4. Un cadre de conformité moderne et efficace doté de mécanismes d’application améliorés

Version PDF

Un engagement technique auprès d’experts quant à l’avenir de la Loi sur la protection des renseignements personnels, la loi fédérale en matière de protection des renseignements personnels s’appliquant au secteur public

Nous partageons ce document de discussion avec des intervenants experts pour obtenir leurs points de vue et leurs commentaires sur les considérations techniques et juridiques à prendre en compte dans le cadre de la modernisation de la Loi sur la protection des renseignements personnels. Cet engagement technique ciblé aidera le Gouvernement du Canada à peaufiner les propositions de modifications à la Loi sur la protection des renseignements personnels.

Un cadre de conformité amélioré

Le discours public sur la protection des renseignements personnels insiste souvent sur la nécessité de recours juridiques efficaces pour assurer la protection des données. Cette prémisse ne fait aucun doute. Notre sensibilisation croissante à la valeur des renseignements personnels et aux risques pour les individus, la société et l’économie qui peuvent découler d’une protection insuffisante indique clairement cette direction. En même temps, les problèmes concernant la protection des renseignements personnels découlent fréquemment de pannes de systèmes, d’erreurs humaines et de pratiques internes mal fondées, et non d’intentions malveillantes. Il a donc une place importante pour les mesures de soutien efficaces et systématisées pour aider les institutions fédérales à éviter que des problèmes de conformité ne surviennent en premier lieu.

Comme Innovation, Sciences et Développement économique Canada (ISDE) l’a remarqué dans Renforcer la protection de la vie privée dans l’ère numérique, un commissaire à la protection de la vie privée efficace pourrait être supporté par un cadre de conformité qui réunit quatre éléments principauxNote de bas de page 1 :

Conformité efficace décrite ci-dessous
Version texte : Conformité efficace

Conformité efficace

  • Éducation et sensibilisation
  • Plaintes et enquêtes
  • Conseils et dialogue préalables et proactifs
  • Outils d’application de la loi pour traiter les cas de non-conformité ou les infractions

Dans le secteur public, il est aussi important de tirer parti des forces et des rôles de l’ensemble des entités institutionnelles impliqués.

Le commissariat à la protection de la vie privée (CPVP) veille au respect de la Loi sur la protection des renseignements personnels. Il interprète et applique les dispositions de la Loi. Le commissaire établit ce que la Loi exige des institutions, identifie les problèmes de conformité et formule des recommandations concernant les mesures qu’une institution fédérale devrait prendre pour se conformer à la Loi.

En tant que ministre désigné pour une grande partie de la Loi, le président du Conseil du Trésor appuie également les institutions fédérales dans la mise en œuvre de mesures rigoureuses de gestion de la protection des renseignements personnels. Il est chargé de fournir des directives et des lignes directrices concernant l’application de la Loi et de ses règlements. Le président a exercé ce pouvoir pour publier une série de documents d’orientation et de directives qui aident les institutions fédérales à se conformer aux exigences de la Loi et à mettre en œuvre une gamme de pratiques exemplaires. Le Secrétariat du Conseil du Trésor fournit également des outils et des conseils aux institutions fédérales en général.

En examinant les façons de moderniser la Loi sur la protection des renseignements personnels pour favoriser une conformité accrue, une question importante est de savoir comment tirer le meilleur parti possible des forces et des rôles spécifiques de chacun des acteurs institutionnels. Par exemple, quels outils peut-on donner au commissaire pour tirer le meilleur parti de son expertise et lui permettre de protéger le plus efficacement possible les renseignements personnels des individus en sa qualité d’organisme de surveillance? Et comment le Secrétariat du Conseil du Trésor peut-il s’acquitter au mieux de son mandat qui consiste à établir des politiques et des normes communes pour les pratiques opérationnelles et à fournir aux institutions fédérales des outils à utiliser dans le contexte de la Loi sur la protection des renseignements personnels?

Le présent document de discussion est divisé en deux parties. La première soulève des questions au sujet d’un « cadre de conformité » amélioré qui pourrait être établi dans la Loi sur la protection des renseignements personnels. L’expression « cadre de conformité » vise à décrire un large éventail de mesures structurées pour appuyer et promouvoir la conformité aux exigences législatives prévues par la Loi. La deuxième partie du document porte sur les considérations politiques liées à la demande du commissaire à la protection de la vie privée d’obtenir des pouvoirs accrus en matière d’application de la loi – un nouvel ensemble d’outils qui pourrait être ajouté aux autres mesures pour les rares scénarios dans lesquels des pouvoirs décisionnels contraignants pourraient être nécessaires.

À plusieurs égards, les considérations soulevées dans ce document de discussion reflètent celles que ISDE a présentées pour discussion relative au secteur privé dans Renforcer la protection de la vie privée dans l’ère numérique. Cette concordance reflète le fait que plusieurs des éléments d’un régime de conformité effectif seront à la fois pertinents pour le secteur privé et le secteur public. Une harmonisation appropriée du cadre fédéral en matière de protection des renseignements personnels pourrait assurer que la conformité avec le cadre applicable soit axée sur la perspective de l’individu, une plus grande efficacité au sein du Commissariat à la protection de la vie privée du Canada, et l’équité des expectatives à travers différents secteurs. En même temps, des situations existeront où les approches visant le secteur public seront plus appropriées en raison de différences contextuelles, des différents rôles et acteurs institutionnels, et des relations entre les institutions et les individus. Au long de ce document de discussion, nous vous invitons à réfléchir sur les circonstances qui justifieraient une approche unique en matière de conformité avec le régime de protection des renseignements personnels dans le secteur public.

A. Cadre de conformité à la Loi sur la protection des renseignements personnels : un éventail de mesures de soutien à la conformité

Éducation et sensibilisation

Du point de vue de la conformité, l’un des principaux objectifs sera d’aider les institutions fédérales à atténuer efficacement les risques liés à la protection des renseignements personnels, tant au début qu’au cours du cycle de vie d’un programme ou d’une activité.

Le commissaire à la protection de la vie privée a noté que le Commissariat n’a « aucun pouvoir législatif explicite de déployer des efforts proactifs d’éducation et de sensibilisation sur des questions se rapportant au secteur public. En comparaison, nous avons fait un travail exhaustif en la matière depuis plus de dix ans sous le régime de la LPRPDENote de bas de page 2 ». Le commissaire a recommandé « […] de conférer expressément au commissaire, en vertu de la Loi sur la protection des renseignements personnels, le pouvoir de mener de sa propre initiative des recherches et des études sur des questions d’importance pour le public » et « […] d’entreprendre des activités d’éducation et de sensibilisation du public. De cette façon, son mandat en matière de recherche et d’éducation concorderait avec son mandat actuel découlant de la LPRPDE et ferait progresser les objectifs de la Loi sur la protection des renseignements personnelsNote de bas de page 3 ». Les observations présentées par le commissaire devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (« le Comité ETHI ») lors de sa plus récente étude sur la réforme de la Loi sur la protection des renseignements personnels ont confirmé cette position et la plupart des témoins l’ont soutenue.

L’inclusion d’un mandat explicite d’éducation du grand public dans la Loi pourrait aider le commissaire à la protection de la vie privée à sensibiliser les membres du public quant à leurs droits en vertu de la Loi. Cela pourrait également l’aider à communiquer de façon proactive aux institutions fédérales ses interprétations et ses attentes concernant les exigences de la Loi.

Q.4(a): Le commissaire à la protection de la vie privée devrait-il avoir un mandat explicite d’éducation et de sensibilisation à l’égard du secteur public et, dans l’affirmative, y a-t-il des raisons de s’écarter du modèle actuellement établi dans la LPRPDE?

Conseils et dialogue préalables et proactifs

i. Évaluations des facteurs relatifs à la vie privée

À l’heure actuelle, le Secrétariat du Conseil du Trésor du Canada et le commissaire à la protection de la vie privée aident les institutions fédérales à prévenir et à atténuer les risques d’atteinte à la vie privée grâce au processus d’évaluation des facteurs relatifs à la vie privée (EFVP).

Une EFVP est un outil d’analyse qui vise à cerner, à évaluer, et à éliminer les répercussions que peuvent avoir les programmes gouvernementaux sur la protection des renseignements personnels avant la mise en œuvre ou la modification importante d’un programme ou d’une activité d’une institution fédérale mettant en cause des renseignements personnels. Il s’agit donc d’un élément essentiel d’une approche efficace de « protection des renseignements personnels dès la conception » qui a été jusqu’à maintenant appuyée par la Directive sur l’évaluation des facteurs relatifs à la vie privée du Conseil du Trésor.

La Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor exige que les institutions fédérales préparent une EFVP pour un programme ou une activité nouveaux ou substantiellement modifiés, lorsque les renseignements personnels seront utilisés dans le cadre d’un processus décisionnel qui touche directement un individu. La préparation d’une EFVP est également exigée lorsqu’un programme ou une activité sont transférés à un autre palier de gouvernement ou donnés en sous-traitance au secteur privé. La Directive prévoit que l’EFVP réalisée doit être fournie au Secrétariat du Conseil du Trésor et au Commissariat à la protection de la vie privée.

Lorsqu’il examine une EFVP, le CPVP peut offrir « des conseils […] dans le but d’améliorer les processus de traitement des renseignements personnels des institutions fédéralesNote de bas de page 4 ». Toutefois, le CPVP est d’avis que « c’est aux institutions uniquement qu’incombe la responsabilité découlant des décisions relatives au niveau d’atténuation des risques liés à la protection de la vie privée et de l’acceptation du risque résiduelNote de bas de page 5 ». Le CPVP a indiqué que « ce processus (d’EFVP) […] est très efficace pour cerner et atténuer les risques d’atteinte à la vie privée avant de mettre en œuvre un projet. Cette exigence n’a toutefois pas force de loi, si bien que l’exécution, la qualité et la réalisation au moment opportun des EFVP sont très inégales d’une institution à l’autreNote de bas de page 6 ».

Le commissaire à la protection de la vie privée appuie l’intégration dans la Loi sur la protection des renseignements personnels de l’obligation d’effectuer une EFVP et d’engager le commissaire à la protection de la vie privée avant la mise en œuvre du programme sous-jacent. Plusieurs témoins gouvernementaux ayant comparu devant le Comité ETHI ont fait remarquer que de nombreuses institutions fédérales ont trouvé que leurs interactions d’EFVP avec le commissariat étaient « constructives et collaboratives », bien que le processus puisse être complexe, prendre du temps, et exiger beaucoup de ressources. D’autres témoins ont souligné l’importance d’utiliser l’EFVP comme outil préventif plutôt que réactif, la valeur que la participation du public au processus pourrait ajouter et la nécessité de veiller à ce que les répercussions sur la vie privée fassent l’objet d’une surveillance continue et récurrente.

Une question clé est de savoir s’il y a lieu d’inclure l’obligation d’effectuer une EFVP dans la Loi et comment le faire de la manière la plus efficace possible. Parmi les considérations pertinentes, mentionnons la nécessité d’assurer un processus opportun, d’utiliser efficacement les ressources du Commissariat et des institutions fédérales, de s’assurer que le Commissaire dispose de l’information et du pouvoir discrétionnaire dont il a besoin pour procéder à des interventions utiles et efficaces et de donner confiance aux institutions fédérales dans le résultat de ces discussions.

Q.4(b) : Devrait-on ajouter à la Loi sur la protection des renseignements personnels l’obligation d’effectuer une EFVP? Dans l’affirmative, est-ce que le « testNote de bas de page 7 » présentement prévu par Directive pour déterminer quand une EFVP est requise constitue l’approche la plus appropriée ou existe-t-il d’autres circonstances pour lesquelles une institution devrait être tenue d’effectuer une EFVP?

Q.4(c) : Comment exploiter pleinement le potentiel du processus d’EFVP?

Q.4(d) : Pourrait-on améliorer le processus d’EFVP en établissant le rôle du commissaire à la protection de la vie privée en réponse à une EFVP, y compris ce que le CPVP doit inclure dans toute réponse à une EFVP qu’il examine?

ii. Décisions anticipées en matière de conformité

Certaines administrations ont donné à leurs organismes de surveillance le pouvoir de rendre des décisions anticipées ou de donner des avis consultatifs afin de permettre à des entités réglementées d’obtenir rapidement des directives fiables sur des questions particulièrement complexes. En général, une décision anticipée ou un avis consultatif guidera les entités réglementées sur la façon dont un organisme de surveillance aborderait une question juridique particulière si une plainte à ce sujet était reçue ou si ses pouvoirs de surveillance étaient autrement exercés. La mesure dans laquelle un organisme de surveillance est tenu d’appliquer une décision ou une opinion qu’il a formulée à l’avance varie d’une loi à l’autre suivant la façon dont l’autorité est structurée.

Par exemple, en vertu de la Freedom of Information and Protection of Privacy Act de l’Île-du-Prince-Édouard, un organisme public peut demander au commissaire de l’Î.-P.-É. de fournir des conseils et des recommandations sur toute question concernant les droits et obligations prévus par la loi. Le commissaire peut, « par écrit, fournir au responsable des conseils et des recommandations fondés sur des faits importants énoncés par celui-ci ou sur toute autre considération qu’il juge appropriée » [traduction libre].

Le commissaire à la protection de la vie privée de la Nouvelle-Zélande a établi un processus par lequel les ministres et les organismes gouvernementaux peuvent lui demander un « avis consultatif » concernant l’application de la loi néo-zélandaise de 1993 sur la vie privée (« NZ Privacy Act »). Bien que la loi ne prévoie pas expressément le pouvoir du commissaire de donner des avis consultatifs, ce dernier a établi une politique permettant aux ministres et aux organismes d’obtenir un avis consultatif de son commissariat concernant leurs obligations en vertu de la loi néo-zélandaise.

D’autres organismes publics fédéraux au Canada ont le pouvoir d’émettre des avis consultatifs. Par exemple, la commissaire au lobbying a le pouvoir d’émettre des avis consultatifs, le commissaire de la concurrence a le pouvoir d’émettre un avis écrit exécutoire concernant l’application d’un ou de plusieurs articles de la Loi sur la concurrence et l’Agence du revenu du Canada rend des décisions anticipées par l’entremise de la Direction des décisions en impôt.

Dans la mesure où la Loi pourrait être modifiée pour inclure un régime fondé sur des principes, les institutions fédérales disposeraient d’une certaine souplesse quant à la façon d’assurer la conformité. Dans ce contexte, de nouvelles façons de collaborer avec le commissaire à la protection de la vie privée pour obtenir rapidement des conseils pourraient favoriser une gestion efficace des risques et promouvoir l’utilisation stratégique des ressources du CPVP. En même temps, il serait important de veiller à ce que les institutions fédérales demeurent indépendantes et responsables de leurs propres décisions.

Q.4(e) : Le rôle d’orientation du commissaire à la protection de la vie privée devrait-il inclure le pouvoir de rendre des décisions anticipées ou de donner des avis consultatifs?

Q.4(f) : Dans quelles circonstances l’émission d’une décision anticipée ou d’un avis consultatif serait-elle appropriée? Pourrait-elle être intégrée au processus d’EFVP dans certaines circonstances?

Plaintes et enquêtes

Lorsqu’ils ne sont pas satisfaits de la réponse d’une institution à une demande de renseignements personnels ou lorsqu’ils ne sont pas satisfaits de la gestion de leurs renseignements personnels par une institution fédérale, les individus peuvent déposer une plainte auprès du commissaire à la protection de la vie privée. Comme d’autres modèles d’ombudsman, ce système fondé sur les plaintes vise à promouvoir l’accès à la justice en offrant aux individus des recours simples et sans formalités, en dehors d’un système judiciaire. Toutefois, l’efficacité et l’efficience du règlement des plaintes ont également une incidence sur l’accès à la justice.

Présentement, la fonction d’enquête sur les plaintes du commissaire à la protection de la vie privée n’est pas structurée de manière à lui permettre de réglementer le plus efficacement possible la conformité des institutions fédérales à la Loi sur la protection des renseignements personnels. Certains aspects de cette fonction peuvent même nuire à sa capacité d’assurer une conformité maximale à la Loi de la façon la plus stratégique et efficace possible.

Par exemple, la Loi sur la protection des renseignements personnels exige que le commissaire à la protection de la vie privée accepte chaque plainte reçue par le Commissariat et fasse enquête. Le nombre de plaintes augmente et le commissaire a noté que « [d]epuis quelques années, un nombre croissant de plaintes frivoles et vexatoires sont déposées auprès du Commissariat. Or, les dispositions actuelles de la Loi ne lui laissent d’autre choix que de faire enquête ». Même dans le cas de plaintes fondées, les ressources nécessaires pour mener à bien de nombreuses enquêtes peuvent être extrêmement disproportionnées par rapport à l’avantage public tiré de l’exercice. Un modèle de surveillance axé sur la demande et sur les plaintes qui consomme d’importantes ressources peut faire en sorte que des questions de conformité importantes et plus vastes échappent à l’attention du commissaire à la protection de la vie privée. La résolution nationale de 2012 de l’Association du Barreau canadien demandant que la Loi sur la protection des renseignements personnels autorise le commissaire à refuser d’enquêter sur certaines plaintes a d’ailleurs relevé que l’absence d’un tel pouvoir constituait une importante question d’accès à la justice. De tels changements seraient conformes à certaines modifications à la Loi sur l’accès à l’information proposées dans le projet de loi C-58. Entre autres choses, le projet de loi C-58 propose d’autoriser le commissaire à l’information à refuser ou à cesser d’enquêter sur une plainte qu’il juge futile, frivole, vexatoire ou faite de mauvaise foi.

En avril 2014, à l’issue d’une consultation publique [en anglais], la commissaire du Royaume-Uni a introduit une nouvelle approche [en anglais] des plaintes afin de s’acquitter de ses responsabilités réglementaires de manière aussi efficace et efficiente que possible. Lorsque la commissaire du Royaume-Uni reçoit une plainte, celle-ci est cataloguée et analysée. Les plaintes sont évaluées afin de déterminer si elles soulèvent une préoccupation ponctuelle ou si elles témoignent de l’existence d’un ensemble de mauvaises pratiques, et l’intensité de la réponse réglementaire de la commissaire variera en conséquence. La commissaire publie régulièrement des rapports sur l’exercice de son pouvoir discrétionnaire dans ce contexte et s’appuie sur son catalogage et son analyse préliminaire des plaintes pour recueillir des renseignements qui lui permettent d’orienter de façon plus stratégique son enquête sur les plaintes et d’élargir ses ressources de sensibilisation du public.

Q.4(g) : Le commissaire à la protection de la vie privée devrait-il avoir le pouvoir discrétionnaire de refuser de faire enquête sur une plainte? Dans quelles circonstances?

Q.4(h) : Le commissaire à la protection de la vie privée devrait-il avoir le pouvoir discrétionnaire de mettre fin à une enquête sur une plainte ou de refuser de préparer un rapport d’enquête complet? Dans l’affirmative, dans quelles circonstances?

En vertu de la LPRPDE, le commissaire à la protection de la vie privée peut refuser d’enquêter sur une plainte si d’autres procédures d’examen raisonnablement disponibles n’ont pas été épuisées en premier. Il est également autorisé à mettre fin à une enquête sur une plainte si l’« organisation [du secteur privé] a apporté une réponse juste et équitable à la plainte ». Ces dispositions visent généralement à donner à une organisation du secteur privé l’occasion de répondre d’abord à une plainte, avant que le commissaire à la protection de la vie privée n’intervienne. Elles peuvent créer des incitatifs efficaces pour encourager les organisations à répondre aux préoccupations d’un individu, car cela peut éviter la tenue d’une enquête officielle par le commissaire à la protection de la vie privée. Lorsque ce processus préliminaire s’est déroulé par écrit et dans des délais raisonnables, même les efforts infructueux pour régler une plainte de façon informelle pourraient simplifier la fonction d’obtention d’éléments de preuve et d’enquête du commissaire.

Q.4(i) : La Loi sur la protection des renseignements personnels devrait-elle être modifiée pour exiger que le plaignant adresse d’abord sa plainte à l’institution fédérale concernée?

Médiation des plaintes

Le commissaire à la protection de la vie privée a élaboré et mis en œuvre un processus de « règlement rapide » qui vise à régler les plaintes en dehors d’un processus officiel d’enquête sur les plaintes. Dans son rapport annuel de 2017-2018, il note que le CPVP a réglé plus du tiers des plaintes déposées en vertu de la Loi sur la protection des renseignements personnels par le biais du processus de règlement rapide au cours des trois dernières années. Le délai de traitement moyen était approximativement de quatre mois, comparativement à environ onze mois pour une enquête officielle. Le processus de règlement rapide constitue un processus de règlement des plaintes par médiation informelle qui a démontré sa capacité à fournir des résultats rapides et efficaces aux plaignants individuels.

Q.4(j) : Comment concilier au mieux le rôle de médiation du commissaire à la protection de la vie privée avec l’introduction éventuelle du pouvoir de rendre des ordonnances?

B. Outils d’application de la loi pour traiter les cas de non-conformité

Le modèle actuel d’ombudsman fondé sur les plaintes s’est généralement avéré efficace pour assurer la conformité à la Loi sur la protection des renseignements personnels. Toutefois, son efficacité et sa capacité à livrer les meilleurs résultats ont été remis en question. Selon ce modèle, le commissaire à la protection de la vie privée reçoit les plaintes concernant la conformité des institutions fédérales à la Loi sur la protection des renseignements personnels et fait enquête. Il termine les enquêtes inquisitoires et prépare des rapports, qui peuvent comprendre des recommandations non contraignantes. Le rapport et les recommandations peuvent ensuite servir de base à un règlement négocié entre le Commissariat et l’institution fédérale. À l’heure actuelle, la Loi sur la protection des renseignements personnels ne permet pas au commissaire à la protection de la vie privée d’émettre des ordonnances contraignantes.

Les institutions fédérales doivent tenir compte d’un large éventail de considérations de politique publique à facettes multiples et parfois concurrentes lorsqu’elles conçoivent et mettent en œuvre des programmes gouvernementaux qui utilisent des renseignements personnels. Les budgets ne sont pas illimités; les technologies de l’information peuvent être désuètes, coûteuses et difficiles à améliorer malgré les avantages qu’elles procurent; et des régimes juridiques et des objectifs politiques qui se chevauchent sont habituellement en jeu. Il existe généralement différentes façons de se conformer aux exigences énoncées dans la Loi sur la protection des renseignements personnels, et non pas une seule façon de le faire. Certains des retards dans le processus actuel de règlement des plaintes peuvent être liés à la complexité croissante des questions de protection des renseignements personnels. Compte tenu de ces réalités, une question importante et complexe est de savoir quelles mesures pourraient être introduites dans la Loi pour permettre au commissaire à la protection de la vie privée du Canada de traiter le plus efficacement possible les cas de non-conformité potentielle.

Accords de conformité

L’un des outils dont dispose le commissaire à la protection de la vie privée du Canada en vertu de la LPRPDE est le pouvoir de conclure des accords de conformité avec des organisations. Il s’agit d’un pouvoir relativement nouveau aux termes de la LPRPDE, disponible lorsque le commissaire a des motifs raisonnables de croire qu’une organisation a commis, est sur le point de commettre ou est susceptible de commettre un acte ou une omission qui pourrait constituer une violation de la LPRPDE. Un accord de conformité permet à une organisation d’accepter de prendre certaines mesures visant à assurer la conformité, que la non-conformité soit concédée ou non. Une fois conclu, un accord de conformité empêche le commissaire à la protection de la vie privée d’intenter un recours devant la Cour fédérale à l’égard de toute question visée par l’accord. Toutefois, si une organisation ne respecte pas les engagements pris dans un accord, le commissaire peut demander à la Cour fédérale, entre autres, de rendre une ordonnance enjoignant à l’organisation de se conformer aux conditions de l’accord de conformité.

Lorsque le commissaire à la protection de la vie privée a comparu devant le Comité sénatorial permanent des transports et des communications pour discuter des modifications à la LPRPDE qui permettraient notamment de conclure des accords de conformité, il a exprimé son ferme appui à ce pouvoir particulier. À son avis, cela faciliterait la tâche du Commissariat en lui permettant de s’assurer que les organisations respectent les engagements qu’elles ont pris au cours des enquêtes, inciterait les organisations à conclure un accord et à honorer leurs engagements, offrirait un mécanisme de recours lorsque les organisations ne respectent pas un accord et donnerait à toutes les parties davantage de latitude pour résoudre des questions complexes dans un délai plus réaliste et raisonnable comme solution de rechange à un procès immédiat.

Étant donné que les accords de conformité sont actuellement un outil utilisé par le commissaire à la protection de la vie privée dans le contexte du secteur privé, les accords de conformité négociés avec les institutions fédérales pourraient offrir les mêmes avantages dans le secteur public, à savoir réduire au minimum la nécessité d’une enquête prolongée ou de mobiliser les ressources de la Cour fédérale à des fins d’application de la loi.

Q.4(k) : L’introduction d’accords de conformité serait-elle un moyen efficace de promouvoir une résolution négociée mais exécutoire des questions complexes de protection des renseignements personnels dans le contexte du secteur public?

Pouvoir de rendre des ordonnances

Lorsque des problèmes de conformité surviennent dans le contexte d’une enquête sur une plainte, nous savons, d’après les statistiques tenues par le commissaire à la protection de la vie privée, qu’il est très rare que des mesures coercitives soient nécessaires pour y remédier. Le Rapport sur les résultats ministériels 2017-2018 du commissaire indique que 97 % de toutes les plaintes et de tous les incidents des secteurs public et privé ont été réglés à la satisfaction du Commissariat l’an dernier. Autrement dit, dans les secteurs public et privé combinés, seulement 3 % des plaintes et des incidents n’ont pas été réglés à la satisfaction du commissaire à la protection de la vie privée par voie de règlement négocié.

Bien que le commissaire à la protection de la vie privée et les institutions fédérales parviennent habituellement à des solutions négociées en matière de conformité, le commissaire a relevé des problèmes liés au processus. Il s’est dit préoccupé par le fait que les efforts pour parvenir à un règlement négocié peuvent être « longs et ardusNote de bas de page 8 », que les institutions fédérales « ne sont pas forcément tenues de fournir au Commissariat des documents complets dès le départNote de bas de page 9 » et que « le gouvernement ne subit aucune sanction s’il ne donne pas suite rapidement aux résultats de nos enquêtesNote de bas de page 10 ». De plus, il peut y avoir des situations où il n’est pas possible de négocier la conformité.

Dans son rapport, le Comité ETHI a noté un consensus parmi les témoins selon lequel le modèle actuel d’ombudsman avec pouvoirs de recommandation n’est pas efficace en fin de compte malgré ses résultats. Des témoins ont indiqué que la Loi sur la protection des renseignements personnels était largement perçue comme dépourvue de mécanismes d’application adéquats. Il y avait différents points de vue sur le modèle de surveillance qui pourrait constituer le meilleur substitut. De nombreuses provinces disposent d’un modèle exécutoire permettant la prise d’ordonnances contraignantes. Terre-Neuve-et-Labrador a un modèle « hybride » qui permet à son commissaire d’émettre des recommandations qui peuvent être transformées en ordonnances exécutoires à sa discrétion. Les données dont dispose le Comité ETHI suggèrent que ces deux types de modèles de prise d’ordonnances sont efficaces. Depuis le rapport du Comité ETHI, le gouvernement a présenté le projet de loi C-58, qui établit une autre approche de la prise d’ordonnances élaborée pour convenir au contexte fédéral de l’accès à l’information. ISDE étudie également la possibilité d’apporter des modifications à la surveillance exercée par le commissaire à la protection de la vie privée en vertu de la LPRPDE pour le secteur privé, notamment en ce qui concerne le pouvoir de rendre des ordonnances limitées sous forme d’ordonnances de cessation et de préservation des dossiers.

La possibilité d’introduire le pouvoir de rendre des ordonnances dans la Loi sur la protection des renseignements personnels soulève un certain nombre de considérations importantes.

(i) Rôles institutionnels

Le respect des rôles institutionnels est une considération importante, particulièrement dans le cadre d’une loi fondée sur des principes qui donnerait aux institutions fédérales une certaine autonomie quant aux mécanismes particuliers qu’elles utilisent dans certaines circonstances pour satisfaire aux exigences de la loi. Le contrôle judiciaire des décisions discrétionnaires offre une analogie qui fait bien ressortir la question. Un tribunal qui contrôle judiciairement une décision discrétionnaire n’ordonnera normalement pas un résultat particulier. Le tribunal renvoie plutôt l’affaire au décideur, habilité par la loi, pour qu’il exerce à nouveau son pouvoir discrétionnaire conformément à l’analyse du tribunal. Ce processus respecte le rôle du tribunal, qui est d’identifier les questions justifiant une intervention judiciaire, et le rôle d’un décideur, qui est d’exercer correctement le pouvoir discrétionnaire conféré par la loi.

Le commissaire à la protection de la vie privée possède manifestement une expertise considérable dans la détermination des questions de conformité en vertu de la Loi sur la protection des renseignements personnels et leur règlement. Toutefois, les complexités plus vastes de la politique publique inhérentes à la conception des programmes, un cadre législatif qui donne aux organisations responsables un certain pouvoir discrétionnaire et les principes de la responsabilité ministérielle pourraient tous être des facteurs qui font que les dirigeants d’institutions sont les mieux placés pour prendre des décisions sur la façon, en particulier, de se mettre en conformité.

De nombreuses administrations provinciales dotées du pouvoir de rendre des ordonnances abordent cette question des rôles institutionnels en circonscrivant les types d’ordonnances que leurs commissaires peuvent rendre. La plupart des provinces qui confèrent le pouvoir de rendre des ordonnances limitent habituellement leurs commissaires à rendre des ordonnances précises pour accorder l’accès aux renseignements personnels, apporter des corrections, détruire des renseignements personnels ou cesser de les recueillir, et utiliser ou communiquer des renseignements personnels. Ces ordonnances strictement définies visent à assurer la cessation des pratiques non conformes relevées dans le cadre d’une enquête sur une plainte ou d’un processus d’enquête. Les limites conférées au pouvoir d’ordonnance reflètent les rôles institutionnels distincts des commissaires et des institutions fédérales. Le commissaire est chargé d’enquêter sur les cas de non-conformité, de mettre fin aux instances de non-conformité, et de formuler des recommandations additionnelles. Les institutions fédérales ont la responsabilité de prendre des décisions sur la façon d’assurer la conformité à l’avenir. Les commissaires ne sont normalement pas habilités à ordonner aux institutions fédérales de mettre en œuvre des mesures d’observation particulières au-delà de leurs pouvoirs tels que définis dans leur loi habilitante, ou à rendre des ordonnances en dehors de leurs fonctions d’enquête et d’arbitrage des plaintes (p. ex. dans le cadre des EFVP).

Q.4(l) : Si le pouvoir de rendre des ordonnances est introduit dans la Loi sur la protection des renseignements personnels, comment ce pouvoir pourrait-il être conçu de manière à respecter les rôles institutionnels du commissaire à la protection de la vie privée et des institutions fédérales?

(ii) Incidence sur l’accès à la justice

Les répercussions possibles sur les plaignants et l’accès à la justice doivent également être évaluées. L’une des caractéristiques les plus précieuses du régime actuel est le rôle de défense des intérêts qu’il permet au commissaire à la protection de la vie privée de jouer au nom des plaignants. Le plaignant n’est pas tenu de présenter ses propres arguments au cours de l’enquête du commissaire à la protection de la vie privée et peut se faire représenter par celui-ci au cours d’une enquête et de toute procédure judiciaire connexe en vertu de la Loi. Une fonction judiciaire donnant lieu à des ordonnances exécutoires exigerait une plus grande neutralité de la part du commissaire à la protection de la vie privée ou d’autres garanties, comme un processus de contrôle judiciaire de novo.

Ces questions ont été bien exprimées lors de l’examen parlementaire du projet de loi C-58. Dans le cas du projet de loi C-58, le maintien d’un processus d’examen de novo a été considéré comme une garantie importante qui a permis au commissaire à l’information de conserver la capacité de représenter et de défendre les plaignants, surtout devant la Cour fédérale dans les cas où une institution fédérale pourrait contester les ordonnances du commissaire à l’information. Et dans les modèles provinciaux permettant de rendre des ordonnances qui utilisent un processus de contrôle judiciaire traditionnel – et non de novo – les commissaires ne sont pas habilités à représenter les plaignants devant les tribunaux. En vertu des modèles existants, un choix a toujours été fait entre le contrôle de novo (qui permet au commissaire de défendre les plaignants devant les tribunaux dans le cadre d’un contrôle judiciaire sans porter préjudice à l’autre partie) et un modèle de contrôle judiciaire déférent (qui exige que les plaignants se représentent eux-mêmes, tant pendant le processus décisionnel du commissaire que dans tout contrôle judiciaire ultérieur).

Q.4(m) : Comment un modèle de prise d’ordonnances en vertu de la Loi sur la protection des renseignements personnels pourrait-il conserver les éléments du régime actuel qui favorisent l’accès à la justice pour les plaignants?

(iii) Coûts potentiels

La proportionnalité entre les coûts et les avantages du passage à un modèle de prise d’ordonnances est également importante. Les statistiques indiquent que les taux de conformité dans le secteur public sont déjà très élevés, ce qui donne fortement à penser que même avec un régime de prise d’ordonnances en place, peu d’ordonnances seront rendues. Il existe également une possibilité réelle que des modifications aux procédures soient apportées au modèle existant afin d’améliorer l’efficacité du processus actuel. De plus, une vaste gamme de modernisations législatives sont à l’étude, dont bon nombre pourraient atténuer efficacement les risques, favoriser la conformité proactive et détourner le commissaire à la protection de la vie privée d’un modèle de surveillance réactif axé sur les plaintes. Dans ces circonstances, il pourrait être difficile de justifier l’adoption d’un modèle de prise d’ordonnances qui nécessiterait des changements administratifs et organisationnels importants ou coûteux.

Q.4(n) : L’élargissement de la compétence de la Cour fédérale en matière de contrôle judiciaire afin d’assurer l’existence de recours judiciaires complets pour l’ensemble des droits prévus par la Loi sur la protection des renseignements personnels serait-il une alternative valable au pouvoir de rendre des ordonnances, à la lumière des répercussions d’un tel changement?

(iv) Conséquences imprévues

Enfin, il est également évident que les institutions fédérales profitent grandement de leur dialogue avec le Commissariat à la protection de la vie privée. Il y a un risque que le passage à un modèle de prise d’ordonnances plus officiel et juridictionnel ait un effet contraire à celui recherché par le commissaire à la protection de la vie privée. L’Association du Barreau canadien a laissé entendre que les organisations du secteur privé pourraient être plus réticentes à engager un dialogue coopératif avec un commissaire à la protection de la vie privée doté du pouvoir de rendre des ordonnances. Il pourrait en être de même pour les institutions fédérales. Toutefois, les commissaires à la protection de la vie privée des provinces ont témoigné que cela ne correspondait pas à leur expérience.

Ce risque pourrait être géré en séparant strictement les fonctions de conseils et de dialogue proactifs des mécanismes négociés de règlement des plaintes et des mécanismes d’arbitrage des plaintes. Il serait cependant essentiel que les institutions aient confiance dans cette séparation des fonctions.

Q.4(o) : Si le pouvoir de rendre des ordonnances était introduit, quelles dispositions législatives seraient nécessaires pour que les institutions fédérales aient confiance dans une séparation efficace des fonctions au sein du Commissariat à la protection de la vie privée?