Conseils sur la protection des renseignements personnels pour les partis politiques fédéraux

Le 1^er avril 2019

Aperçu

Les partis politiques peuvent recueillir, utiliser et diffuser des renseignements personnels hautement sensibles dans le cadre de leurs activités. Aucune loi fédérale sur la protection des renseignements personnels ne s’applique actuellement aux partis politiques fédéraux. À l’heure actuelle, la Colombie Britannique est la seule province au Canada qui règlemente les pratiques en matière de protection de la vie privée des partis politiques.

En décembre 2018, le Parlement a adopté le projet de loi C-76, la Loi sur la modernisation des élections. Le projet de loi C-76 a modifié la Loi électorale du Canada pour exiger que les partis politiques élaborent des politiques de confidentialité relatives aux renseignements personnels qu’ils détiennent, envoient ces politiques à Élections Canada et les publient en ligne.

Le Commissariat à la protection de la vie privée du Canada (Commissariat) et le directeur général des élections du Canada (DGE) ont préparé ce document d’orientation pour aider les partis politiques fédéraux à se conformer à leurs nouvelles obligations juridiques en matière de politiques de confidentialité. Bien que ces politiques doivent comprendre certains éléments prescrits, leur contenu n’a pas à se conformer aux normes internationales en matière de protection de la vie privée. Toutefois, nous encourageons les partis politiques à se conformer à ces normes.

Ainsi, ce document d’orientation présente un certain nombre de pratiques exemplaires en matière de protection de la vie privée basées sur des normes du droit international que les partis politiques sont encouragés à suivre afin de mieux protéger les renseignements personnels qu’ils détiennent et inspirer la confiance des Canadiens.

Public cible

Cette page s’adresse aux partis politiques fédéraux ainsi qu’aux personnes associées à ces partis et aux campagnes électorales fédérales, y compris les candidats, les députés, les employés et les bénévoles.

Personnes-ressources

Le Commissariat n’a pas de rôle de surveillance quant aux obligations imposées par le projet de loi C-76. Le Commissariat ne peut donc pas recevoir les plaintes relatives aux questions soulevées dans ce document d’orientation ou enquêter sur les plaintes qui ne relèvent pas de sa compétence en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques ou de la Loi sur la protection des renseignements personnels.

Les personnes ayant des préoccupations particulières doivent d’abord communiquer avec l’agent responsable de la protection des renseignements personnels du parti politique en question (tel qu’indiqué dans la politique du parti) ou avec Élections Canada si elles ont des préoccupations à propos de l’exactitude des politiques d’un parti. Le DGE peut consulter le Commissariat au besoin.

Sur cette page

Obligations juridiques
Pratiques exemplaires basées sur les normes du droit international
Concepts clés de la protection des données, liens utiles, exemples et ressources

Obligations juridiques des politiques de confidentialité

Étant donné les nouvelles obligations juridiques en vigueur, les partis politiques fédéraux doivent publier une politique de confidentialité sur leur site Web et l’envoyer à Élections Canada pour respecter les conditions d’inscription^{Note de bas de page 1}. Si la politique de confidentialité est modifiée, le parti doit en informer le directeur général des élections et mettre à jour la version en ligne de sa politique. La politique de confidentialité devra comprendre les éléments suivants^{Note de bas de page 2} (colonne de gauche), alors que des exemples concrets (colonne de droite), donnés à titre illustratif, sont tirés de rapports récents sur les pratiques en matière de protection de la vie privée de partis politiques de la Colombie-Britannique, du Québec et du Royaume-Uni.

Éléments requis	Examples
i) une déclaration indiquant les types de renseignements personnels recueillis par le parti et le moyen utilisé pour recueillir ces renseignements.	Le parti recueille-t-il des renseignements personnels relatifs au revenu d’un électeur, à son lieu de résidence, aux membres de sa famille, à son origine ethnique, à ses opinions ou appartenance politiques, etc.? Est-ce que le parti recueille de l’information sur ses membres telle que leurs coordonnées? Est-ce que le parti recueille de l’information financière sur les électeurs? Des renseignements personnels sont-ils achetés auprès d’un courtier en données ou recueillis sur les médiaux sociaux, par des pétitions ou par d’autres moyens?
ii) une déclaration indiquant comment le parti protège les renseignements personnels qu’il détient.	Comment les renseignements personnels sont-ils protégés? En chiffrant les données électroniques, en conservant les renseignements sur papier dans des classeurs verrouillés dont l’accès est limité, en s’assurant que les protections du réseau et les pare-feux sont à jour, etc.?
iii) une déclaration indiquant comment le parti utilise les renseignements personnels qu’il détient et dans quelles circonstances ces renseignements personnels peuvent être vendus à une autre personne ou à une autre entité.	Les listes de membres seront-elles utilisées pour des activités politiques telles que des campagnes de financement, des initiatives bénévoles et du porte-à-porte? Des profils d’électeurs sont-ils conçus, et comment sont-ils utilisés? Le parti partagera-t-il ses profils d’électeurs et ses bases de données avec des partis provinciaux ou les vendra-t-il à d’autres groupes ou individus?
iv) une déclaration décrivant la formation sur la collecte et l’utilisation de renseignements personnels suivie par les employés du parti qui pourraient avoir accès aux renseignements personnels que le parti détient.	Comment les employés du parti seront-ils formés pour assurer la protection des renseignements personnels et pour adopter des pratiques de communication acceptables? Comment les bénévoles seront-ils formés pour recueillir des renseignements pendant le porte-à-porte et s’assurer que ces renseignements sont protégés contre la perte ou le vol?
v) une déclaration décrivant les pratiques du parti en matière de collecte et utilisation de renseignements personnels résultant des activités en ligne, et, utilisation de fichiers témoins.	Des renseignements personnels seront-ils recueillis par l’utilisation de fichiers témoins, de surveillance des médias sociaux, d’applications mobiles dédiées, de paramètres publics et privés, etc.?
vi) le nom et les coordonnées d’une personne qui peut répondre aux préoccupations à propos de la politique du parti en matière de protection des renseignements personnels.	Le nom et les coordonnées d’un employé du parti qui peut répondre aux préoccupations publiques en matière de protection de la vie privée.

Pratiques exemplaires basées sur les normes du droit international

Les personnes s’attendent à ce que les partis politiques respectent leur vie privée. Pour y parvenir, une organisation peut adopter une bonne politique de confidentialité. Bien que, selon la nouvelle loi, une partie du contenu est prescrite, le contenu n’a pas à se conformer aux normes internationales en matière de protection de la vie privée. Respecter les principes suivants relatifs à l’équité dans le traitement de l’information donnera un sens à ces politiques et aidera les partis à garantir que les renseignements personnels sont traités de manière à respecter le droit des Canadiens en matière de vie privée.

Principes relatifs à l’équité dans le traitement de l’information	Pratiques exemplaires
Principe 1 - Responsabilité	Les partis politiques devraient : Mettre en œuvre des politiques et des procédures pour protéger tous les renseignements personnels conformément aux dix principes de protection de la vie privée indiqués dans ce tableau. Mettre en place des contrats indiquant comment les renseignements personnels seront protégés lors de l’emploi de tierces parties, comme les fournisseurs de services. Être prêts à démontrer que le traitement des renseignements personnels est adéquat. Par exemple, conserver des copies écrites des politiques et maintenir des dossiers pouvant être examinés pour vérifier la conformité. Informer les personnes touchées par une atteinte à la sécurité des renseignements personnels qui présente un risque de préjudice grave.
Principe 2 – Détermination des fins de la collecte de renseignements	Les partis politiques devraient : Faire preuve de transparence et documenter les fins de la collecte de renseignements personnels, l’utilisation prévue de ces renseignements et les raisons qui justifient le partage de ces renseignements avec d’autres organisations. Préciser les fins de toute nouvelle utilisation des renseignements, et obtenir le consentement de la personne concernée avant de les utiliser. Si, par exemple, un parti politique souhaite utiliser l’information d’une pétition pour d’autres fins que celle de promouvoir l’enjeu soulevé par cette même pétition, il devrait en faire mention.
Principle 3 - Consentement	Les partis politiques devraient : Obtenir le consentement pour recueillir, utiliser ou diffuser des renseignements personnels^{Note de bas de page 3}, y compris : Données induites (cela comprend l’utilisation de données d’observation pour estimer l’âge, le genre ou la situation financière) Données prédictives (cela peut comprendre l’utilisation de données sensibles comme les opinions politiques, l’origine ethnique et l’appartenance religieuse pour prévoir les intentions de vote) Obtenir le consentement valable des personnes en s’assurant qu’elles sont informées des conditions suivantes lorsqu’on demande des renseignements personnels : Quelles sont les données recueillies? À quoi cela peut-il servir? À qui ces renseignements seront-ils communiqués? Conséquences de la collecte et de l’utilisation des renseignements personnels par le parti Utiliser les renseignements personnels uniquement aux fins auxquelles les personnes ont consenti. Par exemple, ne pas recueillir de renseignements personnels à propos des opinions politiques, de la religion ou de l’origine ethnique sans le consentement explicite de la personne. De manière similaire, ne pas présumer le consentement pour ajouter aux bases de données du parti des renseignements personnels recueillis dans les médias sociaux lorsque des personnes interagissent avec un parti en « aimant » une publication ou un article affiché dans les médias sociaux. Éviter de recueillir des renseignements personnels à propos d’autres personnes, comme des membres de la famille ou des voisins. S’assurer que le consentement a été obtenu avant de recevoir des renseignements personnels de tierces parties, comme des courtiers en données. Obtenir le consentement avant de communiquer des renseignements personnels (p. ex., avant de télécharger les listes de contacts internes des partis politiques sur les plateformes des médias sociaux).
Principe 4 – Limitation de la collecte	Les partis politiques devraient : Éviter la collecte systématique en limitant la quantité et le type de renseignements personnels recueillis à ceux qui sont nécessaires aux fins déterminées. Par exemple, les solliciteurs ne devraient pas enregistrer les opinions d’un répondant à propos des intentions de vote des autres membres du ménage. Ne pas tromper les personnes quant aux fins de la collecte de leurs renseignements personnels.
Principe 5 – Limitation de l’utilisation, de la diffusion et de la conservation	Les partis politiques devraient : Utiliser ou diffuser des renseignements personnels uniquement à des fins correspondant à l’objectif initial de la collecte. Par exemple, l’information recueillie pour une pétition ou une cause précise ne devrait pas être réutilisée pour des fins de communications politiques d’ordre général. Par exemple, ne pas divulguer d’adresses de courriel ou tout autre identifiant aux plateformes de médias sociaux pour l’analyse de données ou le profilage sans le consentement explicite. Conserver les renseignements personnels aussi longtemps que nécessaire pour l’atteinte des fins, puis détruire les renseignements de façon sécurisée. Élaborer des procédures pour conserver et détruire les renseignements personnels.
Principe 6 – Exactitude	Les partis politiques devraient : S’assurer que les renseignements personnels conservés sont exacts et à jour. Cela réduira au minimum les possibilités d’utilisation incorrecte des renseignements personnels au moment de prendre une décision concernant une personne ou de diffuser les renseignements à de tierces parties. Les partis doivent tenir compte de ce fait lorsqu’ils tirent des conclusions sur les électeurs, par exemples sur leurs opinions politiques, ou lorsqu’ils se fient sur des données fournies par de tierces parties. Dans la mesure du possible, les partis politiques devraient veiller à ce que leurs conclusions soient exactes.
Principe 7 – Mesures de sécurité	Les partis politiques devraient : Protéger les renseignements contre l’accès non autorisé, la divulgation, la copie, l’utilisation ou la modification, peu importe le format (c.-à-d., électronique ou papier). Utiliser plusieurs mesures de sécurité en fonction de la sensibilité des renseignements conservés. Par exemple, les opinions politiques, l’état de santé, l’appartenance religieuse, l’origine ethnique et la situation financière peuvent être considérés comme hautement sensibles et devraient faire l’objet de mesures de sécurité plus strictes. Les mesures de sécurité peuvent comprendre le chiffrement, les classeurs verrouillés et l’accès limité aux personnes devant connaître les renseignements. Les partis doivent sensibiliser leurs employés, leurs bénévoles et leurs sous-traitants à l’importance de protéger le caractère confidentiel des renseignements personnels.
Principe 8 - Transparence	Les partis politiques devraient : Faire preuve de transparence, de clarté et de responsabilité à l’égard de leurs pratiques en matière de gestion des renseignements personnels. Par exemple, si les électeurs sont classés en fonction de leur opinions politiques, de leur allégeance politique, de leurs intérêts personnels, de leur langue, de leur origine ethnique ou de leur éducation, le parti devrait l’indiquer clairement. S’assurer que les communications à propos de la protection de la vie privée sont faciles à comprendre, peu importe l’appareil à l’aide duquel elles sont consultées, et qu’elles sont accessibles par divers moyens (p. ex., en personne, à l’écrit, par téléphone, dans des publications et sur le site Web de votre organisation).
Principe 9 – Accès aux renseignements personnels	Les partis politiques devraient : Fournir aux personnes l’accès à leurs renseignements personnels lorsqu’elles le demandent, y compris toutes les inférences ou les prédictions effectuées à leur sujet. Pouvoir rendre compte des manières dont les renseignements ont été utilisés et de toutes les communications de renseignements personnels auprès de tierces parties, si demandé. Corriger ou modifier les renseignements personnels si leur exactitude ou leur exhaustivité est contestée et s’ils se révèlent ne plus être à jour. Par exemple, suite à une demande, les partis devraient fournir tous les renseignements personnels conservés par l’organisation à propos d’une personne, décrire comment ces renseignements ont été et sont utilisés et indiquer si ces renseignements ont été diffusés.
Principe 10 – Possibilité de porter plainte à l’égard du non-respect des principes	Les partis politiques devraient : Offrir un recours en élaborant des procédures simples de traitement des plaintes et d’enquête. Informer les personnes préoccupées des recours possibles. S’assurer que toutes les plaintes font l’objet d’enquêtes.

Concepts clés de la protection des données, liens utiles, exemples et ressources

Liens vers les conseils du Commissariat

Liens vers les documents d’orientation détaillés du Commissariat

Liens vers les documents émis par les autorités provinciales

Rapport du CIPVP de la Colombie-Britannique : Full Disclosure: Political parties, campaign data, and voter consent
Rapport d’Élections Québec : Partis politiques et protection des renseignements personnels

Liens vers les documents émis par les autorités d’autres pays

Commission européenne « Protéger les données personnelles des Européens en période électorale »
ICO du Royaume-Uni « Guidance on political campaigning » et « Investigation into the use of data analytics in political campaigns » (en anglais seulement)
CNIL “Communication politique : quelles sont les règles pour l'utilisation des données issues des réseaux sociaux ? »
CNIL “Élections législatives : six réflexes pour une campagne 2.0 responsable »

Liens vers les revues universitaires des partis canadiens et de la protection de la vie privée

Bennett, Colin, « Data Driven Elections and Political Parties in Canada: Privacy Implications, Privacy Policies and Privacy Obligations » (Avril 2018). Canadian Journal of Law and Information Technology.
Elizabeth Judge et Michael Pal, « Privacy and the Electorate: Big Data and the Personalization of Politics » (Octobre 2014)

Date de modification :: 2019-04-01

Sélection de la langue

Recherche et menus

Recherche