Travailler ensemble en tant que champions de la protection de la vie privée

Commentaires en vue de la réunion de la collectivité de l’AIPRP

Le 10 décembre 2014
Ottawa (Ontario)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Bonjour, je vous remercie de l’invitation à me joindre à vous ici aujourd’hui.

Je sais que ma prédécesseure avait établi de solides relations de travail avec la collectivité de l’AIPRP et j’espère pouvoir prendre appui sur celles-ci dans mon nouveau rôle en tant que commissaire à la protection de la vie privée.

Comme vous le savez, j’ai été fonctionnaire pendant plus de 30 ans. Au cours de ces années, j’ai travaillé dans les domaines des services correctionnels, de la citoyenneté et de la sécurité nationale. Ma passion pour les droits de la personne est toujours demeurée le fil conducteur de mon parcours et je continue de la nourrir dans l’exercice de mes nouvelles fonctions. Je crois que l’accès à l’information et la protection de la vie privée sont des droits fondamentaux.

Je sais que le travail que vous accomplissez n’est pas facile et n’est pas toujours apprécié à sa juste valeur. Mais je sais aussi qu’il est essentiel à notre démocratie.

Lorsqu’il y a des changements au niveau de la direction, on se préoccupe de savoir s’il y aura une nouvelle orientation, et de connaître cette nouvelle orientation, le cas échéant.

J’aimerais prendre un instant pour vous assurer que le Commissariat à la protection de la vie privée a été et restera déterminé à collaborer de manière constructive avec les ministères et organismes fédéraux afin de veiller à ce que le droit à la vie privée est respecté et que les renseignements personnels des Canadiennes et Canadiens sont protégés.

Comme vous le savez, mon travail consiste en partie à mener des enquêtes à la suite de plaintes, à examiner les atteintes à la sécurité des renseignements personnels et à effectuer des vérifications de la protection des renseignements personnels qui peuvent toucher vos ministères.

Bien que les agents du Parlement doivent s’acquitter de leurs tâches de façon indépendante du gouvernement en place, je crois qu’il existe de très nombreuses façons dont nous pouvons également collaborer pour favoriser la protection de la vie privée.

Voilà pourquoi j’aimerais mettre l’accent aujourd’hui sur des domaines d’intérêt mutuel. J’aborderai notamment les atteintes, les EFVP et les plaintes.

Atteintes à la sécurité des renseignements personnels

Comme vous l’avez peut-être lu dans notre rapport annuel qui a été déposé en octobre, le nombre d’atteintes à la sécurité des renseignements personnels signalées volontairement au Commissariat au cours du dernier exercice a atteint un sommet, soit 228 atteintes.

En effet, pour une troisième année consécutive, le nombre d’atteintes à la sécurité des renseignements personnels signalées au Commissariat a augmenté.

Bien que l’on ait toujours encouragé le signalement au Commissariat des atteintes substantielles à la sécurité des renseignements personnels, il s’agissait néanmoins d’un geste volontaire.

Étant donné leur caractère volontaire, les signalements n’étaient pas fait de manière uniforme et ne pouvaient pas faire l’objet de statistiques fiables. Ainsi, le Commissariat n’est pas en mesure de déterminer si la hausse des signalements résulte d’une plus grande sensibilisation ou d’une augmentation réelle du nombre d’atteintes.

Quoi qu’il en soit, nous avons collaboré avec le Secrétariat du Conseil du Trésor et, depuis le mois de mai, il est devenu obligatoire pour les ministères et organismes fédéraux de signaler toutes les atteintes substantielles, tant au Commissariat qu’au SCT.

Nous en sommes à régler certains détails. Nous voulons notamment nous assurer que tout le monde soit d’accord sur ce qui constitue une atteinte substantielle. Mais nous avons confiance qu’avec ce changement, nous aurons accès à des statistiques plus précises, et le Commissariat ainsi que le Secrétariat du Conseil du Trésor pourront cibler plus précisément les efforts de sensibilisation et d’éducation.

Je ne veux pas consacrer trop de temps aux atteintes à la sécurité des renseignements personnels, car Jean Plamondon, responsable des activités de signalement des atteintes du gouvernement au Commissariat, et Barbara Dundas, du Secrétariat du Conseil du Trésor, en discuteront en profondeur. Je vous encourage tous à assister à leurs présentations. Avant de poursuivre, j’aimerais souligner un point important.

Comme vous le savez, même le Commissariat n’est pas à l’abri d’une atteinte.

En effet, le Commissariat a fait l’objet d’une atteinte à la sécurité des renseignements personnels durant son déménagement d’Ottawa à Gatineau. Cet événement a été une bonne leçon d’humilité pour le Commissariat. Il nous a permis d’être plus avisé et de mieux comprendre les difficultés auxquelles font face les ministères lorsque survient une atteinte à la sécurité des renseignements personnels.

Étant donné que les atteintes à la sécurité des renseignements personnels peuvent éroder la confiance des Canadiennes et Canadiens à l’égard de leurs institutions, il est impératif que nous accordions un plus grand soin au traitement des renseignements personnels les concernant.

Pour ce faire, on doit se doter de mesures de contrôle de la sécurité appropriées sur les plans matériel, technologique, administratif et du personnel, afin d’atténuer le risque d’atteinte.

Évaluations des facteurs relatifs à la vie privée

Vous conviendrez sûrement qu’il est beaucoup plus facile et moins coûteux de s’attaquer aux questions relatives à la protection des renseignements personnels de façon proactive plutôt que de ramasser les dégâts après coup. C’est aussi un moyen beaucoup plus efficace de protéger le droit à la vie privée.

Voilà pourquoi nous encourageons les ministères et organismes à tenir compte des répercussions relatives à la protection de la vie privée de toute nouvelle politique ou de tout nouveau programme, et ce, le plus tôt possible dans le processus d’élaboration.

En effectuant une EFVP, les institutions fédérales sont à même de cerner les risques pour la protection des renseignements personnels liés à une activité prévue et d’expliquer au public canadien les mesures qu’elles prennent pour les atténuer. Elles représentent un outil important pour assurer la transparence envers le public.

Le Commissariat a reçu environ 84 nouvelles évaluations des facteurs relatifs à la vie privée au cours du dernier exercice, soit un nombre équivalent à celui des années précédentes. Je crois comprendre que le Commissariat a observé une amélioration importante de la qualité des EFVP présentées au cours de la dernière décennie; c’est une excellente nouvelle.

Il est clair que de nombreux ministères et organismes reconnaissent la valeur de cet outil de gestion des risques. Ils comprennent que la protection des renseignements personnels est au cœur de leurs décisions opérationnelles et ils respectent le droit à la vie privée des individus.

Néanmoins, bien que certains ministères fassent preuve d’une grande diligence à l’égard des EFVP, il y en a d’autres qui soumettent rarement des évaluations ou n’en soumettent jamais.

À l’occasion, nous entendons parler dans les médias d’une nouvelle politique ou d’un nouveau programme et l’on se demande pourquoi aucune évaluation des facteurs relatifs à la vie privée n’a pas été effectuée.

Il arrive aussi que nous recevions une évaluation seulement quelques jours avant l’inauguration d’une initiative, ce qui ne laisse pratiquement aucun temps pour réaliser un véritable examen ou formuler des commentaires, et encore moins pour mettre en œuvre nos recommandations.

Je n’insisterai jamais suffisamment sur l’importance d’amorcer les évaluations des facteurs relatifs à la vie privée tôt au cours du processus de planification de toute nouvelle initiative ou de tout changement important à des initiatives existantes.

Je comprends que, par le passé, vous ayez soulevé des préoccupations concernant le fait que l’exécution des EFVP exigeait un investissement considérable en temps et en ressources et que des directives supplémentaires étaient requises.

Le Commissariat a répondu à cette demande et, en collaboration avec le Secrétariat du Conseil du Trésor, nous avons élaboré des ateliers de niveaux débutant, intermédiaire et avancé sur les évaluations des facteurs relatifs à la vie privée pour les spécialistes de l’AIPRP et autres intervenants chargés de rédiger des EFVP.

Ces ateliers sont présentés sous la forme de dîners-causeries au Commissariat, ce qui présente l’avantage supplémentaire de permettre aux spécialistes de l’AIPRP d’établir des liens avec leurs homologues d’autres ministères.

En fait, nous avons tenu l’une de ces séances la semaine dernière. S’il s’agit d’un sujet qui pourrait intéresser votre institution, nous serons ravis d’organiser une séance.

En fin de compte, nous espérons que nos conseils viendront compléter la formation ainsi que les normes, les exigences et les directives formulées par le SCT, et qu’ils vous encourageront à mener une analyse approfondie des risques pour la vie privée.

Le site Web du Commissariat contient une foule de renseignements sur les évaluations des facteurs relatifs à la vie privée qui, je l’espère, vous seront utiles. Cela dit, le Commissariat demeure disponible pour fournir des conseils en cette matière aux institutions tôt dans le processus d’examen des risques rattachés à une initiative.

Je désire également vous rappeler que notre rôle ne consiste pas à approuver les évaluations ou à entériner des projets ou des propositions, et nous ne pouvons pas non plus participer à l’élaboration des EFVP pour les institutions.

Ce n’est pas notre rôle.

Nous vous offrons des conseils, formulons des recommandations et soulignons les risques éventuels pour la vie privée; cependant, il incombe ultimement à l’institution de déterminer elle-même le type de mesure d’atténuation qu’elle prendra et quel niveau de risque est acceptable. Le Commissariat doit demeurer indépendant du processus d’approbation ministériel, puisqu’il doit ultimement fournir des conseils au Parlement.

Je vous encouragerais également, en tant que spécialistes de l’AIPRP, à intervenir tôt dans le processus de rédaction des évaluations. Vous êtes les spécialistes internes et vous pouvez répondre à de nombreuses questions.

Par ailleurs, certaines institutions ont déjà mis en œuvre des processus qui fonctionnent en matière d’EFVP. Je vous encourage à établir des liens, à apprendre et à vous inspirer des expériences et de l’expertise de chacun.

Par exemple, le forum du Secrétariat du Conseil du Trésor pour les professionnels de l’AIPRP sur GCconnexpeut être une plateforme formidable pour partager des conseils, des outils de formation, des conseils et des pratiques exemplaires. Si ce n’est déjà fait, je vous encourage à y jeter un œil.

Il convient également de mentionner le Projet de biométrie pour les résidants temporaires, qui constitue un bon exemple de collaboration et de coopération interministérielles. Citoyenneté et Immigration Canada (CIC), l’ASFC et la GRC ont travaillé conjointement sur les évaluations des facteurs relatifs à la vie privée pour ce projet, et mobilisé le Commissariat à chacune des étapes.

Sur cette note, j’aimerais aussi souligner le fait que le processus ne se termine pas lorsque le rapport final a été élaboré et expédié au Commissariat et au SCT.

Les programmes et les initiatives ont tendance à évoluer, et il est donc nécessaire de continuer d’évaluer les risques pour la vie privée et de les atténuer pendant la durée de vie complète d’un programme ou d’une initiative.

Les EFVP sont en partie une question de gestion des risques stratégiques. À mon avis, il est crucial que les ministères et organismes considèrent la protection des renseignements personnels comme un enjeu stratégique et non comme un enjeu technique ou encore comme un enjeu à aborder après coup.

À cet égard, et sans vouloir imposer une structure particulière aux ministères, le Commissariat estime aussi que certaines institutions auraient grandement avantage à se doter d’un responsable de la protection de la vie privée et d’un comité ou groupe de travail central par l’entremise duquel les décisions ayant trait aux évaluations des facteurs relatifs à la vie privée pourraient être prises.

Un responsable de la protection de la vie privée peut assurer un leadership stratégique par rapport à une panoplie de questions relatives à la protection de la vie privée, ainsi que superviser les travaux des coordonnateurs et des gestionnaires de l’AIPRP qui doivent s’acquitter de responsabilités en cette matière.

Les responsables de la protection de la vie privée devraient disposer d’un mandat et d’un rôle organisationnel clairs de promouvoir la sensibilisation à la protection de la vie privée et la conformité aux lois en cette matière. Leur fonction devrait être pleinement intégrée et visible au sein de l’organisation et ils devraient avoir accès à la haute direction de l’organisation, afin que les enjeux de protection des renseignements personnels soient abordés directement au niveau de la haute direction.

En fait, le Commissariat a décidé de prêcher par l’exemple sur cette question et depuis décembre 2013, la responsable de la protection de la vie privée relève directement du commissaire.

Plaintes

En ce qui concerne les plaintes déposées auprès du Commissariat, leur nombre augmente d’année en année, et elles sont de plus en plus complexes.

La majorité des plaintes dont est saisi le Commissariat dans les affaires liées à la Loi sur la protection des renseignements personnels a trait aux délais et à l’accès aux renseignements personnels; mais nous observons aujourd’hui un plus grand nombre de plaintes relatives à la collecte, à l’utilisation, à la conservation et à la communication des données qu’il y a quelques années.

Les plaintes relatives à la collecte, à l’utilisation, à la conservation et à la communication représentent environ le quart des dossiers de plaintes terminés. Il y a une décennie, elles représentaient seulement 10 à 15 % du nombre total de plaintes.

Il importe de mentionner qu’il peut être plus difficile de faire enquête à la suite de plaintes liées aux articles 4 à 8. D’une part, bon nombre d’intervenants ministériels peuvent être mobilisés et chacun d’eux peut détenir un morceau différent du casse-tête. D’autre part, trouver la bonne personne avec qui parler peut représenter tout un défi.

Une autre difficulté rattachée à ce type de plainte est le lien que peut avoir un dossier avec la loi habilitante d’un ministère. Afin de déterminer si la communication de renseignements est autorisée en vertu de la Loi sur la protection des renseignements personnels, par exemple, les enquêteurs peuvent devoir analyser des ententes et textes législatifs complexes, ou encore le fonctionnement d’importants programmes gouvernementaux.

Même les demandes d’accès aux renseignements plus traditionnelles en vertu de la Loi sur la protection des renseignements personnels peuvent être complexes. Comme vous le savez bien, l’information n’est pas toujours consignée dans un seul dossier papier bien organisé. À l’ère numérique d’aujourd’hui, les renseignements personnels sont consignés dans une multitude d’endroits et il peut être difficile d’en remonter la trace.

Vous, en tant que spécialistes de l’AIPRP, êtes souvent notre premier point de contact, mais étant donné que vous n’êtes pas toujours directement concernés, il vous est souvent difficile de répondre à l’ensemble de nos questions. Il est donc important pour nous de pouvoir nous adresser directement aux responsables de programmes et nous espérons que vous puissiez faciliter ce processus.

Nous voyons de plus en plus de plaintes provenir d’un grand nombre de personnes à la suite d’un incident unique.

Par exemple, le Commissariat mène actuellement une enquête à la suite de 339 plaintes relatives à un envoi massif effectué par Santé Canada, qui aurait exposé les noms et les adresses postales de quelque 40 000 personnes ayant participé au Programme d’accès à la marihuana à des fins médicales.

Il y a aussi un plus grand nombre de plaintes liées à des événements qui se sont produits des années auparavant.

Cela présente un défi particulier, car les données probantes n’existent bien souvent plus et les témoins ne sont plus disponibles. Ces situations nous contraignent à revoir certaines de nos approches et dispositions.

Ainsi donc, les plaintes et les plaignants deviennent de plus en plus complexes et les besoins de plus en plus sophistiqués.

Nous recevons aujourd’hui de nombreuses plaintes au sujet de pratiques qui touchent directement le contrôle d’une personne sur les renseignements personnels la concernant par rapport à l’utilisation que des tiers en font.

Par exemple, l’année dernière, nous avons institué une enquête à la suite d’une plainte d’une activiste des Premières Nations qui alléguait qu’elle avait été la cible d’une attention excessive de la part du gouvernement.

Elle affirmait que les fonctionnaires gouvernementaux ont commencé à surveiller ses allocutions et à collecter des données à partir de sa page Facebook personnelle après que son organisation eut déposé une plainte contre le gouvernement en vertu de la Loi sur les droits de la personne.

Nous avons conclu que ce n’est pas simplement parce que des renseignements personnels sont publiquement disponibles sur Internet que cela les rend non personnels.

Nous avons recommandé que les deux ministères concernés cessent d’accéder à ces renseignements à partir des sites de médias sociaux, à moins qu’ils ne puissent démontrer un lien direct avec les affaires légitimes du gouvernement. Cette question touche directement le pouvoir d’une institution de recueillir des renseignements personnels.

La surveillance des médias sociaux et l’usage de ceux-ci par le gouvernement pour mobiliser le public et interagir avec lui ont été cernés, il y a quelques années, comme une tendance de plus en plus présente, susceptible de soulever des préoccupations par rapport à la protection des renseignements personnels. En tant que champions de la protection de la vie privée, nous devons rester vigilants.

En cette période d’austérité gouvernementale, je sais que vos institutions luttent pour continuer de s’acquitter de leurs mandats.

La réponse à nos questions et à nos demandes de documentation dans le cadre de nos enquêtes peut parfois céder le pas à d’autres besoins plus urgents.

Dans ce contexte, nous devons continuer de travailler ensemble pour que ce processus soit le plus efficient et harmonieux possible.

Conclusion

Selon une étude réalisée par le Commissariat en 2011, bon nombre d’entre vous avez indiqué que vous consacriez plus de temps à traiter les questions relatives à l’accès à l’information que celles touchant la protection des renseignements personnels. Dans certains cas, les questions de protection des renseignements personnels représentaient seulement 15 % de votre charge de travail.

Depuis 1983, les chiffres du Conseil du Trésor montrent que les activités liées à l’AIPRP ont coûté près d’un milliard de dollars, dont 61 % peuvent être attribués à l’administration de la Loi sur l’accès à l’information.

Cela étant dit, le nombre de demandes individuelles relatives à la protection des renseignements personnels a de loin dépassé les demandes d’accès à l’information. Depuis 1983, plus de 1,3 million de demandes ont été déposées en vertu de la Loi sur la protection des renseignements personnels comparativement à un peu moins de 600 000 en vertu de la Loi sur l’accès à l’information.

De plus, ces chiffres ne tiennent pas compte de l’ensemble des responsabilités relatives à la protection des renseignements personnels dont vous vous acquittez. Les responsabilités dont j’ai discuté ici aujourd’hui : les évaluations des facteurs relatifs à la vie privée, les atteintes et les activités liées à la collecte, à l’utilisation, à la conservation et à la communication des données décrites dans la Loi sur la protection des renseignements personnels.

Les révélations au sujet de la surveillance de l’État, la pression continue pour un accès légal aux renseignements des abonnés des entreprises de télécommunications et l’expansion massive d’Internet sont autant de questions qui ont mis la protection de la vie privée sous les projecteurs au cours des dernières années.

Je crois que nous pouvons maintenant attendre le retour du pendule et que vous, la collectivité de l’AIPRP, serez peut-être à même de voir un plus juste équilibre entre ces deux grandes responsabilités.

Votre rôle relatif à la protection des renseignements personnels ne se limite pas simplement au traitement de demandes.

Le Commissariat vous perçoit tous comme les gardiens de la vie privée — les champions de la protection de la vie privée, pour ainsi dire – au sein de vos ministères, et je vous encourage à poursuivre cette œuvre fondamentale.

Les Canadiennes et Canadiens s’attendent à ce que leur gouvernement traite les renseignements personnels les concernant avec égards, et à ce chapitre, vous avez un rôle crucial à jouer.

Il est certain que la protection des renseignements personnels et l’accès à l’information demeureront sous les projecteurs.

N’oublions pas le « PRP » dans AIPRP.

Date de modification :