2. Transparence et responsabilisation : Démontrer l’engagement et le respect nécessaires pour inspirer confiance

Version PDF

Un engagement technique auprès d’experts quant à l’avenir de la Loi sur la protection des renseignements personnels, la loi fédérale en matière de protection des renseignements personnels s’appliquant au secteur public

Nous partageons ce document de discussion avec des intervenants experts pour obtenir leurs points de vue et leurs commentaires sur les considérations techniques et juridiques à prendre en compte dans le cadre de la modernisation de la Loi sur la protection des renseignements personnels. Cet engagement technique ciblé aidera le Gouvernement du Canada à peaufiner les propositions de modifications à la Loi sur la protection des renseignements personnels.

Inspirer confiance par la transparence et la responsabilisation

La transformation numérique accélère toujours plus la circulation de l’information, qui se fait désormais sans effort et de façon opaque, au moyen de technologies de plus en plus complexes. Pour la plupart des gens, la réalité actuelle est écrasante et difficile à comprendre. Néanmoins, les Canadiennes et les Canadiens s’attendent légitimement à pouvoir vérifier, comprendre, reconnaître et valoriser la façon dont les institutions fédérales recueillent, utilisent, communiquent et protègent leurs renseignements personnels à l’ère numérique, pour ultimement être en mesure de leur faire confiance. Pour répondre à ces attentes légitimes, il sera essentiel de s’appuyer sur des mesures de transparence et de responsabilisation.

La responsabilisation va bien au-delà de la transparence : cette dernière en constitue bien sûr un aspect fondamental, mais elle ne suffit pas à assurer la responsabilisation. Dans le contexte des pratiques relatives à la protection des renseignements personnels, le commissaire à la protection de la vie privée du Canada définit la responsabilisation comme « la reconnaissance du devoir de protéger les renseignements personnels »Note de bas de page 1. Dans cette perspective, on comprend facilement pourquoi la responsabilisation gagne en popularité à l’échelle internationale, en tant que concept qui peut effectivement favoriser les approches proactives, systématiques, globales et dynamiques en matière de gestion de la protection des renseignements personnels. Pour reconnaître le devoir de protéger les renseignements personnels, les institutions doivent assumer pleinement leurs responsabilités en la matière, les remplir en investissant dans le développement de leur capacité interne, des outils et des processus nécessaires, et démontrer aux Canadiennes et aux Canadiens comment leurs renseignements personnels sont protégés.

L’intégration de mécanismes améliorés de transparence et de responsabilisation dans la Loi sur la protection des renseignements personnels aiderait les gens à mieux prendre conscience de la façon dont les institutions fédérales utilisent leurs renseignements personnels et à comprendre comment elles les protègent. L’objectif ultime consiste à mériter, plutôt qu’à demander, la confiance des personnes concernées. Pour gagner cette confiance, les institutions fédérales doivent annoncer ouvertement leurs pratiques de gestion et d’utilisation des renseignements personnels, et montrer proactivement aux Canadiennes et aux Canadiens les mesures qu’elles prennent pour protéger ces renseignements et se conformer aux mesures modernes et rigoureuses prévues par la loi, de façon à ce que les individus puissent comprendre.

La transformation numérique offre des occasions d’améliorer la gouvernance, et il est important que les institutions fédérales en tiennent compte dans leurs communications avec la population canadienne. On peut désormais recourir à de nouveaux moyens de communication plus efficaces pour aider les gens à mieux prendre conscience de la façon dont les institutions fédérales utilisent et protègent leurs renseignements personnels, et à mieux comprendre comment elles s’y prennent. En bref, la façon dont les institutions fédérales utilisent les nouvelles technologies doit refléter un principe de réciprocité : tandis que ces technologies les aident à utiliser les renseignements personnels de manière à remplir leur rôle plus efficacement, elles doivent aussi les aider à mieux informer la population canadienne de leurs pratiques en la matière, de façon ouverte et responsable.

La question clé consiste à savoir comment la Loi sur la protection des renseignements personnels peut être mise à jour pour améliorer la confiance des Canadiennes et des Canadiens envers le gouvernement, en leur faisant comprendre le mieux possible comment il utilise et protège leurs renseignements personnels en cette ère numérique.

Pour ce faire, il est particulièrement important de veiller à ce qu’une Loi modernisée soit structurée de manière à favoriser les interactions constructives, au moyen de mesures de responsabilisation. Lorsque les avantages de mettre en œuvre une mesure de responsabilisation particulière deviennent évidents, les conditions sont réunies pour l’établissement d’une culture renouvelée de conformité aux exigences en la matière.

De plus, pour concrétiser la responsabilisation selon la vision du commissaire à la protection de la vie privée, il faudra assurer un dialogue continu et adéquat avec son commissariat. Le commissaire ne peut avoir la responsbilité de dire quoi faire aux institutions fédérales dans toutes les circonstances. Une institution véritablement responsabilisée doit avoir la capacité de prendre ses propres décisions rigoureuses en matière de vie privée, et de les expliquer par elle-même. Cette capacité est particulièrement importante pour prendre des décisions opérationnelles au quotidien, en respectant un cadre juridique fondé sur des principes. Parallèlement, le Commissariat à la protection de la vie privée peut fournir un encadrement et un soutien précieux aux institutions fédérales, particulièrement en ce qui concerne les scénarios les plus complexes ou inhabituels. La responsabilisation des institutions exige bien sûr qu’elles fassent preuve d’autonomie et de rigueur, mais cela ne les empêche pas de demander le soutien d’experts. Le Commissariat est tout à fait en mesure d’aider les institutions fédérales à développer leur propre expertise interne.

Le fait de modifier la Loi pour délimiter clairement leurs rôles respectifs aidera aussi les institutions à prendre concrètement des décisions rigoureuses et responsables. C’est la présidente du Conseil du Trésor qui est chargée d’élaborer les directives et les lignes directrices nécessaires à la mise en œuvre de la Loi sur la protection des renseignements personnels. Bien que les institutions gouvernementales soient guidées par les politiques du Conseil du Trésor, elles demeurent indépendamment tenues d’assurer la conformité de leurs pratiques à la Loi. De son côté, le commissaire à la protection de la vie privée procède à des enquêtes et à des examens pour évaluer la conformité à la loi et faire des recommandations. Il souhaite obtenir une plus grande latitude pour pouvoir communiquer des renseignements d’enquête dans l’intérêt public. Il sollicite également un mandat de sensibilisation du public et de recherche d’intérêt public. Un éventail plus large de mesures complémentaires visant à favoriser la conformité – qui inclurait des politiques, des documents d’orientation et des rapports d’enquête – pourrait aider les institutions à se responsabiliser davantage.

A. Programmes de gestion de la protection des renseignements personnels : soutien du nouveau principe de responsabilisation

Le principe de responsabilisation est reconnu dans bon nombre de ressorts (y compris au Canada, où il est intégré à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – loi fédérale applicable au secteur privé - et est exprimé dans différents instruments juridiques de premier plan à l’échelle internationale, notamment la version révisée (en anglais seulement) des Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données à caractère personnel de l’Organisation de coopération et de développement économiques (OCDE), le cadre relatif à la protection des renseignements personnels (Privacy Framework) du Forum de coopération économique Asie-Pacifique (APEC), la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE no 108) du Conseil de l’Europe, et le Règlement général sur la protection des données (RGPD) de l’Union européenne.

Le Commissariat à la protection de la vie privée du Canada et les commissariats à l’information et à la protection des renseignements personnels de l’Alberta et de la Colombie-Britannique ont publié un document d’information conjoint expliquant comment les programmes de gestion de la protection des renseignements personnels peuvent soutenir la responsabilisation.

Un programme de gestion de la protection des renseignements personnels peut être décrit comme un outil de gouvernance global et évolutif. Il est adaptable à la taille et aux activités de l’organisation. Il peut prendre toutes sortes de formes et inclure une gamme modulable d’éléments censés évoluer au fil du temps. Selon le document d’information des trois commissariats, les éléments principaux peuvent comprendre des structures, des processus et des outils d’ordre administratif qui favorisent le respect des exigences de protection des renseignements personnels au sein de l’organisation; des « mesures de contrôle du programme », notamment des politiques, des outils techniques, des formations et des protocoles facilitant le respect des exigences; et des mécanismes visant à assurer l’évaluation et la révision continue du programme. Somme toute, un programme de gestion de la protection des renseignements personnels est un outil conçu sur mesure pour aider les organisations à assumer leurs responsabilités en la matière et à s’acquitter concrètement de leurs obligations.

Un programme de gestion de la protection des renseignements personnels comporte des avantages manifestes. Le fait d’intégrer ce genre de programme parmi les exigences de la Loi sur la protection des renseignements personnels pourrait :

  • donner aux individus les outils nécessaires pour comprendre et exercer leurs droits;
  • accroître la confiance envers les institutions, de la part du commissaire à la protection de la vie privée et des partenaires qui communiquent des renseignements;
  • renforcer la capacité interne des institutions et mieux y faire connaître les exigences à respecter en matière de protection des renseignements personnels;
  • favoriser le respect rigoureux des exigences de protection des renseignements personnels;
  • contribuer à laisser de côté le modèle de supervision réactive pour passer à un modèle proactif plus efficace;
  • regrouper et relier un large éventail de politiques et d’outils de gouvernance au moyen du centre de ressources que constitue le programme de gestion de la protection des renseignements personnels (p. ex. le nouvel outil d’évaluation d’impact algorithmique du Conseil du Trésor), de façon à encourager la gouvernance globale des données.

Les institutions gouvernementales mettent déjà en application plusieurs de ces pratiques exemplaires et en tirent parti. Cela est notamment attribuable au fait que différentes politiques du Conseil du Trésor établissent des exigences comparables à celles qui feraient partie d’un programme de gestion de la protection des renseignements personnels (p. ex. : évaluation des incidences sur la protection des renseignements personnels, et lignes directrices déterminant la marche à suivre et les avis à donner en cas de non-respect des exigences).

À bien des égards, les discussions portant sur la responsabilisation consistent à déterminer quels éléments des politiques actuelles du Conseil du Trésor pourraient être intégrés dans la loi et coordonnés au moyen d’un programme de gestion de la protection des renseignements personnels, lesquels de ces éléments seraient mieux régis par des instruments de politique, et s’il existe des lacunes.

Q.2(a) : Les institutions gouvernementales assujetties à la Loi sur la protection des renseignements personnels devraient-elles être tenues de se doter d’un programme de gestion de la protection des renseignements personnels, ou devrait-on plutôt leur donner plus de latitude afin de leur permettre de s’organiser par elles-mêmes pour veiller au respect des exigences?

Q.2(b) : Y a-t-il des mesures de transparence existantes qui pourraient être remplacées par un programme de gestion de la protection des renseignements personnels publiquement accessible, ou qui pourraient s’intégrer à ce genre de programme?

Q.2(c) : Quelles problématiques fondamentales devrait-on exiger à être résolues dans le cadre d’un programme de gestion de la protection des renseignements personnels?

B. Collaboration du Commissariat à la protection de la vie privée avec d’autres organismes de supervision

Les usages modernes des renseignements personnels font en sorte que les frontières nationales deviennent de plus en plus inopérantes en la matière. Les renseignements personnels voyagent fréquemment, loin et rapidement. La circulation internationale de ces renseignements les rend très souvent sujets à différentes lois nationales sur la protection des données.

La LPRPDE a été modifiée pour faciliter la communication de renseignements entre les autorités chargées de réglementer la protection des données. L’objectif consistait à faire des gains d’efficacité dans les enquêtes parallèles de différents ressorts, et ultimement à améliorer la protection des renseignements personnels. Dès lors, le commissaire à la protection de la vie privée a demandé des pouvoirs similaires dans le contexte du secteur public. Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (comité ETHI) a manifesté son accord et recommandé « [q]ue la Loi sur la protection des renseignements personnels soit modifiée afin de renforcer la capacité du Commissariat à la protection de la vie privée du Canada à collaborer avec d’autres autorités de protection des données et organismes d’examen pour les vérifications et les enquêtes d’intérêt commun concernant les questions relevant de la Loi sur la protection des renseignements personnels ».

Les pratiques relatives aux renseignements personnels peuvent également transcender des frontières qui ne sont pas seulement géographiques : elles peuvent aussi recouper différents régimes réglementaires. Par exemple, on estime que les pratiques d’automatisation des décisions comportent un risque de partialité et de discrimination, ce qui pourrait être contraire aux exigences de protection des droits de la personne au Canada. Cela soulève la question de savoir si le commissaire à la protection de la vie privée devrait aussi être habilité à collaborer étroitement avec d’autres organes de supervision dont le mandat risque de s’entremêler de plus en plus avec les préoccupations de la population canadienne en matière de protection des renseignements personnels. On pourrait ainsi optimiser la coordination et l’efficacité des enquêtes dans les dossiers à plusieurs facettes, et favoriser une approche large et globale de la gouvernance des données et de la responsabilisation à cet égard.

Q.2(d) : Des dispositions particulières portant sur la communication de renseignements d’enquête aux organismes de supervision des provinces et des États étrangers sont-elles nécessaires pour permettre aux organismes de supervision de coordonner leurs actions, dans le contexte du secteur public fédéral?

Q.2(e) : En outre, serait-il utile de permettre au commissaire à la protection de la vie privée de coordonner ses activités d’enquête et d’exécution de la loi avec d’autres autorités de réglementation ou organismes de supervision fédéraux, telle la Commission canadienne des droits de la personne?

C. Transparence dans le travail qu’effectue le Commissariat à la protection de la vie privée pour promouvoir la responsabilisation

Le commissaire à la protection de la vie privée a recommandé qu’on lui accorde le pouvoir de rendre compte publiquement des questions relatives à la protection des renseignements personnels au sein du gouvernement lorsqu’il le juge d’intérêt public. Le comité ETHI a soutenu cette recommandation et, depuis, le projet de loi C-58 intègre une disposition qui permettrait à la commissaire à l’information du Canada d’exercer un pouvoir similaire. Cette dernière disposerait ainsi du pouvoir discrétionnaire de rendre ses conclusions publiques après l’expiration de la période prévue pour les éventuelles demandes de contrôle judiciaire.

Les actuelles obligations de confidentialité du commissaire à la protection de la vie privée font partie intégrante du modèle de défense du citoyen qui a inspiré la version actuelle de la Loi. En effet, la confidentialité a traditionnellement été considérée comme un aspect clé du succès de ce genre de modèle de supervision, mais il serait peut-être important que le rôle du commissaire à la protection de la vie privée du Canada évolue à cet égard. Le fait d’accroître la transparence de son travail pourrait apporter des bienfaits importants à toutes les personnes concernées, à condition que la vie privée des personnes plaignantes soit respectée.

Q.2(f) : Comment pourrait-on protéger le mieux possible les renseignements personnels des personnes plaignantes si les obligations de confidentialité du commissaire à la protection de la vie privée étaient modifiées?

Q.2(g) : Pour protéger la confidentialité des renseignements gouvernementaux de nature délicate, les mécanismes actuellement utilisés en ce sens (p. ex. l’article 65 de la Loi) seraient-ils suffisants si les obligations de confidentialité du commissaire à la protection de la vie privée étaient modifiées pour améliorer le transfert de connaissances entre le commissaire, les institutions fédérales et le public?

D. Mesures particulières de transparence

La Loi sur la protection des renseignements personnels prévoit un certain nombre de mesures de responsabilisation et de transparence. L’obligation de publier un rapport annuel sur l’application de la Loi au sein de l’institution constitue un exemple. Cependant, le commissaire à la protection de la vie privée a critiqué la mise en œuvre de cette obligation, estimant que les rapports constituent généralement « un savant collage de statistiques (…) n’expliquant guère ce que signifient les chiffres présentés »Note de bas de page 2. En conséquence, le comité ETHI a recommandé que les institutions fédérales soient tenues d’inclure « un élément descriptif afin que le contenu des rapports soit accessible et pertinent ». D’autres dispositions ajoutent des obligations générales de transparence et de responsabilisation en créant des régimes relatifs aux « fichiers de renseignements personnels », au « répertoire de renseignements personnels » et aux « fichiers inconsultables ».

Rapports annuels au Parlement

Compte tenu des critiques soulevées au comité ETHI relativement aux rapports annuels des institutions, et étant donné la possibilité d’inclure de nouveaux principes de responsabilisation et de transparence, il pourrait être utile de revoir l’objectif général de ces rapports et le rôle qu’ils sont censés jouer. Sur le plan de la responsabilisation, l’obligation de préparer ces rapports constitue un mécanisme utile à des fins d’examen interne et de compte rendu. Cependant, on ne peut pas vraiment dire que ces rapports constituent une mesure de transparence effective à la portée de la population canadienne en général.

Q.2(h) : La Loi devrait-elle préciser les principaux éléments d’information à inclure dans les rapports publics des institutions?

Q.2(i) : Le fait d’exiger un programme de gestion de la protection des renseignements personnels viendrait-il éliminer la nécessité de déposer des rapports annuels distincts?

Régime relatif aux fichiers de renseignements personnels

La Loi sur la protection des renseignements personnels exige que le gouvernement publie de l’information sur les renseignements personnels qu’il détient, au moyen du régime relatif aux « fichiers de renseignements personnels » (FRP). Les « fichiers de renseignements personnels » sont des descriptions publiées des renseignements personnels relevant d’une institution fédérale, tels que classés et regroupés en fonction de ses programmes et activités. Ils ne constituent pas des dépôts physiques d’information. La description contient les renseignements prévus par la Loi, notamment les fins auxquelles les renseignements personnels ont été recueillis par l’institution, ainsi que les usages, compatibles avec ces fins, auxquels ils sont destinés ou pour lesquels ils sont communiqués. La présidente du Conseil du Trésor et ministre du Gouvernement numérique est officiellement chargée de superviser la mise en œuvre du régime relatif aux FRP, notamment en assurant l’inscription des nouveaux FRP et la coordination nécessaire à la création du « répertoire de renseignements personnels » – soit la compilation publiquement accessible de tous les FRP.

Le régime relatif aux FRP contribue à réguler la collecte de renseignements personnels au moyen d’un mécanisme de supervision et de contrôle centralisé. Il assure la transparence en permettant aux Canadiennes et aux Canadiens de savoir quels renseignements personnels sont recueillis par les institutions fédérales, les fins auxquelles ils sont utilisés et à qui ils sont communiqués. Il aide également les individus à accéder à leurs renseignements personnels.

Le régime relatif aux FRP n’est toutefois pas particulièrement convivial. Environ 9 000 FRP sont publiés sur les sites Web d’approximativement 250 d’institutions fédérales. De plus, les formulations utilisées, le format et l’organisation du contenu sont complexes, ce qui rend les FRP difficiles à comprendre. Par ailleurs, la plupart des demandeurs ne font pas référence aux FRP lorsqu’ils exercent le droit d’accès à leurs renseignements personnels.

Le régime relatif aux FRP ne reflète pas non plus les réalités modernes du gouvernement. Par exemple, la Loi définit le fichier de renseignements personnels comme un « ensemble ou groupement de renseignements personnels », laissant entendre qu’il s’agit d’un fichier où l’on retrouve les renseignements personnels eux-mêmes. Si cela pouvait être conforme à la réalité en 1983, l’évolution technologique fait en sorte qu’il est maintenant plus juste de définir les FRP comme une description des renseignements personnels regroupés et classés en fonction des programmes et activités de l’institution. Il peut y avoir des retards dans l’enregistrement centralisé des nouveaux FRP et la mise à jour des FRP préétablis, de sorte que les Canadiennes et les Canadiens n’ont pas forcément accès à des renseignements exacts. Si le régime relatif aux FRP semble jouer un rôle important au moment de s’assurer que les institutions fédérales assument bien leurs responsabilités, il n’est pas évident qu’il atteigne pleinement ses objectifs en tant qu’outil de transparence. Les Canadiennes et les Canadiens sont peut-être plus susceptibles de prendre connaissance des avis de confidentialité des programmes dans le cadre desquels ils interagissent avec les institutions fédérales, lesquels contiennent généralement des informations similaires.

Q.2(j) : Comment les exigences de transparence de la Loi sur la protection des renseignements personnels pourraient-elles être adaptées, de façon à ce que l’on fournisse aux Canadiennes et aux Canadiens l’information qui convient, avec le degré de détail approprié, et dans des formats conviviaux susceptibles de s’améliorer à mesure qu’apparaîtront de nouveaux moyens de présenter l’information?

E. Déclaration des atteintes à la vie privée

En plus de devoir veiller à ce que les Canadiennes et les Canadiens puissent constater et comprendre comment les renseignements sont traités au sein du gouvernement, et à leur inspirer confiance à cet égard, il est important de mettre en œuvre les mêmes principes de transparence et de responsabilisation en cas d’atteinte à la vie privée. S’il est important d’adopter des principes et des règles sans équivoque et de mettre en place des mesures rigoureuses pour les prévenir, les atteintes en question peuvent tout de même survenir. Or, en cas d’atteinte, quelles mesures doit-on prendre et quelles doivent-être les conséquences?

Conformément aux recommandations de réforme du commissaire à la protection de la vie privée et à celles de différents intervenants ayant participé aux consultations, le comité ETHI a recommandé que la Loi sur la protection des renseignements personnels soit modifiée de façon à obliger explicitement les institutions fédérales à aviser sans délai le commissaire à la protection de la vie privée en cas d’atteinte substantielle à la vie privée. Le comité ETHI a aussi recommandé que la Loi modifiée prévoie l’obligation d’aviser les personnes concernées, s’il y a lieu, dans la mesure où la notification ne risquerait pas aggraver le préjudice aux individus. Dans son rapport, le comité ETHI note que la plupart des représentants gouvernementaux ayant témoigné ne croyaient pas qu’il serait problématique d’exiger la déclaration des atteintes substantielles à la vie privée. Il est vrai qu’une politique exigeant la déclaration des atteintes à la vie privée est en vigueur depuis 2014.

Depuis que le comité ETHI a déposé son rapport, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a établi un nouveau régime de déclaration et de notification obligatoires des atteintes à la vie privée, désormais en vigueur. Le Commissariat à la protection de la vie privée a d’ailleurs publié des lignes directrices détaillées à l’intention du secteur privé. Le commissaire à la protection de la vie privée a mené un examen approfondi des pratiques de déclaration des atteintes à la vie privée au sein du gouvernement et a formulé un certain nombre de recommandations en la matière.

Ces développements montrent que l’efficacité et l’aspect informatif d’un régime de déclaration des atteintes à la vie privée dépendent de plusieurs facteurs. Il sera important de définir adéquatement les concepts juridiques pertinents et les circonstances dans lesquelles ils s’appliquent. Il sera essentiel d’apporter un soutien adéquat aux institutions pour leur permettre de bien comprendre les règles établies et de les appliquer. Il faudra également prévoir une formation continue et un suivi constant, tout en veillant à ce que le nouveau régime de déclaration des atteintes à la vie privée amène un dialogue fructueux et à ce qu’il ne pénalise pas les institutions qui prennent la peine de s’y conformer. Il serait particulièrement important d’assurer une interprétation uniforme des exigences parmi l’ensemble des institutions fédérales, pour être en mesure de dresser un bilan utile des renseignements qui ressortent de l’actuelle approche de notification en cas d’atteinte, fondée sur des considérations de politique générale.

Q.2(k) : Quelle devrait être la norme à suivre pour déterminer si une atteinte à la vie privée doit être déclarée? Par exemple, comment devrait-on définir ce qui constitue une atteinte « substantielle » dans le secteur public fédéral?

Q.2(l) : Dans quelles circonstances devrait-on aviser les individus touchés par une atteinte à la vie privée?

Q.2(m) : Comment devrait-on gérer les délais à respecter pour la déclaration d’atteinte à la vie privée? Est-il préférable d’adopter une approche prescriptive ou une approche adaptée au contexte?

Q.2(n) : Le commissaire à la protection de la vie privée aurait-il besoin de nouveaux outils ou de nouveaux pouvoirs pour superviser efficacement un régime de déclaration des atteintes à la vie privée?