Un rapport spécial du Commissaire à la protection de la vie privée du Canada sur l’application ArriveCAN souligne les points à retenir dans le contexte de la passation de marchés par les institutions fédérales

Le 12 mars 2026

Les bulletins portant sur la Loi sur la protection des renseignements personnels visent à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée au gouvernement fédéral. Nous vous encourageons à communiquer cette information avec les employés de votre organisation, y compris les équipes qui travaillent dans les domaines de la technologie, des communications et de la prestation de programmes.

---

Un rapport spécial sur une enquête menée par le Commissaire à la protection de la vie privée du Canada sur l’application ArriveCAN a été déposé au Parlement aujourd’hui.

L’enquête a été lancée à la suite d’une plainte contre l’Agence des services frontaliers du Canada (ASFC) relativement aux pratiques contractuelles utilisées pendant la conception de l’application ArriveCAN. L’application a été lancée pendant la pandémie de COVID-19 pour numériser la collecte de renseignements sur les voyageurs et accélérer le traitement des voyageurs à la frontière.

L’enquête n’a mis au jour aucune preuve donnant à penser que des renseignements personnels recueillis au moyen de l’application ArriveCAN ont été utilisés ou communiqués en violation de la LPRP, qui régit les pratiques de traitement des renseignements personnels adoptées par les institutions fédérales.

Tous les contrats liés à ArriveCAN permettant l’accès à des renseignements personnels comprenaient des clauses appropriées décrivant les exigences contractuelles en matière de sécurité et prévoyaient des mesures de sécurité précises qui devraient être mises en œuvre.

L’enquête souligne l’importance de la protection de la vie privée comme élément central à prendre en considération lors de l’élaboration de contrats d’impartition. Les conclusions représentent une occasion de sensibiliser toutes les institutions fédérales aux pratiques exemplaires de passation de marchés de façon à garantir aux Canadiennes et aux Canadiens une protection rigoureuse en matière de vie privée.

Principaux points à retenir pour les institutions fédérales

• Veiller à ce que l’évaluation des exigences en matière de sécurité soit réalisée dans un délai raisonnable avant l’attribution du contrat afin d’atténuer les risques que présente l’utilisation de données obsolètes ou inexactes. Les exigences en matière de sécurité doivent être rigoureusement évaluées, préciser le niveau de sensibilité des renseignements et prévoir les mesures de sécurité nécessaires à l’exécution du contrat.
• Décrire clairement et précisément les projets ou travaux à réaliser dans le cadre des autorisations de tâches, ce qui est essentiel pour veiller à ce que les exigences correspondantes en matière de sécurité et de protection de la vie privée soient évaluées adéquatement (en fonction de facteurs comme la sensibilité des renseignements, le type de travail à réaliser ou l’emplacement des travaux).
• Gérer les cotes et les autorisations de sécurité et les processus de renouvellement de manière proactive et en assurant une supervision stricte afin d’atténuer les risques d’atteinte à la vie privée que présente l’accès par les entrepreneurs aux renseignements personnels. Pour ce faire, il faudrait à tout le moins mettre en œuvre une approche axée sur les risques pour évaluer l’admissibilité continue des entrepreneurs à accéder aux renseignements personnels dans les cas où les cotes ou les autorisations peuvent ne plus être valides ou à jour.
• Limiter les autorisations et l’accès à ce qui est strictement nécessaire.

---

Ne manquez pas nos prochains Bulletins sur la LPRP en vous abonnant à notre fil RSS.