Respect, responsabilité, adaptabilité : Consultation publique concernant la modernisation de la Loi sur la protection des renseignements personnels

Version PDF

Table des matières

Une consultation publique sur le futur de la Loi sur la protection des renseignements personnels

Le gouvernement du Canada souhaite consulter les Canadiens et les Canadiennes sur des idées pour moderniser la Loi sur la protection des renseignements personnels – la loi canadienne qui protège les renseignements personnels dans le secteur public fédéral. Cette loi constitue le cadre juridique quasi-constitutionnel du Canada en ce qui concerne la collecte, l’utilisation, la communication, la conservation et la protection des renseignements personnels détenus par les organismes publics fédéraux.Note de bas de page 1

De nombreuses choses ont changé depuis l’entrée en vigueur de la Loi, en 1983. Aujourd’hui, l’information est en grande partie numérique, ce qui en facilite la collecte, le stockage et l’analyse. La transition continue vers le numérique présente de précieuses pour le gouvernement du Canada, les organismes publics fédéraux et, ultimement, les Canadiens et les Canadiennes. Cette transition vers le numérique a le potentiel de faciliter les interactions des Canadiens et des Canadiennes avec le gouvernement fédéral et de leur offrir une expérience plus harmonieuse lorsqu’ils cherchent à obtenir un service ou une prestation. La vision du gouvernement consiste à offrir des services axés sur l’expérience de l’utilisateur, à faire preuve de transparence et de collaboration, et à tirer parti du numérique, ce qui nécessite une certaine souplesse dans la façon dont les renseignements sont utilisés et partagés au sein de l’appareil fédéral. De plus, une meilleure intégration des données à l’échelle du gouvernement fédéral peut avoir des avantages marqués pour les Canadiens et les Canadiennes : en donnant au gouvernement fédéral une meilleure idée des besoins du public, elle lui permet d’être plus efficace, de mieux coordonner les services publics et de prendre des décisions plus éclairées.

Cependant, la capacité à recueillir, à analyser et à stocker de plus en plus de renseignements personnels soulève également d’importants défis en matière de protection de la vie privée. Les Canadiens et les Canadiennes s’attendent, à juste titre, à ce que le gouvernement fédéral accède à leurs données pour de bonnes raisons, à ce qu’il y ait des limites à l’utilisation et au partage de ces données et à ce que des protections soient mises en place. Une question clé à laquelle le gouvernement fait face est de savoir comment actualiser une loi vieille de plusieurs décennies afin que les Canadiens et les Canadiennes puissent bénéficier des nombreuses promesses du monde numérique, tout en respectant leurs attentes modernes quant à la manière dont leurs renseignements doivent être utilisés, gérés et protégés.

Les idées mises de l’avant dans le présent document de discussion ont été éclairées par l’examen préalable et réfléchi de ces questions complexes par le Commissariat à la protection de la vie privée du Canada, le comité ETHI (Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes) et les participants à la consultation technique préliminaire menée par le ministère de la Justice du Canada en 2019. Ces idées ont aussi bénéficié de discussions avec les ministères et organismes fédéraux, d’échanges et de discussion avec des parties prenantes autochtones, et d’échanges préliminaires avec les membres du public canadien.

Il est essentiel de consulter le public au sujet des éventuelles approches à adopter en vue de moderniser la Loi sur la protection des renseignements personnels. Cette consultation permettra au gouvernement du Canada de développer l’approche la plus efficace en matière de réforme législative.

Pour en savoir plus au sujet de la Loi sur la protection des renseignements personnels et de l’incidence qu’elle peut avoir pour vous, vous pouvez consulter les pages Web du ministère de la Justice Canada consacrée à la consultation publique sur sa modernisation. Nous vous invitons également à remplir notre questionnaire Web, à nous fournir une soumission et à participer à l’une de nos discussions en ligne.

Une vision pour la modernisation de la Loi sur la protection des renseignements personnels

Une Loi sur la protection des renseignements personnels modernisée devrait renforcer la confiance des Canadiens et des Canadiennes dans la manière dont les organismes publics fédéraux traitent, gèrent et protègent leurs renseignements personnels. Le gouvernement du Canada a pour vision de moderniser cette loi afin qu’elle reflète mieux les attentes contemporaines quant aux mesures que doivent prendre les organismes publics fédéraux, tant pour protéger les renseignements personnels des individus que pour en faire un meilleur usage en vue d’assurer leur sécurité, de leur faciliter la vie et d’apporter des solutions innovantes aux difficultés auxquelles ils doivent faire face. En ce sens, la version modernisée de la Loi devra refléter comment les organismes publics fédéraux assurent une gestion responsable et efficace des renseignements personnels que les Canadiens et les Canadiennes leur ont confié, tout en leur permettant de s’améliorer et de s’adapter aux changements sociétaux et technologiques qui surviendront au fil du temps.

Trois piliers

Cette vision de modernisation de la Loi sur la protection des renseignements personnels s’appuie sur trois piliers :

  1. Le respect des individus, qui passe par l’établissement de droits et d’obligations en matière de protection des renseignements personnels, en tenant compte de la réalité de l’ère numérique.
  2. La responsabilité, qui doit être à la fois constructive et transparente. Pour les organismes publics fédéraux, être responsable signifie démontrer la mise en place de pratiques de gouvernance et de surveillance rigoureuses leur permettant d’assurer une gestion responsable et efficace des renseignements personnels dont ils disposent.
  3. L’adaptabilité, pour permettre aux organismes publics fédéraux d’innover. Les nouvelles technologies, les nouveaux modèles d’affaires, les nouvelles capacités, les changements perturbateurs et les circonstances imprévues sont aujourd’hui la norme. La Loi modernisée devra établir un cadre souple qui aide les organismes publics fédéraux à composer efficacement avec les pressions qu’occasionne un changement constant. L’adoption d’une approche rigide de la réglementation relative aux renseignements personnels ne serait adaptée ni aux attentes des individus ni à la diversité des contextes dans lesquels les organismes publics fédéraux recueillent, utilisent et communiquent des renseignements personnels.

Assurer l’équivalence essentielle avec les autres régimes de protection des données de premier plan

La Loi sur la protection des renseignements personnels n’est qu’un des éléments du cadre de plus en plus global liant la réglementation des pratiques impliquant des renseignements personnels au sein des secteurs public et privé, et ce, au sein de nombreux ressorts. La Loi devrait être compatible avec les autres grands régimes de protection des données du Canada et d’ailleurs afin d’assurer l’harmonisation avec les exigences de base de ces régimes. En même temps, la Loi sur la protection des renseignements personnels présente de nombreuses caractéristiques uniques qui ont bien servi les Canadiens et les Canadiennes au fil des ans. Ces caractéristiques constituent un fondement solide pour apporter des améliorations propres au contexte canadien.

Un point de départ serait de mieux harmoniser la Loi sur la protection des renseignements personnels avec la Loi sur la protection des renseignements personnels et des documents électroniques, une loi fédérale qui s’applique au secteur privé. La cohérence entre ces lois fédérales pourrait simplifier le régime de protection des renseignements personnels pour tous, améliorer l’interopérabilité nationale, prévenir les lacunes en matière de responsabilité lorsqu’il y a interaction entre les secteurs public et privé, et confirmer encore davantage la conformité de la Loi sur la protection des renseignements personnels avec les normes mondiales établies. Bien qu’elles comportent certaines différences de terminologie et d’approches, les deux lois ont été influencées par les Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données à caractère personnel, texte fondamental de l’OCDE. Ces lignes directrices de l’OCDE ont été établies en 1980 et mises à jour en 2013 pour tenir compte des développements importants dans le domaine de la protection internationale des données, y compris la modernisation de la Convention no 108, la mise en œuvre du Cadre de protection de la vie privée de l’APEC et le Règlement général sur la protection des données (RGPD) de l’Union européenne. Une Loi sur la protection des renseignements personnels modernisée devra également refléter ces importants développements internationaux.

Neutralité technologique

Une Loi sur la protection des renseignements personnels moderne devra mettre l’accent sur la neutralité technologique, c’est-à-dire qu’elle ne devra privilégier l’utilisation d’aucun type particulier de technologie. Cela permettra aux organismes publics fédéraux d’envisager des moyens nouveaux et différents de s’acquitter de leurs fonctions et de s’assurer que la Loi conserve sa pertinence relativement aux nouvelles technologies. Elle leur permettra également de réglementer les pratiques nouvelles et de réagir rapidement aux changements.

La Loi sur la protection des renseignements personnels et la réconciliation avec les peuples autochtones au Canada

La Loi sur la protection des renseignements personnels joue un rôle important dans l’orientation des relations du gouvernement fédéral avec les individus. Cela dit, sa modernisation vise aussi à faire progresser la réconciliation avec les peuples autochtones du Canada, car il s’agit d’une occasion de reconnaître la réalité particulière des Autochtones, de leurs collectivités et de leurs gouvernements, d’y affirmer les modalités qui leur sont propres et de leur donner les moyens d’en tirer parti.

Cette consultation publique offre certes l’occasion à tous les Canadiens et les Canadiennes, y compris les Autochtones, de donner leur avis sur les idées de modifications possibles à la Loi sur la protection des renseignements personnels, mais les discussions en cours avec les gouvernements et organisations autochtones ont fait ressortir certaines répercussions particulières que la Loi peut avoir sur les Autochtones et leurs communautés respectives. De plus, aborder la question du contrôle des peuples autochtones de leurs renseignements et de leurs données est une étape importante vers la réconciliation. Le ministère de la Justice du Canada poursuit ses discussions avec les gouvernements et les organisations autochtones afin de mieux comprendre certaines questions qui ont été mises en évidence lors de discussions antérieures, dont les suivantes :

La modernisation de la Loi sur la protection des renseignements personnels et la révision de la Loi sur l’accès à l’information

Plus tôt cette année, le gouvernement du Canada a lancé une révision de la Loi sur l’accès à l’information. Cette révision examinera le cadre législatif, étudiera des possibilités d’améliorer la publication proactive pour rendre l’information ouvertement disponible, et évaluera les processus et les systèmes pour améliorer le service et réduire les délais de traitement. Le gouvernement du Canada mobilisera les Canadiens et les Canadiennes relativement à ces questions importantes et sollicitera également l’avis des Autochtones sur les aspects de la Loi sur l’accès à l’information qui revêtent une importance particulière pour eux.

La Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information sont deux lois fédérales qui ont un statut quasi constitutionnel. Les deux lois contiennent des dispositions et des éléments similaires, y compris des exceptions presque identiques concernant l’accès aux dossiers et aux renseignements personnels, lesquelles sont motivées par les mêmes impératifs d’intérêt public, dont la sécurité, la confidentialité et le respect de la vie privée.

Ces aspects de la Loi sur la protection des renseignements personnels bénéficieront de la contribution du public à la révision de la Loi sur l’accès à l’information par le gouvernement. Par conséquent, le présent document de discussion fera abstraction de certains de ces éléments communs, notamment les exceptions au droit d’accès aux renseignements personnels. Ces éléments seront examinés ultérieurement.

Propositions de modernisation de la Loi sur la protection des renseignements personnels aux fins de discussion

1. Changer le titre de la Loi

Le titre anglais de la Loi (Privacy Act) pourrait être modifié pour mieux rendre compte du fait que la Loi régit et réglemente la confidentialité des renseignements personnels

Malgré son titre, la Loi sur la protection des renseignements personnels n’est pas la seule source de protection de la « vie privée » au Canada, ni même au niveau fédéral. Le droit canadien protège de nombreux types d’intérêts différents en matière de vie privée, en s’appuyant sur une combinaison d’instruments constitutionnels, du Code criminel, du Code civil du Québec, de la common law et d’autres lois fédérales, provinciales et territoriales.  

Pour sa part, la Loi sur la protection des renseignements personnels ne traite que de la confidentialité des renseignements personnels. Elle régit la collecte, l’utilisation, la communication et la conservation des renseignements concernant un individu identifiable. Afin de tenir compte de cet objectif sous-jacent, le titre anglais de la Loi pourrait être modifié afin de préciser le rôle de la Loi en matière de protection des renseignements personnels, tel que c’est présentement le cas pour le titre français.

2. Moderniser la disposition d’objet pour qu’elle reflète mieux les objectifs généraux de la Loi

La disposition d’objet pourrait refléter les importants objectifs publics qui sous-tendent la législation fédérale sur la protection des renseignements personnels dans le secteur public

L’actuelle disposition d’objet énonce que la Loi « a pour objet de compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d’accès des individus aux renseignements personnels qui les concernent ». Cette déclaration en dit davantage sur l’historique législatif de la Loi que sur ses objectifs publics généraux. En vue de mieux orienter l’interprétation de la Loi, la disposition d’objet modernisée pourrait clairement énoncer les importants objectifs qui sous-tendent la législation fédérale sur la protection des données dans le secteur public, notamment :

3. Intégrer des principes dans la Loi sur la protection des renseignements personnels qui s'inspirent des modèles internationaux

La Loi pourrait prévoir des principes de protection des renseignements personnels similaires à ceux prévus dans la Loi sur la protection des renseignements personnels et les documents électroniques, afin d’orienter, de soutenir et d’élargir la protection des renseignements personnels des particuliers

La Loi sur la protection des renseignements personnels pourrait intégrer un certain nombre de principes de protection des renseignements personnels reconnus à l’échelle internationale, dont : i) la responsabilité; ii) la détermination des fins; iii) le consentement; iv) la limitation de la collecte; v) la limitation de l’utilisation, de la communication et de la conservation; vi) l’exactitude; vii) les mesures de sécurité; viii) la transparence; ix) l’accès aux renseignements personnels; et x) la possibilité de porter plainte. L’intégration de ces principes à la Loi sur la protection des renseignements personnels établirait les attentes de base des Canadiens et des organismes publics fédéraux quant à la façon dont les renseignements personnels devraient être gérés et protégés dans le secteur public fédéral. De plus, la conformité de ces principes avec ceux prévus à la Loi sur la protection des renseignements personnels et les documents électroniques harmoniserait les règles fédérales applicables aux secteurs public et privé en matière de protection des renseignements personnels. 

Pour de plus amples renseignements et des explications approfondies sur l’intérêt d’intégrer des principes à la Loi, et sur l’incidence que ces principes pourraient avoir, veuillez consulter notre annexe ici.

4. Clarifier les concepts

Certaines définitions prévues à la Loi pourraient être mises à jour, et d’autres pourraient être introduites

Il existe un certain nombre de domaines dans lesquels la Loi devrait énoncer des règles plus claires au sujet de sa portée – ce à quoi elle s’applique et quand ses pleines protections sont engagées. Une approche en matière de protection des renseignements personnels fondée sur le risque commence à s’établir, sur la scène internationale, comme une pratique exemplaire. Voici certains changements envisagés :

Pour le moment, le gouvernement n’envisage pas de préciser des catégories de renseignements personnels auxquels des règles particulières s’appliqueraient (comme les renseignements personnels « sensibles » ou les renseignements relatifs à des mineurs), bien que ce soit le cas dans certains ressorts. Une stratégie souple fondée sur des principes et certains des autres changements proposés permettrait d’assurer une protection appropriée des renseignements personnels, selon le contexte. Le gouvernement convient également avec le Commissaire à la protection de la vie privée que la Loi n’est pas l’instrument approprié pour définir les « métadonnées », puisque de nombreuses formes de métadonnées ne sont tout simplement pas des renseignements concernant un individu identifiable.

5. Mettre à jour les droits et obligations et en instaurer de nouveaux

Les droits des individus et les obligations des organismes publics fédéraux pourraient être mis à jour et de nouveaux droits et de nouvelles obligations pourraient être introduits

À l’heure actuelle, la Loi sur la protection des renseignements personnels établit un certain nombre de droits pour les individus. Les Canadiens et les Canadiennes et toute personne présente au Canada ont le droit d’accéder aux renseignements personnels les concernant. Ils ont également le droit d’être avisés lorsqu’un organisme public fédéral utilise leurs renseignements personnels pour prendre une décision à leur sujet, et de demander la correction de ces renseignements.

La Loi impose également certaines obligations aux organismes publics fédéraux dans les cas où ils ont l’intention d’utiliser les renseignements personnels d’une personne pour prendre une décision la concernant. Ces obligations comprennent ce qui suit : i) recueillir les renseignements personnels auprès de la personne elle-même lorsque c’est possible (sous réserve de certaines exceptions); ii) conserver les renseignements personnels pendant au moins deux ans après leur dernière utilisation (à moins que la personne concernée consente à ce qu’il en soit autrement) ou jusqu’à ce que cette personne ait eu la possibilité d’exercer tous ses droits au titre de la Loi; iii) assurer le maintien de l’exactitude de ces renseignements; et iv) verser ces renseignements dans un fichier de renseignements personnels (entre autres renseignements).

Ces droits et obligations en vigueur pourraient être mis à jour, et de nouveaux droits et de nouvelles mesures de protection pourraient être introduits pour tenir compte de l’évolution des attentes à l’ère numérique. Voici des changements qui pourraient être apportés :

6. Mettre à jour les règles relatives à la collecte, à l’utilisation, à la communication et à la conservation des renseignements personnels

La Loi pourrait prévoir des obligations mises à jour et nouvelles en ce qui concerne la collecte, l’utilisation, la communication et la conservation des renseignements personnels

De nombreux intervenants se sont généralement prononcés en faveur d’une transformation de la Loi sur la protection des renseignements personnels qui la rendrait fondée sur des principes, mais beaucoup d’autres ont servi une mise en garde à cet égard, en soulignant que les principes doivent reposer sur des règles plus détaillées pouvant apporter un éclairage précis sur ce que la Loi exige ou permet de la part des organismes publics fédéraux. Les règles encadrant la collecte, l’utilisation, la communication et la conservation des renseignements personnels pourraient être mises à jour, et il serait possible d’en ajouter de nouvelles, telles que celles-ci :

Pour de plus amples renseignements et des explications approfondies sur ces changements potentiels , veuillez consulter notre annexe ici.

7. Accorder un rôle plus important aux renseignements personnels anonymisés

Les organismes publics fédéraux pourraient bénéficier d’une plus grande souplesse quant à l’utilisation et à la communication de renseignements personnels qui ont été soumis à un processus établi de suppression des éléments d’identification personnelle

L’utilisation de renseignements personnels anonymisés est très prometteuse pour les organismes publics fédéraux en ce qu’elle leur permettra d’innover dans l’intérêt public, tout en protégeant la vie privée. Malgré quelques exemples notoires de ré-identification de renseignements personnels qui avaient été anonymisés, l’utilisation de l’anonymisation comme technique de renforcement de la protection des renseignements personnels fait l’objet d’un appui soutenu, même de la part des autorités de réglementation. L’anonymisation n’élimine pas complètement le risque de ré-identification, mais elle réduit considérablement ce risque lorsqu’elle est effectuée adéquatement. Par conséquent, si le cadre de réduction des risques s’appuie sur la suppression des éléments d’identification personnelle et sur laprotection des utilisations subséquentes des renseignements anonymisés, les organismes publics fédéraux disposeront d’une plus grande latitude pour l’utilisation des données dans l’intérêt du public, alors que les risques liés aux renseignements personnels s’en trouveront réduits.

Pour inciter davantage les organismes publics fédéraux à utiliser et à communiquer des renseignements personnels anonymisés, plutôt que des renseignements permettant d’identifier les personnes, la Loi pourrait :

8. Introduire des mécanismes de responsabilisation plus solides dans la Loi

Des obligations précises pourraient être introduites dans la Loi pour aider les organismes publics fédéraux à démontrer qu’ils sont responsabilisés quant à leurs pratiques relatives aux renseignements personnels

La Loi pourrait prévoir des obligations soutenant le principe selon lequel chaque organisme public fédéral est responsable des renseignements personnels qui relève de lui. La Loi pourrait également établir des outils pour aider les organismes publics fédéraux à démontrer aux Canadiens et aux Canadiennes, et le cas échéant au Commissariat à la protection de la vie privée, qu’ils ont mis en place des mesures efficaces pour se conformer à la Loi et protéger les renseignements personnels. En voici quelques exemples possibles :

9. Moderniser les pratiques en matière de transparence

Des obligations précises pourraient être introduites à la Loi pour que les organismes publics fédéraux soient tenus de fournir des explications facilement accessibles sur leurs pratiques de protection des renseignements personnels et sur les renseignements dont ils disposent sur les individus

La Loi sur la protection des renseignements personnels pourrait obliger chaque organisme public fédéral à publier des renseignements clés dans un registre de renseignements personnels accessible, consultable en ligne et interrogeable. Ce registre pourrait contenir les mêmes types de renseignements que ceux qui sont actuellement accessibles par le biais des fichiers de renseignements personnels, mais dans un format plus convivial. Le registre pourrait également comporter des renseignements supplémentaires, tels que des résumés d’EFVP, des précisions sur les ententes d’échange de renseignements, et des avis actualisés relatifs aux renseignements personnels qui préciseraient comment les renseignements sont utilisés et communiqués dans le contexte propre à des programmes et à des activités en particulier. De plus, pour que les renseignements figurant actuellement dans un « fichier de renseignements personnels » soient plus faciles à consulter et à comprendre, les organismes publics fédéraux pourraient être tenus d’inclure dans ce registre un aperçu de leurs pratiques générales, rédigé en langage clair, selon un modèle comparable à celui des politiques de confidentialité. De nombreux organismes publics fédéraux suivent déjà cette pratique exemplaire, en publiant sur leurs sites Web une description générale de leurs pratiques et de leurs engagements en matière de protection des renseignements personnels.

Les nouvelles obligations pour assurer une plus grande transparence pourraient inclure :

Certaines exceptions à ces exigences de transparence seraient nécessaires pour certaines activités spécialisées du secteur public, notamment les enquêtes liées à l’application de la loi, les activités de renseignement et les activités liées à la sécurité nationale. Lorsque la publication de renseignements opérationnels sensibles n’est pas possible, des exigences particulières de tenue de registres pourraient être imposées pour permettre au Commissaire à la protection de la vie privée ou à d’autres organismes d’examen ou de réglementation compétents de jouer un rôle de surveillance.

Pour de plus amples renseignements et des explications approfondies sur les modifications suggérées pour moderniser le régime de transparence de la Loi, veuillez consulter notre annexe plus détaillé ici.

10. Favoriser un dialogue ouvert et fournir des orientations accessibles au public

Des pouvoirs supplémentaires pourraient être accordés au Commissaire à la protection de la vie privée pour lui permettre de fournir au public des renseignements et des conseils sur les exigences de la Loi et sur la manière dont elle est appliquée

La transparence quant au fonctionnement et à l’application de la Loi sur la protection des renseignements personnels est importante. Tous les principaux acteurs du système – le public, les organismes publics fédéraux et le Commissaire à la protection de la vie privée – ont intérêt à ce que des renseignements clairs sur les exigences de la Loi et sur la manière dont elle est appliquée soient aisément accessibles.

La Loi sur la protection des renseignements personnels pourrait conférer au Commissaire à la protection de la vie privée un mandat clair de contribuer à l’éducation du public, tel que le Commissaire peut le faire en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques. La Loi pourrait également accorder au Commissaire le pouvoir d’émettre des avis sur l’interprétation et l’application de la Loi, et exiger que le Commissaire consulte le gouvernement dans le cadre du développement de ces avis.

Le Commissaire à la protection de la vie privée pourrait également se voir accorder le pouvoir discrétionnaire d’émettre, sur demande, un avis non contraignant sur la position ou l’interprétation qu’il adopterait lors de l’évaluation du respect de la Loi dans le cadre d’une enquête. En outre, il pourrait être autorisé à fournir aux organismes publics fédéraux un environnement de type « bac à sable réglementaire » qui leur permettrait de vérifier, avec le Commissaire, si de nouvelles activités envisagées respecteraient la Loi ou s’il serait possible de les améliorer pour résoudre d’éventuelles préoccupations en matière de protection des renseignements personnels.

Le Commissaire à la protection de la vie privée pourrait également se faire accorder le pouvoir de communiquer davantage de renseignements pour des raisons d’intérêt public, notamment en ce qui concerne les décisions relatives au traitement des demandes d’accès et les résultats des enquêtes sur les plaintes, tout en veillant à la protection des renseignements confidentiels et sensibles.

Pour de plus amples renseignements et des explications approfondies sur l’intérêt potentiel de ces propositions de modification, veuillez consulter notre annexe ici.

11. Créer un cadre de conformité amélioré pour traiter les questions non résolues

Des pouvoirs accrus pourraient être accordés au Commissaire à la protection de la vie privée pour traiter plus efficacement les plaintes, et les circonstances permettant aux individus d’exercer des recours juridiques pourraient être élargies

Plusieurs raisons justifient une révision du modèle d’application de la Loi. Dans les situations où le respect de la Loi ne peut être assuré, il est essentiel de disposer d’une gamme complète de recours juridiques efficaces et accessibles. De plus, un modèle de surveillance plus solide pourrait mieux soutenir la souplesse accrue qui caractérise une nouvelle approche fondée sur des principes, relativement aux scénarios inédits impliquant des renseignements personnels. Certaines des modifications suggérées à cet égard refléteraient celles qui ont été apportées à la Loi sur l’accès à l’information en 2019, et qui ont accordé des pouvoirs similaires à la Commissaire à l’information du Canada. L’harmonisation des pouvoirs des deux commissaires, dans la mesure du possible, améliorerait la cohérence dans le traitement des demandes présentées en vertu des deux lois, et dans les mécanismes de plainte se rapportant aux demandes d’accès à des renseignements. Les modifications proposées pourraient inclure ce qui suit :

Pour de plus amples renseignements et des explications approfondies sur l’intérêt potentiel des modifications proposées au modèle de conformité prévu par la Loi, veuillez consulter notre annexe ici.

Contribution à la discussion

Les idées soumises à l’examen du public dans le présent document de discussion visent à assurer un cadre solide, mais souple de protection des renseignements personnels dans le secteur public reposant sur trois piliers : le respect, l’adaptabilité et la responsabilité. L’objectif ultime est de moderniser la Loi de manière à préserver et à accroître la confiance des Canadiens et des Canadiennes dans le fait que la gouvernance numérique s’effectue de façon respectueuse et efficace, tout en donnant aux organismes publics fédéraux les moyens d’assurer et de démontrer leur respect des droits renforcés que la Loi garantit et des obligations accrues qu’elle impose.

Nous vous invitons à nous faire part de vos points de vue. Vous pouvez participer à cette consultation en envoyant, dans la langue officielle de votre choix, vos commentaires généraux par courriel à privacyactmodernization-modernisationdelaLPRP@justice.gc.ca, ou par la poste à l’adresse suivante :

Modernisation de la Loi sur la protection des renseignements personnels
Ministère de la Justice du Canada
284, rue Wellington
Ottawa (Ontario)
K1A 0H8

Annexe 1 : Introduction de nouveaux principes de protection des renseignements personnels

1.1. Aperçu

Cette annexe fournit des détails supplémentaires sur l’intégration de nouveaux principes de protection des renseignements personnels dans la Loi sur la protection des renseignements personnels. Ceux-ci reflèteraient en grande partie les 10 principes de la Loi sur la protection des renseignements personnels et les documents électroniques.

Plusieurs intervenants sont favorables à l’inclusion de principes dans la Loi sur la protection des renseignements personnels. Le comité ETHI a notamment recommandé que la Loi sur la protection des renseignements personnels soit modifiée pour inclure des principes de protection des renseignements personnels qui soient neutres au plan technologique, généralement acceptés et comparables à ceux figurant dans la Loi sur la protection des renseignements personnels et les documents électroniques. De plus, la consultation technique ciblée menée par le ministère de la Justice Canada en 2019 a confirmé l’appui général des parties prenantes à la modification de la Loi sur la protection des renseignements personnels afin d’y inclure des principes de protection des renseignements personnels qui pourraient soutenir un régime de conformité souple et axé sur les résultats, offrant une capacité d’adaptation aux pratiques novatrices en matière de renseignements personnels, à la diversité des fonctions gouvernementales et aux approches fondées sur le risque.
Une approche fondée sur des principes améliorerait considérablement l’harmonisation de la Loi sur la protection des renseignements personnels avec d’autres régimes nationaux et internationaux, assurerait une réglementation efficace des nouvelles situations ou des pratiques innovantes en matière de renseignements personnels et une transparence accrue quant aux engagements fondamentaux de la Loi sur la protection des renseignements personnels envers les individus. L’ajout de principes aurait pour effet de placer au cœur même de la Loi les préoccupations fondamentales des individus, à savoir si les pratiques relatives aux renseignements personnels sont raisonnables, proportionnées, justes et éthiquement fondées, si elles sont conformes à l’intérêt public et si elles protègent adéquatement la vie privée.

Une approche fondée sur des principes améliorerait considérablement l’harmonisation de la Loi sur la protection des renseignements personnels avec d’autres régimes nationaux et internationaux, assurerait une réglementation efficace des nouvelles situations ou des pratiques innovantes en matière de renseignements personnels et une transparence accrue quant aux engagements fondamentaux de la Loi sur la protection des renseignements personnels envers les individus. L’ajout de principes aurait pour effet de placer au cœur même de la Loi les préoccupations fondamentales des individus, à savoir si les pratiques relatives aux renseignements personnels sont raisonnables, proportionnées, justes et éthiquement fondées, si elles sont conformes à l’intérêt public et si elles protègent adéquatement la vie privée.

Les principes de protection des renseignements personnels pourraient également aider à faire face à des situations uniques ou de nouvelles pratiques dans les cas où l’application de règles générales standardisées ne donnerait pas les résultats les plus souhaitables ou les plus appropriés. Des nouveaux principes permettraient une approche plus flexible pour appréhender des situations uniques, lesquelles requièrent une approche plus contextuelle que celle généralement offerte par les règles générales.

Toutefois, compte tenu des différences importantes entre le secteur public et le secteur privé, ces principes seraient adaptés pour refléter les considérations propres au secteur public fédéral. Ainsi, le gouvernement ne propose pas d’importer intégralement dans le régime du secteur public fédéral les exigences juridiques qui s’appliquent aux entités du secteur privé. Ainsi, les secteurs public et privé au Canada seraient réglementés en fonction des mêmes objectifs fondamentaux que ceux sous-tendant les 10 principes de protection des renseignements personnels de la Loi sur la protection des renseignements personnels et les documents électroniques, à savoir : la responsabilité proactive; la détermination claire des fins de la collecte; des normes de consentement rigoureuses; des normes de limitation significatives en matière de collecte, d’utilisation, de conservation et de communication; la protection de l’exactitude et des mesures connexes; des exigences de sécurité rigoureuses et adaptées au contexte; des exigences en matière de transparence favorisant l’autonomie des individus; des droits d’accès aux renseignements personnels larges; et des mécanismes de surveillance efficaces. Le contenu des règles et des exigences précises soutenant la réalisation de ces objectifs tiendrait compte de l’ensemble des normes nationales et internationales de premier plan.

1.2. Nouveaux principes de protection des renseignements personnels fondés sur des principes de protection des données reconnus à l’échelle internationale

Les protections prévues dans la loi canadienne en matière de protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, reflètent les normes internationales établies, comme celles figurant dans les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’Organisation de coopération et de développement économiques (OCDE), et ont inspiré certaines révisions importantes de ces lignes directrices en 2013. Ces principes se retrouvent également en grande partie dans le Règlement général sur la protection des données de l’Union européenne. Ils constituent également le fondement du régime « essentiellement similaire » de la Loi sur la protection des renseignements personnels et les documents électroniques, qui favorise l’uniformité de la protection des données dans le secteur privé au Canada. Les dix principes fondamentaux autour desquels s’articulent les protections de la Loi sur la protection des renseignements personnels et les documents électroniques représentent un point de départ utile pour les nouveaux principes de protection des renseignements personnels dans le secteur public.

Les nouveaux principes de protection des renseignements personnels de la Loi sur la protection des renseignements personnels pourraient être élaborés à la lumière des 10 principes énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques. Grâce à l’harmonisation des nouveaux principes de la Loi sur la protection des renseignements personnels avec les objectifs sur lesquels reposent les 10 principes de la Loi sur la protection des renseignements personnels et les documents électroniques, les secteurs public et privé au Canada offriraient une protection équivalente. Cette approche permettrait également : i) d’aligner le cadre de protection des renseignements personnels du secteur public canadien sur les normes internationales reconnues; ii) de simplifier le cadre fédéral de protection des renseignements personnels pour les individus en le structurant en fonction des mêmes objectifs fondamentaux; et iii) d’intégrer dans la Loi sur la protection des renseignements personnels lesprincipes fondamentaux de protection des données qui sont largement reconnus et qui ont inspiré l’élaboration de bon nombre des règles plus précises.

1.3. Principes de protection des renseignements personnels proposés au titre de la Loi sur la protection des renseignements personnels

Comme nous l’avons mentionné précédemment, la proposition d’ajouter des principes de protection des renseignements personnels dans le secteur public fédéral repose sur certains principes de conception : l’interopérabilité avec les principales normes internationales et nationales reconnues; la cohérence avec les cadres juridiques canadiens plus larges applicables aux institutions du secteur public; et une forte neutralité sur le plan technologique. Les objectifs sous-tendant les principes de protection des renseignements personnels dans la Loi sur la protection des renseignements personnels et les documents électroniques constituent un point de départ. En effet, les normes spécifiques applicables aux organismes publics fédéraux établis en fonction des nouveaux principes de protection des renseignements personnels pourraient comporter certaines différences par rapport à celles que la Loi sur la protection des renseignements personnels et les documents électroniques impose aux organisations du secteur privé afin de refléter le contexte unique du secteur public dans lequel s’applique la Loi sur la protection des renseignements personnels, les dispositions actuelles de la Loi, ainsi que son rôle législatif et son historique. Cela permettrait de fonder la loi sur un cadre de protection des renseignements personnels solide qui reflète les valeurs et les normes canadiennes, qui n’entrave pas indûment l’innovation ou les pratiques, et qui, tout compte fait, est dans l’intérêt public.

Responsabilité

Un principe de « responsabilité » pourrait être introduit dans la Loi pour soutenir de nouveaux mécanismes de responsabilisation en vertu desquels les organismes publics fédéraux seraient tenus de démontrer de manière proactive les approches qu’ils adoptent pour assurer le respect de la Loi. Un principe de responsabilité permettrait de confirmer la responsabilité d’un organisme public fédéral pour tous les renseignements personnels sous son contrôle, y compris les renseignements personnels confiés à une tierce partie aux fins de traitement. Ce nouveau principe de responsabilité devrait toutefois être compatible avec les cadres juridiques et politiques qui guident déjà la responsabilité dans le secteur public.

Détermination des fins

Un nouveau principe de « détermination des fins » pourrait exiger qu’un organisme public fédéral indique clairement les fins pour lesquelles les renseignements personnels seront recueillis, utilisés et communiqués. La Loi sur la protection des renseignements personnels contient déjà une règle selon laquelle les institutions fédérales sont tenues d’informer les personnes concernées des fins pour lesquelles les renseignements sont recueillis, sous réserve de quelques exceptions lorsque les renseignements personnels peuvent être recueillis indirectement. Dans le contexte du secteur public, les organismes publics fédéraux communiquent actuellement les objectifs de la collecte de renseignements personnels au moyen d’un « énoncé de confidentialité ». L’introduction d’un nouveau principe de détermination des fins de la collecte des renseignements permettrait de soutenir les approches existantes, de veiller à la transparence de la conformité fondée sur les principes et de confirmer la nécessité d’identifier et de communiquer ces renseignements importants aux individus de manière claire et accessible.

Consentement

Dans le cadre de protection des renseignements personnels du secteur public fédéral, l’autorité de recueillir, d’utiliser ou de communiquer des renseignements personnels provient principalement des lois, plutôt que du consentement de l’individu. Cela s’explique notamment par le fait que les organismes publics fédéraux exercent de nombreuses fonctions pour lesquelles il serait impossible d’obtenir un consentement volontaire valide ou inapproprié de demander un tel consentement (par exemple, lorsque la communication des renseignements demandés est obligatoire ou lorsque la demande de consentement irait à l’encontre de l’objectif de la collecte, comme dans le contexte d’une enquête visant à assurer le respect de la loi). Toutefois, la Loi sur la protection des renseignements personnels reconnaît que le consentement d’un individu constitue une source d’autorité valable dans certaines circonstances, notamment pour de nouveaux usages de renseignements personnels ou pour une communication particulière. L’introduction d’un principe de « consentement » dans la Loi sur la protection des renseignements personnels pourrait confirmer les normes générales liées à l’obtention d’un consentement valide aux fins de la Loi sur la protection des renseignements personnels dans ces circonstances.

Limitation de la collecte

La Loi sur la protection des renseignements personnels pourrait inclure un principe de « limitation de la collecte » pour restreindre les types et la quantité de renseignements personnels que les organismes publics fédéraux peuvent recueillir. Un organisme public fédéral serait limité à la collecte des renseignements personnels qui sont raisonnablement requis pour atteindre un objectif lié à ses fonctions et activités, sauf autorisation contraire du Parlement. Le principe serait complété par des dispositions plus précises qui détermineraient un seuil de collecte et qui prévoiraient les facteurs permettant d’évaluer si une collecte est « raisonnablement requise ». L’accent serait mis sur la nécessité d’établir d’un équilibre adéquat entre la réalisation effective des objectifs publics légitimes d’un organisme public fédéral et le respect des droits et des intérêts des individus. Même si son libellé était différent de celui utilisé dans d’autres instruments de protection des données, cette norme de collecte serait, en pratique, essentiellement équivalente aux normes internationales reconnues. Elle reconnaîtrait et tiendrait également compte des rôles et des responsabilités uniques des organismes publics fédéraux par rapport aux organisations du secteur privé.

Limitation de l’utilisation, de la communication et de la conservation

Un nouveau principe de « limitation de l’utilisation, de la communication et de la conservation» dans la Loi sur la protection des renseignements personnels pourrait s’articuler autour de l’exigence de base selon laquelle toutes les utilisations et les communications de renseignements personnels devraient être expressément autorisées par la Loi ou, à défaut, être raisonnablement requises à la réalisation d’un objectif d’intérêt public. Par conséquent, le consentement et les autres autorisations prévues dans la Loi permettant d’utiliser ou de communiquer des renseignements personnels constitueraient des exemples de pratiques expressément autorisées qui sont conformes à ce principe.

Ce principe pourrait également être fondé sur une évaluation de ce qui est raisonnablement requis dans toutes les circonstances et étayé par des pratiques de conservation expressément autorisées. Par exemple, des règles spéciales à l’appui de pratiques de conservation appropriées pourraient expressément autoriser la conservation des renseignements personnels en conformité avec les règlements pris en vertu de la Loi, pour faciliter les droits d’accès individuels, satisfaire aux exigences en matière d’archivage, ou assurer la conformité avec à d’autres exigences juridiques.

Exactitude

L’actuelle disposition de la Loi sur la protection des renseignements personnels relative à l’exactitude s’apparente déjà à un principe à cet égard. Elle prévoit qu’une institution fédérale est tenue « de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets » (paragraphe 6(2)). Un principe d’« exactitude » pourrait élargir l’application de cette exigence aux renseignements personnels susceptibles d’avoir une incidence directe sur un individu, en s’appuyant sur une définition élargie des fins administratives.

Mesures de sécurité

La Loi sur la protection des renseignements personnels ne contient actuellement pas de dispositions imposant expressément aux organismes publics fédéraux l’obligation de protéger les renseignements personnels qu’ils détiennent à l’aide de mesures de sécurité. De telles exigences se trouvent cependant dans la politique du SCT. La Loi pourrait inclure un principe selon lequel les organismes publics fédéraux doivent appliquer des mesures physiques, organisationnelles et technologiques appropriées, en fonction de la sensibilité des données et du risque potentiel pour les individus. Cette approche pourrait être complétée par l’élaboration de règles législatives plus détaillées, de nouveaux règlements et/ou la rédaction de lignes directrices opérationnelles par le ministre désigné.

Ouverture et transparence

Grâce à l’instauration d’un principe d’« ouverture et de transparence », les individus pourraient être assurés d’obtenir des renseignements précis, présentés de la manière la plus simple possible, sur les politiques et les pratiques de gestion des renseignements personnels d’un organisme public fédéral. Ce principe d’« ouverture et de transparence » pourrait être soutenu par une série d’exigences obligatoires qui assurerait une cohérence des objectifs importants du gouvernement à l’échelle de l’administration publique. De nouvelles exigences de transparence à l’appui de ce principe pourraient venir compléter, sans remplacer, l’obligation actuelle des organismes publics fédéraux de répondre à des demandes de renseignements présentées en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information.

Accès aux renseignements personnels

La Loi sur la protection des renseignements personnels contient déjà un code complet de règles obligatoires régissant le droit des individus d’obtenir l’accès à leurs renseignements personnels. Suivant ces règles, les organismes publics fédéraux traitent environ 75 000 demandes de renseignements personnels par année. Les règles existantes seraient conservées et ultérieurement alignées, dans la mesure appropriée, sur les dispositions correspondantes de la Loi sur l’accès à l’information, parallèlement à la progression du processus de révision de cette législation. Le respect de ces règles par les organismes publics fédéraux demeurerait obligatoire. Un nouveau principe d’accès aux renseignements personnels dans le secteur public pourrait toutefois confirmer et compléter le droit d’accès aux renseignements personnels déjà reconnu dans la Loi, et accorder des droits connexes pour contester l’exactitude et l’exhaustivité.

Possibilité de porter plainte

La Loi sur la protection des renseignements personnels contient déjà un code complet de règles obligatoires pour guider les organismes publics fédéraux lorsque des plaintes sont déposées auprès du Commissaire à la protection de la vie privée. Ces règles pourraient être conservées et le respect par les organismes publics fédéraux des procédures spéciales prévues par la Loi pourrait rester obligatoire. L’inclusion d’un principe de « possibilité de porter plainte » dans le secteur public pourrait confirmer l’importance de mécanismes de recours efficaces.

1.4. Principes de protection des renseignements personnels et dispositions complémentaires

Le passage à une approche fondée sur des principes pour assurer la conformité à la Loi sur la protection des renseignements personnels bénéficie d’un soutien généralisé. Toutefois, plusieurs parties intéressées ont souligné le fait que les principes généraux devraient être soutenus par des règles plus détaillées offrant une orientation plus claire et plus précise concernant les exigences de conformité. Cela permettrait aux organismes publics fédéraux de bénéficier d’une plus grande certitude sur le plan réglementaire et de mieux appuyer leurs efforts en matière de conformité.

Les règles actuelles de la Loi sur la protection des renseignements personnels constituent,de toute évidence, le point de départ le plus solide. Ces règles, qui sont en place depuis plus de 35 ans, sont très complètes et offrent une grande certitude quant aux exigences de conformité. Même s’il conviendrait d’actualiser certaines des dispositions existantes et d’introduire dans la Loi de nouveaux droits individuels et de nouvelles responsabilités institutionnelles, le passage à une approche fondée sur des principes serait conçu de façon à conserver le cadre actuel et à travailler de concert avec lui.

Des versions modernisées des dispositions actuelles de la Loi sur la protection des renseignements personnels ainsi que de nouvelles exigences juridiques viendraient compléter les nouveaux principes de protection des renseignements personnels. Ce cadre de règles modernisé fournirait des orientations détaillées sur la manière d’entreprendre des pratiques particulières en conformité avec la Loi et un principe connexe donné.

Par exemple, la Loi pourrait mentionner expressément des pratiques particulières en matière de collecte de renseignements personnels qui, dans la mesure où elles seraient suivies, répondraient aux exigences d’un nouveau principe de « limitation de la collecte ». Cette approche permettrait de faire en sorte que les principes et les règles puissent fonctionner ensemble de manière efficace. Le rôle des principes serait d’énoncer les exigences fondamentales de la Loi et de fournir l’espace nécessaire pour traiter de nouveaux scénarios. Le rôle des règles serait de déterminer, de manière claire et explicite, comment satisfaire aux exigences des principes dans le contexte de scénarios courants et de pratiques standard.

Selon cette approche, les versions modernisées des règles existantes n’indiqueraient donc plus les seules façons dont les organismes publics fédéraux pourraient se conformer à la Loi. Elles énonceraient plutôt les pratiques précises qui seraient conformes aux principes connexes ou qui constitueraient des exceptions nécessaires, spécifiques et limitées. La Loi pourrait également indiquer explicitement que la conformité aux règles modernisées entraînerait le respect des exigences du principe connexe ou serait reconnue comme une exception expressément autorisée.

1.5. Recours à de nouveaux principes pour les nouveaux scénarios : conformité fondée sur des principes

Afin de profiter des avantages qu’offre une approche fondée sur des principes, les nouveaux principes de protection des renseignements personnels de la Loi sur la protection des renseignements personnels pourraient aider les organismes publics fédéraux à composer avec des circonstances uniques ou imprévues, notamment lorsque les règles ne peuvent pas être appliquées efficacement aux nouvelles technologies ou lorsque des situations très inhabituelles se présentent.

Cela permettrait de soutenir l’innovation au sein du gouvernement et d’assurer une réglementation efficace des nouvelles pratiques ou des situations inhabituelles. Cela permettrait également de faire de la Loi sur la protection des renseignements personnels un instrument législatif de protection des renseignements personnels hautement adaptatif et axé sur l’avenir, conforme aux approches fondées sur des principes qui sont courantes à l’échelle internationale. Une surveillance accrue et de nouvelles exigences en matière de responsabilité aideraient les organismes publics fédéraux à gérer soigneusement des scénarios complexes et nouveaux, dans la mesure où ils respectent les principes généraux de protection des renseignements personnels de la Loi.

1.6. Rapports publics et dialogue entourant la conformité fondée sur des principes

Outre la surveillance des pratiques fondées sur les principes de protection des renseignements personnels par le Commissaire à la protection de la vie privée, la présentation de rapports annuels et un système de suivi centralisé pourraient contribuer à lancer un important dialogue public sur la façon dont la Loi sur la protection des renseignements personnels pourrait être mise à jour au fil du temps. À mesure que les principes fondamentaux de la Loi viendraient clarifier la conformité juridique de nouvelles pratiques, de nouvelles règles connexes pourraient être ajoutées afin d’intégrer aux révisions législatives le recours dorénavant régulier à des pratiques autrefois nouvelles.

Annexe 2 : Un cadre nouveau et mis à jour pour la collecte, l’utilisation, la communication et la conservation des renseignements personnels

2.1 Aperçu

La présente annexe traite plus en détail des façons dont les règles de la Loi sur la protection des renseignements personnels qui régissent la collecte, l’utilisation, la communication et la conservation des renseignements personnels pourraient être modernisées afin de promouvoir le respect des individus et de leurs droits en matière de protection des renseignements personnels.

2.2 Un cadre renforcé pour la collecte de renseignements personnels

Pour favoriser la conformité à un nouveau principe de « limitation de la collecte », la règle qui régit actuellement la collecte, énoncée à l’article 4 de la Loi, pourrait être mise à jour afin de tenir compte de la politique gouvernementale depuis longtemps établie, de garantir une équivalence essentielle avec les approches internationales et d’offrir aux organismes publics fédéraux davantage de latitude pour s’acquitter de leurs missions de manière responsable.

L’article 4 de la Loi sur la protection des renseignements personnels est actuellement libellé comme suit: « Les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. » Conformément à un nouveau principe de « limitation de la collecte », la règle imposant l’existence d’un lien direct avec un programme ou une activité pourrait être mise à jour pour exiger qu’un organisme public fédéral ne puisse recueillir des renseignements personnels que si ces derniers sont raisonnablement requis dans le cadre des fonctions ou de ses activités. La Loi pourrait également permettre la collecte de renseignements personnels en vertu d’une exigence différente dans la mesure où celle-ci serait prévue par une règle énoncée dans une autre loi fédérale.

Ce cadre pourrait également énoncer les principaux facteurs dont les organismes publics fédéraux devraient tenir compte pour déterminer si une collecte est « raisonnablement requise », notamment : (i) le but précis de la collecte, y compris si elle est effectuée pour l’application de la loi; (ii) les mécanismes ou les moyens employés pour recueillir les renseignements; (iii) l’existence de moyens moins intrusifs d’atteindre le but visé à un coût comparable et avec des avantages équivalents pour le public; (iv) le degré d’intrusion que représente la collecte par rapport aux intérêts publics en jeu.

L’intégration d’une norme exigeant que la collecte soit « raisonnablement requise » présente toutefois certains risques. Le recours à des termes tels que « requis » ou « nécessaire » pourrait amener les tribunaux ou le Commissaire à la protection de la vie privée à interpréter de façon stricte le sens ordinaire de ces termes, de sorte qu’ils pourraient ne plus être adaptés ou ne plus permettre de guider l’utilisation de technologies émergentes importantes. Par exemple, des commissaires canadiens se sont demandé si un test nécessitant des renseignements personnels dans un but précis pouvait avoir une réelle utilité dans le contexte des applications de mégadonnéesNote de bas de page 2 et d’intelligence artificielleNote de bas de page 3. Un groupe de réflexion international de premier planNote de bas de page 4 a aussi soulevé cette préoccupation. Étant donné la façon dont fonctionnent les mégadonnées et l’intelligence artificielle, recueillir davantage de renseignements pour garantir au public des résultats optimaux et fiables pourrait fort bien être raisonnable, sans pour autant être « requis » ou « nécessaires ».

Parallèlement, une interprétation trop étroite de ce qui est « requis » peut signifier que des intérêts sociétaux plus larges soutenus par les avancées technologiques ne seraient pas bien servis. Certains intervenants ont souligné la difficulté de déterminer si un renseignement personnel doit être considéré comme étant requis, ou nécessaire, pour qu’un organisme public fédéral puisse s’acquitter efficacement de ses fonctions. En ce qui concerne plus précisément les enquêtes relatives à l’application de la loi, il n’est pas toujours possible de savoir à l’avance quels renseignements seront requis. Il s’agit là d’un exemple d’activité spécialisée qui pourrait nécessiter l’élaboration de règles spécifiques.

Compte tenu de ces préoccupations, une approche plus souple et créative est envisagée quant à l’interprétation de ce qui est « raisonnablement requis ». Un nouveau cadre comprenant une liste de facteurs à prendre en compte pour déterminer si des renseignements personnels sont « raisonnablement requis » devrait être suffisamment souple pour permettre de surmonter les défis d’interprétation inhérents à l’utilisation de termes non restrictifs comme « nécessité », et pour permettre aux organismes publics fédéraux de recueillir des renseignements personnels à des fins plus novatrices.

Une telle approche pourrait également détourner l’orientation du cadre de collecte d’activités et de programmes particuliers, et contribuer à éliminer les silos institutionnels. Ce changement permettrait de mieux répondre aux besoins des organismes publics fédéraux et des ministres responsables de mandats transversaux, tout en favorisant l’efficacité des programmes au sein des organismes publics fédéraux. De plus, une règle de collecte modernisée devrait appuyer les approches de prestation de services publics fondées sur le modèle « une fois suffit » qui restreint la quantité de renseignements recueillis par le gouvernement en premier lieu et qui est plus efficace pour les utilisateurs. Accroître l’intégration et l’efficacité des activités de collecte entre les programmes et les ministères pourrait contribuer à garantir que les renseignements personnels d’un individu demeurent pertinents, à jour et exacts, tant au sein des organismes publics fédéraux qu’entre eux.

Enfin, les collectes de renseignements personnels involontaires, non sollicitées et temporaires pourraient être éliminées grâce à des règles spécialisées précisant comment se conformer au un principe de « limitation de la collecte » dans de telles circonstances. La Loi pourrait prévoir que les organismes publics fédéraux qui reçoivent, sans le vouloir ou sans le savoir, des renseignements personnels dont ils n’ont pas besoin doivent les supprimer ou les retourner.

2.3 Mettre à jour le cadre régissant l’utilisation secondaire et la communication de renseignements personnels

Le principe proposé de la « limitation de l’utilisation, de la communication et de la conservation » pourrait être complété par une mise à jour des règles concernant les utilisations et les communications expressément autorisées afin d’assurer la conformité avec ce nouveau principe de protection des renseignements personnels.
Les circonstances dans lesquelles des renseignements personnels peuvent être utilisés et communiqués sans le consentement de l’individu concerné sont actuellement énoncées aux articles 7 et 8 de la Loi sur la protection des renseignements personnels. Ces dispositions reflètent les choix complexes en matière de politique publique auxquels le Parlement a été confronté lorsqu’il a voulu élaborer un cadre législatif d’application générale pour régir la protection des renseignements personnels par environ 265 institutions fédérales ayant des mandats des besoins en matière de renseignements personnels et des partenariats intergouvernementaux différents. Par ces dispositions, le Parlement a fait des choix en matière de politique publique visant à concilier l’importance de protéger les renseignements personnels des individus et la nécessité de permettre l’utilisation et la communication responsables des renseignements à des fins publiques légitimes.  En outre, des mesures de transparence seront essentielles pour permettre aux individus de comprendre comment leurs renseignements personnels seront utilisés, communiqués et conservés – ces mesures sont abordées plus en détail à l’annexe intitulée Un modèle de responsabilisation renouvelé et de nouveaux outils pour assurer une véritable transparence.

Préciser la signification de l’expression « usage compatible » dans le cadre régissant l’utilisation et la communication : La Loi sur la protection des renseignements personnels pourrait offrir une définition souple d’« usage compatible », de façon à harmoniser ce concept canadien avec l’approche européenne relative aux usages compatibles. Un usage compatible serait donc déterminé en fonction de critères énonçant les facteurs à prendre en considération, y compris le lien entre l’objectif original et le nouvel objectif ; le contexte dans lequel les renseignements personnels ont initialement été recueillis; la nature des renseignements personnels visés; les possibles conséquences et avantages pour les individus; l’existence de mesures appropriées de protection ou d’atténuation des risques. La Loi pourrait fournir une liste d’exemples de ce qui pourrait constituer un usage compatible, notamment si l’utilisation ou la communication est nécessaire pour mieux évaluer l’admissibilité d’un individu à un service ou à une prestation, pour fournir de façon efficace ce service ou cette prestation (ce qui permettrait de limiter les cas où les individus doivent fournir les mêmes renseignements à différents organismes publics fédéraux aux mêmes fins), ou pour confirmer l’identité d’un individu en comparant les renseignements personnels avec qu’il détient ailleurs ou qui sont détenus par un autre organisme public fédéral, provincial ou territorial.

Préciser la signification de l’alinéa 8(2)c) : L’alinéa 8(2)c) autorise la communication de renseignements personnels à l’appui des activités des cours et des tribunaux. Cet alinéa pourrait être modifié de façon à préciser qu’un organisme public fédéral peut communiquer des renseignements personnels à ces fins dans les deux cas suivants : (i) lorsque la loi l’y oblige (p. ex., si l’individu est partie à une instance); (ii) lorsqu’un organisme public fédéral exerce son pouvoir discrétionnaire pour communiquer des renseignements personnels pertinents dans le cadre d’une instance en cours ou raisonnablement prévue, même s’il n’est pas légalement tenu de le faire.

Harmoniser l’alinéa 8(2)e) avec les dispositions similaires contenues dans la Loi sur la protection des renseignements personnels et les documents électroniques : L’alinéa 8(2)e) autorise une institution fédérale à communiquer des renseignements personnels à un organisme d’enquête déterminé par règlement aux fins de faire respecter les lois ou pour la tenue d’enquêtes licites. Les réorganisations et restructurations régulières des organismes publics fédéraux rendent ce modèle de désignations par voie réglementaire difficile à maintenir d’un point de vue opérationnel. Une définition d’« organisme d’enquête » pourrait être ajoutée à la Loi et remplacer la liste réglementaire. Cet alinéa pourrait aussi être modifié afin d’améliorer sa cohérence avec les exigences de la Charte canadienne des droits et libertés pouvant s’appliquer lorsqu’un individu a une attente raisonnable en matière de vie privée à l’égard des renseignements personnels en question.

Renforcer la responsabilisation concernant la communication de renseignements en vertu de l’alinéa 8(2)f) : En ce moment, l’alinéa 8(2)f) de la Loi autorise la communication de renseignements personnels aux termes d’accords ou d’ententes conclus entre le gouvernement du Canada ou un de ses organismes et diverses entités mentionnées dans l’article, en vue de l’application des lois ou pour la tenue d’enquêtes licites. Ces entités comprennent des gouvernements provinciaux et territoriaux, certains conseils des Premières Nations, des gouvernements étrangers et des organisations d’États étrangers.

Ce cadre de communication pourrait être modifié afin d’établir une distinction entre la communication de renseignements aux fins de l’application des lois à d’autres organismes publics fédéraux, à des gouvernements provinciaux et territoriaux, à des gouvernements autochtones et à des gouvernements étrangers. En outre, l’obligation de mettre par écrit tous les accords et ententes de communication de renseignements pourrait être imposée. Il demeurerait toutefois possible de communiquer des renseignements personnels dans des situations urgentes ou exceptionnelles, malgré l’absence d’accord, sous réserve du respect de certaines exigences précises.

La loi, la réglementation ou une politique gouvernementale pourrait énoncer les types de clauses que les accords ou ententes de communication de renseignements devraient contenir au minimum. Ces clauses varieraient selon l’entité du destinataire (un autre organisme public fédéral, un autre gouvernement au Canada ou un gouvernement étranger). Elles pourraient notamment prévoir l’objectif de la communication, une description des renseignements personnels communiqués, les mesures de protection visant à protéger les renseignements et à limiter au minimum l’atteinte à la vie privée, les restrictions relativement à une autre utilisation ou communication, et les pénalités imposées en cas de non-conformité.

Renforcer la responsabilisation relativement à l’alinéa 8(2)g) : L’alinéa 8(2)g) autorise un organisme public fédéral à communiquer de renseignements personnels à un parlementaire fédéral sans le consentement de l’individu. Cet alinéa vise à appuyer les députés qui veulent aider leurs électeurs à interagir avec les organismes publics fédéraux. Étant donné la rapidité et l’omniprésence des communications numériques aujourd’hui, il n’est plus certain que les individus aient besoin de ce soutien de façon non consentie pour pouvoir obtenir une aide opportune de la part de leur député. Dans la plupart des cas, un individu pourrait consentir à une telle communication. Cette exception à la communication sans le consentement de l’individu pourrait donc être supprimée de la Loi.

Élargir le sens de l’expression « pour vérification » utilisée à l’alinéa 8(2)h) : L’alinéa 8(2)h) autorise la communication pour appuyer la vérification (i) interne, (ii) centralisée (p. ex., par l’intermédiaire du Bureau du contrôleur général) et (iii) externe des institutions fédérales. Compte tenu de l’importance de faciliter l’examen de la conformité des organismes publics fédéraux à un vaste éventail de responsabilités en matière de politiques et de programmes horizontaux allant au-delà de la saine gestion financière, la portée de l’alinéa 8(2)h) pourrait être élargie en conséquence. Cet alinéa pourrait également permettre d’appuyer la conformité à d’autres engagements importants du secteur public en ce qui a trait, par exemple, à l’efficacité et à l’intégrité des programmes, à l’analyse comparative entre les sexes plus, aux résultats et à la prestation, ou aux résultats en matière de gestion des risques. Les destinataires centralisés et prescrits devraient être modifiés selon le cas.

Dupliquer l’alinéa 8(2)i) pour Statistique Canada : Statistique Canada pourrait tirer avantage du même type de disposition claire et explicite que celle, énoncée à l’alinéa 8(2)i) de la Loi, qui prévoit la communication à Bibliothèque et Archives du Canada pour dépôt. Une disposition pourrait être ajoutée afin de désigner Statistique Canada comme une institution destinataire à laquelle des renseignements personnels peuvent être communiqués « à des fins de statistique et de recherche ».

Renforcer la clarté et la responsabilisation relativement à l’alinéa 8(2)j) : L’alinéa 8(2)j) autorise la communication de renseignements personnels à toute personne ou à tout organisme pour des travaux de recherche ou de statistique. Cette disposition pourrait être modifiée pour clarifier le champ d’application prévu, compte tenu notamment de l’ampleur et de la portée des analyses de données qui sont maintenant possibles. Outre cette clarification, le responsable d’une institution autorisé à approuver la communication pour des travaux de de recherche et de statistique pourrait également être tenu de préciser les conditions relatives à la sécurité et à la confidentialité des données dans les ententes de communication. Par suite de ces modifications, l’alinéa 8(2)j) serait mieux harmonisé avec les approches adoptées dans d’autres ressorts.

Autoriser l’usage et la communication pour des activités d’intégration de données visant certaines finalités.: Il est extrêmement avantageux pour le public de permettre au gouvernement de communiquer, de relier et d’analyser des données afin d’obtenir de nouvelles informations permettant de mieux soutenir les initiatives de prestation de services, l’élaboration des politiques, la planification des systèmes, l’affectation des ressources et le suivi du rendement. Cela peut permettre au gouvernement d’obtenir des données probantes de meilleure qualité et de réduire les cas d’abus ou de fraude. Cela peut également soutenir une meilleure élaboration des politiques publiques et une utilisation plus saine des fonds publics.

Pour appuyer ces objectifs, la Loi pourrait permettre l’utilisation ou la communication de renseignements personnels à une unité particulière d’un organisme public fédéral afin de procéder à l’analyse des renseignements en lien avec la gestion ou l’affectation des ressources, la planification de la prestation des programmes et services fournis ou financés par le gouvernement du Canada, et l’évaluation de ces programmes et services dans certaines circonstances. Ce type de communication de renseignements pourrait être assujetti à certaines limites et conditions, notamment que d’autres renseignements ne puissent pas servir à l’atteinte de ces objectifs, que seuls les renseignements personnels qui sont raisonnablement requis aux fins poursuivies puissent être utilisés ou communiqués, et que le responsable de l’organisme public fédéral qui utilise ou reçoit les renseignements à ces fins soit tenu de garantir que l’utilisation ou la communication est dans l’intérêt public.

Autoriser l’usage et la communication en cas d’urgence, pour prévenir les menaces à la sécurité publique et des individus, et pour communiquer avec le plus proche parent : Contrairement à de nombreuses lois sur la protection des renseignements personnels applicables au secteur public, la Loi sur la protection des renseignements personnels n’autorise pas expressément l’utilisation ou la communication de renseignements personnels en cas d’urgence, pour assurer la sécurité publique ou la sécurité d’un individu, ou pour informer le plus proche parent dans certaines circonstances. Pour remédier à la situation, la Loi pourrait prévoir des autorisations concernant a l’utilisation ou la communication lorsque celles-ci sont raisonnablement requises en cas d’urgence, pour prévenir ou atténuer une menace grave pour la sécurité ou la santé publique ou d’un individu, pour protéger la sécurité ou la santé d’un individu, et pour communiquer avec un parent ou avec toute autre personne avec qui il serait raisonnable de communiquer si un individu est blessé ou malade.

Utiliser ou communiquer des renseignements personnels auxquels le public a accès : La Loi pourrait prévoir des règles spécialisées pour l’utilisation ou la communication de renseignements personnels « auxquels le public a accès ». Cela permettrait de clarifier et de soutenir l’application des nouveaux principes de protection des renseignements personnels à cette catégorie de renseignements, et d’harmoniser les pratiques du secteur public en matière d’utilisation et de communication des renseignements personnels auxquels le public a accès avec les attentes raisonnables des individus en matière de respect de la vie privée. Parallèlement, la Loi pourrait assurer la compatibilité de son approche à l’égard des renseignements personnels auxquels le public a accès avec celle de la Loi sur l’accès à l’information – la Loi sur la protection des renseignements personnels ne devrait pas protéger les renseignements auxquels le public a accès d’une manière incompatible avec le droit d’accès du public à ces renseignements en vertu de la Loi sur l’accès à l’information.

Apporter des modifications corrélatives aux changements dans la définition de « renseignements personnels » : En lien avec l’idée de retirer la liste des exceptions prévues aux alinéas j) à m) de la définition de « renseignements personnels », il pourrait être opportun de prévoir que les organismes publics fédéraux sont autorisés à utiliser et à communiquer les renseignements visés par ces exceptions. Cela comprend les renseignements concernant le poste ou les fonctions d’un employé ou d’un mandataire de l’organisme public fédéral, certains renseignements sur le personnel ministériel, les renseignements concernant un individu qui fournit des services dans le cadre d’un contrat gouvernemental lorsque ceux-ci concernent les services fournis, les renseignements concernant les avantages financiers facultatifs et les renseignements concernant un individu décédé depuis plus de 20 ans.

Offrir une certaine souplesse en cas de circonstances imprévues : Actuellement, l’alinéa 8(2)m) de la Loi autorise le responsable d’une institution fédérale à communiquer des renseignements personnels à toute autre fin que celles prévues aux alinéas précédent dans les cas où : (i) des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée; (ii) l’individu concerné en tirerait un avantage certain. Afin que la Loi puisse offrir une protection souple adaptée aux circonstances et aux technologies en constante évolution, une réorientation de cette approche pourrait être envisagée. Prévoir de nouvelles autorisations en matière d’utilisation ou de communication de renseignements personnels dans des circonstances d’urgence, pour protéger la sécurité publique et pour aviser les proches dans certains cas permettrait de faire face à bon nombre des scénarios envisagés par l’actuel sous-alinéa 8(2)m)(ii) de la Loi.

Dans le contexte de cette réorientation, L’alinéa 8(2)m) de la Loi pourrait être supprimé et remplacé par un nouveau cadre visant les utilisations et communications qui ne sont pas déjà expressément autorisées par cette partie de la Loi, mais qui respecterait le nouveau principe de « limitation de l’utilisation, de la collecte et de la conservation ». Une nouvelle disposition pourrait ainsi être ajoutée pour permettre toute autre utilisation ou communication de renseignements personnels à une fin qui n’est pas expressément autorisée par la Loi lorsque le responsable d’un organisme public fédéral juge qu’elle est « raisonnablement requise » dans l’intérêt public. Comme en ce qui concerne la règle de collecte mise à jour dans la Loi, ce cadre énoncerait les principaux facteurs dont le responsable de l’organisme public fédéral doit tenir compte pour déterminer si cette utilisation ou communication est « raisonnablement requise », notamment : (i) la nature et le but précis de l’utilisation ou de la communication; (ii) les mécanismes ou les moyens employés pour communiquer les renseignements; (iii) l’existence de moyens moins intrusifs d’atteindre le but visé à un coût équivalent et avec des avantages comparables pour le public; (iv) le degré d’intrusion que représentent l’utilisation ou la communication par rapport aux intérêts publics en jeu; (v) la façon dont les renseignements seraient protégés afin d’atténuer les éventuelles répercussions sur la vie privée. Des exigences connexes en matière de tenue de dossiers en lien avec une telle décision pourraient être imposées afin de permettre au Commissaire à la protection de la vie privée de procéder à un examen significatif.

2.4 Instaurer une approche fondée sur des principes en matière de conservation des renseignements personnels

Les règles actuelles relatives à la conservation des renseignements personnels sont rigides. En principe, elles imposent aux institutions fédérales l’obligation de conserver les renseignements personnels utilisés dans un processus décisionnel concernant un individu pendant deux ans. Cette exigence a pour but de garantir que l’individu ait une possibilité raisonnable d’obtenir l’accès aux renseignements personnels le concernant.

Toutefois, l’expérience a montré que le respect de délais de conservation stricts peut parfois empêcher les organismes publics fédéraux de supprimer les renseignements personnels de manière sécuritaire, alors que la suppression de ces renseignements permettrait de mieux protéger la vie privée des individus que leur conservation. La Loi pourrait imposer aux organismes publics fédéraux l’obligation de ne conserver les renseignements personnels qu’aussi longtemps qu’il est raisonnablement requis de le faire pour atteindre efficacement l’objectif pour lequel ils ont été recueillis au départ, offrant ainsi aux organismes publics fédéraux la souplesse nécessaire pour adapter leurs pratiques de conservation aux circonstances propres à chaque cas.

Cette nouvelle obligation pourrait être appuyée par l’inclusion d’une liste de pratiques de conservation expressément autorisées confirmant les situations où il serait approprié pour un organisme public fédéral de conserver des renseignements personnels plus longtemps que nécessaire aux fins pour lesquelles ils ont été recueillis.  Des exemples de ces pratiques de conservation autorisées pourraient inclure l’archivage, pour répondre aux demandes d’accès aux renseignements personnels et pour assurer la conformité à d’autres obligations juridiques.

Annexe 3 : Un modèle de responsabilisation renouvelé et de nouveaux outils pour assurer une véritable transparence

3.1 Aperçu

L’amélioration de la responsabilisation au moyen de mécanismes de gouvernance des données nouveaux et mis à jour régulièrement, des mesures de transparence améliorées, un cadre de conformité axé sur le soutien et une surveillance accrue constituent le troisième pilier fondamental d’une Loi sur la protection des renseignements personnels modernisée. Ces améliorations peuvent aider les organismes publics fédéraux à renforcer leurs processus internes, leur capacité et leur expertise en matière de prise de décisions, favoriser un dialogue efficace entre les organismes publics fédéraux et le Commissaire à la protection de la vie privée et ultimement accroître la confiance envers le fonctionnement de la Loi sur la protection des renseignements personnels dans son ensemble.

Cette annexe présente une panoplie de nouveaux outils concernant la responsabilisation, la transparence et l’application de la Loi qui pourraient être introduits à la Loi sur la protection des renseignements personnels afin d’appuyer une responsabilisation accrue.

3.2 Nouveaux mécanismes visant à assurer une solide gouvernance des données axée sur l’amélioration continue

Les mécanismes suivants pourraient aider les organismes publics fédéraux à acquérir une solide expertise et à développer leur capacité interne en matière de protection des renseignements personnels afin de pouvoir gérer de façon proactive les enjeux uniques en matière de protection des données auxquels ils font face, y compris les nouveaux scénarios susceptibles de se produire. L’intégration d’une approche préventive, proactive et systématique pour assurer la conformité et l’atténuation des risques permettrait de veiller à ce que les organismes publics fédéraux puissent apprendre et s’améliorer sans cesse, même en l’absence de plaintes ou d’enquêtes.

Démontrer la responsabilisation : La Loi sur la protection des renseignements personnels pourrait être modifiée afin d’instaurer un principe de « responsabilisation » fondé sur les pratiques exemplaires développées par d’autres instruments nationaux et internationaux de protection des données. Ce principe pourrait constituer le fondement des nouvelles exigences imposées aux organismes publics fédéraux selon lesquelles ils doivent démontrer de façon proactive les mesures qu’ils prennent pour assurer le respect de la Loi. Tout comme la Loi sur la protection des renseignements personnels et des documents électroniques, la Loi sur la protection des renseignements personnels pourrait également confirmer qu’un organisme public fédéral est responsable de tous les renseignements personnels qu’il détient, y compris les renseignements personnels transférés à des tiers à des fins de traitement.

Concevoir et maintenir des programmes de gestion des renseignements personnels : La Loi pourrait instaurer une exigence pour les organismes publics fédéraux de créer et de maintenir un programme de gestion des renseignements personnels. Cela constituerait un mécanisme concret que les organismes publics fédéraux pourraient utiliser pour prendre en main et démontrer de façon proactive leur propre conformité conformément au principe de responsabilisation. Un programme de gestion des renseignements personnels pourrait servir de principal mécanisme d’organisation pour orienter la conformité à d’autres mesures de responsabilisation, comme les nouvelles exigences liées aux évaluations des facteurs relatifs à la vie privée. Il permettrait aux organismes publics fédéraux de démontrer qu’ils agissent conformément aux exigences nouvelles et existantes en matière de responsabilisation. La Loi pourrait également énoncer les composantes minimales d’un programme de gestion des renseignements personnels, comme une liste des représentants responsables de la protection des renseignements personnels au sein de l’organisme public fédéral, les inventaires de renseignements personnels que détient l’organisme public fédéral, les politiques et les procédures en vigueur pour protéger les renseignements personnels. Les éléments d’un programme de gestion des renseignements personnels pourraient également être fournis ou ajoutés au moyen des instruments de politique du Secrétariat du Conseil du Trésor. Les organismes publics fédéraux pourraient également être responsables de transformer les éléments d’un programme de gestion des renseignements personnels en un outil de gouvernance des données individualisé qui tient compte de la taille, de la structure et du rôle de l’organisme ainsi que du volume et de la nature des renseignements personnels qu’il détient. L’obligation d’examiner et de mettre à jour régulièrement les programmes de gestion des renseignements personnels pourrait aussi être ajoutée à la Loi.

Responsables de la protection des renseignements personnels : Le responsable d’un organisme public fédéral serait ultimement responsable de l’administration de la Loi au sein de son organisme, mais la Loi pourrait néanmoins exiger qu’un organisme public fédéral désigne un ou des individus chargés de démontrer la conformité à la Loi. Certaines institutions gouvernementales ont déjà nommé un dirigeant principal de la protection des renseignements personnels, reconnaissant ainsi le rôle important que jouent l’expertise interne et le leadership dans le développement d’une culture de conformité. Si le titre de poste particulier et les autres fonctions des représentants pourraient varier d’un organisme public à l’autre, une approche uniforme concernant la désignation d’un représentant pour orienter la conformité à la loi de l’organisme et remplir certaines fonctions procurerait des avantages à tous les organismes publics fédéraux. Cela sera particulièrement important compte tenu du fait que la modernisation de la Loi sur la protection des renseignements personnels pourrait donner lieu à l’instauration de différentes nouvelles obligations en matière de conformité. Une flexibilité serait accordée relativement à la façon de respecter ces obligations.

Nouvelles exigences relatives à la tenue de documents :: Dans le cadre d’un nouveau principe de « responsabilisation », l’obligation actuelle d’informer le Commissaire à la protection de la vie privée de « l’usage compatible » et des communications « d’intérêt public » pourrait être transformée en exigences relatives à la tenue de documents. En outre, les organismes publics fédéraux pourraient être expressément tenus de consigner par écrit une variété d’autres questions, y compris les demandes faites aux organisations du secteur privé en application de l’alinéa 7(3)(c.1) de la Loi sur la protection des renseignements personnels et des documents électroniques. Ces documents pourraient être assujettis au droit d’accès en application de la Loi et aux pouvoirs de surveillance du Commissaire à la protection de la vie privée.

3.3 Accroissement d’une véritable transparence gouvernementale

La transparence peut vouloir dire l’ouverture, c’est-à-dire qu’un individu peut facilement obtenir de l’information sur la manière dont les renseignements personnels sont recueillis, utilisés, conservés et communiqués par une institution. Mais l’ouverture en soi n’entraîne pas une véritable transparence; l’information disponible devrait également être organisée et présentée par écrit d’une façon qui peut être facilement comprise par l’individu concerné qui en a besoin ou souhaite l’obtenir.

La discussion qui suit est axée sur l’introduction de nouvelles exigences en matière d’ouverture qui sont expressément conçues pour répondre aux besoins et aux intérêts des individus souhaitant comprendre les pratiques des organismes publics fédéraux à l’égard de la protection des renseignements personnels.

Rendre les mesures de transparence plus accessibles et conviviales – un nouveau registre de renseignements personnels : L’obligation actuelle des institutions de publier de l’information concernant les renseignements personnels qu’elles recueillent et détiennent (fichiers de renseignements personnels [FRP]) remonte à l’époque où les renseignements personnels étaient conservés dans des dossiers papier. Pour moderniser le régime de transparence, la Loi sur la protection des renseignements personnels pourrait imposer aux organismes publics fédéraux l’obligation générale de publier de l’information importante dans un registre de renseignements personnels en ligne, accessible et consultable, qui pourrait contenir ce qui suit :

Le registre de renseignements personnels (RRP) pourrait être conçu pour offrir un regroupement détaillé et normalisé d’information importante que les organismes publics fédéraux pourraient compléter à leur guise au moyen d’autres mesures de transparence individualisées.

Le maintien d’un bon équilibre entre les exigences législatives et les instruments de politique complémentaires est important. La Loi pourrait instaurer l’obligation de verser l’information désignée dans un RRP ou de publier dans un nouveau RRP l’information principale dont les organismes publics fédéraux pourraient avoir besoin. Des éléments supplémentaires à verser à un RRP pourraient être précisés dans les instruments de politique relevant du ministre désigné. L’appui d’une obligation fondamentale de verser les documents dans un RRP, et des exigences et des renseignements opérationnels supplémentaires à établir dans une politique pourraient accorder une flexibilité au fil du temps, à mesure que les approches et les outils changent.

Offrir un sommaire convivial par couche des mesures visant à protéger les renseignements personnels : Pour veiller à ce que l’information technique faisant actuellement partie du régime existant de FRP soit plus compréhensible et accessible pour les individus, les organismes publics fédéraux pourraient devoir publier un aperçu accessible et en langage clair et simple de leurs pratiques générales se rapportant au RRP. De nombreuses institutions gouvernementales respectent déjà cette pratique exemplaire en publiant dans leurs sites Web une description générale de leurs pratiques et engagements en matière de renseignements personnels. Cette information ressemble à une politique ou à une charte de protection des renseignements personnels propre à une institution. Cette pratique pourrait être coordonnée à l’échelle du gouvernement et comprendre le RRP. L’objectif serait d’offrir une source préliminaire d’information générale et accessible pour laquelle d’autres niveaux de renseignements plus détaillés et techniques seraient offerts par l’intermédiaire du RRP.

Améliorer la transparence concernant la collecte indirecte et les usages secondaires : La Loi sur la protection des renseignements personnels pourrait comprendre de nouvelles règles visant à clarifier de quelle manière un organisme public fédéral peut respecter un nouveau principe de « détermination des fins » lorsque l’occasion de fournir un avis de confidentialité directement à un individu ne se présente pas. Cette situation se produirait lorsque la Loi autorise la collecte indirecte de renseignements personnels ou, dans certains cas, lorsque les renseignements personnels ont été recueillis à de nouvelles fins qui n’ont pas été initialement prévues lors de la collecte directe. Dans de tels cas, une institution pourrait être tenue de publier un avis de confidentialité à jour dans le RRP conformément aux mêmes normes de communication accessibles qui s’appliqueraient lors de la communication directe avec un individu.

Publier de l’information au sujet des programmes de gestion des renseignements personnels : Puisque les programmes de gestion des renseignements personnels constitueraient une composante essentielle du régime de conformité d’une institution gouvernementale, un nouveau régime de transparence pourrait nécessiter que les renseignements soient publiés, en tout ou en partie, ou soient rendus accessibles au public aux fins d’examen dans le cadre du RRP.

Réaliser et publier des évaluations des facteurs relatifs à la vie privée (EFVP) : Les évaluations des facteurs relatifs à la vie privée (EFVP) sont des examens détaillés des risques en matière de protection des renseignements personnels identifiés et des mesures visant à les atténuer. Toutefois, la réalisation d’EFVP nécessite beaucoup de temps et de ressources publiques. L’instauration dans la Loi sur la protection des renseignements personnels d’une exigence législative fondée sur les risques pour la réalisation d’une EFVP pourrait contribuer à accroître la conformité à la Loi. la Loi pourrait imposer aux organismes publics fédéraux une obligation de réaliser une EFVP en ce qui a trait à de nouveaux programmes ou de nouvelles activités, ou à des programmes qui ont été considérablement modifiés, lorsque des renseignements personnels sont recueillis, utilisés ou communiqués à des fins administratives, en vue de réaliser des activités automatisées ou manuelles d’établissement de profils nécessitant des renseignements personnels de nature délicate ou dans le cadre d’autres activités représentant un risque élevé pour les renseignements personnels, tel que précisé dans une politique gouvernementale. La Loi pourrait également obliger les organismes publics fédéraux qui réalisent une EFVP à fournir une copie de celles-ci au Commissaire à la protection de la vie privée afin qu’il formule des avis et des recommandations dans un délai prescrit. Les organismes publics fédéraux devraient indiquer dans leurs EFVP définitives ou leurs rapports annuels la raison pour laquelle les recommandations formulées par le Commissaire à la protection de la vie privée n’ont pas été mises en œuvre. Étant donné que certaines EFVP sont assez volumineuses et que d’autres évaluations ne peuvent pas être publiées pour des raisons opérationnelles se rapportant à l’application de la loi, à la collecte de renseignements, à la protection de la sécurité nationale ou à d’autres fonctions gouvernementales de nature délicate, des sommaires des EFVP pourraient être publiés de façon proactive. La politique du gouvernement pourrait restreindre davantage la forme et le contenu particuliers d’une EFVP.

Offrir une transparence concernant les ententes d’échange de renseignements personnels : Les ententes d’échange de renseignements personnels facilitent la transmission de renseignements personnels et les protections juridiques connexes. Étant donné le rôle clé que ces ententes jouent dans le secteur public fédéral, une transparence accrue est importante. La Loi sur la protection des renseignements personnels pourrait obliger un organisme public fédéral à publier tous les ans l’information prescrite se rapportant à toutes les nouvelles ententes d’échange de renseignements personnels qu’il a conclus et à toutes les ententes d’échange de renseignements personnels existantes qu’il a utilisées activement au cours de l’année. Cette information pourrait être rendue accessible au public au moyen du RRP.

Prévoir des exceptions pour les fonctions gouvernementales de nature délicate : Si elles étaient imposées de façon uniforme à toutes les fonctions gouvernementales, bon nombre des mesures de transparence prévues pourraient compromettre l’intégrité des activités de nature délicate du secteur public, comme les enquêtes d’application de la loi, la collecte de renseignement et les activités relatives à la sécurité nationale. Des exceptions ciblées aux nouvelles exigences en matière de transparence seraient requises. Dans les cas où la publication proactive de l’information ne serait pas possible en raison de sa nature délicate, des exigences en matière de conservation des documents assujetties à la surveillance du Commissaire à la protection de la vie privée pourraient servir de mécanisme de responsabilisation de rechange. Le régime de « fichiers non consultables » et les pouvoirs du Commissaire à la protection de la vie privée pour le superviser pourraient aussi continuer à servir de modèle s’il est modifié de façon appropriée à la lumière des changements apportés au régime de fichiers de renseignements personnels sous considération.

Annexe 4 : Un nouveau cadre de surveillance pour la Loi sur la protection des renseignements personnels

4.1 Aperçu

Un cadre de surveillance axé sur le soutien et une surveillance accrue forment en partie le troisième pilier fondamental de la Loi sur la protection des renseignements personnels modernisée. Certaines améliorations apportées à la Loi pourraient aider à favoriser un dialogue efficace entre les organismes publics fédéraux et le Commissaire à la protection de la vie privée, et au besoin, fournir au commissaire des pouvoirs supplémentaires pour garantir la conformité.

Le Commissaire à la protection de la vie privée est un agent du Parlement. Cela signifie que le commissaire relève directement du Parlement plutôt que du gouvernement ou d’un ministre fédéral, ce qui accroît son indépendance à l’égard du gouvernement. Le Commissaire à la protection de la vie privée est également un « ombudsman ». Cela signifie que le commissaire dispose de vastes pouvoirs pour recevoir des plaintes et mener des enquêtes, mais il n’a pas le pouvoir d’imposer des ordonnances exécutoires. Le rôle d’ombudsman du Commissaire à la protection de la vie privée a bien servi la population canadienne depuis plus de 35 ans. Il a constitué une façon relativement efficace et conviviale de traiter les plaintes formulées en application de la Loi, il appuie le dialogue important entre le Commissaire à la protection de la vie privée et les organismes publics fédéraux et a permis de négocier efficacement des solutions à des problèmes complexes dans la vaste majorité des plaintes formulées en application de la Loi. Le rôle d’ombudsman soutient également l’accès à la justice pour les individus, qui profitent d’un processus moins officiel devant le commissaire pour faire valoir leurs plaintes et qui ont la possibilité de voir le commissaire intenter un recours devant la Cour fédérale en leur nom.

Cependant, il y a beaucoup de raisons pour lesquelles le modèle d’application de la Loi doit être revu. Des recours juridiques complets, efficaces et accessibles sont essentiels pour les situations où la conformité ne peut pas être assurée par d’autres moyens. Un meilleur modèle de surveillance est également approprié dans une loi qui pourrait accorder une nouvelle flexibilité axée sur des principes pour les nouveaux scénarios et les nouvelles pratiques en matière de renseignements personnels.

La présente annexe renferme davantage de renseignements et décrit divers nouveaux outils visant à offrir une véritable surveillance qui pourraient être instaurés dans la Loi sur la protection des renseignements personnels.

4.2 Favoriser un dialogue ouvert et une orientation accessible au public

Une plus grande ouverture concernant le fonctionnement de la Loi sur la protection des renseignements personnels et la façon dont elle est appliquée est importante. Tous les joueurs clés du système, c’est–à–dire le public, les organismes publics fédéraux et le Commissaire à la protection de la vie privée, pourraient en tirer avantage lorsque de l’information claire concernant ce que la Loi exige sera largement et systématiquement accessible. Certaines de ces idées de changements potentiels à la Loi harmoniserait les pouvoirs du Commissaire à la protection de la vie privée avec ceux prévus dans la Loi sur la protection des renseignements personnels et des documents électroniques, alors que d’autres sont plus novatrices et visent à favoriser un meilleur dialogue entre les organismes publics fédéraux et le Commissaire à la protection de la vie privée dans le secteur public fédéral. Des changements potentiels comprennent :

Confier un mandat de sensibilisation du public au Commissaire à la protection de la vie privée : La Loi sur la protection des renseignements personnels pourrait accorder au Commissaire à la protection de la vie privée le pouvoir officiel de mener des activités de sensibilisation du grand public, comme celui dont il dispose en application de la Loi sur la protection des renseignements personnels et des documents électroniques.

Confier au Commissaire à la protection de la vie privée le pouvoir d’émettre des lignes directrices : La Loi sur la protection des renseignements personnels pourrait accorder au Commissaire à la protection de la vie privée le pouvoir de formuler des orientations non contraignantes sur la façon dont il interprète la Loi et les approches en matière d’enquête connexes afin de faire en sorte que les individus et les organismes publics fédéraux soient au courant des avis du commissaire. D’autres commissaires à l’information et à la protection de la vie privée et ombudsmans au Canada, et à l’étranger, formulent des orientations destinées aux entités des secteurs public et privé.

Permettre aux organismes publics fédéraux de demander l’avis du Commissaire à la protection de la vie privée à l’extérieur du cadre d’une enquête : Le Commissaire à la protection de la vie privée pourrait également se voir accorder le pouvoir de formuler, à la demande d’un organisme public fédéral, un énoncé de la position juridique ou une interprétation qu’il adopterait lors de l’évaluation de la conformité à la Loi sur la protection des renseignements personnels dans le cadre d’une enquête relative à une plainte ou d’une situation similaire, un peu comme le pouvoir de formuler des avis consultatifs non contraignants dont dispose le commissaire au lobbying. Un pouvoir similaire pourrait permettre au Commissaire à la protection de la vie privée d’informer un organisme public fédéral demandeur de la position qu’il adopterait relativement à une question de conformité particulière que l’organisme public en question lui présenterait, en se fondant uniquement sur les renseignements fournis. Le commissaire pourrait également avoir le pouvoir discrétionnaire de refuser de mener une enquête relative à une plainte au motif qu’un avis préalable a amplement fait le tour d’une question, s’il y a lieu.

Instaurer un environnement de « bac à sable réglementaire » : Un bac à sable réglementaire est un environnement contrôlé et supervisé dans lequel des modèles, des structures ou des processus organisationnels particulièrement nouveaux peuvent être mis à l’essai afin de déterminer leur compatibilité aux exigences législatives en collaboration avec un organisme de surveillance. Cette mise à l’essai est réalisée à l’extérieur d’un environnement de conformité judiciaire ou coercitif. Bien qu’une panoplie de mécanismes fondés sur des politiques appuie actuellement le dialogue entre le Commissaire à la protection de la vie privée et les organismes publics fédéraux dans le cadre de l’étude de nouvelles initiatives, ni la Loi ni les instruments de politique connexes ne reconnaissent un mécanisme grâce auquel la compatibilité présumée aux exigences législatives pourrait être confirmée au préalable par le Commissaire à la protection de la vie privée. Des limitations et des mises en garde seraient importantes, notamment la capacité continue d’un individu de déposer une plainte et la surveillance ultime des tribunaux, mais la Loi pourrait autoriser les organismes publics fédéraux à tenir avec le Commissaire à la protection de la vie privée des discussions plus collaboratives visant à assurer la conformité. Le Royaume-Uni a mis en œuvre un mécanisme de bac à sable qui pourrait servir de modèle.

Accroître la transparence des enquêtes relatives aux plaintes et les pouvoirs de surveillance : Pour aider tous les organismes publics fédéraux à apprendre des expériences vécues par certains d’entre eux, le Commissaire à la protection de la vie privée pourrait se voir accorder le pouvoir de communiquer plus d’information dans l’intérêt public. Le pouvoir discrétionnaire serait complété par une directive législative visant la publication d’avis préalables, de décisions se rapportant au traitement des demandes d’accès à l’information et des conclusions d’enquêtes relatives à une plainte, y compris les décisions de refuser de mener une enquête, les rapports définitifs et les ordonnances et les accords de conformité. Ce nouveau pouvoir pourrait être assujetti à l’obligation actuelle du Commissaire à la protection de la vie privée de protéger la confidentialité de certaines catégories de renseignements de nature délicate qui ne peuvent pas être communiqués en application de la Loi (p. ex. l’article 65) et pourrait comprendre la protection des renseignements personnels d’un plaignant.

Favoriser la transparence des procédures du commissariat à la protection de la vie privée : De nouvelles dispositions pourraient être ajoutées à la Loi sur la protection des renseignements personnels afin de clarifier le pouvoir du Commissaire à la protection de la vie privée de publier de l’information concernant la façon dont il exercera les pouvoirs d’application aux termes de la Loi. Ces dispositions permettraient d’assurer la transparence et l’uniformité des processus et des procédures qui orientent l’exercice des pouvoirs de surveillance du Commissaire à la protection de la vie privée.

4.3 Habiliter le Commissaire à la protection de la vie privée en lui accordant des pouvoirs accrus

La discussion qui suit explore en quoi les nouveaux pouvoirs de surveillance complètent et maintiennent les forces du modèle de surveillance existant du Canada. Bon nombre de ces idées visent à harmoniser les pouvoirs du Commissaire à la protection de la vie privée relatifs au secteur privé à ceux du secteur public ainsi qu’avec ceux de la Commissaire à l’information.

Faciliter un dialogue préliminaire pour prévenir les problèmes : De nombreuses mesures de transparence envisagées ci-dessus faciliteraient la publication proactive d’information sur les pratiques en matière de renseignements personnels des organismes publics fédéraux. Cette information pourrait être accessible par le public et le Commissaire à la protection de la vie privée pour favoriser un dialogue utile entre les organismes publics fédéraux et le Commissaire à la protection de la vie privée dans un contexte autre qu’une enquête relative à une plainte ou à un processus d’audit. Toutefois, il serait important de veiller à ce que les organismes publics fédéraux soient appuyés dans leurs efforts visant à être transparents et responsables de façon proactive plutôt que de subir un préjudice si des enjeux relatifs à la conformité étaient relevés.

Maintenir la résolution informelle des plaintes : Des expériences vécues par d’autres administrations indiquent que la résolution informelle des plaintes, y compris la médiation, peut être combinée à des pouvoirs accrus en matière d’application de la loi d’une façon qui protège un processus décisionnel équitable pour toutes les parties. Les processus existants de résolution informelle des plaintes du Commissaire à la protection de la vie privée pourraient être maintenus et confirmés officiellement dans la Loi.

Accorder un nouveau pouvoir pour refuser une enquête ou y mettre fin : Pour accroître l’efficacité du rôle de surveillance du Commissaire à la protection de la vie privée et affecter les ressources limitées aux enjeux de conformité systémiques ou ayant des répercussions importantes, le Commissaire à la protection de la vie privée pourrait se voir accorder un nouveau pouvoir discrétionnaire de refuser de mener une enquête relative à une plainte ou de mettre fin à une enquête en cours. Le Commissaire à la protection de la vie privée pourrait se voir accorder le pouvoir discrétionnaire de refuser de mener une enquête relative à une plainte dans un certain nombre de cas, y compris si une plainte est vexatoire, frivole ou faite de mauvaise foi, ou si le Commissaire à la protection de la vie privée juge qu’une enquête n’est pas nécessaire, y compris les cas où une plainte a déjà fait l’objet d’une enquête ou d’un rapport du commissaire.

Accorder un nouveau pouvoir pour approuver les demandes de refus de traiter une demande d’accès aux renseignements personnels : Conformément aux nouvelles dispositions récemment ajoutées à la Loi sur l’accès à l’information, les organismes publics fédéraux pourraient être autorisés à refuser de traiter certaines demandes d’accès à l’information faite en application de la Loi sur la protection des renseignements personnels si le Commissaire à la protection de la vie privée donne son autorisation. Cela permettrait aux organismes publics fédéraux d’affecter des ressources à d’autres tâches que le traitement de demandes vexatoires ou abusives.

Faciliter la collaboration avec d’autres organismes de surveillance : La Loi sur la protection des renseignements personnels pourrait être modifiée afin d’accorder au Commissaire à la protection de la vie privée le pouvoir discrétionnaire de communiquer de l’information au sujet de plaintes et de mesures d’application de la loi à divers autres organismes de surveillance fédéral, provinciaux et internationaux œuvrant dans des domaines connexes. Les dispositions de la Loi sur la protection des renseignements personnels et des documents électroniques qui facilitent la communication d’information à des organismes publics assumant des fonctions et des tâches similaires serviraient de modèle.

Obliger le Commissaire à la protection de la vie privée à consulter d’autres organismes de surveillance concernés : La Loi pourrait être modifiée pour veiller à ce que le Commissaire à la protection de la vie privée tienne compte du point de vue et de l’expertise d’autres organismes de surveillance concernés avant de clore une enquête. Avant de communiquer ses conclusions relativement à une plainte visant des organismes publics fédéraux régis par d’autres organismes de surveillance, comme ceux supervisant les activités des organismes d’application de la loi ou de sécurité nationale, le Commissaire à la protection de la vie privée pourrait être tenu de consulter les autres organismes de surveillance pour assurer une approche cohérente à la surveillance de ces organismes publics fédéraux et pour minimiser le dédoublement des efforts en matière de réglementation.

Instaurer un pouvoir permettant de conclure des accords de conformité contraignants et exécutoires : Le Commissaire à la protection de la vie privée pourrait être autorisé à conclure des accords de conformité contraignants avec des organismes publics fédéraux. Les dispositions de ces accords pourraient être fondées sur les mêmes pouvoirs que ceux accordés par la Loi sur la protection des renseignements personnels et des documents électroniques, qui permettent aux organisations du secteur privé de conclure des accords de conformité. Cela pourrait donner au Commissaire à la protection de la vie privée un nouvel outil puissant pour traiter en collaboration avec les organismes publics fédéraux les plaintes soulevant des enjeux relatifs aux politiques publiques dont la complexité sur les plans juridique, technologique et opérationnel est importante. Cette collaboration mènerait à la conclusion d’un accord de conformité contraignant et exécutoire. Il serait possible de donner suite aux préoccupations concernant le caractère opportun de la conclusion d’accords grâce à des dispositions soutenant des incitatifs pertinents visant à créer une mobilisation importante, notamment des délais de prescription, des exigences relatives à la preuve et un fardeau de la preuve approprié dans le cadre des instances juridiques subséquentes si le processus échoue.

Accorder des pouvoirs exécutoires pour les plaintes relatives à l’accès aux renseignements personnels : Au cours du dernier exercice, environ 85 % des enquêtes relatives à une plainte menées par le Commissaire à la protection de la vie privée portaient sur des enjeux vécus par des individus qui tentaient d’accéder à leurs renseignements personnels. Étant donné les liens législatifs étroits entre les demandes d’accès à l’information présentées en application de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information, la nature des enjeux relatifs à l’accès et leur importance pour les individus, la Loi sur la protection des renseignements personnels pourrait être modifiée afin d’accorder au Commissaire à la protection de la vie privée les mêmes pouvoirs d’imposer des ordonnances que ceux dont jouit la Commissaire à l’information pour régler les plaintes relatives à l’accès à l’information en application de la Loi sur l’accès à l’information. Comme la Commissaire à l’information, le Commissaire à la protection de la vie privée pourrait avoir le pouvoir d’imposer des ordonnances dans les cas où les plaintes relatives à l’accès à l’information n’ont pas pu être réglées par des moyens plus informels. Les parties ayant déposé une plainte relative à l’accès à l’information disposeraient de 30 jours pour contester devant la Cour fédérale l’ordonnance du Commissaire à la protection de la vie privée. Une fois ce délai passé, l’ordonnance du Commissaire à la protection de la vie privée entrerait en vigueur, et l’organisme public fédéral répondant serait légalement tenu de se conformer à ses modalités.

Cette approche accorderait au Commissaire à la protection de la vie privée le pouvoir d’imposer des ordonnances contraignantes se rapportant à la grande majorité des plaintes qu’il reçoit. Elle respecterait les importantes interactions législatives entre la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels en ce qui a trait aux enjeux relatifs à l’accès à l’information et favoriserait l’uniformité de la surveillance. Aucun changement particulièrement coûteux ou perturbateur ne devrait être apporté aux processus existants du Commissaire à la protection de la vie privée. Les mêmes pouvoirs d’enquête et procédures d’établissement de rapports pourraient être maintenus et accrus grâce au nouveau pouvoir du commissaire d’imposer une ordonnance dans un rapport d’enquête lorsque les circonstances le justifient. L’accès à la justice pour les individus serait concrètement amélioré, et les individus ne seraient pas au départ tenus de porter eux-mêmes leurs plaintes devant un tribunal. Les ordonnances du Commissaire à la protection de la vie privée seraient contraignantes et exécutoires pour les organismes publics fédéraux, et les commissaires à l’information et à la protection de la vie privée pourraient collaborer sans difficulté dans les mêmes cadres d’application de la loi dans lesquels les mandats législatifs se chevauchent.

Élargir considérablement la portée des pouvoirs d’examen actuels de la Cour fédérale : En ce qui a trait aux questions qui n’ont pas pu être réglées au moyen des nouveaux pouvoirs d’application de la loi, la portée du pouvoir actuelle de la Cour fédérale pour mener de nouveaux examens serait élargie pour tenir compte des plaintes liées à la collecte, à l’utilisation, à la communication, à la conservation ou à la protection des renseignements personnels. Pour les raisons établies dans un document de consultation technique intitulé Un cadre de conformité moderne et efficace doté de mécanismes d’application améliorés, très peu de questions sont susceptibles d’atteindre ce point de l’échelle d’application de la loi sous considération. En ce qui concerne les questions qui atteindraient ce point, un processus décisionnel public dirigé et orienté grâce à l’expertise du commissaire à la protection à la vie privée, dont les résultats sont en grande partie contraignants, pourrait être particulièrement avantageux pour le système dans son ensemble. Le maintien de la nature nouvelle des pouvoirs d’examen de la Cour fédérale assurerait un solide accès à la justice. Cette caractéristique permet au Commissaire à la protection de la vie privée de continuer d’agir comme défenseur des plaignants et de faire valoir plus efficacement leurs plaintes en leur nom. À mesure que de l’expérience est acquise relativement à la Loi sur la protection des renseignements personnels modernisée à fond et que le système gagne en maturité, on pourrait envisager de remplacer ce processus par d’autres approches administratives si des preuves appuient clairement la nécessité d’adopter de telles approches.

Aborder l’application de la Loi sur la protection des renseignements personnels au Commissaire à la protection de la vie privée : Le Commissaire à la protection de la vie privée est assujetti à la Loi sur la protection des renseignements personnels. Cela suscite des complexités, en particulier en ce qui a trait à l’application de la loi. Par exemple, un individu doit déposer une plainte concernant les pratiques du Commissaire à la protection de la vie privée auprès du commissaire lui-même. À ce jour, cette situation a été réglée par le Commissaire à la protection de la vie privée grâce à la création d’un poste de Commissaire à la protection de la vie privée spécial à qui les fonctions d’enquête et de rédaction de rapport sont déléguées. De nouveaux pouvoirs d’application de la loi et de nouvelles fonctions décisionnelles peuvent menacer la faisabilité continue de cette approche. La Loi sur la protection des renseignements personnels pourrait reconnaître officiellement un Commissaire à la protection de la vie privée spécial, et dans les cas où une plainte n’a pas pu être réglée dans le cadre d’une négociation avec le Commissaire à la protection de la vie privée, ou si un plaignant n’est pas satisfait des résultats, des recours, comme ceux qui pourraient contraindre les organismes publics fédéraux, sont offerts aux plaignants si leurs plaintes visent le Commissaire à la protection de la vie privée. Une autre possible option serait de nommer un seul titulaire de charge publique en mesure de surveiller la conformité à la Loi sur l’accès à l’information de la Commissaire à l’information et à la Loi sur la protection des renseignements personnels du Commissaire à la protection de la vie privée.

Créer de nouvelles infractions pour empêcher les violations graves de la Loi : Certaines administrations ont créé des infractions pour lutter contre le « fouinage » des employés dans les dossiers gouvernementaux et pour empêcher les tentatives non autorisées de rétablir les références personnelles qui ont été supprimées afin de protéger la vie privée des individus. Des mesures similaires pourraient être ajoutées à la Loi sur la protection des renseignements personnels.

Annexe 5 : Glossaire

« Bac à sable réglementaire »
signifie un environnement contrôlé et supervisé dans lequel des modèles, des structures ou des processus organisationnels particulièrement nouveaux peuvent être mis à l’essai afin de déterminer leur compatibilité aux exigences législatives en collaboration avec une autorité de réglementation qui ne se trouve pas dans un environnement de conformité judiciaire ou coercitif.
« Bureau du contrôleur général »
s’entend du bureau responsable de soutenir le contrôleur général du Canada, qui est un agent du Parlement nommé par la gouverneure en conseil et qui fournit à l’échelle du gouvernement fédéral une orientation fonctionnelle et une assurance relative à la gestion financière, aux audits internes, à la planification des investissements, à l’approvisionnement, à la gestion des projets et à la gestion des biens immobiliers et du matériel.
« Cadre de protection de la vie privée de l’APEC »
se rapporte aux principes et aux lignes directrices en matière de mise en œuvre établis par le Forum de coopération économique Asie-Pacifique (APEC) pour protéger les renseignements personnels et permettre les transferts régionaux de renseignements personnels et le commerce électronique dans la région de l’Asie-Pacifique.
« Charte canadienne des droits et libertés »
s’entend de la Charte canadienne des droits et libertés, partie 1 de la Loi constitutionnelle de 1982, édictée comme l’annexe B de la Loi de 1982 sur le Canada (R.-U.), 1982, ch. 11, qui protège les libertés et les droits fondamentaux des Canadiens.
« Commissaire à la protection de la vie privée », ou « le commissaire »
s’entend du Commissaire à la protection de la vie privée du Canada, qui est l’agent du Parlement nommé par la gouverneure en conseil pour surveiller le respect de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et des documents électroniques.
« Commissariat à la protection de la vie privée du Canada »
s’entend du bureau responsable de soutenir le Commissaire à la protection de la vie privée du Canada, qui est un agent du Parlement nommé par la gouverneure en conseil pour surveiller le respect de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et des documents électroniques.
« Comité ETHI »
s’entend du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, qui étudie les questions liées au Commissariat à l’information du Canada, au Commissariat à la protection de la vie privée du Canada et au Commissariat au lobbying du Canada ainsi que certains enjeux liés au Commissariat aux conflits d’intérêts et à l’éthique.
« Convention no 108 »
s’entend de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE no 108), un instrument international juridiquement contraignant adopté par le Conseil de l’Europe en janvier 1981. En mai 2018, le Conseil de l’Europe a adopté la Convention modernisée pour la protection des personnes à l’égard du traitement des données à caractère personnel, qui propose certaines modifications à la Convention no 108.
« Consultation technique ciblée »
se rapporte à la discussion initiale entreprise en juin 2019 par Justice Canada avec des experts de la protection des renseignements personnels, des données et du numérique et certains intervenants du gouvernement concernant diverses considérations d’ordre technique et juridique en vue de la modernisation de la Loi sur la protection des renseignements personnels.
« Évaluation des facteurs relatifs à la vie privée »
(EFVP) s’entend d’une analyse officielle visant à cerner et à atténuer les risques en matière de protection des renseignements personnels d’une organisation.
« Intégration des données »
signifie la comparaison, la combinaison ou le regroupement de multiples ensembles de données pour faciliter l’utilisation de ces données dans l’intérêt public.
« Interopérabilité »
de la loi signifie la compatibilité, si cela le justifie, de la législation de différentes administrations.
« Lignes directrices de l’OCDE »
s’entend des lignes directrices révisées de l’Organisation de coopération et de développement économique (OCDE) régissant la protection des renseignements personnels et le flux transfrontalier de données à caractère personnel (2013). Publié initialement en 1980, l’énoncé des principaux principes de protection des renseignements personnels de l’OCDE a servi de fondement aux instruments nationaux et internationaux en matière de protection de renseignements personnels. Les lignes directrices révisées ont été publiées en 2013.
« Loi sur l’accès à l’information »
s’entend de la Loi sur l’accès à l’information, L.R.C. (1985), ch. A-1, une loi fédérale qui accorde aux citoyens canadiens, aux résidents permanents et à toute personne ou société au Canada le droit d’accéder aux documents des institutions fédérales assujetties à la Loi.
« Loi sur la protection des renseignements personnels »
s’entend de la Loi sur la protection des renseignements personnels, L.R.C (1985), ch. P-21, qui régit la collecte, l’utilisation et la communication de renseignements personnels par les organismes publics fédéraux au Canada. Elle établit également le Commissariat à la protection de la vie privée.
« Loi sur la protection des renseignements personnels et des documents électroniques »
s’entend de la partie 1 de la Loi sur la protection des renseignements personnels et sur les documents électroniques, L.C. (2000), ch. 5, une loi fédérale qui régit la collecte, l’utilisation et la communication de renseignements personnels par les organisations du secteur privé au Canada dans le cadre de leurs activités commerciales.
« Loi sur les élections »
s’entend de la Loi sur les élections du Canada, L.C. (2000), ch. 9, une loi fédérale qui régit les élections fédérales au Canada.
« OCDE »
s’entend de l’Organisation de coopération et de développement économique, une organisation internationale qui établit des normes et des politiques internationales relatives à divers sujets sociaux, économiques et environnementaux.
« Programme de gestion des renseignements personnels »
s’entend d’un plan organisationnel individualisé visant à protéger les renseignements personnels conformément aux exigences législatives.
« Protection des renseignements personnels dès la conception »
se rapporte au concept de planification et de mise en œuvre de la protection des renseignements personnels à l’étape de la conception d’une initiative, d’un programme ou d’un service.
« Quasi constitutionnel »
s’entend d’un principe juridique selon lequel les droits accordés par une loi doivent être interprétés de façon générale et les exceptions à ces droits doivent être clairement énoncées dans la loi.
« Règlement général sur la protection des données »
(RGPD) s’entend du Règlement général sur la protection des données (UE) 2016/679 pris par le Parlement et le Conseil de l’Europe le 27 avril 2016. Le Règlement porte sur la protection de personnes physiques à l’égard du traitement des données à caractère personnel et sur la libre communication de ces données. Il abroge la Directive 95/46/CE, qui régit le traitement des renseignements personnels d’un individu par une autre personne, entreprise ou organisation au sein de l’Union européenne.
« Renseignements personnels anonymisés »
s’entend de renseignements personnels qui ont été modifiés de sorte qu’ils ne peuvent plus être associés à un individu en particulier sans utiliser de renseignements supplémentaires.
« Secrétariat du Conseil du Trésor »
s’entent du Secrétariat du Conseil du Trésor du Canada, qui est l’organe administratif du Conseil du Trésor responsable de formuler des conseils et des recommandations concernant la gestion du gouvernement des questions relatives à la responsabilisation, à l’éthique, aux finances, à l’administration, au personnel et au contrôle et l’approbation de la réglementation et de la plupart des décrets en conseil.
« Usage compatible »
signifie l’usage de renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis dans la mesure où cet usage supplémentaire est compatible avec l’usage initial.