Rapport annuels au Parlement concernant la Loi sur la protection des renseignements personnels 2005-2006

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3

Téléphone : (613) 995-8210
1 800 282-1376
Téléc. : (613) 947-6850
ATS (613) 992-9190

© Ministre des Travaux publics et Services gouvernementaux Canada 2006
No de cat. IP50-2006
ISBN 0-662-49235-8

Cette publication est également disponible sur notre site Web à www.priv.gc.ca.

Juin 2006

L’honorable Noël A. Kinsella, sénateur
Président
Sénat du Canada
Ottawa

Monsieur,

J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1^er avril 2005 au 31 mars 2006 conformément à la Loi sur la protection des renseignements personnels.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

Juin 2006

L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa

Monsieur,

J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1^er avril 2005 au 31 mars 2006 conformément à la Loi sur la protection des renseignements personnels.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

Avant-propos

L’année 2007 marquera le 25e anniversaire de la Loi sur la protection des renseignements personnels, la toute première loi exhaustive en matière de protection de la vie privée au Canada. Issue de la révision de la quatrième partie (1977) de la Loi canadienne sur les droits de la personne – qui tenait compte des principes fondamentaux et instaurait le rôle de commissaire à la protection de la vie privée à titre de membre de la Commission canadienne des droits de la personne –, la Loi sur la protection des renseignements personnels s’ancrait dans la conception générale que l’on avait du gouvernement dans les années 60 et 70. On se préoccupait alors des vastes bases de données centralisées qui fonctionnaient à l’aide de gros ordinateurs. Il était question de fichiers et l’image que nous nous faisions d’un système de gestion des dossiers était un classeur emplis de documents papier. Cette époque précédait l’arrivée des ordinateurs personnels, d’Internet et des puissants moteurs de recherche tel Google. Les fonctionnaires travaillaient sur papier; ils dactylographiaient les formulaires en triplicata.

Pourquoi, me demanderez-vous, ce retour en arrière? Parce que le monde a subi des changements en profondeur, des changements grandement inquiétants du point de vue de la protection de la vie privée et des droits de la personne. À l’époque où nous concevions de puissants ordinateurs centraux qui, armés du nouveau numéro d’assurance sociale pour coupler les données avec une certaine fiabilité, avaient une incidence réelle sur la protection de la vie privée, le monde dans lequel nous vivions était inévitablement limité dans ses capacités : capacité limitée de stockage de données, capacité limitée de couplage de données, capacité limitée à faire circuler les données et, par conséquent, à exposer la population aux risques d’atteintes à la protection de la vie privée. Lorsque le Commissariat à la protection de la vie privée (CPVP) a été établi, c’était un organisme de petite envergure doté de pouvoirs limités; le Secrétariat du Conseil du Trésor et le ministère de la Justice étaient chargés de mettre en œuvre la nouvelle loi et de prêter leur soutien aux fonctionnaires pour interpréter celle-ci.

Aujourd’hui, notre capacité à comprendre le monde et à emboîter le pas aux changements technologiques est confrontée aux nouveaux défis en matière de sécurité et de risques qu’entraîne la possibilité illimitée de stockage de données, de transmission de données et de forage de données. Nous sommes limités par notre capacité restreinte à comprendre et à imaginer les conséquences de la circulation et de l’agrégation des données, et par nos aptitudes limitées à informer le grand public. La protection des données constitue un défi d’envergure mondiale aujourd’hui, une action menée dans une région éloignée du monde peut avoir des répercussions directes sur la protection de la vie privée des Canadiennes et des Canadiens. Ainsi, un expéditeur de courriels en masse véhicule des pourriels et des logiciels espions peut semer le chaos chez un fournisseur canadien de services Internet même s’il est envoyé de l’Europe de l’Est; on procède actuellement à la mise à l’écoute de voies de communications – ce qui permet de déceler, entre autres, des activités de terrorisme ou de blanchiment d’argent – dont la portée et l’application s’étendent à l’échelle mondiale; les voyageurs canadiens doivent posséder pièces d’identité et instruments financiers pour justifier leur crédibilité dans leurs activités commerciales outre-frontières. Aujourd’hui, la vie est complexe ; la protection de la vie privée l’est également.

Il nous faut comprendre les conséquences des innombrables nouveaux systèmes d’information, des nouvelles lois et réglementations, des nouveaux systèmes de surveillance conçus au nom de la sécurité publique. Nous devons procéder à la vérification d’un plus grand nombre de ces mesures afin d’informer plus rapidement les ministères et de leur prêter assistance. Car, bien qu’ils doivent prendre moultes de décisions complexes, les ministères ne maîtrisent pas nécessairement aussi bien que nous les enjeux en matière de protection de la vie privée. Nous sommes déterminés à progresser grâce à des ressources additionnelles, et à constamment perfectionner notre capacité à fournir conseils et assistance à la population canadienne, au Parlement et aux fonctionnaires qui travaillent à améliorer la qualité de vie des Canadiennes et des Canadiens.

Au risque de ressembler à Oliver Twist, j’ai envie de dire : « J’en voudrais encore, monsieur, s’il vous plaît. » J’entretiens l’espoir que nous puissions célébrer l’anniversaire de la Loi visant le secteur public fédéral, avec la conviction que le Parlement nous présentera prochainement une nouvelle Loi sur la protection des renseignements personnels. Une loi qui, tiendra compte des réalités à l’ère de l’information, des défis que pose l’ubiquité numérique, et des imposants systèmes gouvernementaux dont la capacité de surveillance actuelle était inimaginable en 1982. Les résultats d’un sondage révèlent que plus de 70 % de la population canadienne estime que la protection à la vie privée et la protection des renseignements personnels se sont grandement dégradées; tout indique que la protection de la vie privée figure parmi les enjeux les plus importants auxquels le pays est confronté.

La population canadienne mérite d’obtenir concrètement réparation pour les torts qui lui sont causés, ce que ne peut lui procurer une commissaire à la protection de la vie privée dépourvue même du pouvoir de s’adresser à la Cour fédérale en vue d’obtenir jugement et dommages-intérêts pour collecte injustifiée ou communication malveillante de renseignements personnels. En 1982, nous avons ouvert la voie pour garantir certains droits aux Canadiennes et aux Canadiens; nous sommes allés plus loin en ce sens avec l’entrée en vigueur, en 2001, de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) visant le secteur privé. Nous devons maintenant continuer dans cette direction en demandant au gouvernement de satisfaire aux normes nécessaires à l’ère de l’information. Il est inacceptable que les normes de protection de la vie privée soient plus sévères pour le secteur privé qu’elles ne le sont pour le secteur public.

À l’automne 2007, nous aurons l’honneur d’être les hôtes de la Conférence internationale des commissaires à la protection des données et de la vie privée, qui se déroulera à Montréal. Les pays étrangers, dont plusieurs participeront à cet événement important, tiennent de plus en plus le Canada pour modèle en matière de protection des données. À titre d’exemple de l’intérêt des pays étrangers à l’endroit de notre cadre de protection des données, nous nous sommes engagés dans des activités de développement professionnel avec les autorités désignées du Mexique, de la France et du Royaume-Uni. Le Canada doit demeurer un chef de file dans ce domaine et, à mon avis, il y contribuera essentiellement par la mise à jour de la loi couvrant le secteur public. Il n’est tout simplement pas admissible que les normes de protection de la vie privée soient plus sévères pour le secteur privé.

Une véritable protection de la vie privée exige un équilibre des pouvoirs entre le citoyen et l’État, incluant une surveillance des activités de l’État et un pouvoir efficace d’intervention. Nous sommes aptes à mener à bien cette entreprise ; nous envisageons avec impatience d’entreprendre les fonctions qui en découleraient. Engagés dans cette cause, nous avons présenté très récemment au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, nos recommandations pour modifier la Loi sur la protection des renseignements personnels, et voyons d’un œil favorable la perspective d’un dialogue utile et fructueux.

Depuis ma nomination au poste de commissaire à la protection de la vie privée en décembre 2003, et sans aucun doute au cours du dernier exercice, mon équipe et moi avons concentré nos efforts à la poursuite du renouvellement institutionnel du Commissariat. Remettre le Commissariat sur pied se devait d’être une priorité. Nous avons également consacré nos efforts, l’année dernière, à une analyse de rentabilisation en vue d’obtenir du financement stable et à long terme; le processus faisait appel à un examen indépendant de nos activités ainsi qu’à une présentation devant un Groupe consultatif spécial du Parlement afin que ce dernier élabore ses recommandations. Il me fait plaisir d’annoncer que le Commissariat entame un nouveau chapitre. Nous allons maintenant de l’avant avec un regain de vigueur. Nous continuerons de travailler en collaboration avec nos homologues provinciaux et territoriaux, ainsi qu’avec nos collègues à l’échelle internationale, afin de relever les imposants défis en matière de protection de la vie privée qui se dessinent à l’horizon.

Un mandat renforcé

Il incombe au Commissariat de surveiller la conformité à la Loi sur la protection des renseignements personnels et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Bien que ces deux lois soient distinctes, les ressources qui y sont affectées ne le sont pas. À ce jour, le Commissariat n’a pas reçu de financement permanent lui permettant d’assumer ses fonctions en vertu de la LPRPDE, et le financement affecté à la Loi sur la protection des renseignements personnels est demeuré inchangé depuis plusieurs années. Trois années seulement ont été octroyées au financement de la LPRPDE. La LPRPDE, dont l’application s’est échelonnée sur plusieurs étapes, est entrée en vigueur en 2001 et a atteint sa pleine mise en œuvre en 2004. Il nous semblait important de laisser retomber la poussière avant de définir nos besoins financiers à long terme. La LPRPDE est pleinement en vigueur depuis maintenant deux ans, et les demandes qui nous sont adressées en vertu des deux lois sont de plus en plus nombreuses.

Le financement destiné à l’application des deux lois, ne nous permettait pas de répondre aux exigences d’un mandat aux multiples facettes. Conséquemment, nous devons composer avec un arriéré considérable de plaintes à traiter, en particulier les plaintes relevant de la Loi sur la protection des renseignements personnels; les personnes qui ont déposé ces plaintes commencent à s’impatienter, ce que nous comprenons sans peine. L’équipe des vérificateurs est trop réduite pour nous permettre d’effectuer des vérifications efficaces en vue d’assurer la conformité. Bien que nous ayons mis en place une approche axée sur la gestion du risque, il nous faut intensifier nos activités de vérification. De plus, en raison des restrictions financières, notre stratégie de communication est essentiellement réactive, alors que c’est d’une stratégie proactive de sensibilisation du grand public sur les droits et les obligations en matière de protection de la vie privée dont nous avons besoin. Pour leur part, la Direction de la recherche et des politiques ainsi que la Direction des services juridiques, ont dû se limiter à répondre aux urgences, plutôt que de prévoir et de composer efficacement avec tout nouveau problème relatif à la protection de la vie privée.

Les dernières années ont été éprouvantes pour le Commissariat. Mais à quelque chose malheur est bon : les difficultés nous ont permis de revoir de fond en comble les façons de faire du Commissariat. Celui-ci se retrouve engagé sur la bonne voie. Il est maintenant temps d’instaurer la nouvelle vision du Commissariat, ce qui nécessitera toute une gamme d’outils afin de la mettre en œuvre.

Nous privilégions l’embauche de nouveaux talents et le recrutement de personnes hautement qualifiées. Nous avons mené à terme un ambitieux programme qui visait à corriger toutes les lacunes au sein de la direction de l’organisme. Jusqu’à ce jour, les vérifications et les évaluations du Commissariat effectuées par le Bureau du vérificateur général du Canada, la Commission de la fonction publique ainsi que par la Commission canadienne des droits de la personne ont été positives. Nous avons aussi mis en œuvre un processus réfléchi et systématique pour déterminer nos besoins organisationnels. Le Commissariat est une institution stable et mérite la confiance du Parlement et de la population canadienne dont il sert les intérêts.

Vision du Commissariat à la protection de la vie privée du Canada

Le Commissariat a procédé à deux importantes analyses : le document Vision et plan de services institutionnel ainsi que l’analyse de rentabilisation en vue d’un financement permanent. Ces deux documents définissent notre rôle tel qu’il doit être, en tant que représentant du Parlement au service des intérêts des Canadiennes et des Canadiens, et ce dont nous avons besoin pour atteindre nos objectifs.

Doté de fonds adéquats, le Commissariat pourra effectuer les activités suivantes, conformément à la Loi sur la protection des renseignements personnels et à la LPRPDE :

• mener un nombre significatif de vérifications et d’examens pour promouvoir une plus grande conformité et contribuer à l’élaboration d’un solide cadre de gestion des renseignements personnels;
• travailler en collaboration avec les institutions gouvernementales et effectuer des analyses de nature juridique et politique de lois et de projets de loi afin d’appuyer le Parlement dans ses travaux;
• avoir recours, de façon plus proactive, efficace et importante, aux outils d’application de la loi que lui a confiés le Parlement, comme les plaintes émanant de la commissaire, les poursuites en justice et la communication d’information d’intérêt public;
• effectuer des recherches sur les nouvelles tendances et les nouveaux enjeux relatifs à la protection de la vie privée afin d’aider les citoyens et les décideurs à mieux comprendre les défis d’aujourd’hui et de demain dans cette sphère;
• initier des projets de sensibilisation du grand public visant à mieux informer les personnes de leurs droits et à mieux informer les institutions et les organisations de leurs obligations;
• utiliser un processus d’enquête simplifié pour s’attaquer à l’arriéré des plaintes;
• soutenir les efforts de renouvellement institutionnel.

Analyse de rentabilisation : ressources

L’an dernier, le Commissariat a pris part avec enthousiasme à un processus innovateur et entièrement nouveau pour l’approbation de financement pour les activités des hauts fonctionnaires du Parlement. Nous avons accueilli très favorablement cette occasion d’engager un dialogue constructif avec le Parlement sur nos besoins financiers. Mais auparavant, nous nous sommes bien préparés. Notre Vision et plan de services institutionnel et notre analyse de rentabilisation en vue d’un financement permanent constituent un cadre solide pour garantir le droit à la protection de la vie privée de la population canadienne et des résidents du Canada, ainsi que pour répondre aux besoins du Parlement, à titre de spécialistes de la protection de la vie privée, au cours de l’examen des dispositions législatives en la matière. Le plan de services et l’analyse de rentabilisation constituent la base sur laquelle s’appuie le Commissariat pour jouer son rôle avec plus de force et d’efficacité.

Cette vision a été approuvée par les parlementaires. Le nouveau Groupe consultatif de la Chambre des communes sur le financement des hauts fonctionnaires du Parlement nous a également fortement appuyés. Le Commissariat sera désormais plus apte à servir les intérêts des Canadiennes et des Canadiens grâce à une augmentation de près de 50 % des ressources humaines et financières. En fin d’exercice pour l’année fiscale 2005-2006, soit la période couverte par ce rapport, nos prévisions tenaient compte de cette augmentation au cours des deux prochaines années.

Point de vue de la politique

Activités parlementaires : bilan annuel

En ce qui concerne l’activité parlementaire, l’exercice 2005-2006 s’est révélé très chargé pour le Commissariat à la protection de la vie privée (CPVP). L’un des aspects principaux de notre travail consiste à comparaître devant les comités du Sénat et de la Chambre des communes en vue de prodiguer des conseils d’experts sur l’incidence sur la protection de la vie privée de projets de loi et d’autres questions de politiques envisagées par le Parlement.

Le Commissariat a été invité à comparaître devant les comités parlementaires à 11 reprises au cours de l’exercice 2005-2006 (16 comparutions au cours de l’année civile 2005). Ces comparutions représentent beaucoup de travail pour un organisme de taille réduite comme est le nôtre, mais elles demeurent un élément essentiel de notre mandat, puisque la commissaire à la protection de la vie privée est une haute fonctionnaire du Parlement. Dix de ces onze comparutions portaient sur des projets de loi et des enjeux en matière de politiques qui sont du ressort de la Loi sur la protection des renseignements personnels, même si certaines comparutions, comme celles liées au financement, se rapportaient aussi à la Loi sur la protection des renseignements personnels et les documents électroniques.

Le projet de loi S-18, Loi modifiant la Loi sur la statistique. (Devant le Comité permanent de l’industrie, des ressources naturelles, des sciences et de la technologie de la Chambre des communes.)

• L’adoption de cette loi élimine une ambiguïté juridique relative à l’accès aux données du recensement recueillies entre 1910 et 2005. La Loi permet un accès non limité à ces données 92 ans après leur collecte. À compter de 2006, le consentement des Canadiennes et des Canadiens est requis pour que des données du recensement puissent être communiquées 92 ans après la collecte. Le CPVP ne s’oppose pas à la communication des données après cette période, mais souhaite que des dispositions en matière de consentement soient ajoutées à la Loi, de façon à ce que celle-ci prévoit accorder aux Canadiennes et aux Canadiens le droit de décider eux-mêmes si leurs données personnelles recueillies au moment d’un recensement seront un jour rendues disponibles au grand public. Le projet de loi a reçu la sanction royale le 29 juin 2005.
• Projet de loi C-37, Loi modifiant la Loi sur les télécommunications.(Devant le Comité permanent de l’industrie, des ressources naturelles, des sciences et de la technologie de la Chambre des communes.)

Ce projet de loi vise à réduire le nombre d’appels de télémarketing que les Canadiennes et les Canadiens reçoivent à la maison en donnant au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) la capacité d’établir une liste de numéros de téléphone exclus (LNTE) à l’échelle nationale. Selon la nouvelle loi, le CRTC a le pouvoir d’imposer des pénalités sévères aux télévendeurs qui ne respectent pas les règles. Le CPVP a appuyé fortement l’esprit général du projet de loi au moment de sa première lecture au Parlement. Cependant, le projet de loi C-37 comporte également une liste de télévendeurs qui ne sont pas assujettis aux exigences du CRTC ni à la liste des interdictions liées à la LNTE. Le CPVP s’est opposé ouvertement à l’inclusion de ces exceptions dans le projet de loi. Nous avons alors suggéré à la Chambre des communes de reporter l’ajout de toute exclusion à une date ultérieure et que le Parlement mène d’abord des consultations intensives à cet égard auprès des Canadiennes et des Canadiens, comme l’avait recommandé le ministre responsable du projet de loi à ce moment-là. Le projet de loi C-37 a reçu la sanction royale le 25 novembre 2005; il aura force de loi à une date qui sera fixée par un décret de la gouverneure en conseil.

• Projet de loi C-16, Loi modifiant le Code criminel (conduite avec facultés affaiblies) et d’autres lois en conséquence. (Devant le Comité permanent de la justice, des droits de la personne, de la sécurité publique et de la protection civile de la Chambre des communes.)

Ce projet de loi modifie le Code criminel afin de préciser que la mention « conduite d’un véhicule sous l’effet de l’alcool ou d’une drogue », à l’alinéa 253(1)a) inclut la conduite sous l’effet d’une combinaison d’alcool et de drogue. Le projet de loi autorise des agents de la paix ayant suivi une formation spéciale à effectuer des tests afin de déterminer si une personne est affaiblie par l’effet d’une drogue ou d’une combinaison d’alcool et de drogue, ainsi qu’à prélever des échantillons de substances corporelles aux fins d’analyse pour déceler la présence d’une drogue ou d’une combinaison d’alcool et de drogue chez une personne. Le CPVP a exprimé son appui à l’intention de cette loi, dont l’objet est d’accroître la sécurité des routes et de protéger les Canadiennes et les Canadiens des conséquences de la conduite avec facultés affaiblies. Cependant, certaines préoccupations demeurent quant à la façon dont le projet de loi propose d’aborder le problème. Plus particulièrement, nos préoccupations ont trait à l’efficacité et à la proportionnalité des mesures proposées. Selon l’un des principes fondamentaux en matière de traitement équitable des renseignements personnels qui sous-tendent la Loi,les renseignements personnels ne doivent pas être recueillis à moins que ceux-ci soient utilisés aux fins particulières pour lesquelles ils sont recueillis. Contraindre des personnes à fournir des substances corporelles est une atteinte à la vie privée. L’atteinte est d’autant plus sérieuse lorsque les échantillons ne permettent pas avec certitude de mesurer l’affaiblissement des facultés. Nous avons néanmoins fait valoir que si le gouvernement décidait d’adopter la Loi en dépit de ces préoccupations, il lui faudrait prévoir d’autres dispositions pour garantir que les substances corporelles recueillies et les résultats des tests soient adéquatement protégés. Le projet de loi C-16 est mort au Feuilleton à l’étape de rapport du Comité.

• Examen de la Loi antiterroriste. (Devant le Comité spécial du Sénat sur la Loi antiterroriste et le Sous-comité de la Chambre des communes sur la sécurité publique et nationale.)

La Loi antiterroriste a reçu la sanction royale le 18 décembre 2001. Cette loi est venue modifier le Code criminel, la Loi sur les secrets officiels, la Loi sur la preuve au Canada, la Loi sur le recyclage des produits de la criminalité et d’autres lois, et a édicté la Loi sur l’enregistrement des organismes de bienfaisance (renseignements de sécurité), en vue de lutter contre le terrorisme. En 2005, un comité de la Chambre et un comité du Sénat ont mené, de façon indépendante, un examen détaillé de la Loi antiterroriste, selon lequel la Loi doit faire l’objet d’un examen dans les trois ans qui suivent sa promulgation. Le Commissariat à la protection de la vie privée du Canada a comparu devant les deux comités qui procédaient à l’examen. Nos observations portaient principalement sur le manque de faits et d’éléments de preuve justifiant les mesures prévues par la Loi antiterroriste. Nous avons exhorté les comités à évaluer de manière critique la question de la proportionnalité et à prendre en considération plusieurs de nos recommandations pratiques pour aborder la question des répercussions cumulatives des mesures antiterroristes sur le droit à la protection de la vie privée des Canadiennes et des Canadiens.

L’un des principaux comités liés aux fonctions du Commissariat est le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. L’importance de ce comité relativement nouveau (établi à la fin de 2004) est considérable : la population canadienne dispose maintenant d’un comité permanent de la Chambre des communes voué aux questions se rapportant à la protection de la vie privée. La commissaire à la protection de la vie privée du Canada et d’autres représentants du CPVP ont comparu à trois reprises devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique en 2005-2006. Si ces comparutions avaient pour but, entre autres, de répondre à des questions concernant nos activités dans le cadre de l’examen de notre budget et de nos rapports annuels, les députés membres du Comité ont également soulevé de nombreuses questions et fait part de leurs préoccupations relatives aux principaux défis et possibilités en matière de protection de la vie privée au Canada. Le CPVP compte maintenir la relation de travail constructive qu’il entretient avec ce comité au cours de la 39e législature. Les enjeux liés à la protection de la vie privée ne cessent de se multiplier et de gagner en complexité. Il s’avère donc crucial que le Parlement soit doté d’un mécanisme permettant d’examiner ces enjeux et de se pencher sur les préoccupations des Canadiennes et des Canadiens.

Enfin, un nouveau Groupe consultatif de la Chambre sur le financement des hauts fonctionnaires du Parlement a été créé cette année. Ce groupe a été chargé d’évaluer la demande de ressources additionnelles que le CPVP a présentée et de faire des recommandations à cet égard. Le CPVP a comparu à deux reprises devant ce groupe pour présenter son analyse de rentabilisation.

Réforme de la Loi sur la protection des renseignements personnels

Les premières recommandations destinées à la réforme de la Loi sur la protection des renseignements personnels remontent au tout premier examen exigé par la Loi, lequel a mené, en 1987, à la publication du rapport du Comité permanent de la justice et du solliciteur général intitulé Une question à deux volets : Comment améliorer le droit d’accès à l’information tout en renforçant les mesures de protection des renseignements personnels. Le rapport, qui contenait plus de 100 recommandations, a reçu l’appui unanime des membres du Comité, mais aucun des changements recommandés n’a été apporté; pourtant, dans sa réponse, le gouvernement s’était engagé à apporter des changements au plus tard à l’automne 1988.

Dans son dernier rapport, pour l’exercice 1999-2000, l’ancien commissaire Bruce Phillips avait signalé que le Parlement ne s’était pas penché sur la Loi sur la protection des renseignements personnels depuis 14 ans, et ce, malgré les nombreuses recommandations formulées par le commissaire à la protection de la vie privée au cours des années 90. Il avait déclaré que les lacunes de la Loi sur la protection des renseignements personnels étaient :

« [?] encore plus évidentes depuis l’adoption par le Parlement de la Loi sur la protection des renseignements personnels et les documents électroniques. Cette Loi (qui réglemente le traitement des renseignements personnels dans le secteur privé) comprend beaucoup de caractéristiques supérieures à la Lois sur la protection des renseignements personnels, ce qui rend l’examen exhaustif de cette dernière à la fois urgent et inévitable. »

Un examen détaillé de la Loi, intitulé Réforme de la Loi sur la protection des renseignements personnels : Détermination et examen des questions, a été élaboré par le Commissariat en décembre 1999, diffusé en juin 2000 et présenté au ministère de la Justice en vue de cet examen « urgent et inévitable ».

Cet examen n’a toujours pas eu lieu.

Les Canadiennes et les Canadiens sont beaucoup plus au fait des principes de protection des renseignements personnels qui sous-tendent la loi visant le secteur privé; ils s’attendent sans aucun doute à ce que les renseignements personnels que détient le gouvernement bénéficient d’une protection au moins égale à la protection des renseignements personnels confiés aux entreprises. Si l’examen de la Loi était « à la fois urgent et inévitable » en 2000, il l’est d’autant plus aujourd’hui.

À cette fin, le tout dernier rapport produit par le Commissariat met l’accent sur les obligations des institutions gouvernementales. Ce rapport a été produit sur l’invitation du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, invitation renouvelée à l’occasion de la comparution du CPVP devant le Comité, l’automne dernier, pour discuter de nos rapports annuels pour l’exercice 2004-2005. Ce rapport, qui porte sur la responsabilité du gouvernement en matière de protection des renseignements personnels et la réforme de la Loi sur la protection des renseignements personnels, a été présenté au comité récemment.

La Loi sur la protection des renseignements personnels devait accompagner la Loi sur l’accès à l’information ; elle devrait, dans la mesure du possible, continuer de jouer ce rôle. Le nouveau gouvernement articule son mandat autour de la notion de responsabilisation, et nous espérons que l’examen et la modification de la Loi sur la protection des renseignements personnels qui s’imposent auront enfin lieu. Dans le cadre de la préparation de notre rapport sur la responsabilité  du gouvernement en matière de protection des renseignements personnels, nous avons pris connaissance des réformes proposées au Comité par le commissaire à l’information en septembre 2005 et du rapport que le conseiller spécial auprès du ministre de la Justice, M. Gérard La Forest, a présenté en novembre.

Depuis l’entrée en vigueur de la Loi sur la protection des renseignements personnels il y a plus de 20 ans, le contexte de la protection de la vie privée est devenu beaucoup plus complexe. Les changements technologiques et sociaux survenus au cours des 20 dernières années – comme la création d’Internet et du World Wide Web, les nouvelles technologies de l’information et de la communication, la mondialisation, les systèmes mondiaux de signalisation, la vidéosurveillance, l’impartition, l’extraction de données et la marchandisation des renseignements personnels – n’ont pas simplement changé le paysage qui nous entoure; ils nous ont carrément transportés sur une autre planète.

À titre de loi quasi constitutionnelle, la Loi sur la protection des renseignements personnels doit avoir préséance sur d’autres lois, sauf dans certains cas très exceptionnels. Toutes les institutions gouvernementales fédérales doivent être visées par la Loi sur la protection des renseignements personnels : celle-ci ne saurait s’appliquer uniquement aux ministères et aux organismes. Les hauts fonctionnaires du Parlement, les sociétés d’État, les diverses fondations établies au cours des dernières années et les autres entités exerçant des fonctions importantes liées à la santé et à la sécurité publique doivent également se plier aux exigences de la Loi sur la protection des renseignements personnels. Toute personne, même n’étant pas citoyenne canadienne ou présente en territoire canadien, doit jouir du droit de demander accès aux renseignements personnels la concernant que détient une institution gouvernementale canadienne. La définition de « renseignements personnels » doit, à une époque où les réalités technologiques et numériques permettent d’assurer une surveillance en temps réel, comprendre les renseignements enregistrés et non enregistrés au sujet d’une personne identifiable. De plus, une personne doit avoir la possibilité de contester devant les tribunaux non seulement un refus d’accès à ses renseignements personnels, mais aussi la collecte, l’utilisation ou la communication inappropriée de ces renseignements.

La Loi sur la protection des renseignements personnels doit conférer à la commissaire à la protection de la vie privée un mandat au moins aussi vaste que celui que lui confère la loi destinée au secteur privé, y compris le pouvoir de recourir à la médiation et à la conciliation pour régler des plaintes, d’effectuer des recherches sur des enjeux relatifs à la protection de la vie privée, et de sensibiliser le grand public et les institutions gouvernementales à leurs droits et obligations. Les devoirs des institutions gouvernementales à l’égard de la collecte, de l’utilisation et de la communication des renseignements personnels doivent être énoncés plus clairement. D’importantes politiques relatives à la réalisation des buts énoncés dans la Loi sur la protection des renseignements personnels ont été élaborées par le Conseil du Trésor. Ces obligations relatives au couplage de données, à la gestion et à la sécurité de l’information gouvernementale, à l’établissement de cadres de gestion des renseignements personnels, à la tenue d’évaluations des facteurs relatifs à la vie privée (ÉFVP) visant les nouveaux programmes, et aux directives en matière de protection des renseignements personnels dans le cadre d’impartition de services devraient être appuyées par la Loi. Si on ne met pas le poids de la loi derrière ces politiques, celles-ci seront soumises au bon vouloir du pouvoir exécutif.

Pour accroître la responsabilité et la transparence des institutions gouvernementales à l’égard des renseignements personnels, il faut renforcer les exigences redditionnelles et attribuer aux comités parlementaires le soutien et les ressources nécessaires pour examiner les pratiques des institutions gouvernementales en matière de renseignements personnels, ainsi que le rendement de ces institutions en ce qui concerne la conformité à la Loi sur la protection des renseignements personnels. Les institutions doivent demeurer responsables des renseignements personnels qu’elles sont habilitées à recueillir, même si la collecte ou le traitement des données sont assurés par d’autres entités, en particulier des entrepreneurs à l’extérieur du Canada.

Bien que cette situation échappe à la période visée par le présent rapport, on ne saurait passer sous silence la Loi fédérale sur l’imputabilité, présentée par le nouveau gouvernement le 11 avril 2006. Ce projet de loi s’assortit d’un premier ensemble de modifications proposées à la Loi sur l’accès à l’information et de modifications parallèles à la Loi sur la protection des renseignements personnels. Ces modifications élargissent la portée des lois afin que celles-ci s’appliquent à davantage de sociétés d’État, mais aussi aux hauts fonctionnaires du Parlement (y compris le CPVP). Le gouvernement a d’ailleurs confirmé son engagement à procéder à une réforme exhaustive de la Loi sur l’accès à l’information, ce qui exigera nécessairement qu’on prenne en considération les dispositions parallèles de la Loi sur la protection des renseignements personnels. Nous espérons que c’est au cours du nouvel exercice que le gouvernement lancera enfin l’examen et la mise à jour « urgents et inévitables » de la Loi sur la protection des renseignements personnels et que cette réforme ira au-delà des enjeux communs aux lois en matière d’accès afin d’aborder le vaste éventail de questions soulevées dans notre rapport sur la responsabilité du gouvernement en matière de protection des renseignements personnels et la réforme de la Loi sur la protection des renseignements personnels.

La question de la fusion

En juillet 2005, l’honorable Gérard V. La Forest, ancien juge de la Cour suprême du Canada, a été nommé conseiller spécial auprès du ministre de la Justice pour réaliser un examen indépendant sur la possibilité de fusionner les commissariats à l’information et à la protection de la vie privée. M. La Forest était également chargé du mandat d’examiner les avantages de la nomination conjointe d’un seul commissaire aux deux fonctions en maintenant les deux commissariats.

Un changement dans la structure encadrant les questions d’accès à l’information et de protection de la vie privée au niveau fédéral pourrait avoir des répercussions sous divers angles, dont la qualité de la protection du droit à la vie privée des Canadiennes et des Canadiens.

Dans la réponse officielle que nous avons fait parvenir à M. La Forest en octobre 2005, nous avons conclu que le moment n’était pas opportun pour envisager la fusion des deux commissariats. Notre conclusion faisait état d’un manque flagrant de documents spécialisés sur les avantages et les inconvénients associés au modèle « jumelé » ou au modèle fédéral actuel. Le choix d’un modèle en particulier doit reposer sur les hypothèses plutôt que sur les données historiques.

Nous faisions remarquer également qu’il importe de ne pas laisser le débat au sujet d’un nouveau cadre faisant valoir les droits relatifs à la protection de la vie privée et à l’accès à l’information au fédéral détourner l’attention d’autres préoccupations à l’égard de ces droits – notamment, la nécessité d’un cadre législatif approprié, de ressources adéquates afin de satisfaire aux obligations imposées par la loi, ainsi que le nécessité d’un large éventail d’outils et de processus visant à promouvoir une approche orientée sur la conformité aux valeurs qu’incarnent les lois en matière d’accès à l’information et de protection de la vie privée. Nous faisions valoir qu’un examen de ces lois est primordial et devrait précéder les entretiens au sujet des modèles organisationnels. La protection de la vie privée et l’accès à l’information constituent un enjeu majeur, certes, mais d’abord et avant tout en raison de leur valeur intrinsèque, et non pour la forme que prend la structure qui les encadre.

Dans son rapport présenté le 15 novembre 2005, M. La Forest précise que le fardeau de persuasion incombe aux tenants de la fusion des commissariats à l’information et à la protection de la vie privée, ou aux tenants de la nomination conjointe d’un seul commissaire à la tête des deux commissariats. M. La Forest conclut qu’on ne s’est pas acquitté de ce fardeau. Les modèles à un seul ou à deux commissaires comportent chacun des avantages et des inconvénients et, selon les conclusions de M. La Forest, le contexte abstrait ne permet pas de démontrer la supériorité de l’un ou de l’autre modèle. « Compte tenu des caractéristiques uniques des environnements fédéraux relatifs à l’accès à l’information et à la protection de la vie privée, mais aussi des efforts investis par les parties intéressées dans la structure actuelle, le passage au modèle à un seul commissaire aurait, selon moi, un effet préjudiciable sur les objectifs politiques de la Loi sur l’accès à l’information, la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques. »

Enjeux en matière de politiques

Communication de renseignements personnels pour des raisons d'intérêt public

La protection des renseignements personnels versus la communication injustifiée est une préoccupation constante du Commissariat. Cependant, certaines situations justifient, voire nécessitent, la communication des renseignements personnels que détiennent les institutions gouvernementales, et ce, même sans le consentement de la personne concernée. À ce nombre figure la communication de renseignements personnels pour des raisons d’intérêt public.

La Loi sur la protection des renseignements personnels autorise la communication de renseignements personnels pour des « raisons d’intérêt public » dans certaines situations. L’alinéa 8(2)m) de la Loi autorise la « communication à toute autre fin dans les cas où, de l’avis du responsable de l’institution :

• des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée;
• l’individu concerné en tirerait un avantage certain ».

On a, par exemple, invoqué cette disposition pour rendre publics certains détails concernant une personne dont la mise en liberté constitue une menace pour la collectivité.

Le responsable de l’institution détermine si l’intérêt public l’emporte sur le droit à la protection de la vie privée. L’institution doit aviser la commissaire de son intention de communiquer des renseignements personnels pour des raisons d’intérêt public. La commissaire peut faire part au responsable de ses préoccupations à l’égard de la communication demandée, et peut, si elle estime qu’il est approprié de le faire, aviser la personne concernée de la communication imminente des renseignements. Toutefois, c’est au responsable de l’institution que revient la décision de communiquer l’information pour des raisons d’intérêt public et de déterminer la quantité de renseignements à communiquer. La commissaire à la protection de la vie privée n’a pas le pouvoir d'empêcher la communication.

Les dispositions de la Loi sur la protection des renseignements personnels relatives à la communication de renseignements personnels pour des raisons d’intérêt public sont donc très claires. Malheureusement, ces dispositions ne sont pas bien comprises, et, à l’occasion, la Loi est perçue comme un obstacle à la sécurité qui empêcherait la communication de renseignements personnels. Trop souvent, nous entendons des représentants d’institutions gouvernementales avancer que la Loi sur la protection des renseignements personnels les empêche de communiquer des renseignements personnels alors qu’en réalité, le responsable de l’institution pourrait le faire pour des raisons d’intérêt public. Cette explication erronée du rôle de la Loi présente celle-ci sous un mauvais jour, ce qui est fort regrettable.

Nous comprenons que cet aspect place parfois les institutions gouvernementales dans une situation délicate. Par exemple, un journaliste couvrant un crime ou une catastrophe naturelle peut s’acharner sur le porte-parole d’une institution et tenter d’obtenir le nom d’une victime ou d’autres renseignements personnels la concernant. Le porte-parole peut choisir de pécher par excès de prudence et de ne pas communiquer ces renseignements.

Nous n’avons rien à redire quant à une telle prudence, puisque le porte-parole n’est pas habilité par la Loi sur la protection des renseignements personnels à communiquer des renseignements personnels pour des raisons d’intérêt public, et la décision de communiquer des renseignements ne devrait jamais être prise à la légère. Seul le responsable de l’institution ou son délégué peut décider de communiquer l’information pour des raisons d’intérêt public. Dans plusieurs cas, l’information sera communiquée ultérieurement, mais seulement lorsque le responsable de l’institution aura déterminé qu’il est approprié de le faire.

Nous sommes préoccupés par la description simpliste dont fait souvent l’objet la Loi sur la protection des renseignements personnels et qui la présente comme un obstacle à la communication. Dans le but de présenter une interprétation plus juste de la Loi sur la protection des renseignements personnels, il serait préférable que tout porte-parole d’une institution qui se retrouve face à une décision relative à la communication de renseignements personnels réponde que la décision relève non pas de lui-même mais bien du responsable de l’institution. Nous encourageons les organismes gouvernementaux à rappeler à leurs porte-parole de donner cette réponse dans les cas de demandes de renseignements personnels.

Circulation transfrontalière des données

L’année dernière, nous avons abordé les préoccupations formulées par des Canadiennes et des Canadiens relativement à l’incidence de la USA PATRIOT Act sur les renseignements que détiennent des entreprises situées aux États-Unis. La USA PATRIOT Act cristallise la préoccupation croissante des Canadiennes et des Canadiens à l’égard de la sécurité de leurs renseignements personnels lorsque ces renseignements quittent le pays. La USA PATRIOT Act, adoptée rapidement par le Congrès américain, peu après les événements du 11 septembre 2001, comporte d’un certain nombre de dispositions qui devaient cesser d’être en vigueur après cinq ans, à moins que le gouvernement américain ne convainque le Congrès de les rendre permanentes; ce qu’il a fait en mars 2006.  Les dispositions controversées sont maintenant permanentes. Le Commissariat a certes fait part de ses préoccupations à l’égard de notre propre Loi antiterroriste dans les rapports annuels antérieurs; il a aussi signalé l’inquiétude croissante à l’égard de l’incidence des lois étrangères sur les données personnelles qui quittent le territoire canadien.

Cette question a certainement affecté les Canadiennes et les Canadiens, lesquels nous ont adressé des questions et des plaintes au sujet de la menace à l’égard de leur droit à la vie privée que représente la circulation transfrontalière des données. Il convient peut-être ici de rappeler à tous qu’une fois que des données ont quitté le Canada, le contrôle définitif de ces données relève des autorités qui les détiennent; les données sont assujetties aux lois du pays étranger et leur accès relève de ces lois. C’est pourquoi l’Union européenne (UE) a publié la Directive 95/46 sur la protection des renseignements personnels, qui demande aux commissaires à la protection des données de l’UE de cesser l’échange des données avec les pays étrangers qui n’ont pas de mesures de protection « adéquates ». Par mesures de protection adéquates, on entend non seulement une loi sur la protection des données, mais également des autorités de protection des renseignements personnels qui offrent un recours aux citoyens.

Cette question n’est pas nouvelle pour ceux qui s’intéressent à la protection des données; les dispositions de la Directive 95/46 ont causé tout un remous dans les années 1990, lorsque cette dernière a été instaurée. Quinze ans plus tard, nous en sommes encore à chercher des solutions aux différends qui résultent de la circulation mondiale des données. La commissaire à la protection de la vie privée du Canada a accepté de siéger à un comité de l’Organisation de coopération et de développement économiques (OCDE) qui enquête sur la nécessité d’une meilleure collaboration entre autorités indépendantes pour le traitement des infractions transfrontalières aux lois sur la protection des données.

Le Commissariat a traité des plaintes relatives au marketing international de renseignements personnels; il appert que les enjeux juridictionnels deviendront une source de préoccupation croissante dans le domaine de la protection des données, à l’instar du cybercrime. Le ministre de la Justice du gouvernement précédent avait fait part de son appui à la ratification du Traité sur le cybercrime du Conseil de l’Europe, dont l’objet est de favoriser la collaboration entre les signataires dans la lutte contre le crime international. Il faut que cette entente comporte aussi des modalités en matière de protection de la vie privée, ou alors il nous faudra disposer d’outils administratifs tels les traités d’entraide juridique et les protocoles d’entente avec d’autres pays.

Nous avons donné suite aux débats de 2004 sur la circulation transfrontalière des données au début de 2005, par une lettre au président du Conseil du Trésor exhortant le gouvernement fédéral à examiner les répercussions du recours à l’impartition pour traiter les renseignements personnels, ainsi qu’à assortir les contrats de clauses relatives à la protection des renseignements personnels dont le traitement est confié à des tiers.  Dans les mois qui suivirent, le Secrétariat du Conseil du Trésor nous a consulté à propos de sa stratégie fédérale visant à donner suite aux préoccupations en matière de protection de la vie privée relatives à la USA PATRIOT Act, et avançait la possibilité que des lois étrangères minent la protection des renseignements personnels de la population canadienne.  L’évaluation des contrats d’impartition par les 160 institutions fédérales a révélé que plus de 80% d’entre elles ont classé leurs ententes d’impartition dans les catégories « risques inexistant » et « risques faible ».  Cette évaluation a également aidé les ministres et organismes à identifier les mesures visant à atténuer les risques en matière de protection des renseignements personnels.  L’un des documents clés du Secrétariat du Conseil du Trésor présentait un ensemble de lignes directrices destinées aux institutions gouvernementales. Ces lignes directrices établissent des règles à l’égard des activités d’impartition dans le cadre desquelles des renseignements personnels concernant des Canadiennes et des Canadiens sont traités ou obtenus par des organismes du secteur privé en vertu d’un contrat conclu avec une institution gouvernementale.

À notre avis, la stratégie fédérale progresse vers l’objectif de répondre adéquatement aux préoccupations de la population canadienne quant à la circulation transfrontalière de leurs renseignements personnels et quant aux risques éventuels à la protection de la vie privée que présentent des lois étrangères, telle la USA PATRIOT Act ou es cas d’absence de lois de protection des données personnelles.  Les données personnelles circulent de plus en plus sur le globe terrestre puisqu’elles constituent une partie importante de l’économie mondiale.  Les règles internationales de protection des données, comme celles de l’OCDE et de l’Union européenne, ont été mises sur pied pour faciliter le transfert des données outre-frontières dans les conditions jugées appropriées.  Les dernières lignes directrices du Conseil du Trésor visaient à rencontrer les mêmes objectifs et nous espérons qu’elles feront partie intégrante dans l’actualisation de la Loi sur la protection des renseignements personnels.

Relations internationales

Au cours de la dernière année, nous avons reçu à plusieurs reprises des collègues d’autres pays afin de nous entretenir sur nos expériences respectives dans le domaine de la protection des données et de contribuer à l’élaboration de lois sur la protection des données. Avec la circulation internationale des données, il est de plus en plus important que, nonobstant différentes approches juridiques, nous atteignions des résultats harmonisés dans nos attentes sur le plan des activités de protection. Il sera important, pour nos échanges de données sur les citoyens, de pouvoir compter sur la surveillance effectuée par des autorités similaires à l’extérieur de notre juridiction afin de garantir la protection de la vie privée des Canadiennes et des Canadiens.

En octobre et novembre, nous avons reçu / étions l’hôte d’un analyste de politiques de la Commission nationale de l’informatique et des libertés (CNIL)l’autorité indépendante de la France. Ce fut un honneur de recevoir le président de la CNIL, Monsieur Alex Türk; nous avons pu comparer nos différentes approches concernant l’application de la loi. En décembre, nous avons accueilli deux agents principaux de l’institut fédéral mexicain pour l’accès aux renseignements publics, qui voulaient connaître le fonctionnement de base de notre système. En effet, le Mexique envisage d’adopter une loi en matière de protection des données; il a soumis un projet de loi au Congrès mexicain. Après la visite de ces deux représentants, nous nous sommes préparés à la visite d’une délégation plus nombreuse venue passer trois jours au Canada en mai 2006.

Nous attendons avec impatience la Conférence internationale des commissaires à la protection des données et de la vie privée dont nous serons les hôtes en septembre 2007. À cette occasion, de nombreux spécialistes de la protection de la vie privée et des données se rencontreront à Montréal. Cette conférence sera une excellente occasion pour les Canadiennes et les Canadiens du / en provenance du gouvernement, du secteur privé, de la société civile et du milieu universitaire de se rencontrer et de profiter de l’expertise des différents participants. Nous continuerons à travailler avec nos collègues à l’élaboration d’un programme d’échanges, une façon très utile et relativement peu coûteuse d’élaborer des approches harmonisées, d’échanger des connaissances et de créer des liens efficaces.

Appareils d'identification par radiofréquence (AIRF)

Nous procédons depuis un certain temps à l’analyse de l’incidence potentielle sur la protection de la vie privée des appareils d’identification par radiofréquence et des modes d’application de nos lois à cet effet. Ces dispositifs pourraient faire l’objet d’un usage très répandu dans les produits de consommation au Canada. Quant au secteur public, il a été suggéré d’intégrer des AIRF aux passeports et aux cartes de passage à la frontière. Nous avons versé une fiche d’information à notre site Web et nous préparons actuellement d’autres directives qui seront publiées au cours de l’année.

Lignes directrices en matière de vidéosurveillance

Le Commissariat a travaillé en collaboration avec la Gendarmerie royale du Canada (GRC) à l’élaboration de lignes directrices sur la surveillance vidéo dans les lieux publics. Nous avons affiché ces lignes directrices dans notre site Web et nous continuons à examiner l’utilisation accrue des caméras et les progrès technologiques qui permettent d’effectuer facilement ce genre de surveillance dans les lieux publics, mais aussi dans les magasins, les lieux de travail et presque tous les types d’installations pour lesquels la protection de l’infrastructure est essentielle, des pipelines aux sites nucléaires. L’augmentation de la puissance de ces caméras, la réduction des coûts de stockage de données, la conception de logiciels efficaces de reconnaissance faciale et de reconnaissance des habitudes migratoires, le tout associé à la facilité avec laquelle les caméras à distance peuvent maintenant être liées au Web, rendent certainement possibles la création de puissants réseaux de surveillance. Nous avons constaté un intérêt croissant pour la vidéosurveillance au Canada; aussi, allons-nous élaborer d’autres directives à cet égard.

Gestion de l'identité et lutte contre le crime et la terreur

La gestion de l’identité compte parmi les principaux thèmes étudiés dans le cadre des analyses de la recherche et des politiques menées cette année. Au cours des 23 dernières années, le Commissariat s’est penché sur ce sujet sous divers angles, depuis l’analyse de l’utilisation du numéro d’assurance sociale jusqu’au mémoire du Commissariat sur la carte d’identité biométrique. Cette année, nous avons décidé de faire de la gestion de l’identité le prochain élément central du programme de la Direction de la recherche et des politiques. Voici quelques exemples d’expériences réalisées en 2005-2006 qui nous ont menés à cette conclusion.

Nous avons été submergés par les enjeux liés à la sécurité frontalière : nous avons effectué une vérification de l’Agence des services frontaliers du Canada, présentée plus loin dans le présent rapport; nous avons fait part de nos observations sur les multiples théories relatives à la carte frontalière canado-américaine proposée; nous avons posé des questions à Transports Canada concernant les listes de zones d’interdiction aérienne. Même s’il est tout à fait légitime pour un état souverain de vouloir confirmer l’identité des personnes qui entrent sur son territoire, nous craignons qu’une telle carte, une fois établie, soit exigée dans une foule de nouvelles situations. Nous avons remarqué que la crainte à l’égard d’activités terroristes et criminelles éventuelles nous pousse à vouloir faire la lumière sur tout et à tout vouloir identifier, comme le ferait un enfant qui craint l’obscurité. Il n’a pourtant pas été démontré clairement que l’identification de chaque individu nous permettrait de distinguer les bons des mauvais, bien que dans certains cas, l’identification pourrait effectivement aider à prévenir la fraude. Néanmoins, nous consacrons une part considérable de notre temps à disséquer les raisons d’être de ces nouvelles cartes, des nouveaux systèmes de gestion de l’identité, des nouveaux registres de personnes, et à réagir à la perte progressive de l’anonymat dans les transactions de la vie quotidienne.

On pourrait évidemment remarquer que, en ce qui concerne les listes de zones d’interdiction aérienne, par exemple, si une personne est trop dangereuse pour se trouver à bord d’un avion, elle risque d’être également trop dangereuse pour monter à bord d’un métro ou d’un train. Où nous mènera ce genre de réflexion? Lorsqu’on se penche sur l’utilisation, dans d’autres juridictions, de puces d’IRF insérées aux plaques d’immatriculation de véhicules motorisés permettant de suivre les allées et venues des véhicules sur les routes et les autoroutes, n’est-il pas normal de se demander si ces dispositifs finiront par être incorporés aux personnes? Ces questions méritent d’être posées; sans doute est-il de notre devoir de le faire.

À l’égard des questions que nous avons fait parvenir à Transports Canada au sujet de la liste de zones d’interdiction aérienne,  la commissaire a affirmé publiquement, en août 2005, que cette liste pourrait constituer une « grave immixtion entravant les droits des voyageurs au Canada, le droit à protection de la vie privée et le droit à la liberté de mouvement ». En mai 2006, nous avons reçu une évaluation des facteurs relatifs à la vie privée concernant ce projet; nous procédons actuellement à l’examen de ce dernier.

Dans ses activités quotidiennes habituelles, le gouvernement fédéral travaille à l’amélioration de la prestation de services électroniques. Service Canada s’affaire à mettre en œuvre la prestation de services intégrée afin d’offrir aux Canadiennes et aux Canadiens quelque chose qui ressemble au « guichet unique » que l’on trouve actuellement dans les supermarchés. L’architecture qui sous-tend ces groupes de services continuera de nous mettre à l’épreuve dans nos efforts pour simplifier le processus sans favoriser la création d’une architecture panoptique grâce à laquelle l’autorité centrale, le gouvernement, peut tout voir.

Les chefs de file des technologies de l’information, comme Microsoft et IBM, présentent entre autres, de nouveaux cadres de gestion de l’identité permettant de composer avec les problèmes liés à la fraude, aux pourriels et à la convivialité, entre autres. Les sociétés de télécommunications, réagissant à nos propres préoccupations en ce qui concerne la communication de renseignements personnels uniquement à la personne concernée, mettent au point de nouveaux modes d’authentification plus rigoureux. Le gouvernement demande aux banques de fournir davantage de données au sujet des personnes et de leurs transactions. En prévision de l’examen de la Loi en 2006, nous avons examiné les dispositions législatives régissant la déclaration des crimes financiers, et nous demeurons préoccupés par les pouvoirs de surveillance des transactions financières que prévoit cette loi. Combien de Canadiennes et de Canadiens savent vraiment où se retrouvent les données financières les concernant et ce qu’il advient de l’information communiquée par les banques, les comptables, les avocats et d’autres intervenants du secteur privé au sujet de leurs clients?  Même si les données étaient gérées parfaitement et que nous avions le temps d’en arriver à la conclusion que ces données font bel et bien l’objet d’une gestion efficace au moyen de vérifications des intervenants désignés, il n’en demeure pas moins que, dans notre démocratie, très peu de personnes saisissent l’ampleur de la croissance des activités de surveillance et de collecte de données, ce qui demeure en soi source d’inquiétudes.

À l’occasion, lorsque nous rencontrons nos collègues du gouvernement afin de discuter de nouvelles initiatives, nous posons des questions qui peuvent sembler quelque peu choquantes. Le Canada n’est d’aucune façon un État oppressif, et les représentants du gouvernement fédéral nous impressionnent énormément par leur désir de maintenir la protection de la vie privée, de comprendre les répercussions d’infrastructures technologiques complexes, et par leur respect à l’égard des droits de la personne et des libertés civiles. Mais le prix de la liberté est, effectivement, la vigilance éternelle. Jusqu’où la soif d’identification et de surveillance des transactions nous mènera-t-elle? Nous est-il possible de gérer cette diversité d’activités et d’en arriver à établir une approche relative à l’identité et à l’authentification que nous oserions qualifier de complète?

Nous allons certainement essayer. Beaucoup d’efforts ont été déployés en ce sens dans d’autres juridictions.  Nous nous réjouissons de savoir que le Secrétariat du Conseil du Trésor se penche sur certains de ces enjeux au Canada et nous espérons pouvoir faire notre part en présentant notre point de vue à l’égard de la protection de la vie privée. Les enjeux relatifs à l’identité demeurent néanmoins une question complexe.

Plaintes

Depuis 1983, le Commissariat à la protection de la vie privée du Canada enquête sur des plaintes relatives à des renseignements personnels détenus par les ministères et organismes fédéraux. La Loi sur la protection des renseignements personnels (la Loi) régit la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels dans le cadre de l’administration des programmes gouvernementaux, et accorde aux citoyens le droit d’accéder aux renseignements personnels que le gouvernement détient à leur sujet. La commissaire à la protection de la vie privée du Canada traite habituellement les plaintes déposées par des citoyens, mais elle peut de sa propre initiative, également, déposer elle-même une plainte ou enquêter lorsqu’une situation lui donne des motifs raisonnables de croire qu’il y a eu infraction à la Loi sur la protection des renseignements personnels. 

La commissaire à la protection de la vie privée est un ombudsman qui règle les plaintes par, dans la mesure du possible, la médiation, la négociation et les discussions persuasives. Toutefois, la Loi lui confère de vastes pouvoirs d’enquête pour mener à bien son mandat. La commissaire peut assigner et contraindre des témoins à comparaître; elle peut pénétrer dans des locaux pour obtenir des documents ou mener des entrevues. Elle peut également émettre des recommandations – ce qu’elle fait régulièrement – visant à modifier les pratiques de traitement des renseignements personnels des institutions gouvernementales.

Définition des types de plaintes

Les plaintes adressées au Commissariat sont réparties en trois grandes catégories :
Accès :

• Accès - Une personne n’a pas obtenu tous les renseignements personnels qu’une institution détient à son sujet parce qu’il manque des documents ou des renseignements ou encore parce que l’organisation a invoqué des exceptions afin de ne pas communiquer les renseignements. 
• Correction/annotation - L’institution n’a pas apporté les corrections aux renseignements personnels ou ne les a pas annotés parce qu’elle n’approuve pas les corrections demandées. 
• Langue - Les renseignements personnels n’ont pas été fournis dans la langue officielle demandée.
• Frais - Des frais ont été exigés pour répondre à la demande de renseignements effectuée en vertu de la Loi sur la protection des renseignements personnels; aucun frais n’est présentement prévu pour l’obtention de renseignements personnels. 
• Répertoire - InfoSource ^{Note de bas de page 1} ne décrit pas de façon adéquate le fonds de renseignements personnels que détient une institution. 

Protection des renseignements personnels :

• Collecte - Une institution a recueilli des renseignements personnels qui ne sont pas nécessaires à l’exploitation d’un de ses programmes ou à l’une de ses activités; les renseignements personnels n’ont pas été recueillis directement auprès de la personne concernée; ou la personne n’a pas été informée des fins pour lesquelles les renseignements personnels ont été recueillis. 
• Conservation et retrait - Des renseignements personnels ne sont pas conservés selon les calendriers de conservation et de destruction (approuvés par les Archives nationales et publiés dans InfoSource) : ils sont détruits trop rapidement ou conservés trop longtemps. 

• De plus, les renseignements personnels utilisés à des fins administratives doivent être conservés pendant au moins deux ans après la dernière application d’une mesure administrative, à moins que la personne n’ait consenti à leur retrait. 

• Utilisation et communication - Des renseignements personnels sont utilisés ou communiqués sans le consentement de la personne qu’ils concernent et ne satisfont pas à l’un des critères de communication permise sans consentement, tels qu’énoncés au paragraphe 8(2) de la Loi.     

Délais :

• Délais - L’institution n’a pas répondu dans les délais prescrits.
• Avis de prorogation - L’institution n’a pas donné une justification appropriée pour la prorogation; elle a fait la demande de prorogation après le délai initial de 30 jours, ou elle a fixé l’échéance à plus de 60 jours de la date de réception de la demande. 
• Correction/annotation - délais - L’institution n’a pas corrigé les renseignements personnels ou n’a pas annoté le dossier dans les 30 jours suivant la réception de la demande de correction. 

Plaintes reçues entre le 1er avril 2005 et le 31 mars 2006
En 2005-2006, le Commissariat a reçu 1 028 plaintes, soit 549 plaintes de moins qu’au cours de l’exercice précédent. À cette diminution de 35 % par rapport à l’exercice précédent correspond un nombre moins élevé de plaintes relatives à l’accès aux renseignements personnels, à leur utilisation et à leur communication ainsi qu’aux délais pour l’obtention de renseignements. Contrairement à l’exercice précédent, le Commissariat n’a pas reçu de groupes de plaintes, d’où, possiblement, la diminution du nombre de plaintes reçues. 

À l’instar des années précédentes, le type de plainte le plus courant est le non-respect des institutions du délai de trente jours prévu par la Loi pour répondre aux demandes d’accès à des renseignements personnels. Les plaintes pour non-respect du délai, ainsi que les plaintes pour refus d’accès à des renseignements personnels et pour utilisation et communication inappropriées de renseignements personnels, représentent 89 % du nombre total de plaintes reçues. Les chiffres de l’exercice 2004-2005 montrent une répartition similaire, ces types de plainte représentant alors 85 % du total.

Les dix institutions ayant reçu le plus de plaintes, par type de plainte.
Le tableau ci-dessous présente les institutions gouvernementales ayant reçu le plus de plaintes au cours de l’exercice se terminant le 31 mars 2006.

* Un grand nombre des plaintes visant la Commission de l’immigration et du statut de réfugié du Canada ont été déposées par une seule et même personne.

Le nombre de plaintes visant les institutions ne signifie pas que celles-ci ne respectent pas la Loi sur la protection des renseignements personnels. En raison de leur mandat, certaines de ces institutions détiennent une quantité considérable de renseignements personnels sur des citoyens; elles sont donc plus susceptibles de recevoir de nombreuses demandes d’accès à ces renseignements personnels. Compte tenu du volume de renseignements qu’elles détiennent, on peut s’attendre à ce que ces institutions fassent l’objet d’un plus grand nombre de plaintes concernant la collecte, l’utilisation, la communication, la conservation et la destruction de renseignements personnels, ainsi que de plaintes relatives à l’accès aux renseignements personnels.

Plaintes reçues par institution gouvernementale
Le tableau ci-dessous indique le nombre réel de plaintes déposées contre les institutions et organismes gouvernementaux au cours de l’exercice se terminant le 31 mars 2006.

Plaintes reçues selon leur origine
Du 1er avril 2005 au 31 mars 2006

Le tableau ci-dessous montre la province ou le territoire d’origine des plaintes reçues au cours de la période visée par le rapport. À noter que certaines plaintes reçues ont été déposées par des personnes vivant à l’extérieur du Canada. La Loi sur la protection des renseignements personnels couvre également les renseignements personnels que détient le gouvernement du Canada sur des Canadiennes et des Canadiens vivant à l’étranger.

Près de 80 % des plaintes proviennent des provinces du Québec, de l’Ontario et de la Colombie-Britannique, ainsi que de la région de la capitale nationale. Cette tendance correspond à ce que nous avons constaté au cours des cinq dernières années, c’est-à-dire que le Québec, l’Ontario et la Colombie-Britannique sont, à une exception près, les provinces d’où proviennent la grande majorité des plaintes reçues. L’exception ci-mentionnée est survenue au cours de l’exercice 2003-2004 : l’Alberta, et non l’Ontario, occupait la troisième place. 

Plaintes traitées entre le 1er avril 2005 et le 31 mars 2006
Au cours du dernier exercice, nous avons traité 1 040 plaintes, soit à peu près le nombre de plaintes que nous avons reçus pendant cette période. 

Bien que le Commissariat ait traité autant de plaintes déposées en vertu de la Loi sur la protection des renseignements personnels qu’il en a reçu, il procède, en fin d’exercice, au suivi d’un nombre considérable de cas – soit 1 263. La conduite d’un examen approfondi des processus opérationnels de la Direction en début d’année a permis d’évaluer les ressources nécessaires et de trouver des moyens de traiter notre charge de travail accumulée. L’examen a également permis de déterminer un besoin en ressources supplémentaires. Aussi, d’intenses procédures de dotation ont été amorcées en vue du recruter, d’embaucher et de former de nouveaux enquêteurs. Nous sommes déterminés à traiter l’arriéré de cas d’ici deux ans. 

Définitions des conclusions et d'autres dispositions en vertu de la Loi sur la protection des renseignements personnels

Le Commissariat a élaboré une série de définitions de conclusions qui expliquent les résultats des enquêtes qu’il effectue en vertu de la Loi sur la protection des renseignements personnels.

Réglée rapidement : s’applique aux cas où l’affaire est réglée avant même qu’une enquête officielle ne soit entamée. Par exemple, si une personne dépose une plainte dont le sujet a déjà fait l’objet d’une enquête par le Commissariat et a été considéré conforme à la Loi sur la protection des renseignements personnels, nous expliquons la situation à cette personne. Il nous arrive également de recevoir des plaintes pour lesquelles une enquête officielle aurait pu avoir des conséquences défavorables pour la personne. En pareil cas, nous expliquons en détail la situation au plaignant. Si ce dernier décide de ne pas poursuivre l’affaire, celle-ci est  jugée « réglée rapidement ».

Non fondée : l’enquête n’a pas permis de déceler des éléments de preuve qui suffisent à conclure que l’institution fédérale n’a pas respecté des droits d’un plaignant selon la Loi sur la protection des renseignements personnels.

Fondée : l’institution fédérale n’a pas respecté les droits d’une personne aux termes de la Loi sur la protection des renseignements personnels.

Fondée et résolue : les allégations sont corroborées par l’enquête et l’institution fédérale accepte de prendre des mesures correctives afin de remédier à la situation.

Résolue : après une enquête approfondie, le Commissariat a participé à la négociation d’une solution satisfaisant les deux parties. Cette conclusion est réservée aux plaintes qu’on pourrait difficilement qualifier de fondées du fait que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.

Réglée en cours d’enquête : le Commissariat a participé à la négociation d’une solution satisfaisant toutes les parties dans le cadre de l’enquête. Aucune conclusion n’est rendue.

Abandonnée : l’enquête a pris fin avant que toutes les allégations soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons. Par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire, ou il est impossible de le trouver afin qu’il fournisse des renseignements supplémentaires essentiels pour arriver à une conclusion.

Conclusions selon le type de plainte

Les tableaux ci-dessous donnent les résultats de nos enquêtes selon les différents types de plaintes que nous recevons. Le premier tableau donne tous les types de plaintes; le deuxième représente les plaintes relatives à l’accès et à la protection des renseignements personnels; le troisième tableau présente les plaintes strictement liées aux délais. Nous présentons nos statistiques ainsi réparties pour la première fois afin d’illustrer le nombre important de plaintes liées aux délais.

Plaintes fermées - tous les types de plaintes
Du 1er avril 2005 au 31 mars 2006

Plaintes fermées - accès et protection des renseignements personnels
Du 1er avril 2005 au 31 mars 2006

Le tableau montre clairement qu’il y a beaucoup plus de plaintes non fondées que de plaintes fondées : 218 et 51 respectivement. Ce nombre inclut les plaintes fondées et résolues. De plus, un grand nombre de plaintes sont réglées d’une façon ou d’une autre (abandonnées, réglées rapidement, réglées ou réglées en cours d’enquête) : 234 plaintes sur 503, soit 47 %. En examinant les résultats, nous pouvons conclure que seulement 10 % des plaintes adressées au Commissariat sont fondées. Selon nous, ces chiffres démontrent clairement que les institutions fédérales observent généralement la Loi.

L’annexe 1 donne une ventilation détaillée, par ministère, des plaintes relatives à l’accès ou à la protection des renseignements personnels qui ont été fermées.

Plaintes fermées - délais
Du 1er avril 2005 au 31 mars 2006

Il est important de souligner que parmi les 537 plaintes déposées, 75 % étaient fondées. Étant donné leur nature, la majorité des plaintes liées aux délais sont fondées. Les institutions disposent de 30 jours, à compter de la date de réception des demandes, pour fournir aux personnes qui en font la demande l’accès à leurs renseignements personnels. En général, personne ne dépose ce genre de plainte à moins qu’il y ait eu un retard dans le traitement de la demande. Les exceptions faisant en sorte qu’une telle plainte serait jugée non fondée concernent soit les situations où une prorogation légitime accorde un délai additionnel de 30 jours pour répondre à une demande, soit les situations où les plaignants n’ont pas prévu le temps d’expédition par la poste. En effet, le délai de 30 jours commence à la date à laquelle l’institution reçoit la demande de renseignements.

Le CPVP demeure toutefois préoccupé par le nombre de plaintes liées aux délais déposées contre certaines institutions, bien que plusieurs d’entre elles aient pris des mesures afin de combler le manque de ressources. Il est notoire que le processus de dotation dans la fonction publique est considérablement long, tout comme la formation des nouveaux employés. Il subsiste donc un décalage entre le moment où l’on détermine les besoins en ressources et celui où l’on réussit à augmenter la productivité et à réduire les arriérés. Le CPVP continuera, au cours de la présente année, à surveiller et à évaluer le respect des délais prévus par la Loi sur la protection des renseignements personnels.

L’annexe 1 donne une ventilation détaillée, par ministère, des plaintes liées aux délais.

Durée de traitement des enquêtes faisant suite à des plaintes — Loi sur la protection des renseignements personnels

Les tableaux ci-dessous indiquent la durée moyenne (en mois) d’une enquête faisant suite à une plainte, à compter de la date de réception de la plainte jusqu’à la date à laquelle une conclusion est formulée. Le premier tableau donne une ventilation par conclusion; le deuxième, par type de plainte.

Par conclusion
Pour la période du 1er avril 2005 au 31 mars 2006.

Par type de plainte
Pour la période du 1er avril 2005 au 31 mars 2006.

*   Le délai de traitement pour ce genre de plainte se fonde sur cinq cas.
**   Le délai de traitement pour ce genre de plainte se fonde sur un seul cas. 

Les durées de traitement ci-dessus constituent une source de préoccupation : il s’écoule en moyenne 10,5 mois entre la date de réception d’une plainte et la date à laquelle une conclusion est formulée. La ventilation par conclusion indique que les plaintes donnant lieu à une enquête complète – c’est-à-dire celles appartenant aux catégories fondée et résolue, réglée, non fondée et réglée en cours d’enquête –exigent en moyenne plus d’une année de travail. Le temps de traitement des plaintes dites réglées témoigne de la pratique de longue date du Commissariat qui est de ne pas considérer un cas réglé tant que l’enquête n’est pas officiellement terminée. Toutefois, il nous fait plaisir d’annoncer un changement à cette pratique : une plainte peut désormais être réglée à n’importe quel moment pendant l’enquête, ce qui devrait réduire le temps de traitement des plaintes réglées. 

Suivi après l’enquête
Le traitement d’une plainte ne se termine pas nécessairement à la fin de l’enquête. Toutes les plaintes pour collecte, utilisation, communication ou conservation inappropriée de renseignements personnels qui sont jugées fondées sont envoyées à la Direction de la vérification et de la revue pour être examinées. La Direction peut ainsi déceler des tendances et établir des modèles de comportement liés à des situations d’atteinte à la protection de la vie privée, et utiliser les résultats des examens pour la planification et l’élaboration des vérifications de l’année à venir.

Cas choisis — Loi sur la protection des renseignements personnels

Les résumés de cas ci-dessous constituent un échantillon des plaintes déposées auprès du Commissariat et exemplifient l’approche adoptée pour traiter différentes questions relatives à la protection des renseignements personnels dans le secteur public. Ces cas démontrent à quel point il est important pour les institutions et les organismes gouvernementaux de faire preuve de vigilance dans le traitement des renseignements personnels; un manque de vigilance peut entraîner des conséquences néfastes, comme ces cas en témoignent.

Abonnés obligés de fournir des renseignements pour renouveler un abonnement à un bulletin électronique de nouvelles

Le Commissariat a appris que le MAECI demandait aux abonnés canadiens de son bulletin électronique de nouvelles de fournir leur adresse électronique, le nom de leur ville et de leur province de résidence, leur code postal, leur numéro de téléphone et des renseignements sur l’entreprise à laquelle ils sont associés. Les abonnés étrangers devaient uniquement fournir leur adresse électronique et le nom de leur pays d’origine. Nous avons pu confirmer que la demande d’abonnement était refusée en l’absence de ces renseignements.

Le MAECI a expliqué que les numéros de téléphone étaient nécessaires pour communiquer avec les abandonnés dans l’éventualité de problèmes techniques avec les adresses électroniques. Les codes postaux et les renseignements sur l’entreprise servaient à cibler une région ou un type d’entreprise pour la transmission de communiqués.

Le Commissariat a conclu qu’en vertu de la Loi, le MAECI était autorisé à recueillir des renseignements sur les abonnés afin de faciliter l’accès aux communiqués et leur diffusion. La plainte a donc été jugée non fondée. Nous étions toutefois satisfaits de savoir que le MAECI reconnaissait que l’emploi du mot « facultatif » dans les avis portait à confusion; il s’agissait en réalité du processus d’inscription à l’abonnement qui était facultatif. Le MAECI a depuis modifié ses avis en conséquence.

Obligation injustifiée de fournir le numéro d’assurance sociale

En vertu de ce programme, certains membres des Forces canadiennes peuvent obtenir le remboursement des frais de garde de leurs enfants lorsqu’ils sont en service loin de la maison. Pour profiter de ce programme, les membres doivent présenter des reçus et remplir un formulaire du MDN dans lequel on demande des renseignements sur la personne qui garde l’enfant, dont son nom, numéro d’assurance sociale ou numéro d’entreprise.

Au cours de notre enquête, le MDN a indiqué qu’il n’était pas nécessaire, aux fins de son programme d’aide aux familles, d’obtenir le numéro d’assurance sociale du gardien ou de la gardienne d’enfants. Il a donc accepté de modifier son formulaire en conséquence et a avisé ses employés de ne plus demander le numéro d’assurance sociale de leur gardien(ne). Le Ministère a également affirmé que le père en question n’avait pas inscrit le numéro d’assurance sociale de la plaignante dans le formulaire.

La plaignante étant satisfaite de l’issue de la plainte, celle-ci est considérée réglée.

Une enquête effectuée par suite d’une plainte relative aux droits de la personne mène à la communication de renseignements sur un employé

Le Commissariat a appris que l’employée de la SCP avait déposé une plainte relative aux droits de la personne contre son employeur sur la question de l’obligation de prendre des mesures d’adaptation dans une situation d’invalidité médicale. Dans le cadre de l’enquête que le Commissariat a effectuée sur les circonstances ayant mené au dépôt d’une plainte relative aux droits de la personne, une autre question est entrée en jeu, à savoir si l’employée avait occupé un autre emploi pendant son congé d’invalidité.

Conformément aux principes de base sur l’équité des procédures applicables aux enquêtes, les enquêteurs sont tenus d’expliquer la nature et la portée de leur enquête afin d’obtenir de l’information juste et appropriée. 

Afin de vérifier les faits, la SCP a communiqué avec l’autre organisme pour en savoir davantage sur les fonctions de la plaignante. La SCP a informé l’organisme? qu’elle faisait enquête par suite d’une plainte relative aux droits de la personne déposée contre elle sur la question du congé d’invalidité; elle lui a indiqué la nature de l’information qu’elle souhaitait obtenir. Avant de communiquer à la SCP de l’information sur la plaignante, l’organisme a demandé à celle-ci son consentement et a fait allusion au congé d’invalidité qu’elle aurait obtenu. Nous avons toutefois conclu que l’organisme avait déduit cette situation, puisque rien n’indiquait que la SCP ait mentionné que la plaignante avait pris un congé d’invalidité.

Puisque les renseignements que la SCP a fournis à l’organisme au sujet de la plaignante étaient nécessaires et directement liés à la tenue de l’enquête sur la plainte relative aux droits de la personne, le Commissariat a conclu que le droit à la protection de la vie privée de la plaignante n’avait pas été bafoué. La plainte est jugée non fondée.

Une débitrice allègue qu’une agente de recouvrement a communiqué ses renseignements personnels

Le Commissariat a appris que la plaignante devait de l’argent à l’ARC en raison d’un versement excédentaire qu’elle avait obtenu dans le cadre de la prestation fiscale canadienne pour enfants. Elle y était admissible alors qu’elle était mariée, mais a continué à obtenir des versements suite à son divorce, malgré qu’elle n’avait pas la garde de ses enfants. L’ARC a découvert l’erreur lorsque l’ex-mari de la plaignante, ainsi que la mère de celui-ci qui avait alors la garde des enfants, ont fait une demande de prestation fiscale. L’ARC a récupéré une partie des paiements en trop, mais, au bout d’un certain temps, ses lettres de demandes de paiement lui sont revenues, non décachetées.

Une agente de recouvrement de l’ARC a été chargée du dossier et a téléphoné à l’ancienne belle-mère de la plaignante, dont le nom figurait aux dossiers de l’ARC à titre de prestataire actuelle. L’agente de recouvrement a fait savoir au Commissariat qu’elle s’était identifiée auprès de la belle-mère avant de préciser qu’elle cherchait à obtenir les nouvelles coordonnées de la plaignante. Cette dernière a affirmé que l’agente de recouvrement a alors communiqué ses renseignements fiscaux personnels relatifs aux prestations. Toutefois, l’agente et la belle-mère ont nié cette affirmation. Elles affirment toutes deux que la belle-mère a immédiatement déduit les raisons pour lesquelles l’agente tentait de joindre sa belle-fille, et que lorsque la belle-mère a interrogé l’agente à ce sujet, celle-ci lui a répondu qu’elle ne pouvait pas divulguer d’information.

En vertu de la Loi sur l’impôt sur le revenu, la responsabilité de percevoir les impôts payables au gouvernement du Canada a été déléguée aux agents de recouvrement de l’ARC. Dans la présente situation, les faits démontrent que l’agente de recouvrement de l’ARC n’a fourni à la belle-mère aucun détail sur la plaignante ou sur son dossier fiscal. À notre avis, l’agente de recouvrement a respecté les principes fondamentaux d’équité procédurale applicables aux enquêtes. L’agente de recouvrement de l’ARC s’est simplement identifiée comme telle, puis a demandé à obtenir des renseignements pour pouvoir joindre la plaignante. Par conséquent, le Commissariat juge la plainte non fondée.

La Commission de la fonction publique communique des renseignements personnels dans le cadre d’une vérification

La CFP a effectué une vérification des mesures de dotation d’un organisme gouvernemental de petite taille. Dans son rapport de conclusions, la Commission donne des exemples de mesures de dotation bien définies visées par sa vérification. Le Commissariat a conclu que même si le rapport ne contenait aucun nom, l’information était suffisamment détaillée pour que des personnes puissent être identifiées. En outre, puisque la vérification a été rendue publique, les conclusions ont également été rapportées par les médias. 

Les vérifications soulèvent rarement des aspects positifs; il n’est pas rare que les exemples donnés à l’appui d’une vérification présentent des situations sous un angle péjoratif. Ce n’est pas problématique en soi si une vérification porte sur les processus de dotation d’institutions fédérales qui emploient des centaines de personnes pour différentes classifications d’emploi. Cependant, lorsqu’un organisme de petite taille est visé, les conséquences diffèrent : remettre en question le processus de sélection pour un poste lorsqu’un candidat est identifiable a des répercussions directes sur la perception des compétences et des qualifications de cette personne.

Le Commissariat a conclu que l’information divulguée suite à la vérification de la CFP constitue clairement des renseignements personnels et que le consentement des personnes concernées aurait dû être obtenu avant que l’information ne soit communiquée. Les plaintes sont donc jugées fondées.

À la satisfaction du Commissariat, la CFP exige désormais que les vérifications soient examinées par son équipe responsable de l’accès à l’information et de la protection de la vie privée avant toute communication afin de déterminer si elles contiennent de l’information visée par la Loi sur la protection des renseignements personnels.

Le gouvernement a le droit de surveiller l’utilisation de ses systèmes de courrier électronique

Le Commissariat a établi que la politique de surveillance de l’ASFC est fondée sur deux politiques du Conseil du Trésor, soit la Politique du gouvernement sur la sécurité et la Politique d’utilisation des réseaux électroniques. Ces politiques établissent clairement que les ministères doivent effectuer une surveillance active et des vérifications internes de leurs programmes de sécurité. Ainsi, les réseaux électroniques peuvent être surveillés pour des raisons opérationnelles et pour évaluer le respect des politiques. Pour la réalisation des analyses de routine, il n’y a aucune lecture de contenu. Néanmoins, si une analyse de routine ou une plainte fournit des motifs raisonnables de croire qu’une personne utilise indûment le réseau, l’affaire fait l’objet d’une enquête, et il peut s’ensuivre des mesures de surveillance spéciales et/ou la lecture du contenu des courriels. Dans le cas qui nous occupe, l’ASFC a affirmé que les courriels personnels du plaignant n’ont jamais été lus.

L’ASFC a souligné que les courriels constituent un outil de communication organisationnel fourni aux employés aux fins d’activités gouvernementales officielles. L’Agence autorise l’utilisation du système de courriels à des fins personnelles, mais de façon restreinte et à condition que les politiques et dispositions légales applicables à l’Agence soient respectées et que le rendement de l’employé n’en souffre pas.

Le Commissariat a conclu que l’ASFC faisait preuve d’équité et de transparence en informant ses employés de ses pratiques de surveillance par le biais de l’avis électronique et en versant à son site intranet les directives s’appliquant à son réseau électronique. Par conséquent, les employés sont parfaitement en mesure d’évaluer le niveau de protection de leur vie privée au sein de l’ASFC. Le Commissariat a jugé que la plainte était non fondée.

Incidents en vertu de la Loi sur la protection des renseignements personnels

Outre les plaintes individuelles, le Commissariat fait enquête sur des incidents relatifs à une mauvaise gestion des renseignements personnels. Diverses sources, dont les médias, portent ces incidents à notre attention, ou alors les institutions elles-mêmes nous les signalent directement. Les incidents portent notamment sur la collecte, l’utilisation et la communication inadéquates de renseignements personnels. Ils soulèvent souvent un problème systémique ou une violation jusque-là inconnue de la protection la vie privée qui doit être corrigée dans les meilleurs délais. L’an dernier, le Commissariat a mené à terme 54 enquêtes de ce genre.

On nous a signalé plusieurs incidents relatifs au vol d’ordinateurs ou de mallettes, trois incidents portant sur des renseignements emmagasinés sur des disques informatiques partagés, et deux incidents de vente de télécopieurs dont la mémoire contenait des renseignements personnels. On trouvera une description de ces cas ci-dessous.

Le Centre de distribution des biens de la Couronne vend des rouleaux de papier Thermofax pour télécopieurs contenant des renseignements personnels

RHDCC a adopté plusieurs mesures pour s’assurer que ce genre de situation ne se reproduise pas. Une politique modifiée, laquelle vise RHDCC, Développement social Canada et Service Canada, insiste sur la nécessité de vérifier l’équipement  excédentaire et d’enlever et de détruire comme il se doit la « mémoire » des appareils. Les fonctionnaires ont accepté d’effectuer un inventaire complet et une remise en état de tous les télécopieurs. Ils ont également communiqué avec le Centre de distribution des biens de la Couronne afin de récupérer tous les appareils semblables non vendus et vérifier si ces derniers renfermaient des renseignements personnels. Le Commissariat est convaincu que toutes les mesures appropriées ont été prises pour remédier à la situation et empêcher que cette situation ne se reproduise.

Cependant, en cours d’enquête, nous avons découvert que deux télécopieurs contenant des rouleaux Thermofax intacts provenant de l’Agence du revenu du Canada (ARC) avaient également été vendus par le Centre de distribution des biens de la Couronne. Là encore, le personnel n’était tout simplement pas au courant de la nécessité d’épurer les appareils. L’ARC a également modifié ses politiques et procédures concernant la liquidation de matériel contenant de la mémoire.

Compte tenu des vastes répercussions de cette affaire et de la probabilité que tous les ministères et organismes utilisent de l’équipement contenant une mémoire qui doit être éliminée, le Commissariat a mis au fait de cette situation la Direction des politiques de l’information, de la protection des renseignements personnels et de la sécurité du Secrétariat du Conseil du Trésor. Ce dernier examine actuellement la question et publiera un bulletin destiné à tous les ministères et organismes gouvernementaux.

En conclusion, cette situation souligne l’importance d’assurer la destruction de tous les renseignements personnels contenus dans les dispositifs électroniques de stockage de données que possèdent les institutions. La solution ne couvre peut-être pas tous les cas, mais il existe trois façons d’« épurer les appareils » ou de détruire les données électroniques :

• L’écrasement – entrer les chiffres 1 et 0 par-dessus les données.
• La démagnétisation – effacer magnétiquement les données à l’aide d’un démagnétiseur électrique.
• La destruction – destruction physique du dispositif de stockage.

Deux documents techniques renferment des conseils sur ces questions :

• Centre de la sécurité des communications – Effacement et déclassification des supports d’information électronique, que l’on peut consulter en ligne à l’adresse suivante : http://www.cse-cst.gc.ca/documents/publications/gov-pubs/itsg/itsg06.pdf
• U.S. Department of Defense Standard 5220.22-M – Advising Users on Computer Systems Technology, que l’on peut consulter en ligne à l’adresse suivante : http://www.qsgi.com/usdod_standard_dod_522022m.htm

Même si ces documents ne donnent pas de directives précises sur la destruction des rouleaux de papier thermique, les techniques générales qui y sont décrites (p. ex., le déchiquetage) devraient être facilement adaptables.

Vol d’un ordinateur portable contenant des renseignements sur les laissez-passer de sécurité pour les festivals de la CCN

L’enquête interne de la CCN a révélé qu’on avait procédé à d’importants travaux de construction dans l’immeuble en question au moment où le portable a été volé. Un plus grand nombre de personnes qu’en temps normal avaient accès à l’immeuble où se trouvait l’ordinateur, et il était donc difficile de déterminer qui aurait pu le prendre. La CCN a décidé d’accroître le niveau de sécurité dans cet immeuble. Le Commissariat a confirmé que la CCN avait également fait parvenir des lettres aux employés dont l’information avait été compromise, les dirigeant vers divers sites Web, dont le nôtre, pour trouver de l’information sur la protection contre le vol d’identité. On les a également dirigés vers le Bureau de l’accès à l’information et de la protection des renseignements personnels de la CCN pour y obtenir d’autres conseils. En outre, le Commissariat a recommandé à la CCN de faire une copie d’archive de cette banque d’information afin de prévenir toute perte future en cas de vol ou de destruction d’équipement.

Mallette et sac à dos contenant de l’information sur des détenus volés dans le coffre d’une voiture

Parmi les documents manquants se trouvait un rapport contenant de l’information sur huit détenus sous responsabilité fédérale. Le SCC a informé seulement deux d’entre eux de l’incident, car les autres étaient décédés. Les auteurs de l’examen effectué par le SCC en sont venus à la conclusion qu’il n’était pas approprié de transporter de l’information protégée dans un sac à dos et que ni le coffre d’une voiture ni une mallette ne sont des dispositifs approuvés pour entreposer de l’information protégée. Une mallette peut être utilisée pour transporter de tels renseignements; néanmoins, les employés responsables de la protection de l’information auraient dû retirer la mallette du véhicule en arrivant à destination. Par suite de cet incident, le SCC a décidé d’établir des lignes directrices plus précises concernant le transport et la garde des renseignements en dehors des bureaux du SCC.

Un employé du ministère de la Défense nationale (MDN) trouve des renseignements concernant les griefs à son intention sur un disque informatique partagé

Au cours de son enquête, le MDN a découvert que l’information était au départ inscrite sur un disque protégé avec accès partagé mais contrôlé, restreint aux personnes qui avaient besoin de cette information pour faire leur travail. À un moment donné, les serveurs ont été fusionnés, éliminant ainsi la protection anti-intrusion et rendant l’information disponible sur un disque partagé pendant un certain temps. C’est ainsi que l’employé a pu découvrir la liste.

Une fois avisé du problème, le MDN a immédiatement adopté des mesures pour retirer et détruire la liste. La liste de griefs a depuis été modifiée de façon à ce que l’identité des personnes qui déposent un grief ne soit plus révélée. Le MDN a rappelé aux employés responsables de la liste qu’il est impératif de protéger les renseignements personnels. Il a également écrit à l’employé pour lui expliquer la situation qui avait mené à l’accessibilité de ses renseignements sur un réseau partagé. Le MDN l’a également avisé de son droit de déposer une plainte officielle auprès du Commissariat.

Communications d'intérêt public en vertu de la Loi sur la protection des renseignements personnels

Les chefs des institutions gouvernementales disposent du pouvoir discrétionnaire de communiquer des renseignements personnels sans obtenir le consentement de la personne concernée lorsque la communication est à l’avantage de cette dernière, ou lorsque l’intérêt public prime sur la protection de la vie privée de la personne. Le chef de l’institution doit en aviser la commissaire à la protection de la vie privée au préalable, sauf en cas d’urgence. Le Commissariat examine les communications proposées et, s’il est jugé nécessaire de le faire, la commissaire à la protection de la vie privée avise la personne concernée par l’information. Le Commissariat avise également les institutions lorsqu’il estime que la quantité de renseignements personnels que l’on propose de communiquer excède ce qui satisfait aux questions d’intérêt public. Nous recommandons alors des mesures visant à réduire au minimum l’immixtion dans la vie privée de la personne. Nous avons traité plus tôt dans ce rapport des enjeux concernant cette disposition de la Loi sur la protection des renseignements personnels.

Nous avons effectué l’examen de 66 de ces avis, dont un grand nombre étaient classés dans deux catégories. La première concerne les personnes qui étaient soit illégalement en liberté, soit remises en liberté à la fin de leur peine. Toutes étaient considérées comme présentant un risque élevé de récidive et, par conséquent, un danger pour la collectivité. Nous avons reçu 17 avis de ce genre, dont la majorité provenaient de la Gendarmerie royale du Canada et du Service correctionnel du Canada (SCC).

Le deuxième groupe en importance est constitué des 13 avis provenant du SCC, de la Défense nationale et de la Commission nationale des libérations conditionnelles. Ces avis concernaient la communication de renseignements personnels à des membres de la famille de personnes récemment décédées afin de les informer des circonstances du décès et de les aider à faire leur deuil.

Sept autres avis concernaient la responsabilité gouvernementale à l’égard de questions comme l’enquête d’Ipperwash relative à l’assassinat de Dudley George, et la Commission d’enquête chargée d’examiner l’incendie à bord du HMCS Chicoutimi.

Notons également six autres avis sur des questions de santé, dont un provenait de Sécurité publique et Protection civile Canada, l’autre du ministère des Affaires étrangères et du Commerce international (MAECI), au sujet des risques à la santé des citoyens que pouvaient présenter des personnes atteintes de tuberculose.

Plusieurs autres avis ont également été émis, dont un du SCC renfermant des renseignements au sujet de la remise en liberté de Karla Homolka, à l’intention de l’avocat de ses victimes.

Processus d'enquête en vertu de la Loi sur la protection des renseignements personnels

Demandes de renseignements

La Direction des enquêtes et des demandes de renseignements répond aux demandes de renseignements du grand public au sujet de l’application de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le Commissariat reçoit chaque année des milliers de demandes de renseignements du public et d’organisations qui veulent obtenir des conseils sur des enjeux concernant la protection des renseignements personnels dans le secteur privé.

Au cours de l’exercice financier 2005-2006, le Commissariat a reçu 2 506 demandes de renseignements concernant la Loi sur la protection des renseignements personnels, soit un peu moins que les 2 976 demandes de renseignements reçues l’année précédente. En comparaison, nous avons reçu plus que le double du nombre de demandes de renseignements sur des questions touchant la LPRPDE (voir les statistiques dans notre rapport annuel 2005 sur la LPRPDE présenté au Parlement).

Le personnel responsable des demandes de renseignements répond peut-être à moins d’appels, mais il fournit plus d’information. Par suite de la décision prise en 2004 de ne plus accepter les demandes de renseignements par courriel, nous avons procédé à une restructuration du temps consacré par le personnel aux demandes de renseignements téléphoniques. Les personnes qui appellent demandent en général des explications plus longues et plus détaillées en réponse à leurs questions. En outre, un système téléphonique automatisé répond aux questions les plus fréquemment posées par le grand public, comme celles sur le vol d’identité, le télémarketing et le numéro d’assurance sociale. Notre site Web renferme également une vaste gamme de renseignements.

Sur l’ensemble des demandes de renseignements présentées en vertu de la Loi sur la protection des renseignements personnels, environ 25 % sont émises par écrit et 75 % par téléphone. En moyenne, nous répondons aux demandes de renseignements formulées par écrit dans un délai de trois mois. La majorité des personnes qui demandent des renseignements par téléphone reçoivent une réponse immédiate. Les autres, pour lesquelles nous devons mener certaines recherches, reçoivent une réponse dans les trois jours suivant leur appel.

Statistiques sur les demandes de renseignements
1er avril 2005 au 31 mars 2006

Vérification et examen

Il incombe au Commissariat à la protection de la vie privée du Canada d’effectuer la vérification des ministères et organismes fédéraux assujettis à la Loi sur la protection des renseignements personnels. Il peut également effectuer des vérifications d’organisations du secteur privé en vertu du paragraphe 18(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le Commissariat examine également les évaluations des facteurs relatifs à la vie privée (ÉFVP) préparées par les ministères ou organismes fédéraux. Il réalise en outre divers autres projets relatifs aux pratiques en matière de protection de la vie privée dans les secteurs public et privé.

Grâce à la fonction de vérification et d’examen, le Commissariat peut assumer son rôle de défenseur du droit à protection de la vie privée. Cette fonction consiste à mener, de manière indépendante et objective, des vérifications et des examens de systèmes de gestion des renseignements personnels afin de promouvoir la conformité aux lois, aux politiques et aux normes, mais aussi afin d’améliorer les pratiques en matière de protection de la vie privée et de reddition de comptes.

Au cours de l’exercice 2005-2006, le Commissariat a mené à terme une vérification majeure effectuée en vertu de la Loi sur la protection des renseignements personnels; il a complété l’essentiel de trois autres projets de vérification et entrepris un examen des entités fédérales non assujetties à la Loi sur la protection des renseignements personnels ou à la LPRPDE. Il a également effectué 43 examens d’évaluation des facteurs relatifs à la vie privée et 16 autres projets. Le personnel du Commissariat a également assuré la surveillance des activités relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor et d’autres ministères et organismes fédéraux.

Nécessité d'un cadre de gestion de la protection de la vie privée plus rigoureux

L’an dernier, le Commissariat a fait part de la nécessité d’établir un cadre de gestion de la protection de la vie privée pour le gouvernement fédéral. Nous avons précisé ce qu’est un cadre de gestion, en quoi il est important, et nous avons décrit les caractéristiques d’un cadre adéquat de protection de la vie privée. Nous avons également fait des observations sur certains enjeux à aborder en vue de renforcer la gestion de la protection de la vie privée au sein du gouvernement fédéral.

Le Secrétariat du Conseil du Trésor du Canada (STC) a pour responsabilité d’établir les orientations politiques en matière de protection de la vie privée et de fournir de l’encadrement aux institutions fédérales. L’an dernier, le Commissariat a recommandé au SCT d’élaborer un modèle de cadre pour orienter la gestion de la protection de la vie privée dans les ministères et organismes fédéraux. La direction du SCT a accepté cette recommandation, indiquant qu’elle s’était engagée à mettre de l’avant le concept du cadre proposé et qu’elle examinerait la portée et le processus d’un tel projet.

Bien que le Commissariat remarque le progrès effectué en ce sens, toutes les parties reconnaissent qu’il reste encore beaucoup à faire.

En décembre 2005, le SCT nous a informés que des fonctionnaires avaient commencé à examiner les concepts préliminaires étayant la conception et l’élaboration d’un cadre de gestion de la protection de la vie privée pour énoncer la vision et la stratégie du gouvernement en la matière. Ce cadre sous-tendra une infrastructure complète de gestion et de responsabilisation axée sur les risques en matière de protection des renseignements personnels afin de garantir l’équilibre qui convient entre le droit à la vie privée des Canadiennes et des Canadiens et d’autres objectifs et mandats associés à l’intérêt public et aux programmes du gouvernement. Un projet était déjà en cours de réalisation pour consolider et mettre à jour diverses politiques portant sur les évaluations des facteurs relatifs à la vie privée, le couplage de données, la protection des données et l’usage du NAS – soit des enjeux qui intéressent le CPVP.

Le SCT a consulté le CPVP lors de l’élaboration d’une stratégie fédérale en réponse aux préoccupations suscitées par la USA PATRIOT Act et la circulation transfrontalière de données (voir plus haut). Le gouvernement a bien réagi face à cet enjeu. À la fin de mars 2006, le SCT a publié sa stratégie et des lignes directrices à l’intention des institutions fédérales, les invitant à tenir compte de la protection des renseignements personnels avant de conclure des contrats. Ces documents peuvent être consultés sur le site Web du SCT (www.tbs-sct.gc.ca). Voici quelques-unes des mesures prises par le gouvernement :

• L’ensemble des 160 institutions gouvernementales assujetties à la Loi sur la protection des renseignements personnels ont été sensibilisées aux problèmes en matière de protection des renseignements personnels découlant de la USA PATRIOT Act.
• Les institutions ont été invitées à réexaminer leurs contrats et leurs modalités d’impartition pour circonscrire les risques associés à l’application de la USA PATRIOT Act, déterminer la gravité de ces risques, prendre les mesures correctives en conséquence et en rendre compte au SCT. Selon les résultats obtenus, 83 % des institutions considèrent que leurs contrats ne comportent pas de risques (77 institutions) ou comportent un faible risque (57 institutions). 
• Le gouvernement a fait la promotion de pratiques optimales dans le cadre des modalités d’impartition; les institutions fédérales disposent d’un guide stratégique, qui comprend une liste de contrôles, des conseils directs sur l’importance de l’examen des questions associées à la protection des renseignements personnels avant de passer des contrats, des moyens de maximiser la protection des renseignements personnels et de l’aide pour la rédaction de clauses pouvant être incluses dans les demandes de propositions et appels d’offres. 

La stratégie fédérale prévoit d’autres mesures pour atténuer les risques en matière de protection des renseignements personnels. Certaines sont énumérées ci-dessous ; elles illustrent le travail considérable que suppose le règlement de cette question.

• Élaborer un cadre de gestion de la protection de la vie privée pour instaurer des normes de protection élevées dans l’ensemble de la fonction publique fédérale
• Procéder à l’évaluation continue des activités contractuelles des entités fédérales et fournir des conseils concernant les contrats (SCT)
• Explorer les solutions offertes par la technologie et l’architecture des données pour protéger la circulation de données et, notamment l’usage de techniques de chiffrement et de pistes de vérification électronique
• Élaborer d’autres lignes directrices concernant l'échange d’information entre gouvernements (au Canada et à l’étranger), la vérification des contrats et les solutions techniques permettant de protéger les renseignements personnels
• Augmenter la sensibilisation et la formation au sujet de la circulation transfrontalière des données et sur les mesures de sécurité fédérales qui ont cours
• Procéder à l’examen de la LPRPDE en 2006 et déterminer si la Loi sur la protection des renseignements personnels doit également faire l’objet d’un examen (le CPVP estime que cela devrait être fait depuis longtemps)
• Examiner les questions relatives à la protection des renseignements personnels et de la circulation transfrontalière des données dans le cadre du futur Partenariat pour la sécurité et la prospérité entre le Canada, les États-Unis et le Mexique
• Mettre en commun les pratiques optimales de protection de la circulation transfrontalière des données avec les gouvernements provinciaux et territoriaux ainsi qu’avec le secteur privé et les gouvernements étrangers

Nous félicitons également le SCT pour ses récents efforts en vue d’élaborer une liste de contrôles visant la protection de la vie privée, c’est-à-dire une série de principes et de questions permettant aux institutions gouvernementales de rédiger des clauses contractuelles valables en matière d’accès à l’information et de protection des renseignements personnels.

Lorsqu’elle conclut un contrat de service, la direction d’un programme ou d’un service gouvernemental doit s’assurer que le contrat ne mine pas le droit d’accès à l’information ou qu’il ne met pas considérablement à risque la capacité du ministère de protéger les renseignements personnels des individus. Cette responsabilité demeure inchangée lorsque les ministères ont recours à l’impartition. L’un des moyens d’exiger qu’un fournisseur de services extérieur respecte les dispositions de la Loi sur la protection des renseignements personnels est d’insérer dans le contrat, s’il y a lieu, les clauses qui conviennent. Ainsi, le contrat contribue à garantir que la responsabilité de l’institution gouvernementale en matière de protection des renseignements personnels est assumée par l’entrepreneur.

En mars 2006, le CPVP a proposé au SCT d’apporter d’autres améliorations à la procédure d’attribution des contrats du gouvernement en envisageant l’instauration de mesures permettant aux entreprises de rendre compte de leur capacité de gestion de la protection des renseignements personnels lorsque celles-ci désirent être admissibles aux contrats du gouvernement fédéral. Nous y voyons la possibilité d’inculquer plus profondément les principes de gestion de la protection des renseignements personnels en intégrant des exigences d’autoévaluation à cet égard dans les ententes contractuelles avec le gouvernement fédéral. Cette mesure encouragerait fortement les entreprises à se conformer aux principes de protection des données, une responsabilité sociale essentielle pour toute partie qui sous-traite auprès du gouvernement fédéral.

L’importance de la circulation transfrontalière des données est soulignée dans notre vérification de l’Agence des services frontaliers du Canada dont il est également question dans ce chapitre. Cela nous rappelle que la protection des renseignements personnels fait partie intégrante du fonctionnement des ministères et organismes et qu’il ne s’agit pas seulement d’un principe applicable aux contrats conclus avec des tiers. Le CPVP les invite instamment à en faire une meilleure gestion et à en rendre compte plus précisément au Parlement et à la population canadienne.

Le travail du SCT concernant la circulation transfrontalière des données a fait progresser l’élaboration du cadre de gestion de la protection des renseignements personnels. Le Secrétariat prévoit que le cadre comprendra des pratiques optimales, des méthodes et des outils de gestion des risques éprouvés. Il s’agit de veiller à ce que les institutions fédérales respectent des normes strictes de gestion de la protection des renseignements personnels. On nous a laissés entendre que le SCT créerait un comité interministériel de la protection des renseignements personnels qui sera chargé de collaborer à l’élaboration du cadre de gestion de la protection de la vie privée.    

Nous continuerons de surveiller l’évolution de la situation et nous examinerons la façon dont les ministères et organismes adaptent les nouvelles instructions relatives aux contrats lorsque nous procéderons à la vérification des entités fédérales assujetties à la Loi sur la protection des renseignements personnels.   

Contrôle et responsabilisation accrus en matière de circulation transfrontalière des données

Nous venons de terminer une vérification d’envergure de l’Agence des services frontaliers du Canada (ASFC). Voici un résumé des résultats de la vérification (le rapport complet se trouve sur le site Web du Commissariat : www.priv.gc.ca).

La vérification de l’Agence et l’examen des renseignements publics sur la circulation transfrontalière des données nous amène à conclure que, dans l’ensemble, un contrôle et une responsabilisation accrus sont nécessaires. Le gouvernement devrait faire preuve d’une plus grande transparence pour atténuer les préoccupations de la population canadienne.

La vérification de l’ASFC s’avère une mesure importante, car les Canadiennes et les Canadiens sont préoccupés par la transmission de leurs renseignements personnels aux États-Unis et de la possibilité que leurs renseignements soient employés à des fins autres que la prévention contre le terrorisme et le crime international. La population canadienne, tout comme le Parlement, veut savoir si l’ASFC, l’organisme fédéral le plus directement engagé dans le maintien de la sécurité à la frontière, échange des renseignements personnels avec ses homologues étrangers chargés de l’application de la loi et des activités liées au renseignement et ce, dans le respect des lois sur la protection des renseignements personnels et de façon à préserver le droit à la vie privée des Canadiennes et des Canadiens.

Il est indispensable de compter sur des pratiques solides de reddition de compte et de gestion de la protection de la vie privée pour apaiser les inquiétudes des citoyens concernant la circulation des renseignements personnels entre le Canada et d’autres pays. L’objectif de la vérification était donc de déterminer si l’ASFC contrôle et protège suffisamment les renseignements personnels des Canadiennes et des Canadiens qu’elle transmet à des gouvernements étrangers. Nous nous sommes particulièrement intéressés aux programmes et systèmes associés à la gestion des renseignements personnels des voyageurs. Nous avons examiné les aspects suivants :

1.   L’application des mesures douanières et les activités de renseignement (frontière terrestre et aéroports)
2.   Le Système intégré d’exécution des douanes (SIED)
3.   Le Système d’information sur les passagers (SIPAX)
4.   Le Centre national d’évaluation des risques (CNÉR) 

Le CPVP s’est également intéressé au cadre global de gestion de la protection des renseignements personnels de l’Agence et à la façon dont celle-ci rend compte aux Canadiennes et aux Canadiens des échanges d’information avec d’autres pays.

Nous avons employé les moyens suivants : entrevues avec des employés de l’ASFC, examen de documents (dont les registres d’échanges transfrontaliers de renseignements personnels) et examen des traités, accords, politiques et pratiques relatifs à l’échange d’information entre gouvernements ou organismes gouvernementaux. Un comité externe spécial, créé pour les besoins de la vérification, a été chargé de diriger ces activités.

Les conclusions formulées dans le rapport de vérification ont pris effet en novembre 2005, c’est-à-dire au moment où l’examen était essentiellement terminé.

Nos principales conclusions

Le CPVP a constaté que l’ASFC est dotée de politiques, de procédures et de systèmes de gestion et d’échange de renseignements personnels avec d’autres pays. Il est cependant possible pour l’Agence d’améliorer considérablement la gestion des risques et de garantir une plus grande responsabilité et un contrôle plus rigoureux des renseignements personnels qui circulent par-delà les frontières canadiennes. Voici les principales conclusions :

• Les demandes écrites adressées par des gouvernements étrangers désireux d’obtenir des documents de l’ASFC sont traitées conformément aux exigences applicables. À l'échelle régionale, toutefois, une large part des échanges de renseignements entre l'ASFC et les États-Unis se fait verbalement, sans demande écrite préalable, ce qui est contraire à la politique de l’Agence et à l’Accord d’assistance mutuelle en matière douanière conclu en juin 1984 entre le Canada et les États-Unis.
• L’ASFC a besoin d’une méthode coordonnée de repérage et de suivi pour tout échange transfrontalier de données. L’Agence ne peut, avec une certitude raisonnable, rendre compte de la mesure dans laquelle elle échange des renseignements personnels avec les États-Unis, de la quantité des renseignements échangés, ni de la fréquence de ces échanges.  Par extension, elle ne peut affirmer avec certitude que toutes les activités d’échange de renseignements sont gérées de façon appropriée et se conforment à l’article 107 de la Loi sur les douanes et à l’article 8 de la Loi sur la protection des renseignements personnels. 
• En général, les contrôles de TI et de gestion sont valables pour le Système intégré d’exécution des douanes (SIED) et pour le Système d’information sur les passagers (SIPAX). Ces systèmes contiennent des renseignements personnels de nature délicate sur des millions de voyageurs. Les juridictions étrangères, notamment, n’avaient pas directement accès à ces systèmes. Deuxièmement, la communication électronique d’information en direction des États-Unis dans le cadre des initiatives de l'ASFC concernant les voyageurs à risque élevé et l’échange d'avis de surveillance s'effectue par voies sécurisées. Il est cependant possible de consolider les contrôles et de réduire davantage le risque que des renseignements personnels soient utilisés ou communiqués indûment.
• L’ASFC devrait envisager des moyens d’améliorer la qualité et le contrôle des données qu’elle obtient dans le cadre du Système d’information préalable sur les voyageurs/dossier passager (SIPV/DP) pour s’assurer que les renseignements personnels employés pour remplir le mandat de l’Agence en matière douanière sont aussi exacts et complets que possible.
• L’ASFC n’a pas encore évalué l’efficacité de l’Initiative d'identification des voyageurs à risque élevé (IIVRE) établie avec les États-Unis, car ce projet n’a pas atteint sa pleine mise en œuvre. Elle devrait plus particulièrement évaluer la mesure dans laquelle des renseignements inexacts ou incomplets risquent d’avoir des répercussions sur des personnes ou sur la capacité de l'Agence à identifier, entraver ou appréhender des voyageurs à risque élevé. Une évaluation permettrait à l’Agence de démontrer que l’IIVRE a atteint ses objectifs en matière d’exécution de la loi et du renseignement et, par conséquent, que ses activités de collecte, d’utilisation et d'échange d'innombrables renseignements personnels sur des millions de voyageurs sont justifiées. 
• Puisque l’ASFC est un organisme récent, le moment est propice pour qu’elle élabore un cadre exhaustif de gestion de la protection des renseignements personnels et l’intègre à ses activités quotidiennes de gestion de l’information. Elle devrait plus particulièrement s’efforcer de mettre à jour et de consolider les obligations formulées dans ses accords d'échange de renseignements personnels avec les États-Unis. Elle devrait également consolider son système redditionnel concernant les incidents liés à la protection de la vie privée et trouver des moyens de surveiller les communications transfrontalières de renseignements personnels à destination d’organismes chargés de l’application de la loi et autres organismes étrangers.
• Enfin, les activités associées à l'échange transfrontalier de données devraient être aussi transparentes que possible. Nous ne disposons pas d’une description claire et complète de l’information échangée, ni ne savons avec précision avec qui et dans quel but l’information est échangée. À l'instar de la plupart des ministères, l’ASFC ne fournit pas suffisamment de détails sur la circulation transfrontalière de renseignements personnels ni n’en rend compte de façon significative au Parlement et à la population canadienne.

Notre vérification a donné lieu à 19 recommandations à l’intention de l’ASFC (voir le rapport intégral). D’ici deux ans, le CPVP fera un suivi pour évaluer les progrès de l’Agence dans la mise en œuvre de ces recommandations.

Importance des évaluations des facteurs relatifs à la vie privée (ÉFVP)

Le Commissariat procède à l’examen des évaluations des facteurs relatifs à la vie privée (ÉFVP) et des évaluations préliminaires des facteurs relatifs à la vie privée (ÉPFVP) effectuées par les institutions gouvernementales au regard de divers projets. Nous recommandons par la suite des moyens de réduire les risques à la protection des renseignements personnels des Canadiennes et des Canadiens.

L’évaluation des facteurs relatifs à la vie privée est un outil permettant de garantir que la protection des renseignements personnels est au cœur des préoccupations dans la planification et l’exécution des projets. Les ÉFVP servent à décrire et à consigner la nature des renseignements recueillis, leur mode de collecte, d’utilisation, de transmission et de stockage, ainsi que le mode et les raisons de leur échange et le système de protection en place pour prévoir, à chaque étape, la divulgation non prévue des renseignements personnels. En bref, il s’agit d’un outil d’atténuation des risques.

Selon la politique du Secrétariat du Conseil du Trésor (SCT), des ÉFVP doivent être prévues dans les propositions associées à tous les nouveaux programmes et services soulevant des questions en matière de protection des renseignements personnels et lorsque des programmes en cours sont restructurés de telle sorte que ceux-ci ont une incidence sur la collecte, l’utilisation ou la communication de renseignements personnels – y compris la conversion des services gouvernementaux pour leur usage et leur exécution en ligne.

La politique du SCT, entrée en vigueur en 2002, prévoit également que les institutions fédérales doivent présenter leurs ÉFVP et leurs ÉPFVP au Commissariat pour examen. Nous pouvons alors analyser la circulation des données et les mesures prises pour régler les problèmes éventuels. Nous nous assurons qu’il existe une réglementation autorisant la collecte et l’utilisation de renseignements personnels des Canadiennes et Canadiens et que les dispositions et les principes de la Loi sur la protection des renseignements personnels sont respectés. Nous signalons aux ministères et organismes les problèmes éventuels qui pourraient avoir échappé à leur attention et, s’il y a lieu, nous formulons des recommandations visant à améliorer la protection des renseignements personnels. Dans certains cas, nous allons jusqu’à demander que des projets soient modifiés de façon significative.

Le CPVP estime que la politique des ÉFVP a considérablement contribué à la sensibilisation des institutions gouvernementales en matière de protection des renseignements personnels. Nous sommes d’avis que cette politique a porté à leur attention des problèmes que pourraient soulever un certain nombre de programmes du gouvernement. Toute cette procédure offre une meilleure garantie de protection des renseignements personnels que les Canadiennes et les Canadiens confient au gouvernement fédéral. Un système d’ÉFVP efficace est le fondement d’un cadre efficace de gestion de la protection des renseignements personnels.

Nous notons avec satisfaction que plusieurs ÉFVP que nous recevons sont plus précises et approfondies depuis l’entrée en vigueur de la politique. Il y a cependant encore place à l’amélioration. Par exemple, le Commissariat encourage les ministères à inclure dans leurs présentations le plan d’action pour la mise en œuvre de stratégies de protection des renseignements personnels.

Au cours de cet exercice, le CPVP s’est intéressé à toutes sortes de projets réalisés par un certain nombre de ministère, dont Ressources humaines et Développement des compétences Canada (RHDCC), Santé Canada, la Gendarmerie royale du Canada (GRC), Transports Canada, Affaires indiennes et du Nord Canada, Citoyenneté et Immigration Canada, Revenu Canada, l’École de la fonction publique du Canada, Développement social Canada, Anciens combattants Canada, Travaux publics et Services gouvernementaux Canada (TPSGC), Statistique Canada, l’Administration canadienne de la sûreté du transport aérien, l’Agence des services frontaliers du Canada (ASFC), la Défense nationale, Financement agricole Canada et le Centre canadien des armes à feu. Aussi diverses que puissent être les responsabilités de ces ministères, leurs projets ont une caractéristique commune : ils comportent tous la collecte, l’utilisation, la conservation, l’échange ou la transmission de renseignements personnels sur les Canadiennes et les Canadiens.

Les exemples suivants d’ÉFVP donnent une idée de l’éventail et de l’importance des projets que nous avons examinés :

• L’Outil de recherche intégré de la GRC, application en ligne qui permet de rassembler des données provenant de bases de données policières distinctes en un même dépôt central, offrant la possibilité d'une capacité intégrée de recherche et de constituer un rapport complet sur une personne
• Le projet de renouvellement du Centre d’information de la police canadienne de la GRC et les accords d'échange de renseignements conclus avec d’autres juridictions
• Un système qui permet aux demandeurs d’assurance-emploi (AE) de remplir et de présenter en ligne les rapports exigés en se servant d’un ordinateur, à la maison ou dans un centre d’emploi
• Un projet de TPSGC visant à offrir, grâce à des contrats, des services bancaires aux Canadiennes et aux Canadiens qui vivent à l’étranger afin que ces derniers reçoivent rapidement des prestations du gouvernement, par exemple, leur pension de retraite
• Une étude sur la santé respiratoire des enfants effectuée auprès de 25 000 élèves du primaire
• Un projet d’identification des voyageurs à risque élevé, qui permettra à l’ASFC de recueillir des renseignements sur les voyageurs aériens à destination des États-Unis et d'échanger ces renseignements avec les États-Unis, ainsi que de recueillir et d'analyser des renseignements personnels sur les voyageurs arrivant par avion au Canada
• Un projet de vérification pré-embarquement comportant la surveillance vidéo, par l’Administration canadienne de la sûreté du transport aérien (ACSTA), des passagers dans les zones d'embarquement des aéroports, et ce, à l'échelle nationale
• Un projet des Forces armées canadiennes pour l’enregistrement électronique des dossiers de santé permettant de recueillir des données sur la santé physique, dentaire et psychologique de plus de 80 000 membres du personnel militaire
• L’usage par Citoyenneté et Immigration Canada d’outils biométriques (empreintes digitales et photos) dans le cadre d’essais expérimentaux aux postes frontaliers et comme mode de vérification des demandeurs d’asile

Comme nous venons de le voir, les projets examinés sont diversifiés et, dans bien des cas, doivent faire l'objet de recommandations adaptées au type de renseignements recueillis et au type de systèmes employés. Il existe cependant des similitudes dans les types de risques associés à la protection des renseignements personnels et dans les pratiques optimales généralement adoptées pour atténuer les risques.

Par exemple, les ÉFVP ne mentionnent qu’en termes généraux que le personnel sera informé de ses responsabilités de protéger les renseignements personnels, ou encore, que le personnel sera « avisé » de ses responsabilités. Le Commissariat préfère une méthode plus précise et proactive et il a recommandé la publication de directives et de protocoles exécutoires et de procédures bien étayées.    

De même, les ÉFVP qui nous ont été présentées ne comportent pas nécessairement de procédure permettant aux ministères et organismes d’informer les personnes concernées de situations où leurs renseignements personnels auraient été communiqués contrairement à la loi, accidentellement ou en raison d’un vol. Nous recommandons à tous les ministères de se doter d’une politique claire pour guider les gestionnaires et les employés lorsque des renseignements personnels sont égarés.

Voici d’autres exemples de recommandations courantes pour faciliter l’atténuation des risques :

• Demander aux institutions gouvernementales d’intégrer des mesures garantissant la protection de la vie privée aux contrats de traitement ou de stockage de renseignements personnels, notamment sous la forme de vérifications périodiques des pratiques des entrepreneurs
• Recommander qu’une reconnaissance de responsabilité claire concernant la protection des renseignements personnels soit incluse dans les ententes de service
• Veiller à ce que les résumés d’ÉFVP soient rédigés en termes clairs et non techniques et qu’ils soient affichés sur les sites Web des ministères
• Rappeler aux institutions leur obligation de modifier les banques de données personnelles en fonction des nouveaux renseignements recueillis ou des nouveaux usages prévus de cette information, conformément à la Loi sur la protection des renseignements personnels
• Offrir une formation à tout le personnel en matière de pratiques de protection des renseignements personnels et veiller à ce que toutes les procédures administratives soient conformes aux dispositions de la Loi sur la protection des renseignements personnels
• Conseiller aux institutions de surveiller les programmes d’enregistrement des transactions afin de protéger les renseignements personnels contre l’accès non autorisé

Le Commissariat a remarqué une tendance à l’augmentation des échanges d’information entre les corps policiers et les organismes chargés de la sécurité nationale aux fins de l’application de la loi et de la prévention du terrorisme. Nous pourrions regrouper plusieurs des ÉFVP examinées dans ces catégories. Nous nous inquiétons du fait que nous recevons des évaluations portant sur d’importants projets potentiellement intrusifs, évaluations présentées sous forme d’éléments disjoints plutôt que sous forme d’une analyse exhaustive. Le Commissariat a recommandé à des institutions comme Transports Canada, l’ASFC et la GRC d’élaborer, dès le début de leurs vastes projets intégrés, un cadre de gestion de la protection des renseignements personnels et/ou une ÉFVP exhaustive.

La tendance des institutions gouvernementales à former des réseaux intégrés pour échanger les renseignements personnels pose de nouveaux défis. Si plusieurs ministères et organismes versent des données à un réseau accessible à des partenaires d’une autre juridiction, surgissent alors des problèmes de gouvernance, de conservation et de contrôle de l’information; des questions se posent alors concernant le consentement et le droit d’accès et de correction.

Le CPVP continuera de surveiller certains des projets de grande envergure par l’examen et la mise à jour des ÉFVP en s’intéressant notamment au Réseau canadien de l’information sur la sécurité publique (RCISP). Cette initiative, qui relève de Sécurité publique et Protection civile Canada (SPPCC), vise à créer un réseau national d’échange d’information à l’intention du système de justice pénale et des organismes chargés de l’application de la loi; il s’agit de relier des sources de données auparavant distinctes concernant la criminalité et les délinquants. Le Commissariat surveillera également les projets entraînant la collecte et l’analyse de renseignements personnels sur les voyageurs obtenus aux postes frontaliers et ou par le biais des systèmes de réservation.

Le Commissariat continuera d’inciter les ministères à se doter d’une structure administrative formelle, sous la forme, par exemple, d’un comité ou d’un groupe de travail interne, qui serait spécifiquement chargé d’examiner les initiatives de l’organisme pour déterminer s’il y a lieu de procéder à une ÉFVP et d’appliquer les mesures d’atténuation des risques suite à une ÉFVP. Le CPVP envisage sérieusement de procéder à une vérification du système des ÉFVP à l’échelle du gouvernement pour déterminer si les institutions réalisent les ÉFVP lorsque nécessaire, procèdent au suivi des conclusions relatives aux évaluations des risques, et comblent les manquements à la protection de la vie privée qui ont été identifiés.

Autres activités

Voici d’autres projets de vérification et d’examen réalisés au cours du dernier exercice.

Le recensement de Statistique Canada

Statistique Canada nous consulte depuis plusieurs années au sujet du recensement de 2006. L’un des nouveaux aspects du recensement était le projet de faire appel aux services d’un entrepreneur. Compte tenu des préoccupations formulées par le Commissariat et d’autres intervenants concernant des dispositions d’abord envisagées avec une entreprise dont le siège social se trouvait à l’étranger, Statistique Canada a modifié considérablement sa méthode pour veiller à ce que les données de recensement ne soient pas stockées à l’extérieur du ministère. 

Nous avons surveillé les préparatifs du recensement en procédant à l’examen des documents et en visitant le Centre de traitement des données (CTD) de Statistique Canada. Nous sommes convaincus que des précautions raisonnables sont prises pour garantir l’intégrité et la confidentialité des données de recensement. Outre les dispositions contractuelles et stratégiques, ces mesures comportent une évaluation indépendante de la sécurité de la TI du Centre, une évaluation des risques et le contrôle de la circulation bidirectionnelle, entre le Centre et l’extérieur. Nous avons attiré l’attention de Statistique Canada sur la nécessité de modifier la documentation sur les procédures afin de préciser que, dans le cadre du recensement de 2006, il n’y aurait pas d’accès à distance au CTD. 
 
Le service en ligne Repérer un colis de Postes Canada

En 2005, nous avons fait enquête sur les lacunes manifestes du service électronique de repérage des colis de la Société canadienne des postes. La Société a accepté d’améliorer plusieurs de ses pratiques, notamment par des procédures d’authentification de l’identité des clients demandant des renseignements, par des moyens d’informer les clients que leur signature se retrouvera  prochainement dans Internet, en veillant à ce que leur signature n’apparaisse pas sur le courrier recommandé lorsque les clients s’y opposent et, enfin, par des moyens employés pour rappeler aux clients qu’il est important de protéger leur NAS. 

La communication de certains renseignements personnels sur le site Web du CRTC

En réponse aux préoccupations adressées au Commissariat au sujet de la décision du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) d’afficher sur son site Web les coordonnées d’intervenants dans des audiences publiques, nous avons invité le Conseil à prendre des mesures raisonnables concernant les avis et pour limiter l’accès à ces renseignements. 

Devant les tribunaux

Demandes adressées en vertu de la Loi sur la protection des renseignements personnels

Après que le Commissariat à la protection de la vie privée a enquêté sur une plainte, l’article 41 de la Loi sur la protection des renseignements personnels autorise la personne intéressée à s’adresser à la Cour fédérale pour demander l’examen judiciaire du refus du gouvernement de lui donner accès à des renseignements personnels. Les demandes et appels suivants ont été déposés au cours du dernier exercice. Conformément à notre mandat, nous avons décidé de ne pas reproduire l’intitulé des causes tel qu’il appert officiellement afin de respecter la vie privée des plaignants. Nous n’énumérons que le numéro du greffe et le nom de l’institution gouvernementale en cause.

Président de l’Agence spatiale canadienne
Cour fédérale, numéro du greffe : T-1448-05

Solliciteur général du Canada
Cour fédérale, numéro du greffe : T-1724-05

Ministre de la Sécurité publique et de la Protection civile
Cour fédérale, numéro du greffe : T-2123-05

Gendarmerie royale du Canada
Cour fédérale, numéro du greffe : T-66-06

Solliciteur général du Canada
Cour d’appel fédérale, numéro du greffe : A-111-05

Ministre du Revenu national
Cour d’appel fédérale, numéro du greffe : A-270-05

L’article 42 de la Loi sur la protection des renseignements personnels autorise également la commissaire à comparaître devant la Cour fédérale. La commissaire peut demander à la Cour de procéder au contrôle judiciaire du refus d’une institution de donner accès à des renseignements personnels (avec le consentement du plaignant). Elle peut représenter des personnes ayant fait elles-mêmes une demande de contrôle judiciaire ou, si la Cour le permet, être partie à un contrôle judiciaire demandé en vertu de l’article 41. La commissaire actuelle n’a pas eu à comparaître devant la Cour, à aucun de ces titres, au cours du dernier exercice.

Le contrôle judiciaire

Les plaignants demandent parfois un contrôle judiciaire en vertu de l’article 18.1 de la Loi sur les cours fédérales à l’encontre d’une décision de la commissaire à la protection de la vie privée. C’est ce qui s’est produit dans le cas que nous analysons ci-dessous : la commissaire a été invitée à s’expliquer sur sa compétence après que le plaignant a demandé des mesures de réparation qui ne relevaient pas de son pouvoir. Cette cause illustre le caractère très limité des recours possibles en vertu de la Loi sur la protection des renseignements personnels pour toute autre atteinte à la vie privée que le refus non fondé de communiquer des renseignements. La commissaire se retrouve donc dans la position peu enviable de devoir démontrer à la Cour qu’elle n’est pas en mesure d’aider le plaignant. Cette question est manifestement importante au regard de la réforme de la Loi sur la protection des renseignements personnels dont nous avons parlé plus haut.

Le plaignant a adressé une plainte à la commissaire à la protection de la vie privée parce que, entre autres mesures illégitimes, la GRC avait enfreint la Loi sur la protection des renseignements personnels en communiquant des renseignements personnels le concernant sans son consentement. Le commissaire adjoint chargé de la Loi sur la protection des renseignements personnels s’est dit d’avis que la plainte était fondée, mais a souligné que la Loi ne prévoyait malheureusement aucun recours pour de telles communications.

Le 18 juin 2004, le demandeur a adressé une demande d’examen judiciaire du rapport du commissaire adjoint sur la plainte. La Loi sur la protection des renseignements personnels limite les recours aux questions d’accès, mais le demandeur estimait que la commissaire à la protection de la vie privée avait nécessairement le pouvoir de rendre des ordonnances et d’ordonner des recours dans les cas (comme le sien) où la Loi sur la protection des renseignements personnels avait été enfreinte.

Dans une décision datée du 29 mars 2005, la Cour a conclu que la commissaire à la protection de la vie privée avait rempli ses responsabilités en vertu de la Loi sur la protection des renseignements personnels et qu’elle avait correctement informé le demandeur que la Loi sur la protection des renseignements personnels ne prévoit pas de recours dans le cas en question. Le demandeur ne peut obtenir aucune autre forme de réparation devant la Cour pour une communication non prévue par la Loi.

Le demandeur a fait appel de la décision de la Cour fédérale en avril 2005, mais il a renoncé à y donner suite quelques semaines avant l’audience d’appel prévue au calendrier.

Sensibilisation du grand public et communications

Le Commissariat à la protection de la vie privée du Canada a pour mandat, aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), de sensibiliser le grand public et les organisations aux règles qui régissent la collecte, l’utilisation et la communication des renseignements personnels dans le cadre d’activités commerciales. Bien qu’aucun mandat de sensibilisation du grand public et de communications n’incombe au Commissariat en vertu de la Loi sur la protection des renseignements personnels, il est manifestement nécessaire de s’entretenir avec les institutions gouvernementales au sujet de l’application de la Loi et des répercussions de leurs activités sur le droit à la protection de la vie privée des Canadiennes et des Canadiens afin que ces institutions soient tenues responsables de leurs pratiques relatives aux renseignements personnels. La commissaire et le Commissariat ont également pour fonction de présenter publiquement leurs observations sur les initiatives du gouvernement fédéral concernant les renseignements personnels.

Les sondages d'opinion

En 2004-2005, le Commissariat a élaboré une stratégie exhaustive en matière de communications et de rayonnement pour les exercices futurs. L’une des mesures que comporte cette stratégie a trait à l’étude de l’opinion publique, dans le but de mieux comprendre la perception qu’a la population canadienne des enjeux relatifs à la protection de la vie privée, mais aussi de mieux évaluer la mesure dans laquelle elle y est conscientisée. Ainsi, les résultats d’un sondage indiquent que la majorité des Canadiennes et des Canadiens interrogés estiment que leur vie privée et la protection de leurs renseignements personnels se sont grandement dégradées. Entre autres constatations intéressantes, l’étude révèle que la population canadienne s’inquiète de la circulation transfrontalière de renseignements personnels et fait peu confiance aux nouvelles technologies. Les personnes interrogées étaient également d’avis que les lois en matière de protection de la vie privée devraient être mises à jour de façon à ce qu’elles tiennent compte de l’évolution rapide de la technologie de l’information. Au cours du dernier exercice (2005-2006), nous avons procédé à une étude de suivi; selon les résultats obtenus, il appert que les préoccupations formulées précédemment demeurent très actuelles et que les lois sur la protection de la vie privée doivent être mises à jour afin d’emboîter le pas aux technologies transformationnelles de pointe qui ont une incidence considérable sur la protection de la vie privée. Le compte rendu de la dernière étude sera affiché sur notre site Web au cours de l’été 2006.

Discours et événements spéciaux

Le Commissariat a profité de nombreuses occasions de prononcer des allocutions pour promouvoir les enjeux en matière de protection de la vie privée auprès de divers auditoires au Canada et à l’étranger, notamment auprès d’associations professionnelles et industrielles, de groupes sans but lucratif, de groupes de revendications et d’universitaires.  Au cours de l’exercice 2005-2006, la commissaire et les deux commissaires adjoints, ainsi que d’autres hauts fonctionnaires, ont prononcé une quarantaine de discours.

Le Commissariat a continué de présenter sa série de conférences internes sur la protection de la vie privée, à raison d’une conférence par mois environ. Des spécialistes canadiens et étrangers de la protection de la vie privée y ont participé et ont fait part, à des auditoires internes et externes, de leurs points de vue sur des questions variées.

Les relations avec les médias

Les médias se sont intéressés aux enjeux en matière de protection de la vie privée au cours de l’exercice 2005-2006; au Canada, les médias ont couvert des sujets se rapportant aux mesures gouvernementales ayant des répercussions sur la vie privée, aux atteintes à la protection de la vie privée, et aux technologies de surveillance. Les personnes désignées du Commissariat ont été grandement sollicitées par les médias à cet égard et ont accordé plusieurs entrevues. Par ailleurs, grâce à d’autres mesures proactives, telle la diffusion de communiqués, la commissaire a eu l’occasion de faire part de ses observations sur la réglementation et les initiatives du gouvernement fédéral (par exemple, au sujet du Projet de passeports ou de la liste de zones d’interdiction aériennes) ainsi que de faire valoir le point de vue du Commissariat sur la circulation transfrontalière de renseignements personnels.

Le site Web

Le Commissariat affiche régulièrement sur son site Web de l’information sur ses dernières activités et de l’information pratique. Des fiches de renseignements, des communiqués de presse, des discours, des rapports et des publications ainsi que des résumés de conclusions d’enquêtes en vertu de la loi fédérale s’appliquant au secteur privé sont affichés afin que le site demeure une source efficace de renseignements pour les personnes et les institutions. Nous constatons avec plaisir que depuis 2001-2002 le nombre de consultations a plus que quadruplé et que nous avons passé le seuil d’un million de consultations au cours de l’exercice 2005-2006.

Les publications

Chaque année, le Commissariat produit et fait paraître des documents destinés aux personnes et aux organismes qui s’intéressent aux questions relatives à la protection de la vie privée. Il peut s’agir de rapports annuels, de guides, de fiches de renseignements et d’exemplaires des deux lois fédérales applicables. Non seulement faisons-nous parvenir ces documents aux personnes qui en font la demande, mais nous les distribuons à l’occasion de conférences et d’événements spéciaux. Les gens les consultent également de plus en plus sur notre site Web.

Les communications internes

Les communications internes ont également fait l’objet de notre attention au cours de l’exercice 2005-2006 dans le but d’accroître la transparence des relations entre la direction et le personnel, notamment dans le cadre du renouvellement institutionnel du Commissariat. Il s’agissait de fournir de l’information sur des questions se rapportant aux ressources humaines, aux allocutions éventuelles, aux comparutions devant le Parlement, aux réunions du comité de direction et du comité de consultation patronale-syndicale ainsi qu’aux événements spéciaux. En 2005-2006, le Commissariat a également lancé son site intranet, qui sert de portail des communications internes et permet de maximiser l’accès du personnel à l’information.

La sensibilisation du grand public et les communications sont un volet important de notre travail, mais les ressources humaines et financières dont nous disposons à cet effet sont restreintes et nous limitent généralement à réagir aux situations qui se présentent plutôt que de les anticiper et d’élaborer des stratégies de sensibilisation en conséquence. Nous avons déjà émis ces commentaires dans le rapport annuel sur la LPRPDE (2005) déposé au Parlement. Néanmoins, l’augmentation prévue du financement nous permettra non seulement de mener à bien les fonctions ci-haut mentionnées, mais de mettre en œuvre des initiatives de conscientisation du grand public à portée plus vaste et de concrétiser la stratégie exhaustive et proactive de communication et de rayonnement dont il a été question plus haut.

Les Services de gestion intégrée

La commissaire continue de s’intéresser au renouvellement efficace du système de gestion. Au cours de l’exercice 2005-2006, la priorité à cet effet fut de terminer l’analyse de rentabilisation en vue d’obtenir un financement permanent et à long terme. La seconde priorité fut de consolider notre capacité de gestion des ressources humaines.

Planification et reddition des comptes

L’un des piliers du renouvellement institutionnel du Commissariat est le processus stratégique de planification, de reddition des comptes et de contrôle. En 2005-2006, nous avons clôturé la deuxième année de fonctionnement de ce processus. Le plan stratégique dressé au début de l’année constituait notre feuille de route pour tout l’exercice. Profiter des occasions de réaliser examens et redditions des comptes est un volet important du nouveau processus. Nous avons examiné et adapté nos plans et nos budgets tout au long de l’année à cet effet. Pour favoriser la reddition de comptes, nous avons continué à développer le cadre d’évaluation du rendement, et nous procédons au rapport de rendement mensuel depuis 18 mois. Il s’agit d’un outil de gestion crucial à l’évaluation des résultats des directions générales en fonction de leurs objectifs.

Les ressources humaines

Nous continuons d’élaborer et de mettre en œuvre des mesures pour améliorer le fonctionnement du Commissariat et la qualité générale du milieu de travail. Des modifications et améliorations importantes ont été apportées aux politiques et aux pratiques de gestion des ressources humaines.

Nous avons mis en œuvre un certain nombre de politiques en matière de ressources humaines, après consultation auprès des organismes centraux et des syndicats et dans le respect des dispositions de la Loi sur l’emploi dans la fonction publique (LEFP). Ces politiques nous orienteront dans la démarche fructueuse entamée au cours de l’exercice précédent et dans la suite du renouvellement institutionnel. Nous avons élaboré un outil de délégation de la gestion des ressources humaines qui servira à informer et orienter les gestionnaires et à leur permettre de gérer les ressources humaines qui relèvent d’eux. Le plan de gestion stratégique des ressources humaines et la nouvelle stratégie de dotation en personnel ainsi que le plan d’action pour l’équité en matière d’emploi contribueront à la réalisation du mandat du Commissariat et garantiront le recrutement d’un personnel hautement qualifié, diversifié et représentatif de la société canadienne. Dans le cadre de l’engagement du Commissariat à accroître la transparence des procédures de dotation en personnel, nous avons créé un bulletin d’information à l’intention du personnel : il est distribué tous les mois à l’ensemble des employés. 

Nous avons fait beaucoup de progrès dans le domaine de l’apprentissage organisationnel, notamment grâce à l’élaboration d’une stratégie d’apprentissage de concert avec l’École de la fonction publique du Canada (ÉFPC), à des ateliers de formation et d’information sur la dotation axée sur les valeurs, les langues officielles, la gestion du rendement, l’évaluation des employés, la sensibilisation au harcèlement en milieu de travail, etc. Nous avons organisé des séances d’information à l’occasion des réunions trimestrielles du personnel et à l’intention des gestionnaires sur tous les aspects des nouvelles LMFP et LEFP. La stratégie et le programme d’apprentissage de l’ÉFPC permettent au personnel de développer l’expertise et les compétences nécessaires à l’exécution de leurs tâches et d’être en mesure d’assumer de nouvelles responsabilités. La stratégie d’apprentissage a été modifiée en fonction des besoins en formation relatifs à la nouvelle LEFP ; nous avons notamment offert une formation participative pour le comité de la haute direction et une formation sur la LEFP pour les gestionnaires assumant des responsabilités déléguées (les deux ont eu lieu en mars 2006).

Nous continuons de collaborer avec la Commission de la fonction publique et l’Agence de gestion des ressources humaines de la fonction publique concernant le suivi des recommandations contenues dans leurs rapports de vérification. Il s’agit, entre autres, de prendre des mesures permettant au Commissariat de récupérer intégralement son pouvoir de délégation de la fonction de dotation.

Finances et administration

Le Bureau du vérificateur général du Canada a communiqué une opinion sans réserve au Commissariat concernant les états financiers vérifiés de 2004-2005. Compte tenu de l’opinion sans réserve formulée en 2003-2004, c’est un signe très positif de nos progrès en matière de renouvellement institutionnel. Nous nous sommes appuyés sur ces résultats pour créer des cycles de planification et d’examen et simplifier et améliorer les politiques et pratiques de gestion financière du Commissariat. 

Gestion et technologie de l'information

La Division GI/TI a accompli beaucoup de travail au cours du dernier exercice. Nous avons renouvelé notre infrastructure de serveur et augmenté notre capacité de stockage de données pour permettre le scannage de documents. Nous avons marqué des progrès dans le cadre du projet de gestion de l’information. Nous avons terminé la mise à jour de nos systèmes de gestion des documents et de repérage de la correspondance. Les systèmes financiers (système de gestion des salaires et FreeBalance) ont été mis à niveau, et le serveur FreeBalance a été, lui aussi, mis à niveau. Cinq nouveaux systèmes de repérage sont en place pour la Direction générale de la vérification et de la revue afin de faciliter le repérage des dossiers de vérification. Nous avons terminé le plan d’action pour la conformité à la GSTI et nous respecterons l’échéance de décembre 2006.

Nos besoins en ressources

Tel que mentionné précédemment dans ce rapport, le Commissariat a procédé à une analyse approfondie de son fonctionnement, dont un examen des procédures opérationnelles associées à toutes ses fonctions. Après quoi, nous avons demandé une augmentation de ressources de plus de cinquante pour cent, pour amener notre budget global à environ 18 millions de dollars et nos équivalents temps plein (ETP) à un total de 140 au cours des deux prochaines années. Les ressources seront réparties différemment pour faire du Commissariat un organisme plus proactif.   

Information financière

Au cours des années précédentes, le rapport annuel était souvent réalisé plus tardivement; nous pouvions donc y inclure des tableaux financiers de nos dépenses. Le cycle normal d’établissement des rapports financiers ne nous permet pas de fournir des états financiers vérifiés au moment où nous présentons ce rapport annuel. Nous fournirons l’information financière dans les rapports sur les plans et les priorités ainsi que dans nos rapports ministériels sur le rendement, tous deux à l’intention du Parlement. De plus, nous afficherons sur notre site Web, comme par les années passées, les états financiers vérifiés pour l’exercice 2005-2006 dès que ceux-ci seront complétés. Pour en savoir davantage sur la question des finances du Commissariat, prière de consulter notre site Web, à l’adresse suivante : www.priv.gc.ca.

Annexe 1

Plaintes fermées par institution gouvernementale et par conclusions d’enquête reliées à l’accès et à la protection des renseignements personnels
Entre le 1er avril 2005 et le 31 mars 2006

Annexe 2

Plaintes fermées par institution gouvernementale et par conclusions d’enquête reliées au délais
Entre le 1er avril 2005 et le 31 mars 2006