Rapport annuel au Parlement 2006 sur la Loi sur la protection des renseignements personnels et les documents électroniques

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3

(613) 995-8210, 1-800-282-1376
Téléc. : (613) 947-6850
ATS : (613) 992-9190

© Ministre des Travaux publics et Services gouvernementaux Canada 2007

ISSN 1913–3375

Cette publication se trouve également sur notre site Web à www.priv.gc.ca.

---

Mai 2007

L’honorable Noël A. Kinsella, sénateur
Président
Sénat du Canada
Ottawa (Ontario)  K1A 0A4

Monsieur,

J’ai l’honneur de présenter au Parlement le rapport annuel sur la Loi sur la protection des renseignements personnels et les documents électroniques du Commissariat à la protection de la vie privée du Canada pour la période s’échelonnant du 1er janvier au 31 décembre 2006.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

---

Mai 2007

L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa (Ontario)  K1A 0A4

Monsieur,

J’ai l’honneur de présenter au Parlement le rapport annuel sur la Loi sur la protection des renseignements personnels et les documents électroniques du Commissariat à la protection de la vie privée du Canada pour la période s’échelonnant du 1er janvier au 31 décembre 2006.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

---

Message de la commissaire

L’année 2006 nous a démontré que le besoin de prendre au sérieux la protection des renseignements personnels est plus impérieux que jamais. De nouvelles effractions de données ont renforcé nos préoccupations au sujet des problèmes de sécurité et des échanges transfrontaliers de données.

Nous avons aussi eu l’occasion de faire le point sur le régime de protection des renseignements personnels applicable au secteur privé du Canada et de chercher des moyens de créer des lois encore plus efficaces pour régir les enjeux associés à la protection de la vie privée.

Échanges d’information au-delà des frontières

Depuis plusieurs années, le Commissariat à la protection de la vie privée (CPVP) sonne l’alarme quant aux risques sérieux pour la protection des renseignements personnels qui surviennent lorsque les données personnelles des Canadiennes et des Canadiens passent les frontières. Ces préoccupations ont débuté quand la USA PATRIOT Act a accordé au Federal Bureau of Investigation américain de nouveaux pouvoirs pour accéder aux renseignements personnels détenus par des organisations américaines. Elles ont refait surface en 2006 quand la presse internationale a rapporté que la Society for Worldwide Interbank Financial Telecommunication (SWIFT), une coopérative financière sise en Europe qui offre des services de messagerie et des logiciels d’interface à des institutions financières dans plus de 200 pays, dont le Canada, avait divulgué en secret des renseignements personnels au Trésor américain.

Les reportages dans les médias étaient alarmants et ont incité le CPVP à mener une enquête. Les conclusions auxquelles nous sommes parvenus, après la période de rapport prévue par le présent document, sont présentées dans mon rapport de conclusions d’enquête d’avril 2007. (Ce rapport se trouve sur notre site Web à www.priv.gc.ca.)

En somme, nous avons conclu que la SWIFT n’a pas contrevenu à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), à laquelle elle est assujettie, quand elle a, conformément à des subpœnas légitimes délivrés à l’extérieur du pays, divulgué des renseignements personnels de Canadiennes et de Canadiens à des autorités étrangères. Cependant, le processus de communication aurait pu être plus transparent si les organismes gouvernementaux impliqués avaient utilisé les mécanismes d’échanges d’informations en place, qui sont dotés de mesures intégrées de protection des renseignements personnels. Nous avons demandé aux représentants canadiens de travailler avec leurs homologues américains afin de les encourager à utiliser ces mécanismes à l’avenir plutôt que les subpœnas pour obtenir de l’information.

Autres préoccupations relatives à la protection des données

Une autre série de reportages distincts sur d’importantes atteintes à la protection des données a également suscité des inquiétudes auprès des Canadiennes et des Canadiens vers la fin de 2006. Quelques organisations du secteur privé (en particulier une société de fonds communs de placements, filiale de la Banque canadienne impériale de commerce (CIBC) et le propriétaire établi aux États-Unis des magasins Winners et HomeSense) ont reconnu avoir perdu de grandes quantités de renseignements personnels sensibles.

Bien que ces types de fuites de données ne soient pas un phénomène nouveau, le nombre considérable de ces atteintes et les manchettes des médias ont attiré l’attention du public sur eux de façon spectaculaire. La couverture par les médias a aussi permis d’illustrer au comité parlementaire chargé de l’examen de la LPRPDE la nature très sérieuse de ces fuites de données, ainsi que le besoin de mesures législatives et de politiques supplémentaires pour mieux protéger les renseignements personnels détenus par les entreprises du secteur privé.

Un examen parlementaire important

L’amorce de l’examen de la LPRPDE par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes a marqué un tournant important pour la protection des renseignements personnels dans le secteur privé au Canada.

L’examen a commencé à la fin de 2006. C’était le premier examen quinquennal de la Loi, qui est entrée en vigueur par étapes à partir de 2001. Bien avant le commencement des audiences du Comité, le CPVP a cherché à proposer des mesures visant à améliorer la Loi.

Dans l’ensemble, la LPRPDE est une loi bien conçue. Ceci dit, certaines parties de la Loi ont besoin d’être mises à jour et peaufinées pour mieux tenir compte des effets des technologies envahissantes, de la curiosité de plus en plus grande du secteur privé et de l’appétit accru des gouvernements, après le 11 septembre, pour les renseignements personnels détenus par le secteur privé.

En juillet 2006, nous avons publié un document de consultation en vue d’obtenir des commentaires sur des modifications possibles. Nous avons reçu plus de 60 propositions et présenté une analyse de celles-ci au Comité en novembre. La vigueur de la réaction suscitée nous a confirmé l’intérêt des groupes de consommateurs, des universitaires, des entreprises et des citoyens canadiens de faire en sorte que les renseignements personnels dans le secteur privé jouissent d’une protection convenable. Les sondages effectués à l’échelle nationale montrent toutes que les Canadiennes et les Canadiens comprennent l’importance de la protection des renseignements personnels dans leur vie quotidienne.

La fin d’une époque

Hélas, 2007 marquera la fin d’une époque pour le CPVP. Heather Black, la première commissaire adjointe du Canada pour la LPRPDE, prendra sa retraite au début de l’année.

Pendant près de 25 ans, Heather a été un phare pour le Canada en matière de protection de la vie privée. Avant de joindre les rangs du CPVP, elle a été l’une des architectes de la LPRPDE à Industrie Canada. Elle a orienté l’interprétation de la Loi au cours des cinq premières années de son application; d’abord comme avocate générale du CPVP, puis comme commissaire adjointe chargée de la LPRPDE.

Le CPVP, ses collègues ailleurs au gouvernement, les organisations assujetties à la LPRPDE et, par-dessus tout, le public canadien, ont tous profité de ses vastes connaissances et de son approche sage et équilibrée. Je remercie Heather de sa contribution extraordinaire et j’espère sincèrement que sa voix continuera de se faire entendre sur les questions de protection des renseignements personnels.

Vers l’avenir

Nous avons été très occupés à la fin de l’année 2006, puisque nous avons jeté les bases de ce qui sera sans aucun doute une période passionnante dans l’histoire du CPVP. Nous recevrons en effet les plus grandes sommités du monde de la protection de la vie privée à la 29e Conférence internationale des commissaires à la protection des données et de la vie privée à Montréal à l’automne de 2007. Notre thème, Les horizons de la protection de la vie privée : Terra Incognita illustre le défi auquel nous sommes confrontés alors que nous nous apprêtons à arpenter des territoires inconnus de la protection de la vie privée de l’avenir. Chaque année apporte en effet son lot de nouveaux défis à la protection de la vie privée.

Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Examen de la LPRPDE

L’article 29 de la LPRPDE impose au Parlement l’obligation de procéder à un examen de la Partie 1 de la Loi (la portion qui porte sur la protection des données) tous les cinq ans. Comme la Loi est entrée en vigueur par étapes à compter de 2001, le premier examen quinquennal était prévu pour 2006.

Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes a commencé l’examen à la fin de l’automne. En vue de s’y préparer, le CPVP a produit un document de consultation répertoriant douze questions essentielles à aborder.

Nous avons été très heureux de recevoir de diverses organisations et personnes plus de 60 réponses à ce document, réponses que la commissaire a présentées au Comité en novembre. Les audiences du Comité se sont poursuivies en 2007 et réunissaient une panoplie représentatif d’organisations, d’associations du secteur privé, de défenseurs de la protection de la vie privée et de particuliers. Au moment de la rédaction du présent rapport, le Comité venait tout juste de publier son rapport. Nous formulerons nos commentaires à cet égard dans le prochain rapport annuel. 

En général, la LPRPDE demeure pertinente et efficace. Elle concilie de façon appropriée le droit des personnes à la protection de leurs renseignements personnels et le besoin des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels à des fins raisonnables.

Le modèle de l’ombudsman, assorti de pouvoirs de vérification et de poursuite, continue de fournir à la commissaire à la protection de la vie privée une autorité suffisante pour amener les organisations à respecter la LPRPDE; aucun pouvoir d’ordonnance particulier n’est nécessaire en ce moment. Néanmoins, il y a place à amélioration dans d’autres domaines.

Comme l’a précisé la commissaire lors de sa comparution devant le Comité, certaines modifications pourraient servir à clarifier et à améliorer la Loi.

Incorporer des concepts provinciaux

Parmi les plaintes les plus complexes reçues par le CPVP, un grand nombre ont trait à la communication des renseignements personnels des employés. L’idée qu’un employé doive donner un consentement éclairé et libre avant qu’une organisation puisse recueillir ses renseignements personnels est déphasée par rapport à la réalité du milieu du travail. Les employés qui ne sont guère en position de négocier peuvent être forcés de consentir à la collecte, à l’utilisation et à la communication de leurs renseignements personnels.

Le CPVP a proposé que le Comité parlementaire examine, à titre d’exemple, la loi de l’Alberta applicable au secteur privé, la Personal Information Protection Act, qui établit un critère raisonnable permettant de déterminer quand la collecte des renseignements personnels des employés est acceptable. Nous avons aussi suggéré que l’on incorpore dans les modifications à la LPRPDE liées à cette question la notion de dignité de la personne, un élément de la loi du Québec en matière de données personnelles pour le secteur privé.

De plus, nous avons affirmé que la LPRPDE pourrait bénéficier de l’adoption d’autres éléments des lois de seconde génération sur la protection des renseignements personnels dans le secteur privé de l’Alberta et de la Colombie-Britannique. Ces lois comprennent des dispositions liées à la communication des renseignements personnels dans le cadre de la vente ou du transfert d’une entreprise. Les deux provinces permettent aux acheteurs potentiels de voir les listes de clients et les renseignements des employés dans un contexte de diligence raisonnable d’entreprise. Le CPVP a recommandé que la LPRPDE permette des communications semblables, mais seulement dans le cadre d’ententes de confidentialité strictes sur la protection des renseignements personnels.

Nous appuyons aussi l’ajout d’une disposition aux termes de laquelle ce serait une infraction de tenter volontairement de recueillir des renseignements personnels sans le consentement de l’intéressé. Il s’agit là d’un élément inclus dans la loi de l’Alberta en matière de données personnelles pour le secteur privé.

Communication à des autorités compétentes à l’étranger

En raison de l’augmentation de la circulation transfrontalière des données personnelles, le CPVP reçoit, de temps en temps, des plaintes concernant des activités d’accès à l’information qui surviennent à l’extérieur du Canada.

Bon nombre de pays sont confrontés à des défis semblables et ont adopté des dispositions permettant des échanges d’informations limités dans le cadre des enquêtes sur des questions d’intérêt commun. Dans sa forme actuelle, la LPRPDE permet à la commissaire de partager des informations avec ses homologues provinciaux dotés de lois essentiellement similaires, et de collaborer avec eux dans le cadre d’enquêtes.

Bien que la Loi inclue déjà un principe de responsabilité qui contribue à la protection des renseignements personnels lorsque ceux-ci quittent le Canada, il y a place à l’amélioration. Dans le but de rendre l’application de la loi plus efficace et de rassurer les Canadiennes et Canadiens au sujet des échanges transfrontaliers de données, nous avons recommandé que la commissaire à la protection de la vie privée soit investie du pouvoir spécifique de partager des renseignements d’enquêtes à des homologues étrangers dans le cadre d’investigations sur des questions d’intérêt commun.

La commissaire continuera de s’occuper des défis transfrontaliers liés à l’application des lois sur la protection des renseignements personnels dans son travail comme présidente d’un groupe de travail sur la sécurité de l’information et la vie privée de l’Organisation de coopération et de développement économiques (OCDE).

Communication liée à la sécurité nationale

Dans une présentation en novembre devant le comité qui examinait la LPRPDE, nous avons réitéré nos préoccupations au sujet de la disposition de la LPRPDE qui permet aux organisations de recueillir et de communiquer des renseignements personnels aux fins de l’application de la loi et de la protection de la sécurité nationale. La Loi de 2002 sur la sécurité publique a entraîné la modification de la LPRPDE pour autoriser de telles activités. Le CPVP avait demandé que cette disposition soit supprimée au moment de l’examen du projet de loi par le Parlement. Nous soutenons qu’il est nécessaire de supprimer cette disposition ou tout au moins de lui imposer des limites pour restreindre sa portée plus vaste qu’il n’est nécessaire.

Notification des effractions à la protection des données

Enfin, la commissaire a recommandé que l’on modifie la LPRPDE pour y inclure l’obligation de signifier les atteintes à la protection des données quand des renseignements personnels sont perdus. Nous reconnaissons que ceci ne cadre pas facilement avec le modèle actuel de la LPRPDE, car il n’y a pas de moyen facile de pénaliser les organisations qui omettent de déclarer ces effractions. Tandis que l’on se penche sur de tels défis, la commissaire travaille avec des intervenants pertinents et intéressés à l’élaboration de lignes directrices sur la déclaration volontaire que les organisations pourraient suivre dans de tels cas.

Examen de la Loi sur la protection des renseignements personnels

Nous sommes très heureux que la LPRPDE prévoit un examen de la loi tous les cinq ans et nous attendons avec impatience de voir la loi s’adapter aux nouveaux défis. D’autre part, la loi applicable au secteur public au Canada, dont l’entrée en vigueur remonte à un quart de siècle, ne prévoyait qu’un examen obligatoire après trois ans. Un comité a examiné la Loi sur la protection des renseignements personnels, mais ses recommandations n’ont jamais été appliquées. Les demandes subséquentes pour une réforme de la loi ont également été ignorées. La Loi sur la protection des renseignements personnels est maintenant extrêmement dépassée et il est urgent de la réviser et de l’actualiser.

Politiques

Dans une économie mondialisée, les transferts de renseignements personnels au sein de chaque territoire, au-delà des frontières provinciales et entre les pays sont monnaie courante.

Les échanges transfrontaliers d’informations profitent tant aux entreprises du secteur privé qu’aux consommateurs. Ils permettent aux sociétés multinationales de répartir leurs centres d’affaires dans le monde entier, de bénéficier de l’accès à une main-d’œuvre moins chère ainsi qu’à des compétences spécialisées en fonction des régions, et de transcender les limites de la journée de travail ordinaire de huit heures.

Ces échanges transfrontaliers d’informations permettent aux consommateurs de bénéficier d’une commodité exceptionnelle en tant que clients. Nous pouvons maintenant faire des réservations de voyage et faire des achats en ligne, recevoir un service à la clientèle 24 heures sur 24 et sept jours sur sept, et accéder à nos comptes en banque et sources de crédit de n’importe où dans le monde.

Un flot d’information

Grâce à la baisse du prix des télécommunications et à la croissance des capacités de traitement et de mémoire des ordinateurs, le volume de données personnelles engendrées par cette économie toujours en activité croît de façon exponentielle. Il suffit de penser aux énormes quantités d’informations échangées au cours des recherches en ligne ou des visites à des sites Web de réseautage social. Plus d’organisations ont accès à plus d’informations sur les gens que jamais auparavant.

Avec chaque transfert d’information, la menace que représentent les pirates informatiques, les employés peu scrupuleux et les voleurs d’identité s’accroît. Les cas de perte ou de vol d’ordinateur portatif et la négligence dans le maniement de l’information ne font qu’accroître les risques.

Tandis que les menaces et les dommages potentiels se précisent, la sécurité des renseignements  personnels revêt une importance nouvelle et crée de nouveaux défis pour des entités comme le CPVP.

Enquêtes de 2006

Les effractions à la protection des données deviennent de plus en plus fréquentes. À la fin de l’année, le CPVP a participé à deux enquêtes sur d’importantes fuites de données. Nous avons ouvert une enquête conjointe avec le commissaire à l’information et à la protection de la vie privée de l’Alberta, Frank Work, à propos d’un accès non autorisé à la base de données de TJX Companies Inc., qui exploite les magasins Winners et HomeSense au Canada. Des pirates informatiques auraient réussi à accéder à la base de données de la société, qui contenait les renseignements personnels de clients canadiens.

Nous avons également commencé à enquêter sur une atteinte à la protection des renseignements personnels de près d’un demi-million de clients de Talvest Mutual Funds, une filiale de la Banque canadienne impériale de commerce (CIBC). Nous avons ouvert cette enquête à la demande de la commissaire après que la banque a avisé le CPVP de la disparition d’un disque dur contenant les renseignements personnels et les données financières d’environ 470 000 clients de Talvest.

Juridictions

Dans le monde de l’après-11 septembre, les renseignements personnels sont souvent perçus comme des renseignements précieux qui peuvent permettre de déceler les menaces à la sécurité et de détecter les crimes transnationaux comme le blanchiment d’argent et le financement des activités terroristes. Quand des renseignements personnels passent les frontières, ils peuvent être assujettis à des régimes juridiques différents. Des personnes peuvent perdre certains de leurs droits en matière de vie privée, comme la possibilité de demander à avoir accès aux renseignements qui les concernent ou d’exercer un recours si de l’information est utilisée ou communiquée illégalement.

Des pays du monde entier reconnaissent le besoin de rendre la protection des données personnelles qui passent les frontières aussi uniforme que possible. L’importance de la coopération internationale a été reconnue par un certain nombre d’entités, notamment la Conférence internationale des commissaires à la protection des données et de la vie privée, la Coopération économique de la zone Asie-Pacifique et le Groupe de travail « Article 29 » sur la protection des données de l’Union européenne. Grâce à une sensibilisation accrue aux menaces associées à l’augmentation des échanges transfrontaliers de données, un consensus se dégage sur l’importance de promouvoir une coopération plus étroite entre les autorités de protection de la vie privée de différents pays.

Enquêtes internationales

En 2006, le CPVP a appris que les autorités américaines avaient accès aux renseignements financiers de Canadiennes et Canadiens – à leur insu – par l’entremise de la Society for Worldwide Interbank Financial Telecommunication (SWIFT). La SWIFT est une coopérative financière sise en Europe qui offre des services de messagerie et des logiciels d’interface à des institutions financières dans plus de 200 pays, dont le Canada. Le CPVP a ouvert une enquête pour déterminer si la SWIFT divulguait illicitement des renseignements personnels à des autorités étrangères.

Nous avons repris notre enquête sur Accusearch (connue aussi sous le nom d’Abika.com) à la suite d’un jugement de la Cour fédérale qui a confirmé que nous étions l’autorité compétente pour enquêter sur une plainte déposée contre une organisation qui offre à partir des États-Unis des services à des clients de nombreux pays, y compris le Canada, en vendant des renseignements personnels des personnes sur Internet. La décision du tribunal fédéral mettait en évidence les difficultés pratiques associées à une enquête sur une organisation qui exploite ses activités à l’extérieur du pays. Nous avons pu surmonter certaines de ces difficultés avec l’aide de la Federal Trade Commission (FTC) américaine qui, à la suite de l’adoption de la Safe Web Act par le Congrès américain, est maintenant plus libre d’échanger des informations avec d’autres autorités.

Notre participation active à la résolution de telles difficultés se poursuivra. En 2006, on a demandé à la commissaire à la protection de la vie privée de présider un groupe bénévole de l’OCDE qui étudie des moyens d’encourager la coopération transfrontalière en matière d’application de la loi.

Le CPVP a également contribué aux travaux de la Coopération économique de la zone Asie-Pacifique (APEC) sur les enjeux associés à la protection de la vie privée. Compte tenu de l’accroissement de nos échanges de données avec un grand nombre de pays membres de l’APEC, le Canada veut s’assurer que les règlements de l’APEC en matière de protection des données respectent nos valeurs. Les ministres de l’APEC ont adopté le nouveau cadre de protection de la vie privée à la fin de 2006.

Recherche sur les nouveaux enjeux relatifs à la protection de la vie privée

Le Programme des contributions a été lancé en 2004 pour faire avancer la recherche dans des secteurs prioritaires. Il a été salué par les groupes de recherche et les spécialistes de la protection de la vie privée, lesquels le considèrent comme essentiel pour nous enjoindre à résoudre les nombreux enjeux relatifs à la vie privée auxquels nous faisons face au Canada.

Le Programme des contributions vise à favoriser la compréhension de la valeur sociale de la vie privée afin que les Canadiennes et les Canadiens puissent mieux aborder les questions de l’heure. En vertu de l’article 24 de la LPRPDE, la commissaire à la protection de la vie privée doit :

• offrir au grand public des programmes d’information destinés à lui faire mieux comprendre le concept de la protection de la vie privée;
• faire des recherches liées à la protection des renseignements personnels et en publier les résultats;
• prendre toute autre mesure indiquée pour la promotion de l'objet de la Loi.

Participants et niveaux de financement

Un total de 26 projets de recherche ont été financés par le Programme des contributions au cours de ses trois premières années d’exploitation : dix en 2004-2005, cinq en 2005-2006, et onze en 2006-2007. (À noter : le Programme est établi en fonction de l’année financière du gouvernement, du 1^er avril au 31 mars).

Le CPVP sélectionne les projets de recherche par l’entremise d’un rigoureux processus concurrentiel dans le cadre duquel sont choisies les meilleures propositions reflétant la diversité de la capacité de recherche au Canada.  Si la majorité des demandeurs retenus provenait des universités, des projets dirigés par des organismes non gouvernementaux et des associations professionnelles ont également reçu du financement.

Les chercheurs concluent des ententes écrites avec le CPVP et doivent nous faire rapport tous les trois mois, de façon à nous permettre de suivre la progression de leur travail.

Au 31 mars 2007, plus de 900 000 $ avaient été accordés depuis la création du Programme. Un quatrième appel d’offres a été lancé en janvier 2007 pour le prochain exercice (2007-2008).

Principaux thèmes de recherche

La recherche financée par le CPVP en 2006-2007 s’est penchée sur un bon nombre de questions importantes liées à la protection de la vie privée, notamment :

• la protection des renseignements personnels sur la santé, à l’ère des dossiers de santé électroniques;
• les stratégies visant à sensibiliser les personnes à l’égard de leur droit à la vie privée;
• la « professionnalisation » des spécialistes de la protection de la vie privée;
• le stockage et la conservation des renseignements personnels;
• les enjeux liés à la surveillance, soit l’incidence des nouvelles technologies, la surveillance en milieu de travail et le suivi des activités des personnes sur Internet.

Contribution au débat sur les politiques

Au cours des trois dernières années, la recherche financée en vertu du Programme des contributions a servi à faire avancer le débat public concernant les questions relatives à la protection de la vie privée au Canada et ailleurs.

Par exemple, plusieurs études ont porté sur le respect de la LPRPDE et la mise en œuvre de ses lignes directrices. La recherche dans ce secteur a contribué à l’examen quinquennal de la Loi par le Parlement. D’autres études ont favorisé la sensibilisation aux enjeux relatifs à la protection de la vie privée en milieu de travail, attirant ainsi beaucoup d’attention des médias à l’échelle nationale.

Regard sur l’avenir

Les secteurs prioritaires qui ont été ciblés pour 2007-2008 comprennent :

• la protection des renseignements personnels sur Internet;
• les défis inhérents à l’identification ou à l’authentification sécurisée de personnes et d’entités;
• le point de jonction entre les secteurs public et privé en ce qui a trait à l’utilisation et la protection des renseignements personnels.

Évaluation des programmes

En vertu de la Politique sur les paiements de transfert du gouvernement fédéral, les programmes de contributions doivent être révisés périodiquement afin d’affirmer leur bien-fondé, leur réussite et leur efficacité par rapport aux coûts. Le CPVP s’est engagé à effectuer une évaluation indépendante du Programme en 2008-2009. Ainsi un projet de cadre avait-il été élaboré avant la fin de l’année, d’après le cadre de gestion et de responsabilisation axé sur les résultats de 2005 du Conseil du Trésor. L’évaluation sera soumise à des consultations avec divers intervenants, ce qui va faciliter la décision de renouveler les modalités et conditions du Programme. Elle permettra en bout de ligne de garantir la responsabilité et la bonne gestion que les Canadiennes et les Canadiens sont en droit de s’attendre.

Lois provinciales et territoriales essentiellement similaires

Le paragraphe 25(1) de la LPRPDE exige que le CPVP fasse rapport annuellement au Parlement sur « la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires » à la loi fédérale.

Tel qu’indiqué dans des rapports annuels antérieurs, nous avons fait rapport sur la législation en Colombie-Britannique, en Alberta, en Ontario et au Québec qui a été déclarée essentiellement similaire.

Aucune province ou territoire n’a adopté en 2006 de loi pour laquelle on a demandé le statut de loi essentiellement similaire à la LPRPDE.

Plaintes, enquêtes et demandes de renseignements

En 2006, le CPVP a observé certaines tendances intéressantes et encourageantes ayant en partie pour origine le développement de la connaissance et de la compréhension de la LPRPDE par les organisations du secteur privé.

Certaines fuites de données ont eu droit à beaucoup de publicité, ce qui a porté la protection des renseignements personnels à l’avant-scène. Ces incidents ont clairement démontré que la relation de confiance entre les consommateurs et les organisations du secteur privé dépend du maniement responsable des renseignements personnels des clients par celles-ci et ont mis en évidence l’importance de la LPRPDE comme mécanisme permettant d’assurer la responsabilité du secteur privé à cet égard.

Demandes de renseignements

Le nombre de demandes de renseignements liées à la LPRPDE a augmenté en 2006. Le CPVP a reçu 6 050 demandes, comparativement à 5 685 en 2005 – une augmentation de 6,4 %. Toutefois, il y a eu une diminution générale du nombre de demandes de renseignements depuis 2003, année où le CPVP avait traité 12 132 demandes. Cette diminution indique possiblement que les organisations et les particuliers connaissent mieux les lois en matière de protection des renseignements personnels. La LPRPDE a été mise en œuvre par étapes, à partir de janvier 2001. Depuis janvier 2004, elle s’applique à tous les renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales par toutes les organisations du secteur privé du Canada, à l’exception des organisations des provinces qui ont adopté des lois réputées essentiellement similaires à la loi fédérale.

Plaintes

Nous avons reçu 424 plaintes en 2006 contre 400 en 2005. Le nombre de plaintes déposées contre certains des principaux secteurs assujettis à la LPRPDE depuis 2001 (institutions financières, compagnies d’assurances et secteur du transport) a décliné légèrement, mais parmi les industries qui ne sont assujetties à la LPRPDE que depuis 2004 (vente au détail et hébergement), on remarque une hausse importante du nombre de plaintes par rapport aux années précédentes.

À l’avenir, ces entreprises devront prendre des mesures pour assurer une plus grande conformité à la Loi. D’autres pressions sont exercées sur le secteur privé pour qu’il protège adéquatement les renseignements personnels et ces pressions proviennent des Canadiennes et des Canadiens qui exigent de plus en plus une protection rigoureuse de leur vie privée. La prolifération des cas de vol d’identité et de fraude amène de plus en plus de consommateurs à se tourner vers la LPRPDE pour la protection de leurs renseignements personnels et à tenir les organisations responsables.

Le CPVP a réglé 309 plaintes en 2006 contre 401 l’année précédente. La majorité portait sur trois enjeux : utilisation et communication (111, ou 36 p. 100), collecte (74, ou 24 p. 100) et accès (51, ou 16 p. 100).

Décision sur les plaintes

Une analyse de la prise de décisions relatives aux plaintes terminées en 2006 indique que seulement 5 p. 100 des plaintes ont été jugées fondées, comparativement à 10 p. 100 en 2005. Au total, 20 p. 100 des plaintes ont été résolues, soit une augmentation de 9 p. 100 par rapport à 2005. Le nombre de plaintes réglées rapidement, réglées en cours d’enquête et résolues représente 51 p. 100 des plaintes réglées. Les plaintes non fondées représentaient 21 p. 100 du total.

Notre rôle de défenseur du droit à la vie privée des Canadiennes et des Canadiens se reflète dans le pourcentage élevé de plaintes qui se règlent en cours d’enquête. Beaucoup de plaintes sont réglées par la médiation, la négociation et la persuasion, qui donnent des résultats à la satisfaction de toutes les parties. En 2006, le nombre de plaintes résolues a diminué de 13 p. 100; mais ce nombre représente encore le pourcentage le plus élevé (26 p. 100) des plaintes traitées – le même qu’en 2005. Nous continuerons à appliquer cette approche parce que le règlement est un aspect fondamental du rôle d’un ombudsman consistant à aider les organisations à modifier leurs cultures et à trouver des solutions à leurs problèmes avec les clients et les employés. En outre, la volonté de l’industrie privée d’en arriver à un règlement est encourageante parce qu’elle montre qu’elle reconnaît l’importance cruciale de la protection des renseignements personnels des clients. 

Lettres de conclusions préliminaires

L’envoi des lettres de conclusions préliminaires était une nouvelle étape introduite en 2006, à la suite de changements apportés aux politiques l’année précédente. Ces lettres sont envoyées aux plaignants et aux mis en cause chaque fois qu’il y a vraisemblablement une infraction à la LPRPDE. Chaque lettre renferme des recommandations particulières et demande à l’organisation du secteur privé de répondre à la commissaire dans le délai prescrit afin de lui expliquer en détail comment elle a l’intention de mettre en œuvre les recommandations proposées. En 2005, la commissaire a décidé de référer à la Cour fédérale tous les cas où des entreprises omettent de répondre dans le délai prévu.

L’année dernière, le CPVP a envoyé 26 rapports préliminaires qui ont incité 21 des organisations visées à se conformer aux recommandations de la commissaire. Les autres organisations se sont conformées aux recommandations après que le CPVP ait transmis les dossiers au service du contentieux.

Les 26 rapports préliminaires ont été envoyés à des petites et à des grandes entreprises dans diverses industries. Six de ces rapports ont été envoyés à des institutions financières, et six à des compagnies d’assurances. Le fait que près d’un quart des rapports préliminaires visaient ces deux secteurs montre que les institutions financières et les compagnies d’assurances sont généralement de grandes entreprises et reflète le volume important de renseignements personnels que ces organisations recueillent dans le cadre de leurs activités quotidiennes. Les secteurs comme les banques, les télécommunications et l’assurance, auxquels la LPRPDE s’applique depuis 2001, font souvent l’objet de recommandations leur demandant de mettre au point leurs politiques et leurs procédures plutôt que de les refaire en entier. 

Neuf des rapports préliminaires ont été envoyés à des entreprises, comme des cabinets d’avocats, des centres de culture physique, des sociétés immobilières et des entreprises de ventes au détail, qui sont assujetties à la Loi depuis 2004 seulement. Les recommandations qu’on leur a faites consistent généralement à établir des politiques et des procédures de protection de la vie privée, notamment à désigner un agent de la protection de la vie privée, à former le personnel et à rassembler de l’information pour les clients.

L’envoi de lettres de conclusions préliminaires s’est avéré très efficace pour ce qui est d’encourager à la fois le CPVP et le secteur privé à trouver des solutions novatrices en vue de combler les lacunes sur le plan de la protection de la vie privée relevées pendant les enquêtes. Ce nouveau processus a également renforcé les engagements pris par les organisations en vue de se conformer à la LPRPDE.

Délais de traitement

Le délai moyen de traitement d’une plainte (calculé à partir du moment où la plainte est reçue jusqu’à l’envoi de la lettre de conclusions) était de 16 mois en 2006. Par rapport à 2005, ce délai représente une regrettable augmentation de cinq mois, partiellement attribuable à la plus grande complexité de certaines enquêtes et à l’adoption d’un nouveau processus interne qui requiert l’envoi de lettre de conclusions préliminaires. Toutefois, cette augmentation s’explique en bonne partie par la perte d’employés chevronnés au sein de notre équipe d’enquêteurs de la LPRPDE en raison de départs ou de changements de carrière.

Les enquêteurs chevronnés sont en grande demande dans l’ensemble du gouvernement, ce qui explique le roulement plus élevé que dans le passé et qui rend plus difficile le recrutement de personnes expérimentées. Nous sommes bien loin d’une équipe complète de 17 enquêteurs pour la LPRPDE.

Notre arriéré de plaintes a atteint un sommet à la mi-année, mais l’embauche de nouveaux enquêteurs nous a permis de faire des progrès impressionnants. À la fin de l’année, 57 p. 100 des dossiers de l’arriéré avaient été assignés à des enquêteurs. Nous espérons réduire et éliminer l’arriéré de plaintes au fur et à mesure que les postes vacants seront comblés et que de nouveaux enquêteurs acquerront de l’expérience.

Résumés de conclusions d’enquêtes

Les résumés de conclusions d’enquêtes de la commissaire en vertu de la LPRPDE se trouvent sur le site Web du CPVP, à www.priv.gc.ca.

Des 309 plaintes que nous avons réglées en 2006, 40 sont résumées sur notre site Web. En général, le CPVP résume les plaintes qui peuvent être d’intérêt public, qui ont une valeur informative, qui portent sur une question systémique ou qui traitent d’une question particulière pour laquelle il n’existe pas déjà de résumés. Les principaux secteurs qui recueillent et utilisent de grandes quantités de renseignements personnels, comme les banques et les compagnies d’assurances, ont toujours fait l’objet de beaucoup de plaintes. C’est pourquoi un grand nombre de conclusions d’enquêtes portent sur des questions liées à ces secteurs qui pourraient intéresser le public.

Nous choisissons les conclusions d’enquêtes visant des plaintes contre des entreprises fédérales qui reflètent leur expérience de l’application de la LPRPDE. Par exemple, un cas particulièrement complexe dont nous avons fait un résumé avait trait à des plaintes déposées par plusieurs travailleurs contre une entreprise de télécommunications relativement à l’utilisation d’un système mondial de localisation dans son parc de véhicules. Nous allons sans doute enquêter sur d’autres plaintes de ce genre à mesure que les nouvelles technologies joueront un rôle de plus en plus important dans notre vie de tous les jours.

D’autres résumés portent entre autres sur des enquêtes liées aux secteurs de la santé, de la gestion immobilière et des services juridiques. 

Sans grande surprise, des conclusions d’enquêtes ayant trait à des vols d’identité ont été ajoutées à notre site Web en 2006. Cette tendance se maintiendra probablement étant donné que le vol d’identité continue à faire les manchettes et que de plus en plus de personnes prennent conscience de leur droit à la vie privée, particulièrement pour ce qui est de la façon dont leurs renseignements sont protégés. D’un côté, certains résumés montrent cette plus grande sensibilisation des consommateurs. Par contre, d’autres résumés montrent que les entreprises prennent des mesures pour vérifier l’identification des clients de manière à ce que leurs renseignements personnels soient bien protégés et à réduire les possibilités de vol d’identité.

Notification volontaire

En 2006, la fréquence des signalements au CPVP de cas d’effractions à la protection des données s’est accrue de 41 p. 100. Cette hausse importante du nombre de notifications volontaires pourrait indiquer une sensibilisation accrue du secteur privé à la nécessité d’assumer les responsabilités associées à la conservation des renseignements personnels des clients.

Il est évident que nous observons une plus grande sensibilisation des entreprises canadiennes au droit à la protection de la vie privée. Des fuites de données récentes ayant fait la manchette ont sans aucun doute contribué à faire connaître aux consommateurs leur droit à la vie privée. 

Vérification et revue

Le paragraphe 18(1) de la LPRPDE confère à la commissaire le droit de procéder à une vérification des pratiques de gestion des renseignements personnels d’une organisation lorsqu’il y a des motifs raisonnables de croire que l’organisation contrevient aux pratiques de gestion équitable de l’information décrites dans la Loi et l’annexe qui s’y rattache.

En 2006, le CPVP a continué à développer sa capacité de vérification dans le but d’appliquer la disposition sur la vérification à l’examen des risques systémiques. Une nouvelle structure organisationnelle a été élaborée et un plan d’action de dotation en personnel a été mis en œuvre pour permettre au CPVP d’acquérir des ressources supplémentaires pour la vérification.

Vérifications amorcées en 2006

Deux vérifications ont été amorcées en 2006 en vertu du paragraphe 18(1) de la LPRPDE. Les enquêtes faisant suite aux plaintes ont permis de relever des préoccupations au sujet de certains systèmes d’identification et d’authentification, et des motifs raisonnables permettent de croire que la protection des renseignements personnels était inadéquate. Les vérifications ont été considérées comme le moyen approprié d’examiner le risque.

En août 2006, les deux entités impliquées ont été avisées de la vérification et nous leur avons donné de l’information sur la façon dont les motifs raisonnables ont été établis ainsi qu’un aperçu du déroulement de la vérification. Des réunions préliminaires ont eu lieu en octobre 2006. À la fin de l’année, les vérifications étaient encore en cours. Les résultats seront inclus dans le rapport annuel de 2007.

Vérification d’Equifax

Une organisation, Equifax Canada Inc., a déterminé que la commissaire à la protection de la vie privée n’avait pas de motifs raisonnables pour procéder à une vérification. En novembre 2006, Equifax a entamé une procédure en Cour fédérale pour demander au tribunal de revoir la décision selon laquelle il y avait des motifs raisonnables de procéder à une vérification. Elle a aussi demandé au tribunal une injonction provisoire pour arrêter la vérification. En attendant la date prévue pour l’audience, et avec la collaboration d’Equifax, la vérification s’est poursuivie par les tests sur le système de rapports de solvabilité en ligne pour les consommateurs. Une entente à l’amiable a été conclue avec Equifax en mars 2007, et la vérification tire à sa fin.

Amélioration de la protection des renseignements personnels à la CIBC

Entre 2001 et 2004, la Banque canadienne impériale de commerce (CIBC) a envoyé à la mauvaise adresse un certain nombre de télécopies contenant des renseignements personnels de clients. Le CPVP a enquêté et a relevé un certain nombre d’irrégularités au sujet des mesures de protection des renseignements personnels au sein de la CIBC. Les résultats de l’enquête sur la plainte ont été communiqués à la banque en mars 2005.

Suite à ce problème de télécopie, la CIBC a reconnu qu’elle devait renforcer son approche en matière de protection des renseignements personnels. La banque a ensuite informé le CPVP qu’elle avait pris un certain nombre de mesures correctives pour remédier au problème. La Direction de la vérification et de la revue a procédé à un examen pour vérifier l’application de ces mesures. (Cette vérification n’a pas été entreprise en vertu du paragraphe 18(1) de la LPRPDE.) Nos conclusions sont résumées ci-dessous :

Nous avons conclu que la CIBC avait réagi aux incidents de transmission de télécopies à la mauvaise adresse en mettant en œuvre des mesures pour atténuer les risques associés à la transmission des données par télécopie. Ces mesures comprenaient la mise en place d’une solution technologique pour faire en sorte que les télécopies internes ne sortent pas des locaux de la CIBC, l’élimination de l’utilisation des télécopies pour certains processus d’affaires et la création d’un cadre de contrôle des télécopies pour assurer une meilleure gestion de l’envoi des télécopies à des parties internes et externes. Nous avons suggéré à la CIBC de vérifier le respect du cadre de contrôle dans le cadre des vérifications de la protection des renseignements personnels entreprises par la banque.

De plus, nous avons constaté que la CIBC avait introduit des mesures appréciables pour améliorer son cadre de gestion de la protection des renseignements personnels et consacré des ressources considérables à la sensibilisation accrue de ses employés à l’égard de la protection de la vie privée. Parmi ces mesures, mentionnons :

• la création d’un bureau de la protection de la vie privée;
• la mise en œuvre de procédures pour la transmission aux échelons supérieurs des enjeux liés à la protection des renseignements personnels;
• une analyse des causes fondamentales pour répertorier les faiblesses systémiques et y remédier;
• la création d’une base de données pour le suivi et la déclaration des problèmes de protection des renseignements personnels;
• l’élaboration de procédures pour communiquer avec les clients et les aviser;
• la création d’un site intranet sur la protection de la vie privée pour sensibiliser et former les employés.

Dans l’ensemble, nous avons trouvé que la CIBC avait bien respecté ses engagements. Nous avons présenté à la banque des recommandations sur la façon de consolider et d’améliorer davantage ses pratiques de protection des renseignements personnels pour la déclaration et la classification des questions de protection de la vie privée ainsi que pour la formation des employés.

Nous aimerions souligner les efforts déployés par la banque pour améliorer sa gestion des renseignements personnels.

Promouvoir le respect de la LPRPDE

Les vérifications ne sont pas le seul moyen de promouvoir la conformité. Le CPVP encourage toutes les organisations à évaluer leurs propres systèmes et pratiques de protection des renseignements personnels. À cette fin, en 2006, nous avons fait des présentations à diverses associations, y compris le Chief Privacy Officers Council of Canada, l’Association des banquiers canadiens, la Canadian Alliance for Business Travel et l’International Association of Privacy Professionals.

Le CPVP a également mis au point un outil d’auto-évaluation dont le lancement est maintenant prévu pour juillet 2007.

Devant les tribunaux

La commissaire à la protection de la vie privée entame une action en justice lorsqu’une organisation refuse d’adopter ses recommandations dans des cas bien fondés. Cette politique, appliquée uniformément depuis 2005, a contribué à l’établissement d’un haut degré de conformité.

Causes réglées

Toutes les recommandations promulguées par la commissaire en 2006 avaient été adoptées à la fin de l’année. Cela a été rendu possible : grâce aux efforts réalisés en temps opportun par une organisation pour résoudre les problèmes avant que la commissaire ne publie son rapport final; grâce à la conclusion de règlements négociés entre les avocats peu après la publication de son rapport avant que la commissaire ne demande au tribunal une ordonnance exécutoire; ou peu après le dépôt de la demande au tribunal.

En 2006, des demandes de révisions judiciaires ont été déposées contre Commvesco-Levinson Viner Group (CLV Group) et Air Canada afin d’obtenir que ceux-ci se conforment à nos recommandations. Dans le cas de CVL Group, nous sommes allés devant les tribunaux en vue d’obtenir que le propriétaire cesse de recueillir des renseignements personnels sur des locataires – particulièrement des photos de leurs appartements – et ce, sans que ce soit nécessaire et sans le consentement des intéressés. Dans le cas d’Air Canada, nous sommes allés devant la Cour fédérale afin de faire appliquer notre recommandation que l’organisation adopte une politique définissant clairement sa responsabilité de fournir accès à des renseignements personnels en vertu de la LPRPDE, indépendamment de ce qui constitue ses obligations en matière de communication préalable selon les règles du contentieux des litiges civils. Dans chaque cas, la question s’est réglée sans qu’il soit nécessaire de se rendre à une audience de la Cour.

Bien qu’une autre demande de nature judiciaire ait été déposée en 2006 contre Air Canada, relativement à l’étendue des renseignements personnels sur la santé recueillis par la compagnie aérienne dans le but de confirmer la capacité d’un employé de reprendre le travail, les parties négociaient activement un règlement au moment de la publication du présent rapport. Le résultat des négociations sera donc dévoilé l’an prochain.

Pour ce qui est des mesures prises contre RBC Actions en Direct Inc., décrites dans le rapport de l’année dernière, nous sommes heureux d’annoncer que nous en sommes venus à une entente avec l’organisation et que les mesures ont été suspendues quand RBC Actions en Direct a accepté de communiquer certaines autres parties du document demandé à la satisfaction de la commissaire à la protection de la vie privée.

Procédures en cours

Les procédures se sont poursuivies dans le cadre des demandes de contrôle judiciaire faites en vertu de l’article 18.1 de la Loi sur les Cours fédérales concernant l’étendue de la compétence de la commissaire à la protection de la vie privée et des demandes au tribunal faites par le plaignant en vertu de l’article 14 de la LPRPDE dans lesquelles le CPVP était une partie additionnelle.

On trouvera ci-dessous les principales décisions judiciaires rendues en 2006. Conformément à l’esprit et l’objectif de notre mandat, nous avons respecté la vie privée des plaignants en ne mentionnant pas leurs noms.

Demandes de contrôle judiciaire présentées en vertu de l’article 18.1 de la Loi sur les Cours fédérales

Trois causes ont franchi l’étape de la révision judiciaire l’an dernier, incluant la cause de la tribu des Blood (voir la description ci-bas) qui a obtenu en février 2008 la permission de se poursuivre en Cour suprême du Canada.

Blood Tribe Department of Health Services c. la commissaire à la protection de la vie privée du Canada
Numéro de dossier de la Cour d’appel fédérale : A-147-05

Il s’agit d’un appel d’une décision de la Cour fédérale rejetant une demande de contrôle judiciaire faite par Blood Tribe Department of Health Inc. Dans sa demande, la tribu des Blood contestait que la commissaire à la protection de la vie privée puisse ordonner à Blood Tribe Department of Health Inc. de produire certains documents en vertu des alinéas 12(1)a) et c) de la LPRPDE. La commissaire à la protection de la vie privée avait émis une ordonnance après que Blood Tribe Department of Health Inc. a refusé de fournir des documents dont elle avait besoin pour vérifier l’allégation de Blood Tribe Department of Health Inc. selon laquelle des renseignements personnels demandés par un plaignant faisaient l’objet d’une exception en vertu du secret professionnel.

L’appel a été accueilli et l’ordonnance de la commissaire à la protection de la vie privée a été annulée. La Cour d’appel fédérale a tranché que le libellé de la LPRPDE n’était pas assez clair pour conférer à la commissaire des pouvoirs particuliers pour ordonner la production de documents assujettis au secret avocat-client, nonobstant ses pouvoirs d’exiger la production de preuves dans le cadre d’enquêtes de la même manière qu’une cour supérieure d’archives et de recevoir toute preuve qu’elle estime bon de demander, qu’elle soit admissible ou non devant un tribunal. De l’avis du tribunal, il faudrait un langage législatif très explicite, dans le contexte d’une enquête, pour permettre à la commissaire d’examiner des documents présumément assujettis à un privilège.

Bien que la commissaire soit tenue de respecter la confidentialité de toute information qu’elle reçoit dans le cadre d’une enquête et qu’elle ne fournirait jamais cette information à un plaignant, elle peut à son gré communiquer l’information au procureur général si, à son avis, il y a des preuves qu’une infraction a été commise. De l’avis de la Cour d’appel fédérale, cette possibilité, si mince soit-elle, peut avoir des effets non désirés et miner la confiance des Canadiennes et des Canadiens à l’égard de leurs avocats. Le tribunal a suggéré à la commissaire de présenter une demande à la Cour fédérale, en vertu de l’article 15 de la LPRPDE, et de laisser aux juges le soin d’examiner les allégations de secret professionnel dans le contexte des plaintes où il y a refus d’accès à des renseignements personnels.

Étant donné la nature problématique de cette décision, d’un point de vue tant juridique que pratique, et son importance pour l’avenir du droit à la protection de la vie privée au Canada, la commissaire à la protection de la vie privée a demandé l’autorisation d’interjeter appel à la Cour suprême du Canada. La Cour suprême du Canada a acquiescé à cette demande le 29 mars 2007, et une audience est prévue le 21 février 2008.

X. c. Accusearch Inc., s/n Abika.com et al
Numéro de dossier de la Cour d’appel fédérale : T-2228-05

Une personne a présenté une demande de contrôle judiciaire en décembre 2005 dans le but d’obtenir une ordonnance annulant une décision de la commissaire à la protection de la vie privée dans laquelle elle affirmait ne pas avoir la compétence pour enquêter sur une plainte déposée par un plaignant contre une organisation située aux États-Unis, Accusearch Inc. (aussi connue sous le nom d’Abika). Le CPVP avait estimé que la preuve de l’existence de facteurs réels et substantiels reliant les activités d’Abika au Canada était insuffisante pour que les activités de l’entreprise puissent être assujetties à l’application de la LPRPDE. Dans une décision datée du 7 février 2007, la Cour fédérale s’est opposée à l’interprétation des faits de la commissaire et a accueilli la demande au motif que la commissaire avait la compétence pour enquêter sur la circulation transfrontalière des données personnelles dans le cas de l’espèce. La manière dont la commissaire devrait décider d’exercer cette compétence pour faire enquête dans cette affaire est une question pratique dont la Cour a reconnu l’existence mais qu’elle a négligé d’aborder en détail. En conséquence, la question a été renvoyée au CPVP pour enquête.

Equifax Canada Inc. c. commissaire à la protection de la vie privée du Canada
Numéro de dossier de la Cour d’appel fédérale : T-1937-06

L’étendue des pouvoirs de la commissaire à la protection de la vie privée dans le cadre de la LPRPDE a été également contestée dans une affaire portant sur la décision de celle-ci d’entreprendre, en vertu du paragraphe 18(1), une vérification des pratiques de gestion des renseignements personnels d’Equifax, notamment son système d’authentification en ligne. Après que la commissaire a communiqué son intention de procéder à une vérification, Equifax a présenté un avis de demande en Cour fédérale dans le but que l’on y détermine si la commissaire avait les motifs raisonnables nécessaires pour entreprendre une vérification. Bien qu’Equifax ait maintenu sa position selon laquelle la commissaire n’avait pas de motifs raisonnables d’entreprendre une vérification, la vérification a néanmoins eu lieu et un rapport sera présenté à l’agence. Les deux parties ont collaboré en vue de l’achèvement de la vérification, et l’organisation a retiré sa demande au tribunal.

Demandes déposées par le plaignant en vertu de l’article 14 de la LPRPDE

L’année dernière, la commissaire à la protection de la vie privée a été ajoutée comme partie jointe dans sept causes devant les tribunaux fédéraux. Des exemples de ces causes sont donnés ci-après.

Alta Flights (Charters) Inc.
Numéro de dossier de la Cour d’appel fédérale : A-184-05

Il s’agit d’un appel d’une décision de la Cour fédérale de rejeter une plainte déposée par une personne en vertu de l’article 14 de la Loi et selon laquelle son employeur, Alta Flights (Charters) Inc., avait recueilli des renseignements personnels sans son consentement et à son insu en violation des droits que lui confère la LPRPDE. En 2005, la Cour fédérale a estimé qu’il n’y avait aucune preuve étayant les allégations selon lesquelles les conversations de la plaignante avaient été enregistrées sur un enregistreur numérique que son gestionnaire avait collé sur le dessous d’une table dans le salon des fumeurs des employés. (La machine était mal installée et était tombée au sol.) Le tribunal a statué que, bien que le gestionnaire ait tenté de recueillir des renseignements personnels sans le consentement de l’employée, il n’y a pas eu de « collecte » de renseignements personnels telle que définie par la LPRPDE. La plaignante a interjeté appel de la décision. Le 21 mars 2006, la Cour d’appel fédérale a rejeté l’appel et confirmé la décision de la Cour fédérale. Les activités clandestines du gestionnaire constituaient bien une tentative de collecte subreptice de renseignements personnels qui a échoué, mais la LPRPDE, dans sa forme actuelle, n’interdit pas de telles tentatives.

Telus Communications Inc.
Numéro de dossier de la Cour d’appel fédérale : A-639-05

Cette affaire est survenue quand certains employés de Telus se sont opposés à la mise en œuvre par l’entreprise d’un système de reconnaissance vocale. La mise en œuvre du système nécessitait que les employés créent une « empreinte vocale » qui serait entreposée sur un serveur de Telus. Lorsque les employés tenteraient par la suite d’accéder à certaines parties du réseau de Telus, ils devraient s’identifier en se soumettant à une comparaison de leur voix par rapport à leur empreinte vocale.

La Cour d’appel a confirmé que : (i) l’empreinte vocale recueillie par Telus est un renseignement personnel; (ii) compte tenu des faits, une personne raisonnable jugerait que l’introduction de la technologie des empreintes vocales à des fins d’identification et de sécurité de l’entreprise est une mesure raisonnable dans les circonstances; (iii) le système d’identification par empreinte vocale de Telus satisfaisait aux exigences relatives au consentement prévues dans la LPRPDE étant donné que les employés ne pouvaient être inscrits au système sans leur consentement actif; (iv) aucune des exceptions prévues à l’article 7 de la LPRPDE qui autorisent la collecte de renseignements sans consentement ne s’applique dans ces circonstances, et (v) Telus a correctement informé les employés de toutes les conséquences qui pourraient survenir advenant qu’ils refusent de donner leur consentement.

Fait intéressant, la Cour d’appel ne s’est pas penchée sur la question de savoir si Telus pouvait imposer des mesures disciplinaires aux employés qui refusent de donner leur consentement. Le tribunal a estimé que le droit du travail était une meilleure tribune pour traiter cette question.

Dr Jeffrey Wyndowe (Psychiatric Assessment Services Inc.)
Numéro de dossier de la Cour fédérale : T-711-05

Il s’agit ici de déterminer si un plaignant pouvait avoir accès à des renseignements personnels le concernant contenus dans des notes prises par un médecin ayant effectué sur lui un examen médical indépendant au nom d’une compagnie d’assurances. Le médecin avait dans ce cas refusé de permettre l’accès à ses notes. La Cour fédérale a conclu, tout comme la commissaire adjointe à la protection de la vie privée, que les notes du médecin contenaient des renseignements personnels sur la personne et qu’elles devaient lui être remises en raison de ses droits en vertu de la LPRPDE. L’exception relative au secret professionnel liant l’avocat à son client de l’alinéa 9(3)a) ne s’appliquait pas dans ce cas dans la mesure où ces notes n’avait pas été produites principalement aux fins d’un litige. De même, l’exception prévue à l’alinéa 9(3)d) ne s’appliquait pas, puisque les notes  n’avaient pas été produites dans le contexte d’un processus officiel de résolution des différends.

Le tribunal s’est déclaré en désaccord avec l’affirmation du médecin selon laquelle ses notes n’étaient pas assujetties à la LPRPDE parce qu’il n’était pas le médecin traitant de la personne et n’avait donc pas le devoir professionnel de lui permettre d’accéder à son dossier médical. Le tribunal a décidé que, indépendamment des considérations de politique générale alléguées en opposition, la LPRPDE donne clairement aux plaignants un droit d’accès général aux renseignements personnels qui les concernent et ne prévoit aucune exception qui s’appliquerait en l’espèce. Le tribunal a ordonné au médecin de permettre l’accès à ses notes. Le médecin a interjeté appel de cette décision auprès de la Cour d’appel fédérale.

Fonction de surveillance

En outre, la commissaire a continué de suivre l’année dernière le développement de quatre causes portées devant la Cour fédérale en vertu de la LPRPDE qui présentaient une possibilité de faire progresser le droit en matière de protection de la vie privée. Le suivi de ces causes fait partie de la vaste fonction de surveillance du CPVP. Nous nous tenons au fait des développements du droit, que ces progrès fassent suite à des demandes en vertu de la LPRPDE, des demandes en vertu de la Loi sur la protection des renseignements personnels ou même des poursuites devant des tribunaux supérieurs des provinces en vertu de la common law ou du code civil au Québec.

Communications et sensibilisation du grand public

Aux termes de l’article 24 de la LPRPDE, la commissaire à la protection de la vie privée est tenue d’entreprendre des activités de sensibilisation du public, de communication et de recherche qui aident les organisations à comprendre leurs obligations aux termes de la Loi et à s’y conformer.

La Loi stipule explicitement que la commissaire doit :

• offrir au grand public des programmes d’information destinés à lui faire mieux comprendre la partie 1 de la LPRPDE, qui traite de la protection des renseignements personnels dans le secteur privé;
• faire des recherches liées à la protection des renseignements personnels — et en publier les résultats —, notamment toutes telles recherches que le ministre de l’Industrie demande;
• encourager les organisations à élaborer des politiques détaillées — notamment des codes de pratiques — en vue de se conformer aux articles 5 à 10;
• prendre toute autre mesure indiquée pour la promotion de l’objet de la partie 1 de la Loi.

En 2006, nous avons déployé nombre d’efforts pour rehausser le profil public du CPVP. Nous avons adopté une stratégie médiatique plus proactive et diffusé des communiqués sur une vaste gamme de sujets. De plus, nos hauts dirigeants ont fait plusieurs dizaines de discours et de présentations dans l’ensemble du pays et à l’étranger.

Recherche sur l’opinion publique

Nous avons demandé aux associés de recherche Ekos de mener un sondage d’opinion publique intitulé Nouveau regard sur la protection de la vie privée : un an plus tard. Il s’agit du suivi d’un sondage effectué en 2005 par Ekos qui avait fourni un aperçu des opinions des Canadiennes et des Canadiens sur un certain nombre de questions importantes ayant trait à la protection de la vie privée. Parmi les conclusions qu’il convient de faire ressortir, mentionnons ce qui suit :

• plus de 70  p. 100 des Canadiennes et des Canadiens estiment avoir moins de contrôle sur leurs renseignements personnels qu’il y a dix ans;
• les deux tiers des Canadiennes et des Canadiens estiment que la protection des renseignements personnels constitue l’un des défis les plus importants que devra relever le Canada au cours de la décennie à venir;
• les répondants se sont dits insatisfaits de la façon dont leurs renseignements sont traités et sont préoccupés par les menaces que représentent des technologies de plus en plus envahissantes et les mesures adoptées pour lutter contre le terrorisme.

Relations avec les médias

Nous avons accordé aux médias un grand nombre d’entrevues sur nos enquêtes relatives à la Society for Worldwide Interbank Financial Telecommunication (SWIFT). Nous avons aussi participé à beaucoup d’entrevues dans le cadre de la vérification de l’Agence des services frontaliers du Canada (ASFC).

Notre travail d’enquête sur la surveillance en milieu de travail a également suscité beaucoup d’intérêt dans les médias. À la fin de l’année, nous avons diffusé des communiqués présentant des conseils sur la protection des renseignements personnels pendant le magasinage des Fêtes et des idées de résolutions du Nouvel An liées à la protection de la vie privée. Nos suggestions ont été rapportées par des bureaux de presse dans l’ensemble du pays.

Discours et événements spéciaux

En 2006, nous avons encore une fois assisté à toute une gamme de conférences, de réunions et d’événements spéciaux pour établir des liens avec des intervenants du Canada et de l’étranger, et maintenir nos connaissances à jour dans un milieu qui évolue constamment.

Les représentants du CPVP ont donné plus de 70 présentations, dont plusieurs mettaient l’accent sur la LPRPDE. Parmi celles-ci, mentionnons des allocutions au Conseil canadien du commerce de détail à Toronto, au Barreau du Québec, et une conférence sur l’accès à l’information et la protection des renseignements personnels organisée par l’Université de l’Alberta.

Nous avons poursuivi notre série de conférences bimestrielles sur la protection de la vie privée au cours desquelles nous avons présenté des faits saillants et des tendances à venir en matière de protection de la vie privée à des auditoires composés de représentants du gouvernement, d’universitaires, de membres d’organisations du secteur privé et sans but lucratif et de membres du personnel du CPVP.

Parmi les activités internationales, mentionnons la participation à des conférences et à des réunions internationales sur la protection des données de la Coopération économique de la zone Asie-Pacifique (APEC) et de l’Organisation de coopération et de développement économiques (OCDE) et à des consultations avec divers organismes des États-Unis. Ce sont là pour nous des occasions de promouvoir l’adoption de normes internationales rigoureuses en matière de protection des renseignements personnels dans le but d’éviter que la confidentialité des renseignements personnels des Canadiennes et des Canadiens ne soit compromise quand ceux-ci sont traités à l’étranger.

Dans le cadre des efforts continus que nous déployons pour favoriser un débat mondial sur la protection de la vie privée, nous serons l’hôte de la 29e Conférence internationale des commissaires à la protection des données et de la vie privée. Cet événement réunira des centaines de sommités de la protection des données, des défenseurs de la vie privée, des praticiens de la protection des renseignements personnels, des universitaires et des professionnels de la sécurité du monde entier. Intitulée Les horizons de la protection de la vie privée : Terra incognita, la Conférence portera sur des questions d’actualité dans le domaine de la protection de la vie privée, y compris la biométrie, l’identification par radiofréquence (IRF), la surveillance et la protection de la vie privée des jeunes.

Publications et site Web

Chaque année, le CPVP diffuse une vaste gamme d’informations à l’intention des personnes et des organisations qui veulent en savoir plus sur les questions de protection de la vie privée — rapports annuels, guides sur la LPRPDE, fiches d’information et copies de la LPRPDE et de la Loi sur la protection des renseignements personnels. De plus en plus, on accède à ces documents à partir de notre site Web.
 
Un document digne de mention publié sur le Web en 2006 a été un document de discussion sur l’examen de la LPRPDE intitulé Protection de la vie privée dans un monde interventionniste. Ce document traite de plusieurs questions relevées par le CPVP à l’intention du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique en vue de l’examen de la LPRPDE. Pour ce faire, nous avons demandé la collaboration des personnes et des organisations. Les commentaires que nous avons reçus ont contribué à façonner notre présentation au Parlement.

En outre, nous avons affiché sur le site Web des questions et réponses qui expliquent aux Canadiennes et Canadiens comment ils peuvent déposer une demande auprès de la Cour fédérale en vertu de la LPRPDE, afin de démystifier le processus et de leur permettre d’exercer plus efficacement leur droit à la vie privée.

Le nombre de visiteurs du site Web du CPVP a augmenté de façon régulière et importante au cours des dernières années. Il s’agit maintenant d’un outil privilégié pour partager de l’information à divers auditoires. En 2006, le site a reçu plus de 1,2 million de visiteurs, une hausse considérable par rapport aux 500 000 visiteurs de 2002, qui était la première année complète de compilation. Tout au long de l’année, nous avons continué à afficher des discours, des fiches d’information, des communiqués, des liens et des résumés de conclusions d’enquête en vertu de la LPRPDE afin que les visiteurs puissent comprendre comment la Loi s’applique dans diverses circonstances.

En 2007, nous ajouterons un outil dynamique au site : un module d’apprentissage électronique à l’intention du secteur du commerce de détail dont le but est de préciser la manière appropriée de recueillir et d’utiliser des renseignements personnels. La plus grande partie du travail de base nécessaire à la création de cet outil, élaboré en étroite collaboration avec le Conseil canadien du commerce de détail, a été achevée en 2006.

Administration du CPVP

En 2006, nous avons mis l’accent sur la mise en œuvre de l’analyse de rentabilisation du CPVP et le renforcement de notre capacité de gestion des ressources humaines.

Planification et établissement des rapports

En vue de garantir une administration efficace et efficiente du CPVP, nous continuons à avoir des cycles de planification complets — du Rapport sur les plans et les priorités à nos rapports ministériels sur le rendement. Nous avons également intégré tous les aspects de la planification (finances, ressources humaines, gestion de l’information et technologie de l’information). Nous continuerons notre travail au cours de la prochaine année financière en incorporant notre cadre de mesure du rendement aux plans des directions et en mettant en œuvre les modèles et les outils requis pour faire état des résultats par rapport aux objectifs, à la fin de l’exercice 2007.

Finances et administration

Le CPVP a reçu des opinions de vérification « sans réserve » sur ses états financiers du Bureau du vérificateur général (BVG) du Canada chaque année depuis que les vérifications du BVG ont commencé en 2003-2004. Le CPVP améliore constamment ses pratiques de gestion financière en examinant, rationalisant et renforçant ses procédures et ses politiques financières et en mettant l’accent sur la communication et la formation pour le personnel du CPVP.

Information financière

Le cadre financier du CPVP repose sur l’année financière du gouvernement et non sur l’année civile. Pour la LPRDPÉ, nous devons publier un rapport en tenant compte de l’année civile, et pour la Loi sur la protection des renseignements personnels, de l’année financière du gouvernement. Pour cette raison et pour éviter toute confusion, nous n’avons pas inclus les tableaux financiers dans ce rapport. Il est possible de les trouver dans le Rapport sur les plans et les priorités, de même que dans nos rapports ministériels sur le rendement (www.priv.gc.ca).

Ressources humaines

Le CPVP vient d’entamer une importante phase de renouveau institutionnel, inspiré par une philosophie de leadership qui fait la promotion des valeurs fondamentales et de l’éthique de la fonction publique, et ce, conformément à la Loi sur la modernisation de la fonction publique (LMFP), à la Loi sur l’emploi dans la fonction publique (LEFP), à la Loi sur les relations de travail dans la fonction publique (LRTFP)et à la Loi fédérale sur la responsabilité.

En mai 2006, la Commission de la fonction publique a levé les restrictions qui avaient été imposées sur le pouvoir de dotation du CPVP en 2003. Par la suite, le CPVP a apporté des améliorations marquées à son cadre de gestion de la dotation en personnel, ainsi qu’à ses systèmes et pratiques connexes, de concert avec les syndicats et les organismes centraux. Parmi ces améliorations, mentionnons l’élaboration des éléments suivants :

• de nouveaux mécanismes pour faciliter la communication entre la direction et les employés et l’introduction d’un processus d’autosurveillance;
• un instrument de délégation de gestion des ressources humaines — un outil pour guider les gestionnaires dans la gestion des ressources humaines;
• un plan stratégique des ressources humaines et une nouvelle stratégie de dotation en personnel, de même qu’un plan d’action d’équité en matière d’emploi afin d’assurer le recrutement d’une main-d’œuvre diversifiée et qualifiée représentative de la société canadienne;
• un bulletin d’information interne mensuel conçu pour améliorer la transparence des processus de dotation en personnel;
• des séances d’information dispensées à l’occasion des réunions trimestrielles de tout le personnel et de la haute direction sur les éléments pertinents de la nouvelle LMFP et de la LEFP.

Par ailleurs, en collaboration avec l’École de la fonction publique du Canada, le CPVP a élaboré une stratégie d’apprentissage globale ainsi qu’un programme connexe, pour permettre aux employés d’accroître leur expertise et leurs compétences, et les positionner de manière à ce qu’ils puissent assumer de nouvelles responsabilités. Le programme prévoit de la formation dans des domaines tels que la dotation en personnel fondée sur les valeurs, les langues, la gestion du rendement, les évaluations des employés et la sensibilisation au harcèlement en milieu de travail. Le programme comprend la formation sur la nouvelle LEFP.

Gestion de l’information et technologie de l’information

Le bon fonctionnement du CPVP dépend de systèmes efficaces en matière de technologie de l’information et de gestion de l’information. Ceux-ci comptent donc pour une grande part du budget du CPVP. Plusieurs grandes initiatives ont été menées à bien en 2006 ou nous ont permis d’accomplir d’énormes progrès. Ainsi, nous avons :

• préparé un plan de continuité des opérations et acheté tout l’équipement pour l’unité de reprise des activités en cas de sinistre au CPVP, de façon à pouvoir poursuivre notre travail dans le cas d’une catastrophe naturelle ou de tout autre type de situation d’urgence;
• mis à jour notre cadre d’évaluation de la menace et des risques et amorcé l’élaboration de mesures permettant de renforcer notre sécurité;
• accompli plus de la moitié du travail dans le cadre de notre projet de gestion de l’information pour s’assurer que nous nous conformons à la politique du Conseil du Trésor sur la gestion des renseignements détenus par le gouvernement, et commencé à évaluer les solutions de rechange potentielles pour notre système de suivi des dossiers;
• assuré des installations de recherche pour notre direction des services juridiques;
• terminé le zonage de nos serveurs, mis en place une stratégie de copie de sauvegarde des données du serveur et commencé l’élaboration des procédures de gestion du changement en vue de la correction de programme du serveur de façon efficace et en temps opportun;
• fait l’acquisition de nouveaux ordinateurs et autres infrastructures de TI pour soutenir les nouveaux employés.

ANNEXE 1

Définitions des types de plaintes déposées en vertu de la LPRPDE

Les plaintes adressées au CPVP sont réparties selon les principes et les dispositions de la LPRPDE qui auraient été enfreints :

• Accès. Une personne s’est vue refuser l’accès aux renseignements personnels qu’une organisation détient à son sujet ou n’a pas reçu tous les renseignements, soit en raison de l’absence de certains documents ou renseignements ou parce que l’organisation a invoqué des exceptions afin de soustraire les renseignements.
• Responsabilité. Une organisation a failli à l’exercice de ses responsabilités à l’égard des renseignements personnels qu’elle possède ou qu’elle garde ou elle a omis de désigner une personne responsable de surveiller l’application de la Loi.
• Exactitude. Une organisation a omis de s’assurer que les renseignements personnels qu’elle utilise sont exacts, complets et à jour.
• Possibilité de porter plainte. Une organisation a omis de mettre en place les procédures ou les politiques qui permettent à une personne de porter plainte en vertu de la Loi ou elle a enfreint ses propres procédures et politiques.
• Collecte. Une organisation a recueilli des renseignements personnels non nécessaires ou les a recueillis par des moyens injustes ou illégaux.
• Consentement. Une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement de la personne concernée ou elle a fourni des biens et des services à la condition que la personne consente à la collecte, à l’utilisation ou à la communication déraisonnable de renseignements personnels.
• Correction/Annotation. L’organisation n’a pas corrigé, à la demande d’une personne, les renseignements personnels qu’elle détient à son sujet ou, en cas de désaccord avec les corrections demandées, n’a pas annoté les renseignements afin d’indiquer la teneur du désaccord.
• Frais. Une organisation a exigé plus que des frais minimaux pour fournir à des personnes l’accès à leurs renseignements personnels.
• Conservation. Les renseignements personnels sont conservés plus longtemps qu’il n’est nécessaire aux fins qu’une organisation a déclarées au moment de la collecte des renseignements ou, s’ils ont été utilisés pour prendre une décision au sujet d’une personne, l’organisation n’a pas conservé les renseignements assez longtemps pour permettre à la personne d’y avoir accès.  
• Mesures de sécurité. Une organisation n’a pas protégé les renseignements personnels qu’elle détient par des mesures de sécurité appropriées. 
• Délais. Une organisation a omis de fournir à une personne l’accès aux renseignements personnels qui la concernent dans les délais prévus par la Loi.
• Utilisation et communication. Les renseignements personnels sont utilisés ou communiqués à des fins autres que celles pour lesquelles ils avaient été recueillis, sans le consentement de la personne concernée, et l’utilisation ou la communication de renseignements personnels sans le consentement de la personne concernée ne font pas partie des exceptions prévues dans la Loi. 

Définitions des conclusions et d’autres dispositions

Le CPVP a élaboré des définitions de conclusions et de décisions afin d’expliquer les résultats des enquêtes effectuées conformément à la LPRPDE :

• Non fondée. L’enquête n’a pas permis de déceler des éléments de preuves qui suffisent à conclure qu’une organisation a enfreint les droits du plaignant en vertu de la LPRPDE. 
• Fondée. L’organisation n’a pas respecté une disposition de la LPRPDE. 
• Résolue. L’enquête a corroboré les allégations, mais avant la fin de l’enquête, l’organisation a pris des mesures correctives pour remédier à la situation, à la satisfaction du CPVP, ou s’est engagée à prendre ces mesures. 
• Fondée et résolue. La commissaire est d’avis, au terme de son enquête, que les allégations semblent fondées sur des preuves, mais fait une recommandation à l’organisation concernée avant de rendre ses conclusions, et l’organisation prend ou s’engage à prendre les mesures correctives recommandées.
• Réglée en cours d’enquête. Le CPVP aide à négocier, en cours d’enquête, une solution qui convient à toutes les parties. Aucune conclusion n’est rendue.  
• Abandonnée. Il s’agit d’une enquête qui est terminée avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons, par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire ou il est impossible de lui demander de fournir des renseignements supplémentaires, lesquels sont essentiels pour en arriver à une conclusion. 
• Hors juridiction. L’enquête a démontré que la LPRPDE ne s’applique pas à l’organisation ou à l’activité faisant l’objet de la plainte. 
• Réglée rapidement. Situation dans laquelle l’affaire est réglée avant même qu’une enquête officielle ne soit entreprise. À titre d’exemple, si une personne dépose une plainte concernant un sujet qui a déjà fait l’objet d’une enquête par le CPVP et qui a été jugé conforme à la LPRPDE, nous donnons les explications nécessaires à la personne plaignante. Cette conclusion s’applique également lorsqu’une organisation, mise au courant des allégations, règle immédiatement la question à la satisfaction du plaignant et du CPVP. 

Les résumés des conclusions d’enquêtes réalisées par le CPVP en vertu de la LPRPDE peuvent être consultés sur le site Web du CPVP, www.priv.gc.ca.

ANNEXE 2

Plaintes reçues par type de plainte

Plaintes reçues entre le 1^er janvier 2006 et le 31 décembre 2006

Type de plainte	Nombre	Pourcentage
Accès	84	20
Responsabilité	11	3
Exactitude	11	3
Possibilité de porter plainte	3	<1
Collecte	75	18
Consentement	13	3
Correction/Annotation	8	2
Frais	3	<1
Transparence	1	<1
Conservation	11	3
Mesures de sécurité	34	8
Délais	17	4
Utilisation et communication	153	36
Total	424

Répartition par secteur

Plaintes reçues entre le 1^er janvier et le 31 décembre 2006

Secteur	Nombre	Pourcentage
Institutions financières	108	25
Assurances	51	12
Télécommunications	55	13
Autres	56	13
Ventes	58	14
Transports	37	9
Services d’hébergement	29	7
Professionnels	11	2
Santé	7	2
Services	7	2
Location	5	1
Total	424

Plaintes résolues par type de plainte

Plaintes résolues entre le 1^er janvier et le 31 décembre 2006

Type de plainte	Nombre	Pourcentage
Accès	51	16
Responsabilité	5	2
Exactitude	9	3
Possibilité de porter plainte	2	1
Collecte	74	24
Consentement	11	3
Correction/Annotation	4	1
Frais	6	2
Transparence	1	0
Autres	5	2
Rétention	6	2
Mesures de sécurité	18	6
Délais	6	2
Utilisation et communication	111	36
Total de plaintes résolues	309

Plaintes résolues par type de conclusion

Plaintes résolues entre le 1^er janvier et le 31 décembre 2006

Conclusion	Nombre	Pourcentage
Abandonnée	35	11
Réglée rapidement	15	5
Hors juridiction	8	3
Non fondée	65	21
Autres	2	0
Résolue	62	20
Réglée en cours d’enquête	81	26
Fondée	14	5
Fondée et résolue	27	9
Total de plaintes résolues	309

Conclusions par type de plainte

Plaintes résolues entre le 1^er janvier et le 31 décembre 2006

	Abandonnée	Réglée rapidement	Hors juridiction	Non fondée	Autres	Résolue	Réglée en cours d’enquête	Fondée	Fondée et résolue	TOTAL
Accès	6	0	1	7	0	19	14	1	3	51
Responsabilité	0	0	0	0	0	0	3	1	1	5
Exactitude	0	0	0	4	0	2	3	0	0	9
Possibilité de porter plainte	0	0	0	1	0	0	1	0	0	2
Collecte	6	3	2	20	0	23	15	3	2	74
Consentement	1	1	0	5	0	1	3	0	0	11
Correction/annotation	1	0	0	2	0	1	0	0	0	4
Frais	0	0	0	0	0	5	0	0	1	6
Transparence	0	0	0	1	0	0	0	0	0	1
Autres	1	0	0	1	2	0	1	0	0	5
Consentement	0	0	0	1	0	2	3	0	0	6
Mesures desécurité	4	3	1	1	0	2	4	0	3	18
Délais	0	0	0	2	0	1	1	2	0	6
Utilisation et communication	16	8	4	20	0	6	33	7	17	111
TOTAL	35	15	8	65	2	62	81	14	27	309

Conclusions par industrie du secteur privé

Plaintes résolues entre le 1^er janvier et le 31 décembre 2006

	Abandonnée	Réglée rapidement	Hors juridiction	Non fondée	Autres	Résolue	Réglée en cours d’enquête	Fondée	Fondée et résolue	TOTAL
Services d’hébergement	0	1	0	2	0	3	11	2	0	19
Institutions financières	6	1	4	25	0	15	19	7	15	92
Santé	1	0	1	7	0	5	1	0	2	17
Assurances	1	0	0	13	0	9	10	0	2	35
Autres	5	0	2	6	0	2	10	0	2	27
Professionnels	1	0	0	0	0	0	0	2	1	4
Location	0	0	0	0	0	0	2	0	0	2
Ventes	3	11	0	3	0	1	5	0	3	26
Services	0	0	0	1	0	0	1	0	0	2
Télécommunications	10	2	0	4	0	24	13	1	1	55
Transports	8	0	1	4	2	3	9	2	1	30
TOTAL	35	15	8	65	2	62	81	14	27	309

Nombre de plaintes en attente le 31 décembre 2006 : 76

Processus d’enquête en vertu de la LPRPDE