À l’intention des fonctionnaires : principaux points à retenir du rapport annuel 2019-2020
Le 8 octobre 2020
Les Bulletins de la Loi sur la protection des renseignements personnels sont destinés à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à communiquer cette information à vos collègues.
Le plus récent rapport annuel du commissaire à la protection de la vie privée du Canada a été présenté aujourd’hui au Parlement.
Le rapport, qui a pour thème principal la vie privée en temps de pandémie, porte notamment sur les travaux entrepris par le Commissariat à la protection de la vie privée du Canada pour aider des organisations des secteurs public et privé durant cette crise de santé publique, ainsi que sur les leçons à retenir de ces travaux.
Le commissaire Daniel Therrien a fait remarquer en conférence de presse que la protection de la vie privée et la poursuite d’objectifs de politique publique, comme la santé publique et la reprise économique, ne sont pas contradictoires. On peut les réaliser simultanément.
« Lorsqu’il s’agit de protéger nos droits dans un environnement numérique, les lois fédérales actuelles ne sont tout simplement pas à la hauteur, a-t-il déclaré. Nous avons besoin de lois qui permettent aux Canadiens de profiter des avantages de la technologie, dans l’intérêt public, tout en préservant leur droit à la vie privée. Le moment est venu de montrer aux Canadiens qu’ils peuvent avoir les deux à la fois. »
Le rapport annuel fait ressortir certains enjeux clés dont toutes les institutions fédérales devraient tenir compte.
Enjeu 1 – Déclaration d’atteinte à la vie privée
Nous continuons de croire que le nombre d’atteintes à la vie privée signalées au Commissariat ne représente que la pointe de l’iceberg. Par exemple, nous constatons avec une certaine inquiétude que très peu de déclarations de la part des institutions fédérales mentionnent un événement lié à la cybersécurité (moins de 2 % comparativement à 42 % dans le secteur privé).
On ne sait pas très bien pourquoi il y a un écart aussi important entre les chiffres pour le secteur public et le secteur privé.
Les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels (LPRP) doivent signaler au Commissariat et au Secrétariat du Conseil du Trésor du Canada toute atteinte substantielle à la vie privée.
Les Lignes directrices sur les atteintes à la vie privée du Conseil du Trésor stipulent que des atteintes sont réputées « substantielles » si :
- elles concernent des renseignements personnels sensibles;
- il serait raisonnable de penser qu’elles pourraient causer un dommage ou un préjudice grave à une personne ou qu’elles touchent un grand nombre de personnes.
Point à retenir
- Votre institution doit déclarer au Commissariat toute atteinte substantielle à la vie privée découlant de cyberattaques qui sont menées, par exemple, au moyen de logiciels malveillants, de logiciels de rançon, du piratage psychologique ou d’attaques visant des mots de passe.
Enjeu 2 – Plaintes relatives au non-respect des délais prévus par la loi
Trop d’institutions fédérales manquent à leur obligation de répondre dans les délais prescrits aux demandes d’accès à des renseignements personnels présentées en vertu de la LPRP.
Le Commissariat reçoit beaucoup de plaintes de personnes alléguant qu’une institution fédérale aurait, de manière injustifiée, refusé de leur communiquer les renseignements personnels les concernant dans les délais prévus.
Par conséquent, nous avons adopté une nouvelle approche pour les plaintes relatives aux délais, en concluant à une présomption de refus pour résoudre les cas où les institutions ne répondent pas en temps opportun ou de manière acceptable, ou ne sont pas en mesure de s’engager à répondre dans un délai précis aux demandes d’accès à des renseignements personnels.
Un volet important de l’approche à l’égard des présomptions de refus est la résolution conditionnelle des plaintes dans les cas où une institution s’engage à répondre aux demandes d’accès à des renseignements personnels dans un délai acceptable.
En 2019-2020, nous avons adressé à 11 institutions fédérales 146 lettres faisant état d’une présomption de refus. En comparaison, nous avions conclu en 2018-2019 à 31 présomptions de refus, mettant en cause trois institutions fédérales.
Une présomption de refus permet aux Canadiens d’exercer leur droit de s’adresser à la Cour fédérale plus rapidement lorsqu’ils ont de la difficulté à avoir accès à leurs renseignements personnels.
Points à retenir
- Les institutions fédérales doivent répondre aux demandes de communication de renseignements personnels conformément aux dispositions de la LPRP.
- Dans les cas où le Commissariat reçoit une plainte selon laquelle l’institution fédérale n’aurait pas donné suite à une demande dans les délais prévus par la LPRP, le Commissariat invitera l’institution à négocier une date raisonnable avant laquelle cette dernière s’engage à fournir une réponse au plaignant (date d’engagement).
- Advenant le cas où une institution ne fournirait pas de date d’engagement raisonnable au Commissariat, celui-ci peut présenter une conclusion de présomption de refus, permettant ainsi au plaignant de porter l’affaire devant la cour.
Enquêtes
Le rapport annuel fait ressortir plusieurs enquêtes en vertu de la LPRP susceptibles d’intéresser les fonctionnaires.
- Nécessité de la réforme législative mise en évidence dans une enquête sur une fuite d’information concernant une nomination à la Cour suprême
- Communication de renseignements médicaux d’une manière conforme à la LPRP dans le cadre d’un procès militaire
- Communication autorisée en vertu de la LPRP de renseignements personnels dans le cadre d’un litige
- Dépôt d’une plainte à la suite de la communication de renseignements médicaux à une tierce partie par l’ASFC
- Enregistrement vidéo en milieu de travail dans des établissements correctionnels
- Utilisation par EDSC d’images de caméras de surveillance pour établir des faits concernant les heures de travail d’une employée
- L’ASFC devrait conserver les codes d’accès des appareils numériques des voyageurs uniquement en cas de nécessité
- Voyageurs en possession de cannabis : l’ACSTA avise la police de manière contraire à la LPRP
Vous voulez en savoir plus?
Vous pouvez communiquer avec nous sur notre site Web pour signaler une atteinte à la vie privée au sein de votre institution ou par courriel à l’adresse notification@priv.gc.ca. Vous trouverez également dans notre site Web de l’information sur ce à quoi s’attendre au cours d’une enquête sur une plainte.
Ne manquez pas nos prochains Bulletins de la LPRP en vous abonnant à notre fil RSS.
- Date de modification :