tant que loi suprême du Canada, la Charte s’applique aux activités du gouvernement et garantit un certain nombre de droits et libertés à toute la population canadienne. 

Étant donné que la Charte ne prévoit aucun droit distinct et explicite à la vie privée, pour invoquer le droit à la vie privée en vertu de la Charte, il faut se reporter aux dispositions relatives à l’autonomie individuelle.

L’article 8 est la source la plus reconnue de protection de la vie privée en vertu de la Charte.

Il vise à protéger les « attentes raisonnables en matière du respect de la vie privée » d’une personne contre l’ingérence déraisonnable de l’État.

S’il n’y a pas d’« attentes raisonnables en matière du respect de la vie privée », l’article 8 ne s’applique pas. Cela s’explique par le fait que les intrusions de l’État sont uniquement considérées comme des « fouilles », des « perquisitions » ou des « saisies » dans le cas où la personne pourrait avoir des « attentes raisonnables en matière de respect de la vie privée » dans de telles circonstances.

Par conséquent, pour conclure qu’il y a eu manquement à l’article 8 de la Charte, il faut d’abord se demander si une mesure prise par le gouvernement va à l’encontre des attentes raisonnables d’une personne en matière de respect de la vie privée.

Sinon, il n’y a pas eu de « fouilles », de « perquisitions » ou de « saisies » au sens de l’article 8. 

Si les attentes raisonnables en matière du respect de la vie privée n’ont pas été respectées, la prochaine étape de l’analyse est l’évaluation du caractère raisonnable de la fouille, de la perquisition ou de la saisie vu les circonstances.

La loi reconnaît trois domaines de protection de la vie privée :

  • territorial – le meilleur exemple est votre maison;
  • personnel ou physique, ce qui comprend la protection du corps humain et de la personnalité physique, incluant les images et la voix;
  • informatif, ce qui a trait à la protection des détails intimes de votre vie personnelle, y compris l’orientation sexuelle, l’emploi, les opinions sociales, etc.

L’existence d’attentes raisonnables en matière de respect de la vie privée dans un cas en particulier dépend de l’ensemble des circonstances. Les tribunaux tiennent compte de plusieurs facteurs, notamment :

  • l’objet de la fouille, de la perquisition ou de la saisie;
  • si une personne a un intérêt direct en ce qui concerne l’objet de la fouille, de la perquisition ou de la saisie;
  • si une personne a des attentes subjectives en matière de respect de la vie privée liées à l’objet de la fouille, de la perquisition ou de la saisie;
  • si oui, est-ce que cette attente subjective est raisonnable, étant donné différents facteurs, comme :
  • les circonstances entourant l’intrusion de l’État;
  • l’endroit où l’intrusion de l’État a eu lieu;
  • le but de l’intrusion de l’État;
  • le type d’intérêt en matière de la vie privée dont il est question – territorial, informatif ou personnel (physique);
  • si les renseignements étaient à la vue de tous;
  • si les renseignements avaient été abandonnés;
  • si les renseignements étaient déjà entre les mains de tierces parties; si oui, est-ce qu’ils faisaient l’objet d’une obligation de confidentialité?;
  • si la technique utilisée par la police était envahissante par rapport à l’intérêt en matière de la vie privée;
  • si la fouille a révélé les détails intimes du style de vie du demandeur ou des renseignements biographiques.

Un récent exemple notoire de cette analyse est la conclusion de la Cour suprême du Canada dans les affaires des chiens renifleurs selon laquelle les élèves du secondaire avaient des attentes raisonnables en matière du respect du caractère privé du contenu de leurs sacs à dos : « […] les sacs à dos contiennent beaucoup d’effets personnels; c’est notamment le cas pour les personnes qui, en raison de leur style de vie, ont à effectuer de nombreux déplacements pendant la journée, par exemple les élèves ».

Si on arrive à la conclusion que des attentes raisonnables en matière du respect de la vie privée existent, la prochaine étape de l’analyse est de déterminer si la fouille, la perquisition ou la saisie allant à l’encontre de ces attentes était raisonnable vu les circonstances. 

Pour évaluer le caractère raisonnable de la fouille, de la perquisition ou de la saisie, les tribunaux tiennent généralement compte des éléments suivants :

  • si la fouille, la perquisition ou la saisie est autorisée par la loi;
  • si cette autorisation est raisonnable;
  • si la façon dont la fouille a été menée était raisonnable.

 

Principes de protection de la vie privée

Nécessité et proportionnalité; consentement; exactitude; sécurité : voilà certains des principes essentiels qui s’appliquent en tout temps, que vous soyez assujettis à la Charte, ou aux lois fédérales ou provinciales sur la protection des renseignements personnels.

Je traiterai de chacun de ces principes un peu plus en profondeur...

Nécessité et proportionnalité

Le critère de nécessité est reconnu à l’échelle internationale comme un principe de base de la protection de la vie privée.

La LPRPDE, ainsi que les lois de presque tous les territoires et provinces, ont un critère de nécessité. 

Les politiques du Conseil du Trésor comprennent aussi un critère de nécessité et nous avons demandé au gouvernement fédéral d’en faire une exigence législative explicite au niveau fédéral.

Dans l’exercice de nos fonctions, nous avons observé des cas où des renseignements ont été recueillis inutilement, tant dans le secteur public que dans le secteur privé.

Ainsi, notre vérification auprès d’Élections Canada a soulevé des inquiétudes à propos des renseignements remis par des organismes provinciaux dans le but de mettre à jour la liste électorale nationale.

Élections Canada recevait, de la part des bureaux provinciaux d’immatriculation des véhicules automobiles, des renseignements personnels de conducteurs de 16 et 17 ans, même si ces adolescents n’étaient pas en âge de voter. En outre, l’organisme recevait automatiquement d’autres renseignements qu’il ne demandait pas, par exemple, si le permis de conduire d’un particulier avait été suspendu.
Élections Canada a accepté de suivre nos recommandations et de cesser de recueillir des renseignements dont il n’a pas besoin.

Dans le secteur privé, un bon exemple est la collecte de renseignements sur les permis de conduire des gens qui retournent de la marchandise sans reçu dans le secteur de la vente au détail.

Dans notre enquête sur l’atteinte à la sécurité des données survenue chez TJX — le géant américain du commerce au détail qui est propriétaire des magasins Winners et HomeSense au Canada — nous avons découvert que les fraudeurs ont obtenu accès non seulement à des numéros de carte de crédit, mais aussi à des permis de conduire et à d’autres renseignements permettant l’identification.

Nous comprenons qu’il est nécessaire de détecter les retours frauduleux, mais de sérieuses préoccupations sont soulevées lorsqu’il est question de consigner les numéros des permis de conduire des gens ainsi que d’autres renseignements délicats permettant l’identification.

En réponse à nos préoccupations, TJX a proposé un nouveau processus innovateur afin de traiter la question des retours frauduleux sans conserver les numéros de permis de conduire dans son système.

Le personnel en magasin continuera de demander des pièces d’identité lorsque des motifs commerciaux valables le justifient. Cependant, dès que des renseignements tels que le numéro de permis de conduire seront entrés dans le système au point de vente, ils seront convertis selon des algorithmes en un numéro d’identification unique pouvant facilement être relié à la personne. 

Le Commissariat, de concert avec les commissaires de l’Alberta et de la Colombie-Britannique, a récemment publié des directives invitant les détaillants à être prudents lorsqu’ils demandent des renseignements figurant sur les permis de conduire des consommateurs et qu’ils en prélèvent les numéros.

Le critère de nécessité est un principe essentiel de la protection de la vie privée. L’intégration de meilleurs contrôles par l’institution qui recueille les renseignements personnels permettra de réduire les risques de mauvaise utilisation et de communication des renseignements personnels.

Vous pouvez également réduire les coûts de la collecte, du stockage, de la conservation, et, ultimement, de l’archivage de données.

Consentement

En gros, les principes de protection de la vie privée obligent les organisations à expliquer aux gens, de façon sérieuse, à quelles fins elles recueillent, utilisent ou communiquent des renseignements personnels.

Le consentement devrait être obtenu avant ou pendant la collecte de renseignements personnels de même qu’au moment où une nouvelle utilisation est prévue.

Le consentement n’est valable que si les intéressés comprennent à quelles fins les renseignements qui les concernent seront utilisés.

Des renseignements personnels peuvent être recueillis sans le consentement de l’intéressé si l’obtention du consentement compromet la disponibilité ou l’exactitude des renseignements, ainsi que dans les cas où ces derniers sont nécessaires pour une enquête sur la violation d’un accord ou d’une loi fédérale ou provinciale. 

En vertu de la Loi sur la protection des renseignements personnels, le fondement de la collecte de renseignements est le besoin, c’est-à-dire qu’une institution a besoin de renseignements personnels pour administrer et exécuter des programmes. Dans une enquête sur l’assurance-emploi, par exemple, les renseignements personnels recueillis doivent avoir un lien direct avec l’enquête.

Sous le régime de la LPRPDE, le consentement est le fondement de la collecte de renseignements personnels. Même au cours d’une enquête, il faut obtenir le consentement de l’intéressé, à moins que l’une des exceptions à cette exigence ne s’applique.

Contenu – Exceptions relatives à la communication

Certaines exceptions permettent également la communication de renseignements personnels à l’insu d’un particulier ou sans son consentement.

Sous le régime de la LPRPDE, la communication des renseignements personnels par les organisations à l’insu d’une personne et sans son consentement est autorisée dans un certain nombre de cas, par exemple :

  • si elle est exigée par assignation, mandat ou ordonnance d’un tribunal ou d’un organisme investi des pouvoirs requis;
  • si elle est faite au Centre d’analyse des opérations et déclarations financières du Canada (CANAFE), tel que l’exige la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes;
  • si elle est faite à une institution gouvernementale aux fins de l’application du droit, de la tenue d’enquêtes ou de la collecte de renseignements liés à l’application du droit canadien, provincial ou étranger;
  • si elle est faite, à l’initiative de l’organisation, à un organisme d’enquête nommé dans les règlements de la Loi ou à une institution gouvernementale si l’organisation a des motifs raisonnables de croire que le renseignement a trait à la violation d’un accord ou à une contravention au droit fédéral, provincial ou étranger.

Les lois sur la protection des renseignements personnels visent à protéger les particuliers et non pas à faire obstruction à la justice; par conséquent, elles permettent une certaine souplesse en ce qui concerne les enquêtes.

Je tiens cependant à insister sur le fait que cette exception et les autres ont pour but de faire en sorte que nous continuions à vivre dans une société sécuritaire et équitable. Elles ne doivent pas servir de motif pour recueillir tous les renseignements que vous pouvez trouver.

Il est essentiel pour des enquêteurs d’arriver à un équilibre entre les efforts pour exposer les fautes et l’obligation de respecter le droit à la vie privée des particuliers.

Vous devriez être en mesure d’expliquer pourquoi vous recueillez ou communiquez des renseignements personnels.

Exactitude

L’exactitude est un autre principe particulièrement important dans le contexte du travail d’enquête.

Je suppose que ce n’est pas nécessaire de le préciser à des représentants d’une profession qui attire des passionnés de l’exactitude, mais… il est de votre devoir de conserver des renseignements personnels aussi précis, exhaustifs et à jour que nécessaire, en tenant compte de l’utilisation de ceux-ci et des intérêts de la personne.

Les renseignements personnels devraient être mis à jour au besoin pour répondre aux fins prévues. Une façon de déterminer si cette mise à jour est nécessaire dans un cas précis est de se demander si l’utilisation ou la communication de renseignements périmés ou incomplets nuirait au particulier.

Je voudrais vous mettre en garde contre le fait de donner des opinions personnelles sur des particuliers, comme « À mon avis, madame X est malhonnête », car l’opinion devient alors un renseignement personnel du particulier concerné. Les opinions constituent des renseignements personnels non seulement de leurs auteurs, mais aussi de la personne sur qui elles portent. Peu de gens comprennent bien ce concept.

Je vous conseille de garder à l’esprit que les opinions exprimées au sujet d’un particulier pourraient faire l’objet d’une demande d’accès à des renseignements personnels. Faites bien attention aux commentaires spontanés qui pourraient se retourner contre vous.

Je vous offre deux autres conseils pour faire en sorte que les renseignements personnels en votre possession soient exacts :

  • consigner la date à laquelle les renseignements personnels ont été obtenus ou mis à jour;
  • consigner les mesures prises pour vérifier si les renseignements personnels sont exacts, complets et opportuns.

Sécurité

L’élaboration et la mise en œuvre d’une politique en matière de sécurité constitue une étape importante qui vous aidera à assumer votre responsabilité à l’égard de la protection des renseignements personnels.

Les mesures de sécurité adoptées devraient comprendre :

  • des moyens matériels, comme le verrouillage des classeurs, la restriction de l’accès aux bureaux et des systèmes d’alarme;
  • des mesures techniques, comme l’usage de mots de passe, du chiffrement et de pare-feu;
  • des mesures administratives, comme des autorisations sécuritaires, un accès sélectif, la formation du personnel et des ententes.

Vous devriez conserver les dossiers qui renferment des renseignements délicats dans un lieu ou un système informatique sécuritaire et vous assurer que l’accès à ces dossiers est réservé uniquement aux personnes qui doivent en prendre connaissance.

Vous devriez aussi revoir et mettre à jour vos mesures de sécurité régulièrement.

Vous devriez également sensibiliser votre personnel à l’importance de protéger le caractère confidentiel des renseignements personnels, notamment en offrant des séances de formation répétées sur la sécurité.

Autre point important : lorsque vous communiquez des renseignements, à un client, par exemple, assurez-vous de supprimer ou de masquer les renseignements personnels non pertinents à l’enquête.

Enfin, ne conservez pas les renseignements une fois que vous n’en avez plus besoin.

Revenons à l’exemple de l’affaire Winners/HomeSense; nous avons découvert que l’entreprise conservait certains renseignements personnels indéfiniment, soit longtemps après que ceux-ci ne soient plus nécessaires. Les pirates informatiques n’auraient pas été en mesure de mettre la main sur ces renseignements s’ils avaient été détruits en temps opportun et de façon sécuritaire. 

Tendances et menaces

Passons maintenant aux nouvelles tendances dans le domaine de la protection de la vie privée; certaines pourraient avoir une incidence sur votre travail.

Les menaces à la vie privée des Canadiennes et des Canadiens sont nombreuses. Dans notre société mondialisée, la sécurité, le commerce, la technologie et les attentes des consommateurs ont créé un contexte instable pour nos renseignements personnels. 

La mondialisation nous met au défi d’établir un langage international en matière de protection de la vie privée.

Les avancées de la technologie promettent de nous faciliter la vie, mais souvent aux dépens des droits de la personne tels que la protection de la vie privée et la capacité d’exercer un contrôle sur nos renseignements personnels.

Les gouvernements semblent croire — à tort, bien souvent — que la collecte d’une grande quantité de données personnelles réglera les questions de sécurité nationale et publique. Devant l’instauration de nouvelles initiatives antiterroristes et d’application de la loi, la protection de la vie privée est traitée sans ménagement.

Le secteur privé considère également les renseignements personnels comme un produit très recherché.

Nous sommes d’autant plus préoccupés que de nombreuses entreprises ne protègent pas convenablement ces renseignements délicats qui deviennent ainsi vulnérables aux actions des pirates informatiques et des voleurs d’identité.

Le Commissariat à la protection de la vie privée aborde quotidiennement de nombreux enjeux dont la liste demeurera toujours très longue. Toutefois, nous avons établi quatre priorités stratégiques qui nous permettront, pendant les années à venir, de mieux cibler notre approche des nouveaux enjeux en matière de protection de la vie privée

Ces priorités sont les technologies de l’information, la sécurité nationale, les renseignements génétiques, et l’intégrité de l’identité ou « vol d’identité ».

Évolution de la technologie

La technologie évolue à un rythme époustouflant. Plusieurs nouvelles technologies exposent la protection de la vie privée à de nouveaux périls; pensons à l’identification par radiofréquence, aux technologies de surveillance et aux nanotechnologies, par exemple.
À lui seul, l’entreposage de données sur support électronique a révolutionné le monde. Les gens produisent maintenant, notamment par l’entremise du courriel, un volume élevé de documents écrits qui ne font l’objet ni d’un contrôle de la qualité ni d’un archivage adéquat. Ces courriels contiennent aussi quantité de renseignements personnels que vous devez dépouiller et protéger.
À mesure que le crime se déplace vers le cyberespace, les enquêtes judiciaires doivent emboîter le pas. Notre défi commun, à vous en tant qu’enquêteurs et à nous en tant qu’ombudsmans et organismes de surveillance, est de devenir de véritables cracks de la technologie; pour accomplir notre travail, nous devons absolument maîtriser chaque nouvel outil qu’offre le cyberespace. Pour vous comme pour nous, cela signifie l’embauche de personnes extrêmement douées en informatique.

Parmi les progrès technologiques pertinents dans le cadre de votre travail, notons la rapide expansion de l’« informatique dans les nuages ».

L’informatique dans les nuages, c’est lorsqu’on stocke les logiciels et les données sur des serveurs hébergés par un fournisseur de services, et où vous pouvez accéder aux applications opérationnelles au moyen d’un navigateur Web, de partout où vous avez accès à Internet.

Cela complique beaucoup les enquêtes judiciaires; il ne suffit plus de se rendre sur les lieux et de fouiller dans les classeurs, les ordinateurs et les serveurs qui s’y trouvent.

Lorsque vos données sensibles sont traitées par des partenaires traditionnels ou des fournisseurs de services, vous avez une bonne idée d’où elles se trouvent et vous pouvez appliquer les contrôles de sécurité appropriés pour les protéger. Toutefois, avec l’informatique dans les nuages, vous ne le savez pas et, dans les faits, vous ne pouvez pas le savoir. Quel serveur traite vos données? Où sont-elles transférées et via quel réseau? Où sont-elles stockées? Vous ne pouvez pas le savoir, car les systèmes des fournisseurs répondent dynamiquement à vos besoins croissants et décroissants, ainsi qu’à ceux de milliers d’autres clients.

La souplesse et l’extensibilité qui font de l’informatique dans les nuages une technologie intéressante la rendent également imprévisible et compliquent les enquêtes judiciaires. Par exemple, comment ferez-vous pour récupérer un document si vous ne savez pas où il est stocké? Ce sera là un défi de taille. Notamment, les appareils de poche font en sorte qu’il est encore plus difficile de relever les défis technologiques dont je viens de parler : ils compliquent le suivi des échanges en raison des messages NIP à NIP et ils permettent de générer des enregistrements écrits « à la volée », qui sont donc très susceptibles d’être inexacts. Les communications sans fil — pour lesquelles nous sommes en train de faire une vérification auprès de six ministères du gouvernement fédéral — pourraient accroître de façon considérable la vulnérabilité des renseignements personnels en rendant possibles les accès illicites.

Vol d’identité

Certains d’entre vous ont enquêté sur des affaires liées au vol d’identité et ont une connaissance directe de l’ampleur massive de ce problème mondial.

Les attaques systématisées que perpètrent les criminels sur des entreprises capables de recueillir de grandes quantités de renseignements personnels entraînent des coûts importants pour ces dernières, qui nous refilent ensuite la facture.

Le Commissariat a exhorté le gouvernement fédéral à promulguer des lois sur le vol d’identité et à prendre des mesures législatives énergiques à l’égard des polluposteurs.

Nous demandons aussi au gouvernement d’adopter une approche plus coordonnée de protection de l’identité. Plusieurs ministères et organismes s’intéressent actuellement à la prévention du vol d’identité, mais aucun n’a la responsabilité de s’attaquer au problème. 

Selon nous, les tendances suivantes présentent un risque particulier :

  • les réseaux sociaux, où une personne peut partager ses renseignements personnels avec quelque 800 « amis », comme Facebook ou les réseaux sociaux de patients;
  • les moteurs de recherche de personnes, qui facilitent la recherche sur des personnes n’ayant jamais soumis de renseignements personnels de leur propre initiative;
  • la collecte accrue de renseignements, comme les boutiques qui vous demandent votre numéro de téléphone, et les banques et entreprises de cartes de crédit qui veulent obtenir des renseignements permettant de vous identifier (par exemple le nom de fille de votre mère).

Conclusion

J’espère que vous garderez présents à l’esprit certains enjeux essentiels concernant la protection de la vie privée lorsque vous mènerez vos enquêtes.

Tout d’abord, déterminez quelles lois en matière de protection des renseignements personnels s’appliquent. Ce n’est pas une mince affaire dans certains cas, et vous devrez peut-être consulter un expert.

Si vous faites affaire avec des fournisseurs, vous devez vous assurer qu’ils connaissent leurs responsabilités et leurs obligations sur le plan juridique; veillez d’ailleurs à ce que cette exigence figure au contrat!

Enfin, rappelez-vous des principes clés en matière de protection de la vie privée : nécessité et proportionnalité, consentement, exactitude, et sécurité.

Les lois sur la protection des renseignements personnels peuvent même vous aider dans le cadre de vos enquêtes. En respectant les règles, vous conférez à vos travaux une plus grande rigueur. 

Ce faisant, vous recueillerez sans doute beaucoup moins de renseignements; toutefois, ceux dont vous disposerez seront essentiels et vous aideront à constituer votre dossier.

Une tonne de renseignements personnels non pertinents sont parfois recueillis dans le cadre des travaux minutieux et détaillés qu’exige la conduite d’enquêtes judiciaires.

Il est important de connaître vos obligations et vos responsabilités en matière de protection des renseignements personnels. 

Votre appartenance à une organisation comme l’Association des enquêteurs de fraude certifiés du Canada témoigne de votre engagement envers l’excellence et envers un travail rigoureux et bien fait.

Des organisations comme la vôtre, qui ont le souci de faire toute la lumière sur les affaires de fraude tout en respectant les règles, jouent un rôle essentiel.

Vos travaux d’enquête exposent souvent de nouveaux défis et menaces, de nouvelles failles dans les systèmes, et de nouveaux enjeux sur lesquels se pencher. Nous suivons ces développements avec beaucoup d’intérêt, et nous nous efforçons de veiller à ce que notre travail tienne compte des réalités de la société moderne tout en continuant à défendre les mesures de protection des renseignements personnels auxquelles nous tenons tant.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :