Respect, responsabilité, adaptabilité : Consultation publique concernant la modernisation de la Loi sur la protection des renseignements personnels
Table des matières
- Une consultation publique sur le futur de la Loi sur la protection des renseignements personnels
- Une vision pour la modernisation de la Loi sur la protection des renseignements personnels
- La Loi sur la protection des renseignements personnels et la réconciliation avec les peuples autochtones au Canada
- La modernisation de la Loi sur la protection des renseignements personnels et larévision de la Loi sur l’accès à l’information
- Propositions de modernisation de la Loi sur la protection des renseignements personnels aux fins de discussion
- 1. Changer le titre de la Loi
- 2. Moderniser la disposition d’objet pour qu’elle reflète mieux les objectifs généraux de la Loi
- 3. Intégrer des principes dans la Loi sur la protection des renseignements personnels qui s’inspirent des modèles internationaux
- 4. Clarifier les concepts
- 5. Mettre à jour les droits et obligations et en instaurer de nouveaux
- 6. Mettre à jour les règles relatives à la collecte, à l’utilisation, à la communication et à la conservation des renseignements personnels
- 7. Accorder un rôle plus important aux renseignements personnels anonymisés
- 8. Introduire des mécanismes de responsabilisation plus solides dans la Loi
- 9. Moderniser les pratiques en matière de transparence
- 10. Favoriser un dialogue ouvert et fournir des orientations accessibles au public
- 11. Créer un cadre de conformité amélioré pour traiter les questions non résolues
- Contribution à la discussion
- Annexe 1 : Introduction de nouveaux principes de protection des renseignements personnels
- 1.1 Aperçu
- 1.2 Nouveaux principes de protection des renseignements personnels fondés sur des principes de protection des données reconnus à l’échelle internationale
- 1.3 Principes de protection des renseignements personnels proposés au titre de la Loi sur la protection des renseignements personnels
- 1.4 Principes de protection des renseignements personnels et dispositions complémentaires
- 1.5 Recours à de nouveaux principes pour les nouveaux scénarios : conformité fondée sur des principes
- 1.6 Rapports publics et dialogue entourant la conformité fondée sur des principes
- Annexe 2 : Un cadre nouveau et mis à jour pour la collecte, l’utilisation, la communication et la conservation des renseignements personnels
- Annexe 3 : Un modèle de responsabilisation renouvelé et de nouveaux outils pour assurer une véritable transparence
- Annexe 4 : Un nouveau cadre de surveillance pour la Loi sur la protection des renseignements personnels
- Annexe 5 : Glossaire
Une consultation publique sur le futur de la Loi sur la protection des renseignements personnels
Le gouvernement du Canada souhaite consulter les Canadiens et les Canadiennes sur des idées pour moderniser la Loi sur la protection des renseignements personnels – la loi canadienne qui protège les renseignements personnels dans le secteur public fédéral. Cette loi constitue le cadre juridique quasi-constitutionnel du Canada en ce qui concerne la collecte, l’utilisation, la communication, la conservation et la protection des renseignements personnels détenus par les organismes publics fédéraux.Note de bas de page 1
De nombreuses choses ont changé depuis l’entrée en vigueur de la Loi, en 1983. Aujourd’hui, l’information est en grande partie numérique, ce qui en facilite la collecte, le stockage et l’analyse. La transition continue vers le numérique présente de précieuses pour le gouvernement du Canada, les organismes publics fédéraux et, ultimement, les Canadiens et les Canadiennes. Cette transition vers le numérique a le potentiel de faciliter les interactions des Canadiens et des Canadiennes avec le gouvernement fédéral et de leur offrir une expérience plus harmonieuse lorsqu’ils cherchent à obtenir un service ou une prestation. La vision du gouvernement consiste à offrir des services axés sur l’expérience de l’utilisateur, à faire preuve de transparence et de collaboration, et à tirer parti du numérique, ce qui nécessite une certaine souplesse dans la façon dont les renseignements sont utilisés et partagés au sein de l’appareil fédéral. De plus, une meilleure intégration des données à l’échelle du gouvernement fédéral peut avoir des avantages marqués pour les Canadiens et les Canadiennes : en donnant au gouvernement fédéral une meilleure idée des besoins du public, elle lui permet d’être plus efficace, de mieux coordonner les services publics et de prendre des décisions plus éclairées.
Cependant, la capacité à recueillir, à analyser et à stocker de plus en plus de renseignements personnels soulève également d’importants défis en matière de protection de la vie privée. Les Canadiens et les Canadiennes s’attendent, à juste titre, à ce que le gouvernement fédéral accède à leurs données pour de bonnes raisons, à ce qu’il y ait des limites à l’utilisation et au partage de ces données et à ce que des protections soient mises en place. Une question clé à laquelle le gouvernement fait face est de savoir comment actualiser une loi vieille de plusieurs décennies afin que les Canadiens et les Canadiennes puissent bénéficier des nombreuses promesses du monde numérique, tout en respectant leurs attentes modernes quant à la manière dont leurs renseignements doivent être utilisés, gérés et protégés.
Les idées mises de l’avant dans le présent document de discussion ont été éclairées par l’examen préalable et réfléchi de ces questions complexes par le Commissariat à la protection de la vie privée du Canada, le comité ETHI (Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes) et les participants à la consultation technique préliminaire menée par le ministère de la Justice du Canada en 2019. Ces idées ont aussi bénéficié de discussions avec les ministères et organismes fédéraux, d’échanges et de discussion avec des parties prenantes autochtones, et d’échanges préliminaires avec les membres du public canadien.
Il est essentiel de consulter le public au sujet des éventuelles approches à adopter en vue de moderniser la Loi sur la protection des renseignements personnels. Cette consultation permettra au gouvernement du Canada de développer l’approche la plus efficace en matière de réforme législative.
Pour en savoir plus au sujet de la Loi sur la protection des renseignements personnels et de l’incidence qu’elle peut avoir pour vous, vous pouvez consulter les pages Web du ministère de la Justice Canada consacrée à la consultation publique sur sa modernisation. Nous vous invitons également à remplir notre questionnaire Web, à nous fournir une soumission et à participer à l’une de nos discussions en ligne.
Une vision pour la modernisation de la Loi sur la protection des renseignements personnels
Une Loi sur la protection des renseignements personnels modernisée devrait renforcer la confiance des Canadiens et des Canadiennes dans la manière dont les organismes publics fédéraux traitent, gèrent et protègent leurs renseignements personnels. Le gouvernement du Canada a pour vision de moderniser cette loi afin qu’elle reflète mieux les attentes contemporaines quant aux mesures que doivent prendre les organismes publics fédéraux, tant pour protéger les renseignements personnels des individus que pour en faire un meilleur usage en vue d’assurer leur sécurité, de leur faciliter la vie et d’apporter des solutions innovantes aux difficultés auxquelles ils doivent faire face. En ce sens, la version modernisée de la Loi devra refléter comment les organismes publics fédéraux assurent une gestion responsable et efficace des renseignements personnels que les Canadiens et les Canadiennes leur ont confié, tout en leur permettant de s’améliorer et de s’adapter aux changements sociétaux et technologiques qui surviendront au fil du temps.
Trois piliers
Cette vision de modernisation de la Loi sur la protection des renseignements personnels s’appuie sur trois piliers :
- Le respect des individus, qui passe par l’établissement de droits et d’obligations en matière de protection des renseignements personnels, en tenant compte de la réalité de l’ère numérique.
- La responsabilité, qui doit être à la fois constructive et transparente. Pour les organismes publics fédéraux, être responsable signifie démontrer la mise en place de pratiques de gouvernance et de surveillance rigoureuses leur permettant d’assurer une gestion responsable et efficace des renseignements personnels dont ils disposent.
- L’adaptabilité, pour permettre aux organismes publics fédéraux d’innover. Les nouvelles technologies, les nouveaux modèles d’affaires, les nouvelles capacités, les changements perturbateurs et les circonstances imprévues sont aujourd’hui la norme. La Loi modernisée devra établir un cadre souple qui aide les organismes publics fédéraux à composer efficacement avec les pressions qu’occasionne un changement constant. L’adoption d’une approche rigide de la réglementation relative aux renseignements personnels ne serait adaptée ni aux attentes des individus ni à la diversité des contextes dans lesquels les organismes publics fédéraux recueillent, utilisent et communiquent des renseignements personnels.
Assurer l’équivalence essentielle avec les autres régimes de protection des données de premier plan
La Loi sur la protection des renseignements personnels n’est qu’un des éléments du cadre de plus en plus global liant la réglementation des pratiques impliquant des renseignements personnels au sein des secteurs public et privé, et ce, au sein de nombreux ressorts. La Loi devrait être compatible avec les autres grands régimes de protection des données du Canada et d’ailleurs afin d’assurer l’harmonisation avec les exigences de base de ces régimes. En même temps, la Loi sur la protection des renseignements personnels présente de nombreuses caractéristiques uniques qui ont bien servi les Canadiens et les Canadiennes au fil des ans. Ces caractéristiques constituent un fondement solide pour apporter des améliorations propres au contexte canadien.
Un point de départ serait de mieux harmoniser la Loi sur la protection des renseignements personnels avec la Loi sur la protection des renseignements personnels et des documents électroniques, une loi fédérale qui s’applique au secteur privé. La cohérence entre ces lois fédérales pourrait simplifier le régime de protection des renseignements personnels pour tous, améliorer l’interopérabilité nationale, prévenir les lacunes en matière de responsabilité lorsqu’il y a interaction entre les secteurs public et privé, et confirmer encore davantage la conformité de la Loi sur la protection des renseignements personnels avec les normes mondiales établies. Bien qu’elles comportent certaines différences de terminologie et d’approches, les deux lois ont été influencées par les Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données à caractère personnel, texte fondamental de l’OCDE. Ces lignes directrices de l’OCDE ont été établies en 1980 et mises à jour en 2013 pour tenir compte des développements importants dans le domaine de la protection internationale des données, y compris la modernisation de la Convention no 108, la mise en œuvre du Cadre de protection de la vie privée de l’APEC et le Règlement général sur la protection des données (RGPD) de l’Union européenne. Une Loi sur la protection des renseignements personnels modernisée devra également refléter ces importants développements internationaux.
Neutralité technologique
Une Loi sur la protection des renseignements personnels moderne devra mettre l’accent sur la neutralité technologique, c’est-à-dire qu’elle ne devra privilégier l’utilisation d’aucun type particulier de technologie. Cela permettra aux organismes publics fédéraux d’envisager des moyens nouveaux et différents de s’acquitter de leurs fonctions et de s’assurer que la Loi conserve sa pertinence relativement aux nouvelles technologies. Elle leur permettra également de réglementer les pratiques nouvelles et de réagir rapidement aux changements.
La Loi sur la protection des renseignements personnels et la réconciliation avec les peuples autochtones au Canada
La Loi sur la protection des renseignements personnels joue un rôle important dans l’orientation des relations du gouvernement fédéral avec les individus. Cela dit, sa modernisation vise aussi à faire progresser la réconciliation avec les peuples autochtones du Canada, car il s’agit d’une occasion de reconnaître la réalité particulière des Autochtones, de leurs collectivités et de leurs gouvernements, d’y affirmer les modalités qui leur sont propres et de leur donner les moyens d’en tirer parti.
Cette consultation publique offre certes l’occasion à tous les Canadiens et les Canadiennes, y compris les Autochtones, de donner leur avis sur les idées de modifications possibles à la Loi sur la protection des renseignements personnels, mais les discussions en cours avec les gouvernements et organisations autochtones ont fait ressortir certaines répercussions particulières que la Loi peut avoir sur les Autochtones et leurs communautés respectives. De plus, aborder la question du contrôle des peuples autochtones de leurs renseignements et de leurs données est une étape importante vers la réconciliation. Le ministère de la Justice du Canada poursuit ses discussions avec les gouvernements et les organisations autochtones afin de mieux comprendre certaines questions qui ont été mises en évidence lors de discussions antérieures, dont les suivantes :
- Reflet de la diversité des gouvernements autochtones : Une idée envisagée est celle de remplacer la définition actuelle de « gouvernement autochtone » par une définition plus souple qui reflète la diversité des modèles de gouvernance autochtones.
- Des partenariats d’échange d’information : Compte tenu de la nature particulière, du caractère délicat et de la quantité de renseignements personnels que les organismes publics fédéraux peuvent détenir en lien avec les Autochtones, la version modernisée de la Loi sur la protection des renseignements personnels pourrait faciliter la conclusion d’ententes de partage de renseignements avec les gouvernements autochtones et leurs institutions à des fins plus variées que celles actuellement reconnues à l’alinéa 8(2)f) de la Loi. Répondre au besoin de tels partages de renseignements avec les gouvernements autochtones et leurs communautés est une façon d'aider les peuples autochtones à s'orienter vers l'autonomie gouvernementale.
- Communication continue pour la recherche sur les revendications : En reconnaissance du fait que l’avancement des revendications historiques peut exiger et justifier la communication de renseignements personnels, la Loi permet actuellement au gouvernement fédéral de communiquer des renseignements personnels en vue de « l’établissement des droits des peuples autochtones ou du règlement de leurs griefs ». L’une des questions à examiner est la communication de renseignements personnels à ce genre de fins.
- Nouveaux mécanismes de gouvernance en appui aux approches consultatives : La protection des renseignements personnels des Autochtones et l’accès à ces renseignements peuvent susciter des questions particulièrement complexes. Les organisations et les gouvernements autochtones veulent exercer un contrôle sur les décisions concernant les renseignements personnels de leurs membres. De nouveaux mécanismes et outils pourraient permettre de résoudre ces enjeux.
- Intérêts particuliers des Autochtones pour une approche collective de la protection des renseignements personnels : Les intérêts individuels et collectifs des Autochtones quant à la protection des renseignements personnels peuvent être profondément liés. Ceci pose la question de la capacité, pour la Loi sur la protection des renseignements personnels, de refléter ce concept unique de l’approche collective de la protection des renseignements personnels.
La modernisation de la Loi sur la protection des renseignements personnels et la révision de la Loi sur l’accès à l’information
Plus tôt cette année, le gouvernement du Canada a lancé une révision de la Loi sur l’accès à l’information. Cette révision examinera le cadre législatif, étudiera des possibilités d’améliorer la publication proactive pour rendre l’information ouvertement disponible, et évaluera les processus et les systèmes pour améliorer le service et réduire les délais de traitement. Le gouvernement du Canada mobilisera les Canadiens et les Canadiennes relativement à ces questions importantes et sollicitera également l’avis des Autochtones sur les aspects de la Loi sur l’accès à l’information qui revêtent une importance particulière pour eux.
La Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information sont deux lois fédérales qui ont un statut quasi constitutionnel. Les deux lois contiennent des dispositions et des éléments similaires, y compris des exceptions presque identiques concernant l’accès aux dossiers et aux renseignements personnels, lesquelles sont motivées par les mêmes impératifs d’intérêt public, dont la sécurité, la confidentialité et le respect de la vie privée.
Ces aspects de la Loi sur la protection des renseignements personnels bénéficieront de la contribution du public à la révision de la Loi sur l’accès à l’information par le gouvernement. Par conséquent, le présent document de discussion fera abstraction de certains de ces éléments communs, notamment les exceptions au droit d’accès aux renseignements personnels. Ces éléments seront examinés ultérieurement.
Propositions de modernisation de la Loi sur la protection des renseignements personnels aux fins de discussion
1. Changer le titre de la Loi
Le titre anglais de la Loi (Privacy Act) pourrait être modifié pour mieux rendre compte du fait que la Loi régit et réglemente la confidentialité des renseignements personnels
Malgré son titre, la Loi sur la protection des renseignements personnels n’est pas la seule source de protection de la « vie privée » au Canada, ni même au niveau fédéral. Le droit canadien protège de nombreux types d’intérêts différents en matière de vie privée, en s’appuyant sur une combinaison d’instruments constitutionnels, du Code criminel, du Code civil du Québec, de la common law et d’autres lois fédérales, provinciales et territoriales.
Pour sa part, la Loi sur la protection des renseignements personnels ne traite que de la confidentialité des renseignements personnels. Elle régit la collecte, l’utilisation, la communication et la conservation des renseignements concernant un individu identifiable. Afin de tenir compte de cet objectif sous-jacent, le titre anglais de la Loi pourrait être modifié afin de préciser le rôle de la Loi en matière de protection des renseignements personnels, tel que c’est présentement le cas pour le titre français.
2. Moderniser la disposition d’objet pour qu’elle reflète mieux les objectifs généraux de la Loi
La disposition d’objet pourrait refléter les importants objectifs publics qui sous-tendent la législation fédérale sur la protection des renseignements personnels dans le secteur public
L’actuelle disposition d’objet énonce que la Loi « a pour objet de compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d’accès des individus aux renseignements personnels qui les concernent ». Cette déclaration en dit davantage sur l’historique législatif de la Loi que sur ses objectifs publics généraux. En vue de mieux orienter l’interprétation de la Loi, la disposition d’objet modernisée pourrait clairement énoncer les importants objectifs qui sous-tendent la législation fédérale sur la protection des données dans le secteur public, notamment :
- protéger la dignité humaine, l’autonomie personnelle et l’autodétermination;
- renforcer la confiance du public envers le gouvernement;
- promouvoir l’utilisation et la communication responsables des données afin de contribuer à l’atteinte des objectifs du gouvernement dans l’intérêt public;
- promouvoir une gouvernance publique efficace et responsable;
- soutenir la réconciliation avec les peuples autochtones au Canada en favorisant un meilleur partage des données avec les gouvernements et les communautés autochtones;
- aider les responsables du secteur public à prendre des décisions judicieuses, éthiques et fondées sur des éléments probants.
3. Intégrer des principes dans la Loi sur la protection des renseignements personnels qui s'inspirent des modèles internationaux
La Loi pourrait prévoir des principes de protection des renseignements personnels similaires à ceux prévus dans la Loi sur la protection des renseignements personnels et les documents électroniques, afin d’orienter, de soutenir et d’élargir la protection des renseignements personnels des particuliers
La Loi sur la protection des renseignements personnels pourrait intégrer un certain nombre de principes de protection des renseignements personnels reconnus à l’échelle internationale, dont : i) la responsabilité; ii) la détermination des fins; iii) le consentement; iv) la limitation de la collecte; v) la limitation de l’utilisation, de la communication et de la conservation; vi) l’exactitude; vii) les mesures de sécurité; viii) la transparence; ix) l’accès aux renseignements personnels; et x) la possibilité de porter plainte. L’intégration de ces principes à la Loi sur la protection des renseignements personnels établirait les attentes de base des Canadiens et des organismes publics fédéraux quant à la façon dont les renseignements personnels devraient être gérés et protégés dans le secteur public fédéral. De plus, la conformité de ces principes avec ceux prévus à la Loi sur la protection des renseignements personnels et les documents électroniques harmoniserait les règles fédérales applicables aux secteurs public et privé en matière de protection des renseignements personnels.
Pour de plus amples renseignements et des explications approfondies sur l’intérêt d’intégrer des principes à la Loi, et sur l’incidence que ces principes pourraient avoir, veuillez consulter notre annexe ici.
4. Clarifier les concepts
Certaines définitions prévues à la Loi pourraient être mises à jour, et d’autres pourraient être introduites
Il existe un certain nombre de domaines dans lesquels la Loi devrait énoncer des règles plus claires au sujet de sa portée – ce à quoi elle s’applique et quand ses pleines protections sont engagées. Une approche en matière de protection des renseignements personnels fondée sur le risque commence à s’établir, sur la scène internationale, comme une pratique exemplaire. Voici certains changements envisagés :
- Appliquer la loi aux « organismes publics fédéraux » : Actuellement, la Loi sur la protection des renseignements personnels s’applique aux « institutions fédérales » telles qu’elles sont définies dans la Loi. Bien que cette définition s’applique à un large éventail d’institutions fédérales relevant d’un ministre, elle s’étend également à de nombreux organismes publics fédéraux qui ne sont pas des ministères ou ne font pas partie de l’administration publique centrale. Le remplacement de la notion « d’institution fédérale » par celle de « organisme public fédéral » indiquerait plus clairement que de nombreuses entités fédérales non gouvernementales sont également assujetties à la Loi.
- Mettre à jour et clarifier la définition de « renseignements personnels » : La Loi définit actuellement les « renseignements personnels » comme étant des « renseignements, quels que soient leur forme et leur support, concernant un individu identifiable ». Elle donne un certain nombre d’exemples de ce qui constitue des renseignements personnels, et elle exclut certains renseignements de cette définition, en ce qui a trait à l’application des dispositions relatives à leur usage et à leur communication (ainsi qu’à l’accès à des documents contenant des renseignements personnels, demandés au titre de la Loi sur l’accès à l’information). Voici certaines modifications qui pourraient être proposées :
- Inclure les renseignements personnels non consignés : La définition de « renseignements personnels » pourrait être simplifiée si on y supprimait l’exigence actuelle selon laquelle les renseignements doivent être consignés. Bon nombre de parties prenantes ont recommandé cette modification, car elle permettrait d’harmoniser la Loi avec la Loi sur la protection des renseignements personnels et les documents électroniques et avec l’approche adoptée dans de nombreux autres ressorts. Toutefois, étant donné que la Loi est organisée autour de la notion de « document » (record), il est difficile de déterminer quels avantages pratiques découleraient de l’élargissement de la définition de façon à y inclure les renseignements non consignés. Bon nombre de droits et d’obligations que prévoit la loi seraient tout simplement inapplicables aux renseignements non consignés, comme le droit d’une personne d’accéder à ses renseignements personnels et de les corriger, les obligations des organismes publics fédéraux de conserver ces renseignements, et certaines règles concernant leur usage et leur communication. Le gouvernement aurait donc besoin d’information supplémentaire sur les avantages concrets que pourrait avoir cette éventuelle modification.
- Préciser les cas où un individu est « identifiable » : La Loi pourrait fournir des critères permettant de déterminer les cas où un renseignement concerne un « individu identifiable » et est donc assujetti à ses dispositions. L’adaptation au contexte serait particulièrement importante, car différentes considérations pourraient être appropriées selon les circonstances. Par exemple, une personne pourrait-elle raisonnablement être identifiée à partir de renseignements qui sont limités à un usage interne confidentiel, par opposition à une diffusion auprès d’un public élargi?
- Introduire une de mise en équilibre pour les cas où des renseignements personnels rendraient compte des points de vue et des opinions d’une personne sur une autre : Selon l’actuelle définition de « renseignements personnels », les opinions ou les points de vue déclarés d’un individu A sur un individu B sont considérés comme des renseignements personnels aussi bien de l’individu B que de l’individu A. Cela signifie que, sous réserve de certaines exceptions, l’individu B est en droit d’accéder aux opinions ou aux points de vue de l’individu A à son sujet et de connaître l’identité de la personne qui les a exprimés. Il s’agit d’un droit important dans de nombreuses situations, notamment lorsque les opinions d’une personne peuvent avoir des répercussions défavorables sur les droits d’une autre personne. Toutefois, dans certaines circonstances, il peut être plus important de protéger la confidentialité de l’opinion d’une personne sur une autre – par exemple, dans le contexte d’allégations et d’enquêtes en matière de harcèlement. La Loi pourrait inclure une disposition énonçant une approche de mise en équilibre plus nuancée et plus souple, pour ce type de cas, que la règle rigide actuelle.
- Supprimer les exceptions de la définition elle-même : Les alinéas j) à m) de la définition actuelle établissent une exception à l’égard de certains types de renseignements qui seraient autrement considérés comme des « renseignements personnels » aux fins des articles 7, 8 et 26 de la Loi (et de l’article 19 de la Loi sur l’accès à l’information). Ces exemptions permettent la consultation de certains renseignements par des personnes autres que celle à laquelle ils se rapportent, principalement pour des motifs d’intérêt public. Toutefois, en pratique, ces exceptions ont été difficiles à interpréter et à gérer. De plus, les motifs d’intérêt public justifiant une plus grande utilisation, un plus grand partage et un meilleur accès à ces renseignements personnels pourraient mieux s’intégrer dans d’autres parties de la Loi et dans la Loi sur l’accès à l’information. Par conséquent, pour simplifier la définition, cette liste d’exception pourrait être supprimée et les articles 7, 8 et 26 pourraient être modifiés au besoin.
- Définir les coordonnées des entreprises : En ce moment, la Loi n’indique pas clairement que les renseignements commerciaux ne sont pas des renseignements personnels, ce qui peut entraîner des problèmes dans certains cas, par exemple lorsqu’une entreprise est exploitée par un propriétaire unique. La Loi pourrait préciser que les renseignements qui concernent principalement une entreprise ne constituent pas des « renseignements personnels ».
- Préciser les critères de validité du consentement : La Loi pourrait inclure des facteurs ou des normes en vue de garantir que le consentement donné par une personne au titre de la Loi est exprès, informé, volontaire et révocable.
- Établir un cadre à jour en ce qui a trait aux renseignements personnels accessibles au public : La Loi s’applique aux renseignements personnels accessibles au public, à l’exception de ses règles régissant les utilisations et communications ultérieures de renseignements personnels. Cependant, la Loi ne définit pas expressément l’expression « auxquels le public a accès ». Une Loi modernisée pourrait définir les renseignements personnels comme « accessibles au public » dans trois cas : lorsqu’ils ont été manifestement rendus publics par la personne à laquelle ils se rapportent; lorsqu’ils sont largement et continuellement accessibles à tous les membres du public et que la personne n’a pas d’attente raisonnable en matière de respect de la vie privée relativement aux renseignements en question; et lorsqu’une autre loi fédérale ou un règlement exige que les renseignements soient accessibles au public. De plus, l’exclusion actuelle prévue au paragraphe 69(2) pourrait être éliminée, de sorte que toutes les règles énoncées dans la Loi s’appliquent aux renseignements personnels accessibles au public, tandis que des dispositions permettant l’utilisation et la communication de ces renseignements dans des cas précis pourraient être ajoutées, ainsi qu’une exception connexe au droit d’une personne d’exiger que la collecte de renseignements personnels s’effectue directement auprès d’elle.
- Élargir le concept de fins administratives : Certaines des protections prévues par la Loi s’appliquent aux renseignements personnels qui sont utilisés à des « fins administratives ». Au sens de la Loi actuelle, les fins administratives concernent l’usage de renseignements personnels d’un individu dans le cadre d’une décision le touchant directement. Toutefois, lorsque les renseignements personnels ne sont pas utilisés à des fins administratives, certaines des exigences communes en matière de notification, de correction et de conservation sont assouplies. La Loi pourrait être modifiée afin d’élargir le champ d’application du concept de « fins administratives », de manière à englober toute pratique touchant des renseignements personnels qui pourrait avoir une incidence directe pour la personne, qu’il s’agisse ou non d’un processus décisionnel. Cela permettrait d’assurer, par exemple, que l’ensemble des protections prévues par la Loi s’appliqueraient à la conception et au développement de systèmes d’intelligence artificielle.
Pour le moment, le gouvernement n’envisage pas de préciser des catégories de renseignements personnels auxquels des règles particulières s’appliqueraient (comme les renseignements personnels « sensibles » ou les renseignements relatifs à des mineurs), bien que ce soit le cas dans certains ressorts. Une stratégie souple fondée sur des principes et certains des autres changements proposés permettrait d’assurer une protection appropriée des renseignements personnels, selon le contexte. Le gouvernement convient également avec le Commissaire à la protection de la vie privée que la Loi n’est pas l’instrument approprié pour définir les « métadonnées », puisque de nombreuses formes de métadonnées ne sont tout simplement pas des renseignements concernant un individu identifiable.
5. Mettre à jour les droits et obligations et en instaurer de nouveaux
Les droits des individus et les obligations des organismes publics fédéraux pourraient être mis à jour et de nouveaux droits et de nouvelles obligations pourraient être introduits
À l’heure actuelle, la Loi sur la protection des renseignements personnels établit un certain nombre de droits pour les individus. Les Canadiens et les Canadiennes et toute personne présente au Canada ont le droit d’accéder aux renseignements personnels les concernant. Ils ont également le droit d’être avisés lorsqu’un organisme public fédéral utilise leurs renseignements personnels pour prendre une décision à leur sujet, et de demander la correction de ces renseignements.
La Loi impose également certaines obligations aux organismes publics fédéraux dans les cas où ils ont l’intention d’utiliser les renseignements personnels d’une personne pour prendre une décision la concernant. Ces obligations comprennent ce qui suit : i) recueillir les renseignements personnels auprès de la personne elle-même lorsque c’est possible (sous réserve de certaines exceptions); ii) conserver les renseignements personnels pendant au moins deux ans après leur dernière utilisation (à moins que la personne concernée consente à ce qu’il en soit autrement) ou jusqu’à ce que cette personne ait eu la possibilité d’exercer tous ses droits au titre de la Loi; iii) assurer le maintien de l’exactitude de ces renseignements; et iv) verser ces renseignements dans un fichier de renseignements personnels (entre autres renseignements).
Ces droits et obligations en vigueur pourraient être mis à jour, et de nouveaux droits et de nouvelles mesures de protection pourraient être introduits pour tenir compte de l’évolution des attentes à l’ère numérique. Voici des changements qui pourraient être apportés :
- Droit d’accès élargi :La Loi pourrait étendre la portée du droit d’accès aux renseignements personnels aux étrangers qui ne sont pas présents au Canada, à condition que des procédures adéquates soient en place pour vérifier l’identité de la personne à l’origine de la demande de renseignements. Ce changement permettrait d’éviter aux étrangers de devoir s’en remettre à un tiers se trouvant au Canada en le chargeant de présenter des demandes pour leurs renseignements personnels en leur nom au titre de la Loi sur l’accès à l’information. Cela permettrait du même coup d’harmoniser la législation canadienne avec celle d’autres ressorts où la pratique établie consiste à accorder un accès universel aux renseignements personnels, ainsi que d’améliorer l’interopérabilité, en particulier avec l’Union européenne. Toutefois, étant donné qu’un certain nombre d’institutions fédérales ont constaté que l’élargissement des droits d’accès pouvait avoir un impact important au niveau des ressources, il serait peut-être prudent de mettre d’abord à l’essai un élargissement limité des droits pour en évaluer les effets sur les ressources publiques et le système dans son ensemble, tout en profitant de l’occasion pour élaborer une procédure efficace de vérification de l’identité.
- Le droit pour toute personne d’exiger que la collecte de renseignements personnels s’effectue directement auprès d’elle pour toutes les fins visées, à moins qu’une exception s’applique : Les exceptions permettant à un organisme public fédéral de recueillir indirectement des renseignements personnels comprendraient celles qui figurent déjà dans la Loi et pourraient aussi en inclure d’autres, telles que les suivantes :
- si l’individu consent à la collecte indirecte de ses renseignements personnels;
- si les renseignements sont « accessibles au public » et sont recueillis à des fins autres que la prise d’une décision touchant directement la personne concernée;
- si les renseignements sont recueillis aux fins d’enquête par un organisme d’application de la loi ou une agence de sécurité nationale;
- si la collecte effectuée auprès d’une autre source est autorisée ou requise au titre d’une autre loi fédérale;
- si les renseignements sont communiqués par un autre organisme public fédéral conformément à la Loi sur la protection des renseignements personnels.
- Le droit pour un individu d’être avisé lorsque ses renseignements personnels sont recueillis par un organisme public fédéral, à moins qu’une exception s’applique : La Loi pourrait également prévoir le droit de toute personne d’être avisée lorsque ses renseignements personnels sont recueillis par un organisme public fédéral. La Loi pourrait préciser les éléments que l’avis en question devrait absolument comporter. Toutefois, la Loi pourrait aussi fixer des limites raisonnables à ce droit, notamment dans les cas suivants :
- si l’individu a déjà été avisé;
- si l’organisme public fédéral est autorisé à recueillir des renseignements personnels auprès d’une autre source que l’individu;
- si la collecte de renseignements personnels relève d’une question d’application de la loi ou de sécurité nationale; ou
- si la transmission d’un avis est pratiquement impossible, risque de nuire à l’objet de la collecte ou de rendre celle-ci inutile, ou risque de se traduire par la collecte de renseignements inexacts.
- Le droit de demander que les renseignements personnels inexacts soient rapidement corrigés : La Loi pourrait élargir l’obligation actuelle d’assurer l’exactitude des renseignements personnels en exigeant de maintenir l’exactitude de tous les renseignements personnels pouvant avoir une incidence directe sur un individu. Ce changement serait conforme à un possible élargissement de la définition de l’expression à des fins administratives. De même, le droit d’exiger la correction des renseignements personnels s’étendrait à tous les renseignements personnels utilisés à des fins administratives, et la correction de ces renseignements devrait être effectuée dans un délai raisonnable.
- Certains droits visant à mieux informer le public sur les interactions avec les systèmes décisionnels automatisés (p. ex. des outils d’intelligence artificielle) : L’harmonisation des exigences de transparence et de responsabilisation que comporte la Loi sur la protection des renseignements personnels avec celles des principaux instruments stratégiques du secteur public fédéral qui guident l’utilisation des systèmes décisionnels automatisés contribuerait à ce que les particuliers soient informés des situations où ils interagissent avec ces systèmes, des types et des sources de renseignements personnels utilisés par ces systèmes, et de la manière dont ceux-ci fonctionnent. Il serait important que tout nouveau cadre décisionnel automatisé demeure souple et technologiquement neutre pour permettre l’adaptation des nouvelles règles, à mesure que l’expérience du gouvernement évoluera dans ce domaine. Par ailleurs, des exceptions pourraient être prévues dans certains contextes, notamment en matière d’application de la loi et de sécurité nationale, où la communication de détails sur ces renseignements nuirait à l’intérêt public.
- Un principe portant spécifiquement sur la protection des renseignements personnels à l'aide de mesures de sécurité appropriées sur les plans technique, administratif et physique : La Loi pourrait prévoir un principe de « mesures de sécurité », comme c'est le cas pour la Loi sur la protection des renseignements personnels et les documents électroniques, afin de veiller à ce que les Canadiens et les Canadiennes profitent du même niveau de protection en matière de sécurité des données, quel que soit le secteur ou l'ordre de gouvernement avec lequel ils traitent. Les politiques du Secrétariat du Conseil du Trésor (SCT) pourraient traduire les obligations juridiques plus générales par des politiques et directives opérationnelles plus détaillées convenant aux institutions fédérales.
- Une obligation visant à limiter les dommages en cas d’atteinte à la protection des renseignements personnels et, dans certains cas, à aviser par la suite le Commissaire à la protection de la vie privée et les individus touchés : La Loi pourrait obliger les organismes publics fédéraux à réduire et à atténuer les répercussions des atteintes substantielles à la protection des renseignements personnels, et à aviser le Commissaire à la protection de la vie privée et les individus touchés s’il y a un risque de préjudice grave pour les individus en question. L’obligation d’aviser le Commissaire à la protection de la vie privée et les individus touchés s’appliquerait dès que possible après la prise de mesures visant à limiter les dommages causés et à évaluer la situation.
- Imposer une obligation visant à consigner l’information portant sur toute atteinte à la protection des renseignements personnels : La Loi pourrait prévoir une nouvelle obligation de conserver l’information sur toute atteinte à la protection des renseignements personnels, et ce, que l’atteinte en question entraîne ou non un risque réel de préjudice grave. Cette obligation permettrait au gouvernement de surveiller plus efficacement les tendances et de diminuer les risques qui toucheraient plus d’un organisme public fédéral. Elle pourrait également permettre au Commissaire à la protection de la vie privée de vérifier plus efficacement l’application des dispositions législatives.
6. Mettre à jour les règles relatives à la collecte, à l’utilisation, à la communication et à la conservation des renseignements personnels
La Loi pourrait prévoir des obligations mises à jour et nouvelles en ce qui concerne la collecte, l’utilisation, la communication et la conservation des renseignements personnels
De nombreux intervenants se sont généralement prononcés en faveur d’une transformation de la Loi sur la protection des renseignements personnels qui la rendrait fondée sur des principes, mais beaucoup d’autres ont servi une mise en garde à cet égard, en soulignant que les principes doivent reposer sur des règles plus détaillées pouvant apporter un éclairage précis sur ce que la Loi exige ou permet de la part des organismes publics fédéraux. Les règles encadrant la collecte, l’utilisation, la communication et la conservation des renseignements personnels pourraient être mises à jour, et il serait possible d’en ajouter de nouvelles, telles que celles-ci :
-
Limiter la collecte de renseignements personnels aux situations où celle-ci est raisonnablement requise pour les activités ou fonctions des organismes publics fédéraux : Conformément au nouveau principede « limitation de la collecte », la Loi pourrait énoncer qu’un organisme public fédéral peut uniquement recueillir des renseignements personnels s’il lui est raisonnablement requis de le faire dans le cadre de ses fonctions ou activités, ou si leur collecte est expressément autorisée par une autre loi fédérale.
Afin d’établir une approche plus contextuelle pour déterminer quels renseignements peuvent être « raisonnablement requis », la Loi pourrait inclure une liste de considérations clés que les organismes publics fédéraux seraient tenus de prendre en compte avant de recueillir des renseignements personnels, notamment : i) les fins exactes de la collecte, et plus particulièrement s’il s’agit ou non d’une question d’application de la loi ou de sécurité nationale; ii) les mécanismes ou moyens employés pour recueillir les renseignements; iii) la possibilité ou non de recourir à des manières moins invasives de réaliser les fins prévues à un coût comparable et avec des avantages comparables pour la population; iv) la mise en équilibre entre, d’une part, le caractère invasif de la collecte et, d’autre part, les intérêts publics en jeu.
Cette approche mettrait l’accent sur le caractère raisonnable et proportionné de la collecte de renseignements, tout en tenant compte des préoccupations et des risques qu’un seuil express de nécessité puisse nuire indûment à la capacité des organismes publics fédéraux de s’acquitter efficacement de leur mandat. De plus, cette approche permettrait au Parlement de s’adapter à d’autres technologies ou scénarios particuliers qui pourraient se présenter au fil du temps, pour lesquels la norme générale de « nécessité raisonnable » pourrait en fait empêcher le gouvernement d’accomplir son travail dans l’intérêt public. Cette proposition aurait aussi pour effet de décloisonner la collecte de renseignements, laquelle est actuellement effectuée pour des programmes, des activités ou des institutions en particulier, ce qui répondrait mieux aux besoins des organismes publics fédéraux et des ministres ayant des mandats qui se chevauchent, permettant du même coup aux organismes publics fédéraux de gérer plus efficacement les ressources consacrées à leurs programmes.
- Préciser que le terme « collecte » s’applique aussi aux renseignements personnels créés ou déduits : La Loi pourrait préciser que la notion de collecte de renseignements personnels s’appliquerait aussi aux renseignements qu’un organisme public fédéral crée ou déduit à partir de renseignements personnels d’un individu ou d’éléments l’information sur d’autres individus.
- Aborder la collecte non sollicitée de renseignements personnels : Des incertitudes demeurent en ce qui concerne les obligations qui s’imposent aux organismes publics fédéraux lorsqu’ils reçoivent, par inadvertance, des renseignements personnels qu’ils ne souhaitaient pas avoir ou dont ils n’ont pas raisonnablement besoin. Par exemple, dans les formulaires de rétroaction en texte libre remplis dans le cadre de consultations en ligne, il peut arriver que des individus fournissent des renseignements personnels de nature délicate sur des sujets non liés aux fins de la collecte. La Loi pourrait prévoir des obligations dans les cas où les organismes publics fédéraux reçoivent de manière non sollicitée des renseignements personnels dont ils n’ont pas besoin. Ils pourraient par exemple être tenus de supprimer les renseignements en question ou de les renvoyer à la personne qui les a fournis. La Loi pourrait aussi préciser que les obligations relatives à la conservation ne s’appliquent pas aux renseignements personnels non sollicités.
-
Clarifier ce qu’on entend par un usage ou un cas de communication « compatible » : À l’heure actuelle, la Loi permet aux organismes publics fédéraux d’utiliser ou de communiquer des renseignements personnels aux mêmes fins que celles pour lesquelles ils ont été recueillis ou pour un usage compatible avec ces fins. Cette disposition particulière a suscité une certaine incertitude au sein des organismes publics fédéraux quant savoir si l’utilisation ou la communication des renseignements concernés vise ou non les mêmes fins que celles pour lesquelles ils ont été recueillis, ou si d’autres fins sont « compatibles » avec les fins initiales.
La Loi pourrait continuer de permettre aux organismes publics fédéraux d’utiliser ou de communiquer des renseignements personnels à des fins compatibles avec les fins pour lesquelles ils ont été recueillis. Toutefois, pour préciser la notion d’« usage compatible », la Loi pourrait définir cette expression et comporter une liste non exhaustive d’exemples qui aideraient les organismes publics fédéraux à appliquer cette notion. Les exemples pourraient comprendre l’usage ou la communication de renseignements personnels dans les cas où ils sont nécessaires pour déterminer l’admissibilité à un service ou à une prestation ou pour permettre d’offrir un service ou de verser une prestation, ce qui limiterait les cas où les individus auraient à fournir les mêmes renseignements à des organismes publics fédéraux différents qui les recueilleraient pour les mêmes fins.
-
Mettre à jour les dispositions permettant l’utilisation et la communication de renseignements personnels à d’autres fins : Suivant le nouveau principe de « limitation de l’utilisation, de la communication et de la conservation », la Loi pourrait toujours prévoir une liste des circonstances autorisées où des renseignements personnels peuvent être utilisés ou communiqués à d’autres fins que celles pour lesquelles ils ont été recueillis au départ. La Loi pourrait faire une distinction entre, d’une part, les usages autorisés et, d’autre part, les cas où la communication est autorisée. On pourrait en outre modifier l’article 7 pour préciser dans quels cas l’usage interne de renseignements personnels est autorisé, car la manière dont sont énoncées certaines autorisations de communication prévues au paragraphe 8(2) rend celles-ci peu convenables à un usage interne.
La liste de circonstances dans lesquelles les renseignements personnels peuvent être utilisés ou communiqués pourrait continuer d’inclure le consentement de l’individu, de même que bon nombre d’autorisations apparaissant actuellement sur la liste. D’autres autorisations pourraient en outre être précisées, y compris l’utilisation et la communication de renseignements personnels en cas d’urgence, pour assurer la sécurité publique ou celle d’un individu, pour aviser les proches d’un individu, et pour permettre l’intégration de données dans certaines circonstances, sous réserve de certaines limites et conditions.
Par ailleurs, on pourrait retirer de la Loi l’autorisation liée aux « raisons d’intérêt public », prévue actuellement à l’alinéa 8(2)m), pour la remplacer par un nouveau cadre permettant l’utilisation et la communication de renseignements personnels à des fins qui ne sont pas expressément prévues dans la Loi, si le responsable d’un organisme public fédéral le juge « raisonnablement nécessaire » dans l’intérêt public. Le nouveau cadre serait assorti d’une exigence particulière de tenue de dossiers pour ce type de décisions, de manière à permettre au Commissaire à la protection de la vie privée d’en faire l’examen. Comme c’est le cas pour la mise à jour proposée du seuil justifiant la collecte, la Loi pourrait établir les considérations clés que le responsable d’institution fédérale aurait à prendre en compte pour déterminer si l’utilisation ou la communication de renseignements personnels à d’autres fins est « raisonnablement nécessaire ».
- Instaurer une approche de conservation des renseignements personnels fondée sur des principes : Suivant le nouveau principe de « limitation de l’utilisation, de la communication et de la conservation », la Loi pourrait exiger que les organismes publics fédéraux évitent de conserver les renseignements personnels au-delà d’une période raisonnablement nécessaire à la réalisation efficace des fins pour lesquelles ils ont été recueillis au départ. Les organismes publics fédéraux disposeraient ainsi de la marge de manœuvre requise pour modifier leurs pratiques de conservation des renseignements personnels en fonction des circonstances propres à chaque cas de collecte de renseignements. Ce cadre pourrait être complété par une liste de dispositions autorisant de plus longues périodes de conservation, y compris à des fins d’archivage, pour répondre à des demandes d’accès à des renseignements personnels, ou pour remplir d’autres obligations légales.
Pour de plus amples renseignements et des explications approfondies sur ces changements potentiels , veuillez consulter notre annexe ici.
7. Accorder un rôle plus important aux renseignements personnels anonymisés
Les organismes publics fédéraux pourraient bénéficier d’une plus grande souplesse quant à l’utilisation et à la communication de renseignements personnels qui ont été soumis à un processus établi de suppression des éléments d’identification personnelle
L’utilisation de renseignements personnels anonymisés est très prometteuse pour les organismes publics fédéraux en ce qu’elle leur permettra d’innover dans l’intérêt public, tout en protégeant la vie privée. Malgré quelques exemples notoires de ré-identification de renseignements personnels qui avaient été anonymisés, l’utilisation de l’anonymisation comme technique de renforcement de la protection des renseignements personnels fait l’objet d’un appui soutenu, même de la part des autorités de réglementation. L’anonymisation n’élimine pas complètement le risque de ré-identification, mais elle réduit considérablement ce risque lorsqu’elle est effectuée adéquatement. Par conséquent, si le cadre de réduction des risques s’appuie sur la suppression des éléments d’identification personnelle et sur laprotection des utilisations subséquentes des renseignements anonymisés, les organismes publics fédéraux disposeront d’une plus grande latitude pour l’utilisation des données dans l’intérêt du public, alors que les risques liés aux renseignements personnels s’en trouveront réduits.
Pour inciter davantage les organismes publics fédéraux à utiliser et à communiquer des renseignements personnels anonymisés, plutôt que des renseignements permettant d’identifier les personnes, la Loi pourrait :
- définir la notion de renseignements personnels « anonymisés »;
- préciser que le processus d’anonymisation des renseignements personnels ne constitue pas un « usage » distinct de ces renseignements;
- permettre aux organismes publics fédéraux d’utiliser et de communiquer des renseignements personnels anonymisés dans un plus grand nombre de circonstances : La Loi pourrait permettre aux organismes publics fédéraux d’utiliser ou de communiquer sans consentement des renseignements personnels anonymisés, à condition que ce soit dans l’intérêt public, que ces renseignements aient été anonymisés selon un processus prévu par règlement ou par une politique gouvernementale, et que le processus d’anonymisation de ces renseignements ait été assorti de mesures de protection techniques, administratives ou contractuelles appropriées, dépendamment du contexte;
- créer une infraction expresse pour la ré-identification de renseignements personnels qui ont été anonymisés, ou pour les tentatives délibérées de le faire.
8. Introduire des mécanismes de responsabilisation plus solides dans la Loi
Des obligations précises pourraient être introduites dans la Loi pour aider les organismes publics fédéraux à démontrer qu’ils sont responsabilisés quant à leurs pratiques relatives aux renseignements personnels
La Loi pourrait prévoir des obligations soutenant le principe selon lequel chaque organisme public fédéral est responsable des renseignements personnels qui relève de lui. La Loi pourrait également établir des outils pour aider les organismes publics fédéraux à démontrer aux Canadiens et aux Canadiennes, et le cas échéant au Commissariat à la protection de la vie privée, qu’ils ont mis en place des mesures efficaces pour se conformer à la Loi et protéger les renseignements personnels. En voici quelques exemples possibles :
- L’obligation de veiller à ce que les renseignements personnels envoyés à l’extérieur du Canada soient protégés de manière appropriée : La Loi pourrait imposer aux organismes publics fédéraux l’obligation de veiller à ce que des clauses appropriées de protection des renseignements personnels soient incluses dans les contrats ou les accords susceptibles d’entraîner une circulation intergouvernementale ou transfrontalière de renseignements personnels, conformément à la politique gouvernementale actuelle. Pour s’acquitter de cette exigence selon une approche souple et axée sur les risques, il faudrait tenir compte des divers contextes dans lesquels les renseignements peuvent être communiqués à l’extérieur du Canada, ainsi que des divers cadres de protection des renseignements personnels à l’extérieur du Canada. La Loi pourrait exiger que la circulation de renseignements personnels à l’extérieur du Canada soit régie par un accord ou un arrangement écrit qui comprendrait des mesures de protection adaptées au contexte de la communication, notamment selon qu’il existe ou non un accord ou arrangement déjà applicable, selon la nature du régime de protection des renseignements personnels du ressort vers lequel les renseignements seront communiqués, et selon la sensibilité des renseignements personnels communiqués. Cette obligation pourrait être soutenue par des règlements ou des politiques.
- L’obligation de concevoir des programmes et des activités en tenant compte de la protection des renseignements personnels : La Loi pourrait imposer un processus de protection proactive des renseignements personnels en intégrant des considérations sur la façon de protéger ces renseignements dès les premières étapes de l’élaboration et de la mise en œuvre d’une initiative, par exemple un nouveau programme ou service offert par un organisme public fédéral. C’est ce que l’on appelle la protection des renseignements personnels dès la conception. Les politiques gouvernementales exigent déjà que les organismes publics fédéraux évaluent et atténuent les risques en matière de protection des renseignements personnels lorsqu’ils élaborent ou modifient des activités ou des programmes gouvernementaux. Faire de cette obligation une exigence législative viendrait valider les pratiques actuelles du gouvernement et son engagement à traiter d’entrée de jeu les questions de protection des renseignements personnels.
- L’obligation de procéder à une évaluation des facteurs relatifs à la vie privée : La Loi pourrait imposer aux organismes publics fédéraux l’obligation d’effectuer une analyse pour identifier et atténuer les risques d’atteinte à la vie privée. Ce type d’analyse est communément appelé une évaluation des facteurs relatifs à la vie privée (EFVP) et est présentement encadré par une politique. Cette obligation s’appliquerait aux nouveaux programmes, aux nouvelles activités et aux programmes ayant subi une modification substantielle qui nécessitent la collecte, l’utilisation ou la communication de renseignements personnels à des « fins administratives », pour des activités de profilage automatisé ou manuel qui s’appuient sur des renseignements personnels sensibles, ou selon ce qui serait prescrit par une politique gouvernementale. La Loi pourrait définir la notion de « modification substantielle » afin de préciser les cas où cette évaluation doit être effectuée, et les exigences de la Loi pourraient être soutenues par une politique mise à jour.
- L’obligation de disposer d’un programme de gestion des renseignements personnels : La Loi pourrait également imposer aux organismes publics fédéraux une nouvelle obligation de créer et de maintenir un programme de gestion des renseignements personnels. Il s’agit essentiellement d’un plan organisationnel de protection des renseignements personnels qu’un organisme public gouvernemental peut utiliser pour identifier, organiser, examiner et améliorer ses pratiques en matière de renseignements personnels. Ce programme servirait de guide individualisé pour assurer la conformité à la Loi. La Loi pourrait énoncer les éléments de base d’un programme de gestion des renseignements personnels et prévoir l’obligation de les réviser et de les mettre à jour régulièrement. Ces exigences seraient complétées par des règlements ou des politiques gouvernementales connexes.
- Des précisions pour déterminer l’organisme public fédéral responsable lorsque plusieurs organismes publics sont concernés : La Loi pourrait préciser lequel ou lesquels des organismes publics fédéraux seraient responsables des renseignements personnels lorsque organismes fédéraux ou plus ont accès aux mêmes ensembles de données, par exemple lorsque plusieurs organismes publics fédéraux ont accès à une base de données partagée.
9. Moderniser les pratiques en matière de transparence
Des obligations précises pourraient être introduites à la Loi pour que les organismes publics fédéraux soient tenus de fournir des explications facilement accessibles sur leurs pratiques de protection des renseignements personnels et sur les renseignements dont ils disposent sur les individus
La Loi sur la protection des renseignements personnels pourrait obliger chaque organisme public fédéral à publier des renseignements clés dans un registre de renseignements personnels accessible, consultable en ligne et interrogeable. Ce registre pourrait contenir les mêmes types de renseignements que ceux qui sont actuellement accessibles par le biais des fichiers de renseignements personnels, mais dans un format plus convivial. Le registre pourrait également comporter des renseignements supplémentaires, tels que des résumés d’EFVP, des précisions sur les ententes d’échange de renseignements, et des avis actualisés relatifs aux renseignements personnels qui préciseraient comment les renseignements sont utilisés et communiqués dans le contexte propre à des programmes et à des activités en particulier. De plus, pour que les renseignements figurant actuellement dans un « fichier de renseignements personnels » soient plus faciles à consulter et à comprendre, les organismes publics fédéraux pourraient être tenus d’inclure dans ce registre un aperçu de leurs pratiques générales, rédigé en langage clair, selon un modèle comparable à celui des politiques de confidentialité. De nombreux organismes publics fédéraux suivent déjà cette pratique exemplaire, en publiant sur leurs sites Web une description générale de leurs pratiques et de leurs engagements en matière de protection des renseignements personnels.
Les nouvelles obligations pour assurer une plus grande transparence pourraient inclure :
- Renforcer la transparence dans les cas de collecte indirecte et d’usages secondaires : La Loi pourrait énoncer de nouvelles règles pour clarifier comment un organisme public fédéral pourrait satisfaire à un nouveau principe de « détermination des fins de la collecte » lorsqu’il n’est pas possible d’informer l’individu des fins auxquelles ses renseignements personnels sont recueillis (par exemple, lorsque la collecte indirecte de renseignements personnels est autorisée ou lorsque des renseignements personnels sont recueillis pour de nouvelles fins qui n’étaient pas connues ou prévues au moment la collecte directe). Le cas échéant, l’organisme public fédéral pourrait être tenu de publier dans le registre un « avis relatif aux renseignements personnels » qui aurait été mis à jour en conséquence.
- Nouvelles exigences de publication proactive : Les organismes publics fédéraux pourraient être tenus de publier leur programme de gestion des renseignements personnels ainsi que toute EFVP qu’ils réalisent. De même, ils pourraient être tenus de publier annuellement les renseignements prescrits par règlement, ou par une politique gouvernementale, sur toutes les nouvelles ententes d’échange de renseignements conclues et toutes les ententes préalables d’échange de renseignements qu’ils utilisent encore activement.
Certaines exceptions à ces exigences de transparence seraient nécessaires pour certaines activités spécialisées du secteur public, notamment les enquêtes liées à l’application de la loi, les activités de renseignement et les activités liées à la sécurité nationale. Lorsque la publication de renseignements opérationnels sensibles n’est pas possible, des exigences particulières de tenue de registres pourraient être imposées pour permettre au Commissaire à la protection de la vie privée ou à d’autres organismes d’examen ou de réglementation compétents de jouer un rôle de surveillance.
Pour de plus amples renseignements et des explications approfondies sur les modifications suggérées pour moderniser le régime de transparence de la Loi, veuillez consulter notre annexe plus détaillé ici.
10. Favoriser un dialogue ouvert et fournir des orientations accessibles au public
Des pouvoirs supplémentaires pourraient être accordés au Commissaire à la protection de la vie privée pour lui permettre de fournir au public des renseignements et des conseils sur les exigences de la Loi et sur la manière dont elle est appliquée
La transparence quant au fonctionnement et à l’application de la Loi sur la protection des renseignements personnels est importante. Tous les principaux acteurs du système – le public, les organismes publics fédéraux et le Commissaire à la protection de la vie privée – ont intérêt à ce que des renseignements clairs sur les exigences de la Loi et sur la manière dont elle est appliquée soient aisément accessibles.
La Loi sur la protection des renseignements personnels pourrait conférer au Commissaire à la protection de la vie privée un mandat clair de contribuer à l’éducation du public, tel que le Commissaire peut le faire en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques. La Loi pourrait également accorder au Commissaire le pouvoir d’émettre des avis sur l’interprétation et l’application de la Loi, et exiger que le Commissaire consulte le gouvernement dans le cadre du développement de ces avis.
Le Commissaire à la protection de la vie privée pourrait également se voir accorder le pouvoir discrétionnaire d’émettre, sur demande, un avis non contraignant sur la position ou l’interprétation qu’il adopterait lors de l’évaluation du respect de la Loi dans le cadre d’une enquête. En outre, il pourrait être autorisé à fournir aux organismes publics fédéraux un environnement de type « bac à sable réglementaire » qui leur permettrait de vérifier, avec le Commissaire, si de nouvelles activités envisagées respecteraient la Loi ou s’il serait possible de les améliorer pour résoudre d’éventuelles préoccupations en matière de protection des renseignements personnels.
Le Commissaire à la protection de la vie privée pourrait également se faire accorder le pouvoir de communiquer davantage de renseignements pour des raisons d’intérêt public, notamment en ce qui concerne les décisions relatives au traitement des demandes d’accès et les résultats des enquêtes sur les plaintes, tout en veillant à la protection des renseignements confidentiels et sensibles.
Pour de plus amples renseignements et des explications approfondies sur l’intérêt potentiel de ces propositions de modification, veuillez consulter notre annexe ici.
11. Créer un cadre de conformité amélioré pour traiter les questions non résolues
Des pouvoirs accrus pourraient être accordés au Commissaire à la protection de la vie privée pour traiter plus efficacement les plaintes, et les circonstances permettant aux individus d’exercer des recours juridiques pourraient être élargies
Plusieurs raisons justifient une révision du modèle d’application de la Loi. Dans les situations où le respect de la Loi ne peut être assuré, il est essentiel de disposer d’une gamme complète de recours juridiques efficaces et accessibles. De plus, un modèle de surveillance plus solide pourrait mieux soutenir la souplesse accrue qui caractérise une nouvelle approche fondée sur des principes, relativement aux scénarios inédits impliquant des renseignements personnels. Certaines des modifications suggérées à cet égard refléteraient celles qui ont été apportées à la Loi sur l’accès à l’information en 2019, et qui ont accordé des pouvoirs similaires à la Commissaire à l’information du Canada. L’harmonisation des pouvoirs des deux commissaires, dans la mesure du possible, améliorerait la cohérence dans le traitement des demandes présentées en vertu des deux lois, et dans les mécanismes de plainte se rapportant aux demandes d’accès à des renseignements. Les modifications proposées pourraient inclure ce qui suit :
- Accorder au Commissaire à la protection de la vie privée le pouvoir discrétionnaire de refuser d’enquêter sur une plainte ou de mettre fin à une enquête en cours : Le Commissaire à la protection de la vie privée pourrait se faire accorder le pouvoir discrétionnaire de refuser d’enquêter sur une plainte dans certains cas, notamment lorsqu’une plainte est vexatoire, frivole ou entachée de mauvaise foi, ou lorsqu’il juge qu’une enquête n’est pas nécessaire, notamment dans les cas où la plainte a déjà fait l’objet d’une enquête ou d’un rapport du commissaire.
- Accorder aux organismes publics fédéraux le pouvoir discrétionnaire de refuser de répondre aux demandes d’accès aux renseignements personnels qui sont vexatoires ou abusives : La Loi pourrait également autoriser les organismes publics fédéraux, avec l’approbation du Commissaire à la protection de la vie privée, à refuser de traiter les demandes d’accès en vertu de la Loi lorsque la demande est vexatoire, qu’elle est entachée de mauvaise foi ou qu’elle constitue un recours abusif au droit de présenter ce type de demande. Cela permettrait aux organismes publics fédéraux d’empêcher que des ressources soient affectées à des demandes vexatoires ou abusives.
- Accorder au Commissaire à la protection de la vie privée le pouvoir de vérifier les pratiques des organismes publics fédéraux en matière de renseignements personnels : Actuellement, l’article 37 de la Loi donne au Commissaire à la protection de la vie privée le pouvoir de s’assurer que la collecte, l’utilisation, la communication et la gestion des renseignements personnels qui relèvent des institutions fédérales respectent les dispositions de la Loi. La Loi pourrait remplacer ce pouvoir par celui de vérifier les pratiques de gestion des renseignements personnels d’un organisme public fédéral, moyennant un préavis raisonnable.
- Accorder au Commissaire à la protection de la vie privée le pouvoir de collaborer avec ses homologues du Canada ayant des responsabilités réglementaires : La Loi pourrait donner au Commissaire à la protection de la vie privée le pouvoir de collaborer et d’échanger des renseignements de façon confidentielle, y compris des renseignements personnels, avec d’autres autorités de réglementation responsables de la protection des données au Canada et d’autres organismes d’examen fédéraux, lorsque cela est nécessaire à la réalisation de son mandat, conformément à l’intérêt public.
- Obliger le Commissaire à la protection de la vie privée à consulter les organismes de surveillance compétents : Avant de tirer des conclusions à propos d’une plainte ou d’une vérification concernant des organismes publics fédéraux régis par d’autres organismes de surveillance, le Commissaire à la protection de la vie privée pourrait être tenu de consulter les organismes de surveillance concernés afin d’assurer une approche cohérente en la matière et d’éviter le chevauchement d’activités.
- Créer un processus de supervision impartial pour le traitement des plaintes déposées contre le Commissariat à la protection de la vie privée du Canada en vertu de la Loi : Actuellement, la Loi ne prévoit pas de processus impartial concernant le traitement des plaintes déposées contre le Commissariat à la protection de la vie privée du Canada en vertu de la Loi. Pour combler cette lacune, la Loi pourrait établir un processus qui soumettrait ces plaintes à un examen indépendant.
- Accorder au Commissaire à la protection de la vie privée le pouvoir de conclure des accords de conformité exécutoires avec les organismes publics fédéraux : La Loi pourrait accorder au Commissaire à la protection de la vie privée le pouvoir de conclure des accords de conformité avec les organismes publics fédéraux, ce qui s’harmoniserait avec le pouvoir qui lui est conféré en ce sens par la Loi sur la protection des renseignements personnels et les documents électroniques. Ce serait un outil très utile pour assurer le respect des engagements qu’un organisme public fédéral aurait pris envers le commissaire dans le cadre d’une enquête sur une plainte, et ce dernier pourrait intenter une poursuite judiciaire contre un organisme public qui ne respecterait pas l’accord de conformité.
- Imposer des délais clairs pour les procédures devant le Commissaire à la protection de la vie privée : La Loi pourrait établir des délais clairs et d’autres règles de procédure pour favoriser le règlement efficace des plaintes, la conduite des enquêtes et la négociation d’accords de conformité.
- Accorder au Commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances semblables à celles du Commissaire à l’information : Dans les cas où les mécanismes de règlement actualisés ne permettraient pas de résoudre efficacement et effectivement des plaintes relatives à un refus d’accès à des renseignements personnels, la Loi pourrait accorder au Commissaire à la protection de la vie privée les mêmes pouvoirs de rendre des ordonnances que ceux récemment accordés à la Commissaire à l’information pour régler les plaintes déposées en matière de demandes d’accès en vertu de la Loi sur l’accès à l’information. Cela permettrait au Commissaire de traiter la majeure partie des plaintes déposées auprès du commissariat à la protection de la vie privée.
- Élargir la compétence de la Cour fédérale en matière de révision de novo : Actuellement, seuls les refus d’accès aux renseignements personnels peuvent être portés devant la Cour fédérale à la suite d’une enquête du Commissaire à la protection de la vie privée. La Loi pourrait être modifiée de façon à habiliter la Cour fédérale à instruire, en plus des plaintes pour refus d’accès, les affaires relatives à la collecte, à l’utilisation, à la communication, à la conservation ou à la protection des renseignements personnels lorsque celles-ci ne pourraient être négociées ou réglées avec succès au moyen des processus et outils actualisés à la disposition du Commissaire à la protection de la vie privée.
- Ajout de nouvelles infractions en cas d’atteintes graves et délibérées à la Loi : La Loi pourrait prévoir des infractions pour les atteintes délibérées à la Loi qui causent préjudice à des individus.
Pour de plus amples renseignements et des explications approfondies sur l’intérêt potentiel des modifications proposées au modèle de conformité prévu par la Loi, veuillez consulter notre annexe ici.
Contribution à la discussion
Les idées soumises à l’examen du public dans le présent document de discussion visent à assurer un cadre solide, mais souple de protection des renseignements personnels dans le secteur public reposant sur trois piliers : le respect, l’adaptabilité et la responsabilité. L’objectif ultime est de moderniser la Loi de manière à préserver et à accroître la confiance des Canadiens et des Canadiennes dans le fait que la gouvernance numérique s’effectue de façon respectueuse et efficace, tout en donnant aux organismes publics fédéraux les moyens d’assurer et de démontrer leur respect des droits renforcés que la Loi garantit et des obligations accrues qu’elle impose.
Nous vous invitons à nous faire part de vos points de vue. Vous pouvez participer à cette consultation en envoyant, dans la langue officielle de votre choix, vos commentaires généraux par courriel à privacyactmodernization-modernisationdelaLPRP@justice.gc.ca, ou par la poste à l’adresse suivante :
Modernisation de la Loi sur la protection des renseignements personnels
Ministère de la Justice du Canada
284, rue Wellington
Ottawa (Ontario)
K1A 0H8
Annexe 1 : Introduction de nouveaux principes de protection des renseignements personnels
1.1. Aperçu
Cette annexe fournit des détails supplémentaires sur l’intégration de nouveaux principes de protection des renseignements personnels dans la Loi sur la protection des renseignements personnels. Ceux-ci reflèteraient en grande partie les 10 principes de la Loi sur la protection des renseignements personnels et les documents électroniques.
Plusieurs intervenants sont favorables à l’inclusion de principes dans la Loi sur la protection des renseignements personnels. Le comité ETHI a notamment recommandé que la Loi sur la protection des renseignements personnels soit modifiée pour inclure des principes de protection des renseignements personnels qui soient neutres au plan technologique, généralement acceptés et comparables à ceux figurant dans la Loi sur la protection des renseignements personnels et les documents électroniques. De plus, la consultation technique ciblée menée par le ministère de la Justice Canada en 2019 a confirmé l’appui général des parties prenantes à la modification de la Loi sur la protection des renseignements personnels afin d’y inclure des principes de protection des renseignements personnels qui pourraient soutenir un régime de conformité souple et axé sur les résultats, offrant une capacité d’adaptation aux pratiques novatrices en matière de renseignements personnels, à la diversité des fonctions gouvernementales et aux approches fondées sur le risque.
Une approche fondée sur des principes améliorerait considérablement l’harmonisation de la Loi sur la protection des renseignements personnels avec d’autres régimes nationaux et internationaux, assurerait une réglementation efficace des nouvelles situations ou des pratiques innovantes en matière de renseignements personnels et une transparence accrue quant aux engagements fondamentaux de la Loi sur la protection des renseignements personnels envers les individus. L’ajout de principes aurait pour effet de placer au cœur même de la Loi les préoccupations fondamentales des individus, à savoir si les pratiques relatives aux renseignements personnels sont raisonnables, proportionnées, justes et éthiquement fondées, si elles sont conformes à l’intérêt public et si elles protègent adéquatement la vie privée.
Une approche fondée sur des principes améliorerait considérablement l’harmonisation de la Loi sur la protection des renseignements personnels avec d’autres régimes nationaux et internationaux, assurerait une réglementation efficace des nouvelles situations ou des pratiques innovantes en matière de renseignements personnels et une transparence accrue quant aux engagements fondamentaux de la Loi sur la protection des renseignements personnels envers les individus. L’ajout de principes aurait pour effet de placer au cœur même de la Loi les préoccupations fondamentales des individus, à savoir si les pratiques relatives aux renseignements personnels sont raisonnables, proportionnées, justes et éthiquement fondées, si elles sont conformes à l’intérêt public et si elles protègent adéquatement la vie privée.
Les principes de protection des renseignements personnels pourraient également aider à faire face à des situations uniques ou de nouvelles pratiques dans les cas où l’application de règles générales standardisées ne donnerait pas les résultats les plus souhaitables ou les plus appropriés. Des nouveaux principes permettraient une approche plus flexible pour appréhender des situations uniques, lesquelles requièrent une approche plus contextuelle que celle généralement offerte par les règles générales.
Toutefois, compte tenu des différences importantes entre le secteur public et le secteur privé, ces principes seraient adaptés pour refléter les considérations propres au secteur public fédéral. Ainsi, le gouvernement ne propose pas d’importer intégralement dans le régime du secteur public fédéral les exigences juridiques qui s’appliquent aux entités du secteur privé. Ainsi, les secteurs public et privé au Canada seraient réglementés en fonction des mêmes objectifs fondamentaux que ceux sous-tendant les 10 principes de protection des renseignements personnels de la Loi sur la protection des renseignements personnels et les documents électroniques, à savoir : la responsabilité proactive; la détermination claire des fins de la collecte; des normes de consentement rigoureuses; des normes de limitation significatives en matière de collecte, d’utilisation, de conservation et de communication; la protection de l’exactitude et des mesures connexes; des exigences de sécurité rigoureuses et adaptées au contexte; des exigences en matière de transparence favorisant l’autonomie des individus; des droits d’accès aux renseignements personnels larges; et des mécanismes de surveillance efficaces. Le contenu des règles et des exigences précises soutenant la réalisation de ces objectifs tiendrait compte de l’ensemble des normes nationales et internationales de premier plan.
1.2. Nouveaux principes de protection des renseignements personnels fondés sur des principes de protection des données reconnus à l’échelle internationale
Les protections prévues dans la loi canadienne en matière de protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, reflètent les normes internationales établies, comme celles figurant dans les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’Organisation de coopération et de développement économiques (OCDE), et ont inspiré certaines révisions importantes de ces lignes directrices en 2013. Ces principes se retrouvent également en grande partie dans le Règlement général sur la protection des données de l’Union européenne. Ils constituent également le fondement du régime « essentiellement similaire » de la Loi sur la protection des renseignements personnels et les documents électroniques, qui favorise l’uniformité de la protection des données dans le secteur privé au Canada. Les dix principes fondamentaux autour desquels s’articulent les protections de la Loi sur la protection des renseignements personnels et les documents électroniques représentent un point de départ utile pour les nouveaux principes de protection des renseignements personnels dans le secteur public.
Les nouveaux principes de protection des renseignements personnels de la Loi sur la protection des renseignements personnels pourraient être élaborés à la lumière des 10 principes énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques. Grâce à l’harmonisation des nouveaux principes de la Loi sur la protection des renseignements personnels avec les objectifs sur lesquels reposent les 10 principes de la Loi sur la protection des renseignements personnels et les documents électroniques, les secteurs public et privé au Canada offriraient une protection équivalente. Cette approche permettrait également : i) d’aligner le cadre de protection des renseignements personnels du secteur public canadien sur les normes internationales reconnues; ii) de simplifier le cadre fédéral de protection des renseignements personnels pour les individus en le structurant en fonction des mêmes objectifs fondamentaux; et iii) d’intégrer dans la Loi sur la protection des renseignements personnels lesprincipes fondamentaux de protection des données qui sont largement reconnus et qui ont inspiré l’élaboration de bon nombre des règles plus précises.
1.3. Principes de protection des renseignements personnels proposés au titre de la Loi sur la protection des renseignements personnels
Comme nous l’avons mentionné précédemment, la proposition d’ajouter des principes de protection des renseignements personnels dans le secteur public fédéral repose sur certains principes de conception : l’interopérabilité avec les principales normes internationales et nationales reconnues; la cohérence avec les cadres juridiques canadiens plus larges applicables aux institutions du secteur public; et une forte neutralité sur le plan technologique. Les objectifs sous-tendant les principes de protection des renseignements personnels dans la Loi sur la protection des renseignements personnels et les documents électroniques constituent un point de départ. En effet, les normes spécifiques applicables aux organismes publics fédéraux établis en fonction des nouveaux principes de protection des renseignements personnels pourraient comporter certaines différences par rapport à celles que la Loi sur la protection des renseignements personnels et les documents électroniques impose aux organisations du secteur privé afin de refléter le contexte unique du secteur public dans lequel s’applique la Loi sur la protection des renseignements personnels, les dispositions actuelles de la Loi, ainsi que son rôle législatif et son historique. Cela permettrait de fonder la loi sur un cadre de protection des renseignements personnels solide qui reflète les valeurs et les normes canadiennes, qui n’entrave pas indûment l’innovation ou les pratiques, et qui, tout compte fait, est dans l’intérêt public.
Responsabilité
Un principe de « responsabilité » pourrait être introduit dans la Loi pour soutenir de nouveaux mécanismes de responsabilisation en vertu desquels les organismes publics fédéraux seraient tenus de démontrer de manière proactive les approches qu’ils adoptent pour assurer le respect de la Loi. Un principe de responsabilité permettrait de confirmer la responsabilité d’un organisme public fédéral pour tous les renseignements personnels sous son contrôle, y compris les renseignements personnels confiés à une tierce partie aux fins de traitement. Ce nouveau principe de responsabilité devrait toutefois être compatible avec les cadres juridiques et politiques qui guident déjà la responsabilité dans le secteur public.
Détermination des fins
Un nouveau principe de « détermination des fins » pourrait exiger qu’un organisme public fédéral indique clairement les fins pour lesquelles les renseignements personnels seront recueillis, utilisés et communiqués. La Loi sur la protection des renseignements personnels contient déjà une règle selon laquelle les institutions fédérales sont tenues d’informer les personnes concernées des fins pour lesquelles les renseignements sont recueillis, sous réserve de quelques exceptions lorsque les renseignements personnels peuvent être recueillis indirectement. Dans le contexte du secteur public, les organismes publics fédéraux communiquent actuellement les objectifs de la collecte de renseignements personnels au moyen d’un « énoncé de confidentialité ». L’introduction d’un nouveau principe de détermination des fins de la collecte des renseignements permettrait de soutenir les approches existantes, de veiller à la transparence de la conformité fondée sur les principes et de confirmer la nécessité d’identifier et de communiquer ces renseignements importants aux individus de manière claire et accessible.
Consentement
Dans le cadre de protection des renseignements personnels du secteur public fédéral, l’autorité de recueillir, d’utiliser ou de communiquer des renseignements personnels provient principalement des lois, plutôt que du consentement de l’individu. Cela s’explique notamment par le fait que les organismes publics fédéraux exercent de nombreuses fonctions pour lesquelles il serait impossible d’obtenir un consentement volontaire valide ou inapproprié de demander un tel consentement (par exemple, lorsque la communication des renseignements demandés est obligatoire ou lorsque la demande de consentement irait à l’encontre de l’objectif de la collecte, comme dans le contexte d’une enquête visant à assurer le respect de la loi). Toutefois, la Loi sur la protection des renseignements personnels reconnaît que le consentement d’un individu constitue une source d’autorité valable dans certaines circonstances, notamment pour de nouveaux usages de renseignements personnels ou pour une communication particulière. L’introduction d’un principe de « consentement » dans la Loi sur la protection des renseignements personnels pourrait confirmer les normes générales liées à l’obtention d’un consentement valide aux fins de la Loi sur la protection des renseignements personnels dans ces circonstances.
Limitation de la collecte
La Loi sur la protection des renseignements personnels pourrait inclure un principe de « limitation de la collecte » pour restreindre les types et la quantité de renseignements personnels que les organismes publics fédéraux peuvent recueillir. Un organisme public fédéral serait limité à la collecte des renseignements personnels qui sont raisonnablement requis pour atteindre un objectif lié à ses fonctions et activités, sauf autorisation contraire du Parlement. Le principe serait complété par des dispositions plus précises qui détermineraient un seuil de collecte et qui prévoiraient les facteurs permettant d’évaluer si une collecte est « raisonnablement requise ». L’accent serait mis sur la nécessité d’établir d’un équilibre adéquat entre la réalisation effective des objectifs publics légitimes d’un organisme public fédéral et le respect des droits et des intérêts des individus. Même si son libellé était différent de celui utilisé dans d’autres instruments de protection des données, cette norme de collecte serait, en pratique, essentiellement équivalente aux normes internationales reconnues. Elle reconnaîtrait et tiendrait également compte des rôles et des responsabilités uniques des organismes publics fédéraux par rapport aux organisations du secteur privé.
Limitation de l’utilisation, de la communication et de la conservation
Un nouveau principe de « limitation de l’utilisation, de la communication et de la conservation» dans la Loi sur la protection des renseignements personnels pourrait s’articuler autour de l’exigence de base selon laquelle toutes les utilisations et les communications de renseignements personnels devraient être expressément autorisées par la Loi ou, à défaut, être raisonnablement requises à la réalisation d’un objectif d’intérêt public. Par conséquent, le consentement et les autres autorisations prévues dans la Loi permettant d’utiliser ou de communiquer des renseignements personnels constitueraient des exemples de pratiques expressément autorisées qui sont conformes à ce principe.
Ce principe pourrait également être fondé sur une évaluation de ce qui est raisonnablement requis dans toutes les circonstances et étayé par des pratiques de conservation expressément autorisées. Par exemple, des règles spéciales à l’appui de pratiques de conservation appropriées pourraient expressément autoriser la conservation des renseignements personnels en conformité avec les règlements pris en vertu de la Loi, pour faciliter les droits d’accès individuels, satisfaire aux exigences en matière d’archivage, ou assurer la conformité avec à d’autres exigences juridiques.
Exactitude
L’actuelle disposition de la Loi sur la protection des renseignements personnels relative à l’exactitude s’apparente déjà à un principe à cet égard. Elle prévoit qu’une institution fédérale est tenue « de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets » (paragraphe 6(2)). Un principe d’« exactitude » pourrait élargir l’application de cette exigence aux renseignements personnels susceptibles d’avoir une incidence directe sur un individu, en s’appuyant sur une définition élargie des fins administratives.
Mesures de sécurité
La Loi sur la protection des renseignements personnels ne contient actuellement pas de dispositions imposant expressément aux organismes publics fédéraux l’obligation de protéger les renseignements personnels qu’ils détiennent à l’aide de mesures de sécurité. De telles exigences se trouvent cependant dans la politique du SCT. La Loi pourrait inclure un principe selon lequel les organismes publics fédéraux doivent appliquer des mesures physiques, organisationnelles et technologiques appropriées, en fonction de la sensibilité des données et du risque potentiel pour les individus. Cette approche pourrait être complétée par l’élaboration de règles législatives plus détaillées, de nouveaux règlements et/ou la rédaction de lignes directrices opérationnelles par le ministre désigné.
Ouverture et transparence
Grâce à l’instauration d’un principe d’« ouverture et de transparence », les individus pourraient être assurés d’obtenir des renseignements précis, présentés de la manière la plus simple possible, sur les politiques et les pratiques de gestion des renseignements personnels d’un organisme public fédéral. Ce principe d’« ouverture et de transparence » pourrait être soutenu par une série d’exigences obligatoires qui assurerait une cohérence des objectifs importants du gouvernement à l’échelle de l’administration publique. De nouvelles exigences de transparence à l’appui de ce principe pourraient venir compléter, sans remplacer, l’obligation actuelle des organismes publics fédéraux de répondre à des demandes de renseignements présentées en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information.
Accès aux renseignements personnels
La Loi sur la protection des renseignements personnels contient déjà un code complet de règles obligatoires régissant le droit des individus d’obtenir l’accès à leurs renseignements personnels. Suivant ces règles, les organismes publics fédéraux traitent environ 75 000 demandes de renseignements personnels par année. Les règles existantes seraient conservées et ultérieurement alignées, dans la mesure appropriée, sur les dispositions correspondantes de la Loi sur l’accès à l’information, parallèlement à la progression du processus de révision de cette législation. Le respect de ces règles par les organismes publics fédéraux demeurerait obligatoire. Un nouveau principe d’accès aux renseignements personnels dans le secteur public pourrait toutefois confirmer et compléter le droit d’accès aux renseignements personnels déjà reconnu dans la Loi, et accorder des droits connexes pour contester l’exactitude et l’exhaustivité.
Possibilité de porter plainte
La Loi sur la protection des renseignements personnels contient déjà un code complet de règles obligatoires pour guider les organismes publics fédéraux lorsque des plaintes sont déposées auprès du Commissaire à la protection de la vie privée. Ces règles pourraient être conservées et le respect par les organismes publics fédéraux des procédures spéciales prévues par la Loi pourrait rester obligatoire. L’inclusion d’un principe de « possibilité de porter plainte » dans le secteur public pourrait confirmer l’importance de mécanismes de recours efficaces.
1.4. Principes de protection des renseignements personnels et dispositions complémentaires
Le passage à une approche fondée sur des principes pour assurer la conformité à la Loi sur la protection des renseignements personnels bénéficie d’un soutien généralisé. Toutefois, plusieurs parties intéressées ont souligné le fait que les principes généraux devraient être soutenus par des règles plus détaillées offrant une orientation plus claire et plus précise concernant les exigences de conformité. Cela permettrait aux organismes publics fédéraux de bénéficier d’une plus grande certitude sur le plan réglementaire et de mieux appuyer leurs efforts en matière de conformité.
Les règles actuelles de la Loi sur la protection des renseignements personnels constituent,de toute évidence, le point de départ le plus solide. Ces règles, qui sont en place depuis plus de 35 ans, sont très complètes et offrent une grande certitude quant aux exigences de conformité. Même s’il conviendrait d’actualiser certaines des dispositions existantes et d’introduire dans la Loi de nouveaux droits individuels et de nouvelles responsabilités institutionnelles, le passage à une approche fondée sur des principes serait conçu de façon à conserver le cadre actuel et à travailler de concert avec lui.
Des versions modernisées des dispositions actuelles de la Loi sur la protection des renseignements personnels ainsi que de nouvelles exigences juridiques viendraient compléter les nouveaux principes de protection des renseignements personnels. Ce cadre de règles modernisé fournirait des orientations détaillées sur la manière d’entreprendre des pratiques particulières en conformité avec la Loi et un principe connexe donné.
Par exemple, la Loi pourrait mentionner expressément des pratiques particulières en matière de collecte de renseignements personnels qui, dans la mesure où elles seraient suivies, répondraient aux exigences d’un nouveau principe de « limitation de la collecte ». Cette approche permettrait de faire en sorte que les principes et les règles puissent fonctionner ensemble de manière efficace. Le rôle des principes serait d’énoncer les exigences fondamentales de la Loi et de fournir l’espace nécessaire pour traiter de nouveaux scénarios. Le rôle des règles serait de déterminer, de manière claire et explicite, comment satisfaire aux exigences des principes dans le contexte de scénarios courants et de pratiques standard.
Selon cette approche, les versions modernisées des règles existantes n’indiqueraient donc plus les seules façons dont les organismes publics fédéraux pourraient se conformer à la Loi. Elles énonceraient plutôt les pratiques précises qui seraient conformes aux principes connexes ou qui constitueraient des exceptions nécessaires, spécifiques et limitées. La Loi pourrait également indiquer explicitement que la conformité aux règles modernisées entraînerait le respect des exigences du principe connexe ou serait reconnue comme une exception expressément autorisée.
1.5. Recours à de nouveaux principes pour les nouveaux scénarios : conformité fondée sur des principes
Afin de profiter des avantages qu’offre une approche fondée sur des principes, les nouveaux principes de protection des renseignements personnels de la Loi sur la protection des renseignements personnels pourraient aider les organismes publics fédéraux à composer avec des circonstances uniques ou imprévues, notamment lorsque les règles ne peuvent pas être appliquées efficacement aux nouvelles technologies ou lorsque des situations très inhabituelles se présentent.
Cela permettrait de soutenir l’innovation au sein du gouvernement et d’assurer une réglementation efficace des nouvelles pratiques ou des situations inhabituelles. Cela permettrait également de faire de la Loi sur la protection des renseignements personnels un instrument législatif de protection des renseignements personnels hautement adaptatif et axé sur l’avenir, conforme aux approches fondées sur des principes qui sont courantes à l’échelle internationale. Une surveillance accrue et de nouvelles exigences en matière de responsabilité aideraient les organismes publics fédéraux à gérer soigneusement des scénarios complexes et nouveaux, dans la mesure où ils respectent les principes généraux de protection des renseignements personnels de la Loi.
1.6. Rapports publics et dialogue entourant la conformité fondée sur des principes
Outre la surveillance des pratiques fondées sur les principes de protection des renseignements personnels par le Commissaire à la protection de la vie privée, la présentation de rapports annuels et un système de suivi centralisé pourraient contribuer à lancer un important dialogue public sur la façon dont la Loi sur la protection des renseignements personnels pourrait être mise à jour au fil du temps. À mesure que les principes fondamentaux de la Loi viendraient clarifier la conformité juridique de nouvelles pratiques, de nouvelles règles connexes pourraient être ajoutées afin d’intégrer aux révisions législatives le recours dorénavant régulier à des pratiques autrefois nouvelles.
Annexe 2 : Un cadre nouveau et mis à jour pour la collecte, l’utilisation, la communication et la conservation des renseignements personnels
2.1 Aperçu
La présente annexe traite plus en détail des façons dont les règles de la Loi sur la protection des renseignements personnels qui régissent la collecte, l’utilisation, la communication et la conservation des renseignements personnels pourraient être modernisées afin de promouvoir le respect des individus et de leurs droits en matière de protection des renseignements personnels.
2.2 Un cadre renforcé pour la collecte de renseignements personnels
Pour favoriser la conformité à un nouveau principe de « limitation de la collecte », la règle qui régit actuellement la collecte, énoncée à l’article 4 de la Loi, pourrait être mise à jour afin de tenir compte de la politique gouvernementale depuis longtemps établie, de garantir une équivalence essentielle avec les approches internationales et d’offrir aux organismes publics fédéraux davantage de latitude pour s’acquitter de leurs missions de manière responsable.
L’article 4 de la Loi sur la protection des renseignements personnels est actuellement libellé comme suit: « Les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. » Conformément à un nouveau principe de « limitation de la collecte », la règle imposant l’existence d’un lien direct avec un programme ou une activité pourrait être mise à jour pour exiger qu’un organisme public fédéral ne puisse recueillir des renseignements personnels que si ces derniers sont raisonnablement requis dans le cadre des fonctions ou de ses activités. La Loi pourrait également permettre la collecte de renseignements personnels en vertu d’une exigence différente dans la mesure où celle-ci serait prévue par une règle énoncée dans une autre loi fédérale.
Ce cadre pourrait également énoncer les principaux facteurs dont les organismes publics fédéraux devraient tenir compte pour déterminer si une collecte est « raisonnablement requise », notamment : (i) le but précis de la collecte, y compris si elle est effectuée pour l’application de la loi; (ii) les mécanismes ou les moyens employés pour recueillir les renseignements; (iii) l’existence de moyens moins intrusifs d’atteindre le but visé à un coût comparable et avec des avantages équivalents pour le public; (iv) le degré d’intrusion que représente la collecte par rapport aux intérêts publics en jeu.
L’intégration d’une norme exigeant que la collecte soit « raisonnablement requise » présente toutefois certains risques. Le recours à des termes tels que « requis » ou « nécessaire » pourrait amener les tribunaux ou le Commissaire à la protection de la vie privée à interpréter de façon stricte le sens ordinaire de ces termes, de sorte qu’ils pourraient ne plus être adaptés ou ne plus permettre de guider l’utilisation de technologies émergentes importantes. Par exemple, des commissaires canadiens se sont demandé si un test nécessitant des renseignements personnels dans un but précis pouvait avoir une réelle utilité dans le contexte des applications de mégadonnéesNote de bas de page 2 et d’intelligence artificielleNote de bas de page 3. Un groupe de réflexion international de premier planNote de bas de page 4 a aussi soulevé cette préoccupation. Étant donné la façon dont fonctionnent les mégadonnées et l’intelligence artificielle, recueillir davantage de renseignements pour garantir au public des résultats optimaux et fiables pourrait fort bien être raisonnable, sans pour autant être « requis » ou « nécessaires ».
Parallèlement, une interprétation trop étroite de ce qui est « requis » peut signifier que des intérêts sociétaux plus larges soutenus par les avancées technologiques ne seraient pas bien servis. Certains intervenants ont souligné la difficulté de déterminer si un renseignement personnel doit être considéré comme étant requis, ou nécessaire, pour qu’un organisme public fédéral puisse s’acquitter efficacement de ses fonctions. En ce qui concerne plus précisément les enquêtes relatives à l’application de la loi, il n’est pas toujours possible de savoir à l’avance quels renseignements seront requis. Il s’agit là d’un exemple d’activité spécialisée qui pourrait nécessiter l’élaboration de règles spécifiques.
Compte tenu de ces préoccupations, une approche plus souple et créative est envisagée quant à l’interprétation de ce qui est « raisonnablement requis ». Un nouveau cadre comprenant une liste de facteurs à prendre en compte pour déterminer si des renseignements personnels sont « raisonnablement requis » devrait être suffisamment souple pour permettre de surmonter les défis d’interprétation inhérents à l’utilisation de termes non restrictifs comme « nécessité », et pour permettre aux organismes publics fédéraux de recueillir des renseignements personnels à des fins plus novatrices.
Une telle approche pourrait également détourner l’orientation du cadre de collecte d’activités et de programmes particuliers, et contribuer à éliminer les silos institutionnels. Ce changement permettrait de mieux répondre aux besoins des organismes publics fédéraux et des ministres responsables de mandats transversaux, tout en favorisant l’efficacité des programmes au sein des organismes publics fédéraux. De plus, une règle de collecte modernisée devrait appuyer les approches de prestation de services publics fondées sur le modèle « une fois suffit » qui restreint la quantité de renseignements recueillis par le gouvernement en premier lieu et qui est plus efficace pour les utilisateurs. Accroître l’intégration et l’efficacité des activités de collecte entre les programmes et les ministères pourrait contribuer à garantir que les renseignements personnels d’un individu demeurent pertinents, à jour et exacts, tant au sein des organismes publics fédéraux qu’entre eux.
Enfin, les collectes de renseignements personnels involontaires, non sollicitées et temporaires pourraient être éliminées grâce à des règles spécialisées précisant comment se conformer au un principe de « limitation de la collecte » dans de telles circonstances. La Loi pourrait prévoir que les organismes publics fédéraux qui reçoivent, sans le vouloir ou sans le savoir, des renseignements personnels dont ils n’ont pas besoin doivent les supprimer ou les retourner.
2.3 Mettre à jour le cadre régissant l’utilisation secondaire et la communication de renseignements personnels
Le principe proposé de la « limitation de l’utilisation, de la communication et de la conservation » pourrait être complété par une mise à jour des règles concernant les utilisations et les communications expressément autorisées afin d’assurer la conformité avec ce nouveau principe de protection des renseignements personnels.
Les circonstances dans lesquelles des renseignements personnels peuvent être utilisés et communiqués sans le consentement de l’individu concerné sont actuellement énoncées aux articles 7 et 8 de la Loi sur la protection des renseignements personnels. Ces dispositions reflètent les choix complexes en matière de politique publique auxquels le Parlement a été confronté lorsqu’il a voulu élaborer un cadre législatif d’application générale pour régir la protection des renseignements personnels par environ 265 institutions fédérales ayant des mandats des besoins en matière de renseignements personnels et des partenariats intergouvernementaux différents. Par ces dispositions, le Parlement a fait des choix en matière de politique publique visant à concilier l’importance de protéger les renseignements personnels des individus et la nécessité de permettre l’utilisation et la communication responsables des renseignements à des fins publiques légitimes. En outre, des mesures de transparence seront essentielles pour permettre aux individus de comprendre comment leurs renseignements personnels seront utilisés, communiqués et conservés – ces mesures sont abordées plus en détail à l’annexe intitulée Un modèle de responsabilisation renouvelé et de nouveaux outils pour assurer une véritable transparence.
Préciser la signification de l’expression « usage compatible » dans le cadre régissant l’utilisation et la communication : La Loi sur la protection des renseignements personnels pourrait offrir une définition souple d’« usage compatible », de façon à harmoniser ce concept canadien avec l’approche européenne relative aux usages compatibles. Un usage compatible serait donc déterminé en fonction de critères énonçant les facteurs à prendre en considération, y compris le lien entre l’objectif original et le nouvel objectif ; le contexte dans lequel les renseignements personnels ont initialement été recueillis; la nature des renseignements personnels visés; les possibles conséquences et avantages pour les individus; l’existence de mesures appropriées de protection ou d’atténuation des risques. La Loi pourrait fournir une liste d’exemples de ce qui pourrait constituer un usage compatible, notamment si l’utilisation ou la communication est nécessaire pour mieux évaluer l’admissibilité d’un individu à un service ou à une prestation, pour fournir de façon efficace ce service ou cette prestation (ce qui permettrait de limiter les cas où les individus doivent fournir les mêmes renseignements à différents organismes publics fédéraux aux mêmes fins), ou pour confirmer l’identité d’un individu en comparant les renseignements personnels avec qu’il détient ailleurs ou qui sont détenus par un autre organisme public fédéral, provincial ou territorial.
Préciser la signification de l’alinéa 8(2)c) : L’alinéa 8(2)c) autorise la communication de renseignements personnels à l’appui des activités des cours et des tribunaux. Cet alinéa pourrait être modifié de façon à préciser qu’un organisme public fédéral peut communiquer des renseignements personnels à ces fins dans les deux cas suivants : (i) lorsque la loi l’y oblige (p. ex., si l’individu est partie à une instance); (ii) lorsqu’un organisme public fédéral exerce son pouvoir discrétionnaire pour communiquer des renseignements personnels pertinents dans le cadre d’une instance en cours ou raisonnablement prévue, même s’il n’est pas légalement tenu de le faire.
Harmoniser l’alinéa 8(2)e) avec les dispositions similaires contenues dans la Loi sur la protection des renseignements personnels et les documents électroniques : L’alinéa 8(2)e) autorise une institution fédérale à communiquer des renseignements personnels à un organisme d’enquête déterminé par règlement aux fins de faire respecter les lois ou pour la tenue d’enquêtes licites. Les réorganisations et restructurations régulières des organismes publics fédéraux rendent ce modèle de désignations par voie réglementaire difficile à maintenir d’un point de vue opérationnel. Une définition d’« organisme d’enquête » pourrait être ajoutée à la Loi et remplacer la liste réglementaire. Cet alinéa pourrait aussi être modifié afin d’améliorer sa cohérence avec les exigences de la Charte canadienne des droits et libertés pouvant s’appliquer lorsqu’un individu a une attente raisonnable en matière de vie privée à l’égard des renseignements personnels en question.
Renforcer la responsabilisation concernant la communication de renseignements en vertu de l’alinéa 8(2)f) : En ce moment, l’alinéa 8(2)f) de la Loi autorise la communication de renseignements personnels aux termes d’accords ou d’ententes conclus entre le gouvernement du Canada ou un de ses organismes et diverses entités mentionnées dans l’article, en vue de l’application des lois ou pour la tenue d’enquêtes licites. Ces entités comprennent des gouvernements provinciaux et territoriaux, certains conseils des Premières Nations, des gouvernements étrangers et des organisations d’États étrangers.
Ce cadre de communication pourrait être modifié afin d’établir une distinction entre la communication de renseignements aux fins de l’application des lois à d’autres organismes publics fédéraux, à des gouvernements provinciaux et territoriaux, à des gouvernements autochtones et à des gouvernements étrangers. En outre, l’obligation de mettre par écrit tous les accords et ententes de communication de renseignements pourrait être imposée. Il demeurerait toutefois possible de communiquer des renseignements personnels dans des situations urgentes ou exceptionnelles, malgré l’absence d’accord, sous réserve du respect de certaines exigences précises.
La loi, la réglementation ou une politique gouvernementale pourrait énoncer les types de clauses que les accords ou ententes de communication de renseignements devraient contenir au minimum. Ces clauses varieraient selon l’entité du destinataire (un autre organisme public fédéral, un autre gouvernement au Canada ou un gouvernement étranger). Elles pourraient notamment prévoir l’objectif de la communication, une description des renseignements personnels communiqués, les mesures de protection visant à protéger les renseignements et à limiter au minimum l’atteinte à la vie privée, les restrictions relativement à une autre utilisation ou communication, et les pénalités imposées en cas de non-conformité.
Renforcer la responsabilisation relativement à l’alinéa 8(2)g) : L’alinéa 8(2)g) autorise un organisme public fédéral à communiquer de renseignements personnels à un parlementaire fédéral sans le consentement de l’individu. Cet alinéa vise à appuyer les députés qui veulent aider leurs électeurs à interagir avec les organismes publics fédéraux. Étant donné la rapidité et l’omniprésence des communications numériques aujourd’hui, il n’est plus certain que les individus aient besoin de ce soutien de façon non consentie pour pouvoir obtenir une aide opportune de la part de leur député. Dans la plupart des cas, un individu pourrait consentir à une telle communication. Cette exception à la communication sans le consentement de l’individu pourrait donc être supprimée de la Loi.
Élargir le sens de l’expression « pour vérification » utilisée à l’alinéa 8(2)h) : L’alinéa 8(2)h) autorise la communication pour appuyer la vérification (i) interne, (ii) centralisée (p. ex., par l’intermédiaire du Bureau du contrôleur général) et (iii) externe des institutions fédérales. Compte tenu de l’importance de faciliter l’examen de la conformité des organismes publics fédéraux à un vaste éventail de responsabilités en matière de politiques et de programmes horizontaux allant au-delà de la saine gestion financière, la portée de l’alinéa 8(2)h) pourrait être élargie en conséquence. Cet alinéa pourrait également permettre d’appuyer la conformité à d’autres engagements importants du secteur public en ce qui a trait, par exemple, à l’efficacité et à l’intégrité des programmes, à l’analyse comparative entre les sexes plus, aux résultats et à la prestation, ou aux résultats en matière de gestion des risques. Les destinataires centralisés et prescrits devraient être modifiés selon le cas.
Dupliquer l’alinéa 8(2)i) pour Statistique Canada : Statistique Canada pourrait tirer avantage du même type de disposition claire et explicite que celle, énoncée à l’alinéa 8(2)i) de la Loi, qui prévoit la communication à Bibliothèque et Archives du Canada pour dépôt. Une disposition pourrait être ajoutée afin de désigner Statistique Canada comme une institution destinataire à laquelle des renseignements personnels peuvent être communiqués « à des fins de statistique et de recherche ».
Renforcer la clarté et la responsabilisation relativement à l’alinéa 8(2)j) : L’alinéa 8(2)j) autorise la communication de renseignements personnels à toute personne ou à tout organisme pour des travaux de recherche ou de statistique. Cette disposition pourrait être modifiée pour clarifier le champ d’application prévu, compte tenu notamment de l’ampleur et de la portée des analyses de données qui sont maintenant possibles. Outre cette clarification, le responsable d’une institution autorisé à approuver la communication pour des travaux de de recherche et de statistique pourrait également être tenu de préciser les conditions relatives à la sécurité et à la confidentialité des données dans les ententes de communication. Par suite de ces modifications, l’alinéa 8(2)j) serait mieux harmonisé avec les approches adoptées dans d’autres ressorts.
Autoriser l’usage et la communication pour des activités d’intégration de données visant certaines finalités.: Il est extrêmement avantageux pour le public de permettre au gouvernement de communiquer, de relier et d’analyser des données afin d’obtenir de nouvelles informations permettant de mieux soutenir les initiatives de prestation de services, l’élaboration des politiques, la planification des systèmes, l’affectation des ressources et le suivi du rendement. Cela peut permettre au gouvernement d’obtenir des données probantes de meilleure qualité et de réduire les cas d’abus ou de fraude. Cela peut également soutenir une meilleure élaboration des politiques publiques et une utilisation plus saine des fonds publics.
Pour appuyer ces objectifs, la Loi pourrait permettre l’utilisation ou la communication de renseignements personnels à une unité particulière d’un organisme public fédéral afin de procéder à l’analyse des renseignements en lien avec la gestion ou l’affectation des ressources, la planification de la prestation des programmes et services fournis ou financés par le gouvernement du Canada, et l’évaluation de ces programmes et services dans certaines circonstances. Ce type de communication de renseignements pourrait être assujetti à certaines limites et conditions, notamment que d’autres renseignements ne puissent pas servir à l’atteinte de ces objectifs, que seuls les renseignements personnels qui sont raisonnablement requis aux fins poursuivies puissent être utilisés ou communiqués, et que le responsable de l’organisme public fédéral qui utilise ou reçoit les renseignements à ces fins soit tenu de garantir que l’utilisation ou la communication est dans l’intérêt public.
Autoriser l’usage et la communication en cas d’urgence, pour prévenir les menaces à la sécurité publique et des individus, et pour communiquer avec le plus proche parent : Contrairement à de nombreuses lois sur la protection des renseignements personnels applicables au secteur public, la Loi sur la protection des renseignements personnels n’autorise pas expressément l’utilisation ou la communication de renseignements personnels en cas d’urgence, pour assurer la sécurité publique ou la sécurité d’un individu, ou pour informer le plus proche parent dans certaines circonstances. Pour remédier à la situation, la Loi pourrait prévoir des autorisations concernant a l’utilisation ou la communication lorsque celles-ci sont raisonnablement requises en cas d’urgence, pour prévenir ou atténuer une menace grave pour la sécurité ou la santé publique ou d’un individu, pour protéger la sécurité ou la santé d’un individu, et pour communiquer avec un parent ou avec toute autre personne avec qui il serait raisonnable de communiquer si un individu est blessé ou malade.
Utiliser ou communiquer des renseignements personnels auxquels le public a accès : La Loi pourrait prévoir des règles spécialisées pour l’utilisation ou la communication de renseignements personnels « auxquels le public a accès ». Cela permettrait de clarifier et de soutenir l’application des nouveaux principes de protection des renseignements personnels à cette catégorie de renseignements, et d’harmoniser les pratiques du secteur public en matière d’utilisation et de communication des renseignements personnels auxquels le public a accès avec les attentes raisonnables des individus en matière de respect de la vie privée. Parallèlement, la Loi pourrait assurer la compatibilité de son approche à l’égard des renseignements personnels auxquels le public a accès avec celle de la Loi sur l’accès à l’information – la Loi sur la protection des renseignements personnels ne devrait pas protéger les renseignements auxquels le public a accès d’une manière incompatible avec le droit d’accès du public à ces renseignements en vertu de la Loi sur l’accès à l’information.
Apporter des modifications corrélatives aux changements dans la définition de « renseignements personnels » : En lien avec l’idée de retirer la liste des exceptions prévues aux alinéas j) à m) de la définition de « renseignements personnels », il pourrait être opportun de prévoir que les organismes publics fédéraux sont autorisés à utiliser et à communiquer les renseignements visés par ces exceptions. Cela comprend les renseignements concernant le poste ou les fonctions d’un employé ou d’un mandataire de l’organisme public fédéral, certains renseignements sur le personnel ministériel, les renseignements concernant un individu qui fournit des services dans le cadre d’un contrat gouvernemental lorsque ceux-ci concernent les services fournis, les renseignements concernant les avantages financiers facultatifs et les renseignements concernant un individu décédé depuis plus de 20 ans.
Offrir une certaine souplesse en cas de circonstances imprévues : Actuellement, l’alinéa 8(2)m) de la Loi autorise le responsable d’une institution fédérale à communiquer des renseignements personnels à toute autre fin que celles prévues aux alinéas précédent dans les cas où : (i) des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée; (ii) l’individu concerné en tirerait un avantage certain. Afin que la Loi puisse offrir une protection souple adaptée aux circonstances et aux technologies en constante évolution, une réorientation de cette approche pourrait être envisagée. Prévoir de nouvelles autorisations en matière d’utilisation ou de communication de renseignements personnels dans des circonstances d’urgence, pour protéger la sécurité publique et pour aviser les proches dans certains cas permettrait de faire face à bon nombre des scénarios envisagés par l’actuel sous-alinéa 8(2)m)(ii) de la Loi.
Dans le contexte de cette réorientation, L’alinéa 8(2)m) de la Loi pourrait être supprimé et remplacé par un nouveau cadre visant les utilisations et communications qui ne sont pas déjà expressément autorisées par cette partie de la Loi, mais qui respecterait le nouveau principe de « limitation de l’utilisation, de la collecte et de la conservation ». Une nouvelle disposition pourrait ainsi être ajoutée pour permettre toute autre utilisation ou communication de renseignements personnels à une fin qui n’est pas expressément autorisée par la Loi lorsque le responsable d’un organisme public fédéral juge qu’elle est « raisonnablement requise » dans l’intérêt public. Comme en ce qui concerne la règle de collecte mise à jour dans la Loi, ce cadre énoncerait les principaux facteurs dont le responsable de l’organisme public fédéral doit tenir compte pour déterminer si cette utilisation ou communication est « raisonnablement requise », notamment : (i) la nature et le but précis de l’utilisation ou de la communication; (ii) les mécanismes ou les moyens employés pour communiquer les renseignements; (iii) l’existence de moyens moins intrusifs d’atteindre le but visé à un coût équivalent et avec des avantages comparables pour le public; (iv) le degré d’intrusion que représentent l’utilisation ou la communication par rapport aux intérêts publics en jeu; (v) la façon dont les renseignements seraient protégés afin d’atténuer les éventuelles répercussions sur la vie privée. Des exigences connexes en matière de tenue de dossiers en lien avec une telle décision pourraient être imposées afin de permettre au Commissaire à la protection de la vie privée de procéder à un examen significatif.
2.4 Instaurer une approche fondée sur des principes en matière de conservation des renseignements personnels
Les règles actuelles relatives à la conservation des renseignements personnels sont rigides. En principe, elles imposent aux institutions fédérales l’obligation de conserver les renseignements personnels utilisés dans un processus décisionnel concernant un individu pendant deux ans. Cette exigence a pour but de garantir que l’individu ait une possibilité raisonnable d’obtenir l’accès aux renseignements personnels le concernant.
Toutefois, l’expérience a montré que le respect de délais de conservation stricts peut parfois empêcher les organismes publics fédéraux de supprimer les renseignements personnels de manière sécuritaire, alors que la suppression de ces renseignements permettrait de mieux protéger la vie privée des individus que leur conservation. La Loi pourrait imposer aux organismes publics fédéraux l’obligation de ne conserver les renseignements personnels qu’aussi longtemps qu’il est raisonnablement requis de le faire pour atteindre efficacement l’objectif pour lequel ils ont été recueillis au départ, offrant ainsi aux organismes publics fédéraux la souplesse nécessaire pour adapter leurs pratiques de conservation aux circonstances propres à chaque cas.
Cette nouvelle obligation pourrait être appuyée par l’inclusion d’une liste de pratiques de conservation expressément autorisées confirmant les situations où il serait approprié pour un organisme public fédéral de conserver des renseignements personnels plus longtemps que nécessaire aux fins pour lesquelles ils ont été recueillis. Des exemples de ces pratiques de conservation autorisées pourraient inclure l’archivage, pour répondre aux demandes d’accès aux renseignements personnels et pour assurer la conformité à d’autres obligations juridiques.
Annexe 3 : Un modèle de responsabilisation renouvelé et de nouveaux outils pour assurer une véritable transparence
3.1 Aperçu
L’amélioration de la responsabilisation au moyen de mécanismes de gouvernance des données nouveaux et mis à jour régulièrement, des mesures de transparence améliorées, un cadre de conformité axé sur le soutien et une surveillance accrue constituent le troisième pilier fondamental d’une Loi sur la protection des renseignements personnels modernisée. Ces améliorations peuvent aider les organismes publics fédéraux à renforcer leurs processus internes, leur capacité et leur expertise en matière de prise de décisions, favoriser un dialogue efficace entre les organismes publics fédéraux et le Commissaire à la protection de la vie privée et ultimement accroître la confiance envers le fonctionnement de la Loi sur la protection des renseignements personnels dans son ensemble.
Cette annexe présente une panoplie de nouveaux outils concernant la responsabilisation, la transparence et l’application de la Loi qui pourraient être introduits à la Loi sur la protection des renseignements personnels afin d’appuyer une responsabilisation accrue.
3.2 Nouveaux mécanismes visant à assurer une solide gouvernance des données axée sur l’amélioration continue
Les mécanismes suivants pourraient aider les organismes publics fédéraux à acquérir une solide expertise et à développer leur capacité interne en matière de protection des renseignements personnels afin de pouvoir gérer de façon proactive les enjeux uniques en matière de protection des données auxquels ils font face, y compris les nouveaux scénarios susceptibles de se produire. L’intégration d’une approche préventive, proactive et systématique pour assurer la conformité et l’atténuation des risques permettrait de veiller à ce que les organismes publics fédéraux puissent apprendre et s’améliorer sans cesse, même en l’absence de plaintes ou d’enquêtes.
Démontrer la responsabilisation : La Loi sur la protection des renseignements personnels pourrait être modifiée afin d’instaurer un principe de « responsabilisation » fondé sur les pratiques exemplaires développées par d’autres instruments nationaux et internationaux de protection des données. Ce principe pourrait constituer le fondement des nouvelles exigences imposées aux organismes publics fédéraux selon lesquelles ils doivent démontrer de façon proactive les mesures qu’ils prennent pour assurer le respect de la Loi. Tout comme la Loi sur la protection des renseignements personnels et des documents électroniques, la Loi sur la protection des renseignements personnels pourrait également confirmer qu’un organisme public fédéral est responsable de tous les renseignements personnels qu’il détient, y compris les renseignements personnels transférés à des tiers à des fins de traitement.
Concevoir et maintenir des programmes de gestion des renseignements personnels : La Loi pourrait instaurer une exigence pour les organismes publics fédéraux de créer et de maintenir un programme de gestion des renseignements personnels. Cela constituerait un mécanisme concret que les organismes publics fédéraux pourraient utiliser pour prendre en main et démontrer de façon proactive leur propre conformité conformément au principe de responsabilisation. Un programme de gestion des renseignements personnels pourrait servir de principal mécanisme d’organisation pour orienter la conformité à d’autres mesures de responsabilisation, comme les nouvelles exigences liées aux évaluations des facteurs relatifs à la vie privée. Il permettrait aux organismes publics fédéraux de démontrer qu’ils agissent conformément aux exigences nouvelles et existantes en matière de responsabilisation. La Loi pourrait également énoncer les composantes minimales d’un programme de gestion des renseignements personnels, comme une liste des représentants responsables de la protection des renseignements personnels au sein de l’organisme public fédéral, les inventaires de renseignements personnels que détient l’organisme public fédéral, les politiques et les procédures en vigueur pour protéger les renseignements personnels. Les éléments d’un programme de gestion des renseignements personnels pourraient également être fournis ou ajoutés au moyen des instruments de politique du Secrétariat du Conseil du Trésor. Les organismes publics fédéraux pourraient également être responsables de transformer les éléments d’un programme de gestion des renseignements personnels en un outil de gouvernance des données individualisé qui tient compte de la taille, de la structure et du rôle de l’organisme ainsi que du volume et de la nature des renseignements personnels qu’il détient. L’obligation d’examiner et de mettre à jour régulièrement les programmes de gestion des renseignements personnels pourrait aussi être ajoutée à la Loi.
Responsables de la protection des renseignements personnels : Le responsable d’un organisme public fédéral serait ultimement responsable de l’administration de la Loi au sein de son organisme, mais la Loi pourrait néanmoins exiger qu’un organisme public fédéral désigne un ou des individus chargés de démontrer la conformité à la Loi. Certaines institutions gouvernementales ont déjà nommé un dirigeant principal de la protection des renseignements personnels, reconnaissant ainsi le rôle important que jouent l’expertise interne et le leadership dans le développement d’une culture de conformité. Si le titre de poste particulier et les autres fonctions des représentants pourraient varier d’un organisme public à l’autre, une approche uniforme concernant la désignation d’un représentant pour orienter la conformité à la loi de l’organisme et remplir certaines fonctions procurerait des avantages à tous les organismes publics fédéraux. Cela sera particulièrement important compte tenu du fait que la modernisation de la Loi sur la protection des renseignements personnels pourrait donner lieu à l’instauration de différentes nouvelles obligations en matière de conformité. Une flexibilité serait accordée relativement à la façon de respecter ces obligations.
Nouvelles exigences relatives à la tenue de documents :: Dans le cadre d’un nouveau principe de « responsabilisation », l’obligation actuelle d’informer le Commissaire à la protection de la vie privée de « l’usage compatible » et des communications « d’intérêt public » pourrait être transformée en exigences relatives à la tenue de documents. En outre, les organismes publics fédéraux pourraient être expressément tenus de consigner par écrit une variété d’autres questions, y compris les demandes faites aux organisations du secteur privé en application de l’alinéa 7(3)(c.1) de la Loi sur la protection des renseignements personnels et des documents électroniques. Ces documents pourraient être assujettis au droit d’accès en application de la Loi et aux pouvoirs de surveillance du Commissaire à la protection de la vie privée.
3.3 Accroissement d’une véritable transparence gouvernementale
La transparence peut vouloir dire l’ouverture, c’est-à-dire qu’un individu peut facilement obtenir de l’information sur la manière dont les renseignements personnels sont recueillis, utilisés, conservés et communiqués par une institution. Mais l’ouverture en soi n’entraîne pas une véritable transparence; l’information disponible devrait également être organisée et présentée par écrit d’une façon qui peut être facilement comprise par l’individu concerné qui en a besoin ou souhaite l’obtenir.
La discussion qui suit est axée sur l’introduction de nouvelles exigences en matière d’ouverture qui sont expressément conçues pour répondre aux besoins et aux intérêts des individus souhaitant comprendre les pratiques des organismes publics fédéraux à l’égard de la protection des renseignements personnels.
Rendre les mesures de transparence plus accessibles et conviviales – un nouveau registre de renseignements personnels : L’obligation actuelle des institutions de publier de l’information concernant les renseignements personnels qu’elles recueillent et détiennent (fichiers de renseignements personnels [FRP]) remonte à l’époque où les renseignements personnels étaient conservés dans des dossiers papier. Pour moderniser le régime de transparence, la Loi sur la protection des renseignements personnels pourrait imposer aux organismes publics fédéraux l’obligation générale de publier de l’information importante dans un registre de renseignements personnels en ligne, accessible et consultable, qui pourrait contenir ce qui suit :
- Descriptions des renseignements personnels recueillis par les organismes publics fédéraux, les lois en vertu desquelles les renseignements sont recueillis, de quelle manière les renseignements sont utilisés par un organisme public fédéral et à quels autres organismes les renseignements sont communiqués;
- Sommaires des évaluations des facteurs relatifs à la vie privée;
- Sommaires des accords de communication de renseignements personnels et information complémentaire pertinente;
- Autre information, telle que les avis de confidentialité lorsque la communication directe avec les personnes n’est pas requise (p. ex. collecte indirecte ou usage secondaire légalement autorisé de renseignements personnels).
Le registre de renseignements personnels (RRP) pourrait être conçu pour offrir un regroupement détaillé et normalisé d’information importante que les organismes publics fédéraux pourraient compléter à leur guise au moyen d’autres mesures de transparence individualisées.
Le maintien d’un bon équilibre entre les exigences législatives et les instruments de politique complémentaires est important. La Loi pourrait instaurer l’obligation de verser l’information désignée dans un RRP ou de publier dans un nouveau RRP l’information principale dont les organismes publics fédéraux pourraient avoir besoin. Des éléments supplémentaires à verser à un RRP pourraient être précisés dans les instruments de politique relevant du ministre désigné. L’appui d’une obligation fondamentale de verser les documents dans un RRP, et des exigences et des renseignements opérationnels supplémentaires à établir dans une politique pourraient accorder une flexibilité au fil du temps, à mesure que les approches et les outils changent.
Offrir un sommaire convivial par couche des mesures visant à protéger les renseignements personnels : Pour veiller à ce que l’information technique faisant actuellement partie du régime existant de FRP soit plus compréhensible et accessible pour les individus, les organismes publics fédéraux pourraient devoir publier un aperçu accessible et en langage clair et simple de leurs pratiques générales se rapportant au RRP. De nombreuses institutions gouvernementales respectent déjà cette pratique exemplaire en publiant dans leurs sites Web une description générale de leurs pratiques et engagements en matière de renseignements personnels. Cette information ressemble à une politique ou à une charte de protection des renseignements personnels propre à une institution. Cette pratique pourrait être coordonnée à l’échelle du gouvernement et comprendre le RRP. L’objectif serait d’offrir une source préliminaire d’information générale et accessible pour laquelle d’autres niveaux de renseignements plus détaillés et techniques seraient offerts par l’intermédiaire du RRP.
Améliorer la transparence concernant la collecte indirecte et les usages secondaires : La Loi sur la protection des renseignements personnels pourrait comprendre de nouvelles règles visant à clarifier de quelle manière un organisme public fédéral peut respecter un nouveau principe de « détermination des fins » lorsque l’occasion de fournir un avis de confidentialité directement à un individu ne se présente pas. Cette situation se produirait lorsque la Loi autorise la collecte indirecte de renseignements personnels ou, dans certains cas, lorsque les renseignements personnels ont été recueillis à de nouvelles fins qui n’ont pas été initialement prévues lors de la collecte directe. Dans de tels cas, une institution pourrait être tenue de publier un avis de confidentialité à jour dans le RRP conformément aux mêmes normes de communication accessibles qui s’appliqueraient lors de la communication directe avec un individu.
Publier de l’information au sujet des programmes de gestion des renseignements personnels : Puisque les programmes de gestion des renseignements personnels constitueraient une composante essentielle du régime de conformité d’une institution gouvernementale, un nouveau régime de transparence pourrait nécessiter que les renseignements soient publiés, en tout ou en partie, ou soient rendus accessibles au public aux fins d’examen dans le cadre du RRP.
Réaliser et publier des évaluations des facteurs relatifs à la vie privée (EFVP) : Les évaluations des facteurs relatifs à la vie privée (EFVP) sont des examens détaillés des risques en matière de protection des renseignements personnels identifiés et des mesures visant à les atténuer. Toutefois, la réalisation d’EFVP nécessite beaucoup de temps et de ressources publiques. L’instauration dans la Loi sur la protection des renseignements personnels d’une exigence législative fondée sur les risques pour la réalisation d’une EFVP pourrait contribuer à accroître la conformité à la Loi. la Loi pourrait imposer aux organismes publics fédéraux une obligation de réaliser une EFVP en ce qui a trait à de nouveaux programmes ou de nouvelles activités, ou à des programmes qui ont été considérablement modifiés, lorsque des renseignements personnels sont recueillis, utilisés ou communiqués à des fins administratives, en vue de réaliser des activités automatisées ou manuelles d’établissement de profils nécessitant des renseignements personnels de nature délicate ou dans le cadre d’autres activités représentant un risque élevé pour les renseignements personnels, tel que précisé dans une politique gouvernementale. La Loi pourrait également obliger les organismes publics fédéraux qui réalisent une EFVP à fournir une copie de celles-ci au Commissaire à la protection de la vie privée afin qu’il formule des avis et des recommandations dans un délai prescrit. Les organismes publics fédéraux devraient indiquer dans leurs EFVP définitives ou leurs rapports annuels la raison pour laquelle les recommandations formulées par le Commissaire à la protection de la vie privée n’ont pas été mises en œuvre. Étant donné que certaines EFVP sont assez volumineuses et que d’autres évaluations ne peuvent pas être publiées pour des raisons opérationnelles se rapportant à l’application de la loi, à la collecte de renseignements, à la protection de la sécurité nationale ou à d’autres fonctions gouvernementales de nature délicate, des sommaires des EFVP pourraient être publiés de façon proactive. La politique du gouvernement pourrait restreindre davantage la forme et le contenu particuliers d’une EFVP.
Offrir une transparence concernant les ententes d’échange de renseignements personnels : Les ententes d’échange de renseignements personnels facilitent la transmission de renseignements personnels et les protections juridiques connexes. Étant donné le rôle clé que ces ententes jouent dans le secteur public fédéral, une transparence accrue est importante. La Loi sur la protection des renseignements personnels pourrait obliger un organisme public fédéral à publier tous les ans l’information prescrite se rapportant à toutes les nouvelles ententes d’échange de renseignements personnels qu’il a conclus et à toutes les ententes d’échange de renseignements personnels existantes qu’il a utilisées activement au cours de l’année. Cette information pourrait être rendue accessible au public au moyen du RRP.
Prévoir des exceptions pour les fonctions gouvernementales de nature délicate : Si elles étaient imposées de façon uniforme à toutes les fonctions gouvernementales, bon nombre des mesures de transparence prévues pourraient compromettre l’intégrité des activités de nature délicate du secteur public, comme les enquêtes d’application de la loi, la collecte de renseignement et les activités relatives à la sécurité nationale. Des exceptions ciblées aux nouvelles exigences en matière de transparence seraient requises. Dans les cas où la publication proactive de l’information ne serait pas possible en raison de sa nature délicate, des exigences en matière de conservation des documents assujetties à la surveillance du Commissaire à la protection de la vie privée pourraient servir de mécanisme de responsabilisation de rechange. Le régime de « fichiers non consultables » et les pouvoirs du Commissaire à la protection de la vie privée pour le superviser pourraient aussi continuer à servir de modèle s’il est modifié de façon appropriée à la lumière des changements apportés au régime de fichiers de renseignements personnels sous considération.
Annexe 4 : Un nouveau cadre de surveillance pour la Loi sur la protection des renseignements personnels
4.1 Aperçu
Un cadre de surveillance axé sur le soutien et une surveillance accrue forment en partie le troisième pilier fondamental de la Loi sur la protection des renseignements personnels modernisée. Certaines améliorations apportées à la Loi pourraient aider à favoriser un dialogue efficace entre les organismes publics fédéraux et le Commissaire à la protection de la vie privée, et au besoin, fournir au commissaire des pouvoirs supplémentaires pour garantir la conformité.
Le Commissaire à la protection de la vie privée est un agent du Parlement. Cela signifie que le commissaire relève directement du Parlement plutôt que du gouvernement ou d’un ministre fédéral, ce qui accroît son indépendance à l’égard du gouvernement. Le Commissaire à la protection de la vie privée est également un « ombudsman ». Cela signifie que le commissaire dispose de vastes pouvoirs pour recevoir des plaintes et mener des enquêtes, mais il n’a pas le pouvoir d’imposer des ordonnances exécutoires. Le rôle d’ombudsman du Commissaire à la protection de la vie privée a bien servi la population canadienne depuis plus de 35 ans. Il a constitué une façon relativement efficace et conviviale de traiter les plaintes formulées en application de la Loi, il appuie le dialogue important entre le Commissaire à la protection de la vie privée et les organismes publics fédéraux et a permis de négocier efficacement des solutions à des problèmes complexes dans la vaste majorité des plaintes formulées en application de la Loi. Le rôle d’ombudsman soutient également l’accès à la justice pour les individus, qui profitent d’un processus moins officiel devant le commissaire pour faire valoir leurs plaintes et qui ont la possibilité de voir le commissaire intenter un recours devant la Cour fédérale en leur nom.
Cependant, il y a beaucoup de raisons pour lesquelles le modèle d’application de la Loi doit être revu. Des recours juridiques complets, efficaces et accessibles sont essentiels pour les situations où la conformité ne peut pas être assurée par d’autres moyens. Un meilleur modèle de surveillance est également approprié dans une loi qui pourrait accorder une nouvelle flexibilité axée sur des principes pour les nouveaux scénarios et les nouvelles pratiques en matière de renseignements personnels.
La présente annexe renferme davantage de renseignements et décrit divers nouveaux outils visant à offrir une véritable surveillance qui pourraient être instaurés dans la Loi sur la protection des renseignements personnels.
4.2 Favoriser un dialogue ouvert et une orientation accessible au public
Une plus grande ouverture concernant le fonctionnement de la Loi sur la protection des renseignements personnels et la façon dont elle est appliquée est importante. Tous les joueurs clés du système, c’est–à–dire le public, les organismes publics fédéraux et le Commissaire à la protection de la vie privée, pourraient en tirer avantage lorsque de l’information claire concernant ce que la Loi exige sera largement et systématiquement accessible. Certaines de ces idées de changements potentiels à la Loi harmoniserait les pouvoirs du Commissaire à la protection de la vie privée avec ceux prévus dans la Loi sur la protection des renseignements personnels et des documents électroniques, alors que d’autres sont plus novatrices et visent à favoriser un meilleur dialogue entre les organismes publics fédéraux et le Commissaire à la protection de la vie privée dans le secteur public fédéral. Des changements potentiels comprennent :
Confier un mandat de sensibilisation du public au Commissaire à la protection de la vie privée : La Loi sur la protection des renseignements personnels pourrait accorder au Commissaire à la protection de la vie privée le pouvoir officiel de mener des activités de sensibilisation du grand public, comme celui dont il dispose en application de la Loi sur la protection des renseignements personnels et des documents électroniques.
Confier au Commissaire à la protection de la vie privée le pouvoir d’émettre des lignes directrices : La Loi sur la protection des renseignements personnels pourrait accorder au Commissaire à la protection de la vie privée le pouvoir de formuler des orientations non contraignantes sur la façon dont il interprète la Loi et les approches en matière d’enquête connexes afin de faire en sorte que les individus et les organismes publics fédéraux soient au courant des avis du commissaire. D’autres commissaires à l’information et à la protection de la vie privée et ombudsmans au Canada, et à l’étranger, formulent des orientations destinées aux entités des secteurs public et privé.
Permettre aux organismes publics fédéraux de demander l’avis du Commissaire à la protection de la vie privée à l’extérieur du cadre d’une enquête : Le Commissaire à la protection de la vie privée pourrait également se voir accorder le pouvoir de formuler, à la demande d’un organisme public fédéral, un énoncé de la position juridique ou une interprétation qu’il adopterait lors de l’évaluation de la conformité à la Loi sur la protection des renseignements personnels dans le cadre d’une enquête relative à une plainte ou d’une situation similaire, un peu comme le pouvoir de formuler des avis consultatifs non contraignants dont dispose le commissaire au lobbying. Un pouvoir similaire pourrait permettre au Commissaire à la protection de la vie privée d’informer un organisme public fédéral demandeur de la position qu’il adopterait relativement à une question de conformité particulière que l’organisme public en question lui présenterait, en se fondant uniquement sur les renseignements fournis. Le commissaire pourrait également avoir le pouvoir discrétionnaire de refuser de mener une enquête relative à une plainte au motif qu’un avis préalable a amplement fait le tour d’une question, s’il y a lieu.
Instaurer un environnement de « bac à sable réglementaire » : Un bac à sable réglementaire est un environnement contrôlé et supervisé dans lequel des modèles, des structures ou des processus organisationnels particulièrement nouveaux peuvent être mis à l’essai afin de déterminer leur compatibilité aux exigences législatives en collaboration avec un organisme de surveillance. Cette mise à l’essai est réalisée à l’extérieur d’un environnement de conformité judiciaire ou coercitif. Bien qu’une panoplie de mécanismes fondés sur des politiques appuie actuellement le dialogue entre le Commissaire à la protection de la vie privée et les organismes publics fédéraux dans le cadre de l’étude de nouvelles initiatives, ni la Loi ni les instruments de politique connexes ne reconnaissent un mécanisme grâce auquel la compatibilité présumée aux exigences législatives pourrait être confirmée au préalable par le Commissaire à la protection de la vie privée. Des limitations et des mises en garde seraient importantes, notamment la capacité continue d’un individu de déposer une plainte et la surveillance ultime des tribunaux, mais la Loi pourrait autoriser les organismes publics fédéraux à tenir avec le Commissaire à la protection de la vie privée des discussions plus collaboratives visant à assurer la conformité. Le Royaume-Uni a mis en œuvre un mécanisme de bac à sable qui pourrait servir de modèle.
Accroître la transparence des enquêtes relatives aux plaintes et les pouvoirs de surveillance : Pour aider tous les organismes publics fédéraux à apprendre des expériences vécues par certains d’entre eux, le Commissaire à la protection de la vie privée pourrait se voir accorder le pouvoir de communiquer plus d’information dans l’intérêt public. Le pouvoir discrétionnaire serait complété par une directive législative visant la publication d’avis préalables, de décisions se rapportant au traitement des demandes d’accès à l’information et des conclusions d’enquêtes relatives à une plainte, y compris les décisions de refuser de mener une enquête, les rapports définitifs et les ordonnances et les accords de conformité. Ce nouveau pouvoir pourrait être assujetti à l’obligation actuelle du Commissaire à la protection de la vie privée de protéger la confidentialité de certaines catégories de renseignements de nature délicate qui ne peuvent pas être communiqués en application de la Loi (p. ex. l’article 65) et pourrait comprendre la protection des renseignements personnels d’un plaignant.
Favoriser la transparence des procédures du commissariat à la protection de la vie privée : De nouvelles dispositions pourraient être ajoutées à la Loi sur la protection des renseignements personnels afin de clarifier le pouvoir du Commissaire à la protection de la vie privée de publier de l’information concernant la façon dont il exercera les pouvoirs d’application aux termes de la Loi. Ces dispositions permettraient d’assurer la transparence et l’uniformité des processus et des procédures qui orientent l’exercice des pouvoirs de surveillance du Commissaire à la protection de la vie privée.
4.3 Habiliter le Commissaire à la protection de la vie privée en lui accordant des pouvoirs accrus
La discussion qui suit explore en quoi les nouveaux pouvoirs de surveillance complètent et maintiennent les forces du modèle de surveillance existant du Canada. Bon nombre de ces idées visent à harmoniser les pouvoirs du Commissaire à la protection de la vie privée relatifs au secteur privé à ceux du secteur public ainsi qu’avec ceux de la Commissaire à l’information.
Faciliter un dialogue préliminaire pour prévenir les problèmes : De nombreuses mesures de transparence envisagées ci-dessus faciliteraient la publication proactive d’information sur les pratiques en matière de renseignements personnels des organismes publics fédéraux. Cette information pourrait être accessible par le public et le Commissaire à la protection de la vie privée pour favoriser un dialogue utile entre les organismes publics fédéraux et le Commissaire à la protection de la vie privée dans un contexte autre qu’une enquête relative à une plainte ou à un processus d’audit. Toutefois, il serait important de veiller à ce que les organismes publics fédéraux soient appuyés dans leurs efforts visant à être transparents et responsables de façon proactive plutôt que de subir un préjudice si des enjeux relatifs à la conformité étaient relevés.
Maintenir la résolution informelle des plaintes : Des expériences vécues par d’autres administrations indiquent que la résolution informelle des plaintes, y compris la médiation, peut être combinée à des pouvoirs accrus en matière d’application de la loi d’une façon qui protège un processus décisionnel équitable pour toutes les parties. Les processus existants de résolution informelle des plaintes du Commissaire à la protection de la vie privée pourraient être maintenus et confirmés officiellement dans la Loi.
Accorder un nouveau pouvoir pour refuser une enquête ou y mettre fin : Pour accroître l’efficacité du rôle de surveillance du Commissaire à la protection de la vie privée et affecter les ressources limitées aux enjeux de conformité systémiques ou ayant des répercussions importantes, le Commissaire à la protection de la vie privée pourrait se voir accorder un nouveau pouvoir discrétionnaire de refuser de mener une enquête relative à une plainte ou de mettre fin à une enquête en cours. Le Commissaire à la protection de la vie privée pourrait se voir accorder le pouvoir discrétionnaire de refuser de mener une enquête relative à une plainte dans un certain nombre de cas, y compris si une plainte est vexatoire, frivole ou faite de mauvaise foi, ou si le Commissaire à la protection de la vie privée juge qu’une enquête n’est pas nécessaire, y compris les cas où une plainte a déjà fait l’objet d’une enquête ou d’un rapport du commissaire.
Accorder un nouveau pouvoir pour approuver les demandes de refus de traiter une demande d’accès aux renseignements personnels : Conformément aux nouvelles dispositions récemment ajoutées à la Loi sur l’accès à l’information, les organismes publics fédéraux pourraient être autorisés à refuser de traiter certaines demandes d’accès à l’information faite en application de la Loi sur la protection des renseignements personnels si le Commissaire à la protection de la vie privée donne son autorisation. Cela permettrait aux organismes publics fédéraux d’affecter des ressources à d’autres tâches que le traitement de demandes vexatoires ou abusives.
Faciliter la collaboration avec d’autres organismes de surveillance : La Loi sur la protection des renseignements personnels pourrait être modifiée afin d’accorder au Commissaire à la protection de la vie privée le pouvoir discrétionnaire de communiquer de l’information au sujet de plaintes et de mesures d’application de la loi à divers autres organismes de surveillance fédéral, provinciaux et internationaux œuvrant dans des domaines connexes. Les dispositions de la Loi sur la protection des renseignements personnels et des documents électroniques qui facilitent la communication d’information à des organismes publics assumant des fonctions et des tâches similaires serviraient de modèle.
Obliger le Commissaire à la protection de la vie privée à consulter d’autres organismes de surveillance concernés : La Loi pourrait être modifiée pour veiller à ce que le Commissaire à la protection de la vie privée tienne compte du point de vue et de l’expertise d’autres organismes de surveillance concernés avant de clore une enquête. Avant de communiquer ses conclusions relativement à une plainte visant des organismes publics fédéraux régis par d’autres organismes de surveillance, comme ceux supervisant les activités des organismes d’application de la loi ou de sécurité nationale, le Commissaire à la protection de la vie privée pourrait être tenu de consulter les autres organismes de surveillance pour assurer une approche cohérente à la surveillance de ces organismes publics fédéraux et pour minimiser le dédoublement des efforts en matière de réglementation.
Instaurer un pouvoir permettant de conclure des accords de conformité contraignants et exécutoires : Le Commissaire à la protection de la vie privée pourrait être autorisé à conclure des accords de conformité contraignants avec des organismes publics fédéraux. Les dispositions de ces accords pourraient être fondées sur les mêmes pouvoirs que ceux accordés par la Loi sur la protection des renseignements personnels et des documents électroniques, qui permettent aux organisations du secteur privé de conclure des accords de conformité. Cela pourrait donner au Commissaire à la protection de la vie privée un nouvel outil puissant pour traiter en collaboration avec les organismes publics fédéraux les plaintes soulevant des enjeux relatifs aux politiques publiques dont la complexité sur les plans juridique, technologique et opérationnel est importante. Cette collaboration mènerait à la conclusion d’un accord de conformité contraignant et exécutoire. Il serait possible de donner suite aux préoccupations concernant le caractère opportun de la conclusion d’accords grâce à des dispositions soutenant des incitatifs pertinents visant à créer une mobilisation importante, notamment des délais de prescription, des exigences relatives à la preuve et un fardeau de la preuve approprié dans le cadre des instances juridiques subséquentes si le processus échoue.
Accorder des pouvoirs exécutoires pour les plaintes relatives à l’accès aux renseignements personnels : Au cours du dernier exercice, environ 85 % des enquêtes relatives à une plainte menées par le Commissaire à la protection de la vie privée portaient sur des enjeux vécus par des individus qui tentaient d’accéder à leurs renseignements personnels. Étant donné les liens législatifs étroits entre les demandes d’accès à l’information présentées en application de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information, la nature des enjeux relatifs à l’accès et leur importance pour les individus, la Loi sur la protection des renseignements personnels pourrait être modifiée afin d’accorder au Commissaire à la protection de la vie privée les mêmes pouvoirs d’imposer des ordonnances que ceux dont jouit la Commissaire à l’information pour régler les plaintes relatives à l’accès à l’information en application de la Loi sur l’accès à l’information. Comme la Commissaire à l’information, le Commissaire à la protection de la vie privée pourrait avoir le pouvoir d’imposer des ordonnances dans les cas où les plaintes relatives à l’accès à l’information n’ont pas pu être réglées par des moyens plus informels. Les parties ayant déposé une plainte relative à l’accès à l’information disposeraient de 30 jours pour contester devant la Cour fédérale l’ordonnance du Commissaire à la protection de la vie privée. Une fois ce délai passé, l’ordonnance du Commissaire à la protection de la vie privée entrerait en vigueur, et l’organisme public fédéral répondant serait légalement tenu de se conformer à ses modalités.
Cette approche accorderait au Commissaire à la protection de la vie privée le pouvoir d’imposer des ordonnances contraignantes se rapportant à la grande majorité des plaintes qu’il reçoit. Elle respecterait les importantes interactions législatives entre la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels en ce qui a trait aux enjeux relatifs à l’accès à l’information et favoriserait l’uniformité de la surveillance. Aucun changement particulièrement coûteux ou perturbateur ne devrait être apporté aux processus existants du Commissaire à la protection de la vie privée. Les mêmes pouvoirs d’enquête et procédures d’établissement de rapports pourraient être maintenus et accrus grâce au nouveau pouvoir du commissaire d’imposer une ordonnance dans un rapport d’enquête lorsque les circonstances le justifient. L’accès à la justice pour les individus serait concrètement amélioré, et les individus ne seraient pas au départ tenus de porter eux-mêmes leurs plaintes devant un tribunal. Les ordonnances du Commissaire à la protection de la vie privée seraient contraignantes et exécutoires pour les organismes publics fédéraux, et les commissaires à l’information et à la protection de la vie privée pourraient collaborer sans difficulté dans les mêmes cadres d’application de la loi dans lesquels les mandats législatifs se chevauchent.
Élargir considérablement la portée des pouvoirs d’examen actuels de la Cour fédérale : En ce qui a trait aux questions qui n’ont pas pu être réglées au moyen des nouveaux pouvoirs d’application de la loi, la portée du pouvoir actuelle de la Cour fédérale pour mener de nouveaux examens serait élargie pour tenir compte des plaintes liées à la collecte, à l’utilisation, à la communication, à la conservation ou à la protection des renseignements personnels. Pour les raisons établies dans un document de consultation technique intitulé Un cadre de conformité moderne et efficace doté de mécanismes d’application améliorés, très peu de questions sont susceptibles d’atteindre ce point de l’échelle d’application de la loi sous considération. En ce qui concerne les questions qui atteindraient ce point, un processus décisionnel public dirigé et orienté grâce à l’expertise du commissaire à la protection à la vie privée, dont les résultats sont en grande partie contraignants, pourrait être particulièrement avantageux pour le système dans son ensemble. Le maintien de la nature nouvelle des pouvoirs d’examen de la Cour fédérale assurerait un solide accès à la justice. Cette caractéristique permet au Commissaire à la protection de la vie privée de continuer d’agir comme défenseur des plaignants et de faire valoir plus efficacement leurs plaintes en leur nom. À mesure que de l’expérience est acquise relativement à la Loi sur la protection des renseignements personnels modernisée à fond et que le système gagne en maturité, on pourrait envisager de remplacer ce processus par d’autres approches administratives si des preuves appuient clairement la nécessité d’adopter de telles approches.
Aborder l’application de la Loi sur la protection des renseignements personnels au Commissaire à la protection de la vie privée : Le Commissaire à la protection de la vie privée est assujetti à la Loi sur la protection des renseignements personnels. Cela suscite des complexités, en particulier en ce qui a trait à l’application de la loi. Par exemple, un individu doit déposer une plainte concernant les pratiques du Commissaire à la protection de la vie privée auprès du commissaire lui-même. À ce jour, cette situation a été réglée par le Commissaire à la protection de la vie privée grâce à la création d’un poste de Commissaire à la protection de la vie privée spécial à qui les fonctions d’enquête et de rédaction de rapport sont déléguées. De nouveaux pouvoirs d’application de la loi et de nouvelles fonctions décisionnelles peuvent menacer la faisabilité continue de cette approche. La Loi sur la protection des renseignements personnels pourrait reconnaître officiellement un Commissaire à la protection de la vie privée spécial, et dans les cas où une plainte n’a pas pu être réglée dans le cadre d’une négociation avec le Commissaire à la protection de la vie privée, ou si un plaignant n’est pas satisfait des résultats, des recours, comme ceux qui pourraient contraindre les organismes publics fédéraux, sont offerts aux plaignants si leurs plaintes visent le Commissaire à la protection de la vie privée. Une autre possible option serait de nommer un seul titulaire de charge publique en mesure de surveiller la conformité à la Loi sur l’accès à l’information de la Commissaire à l’information et à la Loi sur la protection des renseignements personnels du Commissaire à la protection de la vie privée.
Créer de nouvelles infractions pour empêcher les violations graves de la Loi : Certaines administrations ont créé des infractions pour lutter contre le « fouinage » des employés dans les dossiers gouvernementaux et pour empêcher les tentatives non autorisées de rétablir les références personnelles qui ont été supprimées afin de protéger la vie privée des individus. Des mesures similaires pourraient être ajoutées à la Loi sur la protection des renseignements personnels.
Annexe 5 : Glossaire
- « Bac à sable réglementaire »
- signifie un environnement contrôlé et supervisé dans lequel des modèles, des structures ou des processus organisationnels particulièrement nouveaux peuvent être mis à l’essai afin de déterminer leur compatibilité aux exigences législatives en collaboration avec une autorité de réglementation qui ne se trouve pas dans un environnement de conformité judiciaire ou coercitif.
- « Bureau du contrôleur général »
- s’entend du bureau responsable de soutenir le contrôleur général du Canada, qui est un agent du Parlement nommé par la gouverneure en conseil et qui fournit à l’échelle du gouvernement fédéral une orientation fonctionnelle et une assurance relative à la gestion financière, aux audits internes, à la planification des investissements, à l’approvisionnement, à la gestion des projets et à la gestion des biens immobiliers et du matériel.
- « Cadre de protection de la vie privée de l’APEC »
- se rapporte aux principes et aux lignes directrices en matière de mise en œuvre établis par le Forum de coopération économique Asie-Pacifique (APEC) pour protéger les renseignements personnels et permettre les transferts régionaux de renseignements personnels et le commerce électronique dans la région de l’Asie-Pacifique.
- « Charte canadienne des droits et libertés »
- s’entend de la Charte canadienne des droits et libertés, partie 1 de la Loi constitutionnelle de 1982, édictée comme l’annexe B de la Loi de 1982 sur le Canada (R.-U.), 1982, ch. 11, qui protège les libertés et les droits fondamentaux des Canadiens.
- « Commissaire à la protection de la vie privée », ou « le commissaire »
- s’entend du Commissaire à la protection de la vie privée du Canada, qui est l’agent du Parlement nommé par la gouverneure en conseil pour surveiller le respect de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et des documents électroniques.
- « Commissariat à la protection de la vie privée du Canada »
- s’entend du bureau responsable de soutenir le Commissaire à la protection de la vie privée du Canada, qui est un agent du Parlement nommé par la gouverneure en conseil pour surveiller le respect de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et des documents électroniques.
- « Comité ETHI »
- s’entend du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, qui étudie les questions liées au Commissariat à l’information du Canada, au Commissariat à la protection de la vie privée du Canada et au Commissariat au lobbying du Canada ainsi que certains enjeux liés au Commissariat aux conflits d’intérêts et à l’éthique.
- « Convention no 108 »
- s’entend de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE no 108), un instrument international juridiquement contraignant adopté par le Conseil de l’Europe en janvier 1981. En mai 2018, le Conseil de l’Europe a adopté la Convention modernisée pour la protection des personnes à l’égard du traitement des données à caractère personnel, qui propose certaines modifications à la Convention no 108.
- « Consultation technique ciblée »
- se rapporte à la discussion initiale entreprise en juin 2019 par Justice Canada avec des experts de la protection des renseignements personnels, des données et du numérique et certains intervenants du gouvernement concernant diverses considérations d’ordre technique et juridique en vue de la modernisation de la Loi sur la protection des renseignements personnels.
- « Évaluation des facteurs relatifs à la vie privée »
- (EFVP) s’entend d’une analyse officielle visant à cerner et à atténuer les risques en matière de protection des renseignements personnels d’une organisation.
- « Intégration des données »
- signifie la comparaison, la combinaison ou le regroupement de multiples ensembles de données pour faciliter l’utilisation de ces données dans l’intérêt public.
- « Interopérabilité »
- de la loi signifie la compatibilité, si cela le justifie, de la législation de différentes administrations.
- « Lignes directrices de l’OCDE »
- s’entend des lignes directrices révisées de l’Organisation de coopération et de développement économique (OCDE) régissant la protection des renseignements personnels et le flux transfrontalier de données à caractère personnel (2013). Publié initialement en 1980, l’énoncé des principaux principes de protection des renseignements personnels de l’OCDE a servi de fondement aux instruments nationaux et internationaux en matière de protection de renseignements personnels. Les lignes directrices révisées ont été publiées en 2013.
- « Loi sur l’accès à l’information »
- s’entend de la Loi sur l’accès à l’information, L.R.C. (1985), ch. A-1, une loi fédérale qui accorde aux citoyens canadiens, aux résidents permanents et à toute personne ou société au Canada le droit d’accéder aux documents des institutions fédérales assujetties à la Loi.
- « Loi sur la protection des renseignements personnels »
- s’entend de la Loi sur la protection des renseignements personnels, L.R.C (1985), ch. P-21, qui régit la collecte, l’utilisation et la communication de renseignements personnels par les organismes publics fédéraux au Canada. Elle établit également le Commissariat à la protection de la vie privée.
- « Loi sur la protection des renseignements personnels et des documents électroniques »
- s’entend de la partie 1 de la Loi sur la protection des renseignements personnels et sur les documents électroniques, L.C. (2000), ch. 5, une loi fédérale qui régit la collecte, l’utilisation et la communication de renseignements personnels par les organisations du secteur privé au Canada dans le cadre de leurs activités commerciales.
- « Loi sur les élections »
- s’entend de la Loi sur les élections du Canada, L.C. (2000), ch. 9, une loi fédérale qui régit les élections fédérales au Canada.
- « OCDE »
- s’entend de l’Organisation de coopération et de développement économique, une organisation internationale qui établit des normes et des politiques internationales relatives à divers sujets sociaux, économiques et environnementaux.
- « Programme de gestion des renseignements personnels »
- s’entend d’un plan organisationnel individualisé visant à protéger les renseignements personnels conformément aux exigences législatives.
- « Protection des renseignements personnels dès la conception »
- se rapporte au concept de planification et de mise en œuvre de la protection des renseignements personnels à l’étape de la conception d’une initiative, d’un programme ou d’un service.
- « Quasi constitutionnel »
- s’entend d’un principe juridique selon lequel les droits accordés par une loi doivent être interprétés de façon générale et les exceptions à ces droits doivent être clairement énoncées dans la loi.
- « Règlement général sur la protection des données »
- (RGPD) s’entend du Règlement général sur la protection des données (UE) 2016/679 pris par le Parlement et le Conseil de l’Europe le 27 avril 2016. Le Règlement porte sur la protection de personnes physiques à l’égard du traitement des données à caractère personnel et sur la libre communication de ces données. Il abroge la Directive 95/46/CE, qui régit le traitement des renseignements personnels d’un individu par une autre personne, entreprise ou organisation au sein de l’Union européenne.
- « Renseignements personnels anonymisés »
- s’entend de renseignements personnels qui ont été modifiés de sorte qu’ils ne peuvent plus être associés à un individu en particulier sans utiliser de renseignements supplémentaires.
- « Secrétariat du Conseil du Trésor »
- s’entent du Secrétariat du Conseil du Trésor du Canada, qui est l’organe administratif du Conseil du Trésor responsable de formuler des conseils et des recommandations concernant la gestion du gouvernement des questions relatives à la responsabilisation, à l’éthique, aux finances, à l’administration, au personnel et au contrôle et l’approbation de la réglementation et de la plupart des décrets en conseil.
- « Usage compatible »
- signifie l’usage de renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis dans la mesure où cet usage supplémentaire est compatible avec l’usage initial.
Signaler un problème sur cette page
- Date de modification :