Fiches des enjeux liés au Budget principal des dépenses 2023-2024

Table des matières

A) Corporatif

Budget et dépenses
Dotation et RH

B) Conformité

Enquêtes
Atteintes
- Conformité : statistiques et tendances sur les atteintes

C) Promotion

Communication
- Statistiques et tendances en matière de communication
Analyse technologique
- Statistiques et tendances de la Direction de l’analyse des technologies
Conseil aux entreprises
- Activités principales de la Direction des services-conseils à l’entreprise
Conseil au Gouvernement
- Services-conseils au gouvernement – Activités principales
- Services-conseils au gouvernement – Statistiques et tendances
Collaboration internationale
- International (général)
- Collaboration sur l’application de la loi
Sensibilisation et orientation du public
- Programme des contributions
- Élaboration d’orientations

D) Devant les tribunaux

Devant les tribunaux : Facebook
Devant les tribunaux : Google

E) Projets de loi et modifications législatives

Projet de loi C-27
Réforme de la Loi sur la protection des renseignements personnels
Partis politiques
S-12 (Registre national des délinquants sexuels)
C-42 (Registre de la propriété effective)

A) Corporatif

Budget et dépenses

Ressources budgétaires du Commissariat

Principaux messages

En tant qu’agent du Parlement, le Commissariat à la protection de la vie privée (CPVP) est financé pour travailler indépendamment du gouvernement afin de protéger et de promouvoir le droit à la vie privée des Canadiennes et des Canadiens en défendant leur droit à la vie privée et en agissant comme une voix impartiale en cas de problèmes de protection de la vie privée, une valeur essentielle des sociétés démocratiques.
Le Commissariat s’efforce de protéger et de promouvoir le droit des personnes à la vie privée. Le tout en étudiant les plaintes, en recourant aux tribunaux, en conseillant le gouvernement sur les risques d’atteinte à la vie privée et en sensibilisant le public.
Le budget principal des dépenses proposé pour le CPVP est de 29,5 M$ pour 2023-2024 comparativement à 29,2 M$ en 2022-2023, ce qui représente une augmentation nette de 240 000 dollars.
- Cette augmentation nette est principalement attribuable au financement supplémentaire provenant du renouvellement des conventions collectives et de l’ajustement du régime d’avantages sociaux des employés.
Le montant de 29,5 M$ pour 2023-2024 comprend une somme de 500 000 dollars destinée au programme de contribution qu’il a mis en place pour financer des travaux de recherche et d’éducation indépendants sur les problèmes liés à la protection de la vie privée.

Contexte

Le Budget principal des dépenses du Commissariat pour 2023-2024, qui s’élève à 29,5 M$, est le suivant :

Dépenses liées au personnel, incluant le RASE = 24,3 M$ (ou 83 %)
Dépense de fonctionnement = 4,7 M$ (ou 16 %)
Programme des contributions = 0,5 M$ (ou 2 %)

Financement principal

Le Commissariat a reçu 29,5 M$ pour 2023-2024, dont 500 000 dollars pour son programme de contributions.
De ce montant, une part de 26,3 M$ requiert l’approbation du Parlement.
Le montant résiduel de 3,2 M$ correspond aux prévisions réglementaires pour les avantages sociaux qui ne nécessitent pas une approbation additionnelle. Il est mentionné à titre d’information.

Préparé par : Secteur de la gestion intégrée

Allocation des ressources

Principaux messages

Les ressources allouées au Commissariat démontrent qu’au cours des dernières années nous nous sommes davantage tournés vers l’avenir en privilégiant les activités proactives.
Notre objectif est d’avoir une incidence plus vaste et plus positive sur le droit à la vie privée d’un plus grand nombre de Canadiens. Or, ce n’est pas toujours possible lorsque nous accordons une grande partie de notre attention aux enquêtes sur les plaintes individuelles.
Les fonds sont répartis de manière presque égale entre les programmes de promotion et de conformité afin de concilier les besoins de proactivité et de respect de la conformité.

Contexte

Budget principal des dépenses : Le tableau ci-dessous présente les dépenses prévues et les équivalents temps plein (ETP) prévus pour chaque responsabilité principale du cadre ministériel des résultats du Commissariat et pour les services internes.

Programme	M$	ETP
Programme de promotion	11,2	79
Programme de conformité	10,5	74
Services internes	7,8	54
NIVEAUX DE RÉFÉRENCE TOTAUX/BPD	29,5	207

Financement principal

Le Commissariat a reçu 29,5 M$ pour l’exercice 2023-2024, dont 500 000 dollars pour son programme de contributions.
De ce montant, une part de 26,3 M$ requiert l’approbation du Parlement.
Le montant résiduel de 3,2 M$ correspond aux prévisions réglementaires pour les avantages sociaux qui ne nécessitent pas une approbation additionnelle. Il est mentionné à titre d’information.

Préparé par : Secteur de la gestion intégrée

Modèles de financement

Principaux messages

Nous avons plaidé en faveur d’un mécanisme de financement stable à long terme qui reflète le rôle indépendant joué par les agents du Parlement et qui garantit également que leurs services sont correctement financés.
Il y a actuellement un conflit d’intérêts inhérent au fait que le CPVP examine le respect des lois gouvernementales concernant la protection de la vie privée et qu’il dépend de ce même gouvernement pour son financement.
Un mécanisme de financement assurant un financement stable et adéquat pour aborder rapidement les problèmes émergents serait préférable au processus actuel.

Contexte

Les agents du Parlement ont envoyé une lettre au BCP, datée du 31 janvier 2019, pour demander une solution de rechange au processus de mécanisme de financement existant.
Tous les agents du Parlement ne disposent pas du même mécanisme de financement. Le directeur parlementaire du budget, par exemple, a la possibilité de demander des fonds directement au président de la Chambre et au Sénat.
En 2005, un projet pilote de comité consultatif a été lancé pour mettre à l’essai un nouveau modèle de financement et de surveillance des agents du Parlement.
- Ce groupe a été créé en réponse aux préoccupations selon lesquelles l’indépendance par rapport au gouvernement pourrait être compromise parce que le Conseil du Trésor détermine le montant des fonds mis à la disposition des agents du Parlement.
Dans le rapport Corbett de 2008, il a été conclu que le projet pilote était une réussite et qu’il devrait être rendu permanent, étant donné qu’il a atteint l’objectif fondamental de réduire la perception de conflit d’intérêts inhérente au processus préexistant.

Préparé par : Secteur de la gestion intégrée

Ressources nécessaires pour le projet de loi C-27

Principaux messages

Le projet de loi C-27 élargit les responsabilités actuelles du CPVP et en introduit de nouvelles, tout en accordant une certaine discrétion quant à la façon de les exercer.
Dans l’Énoncé économique de l’automne 2020, des fonds ont été attribués au CPVP pour la mise en œuvre de l’ancien projet de loi C-11 et, plus récemment, dans le cadre du budget de 2023, pour la phase préparatoire de la mise en œuvre du projet de loi C-27.
Ces fonds nous aideront à nous préparer à l’entrée en vigueur de la législation et à assumer nos nouvelles responsabilités.
Cependant, ces fonds demeurent insuffisants pour faire face de manière permanente aux nouvelles activités ainsi qu’au sous-financement chronique des activités en cours, ce qui empêche le Commissariat de gérer de manière appropriée l’ensemble des problèmes et leur complexité qui ont une incidence importante sur le respect du droit à la vie privée de la population canadienne.

Contexte

La mise à jour économique de l’automne 2020 a alloué le financement total suivant au Commissariat afin d’« appuyer la mise en œuvre et l’application de la loi dans le secteur privé » :

2020-2021 2021-2022 2022-2023 2023-2024 2024-2025 2025-2026

[Caviardé] [Caviardé] [Caviardé] [Caviardé] [Caviardé] [Caviardé]
Dans le budget de 2023, un financement temporaire supplémentaire a été réservé pour aider le Commissariat à mettre en œuvre les nouvelles obligations liées à son mandat au cours des premières années de mise en œuvre de la nouvelle loi.

2023-2024 2024-2025 2025-2026 2026-2027 2027-2028

2 M 4 M 4 M 3 M 2 M
Notre estimation actuelle du coût total de la mise en œuvre du projet de loi C-27, y compris la correction du sous-financement existant, est d’environ 25 M$ (à l’exclusion du régime d’avantages sociaux des employés) en financement supplémentaire; cela représente plus du double de ce qui a été alloué en guise de financement permanent dans le cadre financier.

2020-2021	2021-2022	2022-2023	2023-2024	2024-2025	2025-2026
[Caviardé]	[Caviardé]	[Caviardé]	[Caviardé]	[Caviardé]	[Caviardé]

2023-2024	2024-2025	2025-2026	2026-2027	2027-2028
2 M	4 M	4 M	3 M	2 M

Préparé par : Secteur de la gestion intégrée

Financement pour le Décret d’extension de la Loi sur la protection des renseignements personnels

Principaux messages

En juillet 2022, l’applicabilité de la Loi sur la protection des renseignements personnels a été élargie pour permettre aux ressortissants étrangers de présenter des demandes et des plaintes au Commissariat. Auparavant, seuls les citoyens canadiens et les personnes présentes au Canada avaient de tels droits.
Jusqu’à présent, le Commissariat a reçu un nombre modeste de plaintes à la suite de l’ordonnance d’extension, soit environ 50 au total.
Un financement temporaire d’un an a été prévu pour le CPVP en 2022-2023 au cas où une augmentation importante des plaintes découlant de l’ordonnance d’extension se matérialiserait.

Contexte

Le décret d’extension de la Loi sur la protection des renseignements personnels a été publié le 14 juillet 2021. Il est entré en vigueur en juillet 2022. À ce moment, nous nous attendions à une augmentation importante du nombre de demandes de renseignements personnels (centaines de milliers) à l’échelle des ministères fédéraux, particulièrement au sein d’IRCC.
Nous avons également anticipé une augmentation considérable du nombre de plaintes à l’encontre d’Immigration, Réfugiés et Citoyenneté Canada (IRCC) (en milliers). Cette prévision ne s’est pas réalisée. Nous continuons à surveiller la situation et nous prévoyons une augmentation des demandes insatisfaites dans le cadre de l’ordonnance, lesquelles deviennent des plaintes.
En collaboration avec IRCC, des fonds d’urgence temporaires (un an) ont été mis de côté pour le CPVP, lesquels pourront être utilisés en cas d’augmentation marquée du nombre de plaintes.
Le CPVP se concertera avec le ministère des Finances pour déterminer la meilleure façon de répondre à l’augmentation du nombre de demandes, qui pourrait devenir ingérable compte tenu des ressources limitées du CPVP.
À l’intention du Commissaire uniquement : [Caviardé].

Préparé par : Secteur de la conformité et secteur de la gestion intégrée

Budget 2023

Principaux messages

Le CPVP a reçu un financement temporaire sur cinq ans pour l’aider à se préparer à l’entrée en vigueur du projet de loi C-27 et à s’acquitter de ses nouvelles responsabilités.
Le Commissariat a également reçu un financement temporaire sur deux ans afin de traiter le nombre croissant de cas d’atteinte à la vie privée signalés et de résorber l’arriéré concernant les plaintes, puisqu’il a connu une augmentation du nombre de plaintes pendant la pandémie.
Nous accueillons favorablement ce financement supplémentaire et nous sommes convaincus que nous l’utiliserons à bon escient, une fois de plus, pour mieux servir les Canadiens.
Toutefois, ces fonds ne représentent pas une solution permanente. Afin de traiter de manière appropriée l’ensemble et la complexité des problèmes de protection de la vie privée que nous avons connus ces dernières années, nous demandons que le financement des violations et de l’arriéré soit rendu permanent.

Contexte

Le budget 2023 prévoit un financement temporaire censé soutenir notre Commissariat dans la mise en œuvre des nouvelles obligations de mandat au cours des premières années d’application de la nouvelle loi.

2023-2024 2024-2025 2025-2026 2026-2027 2027-2028

2 M 4 M 4 M 3 M 2 M
Le budget 2023 prévoyait également une allocation de 6 M$ au CPVP (au cours des deux prochains exercices) expressément pour faire face au nombre croissant d’atteintes à la vie privée signalées et à l’arriéré de plaintes.
Le budget 2019 accordait 1,1 M$ pour deux ans afin de permettre au CPVP de s’attaquer à un arriéré de plaintes de plus de 12 mois.
- En mars 2021, l’Office avait réduit son arriéré global de 91 %, dépassant ainsi son objectif de 90 % de réduction.
- Depuis la fin du financement temporaire, l’arriéré de plaintes a recommencé à augmenter.

2023-2024	2024-2025	2025-2026	2026-2027	2027-2028
2 M	4 M	4 M	3 M	2 M

Préparé par : Secteur de la gestion intégrée

Dotation et RH

Gestion des personnes

Principaux messages

L’une des principales priorités du CPVP est de favoriser un environnement de travail respectueux, sûr, sain, collaboratif et flexible afin de permettre à notre personnel d’atteindre des objectifs ambitieux dans la prestation de nos services aux Canadiens.
Nous poursuivons nos efforts pour atteindre l’égalité réelle du français et de l’anglais en milieu de travail et assurer le plein respect des droits linguistiques du public et des employés.
Nous continuons de redoubler nos efforts afin de renforcer l’équité en matière d’emploi, la diversité et l’inclusion pour mettre à profit les talents de notre personnel et pour offrir de meilleurs résultats aux Canadiens.

Contexte

Plan stratégique des ressources humaines : Le Commissariat élaborera un nouveau plan intégré des ressources humaines au cours de l’année prochaine. Ce plan continuera d’expliquer comment le Commissariat offre un environnement de travail inclusif, diversifié et favorable qui attire, crée et préserve les talents afin de répondre aux besoins organisationnels changeants.
Langues officielles : Le Commissariat en est à la dernière année de la mise en œuvre de son Plan stratégique sur les langues officielles 2021-2024 qui se concentre sur l’égalité réelle du français et de l’anglais en milieu de travail et le plein respect des droits linguistiques du public et des employés. Des engagements obligatoires ont été ajoutés aux ententes de rendement des employés, notamment la promotion de l’égalité réelle des langues officielles au sein du Commissariat.
Équité en matière d’emploi, diversité et inclusion : Le Commissariat en est à la dernière année de la mise en œuvre de son Plan stratégique sur l’équité en matière d’emploi, la diversité et l’inclusion 2021-2024, qui se concentre sur la promotion d’un milieu de travail accueillant, inclusif et respectueux pour tous. Des engagements et des mesures obligatoires ont été ajoutés aux ententes de rendement des employés, notamment : mettre en place, promouvoir et favoriser la diversité, l’équité et l’inclusion au sein du Commissariat.
Modèle de travail hybride : Le Commissariat a adopté un modèle de travail hybride afin de soutenir un environnement de travail postpandémique moderne, hautement performant, agile et collaboratif dans le but de contribuer aux objectifs de durabilité du gouvernement.

Préparé par : Corporate Management

Réponse du Commissariat à la COVID-19

Principaux messages

Le Commissariat a répondu rapidement et efficacement au défi soulevé par la pandémie en envoyant presque tous ses employés en télétravail pendant qu’il maintenait ses activités.
Nous nous sommes assurés que notre système de TI fonctionne de façon sécuritaire et sans heurt, ce qui nous a permis de continuer d’offrir nos services aux Canadiens sans interruption.
Nos interactions avec les institutions des secteurs public et privé se sont considérablement accrues alors que ceux-ci ont demandé nos conseils sur les répercussions sur la vie privée des initiatives en réponse à la pandémie.
Le CPVP s’est maintenant tourné vers un environnement de travail hybride qui valorise les interactions directes et repose sur une approche centrée sur les personnes qui favorise l’efficacité, la flexibilité et la conciliation travail-vie privée grâce à l’optimisation du lieu et de l’organisation du travail.

Contexte

Communications efficaces : Des communications soutenues, ouvertes et fréquentes ainsi que des commentaires adressés aux employés dans les deux langues officielles simultanément, de même que des discussions constructives et utiles avec le gestionnaire et les principaux agents et partenaires internes du changement, ont favorisé une plus grande confiance et un plus grand engagement alors que nous poursuivons notre cheminement vers le travail de demain.
Protocole en milieu de travail : En réponse à la pandémie de COVID-19, le Commissariat a continuellement mis à jour son protocole en milieu de travail et ses orientations conformément aux conseils de l’ASPC et des agences centrales, afin de garantir en tout temps la santé et la sécurité de son personnel et de ses visiteurs.
Retour au bureau : Le CPVP a mis en place un modèle de travail hybride, selon lequel les employés travaillent sur place au moins 40 % de leur emploi du temps mensuel. Les employés demeurent en contact les uns avec les autres, que ce soit en mode virtuel ou en personne, afin d’atteindre les objectifs organisationnels du CPVP.

Préparé par : Secteur de la gestion intégrée

Réaliser des économies

Principaux messages

Au cours des dernières années, le Commissariat a entrepris plusieurs initiatives pour s’assurer que nos ressources et nos activités limitées sont optimales pour produire des résultats pour les Canadiens.
Ces initiatives incluaient notamment la restructuration du Commissariat, la mise en place du cadre ministériel des résultats en 2018-2019 et l’utilisation de nos pouvoirs de manière plus stratégique.
Nous cherchons continuellement des moyens de tirer parti de la technologie pour offrir des services aux Canadiens et accroître l’efficacité de nos opérations.

Contexte

L’accent mis sur les résultats : Nous avons présenté le nouveau cadre ministériel des résultats du Commissariat en 2018-2019, qui redéfinit les résultats souhaités et repense la façon de mesurer les résultats obtenus. Nous avons changé d’approche en matière de protection de la vie privée, mettant davantage l’accent sur la capacité d’action des citoyens et sur la collaboration proactive et constructive avec les organisations des secteurs public et privé.
Exercice des pouvoirs : Nous avons fait un usage stratégique de nos pouvoirs officiels, y compris de notre pouvoir de mener des enquêtes à la demande du Commissaire, ce qui nous a permis de mieux protéger les droits à la vie privée des Canadiens dans le cadre législatif actuel.
Restructuration : Nous avons entrepris un examen complet de notre structure organisationnelle pour nous assurer que nos activités et nos ressources limitées sont harmonisées de façon optimale pour produire des résultats pour les Canadiens. Nos travaux s’inscrivent désormais dans l’un des deux domaines de programme suivants : conformité (activités visant à aborder les problèmes de conformité existants, y compris les activités proactives d’application de la loi) et promotion (activités visant à amener les ministères et des organismes à se conformer à la loi). Ce travail assure une plus grande précision des rôles et une meilleure harmonisation des responsabilités. De plus, nous créons une capacité de veille stratégique afin de continuer d’améliorer la façon dont nous attribuons nos ressources.
Transformation numérique : Nous avons poursuivi la mise en œuvre de notre stratégie numérique, notamment en exploitant les services infonuagiques lorsque cela est logique, et en adoptant un modèle de travail hybride.

Préparé par : Secteur de la gestion intégrée

Résultats du cadre ministériel des résultats (CMR)

Principaux messages

Nous avons délibérément placé la barre haute. Nos objectifs sont ambitieux, car nous estimons que nous devons être audacieux dans nos aspirations compte tenu des attentes des Canadiens.
En 2021-2022, nous avons redéfini notre travail et donné la priorité aux ressources afin de préparer le Commissariat aux changements prévus dans notre mandat, tout en œuvrant à la réalisation des objectifs de notre Cadre ministériel des résultats.
Nos efforts et l’ajout de ressources nous ont permis de progresser dans l’atteinte de toutes nos cibles.

Contexte

Les résultats les plus récents disponibles publiquement sont ceux de 2021-2022 (cadre ministériel des résultats complets en annexe) :

4 cibles atteintes :
- Pourcentage des recommandations officielles du Commissariat appliquées par les ministères et les organismes : 86 % (objectif : au moins 85 %).
- Pourcentage de Canadiens qui lisent l’information communiquée par le Commissariat et la trouvent utile : 73 % (objectif : au moins 70 %).
- Pourcentage d’organismes du secteur privé qui ont une bonne ou une excellente connaissance de leurs obligations en matière de protection de la vie privée : 86 % (objectif : au moins 85 %);
- Pourcentage d’organismes fédéraux et du secteur privé qui considèrent que les conseils et l’orientation prodigués par le Commissariat sont utiles pour atteindre la conformité : 76 % (objectif : au moins 70 %).
Manqué 1 cible : Pourcentage de plaintes auxquelles une réponse a été donnée selon les normes de service : 47 % (objectif : au moins 75 %).
2 indicateurs n’avaient pas de cible : Étant donné que les lignes directrices du Commissariat sont fondées sur la loi et qu’elles pourraient rapidement devenir obsolètes à la suite d’une éventuelle transformation du cadre juridique, les 2 indicateurs qui mesurent nos conseils offerts aux entreprises et les renseignements fournis aux Canadiens sur les enjeux clés liés à la vie privée n’avaient pas de cible.
En ce qui concerne les programmes, le Commissariat a atteint 3 de ces 8 objectifs. Les résultats des programmes sont publiés et disponibles sur l’InfoBase du GC. (Voir l’annexe).

Préparé par : Secteur de la gestion intégrée

Travail hybride

Principaux messages

La pandémie nous a donné l’occasion de moderniser notre lieu de travail en mettant davantage l’accent sur la collaboration en personne dans le cadre d’un modèle de travail hybride afin de fournir un niveau élevé de service aux Canadiens.
La directive du Secrétariat du Conseil du Trésor (SCT) sur la présence prescrite en milieu de travail est entièrement mise en œuvre depuis le 31 mars 2023. Le CPVP s’emploie maintenant à officialiser ses lignes directrices sur le travail hybride conformément à la directive et aux précieux commentaires de ses employés reçus dans le cadre d’activités d’engagement.
À la suite d’une entente de service, le CPVP aura accès, au début de mai 2023, à l’application numérique du SCT, monRégimedeTravail, qui permettra une meilleure gestion des régimes de travail.

Contexte

Avenir du travail : Le Commissariat adopte un modèle de travail hybride conformément à l’Orientation concernant la présence prescrite au lieu de travail afin de soutenir un environnement de travail postpandémique moderne, hautement performant, agile et collaboratif dans le but de contribuer aux objectifs de durabilité du gouvernement.
Lignes directrices en matière d’organisation du travail : Le CPVP a entrepris d’officialiser ses lignes directrices en matière d’organisation du travail et les outils connexes afin de soutenir l’avenir du travail.
Environnement physique : En ce qui concerne la modernisation de l’environnement physique, les efforts se poursuivent pour transformer les locaux du 30, rue Victoria, en un espace de travail hybride comprenant environ 90 % de places assises non attribuées.
Environnement technologique : Le CPVP continue d’adapter son environnement de TI pour soutenir le modèle hybride en optimisant la consommation de la bande passante (restriction de la qualité de la vidéoconférence, tunnellisation partagée du RPV, etc.), en améliorant la cybersécurité (c.-à-d. : mécanismes supplémentaires de surveillance et de prévention) et en intégrant les technologies de vidéoconférence existantes dans l’application Teams de Microsoft.
Demandes d’accès au bureau : Le CPVP a mis en place un outil de réservation des postes de travail.
Taux d’occupation : La fréquentation journalière moyenne actuelle varie entre 15 et 20 %.

Préparé par : Secteur de la gestion intégrée

Grève de l’AFPC

Principaux messages

Le CPVP a été fortement touché par la grève de l’AFPC, puisque 118 employés du groupe Services des programmes et de l’administration (PA) étaient en situation de grève légale. Il s’agit de 66 % des employés du CPVP.
Un plan d’urgence a été élaboré et mis en place afin d’assurer la continuité de nos activités, même si nos capacités sont réduites.
Les conséquences sur le plan opérationnel comprennent des retards dans l’accomplissement de notre mandat, principalement la tenue d’enquêtes et l’examen des infractions à la Loi sur la protection de la vie privée (LPRP) et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que des retards concernant la communication de conseils aux institutions du secteur public et aux entreprises et de renseignements et de réponses aux demandes d’information émanant de la population canadienne.

Contexte

Des plans d’urgence en cas de grève ont été instaurés dans les deux bureaux (Gatineau et Toronto).
Les comités internes de gestion de la grève ont tenu des réunions régulières, ont surveillé les activités de grève et ont présenté des rapports quotidiens au SCT.
Un plan de sécurité en cas de grève a été élaboré afin de garantir la sécurité des employés, la protection des renseignements et des biens, ainsi que l’accès aux bureaux du 30, rue Victoria, pour les employés appelés à travailler sur place, tout au long de la période de travail et des mesures de grève.
Nous avons rappelé aux employés qu’ils sont responsables de respecter le Code de valeurs et d’éthique de la fonction publique.

Préparé par : Secteur de la gestion intégrée

B) Conformité

Enquêtes

Enquêtes et engagements en vertu de la Loi sur la protection des renseignements personnels en cours

Principaux messages

Le CPVP mène présentement des enquêtes concernant :
- le projet Wide Awake de la GRC, qui comprend la surveillance des réseaux sociaux et d’autres techniques;
- les cyberattaques visant les comptes en ligne de l’Agence du revenu du Canada (ARC) et le système CléGC du gouvernement qui se sont produites en 2020;
- un cyberincident qui a frappé le réseau externe de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR), qui hébergeait des données non classifiées, mais également des renseignements protégés.
Le CPVP collabore régulièrement avec le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE), la Gendarmerie royale du Canada (GRC) et le Service canadien du renseignement de sécurité (SCRS) sur la façon dont les institutions ont traité les renseignements personnels dans le contexte de la Loi sur les mesures d’urgence.

Contexte

Le paragraphe 63 de la LPRP nous empêche de communiquer des détails sur les enquêtes en cours.
Je peux cependant vous dire qu’en avril 2021, l’OSSNR a publié sur son site Web qu’il avait été victime d’une faille de sécurité informatique liée à l’exploitation de vulnérabilités dans Microsoft Exchange. L’Office a également indiqué que l’incident n’avait pas eu d’incidence sur ses systèmes classifiés et a déclaré qu’il travaillerait avec le CPVP et le SCT pour résoudre tout problème lié à la protection de la vie privée. En réponse à une demande des médias, le CPVP a confirmé qu’il avait ouvert une enquête.
En ce qui concerne notre mission dans le cadre de la Loi sur les mesures d’urgence, nous avons remis et publié, le 23 janvier 2023, un mémoire au Comité mixte spécial sur la déclaration de situation de crise. Nous préparons en ce moment notre rapport définitif à cet égard et nous avons l’intention de publier nos conclusions et observations au printemps 2023.

Préparé par : Le Secteur de la conformité

Enquêtes en vertu de la LPRPDE en cours

Principaux messages

TikTok : En février, nous avons entrepris une enquête conjointe avec les autorités chargées de la protection de la vie privée du Québec, de l’Alberta et de la Colombie-Britannique, afin de déterminer si TikTok sollicite le consentement de ses utilisateurs, en particulier des plus jeunes d’entre eux.
ChatGPT : Nous avons récemment débuté une enquête sur la conformité d’OpenAI avec la LPRPDE en lien avec ses pratiques de traitement de l’information par le biais de ChatGPT, son service de génération de texte basé sur l’IA.
MindGeek : L’enquête sur la collecte, l’utilisation et la divulgation d’images intimes de MindGeek par le biais de ses nombreux sites, ce qui inclut PornHub, est bientôt terminée.
Give-Send-Go : Nous menons une enquête sur la brèche de février 2022 sur le site Web de financement participatif Give-Send-Go, qui a permis de divulguer les données personnelles des donateurs du « Convoi de la liberté ».
En raison des obligations en matière de confidentialité, nous ne pouvons transmettre plus de détails sur les entreprises touchées par des enquêtes en cours.

Contexte

Nous souhaitons achever l’enquête sur TikTok d’ici février 2024.
Le Commissaire a ouvert une enquête sur le service ChatGPT d’OpenAI en vertu du paragraphe 11(2) de la LPRPDE afin d’élargir la portée de notre enquête précédente (menée en réponse à une plainte individuelle relative au consentement) pour couvrir les problèmes supplémentaires suivants : fins acceptables, transparence, accès et exactitude et responsabilité.
L’enquête relative au site Web Give-Send-Go, présentée par le député conservateur James Bezan, a débuté en avril 2022 et se poursuit à l’heure actuelle.
Nous sommes sur le point de conclure une enquête sur une agence d’évaluation des locataires, une affaire qui a été suivie par un député du NPD au nom du plaignant, un électeur. Nous avons également constaté une tendance à la multiplication des plaintes concernant les agences de notation des locataires et nous envisageons de réaliser d’autres enquêtes.

Préparé par : Le Secteur de la conformité

Rapport spécial au Parlement sur la COVID/Enquêtes liées à la pandémie

Principaux messages

Le CPVP prépare actuellement les rapports de conclusions sur les enquêtes relatives aux plaintes reçues à la fin de 2021 et en 2022 :
- Les obligations de vaccination contre la COVID-19 introduites par le gouvernement fédéral pour les voyages domestiques en avion et en train, ainsi que l’entrée au Canada et pour les employés de la fonction publique fédérale;
- L’utilisation, par l’Agence de la santé publique du Canada (ASPC), des données de mobilité des téléphones cellulaires anonymisées dans le contexte de la pandémie;
- Une erreur de l’application ArriveCan en juin-juillet 2022 ayant causé l’envoi par erreur de notifications de mise en quarantaine à certains voyageurs.

Contexte

Les enquêtes visent à déterminer si la collecte, l’utilisation, la communication et, dans le cas de l’erreur d’ArriveCan, l’exactitude des informations personnelles dans le cadre de ces programmes étaient conformes aux obligations de la Loi sur la protection de la vie privée.
Conformément à l’article 63 (LPRP) et à l’article 20 (LPRPDE), le CPVP doit mener des enquêtes sous le sceau de la confidentialité, ce qui nous empêche de communiquer davantage de précisions à l’heure actuelle.
Nous prévoyons de publier les rapports de conclusions dans les semaines à venir et nous les communiquerons à ce comité dès qu’ils seront disponibles, le cas échéant.

Préparé par : Le Secteur de la conformité

ChatGPT

Principaux messages

En avril dernier, le Commissariat a entamé une enquête sur les pratiques d’OpenAI, en relation avec son service ChatGPT.
Le plaignant alléguait que l’entreprise avait collecté (« moissonnage du Web »), utilisé et divulgué ses informations personnelles aux fins de son service commercial de génération de textes, et ce, sans son consentement.
Comme cette enquête est toujours en cours, je suis limité dans les renseignements que je peux communiquer.
Cela dit, la technologie d’intelligence artificielle et cette enquête sont des priorités pour le Commissariat, qui cherche à s’assurer que l’IA est développée et déployée d’une manière responsable et respectueuse de la vie privée.

Contexte

ChatGPT est un outil de traitement du langage naturel, ou agent conversationnel, utilisant la technologie d’intelligence artificielle (IA). Le modèle linguistique peut répondre à des questions et aider les utilisateurs à effectuer des tâches telles que la rédaction de courriels et d’essais.
Les autorités chargées de la protection des données dans le monde entier, y compris plusieurs instances européennes, ont entamé ou envisagent d’entamer des enquêtes sur ChatGPT.
- La Garante, l’autorité italienne de protection des données, avait émis une interdiction temporaire concernant ChatGPT, qui a été levée lorsque OpenAI a rempli certaines conditions (pour répondre à diverses questions relatives à la protection des données, telles que la transparence algorithmique, les fondements licites du traitement et l’exactitude). L’Espagne a aussi ouvert une enquête.
- Le Comité européen de la protection des données a mis en place un groupe de travail sur ChatGPT afin d’échanger des renseignements sur d’éventuelles mesures d’application de la loi.
À la suite de l’annonce de notre enquête à l’occasion du sommet mondial de l’IAPP, le 4 avril 2023, plusieurs autorités ont manifesté leur intérêt à discuter de la question avec le Commissariat, dans les limites de la loi.
En tant que membre du groupe de travail sur l’IA de l’Assemblée mondiale pour la protection de la vie privée, nous échangeons des connaissances et tirons parti de l’expérience de nos homologues.
En tant que coprésident du groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée, nous avons organisé une séance à huis clos sur l’application de la loi afin que les autorités membres discutent de l’application de la loi en ce qui concerne ChatGPT.

Préparé par : Le Secteur de la conformité

Arriérés du Secteur de la conformité

Principaux messages

Le financement temporaire fourni dans le Budget de 2019 qui nous a permis de réduire de 90 % l’arriéré d’enquêtes sur les plaintes de plus d’un an s’est expiré à la fin de l’année financière de 2021-2022.
Depuis, notre arriéré n’a cessé de s’accroître, s’établissant à 15 % (101) à la fin de 2021-2022 et à 24 % (239) à la fin de 2022-2023. L’arriéré actuel s’explique en partie par des retards dans le traitement des plaintes.
Pour y remédier, nous avons procédé à un examen diagnostique et nous mettrons en œuvre de nouvelles méthodes permettant d’améliorer l’efficacité et les processus. Toutefois, en l’absence d’un financement permanent adéquat et de changements législatifs qui conféreraient au CPVP un pouvoir discrétionnaire en matière d’enquête, nous pouvons nous attendre à ce que les retards perdurent.
Un taux élevé d’arriéré représente une augmentation des risques et nuit aux Canadiens et à la protection de leurs droits.

Contexte

Des mesures supplémentaires afin de réduire l’arriéré incluent : la réalisation de plus d’enquêtes sommaires, les lettres d’avis, les ajustements selon les risques et la rationalisation des enquêtes.

Arriéré d’enquêtes datant de plus de 12 mois
EXERCICE	Arriéré de plaintes au titre de la LPRP	Arriéré de plaintes au titre de la LPRPDE	Total des cas accumulés
2018-2019	260	64	324
2019-2020	115	52	167
2020-2021	14	15	29
2021-2022	73	28	101
2022-2023	215	24	239

Le nouvel arriéré est constitué de plaintes accumulées par l’Admission. Au plus fort de l’année, le nombre de dossiers en attente de traitement s’élevait à 808, contre 183 à la fin de l’exercice (réduction de 77 %). Le nombre de plaintes non attribuées à l’admission en 2022-2023 est passé d’un pic de 522 à 0 à la fin de l’année financière (réduction de 100 %).

Préparé par : Le Secteur de la conformité

Atteintes

Conformité : statistiques et tendances sur les atteintes

Principaux messages

Le paragraphe 10.1(1) de la LPRPDE et les politiques du SCT en matière de protection de la vie privée exigent des institutions qu’elles signalent les atteintes au Commissariat lorsqu’il existe un risque réel de préjudice important pour une personne. Ces rapports sont un outil important pour comprendre les risques auxquels la population canadienne est confrontée.
Au total, les secteurs public et privé fédéraux ont soumis un peu moins que 1 000 rapports d’atteinte à la vie privée. Ces rapports ont eu une incidence sur environ 12 millions de Canadiens (les répercussions pouvaient être multiples).
Font état de cyberattaques résultant de logiciels malveillants, de compromissions de justificatifs d’identité, de tentatives de piratage ou de stratagèmes d’hameçonnage, 40,8 % des rapports sur les atteintes à la vie privée en vertu de la LPRPDE. Le secteur financier canadien et les entreprises offrant des services professionnels ont été les plus durement touchés.
Le nombre de rapports faisant état de cyberattaques contre des infrastructures essentielles a augmenté au cours des trois dernières années, et 44 rapports ont été reçus cette année.
Du côté du secteur public, nous restons préoccupés par le manque de signalement, car nous continuons à recevoir la majorité des signalements d’atteintes à la vie privée de la part des mêmes institutions fédérales (p. ex., EDSC, ARC et le Service correctionnel du Canada). Pourtant, nombre d’autres institutions disposant d’une grande quantité de données personnelles n’ont signalé que peu ou pas d’atteintes à la protection de la vie privée. Cette tendance pourrait se poursuivre en l’absence d’obligation légale.

Contexte

Le projet de loi C-26 obligera les industries sous réglementation fédérale fournissant des services vitaux (par exemple, les sociétés de télécommunications, les banques, les sociétés de transport) à signaler les incidents liés aux communications au Centre de la sécurité des télécommunications.

ATTEINTES DÉCLARÉES au CPVP :

EXERCICE LPRPDE LPRP Total Atteintes aux infrastructures essentielles

2022-2023 681 298 298 44

2021-2022 645 463 1 107 25

2020-2021 782 280 1 062 11

ATTEINTES DÉCLARÉES au CPVP :
EXERCICE	LPRPDE	LPRP	Total	Atteintes aux infrastructures essentielles
2022-2023	681	298	298	44
2021-2022	645	463	1 107	25
2020-2021	782	280	1 062	11

Préparé par : Le Secteur de la conformité

C) Promotion

Communication

Statistiques et tendances en matière de communication

Principaux messages

La Direction des communications soutient les efforts du Commissariat pour informer un public aussi large que possible et bien lui faire comprendre les questions relatives à la protection de la vie privée.
En 2022-2023, nous avons
- reçu 4 324 demandes de renseignements;
- prononcé 57 discours et présentations;
- publié 59 communiqués de presse et annonces;
- distribué presque 20 000 publications;
- répondu à 226 demandes des médias.
Au cours de l’année, nous avons vu le nombre de nos abonnés sur LinkedIn augmenter considérablement, passant de 18 537 à 27 545.
Il y a eu plus de 3 millions de visites sur le site Web, dont environ 4 300 visites sur les blogues.

Contexte

Notre travail consiste à sensibiliser la population au droit à la vie privée et à fournir des informations aux particuliers.
Ces efforts comprennent la sensibilisation aux obligations en matière de confidentialité des fonctionnaires fédéraux et des entreprises privées.
Nos activités comptent notamment les relations avec les médias, les sondages d’opinion publique, la publication de contenu sur notre site Web et l’utilisation des médias sociaux pour atteindre les publics clés.
Types de demandes :
- La majorité des demandes émanent de particuliers qui souhaitent savoir si les organisations recueillent trop d’informations ou les utilisent sans consentement.
- Une proportion de 7 % des demandes provient d’organisations du secteur privé et porte sur des sujets tels que la protection des renseignements personnels, les exigences en matière de notification des violations, et l’application de la Loi canadienne anti-pourriel.

Préparé par : Comms

Analyse Technologique

Statistiques et tendances de la Direction de l’analyse des technologies

Principaux messages

La Direction de l’analyse des technologies (DAT) s’est engagée à soutenir les efforts du CPVP dans l’évaluation des incidences de la technologie sur la vie privée. Nos analystes des TI possèdent des habiletés technologiques de pointe qui sont essentielles afin d’assurer l’utilisation sécuritaire des technologies numériques pour la population canadienne.
La DAT utilise son laboratoire pour élargir ses capacités technologiques dans l’analyse de logiciels malveillants, de composants matériels, d’applications mobiles, de dispositifs de l’IdO, ainsi que dans l’analyse judiciaire numérique.
La DAT offre du soutien continu pour la recherche et les cas liés aux technologies émergentes telles que l’intelligence artificielle, la biométrie, l’identité numérique, les technologies d’amélioration de la confidentialité (p. ex. dépersonnalisation), ainsi que la cybersécurité.
D’avril 2022 à mars 2023, la DAT a reçu 115 nouvelles demandes de soutien technologique :
- 49 % dans le secteur Politiques et promotion
- 37 % dans le Secteur de la conformité

Contexte

La DAT fournit un soutien aux activités de politiques, de promotion et de conformité (y compris les activités liées à la LCAP). Elle analyse les technologies émergentes à l’aide de son laboratoire et s’engage dans une collaboration avec les différents ministères du gouvernement du Canada.
La DAT continue d’apporter son soutien à la réalisation de diverses enquêtes et à l’élimination des atteintes à la vie privée, ainsi qu’à la mise en œuvre d’initiatives gouvernementales liées à la technologie, à la protection de la vie privée et aux cybermenaces.
En publiant divers billets de blogue, la Direction vise également à sensibiliser les Canadiens aux répercussions des technologies sur la protection de la vie privée. Par exemple, la Direction a publié des billets de blogue sur les technologies de protection de la vie privée, y compris sur l’utilisation de données synthétiques, ainsi que sur l’équité algorithmique.

Préparé par : AT

Conseil aux entreprises

Activités principales de la Direction des services-conseils à l’entreprise

Principaux messages

La Direction des services-conseils à l’entreprise (DSCE) fournit des conseils spécifiques aux entreprises en vertu de la LPRPDE afin de les aider à aborder proactivement le sujet des risques en matière de sécurité et de protection des renseignements personnels lorsqu’elles adoptent de nouvelles technologies et de nouveaux modèles d’entreprises. Nous les aidons également à s’assurer que leurs politiques et pratiques de gestion des renseignements personnels respectent la loi.
- La consultation précoce des entreprises atténue les risques en matière de sécurité et de protection des renseignements personnels en plus de fournir une prévisibilité réglementaire afin d’innover de façon responsable.
Des consultations offertes à de nouvelles entreprises l’année dernière, 54 % étaient auprès de petites ou moyennes entreprises (PME), une proportion qui demeure stable d’une année à l’autre.
- Notre travail auprès des PME demeure essentiel en raison des contraintes liées aux ressources et de leur rôle déterminant dans la croissance économique et la prospérité nationale.
La plupart des organisations, quel que soit leur secteur, faisant appel à nos services-conseils ont mis en place des initiatives ou des pratiques à forte dimension technologique avec beaucoup de données.

Contexte

Programmes : Nous avons mené 15 nouvelles missions de consultation et organisé 72 activités promotionnelles (expositions, présentations, réunions avec les intervenants et séances ciblées de promotion de la conformité, etc.)

Séminaires sur la protection de la vie privée pour les PME : Nous avons déployé de vastes efforts relativement aux séminaires sur la protection de la vie privée, en collaboration avec des centres d’innovation en Ontario, dans le Canada atlantique et les régions du Nord, afin de fournir des conseils en matière de protection de la vie privée aux entreprises en démarrage ou en expansion.
Pour mettre à profit les relations et les possibilités d’accueil de séminaires sur la vie privée, des ententes ont été conclues avec des centres d’accélération de l’innovation et des réseaux d’entreprises qui aident les PME et les entrepreneurs innovants dans les régions isolées et les communautés de personnes autochtones, noires et de couleur.

Principales tendances :

Public-Privé : La DSCE a constaté un nombre croissant de demandes de consultation et de conversations portant sur des initiatives réunissant des acteurs privés et publics ou non commerciaux, dans des domaines tels que la traite d’êtres humains à des fins sexuelles, la détection des fraudes, la vérification de l’identité et la prévention du suicide.
Accélération : L’accélération technologique et l’adoption rapide de nouvelles technologies se sont reflétées dans le travail de consultation et de promotion de la DSCE. Les domaines abordés comprennent la neurotechnologie, la technologie de la santé, la technologie financière, la vente au détail, le marketing, le transport, la sécurité publique, etc., surtout en raison de l’adoption et du déploiement de technologies de surveillance, de l’informatique en nuage et des algorithmes.

Préparé par : DSCE

Conseil au Gouvernement

Services-conseils au gouvernement – Activités principales

Principaux messages

La DSCG prodigue des conseils et des recommandations aux organismes fédéraux lors des consultations et de l’examen des EFVP pour une variété d’initiatives. Ces initiatives aux risques et complexités variés concernent la provision d’avantages sociaux à la police, à la sécurité nationale ainsi qu’aux programmes de contrôle des frontières.
La DSCG examine aussi les ententes d’échange de renseignements, les préavis de communication de renseignements dans l’intérêt public et d’autres documents institutionnels.
La DSCG est aussi le premier point de contact avec le SCT et fournit les commentaires des sections pertinents du Commissariat lors de l’élaboration des politiques, des directives et des normes centrales.
Nous échangeons aussi proactivement avec les institutions lors des séances de sensibilisation sur différents sujets liés à la protection des renseignements personnels, qui sont en forte demande.

Contexte

COVID-19 : Tout au long de la pandémie, la DSCG a collaboré étroitement avec les autorités fédérales sur les programmes et activités liés à la COVID-19, notamment en élargissant l’utilisation des technologies et des processus, mis au point à l’origine pour répondre à la période de crise initiale de la pandémie, dans le cadre des processus de gestion des frontières et de l’immigration sans rapport avec la COVID-19.
Biométrie et reconnaissance faciale : Nous avons poursuivi nos consultations sur les initiatives faisant appel à la biométrie et à la reconnaissance faciale. Nous assistons à de nouvelles utilisations et à une diversification des usages en vue de faciliter les déplacements et l’immigration.
Technologies de surveillance : nous avons comparu devant ce comité en août 2022 dans le cadre de votre étude sur l’utilisation par la GRC d’outils d’enquête sur les appareils, et nous continuons à nous entretenir avec la GRC sur le sujet. Nous nous attendons à recevoir une EFVP cet été.
SCT : Nous avons collaboré étroitement avec le SCT au cours de la dernière année, notamment en coordonnant et en formulant des recommandations ainsi que des commentaires sur de nombreux dossiers importants tels que la Stratégie de données, le travail hybride/le retour au bureau, la directive sur la prise de décisions automatisée et le Manuel des pratiques relatives à la protection des renseignements personnels. Nous avons organisé quatre séances de sensibilisation cette année, y compris une séance consacrée aux rudiments de l’accès public à Internet.

Préparé par : DSCG

Services-conseils au gouvernement – Statistiques et tendances

Principaux messages

En 2022-2023, la DSCG a reçu plus de 100 évaluations des facteurs relatifs à la vie privée (EFVP), entrepris 73 consultations et proposé quatre séances de sensibilisation, ce qui a permis des échanges avec plus de 1 000 membres de la fonction publique fédérale.
Le grand nombre des EFVP reçues montre à quel point les nombreuses initiatives du gouvernement ont une incidence sur la protection de la vie privée. Cette forte demande pour des consultations préliminaires indique que nos conseils sont valorisés et cela pourrait indiquer qu’il y a un manque d’expertise en matière de protection de la vie privée à l’interne dans les institutions fédérales.
Notre but est d’atténuer les risques en matière de protection des renseignements personnels avant le lancement des programmes et d’accroître la transparence selon l’utilisation des renseignements personnels que fait le gouvernement.

Contexte

Consultations : La DSCG a ouvert 73 nouveaux dossiers de consultation en 2022-2023 concernant un large éventail d’activités, notamment au sujet de l’Initiative de modernisation des services aux voyageurs de l’ASFC et de l’utilisation par la GRC de la caméra d’intervention.
EFVP : Nous avons reçu 110 EFVP, qui ont été triées et évaluées selon le risque.
Lettres d’avis : Nous avons émis 53 lettres d’avis à la suite de consultations et 21 recommandations après l’examen des EFVP. Le niveau de participation des ministères demeure élevé, ce qui se traduit par une meilleure capacité à traiter les problèmes relatifs à la protection de la vie privée à un stade précoce du processus, comme en témoigne la qualité généralement supérieure des EFVP reçues par le Commissariat.
Avis : La DSCG a reçu 761 avis de divulgations de renseignements personnels dans l’intérêt public, ou dans des circonstances qui ont bénéficié à la personne en 2022-2023, contre 749 au cours de l’exercice 2021-2022 et 491 au cours de l’exercice 2020-2021.
- Cela s’inscrit dans la tendance que nous avons observée ces dernières années, à savoir un grand nombre de divulgations d’intérêt public. Comme les ministères détiennent le pouvoir discrétionnaire pour diffuser ces communiqués selon la loi, le rôle du Commissariat est limité à s’assurer que chaque circonstance est évaluée sur ces mérites.

Préparé par : DSCG

Collabaration Inernationale

International (général)

Principaux messages

Les renseignements personnels des Canadiens qui se retrouvent à l’extérieur du Canada aux fins de traitement sont mieux protégés si le droit à la vie privée est davantage respecté ailleurs dans le monde, et si le Commissariat dispose de partenariats avec des autorités étrangères.
Le Commissariat collabore avec ses homologues internationaux afin de mettre en commun des ressources, d’élaborer des politiques communes, de partager des pratiques exemplaires, et de faire respecter de manière plus efficace les lois sur la protection des renseignements personnels à l’échelle mondiale.
Nous collaborons avec d’autres autorités en participant à des forums internationaux, en adoptant des résolutions conjointes, en publiant des déclarations communes et en collaborant avec nos homologues en matière d’application de la loi.

Contexte

Assemblée mondiale pour la protection de la vie privée (AMVP) :
- Président du Groupe de travail sur la protection des données et des autres droits et libertés (protection de la vie privée et des données et d’autres droits et libertés)
- Coprésident du Groupe de travail sur le citoyen et le consommateur numérique (GTCCN) et du Groupe de travail sur la coopération internationale en matière d’application de la loi (International Enforcement Cooperation Working Group [EWG]).
- Membre de groupes de travail de l’AMVP : l’éthique et la protection des données en matière d’intelligence artificielle, l’éducation numérique, les normes et les cadres mondiaux, les indicateurs, et le sous-groupe de TRF.
- Parrain de la résolution de 2022 sur les principes et les attentes en matière d’utilisation appropriée des renseignements personnels dans la technologie de reconnaissance faciale et coparrain de la résolution de 2022 sur le renforcement des capacités pour améliorer la réglementation en matière de cybersécurité et comprendre les préjudices causés par les cyberincidents.
Autres réseaux d’autorités : 1) Table ronde du G7 sur la protection des données et les autorités de protection de la vie privée; 2) Global Privacy Enforcement Network (GPEN – réseau mondial d’application des lois sur la protection de la vie privée), dans le comité de direction; 3) Forum des autorités de protection de la vie privée de la zone Asie-Pacifique (Asia Pacific Privacy Authorities [APPA] Forum); 4) Association francophone des autorités de protection des données personnelles (AFAPDP); 5) Common Thread Network (CTN); 6) Groupe de travail de Berlin.
Participation à des tribunes internationales gouvernementales : 1) le sous-groupe de l’Association économique de la zone Asie-Pacifique (Asia-Pacific Economic Cooperation [APEC]) sur la protection des données; 2) Forum mondial concernant les règles sur la protection de la vie privée dans un contexte transfrontalier (Cross-Border Privacy Rules [CBPR]); 3) le Groupe de travail sur la sécurité de l’information et la vie privée dans l’économie numérique (groupe de l’OCDE).

Préparé par : PRAP

Collaboration sur l’application de la loi

Principaux messages

Dans l’économie numérique, la protection des renseignements personnels contre les risques globaux constitue un objectif commun pour les autorités de protection des données.
La collaboration avec nos partenaires internationaux dans le cadre des activités d’application de la législation permet aux régulateurs d’accroître leur capacité d’action et de multiplier les effets de ces actions.
Le Commissariat est un chef de file de la coopération avec des autorités en matière d’application de la loi, et joue un rôle clé sur des tribunes comme l’Assemblée mondiale pour la protection de la vie privée (AMVP), le réseau mondial d’application des lois de protection de la vie privée (Global Privacy Enforcement Network [GPEN]) et le Forum des autorités de protection de la vie privée de la zone Asie-Pacifique (Asia Pacific Privacy Authorities [APPA] Forum).
L’année dernière, les principales actions de collaboration en matière d’application de la loi ont consisté à publier des conclusions conjointes au sujet de Tim Hortons et à entamer une enquête conjointe au sujet de TikTok.

Contexte

AMVP : Nous présidons :
- le Groupe de travail sur la coopération internationale en matière d’application de la loi, qui a pour objectif de favoriser une collaboration plus vigoureuse en matière d’application de la loi;
- le Groupe de travail du citoyen et du consommateur numérique, qui préconise une plus grande coopération en matière de réglementation croisée axée sur les entrecroisements entre les sphères réglementaires de la protection de la vie privée, de la protection des consommateurs et de la concurrence;
- le Groupe de travail sur la protection des données et des autres droits et libertés.
GPEN : Nous siégeons au comité exécutif, hébergeons le site Web et avons introduit le ratissage international pour la protection de la vie privée, qui en est maintenant à sa 10e année.
APPA : Membre actif, nous développons des partenariats, discutons des pratiques exemplaires, et échangeons de l’information sur les technologies émergentes et les changements dans la réglementation sur la vie privée.
FNCAL : Nous présidons le Forum national de collaboration sur l’application de la loi, qui facilite l’échange de renseignements et l’application collaborative de la loi entre le Commissariat et ceux de l’Alberta, de la Colombie-Britannique et du Québec (qui a récemment rejoint notre protocole d’entente avec l’Alberta et la Colombie-Britannique).
Exemples récents d’application souple de la loi : Le Groupe de travail sur la coopération internationale en matière d’application de la loi a entrepris plusieurs activités conjointes pour améliorer la conformité globale à la Loi sur la protection des renseignements personnels, comme les directives sur le bourrage d’authentifiant, l’élaboration des principes de la TRF et le travail continu par rapport aux technologies publicitaires et au ratissage de données.

Préparé par : Le Secteur de la conformité

Sensibilisation et orientation du public

Programme des contributions

Principaux messages

Doté d’un budget annuel de 500 000 $, le Programme des contributions finance des projets de recherche indépendante et d’initiatives de sensibilisation du public afin de favoriser l’expertise et la compréhension d’un éventail de questions relatives à la vie privée dans le cadre de la LPRPDE.
Ces projets génèrent de nouvelles informations et compréhension pour aider les organisations à mieux protéger les renseignements personnels et les Canadiens à protéger leur vie privée dans le secteur commercial.
Depuis ses débuts en 2004, le Programme a alloué environ 8 M$ à près de 180 projets.
L’année dernière, le thème de l’appel était « Qui est touché et de quelle manière : évaluer et atténuer les risques, les obstacles et les inégalités en matière de protection de la vie privée ». Parmi 44 propositions, 11 projets ont été choisis pour recevoir du financement.
Le thème de cette année est : « L’avenir, c’est maintenant! Évaluer et gérer les impacts sur la vie privée des technologies immersives et intégrables ». Les bénéficiaires seront annoncés prochainement.

Contexte

Orientation du programme : Les projets financés permettront de faire progresser les priorités du Commissariat en matière de protection de la vie privée, qui visent principalement à répondre aux préoccupations des Canadiens en la matière. Tous les projets doivent être axés sur la LPRPDE, puisque le programme découle de cette dernière.
Financement : Tous les projets sont évalués sur la base de leur mérite par des experts en la matière du Commissariat et, à l’occasion, lorsque cela est nécessaire pour valider nos évaluations, par des pairs externes. Presque tous les ans, jusqu’à 50 000 $ sont accordés à chaque projet et une somme maximale de 100 000 $ par organisme bénéficiaire.
Modalités des programmes : Le ministre de la Justice a renouvelé les modalités du programme pour cinq ans en 2020-2021. La liste complète des projets qui ont reçu un financement se trouve sur le site Web du Commissariat. S’y trouvent également les résumés de tous les projets terminés financés au fil des ans.

Préparé par : PRAP

Élaboration d’orientations

Principaux messages

Les directives émises par le Commissariat sont fondamentales pour notre rôle afin de favoriser le respect de la loi et aider les particuliers à exercer leurs droits en matière de protection des renseignements personnels.
Nous constatons une demande croissante de la part des organisations pour des conseils et des orientations quant à leurs obligations en matière de protection de la vie privée et, dans la perspective d’une réforme législative, nous prévoyons un besoin encore plus grand pour des conseils cohérents sur la manière de se conformer à la législation concernant la protection de la vie privée.
Dans cette optique, le Commissariat modernise présentement ses processus pour l’élaboration de documents d’orientation.
Nous sommes ravis de voir que le ministère de la Justice envisage un rôle similaire pour nous, concernant le secteur public, dans la LPRP réformée.

Contexte

Le Commissariat a procédé à une évaluation comparative internationale pour analyser la manière dont les autres autorités chargées de la protection des données élaborent des orientations. Cette recherche a permis d'élaborer des processus d'élaboration d'orientations fondés sur des données probantes, tournés vers l'avenir et qui fourniront des conseils pratiques, concrets, conviviaux et accessibles à l'utilisateur final.
Outre la préparation de la réforme législative, nous finalisons également un projet de lignes directrices sur l'utilisation de la biométrie à des fins d'authentification et d'identification dans les secteurs public et privé, qui sera soumis à une consultation publique dans le courant de l'année fiscale.
Dans son document sur la modernisation de la Loi sur la protection des renseignements personnels, le ministère de la Justice propose que le Commissariat ait l’autorité de s’engager dans l’éducation publique et d’émettre des directives sur l’interprétation et l’application de la loi tout en consultant le gouvernement lors de l’élaboration des documents.
L’art. 110(1) du projet de loi C-27 exigerait que le Commissaire consulte les intéressés, notamment toute institution gouvernementale fédérale concernée, lors de l’élaboration de matériel d’orientation et d’outils relatifs à la conformité des organisations à la loi.

Préparé par : PRAP

D) Devant les tribunaux

Devant les tribunaux : Facebook

Principaux messages

En février 2020, nous avons présenté une demande en vertu de l’article 15 de la LPRPDE, dans laquelle nous demandons à la Cour fédérale de rendre une ordonnance exécutoire pour obliger Facebook à prendre des mesures pour corriger ses pratiques en matière de protection de la vie privée et à se conformer à la LPRPDE.
Notre demande faisait suite à notre enquête qui a révélé que Facebook n’a pas réussi à obtenir un consentement valable et a omis de mettre en place des mesures de sécurité pour protéger les renseignements personnels des utilisateurs.
Facebook a depuis répondu en déposant un contrôle judiciaire, contestant l’enquête et le rapport de conclusions du Commissariat.
Le 13 avril 2023, la Cour s’est prononcée sur ces deux affaires :
- Elle a rejeté la demande de contrôle judiciaire de Facebook, estimant que le CPVP n’avait pas manqué à ses obligations en matière d’équité procédurale.
- La Cour a également rejeté la demande du CPVP, estimant qu’il n’y avait pas suffisamment de preuves pour conclure que Facebook n’avait pas obtenu un consentement valable de la part des utilisateurs, et que les obligations de protection de Facebook prennent fin lorsque les informations sont divulguées à des applications tierces.
Le CPVP a introduit la demande en vertu de l’article 15 afin de protéger la vie privée des Canadiennes et des Canadiens et, dans cette optique, nous examinerons la décision de la Cour afin de déterminer la meilleure façon de procéder.

Contexte

Enquête : l’enquête concernant la conformité à la LPRPDE de Facebook, en ce qui concerne l’application « This is Your Digital Life » et Cambridge Analytica, un cabinet-conseil politique britannique.
- Dans son rapport de conclusions d’avril 2019, le CPVP a conclu que Facebook avait contrevenu aux principes relatifs à l’équité dans le traitement des renseignements concernant le consentement, les mesures de protection et la responsabilité, et qu’en ce qui concerne les téléchargements de l’application par les utilisateurs après le 18 juin 2015, Facebook n’avait pas obtenu un consentement valable conformément à l’article 6.1 de la LPRPDE.
Prochaines étapes : La date limite pour faire appel des décisions de la Cour est le 15 mai 2023.

Préparé par : Services juridiques

Devant les tribunaux : Google

Principaux messages

En 2018, le Commissariat a déposé un renvoi devant la Cour fédérale afin d’obtenir des précisions quant à savoir si le moteur de recherche de Google était assujetti à la loi fédérale sur la protection des renseignements personnels lors de l’indexation de pages Web et de la présentation des résultats de recherche concernant le nom d’une personne.
En 2021, la Cour fédérale a rendu sa décision. La Cour a conclu que la LPRPDE s’applique au service de moteur de recherche de Google, car il recueille, utilise et communique des renseignements personnels dans le cadre d’activités commerciales et n’est pas admissible à l’exception prévue dans la LPRPDE pour les activités menées à des fins journalistiques.
Google a fait appel de cette décision. L’appel a été entendu par la Cour d’appel fédérale en octobre 2022, et l’appel demeure en instance devant la Cour.
Les questions ont été soulevées dans le cadre d’une plainte dans laquelle une personne alléguait que Google avait enfreint la LPRPDE en affichant de manière proéminente des liens vers des articles la concernant lorsque son nom était recherché, alléguant que les articles étaient périmés et inexacts et divulguaient des informations sensibles.

Contexte

Position de principe : En 2018, le Commissariat a publié un projet de position de principe sur la réputation en ligne dans le cadre d’une consultation continue sur la façon dont la loi sur la protection de la vie privée pourrait remédier aux préjudices subis par les personnes en raison de l’exposition accrue des renseignements personnels en ligne. Dans ce document, nous avons déclaré que nous croyons que la LPRPDE s’applique aux moteurs de recherche et qu’elle pourrait permettre, dans certains cas, la radiation des résultats de recherche.
La position de principe reste un projet et ne sera pas achevée avant la conclusion de la procédure de renvoi et de l’enquête connexe.
La procédure de renvoi porte sur deux questions d’interprétation de la loi concernant l’application de la LPRPDE au moteur de recherche de Google. La décision de la Cour fédérale ne déterminera pas comment la LPRPDE s’applique à Google, y compris si elle exige la radiation des articles en question ou en général. Cela reste à déterminer lors de l’enquête sous-jacente.

Préparé par : Services juridiques

E) Projets de loi et modifications législatives

Projet de loi C-27

Principaux messages

J’accueille favorablement le dépôt du projet de loi C-27.
Le projet de loi C-27 répond à un certain nombre de préoccupations qu’ont déjà exprimées le Commissariat et d’autres experts de la protection de la vie privée. Il prévoit notamment que les renseignements utilisés pour obtenir le consentement soient présentés dans un langage facile à comprendre, et une liste élargie des contraventions auxquelles des sanctions administratives pécuniaires peuvent s’appliquer.
J’ai hâte de donner mon avis au Parlement, prochainement, sur la façon dont le projet de loi C-27 peut et doit être amélioré dans quelques domaines clés.
Nos recommandations viseront à faire en sorte que les Canadiennes et les Canadiens disposent de lois sur la protection des renseignements personnels qui reconnaissent leur droit fondamental à la vie privée et qui leur permettront de participer pleinement à l’économie numérique, des lois qui favoriseront l’innovation et permettront au Canada de se positionner en tant que leader dans ce domaine important et en constante évolution.

Contexte

Quelques exemples de changements positifs :

L’ajout d’un préambule afin de donner des orientations sur les objectifs généraux de la loi.
Des dispositions pour mieux protéger la vie privée des mineurs.
L’élargissement des renseignements personnels dont les individus peuvent demander le retrait.
Une exigence selon laquelle l’information permettant d’obtenir un consentement valide doit être présentée dans un langage compréhensible.
Un plus grand pouvoir discrétionnaire au Commissariat.

Aperçu des principales recommandations du Commissariat :

Reconnaître la protection de la vie privée comme un droit fondamental.
Protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.
Limiter la collecte, l’utilisation et la communication de renseignements personnels par les organisations à des fins explicites et indiquées qui tiennent compte du contexte en question.
Élargir la liste des contraventions pouvant faire l’objet de sanctions pécuniaires pour y inclure, au minimum, les contraventions aux fins acceptables.
Prévoir un droit de procéder à l’élimination des renseignements personnels même si une politique de conservation est en vigueur.

Préparé par : PRAP

Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

S’il est encourageant de constater que la réforme du droit du secteur privé progresse, il doit en être de même pour celle du secteur public.
Compte tenu des différents contextes, et dans la mesure du possible, nos lois fédérales en matière de protection de la vie privée devraient être cohérentes les unes avec les autres, ainsi qu’avec d’autres mécanismes de protection des données de premier plan à l’échelle mondiale.
La cohérence entre les lois peut assurer la prévisibilité, renforcer l’interopérabilité et garantir l’homogénéité des exigences en cas de partenariats public-privé ou d’échanges transfrontaliers de données.

Contexte

Effort de modernisation : En mars 2022, le ministère de la Justice a publié un rapport de consultations proposant une série de réformes de la Loi sur la protection des renseignements personnels qui permettraient d’adopter des normes modernes en matière de protection des données. Les propositions particulières dont nous étions en faveur comprennent :
- une clause d’objet qui reconnaît la portée large du droit à la protection des renseignements personnels, en tant que droit de la personne;
- une véritable surveillance, en plus de recours rapides et efficaces, sous la forme d’un pouvoir de rendre des ordonnances et d’un élargissement du droit de recours devant la Cour fédérale;
- une définition élargie de « renseignement personnel ».
Recommandations du CPVP : Les recommandations que nous avons formulées portaient sur les points suivants :
- Intelligence artificielle : Nous recommandons l’inclusion dans la Loi d’une définition de « prise de décisions automatisée », de prévoir un droit à une explication valable et à une intervention humaine, d’établir des normes quant à l’explication requise et d’imposer des obligations légales en matière de traçabilité.
- Seuil justifiant la collecte : Nous croyons que le critère « raisonnablement requis » fonctionne et ajoute de la clarté tout en s’harmonisant aux principes de nécessité et de proportionnalité. Concernant ces aspects, nous proposons de renforcer les objectifs spécifiés et la proportionnalité.
- Cadre applicable aux renseignements personnels « auxquels le public a accès » : Nous avons recommandé que la définition proposée mentionne expressément que les renseignements personnels auxquels le public a accès ne comprennent pas les renseignements à l’égard desquels un individu a une attente raisonnable en matière de protection de la vie privée.
État de l’initiative : Il n’y a eu aucune mise à jour publique sur la page de consultation ou la page de modernisation du ministère de la Justice depuis mars 2022.

Préparé par : PRAP

Partis politiques

Principaux messages

Le Commissariat a souligné à plusieurs reprises la nécessité d’assujettir les partis politiques aux lois sur la protection des renseignements personnels, et d’assurer qu’un tiers indépendant a l’autorité de vérifier et d’imposer la conformité.
Nous avons récemment comparu devant le Sénat au sujet des amendements à la loi électorale du Canada contenus dans le projet de loi C-47. Nous avons souligné que la proposition n’imposait pas aux partis politiques des exigences spécifiques en matière de protection de la vie privée et qu’elle ne prévoyait pas non plus de contrôle indépendant.
Nous avons réaffirmé notre position selon laquelle les partis politiques devraient être soumis à des obligations en matière de protection de la vie privée et que le Commissariat devrait jouer un rôle pour assurer la protection du droit à la vie privée dans ce contexte.

Contexte

Projet de loi C-47, Loi d’exécution du budget : Comprend des amendements autorisant la collecte, l’utilisation, la divulgation et la conservation de renseignements personnels par les partis politiques et leurs membres conformément à leurs propres politiques en matière de protection de la vie privée. Aucune disposition ne prévoit le respect de principes précis en matière de protection de la vie privée, pas plus que le recours à un contrôle indépendant ou encore la possibilité d’accéder à ces données ou de déposer une plainte. Nous avons comparu pour parler de ces provisions devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles le 3 mai 2023.
Plainte de 2019 : En août 2019, nous avons reçu une plainte relative à la LPRPDE contre les trois principaux partis politiques fédéraux. Nous sommes parvenus à la conclusion que la LPRPDE ne s’appliquait pas aux activités des partis politiques en cause dans la plainte (p. ex., publicités ciblant les électeurs), étant donné la nature non commerciale de ces activités.
Autres administrations : Les lois régissant la protection de la vie privée dans d’autres administrations telles que la Colombie-Britannique, le Royaume-Uni et l’Union européenne s’appliquent aux partis politiques, et d’autres, comme le Québec, s’apprêtent à faire de même (l’entrée en vigueur des dispositions pertinentes du projet de loi 64 est prévue pour septembre 2023).
Projet de loi C-76 : En 2018, le projet de loi C-76 a modifié la Loi électorale du Canada pour imposer des obligations limitées en matière de protection de la vie privée (c’est-à-dire l’élaboration, le dépôt et la publication de politiques de protection de la vie privée). Cette obligation n’a toutefois pas imposé de nouvelles protections substantielles pour les renseignements concernant les électeurs, ni de limites opérationnelles à l’utilisation de ces renseignements par les partis.

Préparé par : PRAP

S-12 (Registre national des délinquants sexuels)

Principaux messages

Le Commissariat s’affaire à revoir le projet de loi S-12 afin de cerner les éventuels problèmes liés à la protection de la vie privée.
D’après un premier examen, le projet de loi S-12 ne semble pas prévoir l’échange de renseignements sur les délinquants sexuels avec les autorités américaines.
Le projet de loi S-12 propose plusieurs modifications à la Loi sur l’enregistrement de renseignements sur les délinquants sexuels, notamment en ce qui concerne la manière dont les données relatives aux délinquants sont conservées et les procédures par lesquelles les victimes reçoivent l’information.
Je compte donner mon avis au Parlement, si je suis appelé lors de l’étude de ce projet de loi en comité.

Contexte

À l’automne 2022, le Globe and Mail faisait état de l’intention de présenter un projet de loi qui permettrait au gouvernement fédéral d’informer systématiquement les autorités américaines lorsque des délinquants sexuels canadiens se rendaient aux États-Unis.
D’après notre examen initial, le projet de loi S-12 ne semble pas conférer de nouvelles autorisations légales pour l’échange de renseignements sur les délinquants sexuels avec les autorités américaines.
Toutefois, d’après les commentaires de la sénatrice Beverly Busson, nous comprenons que les dispositions relatives à la notification des déplacements contenues dans le projet de loi S-12 donneront plus de temps aux services de l’ordre canadiens pour informer leurs homologues concernés, le cas échéant, afin qu’ils puissent remplir leurs obligations actuelles.
À l’intention du Commissaire uniquement : [Caviardé]
À l’intention du Commissaire uniquement : [Caviardé].

Préparé par : Services juridiques

C-42 (Registre de la propriété effective)

Principaux messages

Je note que le projet de loi C-42, qui a été déposé à la Chambre en mars, modifierait la Loi canadienne sur les sociétés par actions pour exiger la publication de renseignements sur les « particuliers ayant un contrôle important sur une société ».
Le Commissariat procède actuellement à un examen du projet de loi C-42 afin de cerner les éventuels problèmes liés à la protection de la vie privée.
Nous sommes conscients de la récente décision de la Cour de justice de l’Union européenne (UE) qui a conclu que le registre public des propriétés effectives de l’UE n’était pas strictement nécessaire ou proportionné et que l’accès au grand public interférait avec les droits garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Contexte

Le projet de loi C-42 prévoit la création d’un registre public contenant des renseignements sur les personnes exerçant un « contrôle important sur une société ». Ce projet de loi s’appuie sur les amendements apportés à la Loi no 1 d’exécution du budget de 2022, qui visent à accroître la transparence.
Depuis 2016, le Royaume-Uni dispose d’un répertoire public des propriétés effectives. Au Québec, la Loi sur la publicité légale des entreprises permet au public de consulter un registre des sociétés en ligne.
L’UE et ses États membres disposent de registres des sociétés accessibles au public. Toutefois, en novembre 2022, la Cour de justice de l’Union européenne (CJUE) a invalidé le registre public en estimant qu’il n’était ni nécessaire ni proportionné et qu’il portait atteinte aux droits garantis par la Charte.
Le 28 avril, lors du débat en Chambre, les partis d’opposition ont indiqué qu’ils appuyaient le projet de loi 42, mais ont demandé des amendements afin de protéger le droit à la vie privée dans le registre. Ils n’ont pas proposé d’amendements spécifiques. Le secrétaire parlementaire du leader du gouvernement à la Chambre des communes, Kevin Lamoureux, a indiqué que le gouvernement « … est conscient des problèmes de protection de la vie privée » soulevés et qu’il est au courant de la décision de la CJUE.
Innovation, Sciences et Développement économique a consulté le Commissariat à propos de la création d’un registre de la propriété effective en juin 2022, et la DSCG a fourni des conseils préliminaires à examiner.

Préparé par : PRAP/Services juridiques

Date de modification :: 2023-08-31