Moderniser la Loi sur la protection des renseignements personnels : Rapport sur ce que nous avons entendu
Engagement technique préliminaire de Justice Canada sur la modernisation de la Loi sur la protection des renseignements personnels
Été et automne 2019
Faits saillants
Le ministère de la Justice a reçu des contributions de plusieurs intervenants, dont le Commissariat à la protection de la vie privée du Canada (CPVP), le Commissariat à l’information du Canada, l’Association du Barreau canadien (ABC), différents ministères et organismes du gouvernement du Canada, des organisations autochtones ayant une expertise en gestion de données et en recherche relative aux revendications, de même que des experts internationaux. Étant donné la diversité des intervenants et leurs perspectives uniques, les observations reçues portaient sur des aspects très variés. Cependant, un certain nombre de thèmes et de points communs sont ressortis du lot – et sont traités ci-dessous.
Adoption d’une approche fondée sur des principes
L’idée d’ajouter à la Loi des principes de PRP a été largement soutenue. Les principes sont vues comme un moyen d’apporter une souplesse accrue, compte tenu de l’évolution des technologies et du fait que les mandats respectifs des ministères et organismes du gouvernement du Canada peuvent parfois changer. Bon nombre d’intervenants, y compris des représentants d’institutions fédérales, ont généralement convenu que l’ajout de principes à la Loi pourrait encourager l’utilisation innovatrice des renseignements personnels dans l’intérêt public, tout en assurant la gestion et le traitement responsables de ceux-ci. Selon une des observations qui sont ressorties de la discussion, la Loi devrait déterminer les principes fondamentaux du traitement des renseignements personnels, y compris concernant leur collecte, leur utilisation et leur communication, plutôt que de dicter les moyens que les institutions doivent prendre pour atteindre un certain résultat. Plus particulièrement, le CPVP a affirmé qu’il faudra éviter que l’intégration de principes vienne causer des difficultés d’interprétation, comme c’est le cas avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale de PRP qui s’applique au secteur privé. Le Commissariat à l’information du Canada ne s’est pas prononcé sur la pertinence générale d’adopter des principes de PRP. Il a cependant estimé qu’il pourrait être plus utile d’établir deux critères d’évaluation spécifiques : d’une part, un critère d’évaluation des atteintes à la vie privée, pour déterminer les cas où la communication de certains renseignements personnels pourrait être justifiée; et d’autre part, un critère de communication pour des raisons de compassion, qui servirait de guide pour la communication de renseignements personnels à un proche d’une personne décédée, lorsqu’un intérêt public plus large à la communication ne pourrait être identifié.
Principes particuliers à prévoir
Bon nombre d’observations étaient axées sur la nature particulière des principes qui pourraient être enchâssés dans une version modernisée de la Loi sur la protection des renseignements personnels. Le CPVP était d’avis que la Loi devrait généralement établir un équilibre entre le droit des individus à la vie privée et la nécessité pour le gouvernement de recueillir, utiliser et communiquer des renseignements personnels. Plus particulièrement, il s’est montré favorable à une approche qui garantirait que les institutions fédérales traitent les renseignements personnels de façon équitable, proportionnée, transparente, responsable et légalement appropriée, et ce, dans le respect des droits et libertés fondamentaux de la personne. D’autres intervenants, dont certains représentants d’institutions fédérales, ont soutenu l’idée d’inclure un principe qui permettrait aux institutions fédérales d’utiliser des renseignements personnels pour certaines activités qui serviraient l’intérêt public. Le Commissariat à l’information a fait remarquer que l’éventuel ajout d’obligations de communication proactive, destinées à mettre en Å“uvre un nouveau principe axé sur l’accessibilité et la transparence, ne doit pas se faire au détriment du droit d’accès aux renseignements pour les Canadiens, prévu à la Loi sur l’accès à l’information.
Mesures pour favoriser la souplesse et l’innovation
Les représentants d’institutions fédérales ont aussi été nombreux à mentionner qu’il serait utile de leur donner plus de latitude dans la façon de respecter les dispositions de la Loi, pour permettre au gouvernement de mieux exploiter le potentiel des données qu’il détient. Les représentants d’institutions fédérales ont souligné l’importance grandissante de fournir des services modernes et améliorés à la population canadienne, notamment en ce qui concerne l’analyse, la recherche et l’évaluation en matière de politiques publiques. Selon eux, une version modernisée de la LPRP devrait expressément reconnaître ces usages, tout en étant assortis de freins et contrepoids appropriés et en accordant aux individus un pouvoir de contrôle accru à l’égard de leurs renseignements personnels.
Bon nombre d’institutions fédérales ont en outre soutenu l’intégration d’un principe d’évaluation du caractère « raisonnable et proportionné », qui régirait tous les cas de collecte, d’utilisation et de communication de renseignements personnels. Certains ont reconnu que ce principe ne respecterait peut-être pas le principe plus restreint du caractère « nécessaire et proportionné », mieux reconnu à l’échelle internationale, et qu’il pourrait donner lieu à un risque d’élargissement de la portée de certains programmes. Il serait donc nécessaire de prévoir des mécanismes de transparence obligatoires pour permettre au public de savoir comment – et par qui – leurs renseignements sont utilisés.
De façon générale, le principal élément à retenir des réponses reçues est qu’il faudrait réfléchir de façon plus approfondie aux principes particuliers que comporterait la Loi, et se demander plus précisément comment ces principes interagiraient avec les autres dispositions de la Loi.
Adaptabilité de la Loi aux futures réalités
Parmi les autres thèmes récurrents, il y avait l’importance de veiller à ce que la Loi puisse s’adapter aux futures réalités, étant donné l’évolution rapide de la technologie. Plusieurs ont souligné que la Loi doit demeurer sans parti pris technologique (ou « technologiquement neutre »), et ce, en évitant de référer trop précisément à certains types de technologie. Plus particulièrement, le CPVP était d’avis que la Loi devrait intégrer des principes globaux de neutralité technologique laissant aux institutions une certaine latitude par rapport aux enjeux émergents en matière de protection des renseignements personnels. Selon le CPVP, ces principes devraient s’accompagner d’un ensemble de droits fondamentaux visant à protéger la vie privée des individus, de règles améliorées pour les institutions fédérales et de mécanismes d’application de la loi plus musclés pour le Commissaire à la protection de la vie privée.
Protections des renseignements personnels conformes aux attentes du public en matière de prestation de services
Bon nombre de représentants d’institutions fédérales, de même que l’ABC, ont souligné que les institutions fédérales ont de plus en plus besoin de s’adapter à l’évolution des attentes du public canadien, qui souhaite que les services gouvernementaux soient fournis de façon plus efficace et conviviale. Certains représentants d’institutions fédérales ont fait état d’une frustration grandissante du public par rapport à la nécessité de fournir les mêmes renseignements à plusieurs ministères et organismes différents, qu’ils soient fédéraux, provinciaux ou territoriaux. Ils étaient donc d’avis qu’une Loi modernisée devrait tenir compte des attentes de la population canadienne, non seulement en matière de PRP, mais aussi en ce qui a trait à la façon d’obtenir des services gouvernementaux.
Enchâssement de règles nouvelles ou mises à jour
Un autre thème clé concernait l’ajout d’obligations particulières dans la Loi, de façon à ce qu’elle soit mieux harmonisée avec les autres lois et instruments juridiques sur la protection des renseignements personnels au Canada et ailleurs. Il y avait un consensus sur le fait que la LPRP devrait imposer des obligations accrues aux institutions fédérales, notamment : i) en les obligeant à préciser les fins pour lesquelles elles recueillent les renseignements personnels; ii) en établissant un seuil de nécessité pour la collecte de renseignements personnels; iii) en ajoutant une obligation « technologiquement neutre » de sécuriser les renseignements personnels; iv) en ajoutant une exigence de prise en compte des considérations relatives à la PRP lors de la conception des programmes et activités gouvernementaux; et v) en ajoutant une obligation d’informer la personne concernée et le CPVP de certaines atteintes à la protection des renseignements personnels.
Mise à jour du seuil justifiant la collecte de renseignements personnels
Certains intervenants ont indiqué que le seuil justifiant la collecte de renseignements personnels au titre de la Loi devrait être lié au mandat particulier et aux fonctions sous-jacentes de l’institution fédérale, plutôt qu’à ses programmes et activités. Selon le CPVP, la collecte de renseignements personnels par des institutions fédérales devrait être régie par un critère de nécessité et de proportionnalité. Les représentants de certaines institutions fédérales ont certes reconnu qu’un consensus international semblait se dessiner quant au fait de pouvoir démontrer la nécessité de recueillir des renseignements personnels, mais beaucoup estimaient que le Canada devrait faire attention de ne pas créer de nouveaux obstacles empêchant les institutions d’utiliser les efficacement les renseignements. D’autres ont affirmé que le fait d’aligner le seuil de collecte au critère internationalement reconnu de nécessité pourrait s’avérer trop restrictif et avoir des effets imprévus sur les activités gouvernementales.
Atteintes à la protection des renseignements personnels
Les responsables d’institutions fédérales ont généralement convenu qu’ils devraient se montrer transparents et se responsabiliser relativement aux atteintes à la PRP. Ils ont ajouté, qu’il conviendrait de préciser les critères de notification de ces atteintes, et d’établir des politiques et des directives pour aider les institutions fédérales à comprendre les différents types d’atteinte et les façons d’y répondre.
Mise à jour des règles de conservation des renseignements personnels
Le CPVP a recommandé que la Loi n’exige la conservation des renseignements personnels que pendant la période où ils demeurent directement liés aux fins pour lesquelles ils ont été recueillis et qu’il est possible de démontrer qu’ils restent nécessaires pour ces fins, tout en laissant aux individus un délai raisonnable pour accéder à ces renseignements afin de comprendre, et éventuellement de contester, le fondement d’une décision. Cependant, dans une perspective gouvernementale, il a été mentionné que les règles de conservation des renseignements personnels devraient être modifiées de façon à permettre la destruction immédiate de données qui pourraient porter atteinte à la sécurité nationale, dès qu’elles ne sont plus nécessaires.
Autres concepts
Enfin, certains représentants d’institutions fédérales ont fait remarquer que certains concepts de protection des renseignements personnels conviennent peut-être davantage au secteur privé, notamment la notion de consentement ou les concepts tels que le « droit à l’oubli ». D’autres ont mentionné que les institutions devraient disposer de soutien et de lignes directrices en ce qui concerne l’analyse des données et le recours à l’intelligence artificielle, dans un contexte impliquant la collecte, l’utilisation ou la communication de renseignements personnels.
Clarification des concepts
Définition de « renseignements personnels »
Certains intervenants, dont le CPVP et l’ABC, étaient d’avis que la définition de « renseignements personnels » devrait être modifiée pour inclure des renseignements qui ne sont pas « consignés », par exemple du contenu vidéo diffusé en direct. De plus, le CPVP et le Commissariat à l’information s’entendaient pour dire que la Loi devrait inclure une définition d’« identifiabilité », selon les paramètres établis par la Cour fédérale dans le l’affaire Gordon c. Canada (Santé)Note de bas de page 1; le Commissariat à l’information a ajouté que le critère énoncé dans l’affaire Gordon c. Canada (Santé) – à savoir que les renseignements concernent un individu identifiable lorsqu’il y a de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources – ne fonctionne pas dans tous les contextes et tous les cas de figure. Cependant, certains représentants d’institutions fédérales ont signalé qu’une définition trop large des renseignements personnels pourrait avoir des effets importants sur la sécurité nationale et les activités d’application de la loi.
Définition des métadonnées
Certains ont proposé de définir les métadonnées dans la Loi, mais d’autres ont soulevé des préoccupations quant à l’idée d’y inclure une définition globale des métadonnées, qu’ils ne considèrent pas nécessairement comme des renseignements personnels dans la mesure où elles sont liées en grande partie aux opérations techniques de télécommunication. Le CPVP et l’ABC estimaient que la Loi ne devrait pas définir précisément les métadonnées, et que toute question problématique de PRP liée aux métadonnées pourrait plutôt être résolue par le biais de la mise à jour de la définition de renseignements personnels.
Consentement dans le contexte du secteur public
Bon nombre d’intervenants se sont prononcés sur le rôle et la signification du consentement au sein de la LPRP. Certains jugeaient nécessaire de renforcer l’élément de consentement en tant que fondement permettant aux institutions fédérales d’utiliser ou de communiquer des renseignements personnels, alors que d’autres, notamment des experts internationaux, estimaient que le consentement ne constituait habituellement pas un fondement adéquat pour le traitement de renseignements personnels dans le contexte du secteur public. Certains représentants d’institutions fédérales ainsi que l’ABC ont proposé que le consentement soit défini de la même façon que dans d’autres ressorts. Par exemple, dans le Règlement général sur la protection des données (RGPD) de l’Union européenne, entré en vigueur en 2019, le « consentement » est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Le CPVP a reconnu que le consentement soulevait des difficultés et des défis pratiques dans le contexte du gouvernement fédéral. Selon lui, pour compenser l’absence de consentement de la plupart des citoyens qui reçoivent des services gouvernementaux, la Loi pourrait imposer une obligation de nécessité et de proportionnalité, en plus de faire l’objet d’autres modifications visant à renforcer son efficacité (ex. : amélioration de la transparence, clarification des choix offerts lorsque c’est possible, et renforcement des pouvoirs du CPVP en matière d’application de la loi et de comptes rendus).
Certains intervenants bien au fait des expériences des peuples Autochtones ont aussi exprimé l’idée que le consentement devrait être « préalable, donné librement et en connaissance de cause », et donc que le consentement fourni en vue de l’utilisation ou de la communication de renseignements à des fins secondaires ou inconnues pourrait être sans valeur.
Renseignements personnels accessibles au public
Un certain nombre d’intervenants ont transmis des observations quant à savoir si la LPRP devrait définir ce qui constitue des « renseignements personnels auxquels le public a accès ». Le CPVP était d’avis que la Loi devrait en donner une définition qui tient compte du contexte, de l’attente raisonnable en matière de vie privée, du degré d’accessibilité de l’information, y compris au regard des nouvelles technologies, et des obligations qu’ont les organisations qui en font la collecte d’en assurer l’exactitude, la non-obsolescence et le caractère complet. Le Commissariat à l’information et un certain nombre de représentants d’institutions fédérales estimaient que la définition des renseignements personnels « auxquels le public a accès » devrait représenter un juste équilibre entre la protection des renseignements personnels et le droit d’accès aux documents gouvernementaux. Certains représentants d’institutions fédérales ainsi que l’ABC ont mentionné un certain nombre d’éléments pertinents à prendre en compte pour élaborer un cadre moderne concernant les renseignements personnels auxquels le public a accès. Parmi ces éléments, il y avait la question de savoir s’il conviendrait qu’une institution en particulier recueille ce genre de renseignements en fonction de son mandat, la façon dont ils ont été rendus accessibles au public, et les mécanismes de transparence qu’il faudrait prévoir lorsqu’une institution recueille, utilise ou communique des renseignements personnels auxquels le public a accès.
D’autres représentants d’institutions fédérales ont soutenu que les récentes modifications à la Loi sur le Service canadien du renseignement de sécurité et à la Loi sur le Centre de la sécurité des télécommunications qui traitent des renseignements personnels accessibles au public pourraient représenter des éléments de comparaison utiles, et que certaines institutions ont besoin d’utiliser des données de source ouverte aux fins d’enquête. Certains intervenants étaient d’avis que la communication de renseignements personnels devrait être permise dans l’intérêt public lorsque ces renseignements sont publics et qu’il n’existe pas d’attente raisonnable en matière de vie privée à leur égard.
Clarification concernant les « usages compatibles »
Un certain nombre de représentants d’institutions fédérales et d’intervenants autochtones, ainsi que l’ABC, ont proposé de clarifier le concept d’« usage compatible ». Le CPVP était d’avis que la Loi devrait être modifiée de façon à inclure une définition d’« usage compatible » qui exigerait que l’usage en question ait un lien direct et raisonnable avec les fins auxquelles les renseignements personnels ont été recueillis au départ, et qui tiendrait compte des attentes raisonnables de la personne concernée. Certains représentants d’institutions fédérales ont toutefois soutenu qu’il serait préférable de définir les usages compatibles dans une politique, plutôt que dans la Loi.
Distinction entre les fins administratives et non administratives
Selon le CPVP et l’ABC, la Loi ne devrait plus faire de distinction entre les usages administratifs et non administratifs de renseignements personnels, étant donné les risques accrus pour la vie privée qui découlent des usages non administratifs en cette ère numérique. Par exemple, le CPVP a déterminé que les usages non administratifs liés notamment à la recherche, aux statistiques, à la vérification et à l’évaluation posent de plus en plus de risques pour la vie privée, et il a jugé particulièrement préoccupant que l’usage de renseignements personnels pour des activités de profilage et de ciblage puisse entraîner de la discrimination, de l’exclusion et de la marginalisation. Certains représentants d’institutions fédérales et certains intervenants autochtones ont aussi proposé de retirer de la Loi le concept de fins administratives. Ils estimaient que le fait qu’une décision soit prise concernant un individu spécifique ne constituait peut-être plus le meilleur indicateur pour déterminer les situations où la gamme complète de protections prévues par la Loi devraient s’appliquer, étant donné que les nouvelles technologies peuvent poser un risque pour la vie privée des individus, sans pour autant être visées par la définition d’usage à des fins administratives.
Renforcement de la responsabilisation et de la transparence
Un des principaux thèmes soulevés dans les contributions reçues concernait la nécessité de renforcer les mécanismes de responsabilisation et de transparence prévus par la Loi. Malgré l’appui général pour l’idée d’intégrer à la Loi des dispositions prévoyant des mécanismes rigoureux en la matière, l’ABC a fait remarquer que la responsabilisation et la transparence devraient être plus que des principes généraux et que la Loi devrait énoncer des exigences de base à leur égard.
Programmes de gestion de la protection des renseignements personnels et évaluation des facteurs relatifs à la vie privée
Selon le CPVP ainsi que bon nombre de représentants d’institutions fédérales et d’experts en protection des données, les institutions gouvernementales devraient être officiellement tenues de se doter de programmes de gestion de la protection des renseignements personnels. Cependant, beaucoup ont convenu qu’au moment de préciser ce que ce genre de programme devrait comporter, il vaudrait mieux recourir à une politique ou à des lignes directrices. Cela permettrait à chaque institution de choisir parmi un éventail d’outils recommandés, en fonction de ce qui convient le mieux à son contexte, à son mandat, à sa structure et à son cadre de fonctionnement.
Bon nombre d’intervenants ont aussi convenu que les institutions devraient avoir l’obligation officielle de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) pour les programmes ou activités nouveaux ou substantiellement modifiés qui impliquent des renseignements personnels. Le CPVP a ajouté que l’objet de l’EFVP devrait être l’incidence du programme ou de l’activité sur le droit à la vie privée, et que la Loi devrait : i) préciser dans quels cas une EFVP doit être réalisée et dans quels délais elle doit l’être; ii) exiger que le rapport d’EFVP soit présenté au CPVP; iii) obliger les institutions à informer le CPVP des mesures prévues pour atténuer les risques évalués; iv) permettre au CPVP de publier la liste des rapports d’EFVP qu’il reçoit.
Certains ont estimé que le CPVP devrait jouer un rôle accru relativement aux EFVP, affirmant qu’il devrait réviser l’ébauche des rapports d’EFVP pour faire ses observations, mais seulement dans le but d’exprimer son point de vue sur des problèmes de conformité potentiels, et non de fournir des instructions particulières sur ce qu’il faudrait faire pour assurer la conformité à la Loi. Les contributions en ce sens avaient tendance à souligner le fait que les institutions fédérales doivent conserver un pouvoir discrétionnaire quant à la façon de respecter les exigences de PRP tout en tenant compte des questions générales concernant la complexité des opérations et les considérations liées aux politiques. Des représentants d’institutions fédérales ont fait valoir que, pour atteindre son plein potentiel, l’EFVP devrait avoir une portée accrue : au lieu de se limiter à un « programme » ou à une « activité », l’évaluation devrait tenir compte du cycle complet de collecte, d’utilisation et d’administration des renseignements personnels par les institutions, de même que les effets sur le droit à la vie privée tout au long de ce cycle.
Cependant, certains représentants d’institutions fédérales ont soutenu que le fait d’obliger les institutions à effectuer des EFVP risquerait de leur demander beaucoup de temps et de représenter un lourd fardeau. Certains ont affirmé que l’imposition d’une telle obligation législative serait disproportionnée en ce qui concerne les renseignements personnels qui ne sont pas vraiment de nature délicate ou les activités qui ne portent pas atteinte à la vie privée de manière considérable. Ainsi, le seuil nécessitant la réalisation d’une EFVP devrait être sans équivoque et s’appliquer seulement aux situations justifiant l’examen des pratiques de gestion des renseignements personnels.
Ententes de partage de renseignements
Pour bon nombre d’institutions fédérales, l’amélioration de la transparence pourrait passer par l’intégration à la Loi de règles exigeant la conclusion d’ententes de partage de renseignements (EPR) avec les partenaires, qu’ils soient à l’intérieur ou à l’extérieur de l’institution, et la publication d’un avis de confidentialité au point de collecte, dans lequel l’institution indiquerait les utilisations prévues des renseignements personnels recueillis. Le CPVP a expressément recommandé d’exiger dans la Loi : i) que le partage régulier de renseignements personnels fondé sur la notion d’« usage compatible » fasse l’objet d’une EPR; ii) que le partage de renseignements personnels avec d’autres gouvernements au pays ou à l’étranger soit régi par une EPR écrite; iii) que les institutions se dotent d’EPR écrites et avisent le CPVP lorsqu’elles concluent de nouvelles EPR ou modifient celles qui existent déjà ; et iv) que les EPR soient publiées. Le CPVP a aussi recommandé de renforcer les exigences de déclaration sur les questions relatives à la protection des renseignements personnels, de même que les exigences particulières de transparence pour les demandes de communication pour des fins d’accès légal qui sont effectuées par des organismes impliqués dans l’application de la loi.
Certains représentants d’institutions fédérales ont affirmé que les EPR nationales devraient être traitées différemment des EPR internationales, pour les raisons suivantes : certaines EPR internationales pourraient être touchées par d’autres considérations juridiques internationales, telles que des dispositions d’accords commerciaux ou de traités; la négociation d’EPR internationales peut être complexe; les EPR internationales peuvent régir des échanges de renseignements de nature particulièrement délicate; et la nature de l’autorité juridique accordée au moyen d’une EPR peut varier selon les ressorts concernés. La plupart des représentants d’institutions fédérales s’entendaient pour dire que la question de la transparence des EPR devrait être envisagée avec prudence et qu’il ne serait peut-être pas faisable d’adopter une approche uniformisée pour l’ensemble des EPR à l’échelle du gouvernement.
Communication proactive de certains renseignements
Certains intervenants ont défendu l’idée d’ajouter l’obligation de fournir aux individus de l’information sur les pratiques de communication des renseignements personnels, de façon proactive et accessible, ainsi que l’obligation de réaliser à cet égard des examens et vérifications à l’interne, puis d’en publier les résultats. D’autres ont avancé que les institutions fédérales devraient clairement indiquer comment les individus peuvent assurer le respect de leur droit à la vie privée de façon opportune et accessible.
Droit des individus à accéder à leurs propres renseignements personnels
En vertu de la Loi sur la protection des renseignements personnels, les personnes qui n’ont ni la citoyenneté canadienne ni le statut de résident permanent ou qui ne sont pas physiquement présentes au Canada ne peuvent pas accéder à leurs renseignements personnels qui relèvent d’une institution du gouvernement fédéral. Certains intervenants ont traité de la question de l’élargissement de l’application du droit d’accès aux renseignements personnels à ces personnes. Le CPVP a recommandé que la Loi soit modifiée de façon à accorder des droits exécutoires en ce sens, qui permettraient à toute personne de demander et d’obtenir l’accès aux renseignements personnels qui la concernent et qui relèvent d’une institution du gouvernement fédéral canadien, ainsi que le droit de les faire corriger.
Bon nombre de représentants d’institutions fédérales ont exprimé leurs points de vue sur le sujet. Certains ont fait part des incidences opérationnelles qui pourraient en découler, alors que d’autres ont reconnu que certains changements administratifs pourraient être envisagés pour résoudre ces incidences, y compris les risques de dépassement de délai. Certains ont mentionné que, lorsque des individus demandent qu’on leur communiquer leurs renseignements personnels, il serait possible de leur fournir de l’information sur les façons dont ces renseignements sont traités et les raisons pour lesquelles ils le sont, afin de mieux contextualiser la réponse.
Les autres questions soulevées incluaient la nécessité d’ajouter à la LPRP une disposition sur le « refus d’agir », pour permettre aux institutions de demander au Commissaire à la protection de la vie privée de les autoriser à refuser de traiter les demandes d’accès aux renseignements personnels vexatoires ou empreintes de mauvaise foi – ce qui est comparable au pouvoir récemment accordé à la Commissaire à l’information du Canada.
Accent sur le respect proactif des exigences…
Le CPVP est vu comme un centre d’expertise sur les questions liées à la vie privée et à la gestion des renseignements personnels. Certains estimaient que pour atteindre les objectifs de la Loi, la prestation de conseils proactifs ou la prise de décisions anticipées seraient plus efficaces que d’attendre des avis de non-conformité de la part du CPVP. D’autres étaient d’avis que l’expertise du CPVP serait utile lorsque vient le temps de concevoir un nouveau programme ou une nouvelle activité, ou de préparer évaluation des facteurs relatifs à la vie privée, avant le lancement d’un programme ou d’une activité. Le CPVP pourrait ainsi donner de précieux conseils sur les implications relatives à la vie privée ou à la protection des renseignements personnels avant la mise en Å“uvre d’un nouveau programme, et ce, particulièrement lorsque de nouvelles technologies ou des renseignements personnels de nature plutôt délicate sont en cause.
Bon nombre de représentants d’institutions fédérales ainsi que l’ABC et des experts internationaux ont appuyé l’idée de fournir au CPVP des outils supplémentaires pour guider le public et les institutions fédérales sur les questions de PRP concernant le secteur public fédéral. Le CPVP a recommandé de modifier la Loi pour lui conférer le mandat clair de mener des activités de recherche, de sensibilisation et de diffusion, ce qui pourrait notamment comprendre le financement d’activités de recherche externes. Un certain nombre d’autres intervenants partageaient ce point de vue.
Le CPVP a formulé d’autres recommandations visant à favoriser la conformité à la Loi, et il s’est montré ouvert à envisager de nouveaux moyens d’interagir proactivement avec les institutions fédérales. Par exemple, il a recommandé d’énoncer explicitement son rôle de médiation dans la Loi, puisque cela contribuerait à inciter les institutions fédérales à résoudre les plaintes plus rapidement. Le CPVP était aussi ouvert à être habilité à rendre des décisions anticipées, à condition d’avoir le pouvoir discrétionnaire de déterminer dans quels cas ce type de décisions s’imposerait, de manière à assurer l’utilisation stratégique des ressources et à veiller à ce que la responsabilité des décisions relatives aux renseignements personnels continue d’incomber aux institutions fédérales.
… mais pouvoirs d’exécution renforcés au besoin
Le CPVP a recommandé d’apporter un certain nombre de modifications à la Loi afin de lui fournir de meilleurs outils d’exécution. Il a recommandé de s’éloigner du modèle actuel, où le Commissaire ne fait que formuler des recommandations, pour viser plutôt un modèle qui lui permettrait de rendre des ordonnances exécutoires relativement aux obligations prévues par la Loi et qui offrirait aux individus un recours judiciaire pour faire respecter la Loi. Le CPVP a aussi recommandé de modifier la Loi afin de lui accorder le pouvoir de conclure des accords de conformité avec des institutions lorsqu’il existe des motifs raisonnables de soupçonner une violation de la Loi, et pour habiliter la Cour fédérale à forcer l’exécution de ces accords. Bon nombre de représentants d’institutions fédérales étaient prêts à ce que le CPVP se voit accorder le pouvoir de rendre certains types d’ordonnances après une enquête, et certains ont soutenu que l’actuel mécanisme de plainte de la LPVP est inefficace et peut comporter de longs délais.
Des représentants d’institutions fédérales ont aussi soutenu que le principe d’équité procédurale exigerait une séparation nette entre les différentes sections du CPVP, responsables d’une part de l’administration du pouvoir de rendre des ordonnances, et d’autre part de l’émission d’orientations et de conseils proactifs aux institutions. D’autres intervenants, dont l’ABC, ont fait remarquer qui si le CPVP se voyait accorder le pouvoir de rendre des ordonnances, le modèle actuel devrait être changé en modèle juridictionnel. Cela exigerait des formalités supplémentaires et conférerait des droits procéduraux aux parties. Cela nécessiterait également que toutes les ordonnances puissent être soumises à un examen indépendant dans le cadre d’un processus de révision ou d’appel.
Répondre aux besoins des groupes autochtones
Certains intervenants se sont particulièrement attardés aux intérêts des populations autochtones et aux façons d’en tenir compte au moment de moderniser la Loi. Ils ont exprimé des préoccupations par rapport à la définition de « gouvernement autochtone » énoncée dans la Loi, puisqu’elle exclut bon nombre de collectivités autochtones. Ces intervenants ont affirmé que cette situation n’est pas conforme à la Déclaration des Nations Unies sur les droits des peuples autochtones. Le Commissariat à l’information a aussi fait savoir que l’actuelle définition de « gouvernement autochtone » exclut les nations autochtones qui fonctionnent selon d’autres formes de gouvernance traditionnelle. L’ABC a abondé dans le même sens et ajouté que, dans une perspective similaire, il fallait mettre à jour la définition de « bande d’Indiens » afin d’apporter une plus grande souplesse qui permettrait à la Loi de s’adapter aux traités récents et futurs. En outre, il semble que l’alinéa 8(2)k) de la Loi ne reflète pas les besoins actuels, dans la mesure où les Premières Nations ont parfois besoin d’accéder aux renseignements les concernant et relevant du gouvernement du Canada pour des motifs autres que la recherche ou l’établissement de leurs droits.
Parmi les thèmes qui sont ressortis de la consultation, il y a le fait que, dans le cadre du régime actuel d’accès à l’information et de protection des renseignements personnels, les Autochtones font régulièrement face à des obstacles significatifs lorsqu’ils cherchent à obtenir un accès complet à des documents en temps opportun. De plus étant donné l’importance de l’alinéa 8(2)k) dans la résolution des griefs historiques contre la Couronne, il ne faudrait apporter à la Loi aucune modification qui risquerait de miner ou de limiter l’efficacité de cette disposition. Certains intervenants ont par ailleurs fait observer que les collectivités autochtones ont un intérêt à l’égard des renseignements personnels, qu’ils soient sous forme agrégée ou anonymisée, et que les Autochtones adhèrent au concept de protection des renseignements personnels au niveau de la communauté (alors que la Loi sur la protection des renseignements personnels vise plutôt une protection à caractère individuel).
- Date de modification :