Faits saillants de la consultation publique en ligne
L’information que le ministère de la Justice du Canada a reçue pendant ce processus de consultation provient de contributeurs très diversifiés. Le ministère a reçu 57 soumissions écrites d’intervenants tels que le Commissaire à la protection de la vie privée du Canada (CPVP), la Commissaire à l’information du Canada (CIC), la Section du droit de la vie privée et de l’accès à l’information de l’Association du Barreau canadien (ABC), d’organismes publics fédéraux, d’universitaires canadiens et internationaux, de citoyens canadiens, d’entités du secteur privé, d’organisations non gouvernementales, de groupes de défense des libertés civiles et de partenaires autochtones. En outre, plus de 1 100 personnes ont répondu au sondage en ligne, dont près de 300 ont formulé des commentaires écrits supplémentaires sur divers sujets, dont l’accès aux renseignements personnels, les atteintes à vie privée, les ententes sur le partage de renseignements, et le consentement.
Plus des trois quarts des répondants qui ont choisi de fournir des renseignements démographiques sont des résidents de la Colombie‑Britannique, de l’Alberta, de l’Ontario ou du Québec, et près des trois quarts vivent dans des régions urbaines. Ce qui suit est une discussion des enjeux qui constituent une priorité pour la plupart des intervenants.
Clarification des définitions et des concepts clés de la Loi sur la protection des renseignements personnels
Les définitions et les concepts de la Loi sur la protection des renseignements personnels sont restés inchangés depuis que la Loi a été promulguée en 1983. Pendant près de 40 ans, les organismes publics fédéraux, les Canadiens, les Canadiennes et d’autres intervenants ont dû se fonder sur les conclusions du CPVP et les décisions des tribunaux pour interpréter les principales définitions et les principaux concepts de la Loi. La modernisation de la Loi présente une opportunité de revoir et de mettre à jour ces définitions et concepts pour clarifier la portée de la Loi et les circonstances dans lesquelles les mesures de protection qu’elle prévoit s’appliquent.
Les intervenants sont généralement en faveur de la mise à jour et de la clarification de certaines définitions et de certains concepts de la Loi. En particulier, le CPVP appuie la modernisation des concepts centraux de la Loi pour tenir compte de l’évolution rapide des technologies numériques et permettre une interprétation qui s’« adapte à l’époque ». La CIC soutient également la clarification des concepts clés, notamment celui de « renseignements personnels » et celui de renseignements « auxquels le public a accès », afin de trouver un bon équilibre entre le droit à la vie privée et l’accès aux renseignements du gouvernement.
Mise à jour de la définition de « renseignements personnels »
L’idée de mettre à jour la définition de l’expression « renseignements personnels » a suscité beaucoup l’intérêt de plusieurs intervenants, dont le CPVP, la CIC, l’ABC, des organismes publics fédéraux, des universitaires canadiens et internationaux et des organisations non gouvernementales. La définition actuelle est centrée sur la notion d’« identifiabilité » d’un individu, et les renseignements personnels sont généralement définis comme « les renseignements concernant un individu identifiable ».
Plusieurs organismes publics fédéraux et universitaires ont souligné l’importance de clarifier la définition de sorte qu’elle tienne compte du contexte. Cependant, les intervenants ont exprimé des positions différentes sur la question de savoir si le concept d’identifiabilité pourrait être exprimé par une liste de critères établis dans la Loi ou si une norme obligatoire plus générale pourrait être nécessaire. Le CPVP a lancé une mise en garde à l’encontre de l’établissement de critères trop stricts en matière d’identifiabilité, afin de s’assurer que le concept demeure pertinent face à la technologie en rapide évolution et qu’il reflète la jurisprudence bien établie. Il a recommandé que la Loi codifie le critère d’identifiabilité actuel élaboré par la Cour fédérale, à savoir que les renseignements concerneront un « individu identifiable » lorsqu’il y a une possibilité sérieuse qu’un individu puisse être identifié par ces renseignements, seuls ou en combinaison avec d’autres renseignements. La CIC a recommandé que le concept d’identifiabilité prenne en compte la jurisprudence existante et soit cohérent avec celle-ci. L’ABC a noté les difficultés qui se posent dans la reconnaissance et la détermination de ce qui constitue des renseignements identificatoires et a soutenu qu’il est, dans les faits, impossible d’établir un ensemble exhaustif de critères pour le faire. De plus, l’ABC a insisté sur les avantages de l’examen occasionnel de ce concept par les tribunaux, qui peut permettre de révéler [traduction] « les nuances ou les critères qui sont difficiles à prévoir ».
Les intervenants ont également exprimé différents points de vue sur la question de savoir si la Loi devrait élargir la définition de « renseignements personnels » en éliminant la précision actuelle « quels que soient leur forme et leur support ». Le CPVP a soutenu que cette précision devrait être supprimée de la définition pour refléter les réalités de l’ère numérique. Selon lui, ce serait plus conforme à une loi fondée sur des principes et assurerait que les obligations importantes prévues par la Loi sont appliquées à la gestion de renseignements personnels non consignés, par exemple à la collecte et l’utilisation de tels renseignements (c.‑à‑d., lorsqu’un organisme public fédéral cherche, consulte, surveille, récupère ou utilise d’une autre façon des renseignements personnels, mais ne crée pas de document).
Le CPVP a aussi recommandé que la Loi prévoie de nouvelles obligations relatives à la tenue de dossiers pour l’utilisation et la communication de renseignements personnels d’une manière qui touche directement l’individu. Un autre intervenant a appelé au retrait du concept d’enregistrement pour reconnaître le fait que les attentes en matière de vie privée dépendent du contexte, et non de la façon dont les renseignements sont saisis. Par ailleurs, certains organismes publics fédéraux ont soulevé des préoccupations au sujet du retrait de l’exigence de la Loi selon laquelle les renseignements doivent être documentés, et ont soutenu que les avantages pratiques de l’assujettissement des renseignements non documentés à la Loi demeurent flous.
Plusieurs intervenants ont également commenté sur la liste non exhaustive d’exemples de ce qui constitue des renseignements personnels selon la Loi. Par exemple, la CIC et plusieurs autres intervenants ont appuyé une approche plus nuancée, souple et équilibrée pour déterminer si les points de vue et les opinions d’une personne au sujet d’autres personnes sont les renseignements personnels de la personne qui les exprime ou ceux des personnes qui en sont l’objet. Ils se sont aussi dits en faveur d’une approche qui clarifierait quels renseignements administratifs devraient être considérés comme étant des renseignements personnels selon la Loi.
De nombreux universitaires canadiens et internationaux ont souscrit à l’idée d’harmoniser plus étroitement la définition de « renseignements personnels » de la Loi avec prévue a Règlement général sur la protection des données de l’Union européenne, y compris la reconnaissance d’une catégorie spéciale de « renseignements personnels sensibles ». Les intervenants ont généralement appuyé l’idée d’ajouter des précisions et des mesures de protection dans la Loi pour certains types de renseignements personnels sensibles, notamment les renseignements de santé et biométriques. Enfin, une institution gouvernementale a suggéré que la définition de « renseignements personnels » de la Loi s’applique expressément aux travaux et idées de recherche, intellectuels et créatifs uniques d’une personne.
La CIC a expressément souligné l’importance de maintenir la liste actuelle des exceptions prévues aux alinéas j) à m) de la définition de « renseignements personnels » de la Loi.
Clarification de la notion d’« usages compatibles »
La Loi permet aux organismes publics fédéraux d’utiliser et de communiquer des renseignements personnels sans consentement à des fins qui sont « compatibles » avec celles pour lesquelles ils ont été recueillis à l’origine. Le CPVP ainsi que plusieurs organismes publics fédéraux et intervenants se sont réjoui de l’opportunité de clarifier la notion d’« usages compatibles » dans la Loi. Le CPVP a appuyé l’ajout de critères à prendre en compte pour déterminer si un usage est « compatible ». Un universitaire canadien a fait remarquer que les organismes publics fédéraux ont interprété le concept de manière large au fil du temps. Cet universitaire s’est montré en faveur de la clarification de cette notion énoncée dans la Loi, et a laissé entendre qu’elle pourrait être étayée par une liste d’exemples et éclairée par les attentes raisonnables des individus. De plus, un universitaire étranger a soutenu l’idée d’une définition souple conforme à l’approche du Règlement général sur la protection des données en ce qui a trait aux « usages compatibles ».
Définition de la portée des renseignements personnels « auxquels le public a accès »
À l’heure actuelle, les règles prévues dans la Loi relatives à l’utilisation et à la communication de renseignements personnels ne s’appliquent pas aux renseignements personnels « auxquels le public a accès ». Cependant, la Loi ne précise pas ce que signifie l’expression « auxquels le public a accès ». Au fil du temps, il est devenu évident que les renseignements peuvent devenir publics de diverses façons, parfois à l’insu de la personne qu’ils concernent, surtout dans le domaine numérique. Les intervenants s’entendent largement pour dire qu’il faut clarifier en quoi consistent les renseignements personnels auxquels le public a accès. Cependant, les intervenants ne s’entendent pas sur la manière dont il faut définir le concept.
Le CPVP a appuyé l’idée d’une définition du concept de renseignements personnels auxquels le public a accès dans la Loi, mais a recommandé que cette définition précise explicitement que « les renseignements personnels auxquels le public a accès ne comprennent pas les renseignements à l’égard desquels un individu a une attente raisonnable en matière de protection de la vie privée ». La CIC a exprimé des réserves quant à l’approche potentielle de la définition des renseignements personnels accessibles au public énoncée dans le document de discussion. Elle a recommandé que cette définition soit cohérente avec la jurisprudence qui a interprété ce terme, afin de maintenir un équilibre entre la protection de la vie privée et l’accès à l’information. Par ailleurs, l’ABC a appuyé la définition énoncée dans le document de discussion et est d’accord pour qu’elle exclue les renseignements à l’égard desquels un individu a une attente raisonnable en matière de protection de la vie privée. L’ABC a aussi affirmé qu’une telle définition ne devrait pas faire de distinction entre les renseignements des personnes situées au Canada et ceux des personnes situées à l’étranger. Un certain nombre d’organismes publics fédéraux, d’universitaires et d’organisations non gouvernementales ont également soutenu la clarification de ce qui constitue des renseignements personnels auxquels le public a accès. Une institution gouvernementale a indiqué qu’une telle définition devrait être assez large pour ne pas entraver les activités relatives à l’application de la loi, lesquelles peuvent comprendre la collecte, l’utilisation et la communication de renseignements personnels qui sont accessibles au public sur Internet, par exemple.
Introduction de principes de protection des renseignements personnels dans la Loi sur la protection des renseignements personnels
L’idée d’introduire dans la Loi sur la protection des renseignements personnels des principes de protection des renseignements personnels inspirés de ceux énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a reçu un appui important de la majorité des intervenants. Bon nombre ont vu l’introduction de principes comme un outil important permettant d’aligner la Loi avec la LPRPDE ainsi qu’avec les normes internationalement reconnues. En outre, de tels principes sont largement considérés comme faisant partie d’une approche adaptable, flexible et sensible au contexte pour la réglementation des activités mettant en jeu les renseignements personnels, en plus de favoriser l’interopérabilité de la Loi avec d’autres cadres de protection des renseignements personnels.
Le CPVP s’est montré en faveur de l’idée d’introduire des principes dans la Loi et a fait valoir que cela pourrait grandement améliorer la capacité de la Loi à « répondre aux besoins modernes des Canadiens et des Canadiennes, besoins qui sont axés sur les données ». Certains organismes publics fédéraux ont également appuyé l’introduction de principes, avec les adaptations et considérations appropriées pour la nature unique des activités impliquant des renseignements personnels dans le secteur public (p. ex., application de la loi). D’autres intervenants ont souligné que le Règlement général sur la protection des données est un bon point de référence pour définir les principes pertinents.
Certaines observations ont mis de l’avant de l’information plus détaillée, comme la proposition d’inclure dans la Loi un principe général de nécessité et de proportionnalité qui s’appliquerait à toutes les activités des organismes publics fédéraux impliquant des renseignements personnels. Un universitaire a même suggéré que ces activités soient assujetties à un principe d’« intrusion minimale ».
D’autre part, quelques Canadiens et Canadiennes ont estimé que l’approche fondée sur les principes est floue et présente des lacunes, ajoutant qu’elle risque d’être trop sujette à interprétation et de permette l’utilisation abusive des renseignements personnels.
Mise à jour des règles sur la collecte, l’utilisation, la communication, la conservation et l’élimination de renseignements personnels
La mise à jour des règles de la Loi sur la collecte, l’utilisation, la communication, la conservation et l’élimination de renseignements personnels va de pair avec l’introduction de nouveaux principes. Bon nombre d’intervenants ont formulé des observations sur la forme que pourraient prendre ces exigences dans une loi modernisée, surtout celles concernant la collecte, l’utilisation et la communication de renseignements personnels.
Mettre à jour les circonstances dans lesquelles des renseignements personnels peuvent être recueillis
Les intervenants ont démontré un intérêt considérable pour la proposition de mettre à jour les règles entourant les circonstances dans lesquelles les organismes publics fédéraux peuvent recueillir des renseignements personnels (le « seuil de collecte »). Cette question est particulièrement importante, parce qu’elle est essentielle pour déterminer si les organismes publics fédéraux peuvent recueillir des renseignements personnels et dans quelle mesure. Selon la version actuelle de la Loi, les seuls renseignements personnels que peut collecter une institution fédérale sont ceux qui « ont un lien direct avec ses programmes ou ses activités ». Comme il est indiqué dans le document de discussion, un nouveau seuil de collecte limiterait la collecte de renseignements personnels à ce qui est « raisonnablement requis » dans le cadre des fonctions ou des activités d’un organisme public fédéral ou ce qui est expressément prévu par une autre loi fédérale. La Loi énoncerait également les principaux facteurs dont les organismes publics fédéraux devraient tenir compte pour déterminer si une collecte est raisonnablement requise.
Les organismes publics fédéraux ont semblé confortables avec cette proposition de seuil de collecte. Le CPVP a signalé que ce seuil serait acceptable si le but est de clarifier la Loi tout en protégeant la vie privée au moyen des principes bien établis de nécessité et de proportionnalité. Toutefois, le CPVP a recommandé que toute liste de critères spécifiques visant à déterminer ce qui serait raisonnablement requis, dans un contexte donné, aide à bien cerner les fins de la collecte et clarifie que le caractère intrusif de la collecte doit être proportionnel à l’intérêt public en cause. Le CPVP a aussi précisé que les coûts accrus pour les organismes publics fédéraux ne sont que l’un des nombreux facteurs dont il faudrait tenir compte pour déterminer s’il existe des moyens moins intrusifs d’atteindre un but donné.
D’autre part, l’ABC a réitéré ses réserves selon lesquelles un seuil de collecte limité à ce qui est « raisonnablement requis » serait inapproprié dans le secteur public, et a remis en question les motifs invoqués pour distinguer le seuil de collecte proposé et la norme de nécessité qui s’appliquerait sous le régime législatif de protection des renseignements personnels proposé pour le secteur privé (projet de loi C-11, Loi sur la protection de la vie privée des consommateurs). De nombreux autres intervenants ont soutenu l’introduction d’un seuil de nécessité dans la Loi. Un universitaire a affirmé que le seuil de collecte actuel dans la Loi est « très faible », que le seuil proposé ne reflète pas adéquatement les dimensions constitutionnelles de la collecte de données et que le seuil de collecte devrait refléter plus clairement les obligations imposées au gouvernement fédéral par la Charte canadienne des droits et libertés. Un autre intervenant a suggéré que la collecte de renseignements personnels soit limitée à ce qui est absolument nécessaire.
Établir des autorisations d’utilisation et de communication appropriées
De nombreux intervenants ont exprimé des points de vue sur d’éventuels changements aux autorisations d’utilisation et de communication de renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis. Plus précisément, le CPVP et la CIC se sont montrés favorables à l’idée d’apporter des améliorations à l’autorisation de communication dans l’« intérêt public » prévue à la Loi. Le CPVP s’est aussi prononcé sur les mesures de protection qui pourraient appuyer de nouvelles autorisations dans la Loi pour la communication de renseignements personnels aux fins d’intégration de données et dans des situations d’urgence ou de grave menace pour la sécurité du public et des personnes. Le CPVP a recommandé d’ajuster l’étendue de la capacité des organismes publics fédéraux à communiquer des renseignements personnels aux « organismes d’enquête », en définissant étroitement cette notion et en ajoutant de meilleurs mécanismes de reddition de comptes. Le CPVP ne s’est pas montré favorable à l’inclusion d’une disposition expresse dans la Loi qui permettrait la communication de renseignements personnels à Statistique Canada « à des fins de statistique et de recherche », étant donnée l’absence de limites expresses et du besoin d’encadrer la portée d’une telle communication, entre autres choses. Le CPVP, l’ABC et un universitaire ont manifesté leur appui à certaines formes d’exigences supplémentaires (p. ex., ententes écrites) applicables aux communications transfrontalières, incluant celles à des gouvernements étrangers. Certains intervenants, dont la CIC et quelques organismes publics fédéraux, ont proposé d’introduire de nouvelles autorisations de communication à la Loi, soit pour des raisons humanitaires, des situations d’urgence et pour les des victimes de crimes.
Tirer parti de l’intelligence artificielle sans compromettre les renseignements personnels
Reconnaissance des risques d’atteinte à la vie privée
Bon nombre d’intervenants ont souligné les avantages potentiels des processus soutenus par l’intelligence artificielle et les systèmes décisionnels automatisés. Ils ont également reconnu l’importance de ces technologies pour aider les organismes publics fédéraux à innover et à réaliser des gains d’efficacité dans l’intérêt public. Cependant, les commentaires reçus révèlent la Loi, dans sa version actuelle, ne prévoit pas de mesures de protection des renseignements personnels dans les situations où des technologies d’intelligence artificielle ou de prise de décisions automatisée sont employées. Les intervenants ont presque tous soulevé un large éventail de préoccupations au sujet de l’utilisation de telles technologies, notamment i) la possible introduction de partialité et de discrimination dans les processus de prise de décisions, ii) l’absence de définition des principaux concepts dans ce domaine, iii) les mécanismes par lesquels les systèmes décisionnels automatisés traitent les renseignements personnels, iv) l’absence perçue d’intervention humaine dans ces systèmes, et v) le besoin d’assurer une reddition de comptes et une transparence suffisantes dans la conception et l’utilisation de ces systèmes.
Tracer une voie d’avenir
Plusieurs intervenants ont donné leur avis sur la manière d’atténuer ces préoccupations et aider à moderniser la Loi en tenant compte de la vie privée, tout en favorisant l’utilisation de l’intelligence artificielle et de systèmes décisionnels automatisés dans l’intérêt public. Par exemple, le CPVP et un autre intervenant ont souligné que la Loi devrait expressément définir l’expression « systèmes décisionnels automatisés ». Par contre, une institution gouvernementale a prévenu qu’une telle définition, dans la Loi, ne devrait pas être trop large et que les exigences qui y sont associées devraient rester assez générales pour s’adapter aux changements rapides dans ce domaine. Le CPVP a aussi recommandé que la Loi inclue un droit à une « explication valable » et à l’intervention humaine lorsque des systèmes décisionnels automatisés sont utilisés, ainsi que l’obligation, pour les organismes publics fédéraux, de consigner leur utilisation des renseignements personnels dans ce contexte et d’en assurer le suivi.
Plusieurs autres intervenants ont appuyé l’introduction d’exigences de transparence dans la Loi qui non seulement aideraient à comprendre ces processus, mais aussi renforceraient la confiance dans leur utilisation. Un groupe d’intervenants a également évoqué la possibilité que les individus soient en mesure de refuser que ces systèmes utilisent leurs renseignements personnels. Enfin, de nombreux intervenants ont convenu que la Directive sur la prise de décisions automatisée fournit un cadre utile dont il serait pertinent de s’inspirer pour créer de nouvelles règles juridiques.
Traitement des renseignements personnels anonymisés
Les observations des intervenants ont révélé différents points de vue quant à la question de savoir si la Loi sur la protection des renseignements personnels devrait définir les renseignements personnels « anonymisés » et inclure des règles spécifiques entourant la collecte, l’utilisation, la communication et la conservation de tels renseignements.
Définition des renseignements personnels anonymisés
Un certain nombre d’intervenants ont discuté des renseignements personnels anonymisés, notamment de la possibilité que la Loi définisse ce concept. Plusieurs d’entre eux, dont le CPVP, des organisations du secteur privé, des universitaires, des organismes publics fédéraux, des partenaires autochtones et des particuliers, ont exprimé leur soutien pour une définition des renseignements personnels anonymisés. Ces intervenants ont estimé que le concept devait être clarifié et ont soutenu que la définition devrait être alignée sur la définition proposée pour la mise à jour de la loi sur la protection des renseignements personnels du secteur privé ou du Règlement général sur la protection des données de l’Union européenne.
Alors que la majorité des intervenants qui ont formulé des commentaires sur cette question sont en faveur d’une définition explicite des renseignements personnels anonymisés dans la Loi, quelques‑uns ne sont pas d’accord, dont la CIC, l’ABC, certaines organisations du secteur privé et quelques universitaires. Ils ont soutenu que la Loi sur la protection des renseignements personnels ne devrait pas s’appliquer aux renseignements personnels après qu’ils ont été anonymisés. L’ABC a dit craindre que l’introduction du concept de « renseignements personnels anonymisés », qui diffère du concept de « données pseudonymisées » du Règlement général sur la protection des données de l’Union européenne, ne provoque une confusion du point de vue terminologique et analytique.
Règles spéciales relatives aux renseignements personnels anonymisés
La majorité des intervenants ont affirmé que des règles spéciales sont nécessaires pour la collecte, l’utilisation et la communication de renseignements personnels qui ont été anonymisés. Certains ont soutenu que les renseignements personnels anonymisés et les renseignements personnels « ordinaires » devraient généralement être assujettis aux mêmes règles, sous réserve de quelques exceptions nuancées. D’autres ont affirmé que les renseignements personnels anonymisés devraient être soumis à des règles plus souples, accordant aux organismes publics fédéraux une plus grande marge de manœuvre dans l’utilisation de ces renseignements à des fins novatrices. Un certain nombre d’intervenants fut d’avis que les renseignements personnels anonymisés ne devraient simplement pas être assujettis à la Loi. D’autres encore ont fait valoir qu’il faut clarifier cette question et que des études et consultations plus poussées pourraient être justifiées.
Détermination des risques
De nombreux intervenants ont souligné que les risques d’atteinte à la vie privée peuvent persister même quand les renseignements personnels sont anonymisés. Ces risques augmentent lorsque des connaissances personnelles, des renseignements personnels « auxquels le public a accès », la notoriété personnelle ou de multiples éléments de renseignements sont en cause, tout particulièrement lorsque les renseignements personnels anonymisés sont rendus publics. Étant donné les risques de nature contextuelle liés à l’anonymisation, de nombreux intervenants ont soutenu que l’accent devrait être mis sur les mesures de protection de la confidentialité des renseignements en général, et non sur la question de savoir si les renseignements personnels sont anonymisés. Pour ces intervenants, il serait préférable de se concentrer sur les algorithmes, la cybersécurité et les mesures de protection contractuelles, les limites d’accès et les environnements informatiques sécuritaires qui sont en cause lorsque de tels renseignements sont utilisés.
Les opinions ont été mitigées à la quant à la question de savoir si une tentative de désanonymiser des renseignements personnels anonymisés sans autorisation devrait constituer une infraction punissable par une sanction prévue dans la Loi (p. ex., une amende) et s’il faudrait obtenir le consentement d’une personne avant d’utiliser ou de communiquer ses renseignements personnels anonymisés.
Autres préoccupations et facteurs à prendre en compte
Certains intervenants ont soulevé des préoccupations quant à la logistique entourant l’utilisation des renseignements personnels anonymisés, alléguant que les coûts associés au stockage adéquat de ces renseignements pourraient décourager les organismes publics fédéraux d’employer cette méthode de protection de la vie privée. D’autres intervenants ont affirmé qu’une attention particulière devrait être portée à l’utilisation de renseignements anonymisés dans le contexte des communautés autochtones et des petites collectivités, compte tenu des risques et des répercussions accrus qu’entraînerait une désanonymisation. Enfin, un intervenant a avancé qu’il pourrait exister un intérêt collectif à la protection des renseignements personnels, même si les ceux-ci ne peuvent plus être associés à une personne identifiable. Par exemple, la prise de décisions qui repose sur des données anonymisées pour surveiller les tendances démographiques peut susciter des craintes sur le plan de l’exactitude, de la partialité et des répercussions discriminatoires possibles qui pourraient toucher des groupes et des personnes.
Amélioration de la transparence
La plupart des intervenants se sont montrés en faveur de mesures de transparence accrues en ce qui concerne les activités des organismes publics fédéraux qui impliquent des renseignements personnels. Les intervenants ont appuyé le remplacement du régime actuel de fichiers de renseignements personnels par un registre en ligne plus facilement accessible et consultable. Le CPVP a exprimé son soutien aux proposition du ministère de la Justice du Canada visant à accroître la transparence, mais a recommandé d’autres mesures. Celles-ci incluent, par exemple le fait de limiter les exceptions au droit d’une personne d’être directement avisée de la collecte, exiger qu’un tel avis contienne des renseignements détaillés sur les circonstances de la collecte, et explorer des moyens d’améliorer l’accès direct des individus aux renseignements personnels que les organismes publics fédéraux recueillent, utilisent et communiquent à leur sujet. Un intervenant a proposé que les ententes de partage de renseignements soient assujetties à des exigences renforcées, notamment qu’elles soient conclues par écrit et qu’elles soient accessibles aux fins d’évaluation par des organismes de surveillance indépendants, et que des dossiers écrits traitant de la nature et de la portée du partage de renseignements en tant que tel soient créés. Plusieurs intervenants ont recommandé que la Loi exige des organismes publics fédéraux qu’ils publient de l’information sur leurs ententes de partage de renseignements, ainsi que sur leurs programmes de gestion de la vie privée et d’évaluations des facteurs relatifs à la vie privée. Un intervenant a souligné l’importance de faire preuve d’une plus grande transparence dans les politiques et les programmes élaborés à partir des renseignements personnels des Autochtones, et a insisté sur le fait que cela contribuerait à renforcer la confiance dans les organismes publics fédéraux. Enfin, plusieurs organismes publics fédéraux ont demandé à ce que les nouvelles mesures de transparence dans la Loi tiennent compte des fonctions gouvernementales sensibles, comme l’application de la loi, et la nature particulière des institutions qui ont des mandats commerciaux.
Reddition de comptes accrue
Une écrasante majorité d’intervenants ont souligné l’importance et la nécessité d’accroître les obligations de reddition de compte en lien avec les activités des organismes publics fédéraux qui impliquent des renseignements personnels. Le CPVP a souscrit à la proposition d’adopter un nouveau principe de reddition de comptes qui serait renforcé par de nouvelles exigences, par exemple l’exigence de concevoir des programmes et des activités en ayant à l’esprit la protection des renseignements personnels et l’exigence de réaliser des évaluations des facteurs relatifs à la vie privée et de mettre en place des programmes de gestion de la vie privée. Dans la même optique, l’ABC et plusieurs autres intervenants ont appuyé une l’introduction, dans la Loi, d’une exigence selon laquelle les organismes publics fédéraux seraient tenus de réaliser des évaluations des facteurs relatifs à la vie privée.
L’exigence d’établie des programmes de gestion de la vie privée et d’intégrer la protection de la vie privée dès la conception a également été appuyée, notamment par des intervenants universitaires. Un intervenant a proposé que les obligations de reddition de compte actuellement établies par les instruments de politique soient officialisées et intégrées à la Loi elle‑même, et qu’elles soient assujetties à l’examen du Commissaire à la protection de la vie privée. Un autre intervenant a insisté sur l’importance d’un alignement approprié des exigences de reddition de comptes de la Loi avec celles applicables au secteur privé, afin d’assurer une continuité dans l’application des règles pertinentes lorsque des données personnelles peuvent être échangées entre des entités du secteur public et des entités du secteur privé. Enfin, une institution gouvernementale a attiré l’attention sur la nécessité de prévoir des exemptions à toute obligation prévue par la loi de publier les évaluations des facteurs relatifs à la vie privée ou leurs résumés, afin d’éviter la divulgation publique de renseignements sensibles, telles que des données opérationnelles qui pourraient causer des problèmes de sécurité nationale.
Renforcement de la surveillance et de l’application de la loi
Un grand nombre d’intervenants ont exprimé leur soutien pour le renforcement du cadre de conformité et d’application prévu par la Loi. Le CPVP en particulier a favorablement accueilli les mesures visant à mettre en place une surveillance et des solutions correctives rapides et efficaces pour les individus, y compris un rôle d’orientation plus actif pour le CPVP et un cadre de conformité générale amélioré. Le CPVP a également appuyé l’expansion des pouvoirs de vérification proactive, tout en mentionnant le besoin d’avoir des pouvoirs discrétionnaires accrus pour concentrer ses ressources limitées sur les enjeux les plus pressants, de même que des mesures correctives indispensables qui prendraient la forme de pouvoirs de rendre des ordonnances et de droits élargis pour s’adresser à la Cour fédérale.
Clarification du rôle du Commissaire à la protection de la vie privée
Le CPVP fait valoir que les améliorations proposées au cadre de surveillance de la Loi sont à la traîne par rapport aux cadres nationaux et internationaux qui s’appliquent à d’autres organismes de réglementation de la vie privée. Le CPVP a soutenu que sa capacité à rendre des ordonnances en vertu de la Loi devrait être étendue aux questions concernant la collecte, l’utilisation et la communication de renseignements personnels par les organismes publics fédéraux, et ne devrait pas être limitée au refus d’accès à des renseignements personnels. La plupart des intervenants se sont prononcés en faveur de pouvoirs accrus pour le CPVP, notamment des pouvoirs généraux pour rendre des ordonnances, et plusieurs intervenants ont spécifiquement demandé à ce que les pouvoirs du CPVP soient plus vastes que ceux envisagés dans le document de discussion. Certains ont expressément appuyé l’idée d’accorder au CPVP le pouvoir de conclure des ententes de conformité exécutoires.
L’ABC s’est prononcée en faveur d’un cadre de surveillance et d’application de la loi renforcé prévu par la Loi, sous réserve de certaines limites. Par exemple, l’ABC a appuyé l’utilisation d’ententes de conformité comme mécanisme de redressement et d’application de la loi, mais a fait remarquer que celles-ci pourraient davantage convenir à certains organismes publics fédéraux, telles que les sociétés d’État, plutôt qu’aux organismes publics fédéraux qui assument d’importantes fonctions d’élaboration de politiques. De plus, l’ABC a souscrit à l’idée d’accorder au CPVP un pouvoir limité de rendre des ordonnances exécutoires, similaire à celui accordé au CIC en 2019. L’ABC a également émis des réserves quant à la structure organisationnelle du CPVP. Plus particulièrement, l’ABC a signalé l’importance d’établir de solides mesures de protection procédurales et de bien séparer les fonctions d’enquête et de vérification du CPVP de toute fonction juridictionnelle.
Enfin, les intervenants ont soutenu, dans l’ensemble, l’instauration de pénalités et d’amendes en lien avec les infractions à la Loi. Toutefois, l’un des intervenants a prévenu que le pouvoir d’imposer des amendes dans le secteur public équivaudrait à une « redistribution des fonds publics », et qu’il serait probablement plus efficace de donner au CPVP le pouvoir de rendre des ordonnances relativement aux activités qui impliquent des renseignements personnels.
Habilitation des individus
Le CPVP a exprimé l’opinion que le droit d’un individu de s’adresser à la Cour fédérale ne devrait pas être limité aux questions non résolues à la suite d’une enquête menée en vertu de la Loi. Le CPVP a recommandé que ce droit puisse s’appliquer dans trois situations : 1) lorsqu’un plaignant a reçu les résultats d’une enquête du CPVP; 2) lorsque ce plaignant a été informé de la décision du CPVP de refuser ou de cesser d’enquêter sur la plainte; ou 3) lorsque le plaignant n’a pas été informé des résultats de l’enquête ou d’une décision dans les six mois suivant le dépôt de sa plainte. L’ABC et plusieurs autres intervenants se sont aussi dit en faveur d’un droit privé d’action en vertu de la Loi permettant aux individus de s’adresser directement à la Cour.
Considération des répercussions sur les ressources
Le CPVP a soutenu que toute nouvelle mesure de surveillance prévue dans la Loi devrait lui accorder un pouvoir discrétionnaire suffisant lui permettant d’affecter se ressources réglementaires limitées. Une institution gouvernementale a soulevé des préoccupations semblables et fait remarquer que l’octroi de pouvoirs accrus au CPVP entraînerait vraisemblablement des hausses correspondantes des coûts en matière de conformité, ce qui pourrait mettre de la pression sur les opérations du gouvernement. Cette institution a en outre suggéré que la Loi accorde aux organismes publics fédéraux une période pour évaluer et mettre à jour leurs pratiques en vue de se conformer à la législation modernisée, une fois les modifications législatives en vigueur.
Révision des règles applicables aux renseignements personnels « auxquels le public a accès »
Un groupe d’intervenants a affirmé que le niveau de confort d’une personne au sujet de la collecte, de l’utilisation et de la communication, par les organismes publics fédéraux, de renseignements personnels « auxquels le public a accès » varie en fonction de son niveau de confiance dans le gouvernement du Canada. Ce groupe a également partagé différents points de vue sur la mesure dans laquelle les individus ont confiance dans les activités impliquant des renseignements auxquels le public a accès et a qualifié cet enjeu de complexe et d’assez polarisant. Cependant, l’importance d’assujettir les renseignements personnels auxquels le public a accès aux principes et aux exigences de la Loi a fait l’objet d’un consensus général au sein des intervenants.
Application de toutes les règles prévues par la Loi sur la protection des renseignements personnels aux renseignements personnels « auxquels le public a accès »
Le CPVP a fortement appuyé l’introduction de règles spécialisées qui assureraient l’alignement des activités des organismes publics fédéraux impliquant des renseignements personnels auxquels le public a accès avec les attentes raisonnables en matière de vie privée que peuvent avoir les individus. L’ABC a présenté des observations similaires, mais a souligné que les organismes publics fédéraux devraient déterminer s’il est approprié de recueillir des renseignements personnels provenant de sources auxquelles le public a accès à la lumière de la nature de leurs mandats et de leurs programmes. L’ABC a également partagé une liste de facteurs devant être pris en compte par les organismes publics dans le contexte du traitement de renseignements personnels auxquels le public a accès. Ceux-ci incluent notamment des critères pour déterminer ce que signifie « auxquels le public a accès », afin de déterminer les périodes de conservation appropriées, de même que d’assurer la réalisation d’évaluations des facteurs relatifs à la vie privée concernant l’utilisation et la communication de renseignements auxquels le public a accès.
L’ABC est allée encore plus loin, en recommandant que toutes les collectes de tels renseignements soient nécessaires à la réalisation du mandat de l’organisme public fédéral. D’autres intervenants ont exprimé leur accord pour que les exigences de la Loi s’appliquent aux renseignements personnels auxquels le public a accès, et ont indiqué que des directives à l’intention des organismes publics fédéraux seraient utiles. Certains intervenants ont émis des réserves quant à l’inclusion potentielles d’exceptions dans la Loi pour les activités d’application de la loi, de sécurité nationale et de renseignement qui impliquent des renseignements personnels auxquels le public a accès.
L’accès à ses renseignements personnels en vertu de la Loi sur la protection des renseignements personnels
Plusieurs intervenants ont partagé leurs points de vue sur la portée du droit d’accès aux renseignements personnels et sur le traitement des demandes de renseignements personnels.
Élargissement du champ d’application du droit de demander accès aux renseignements personnels
De nombreux intervenants, dont l’ABC, des universitaires, des intervenants étrangers et quelques particuliers, ont appuyé la proposition d’étendre aux non‑Canadiens et aux non-Canadiennes qui ne sont pas physiquement au Canada le droit de demander accès à leurs renseignements personnels. L’ABC a fait valoir qu’il n’existe pas de justification de principe permettant de limiter la portée de ce droit et a proposé qu’un projet pilote soit mis en place pour étudier les effets de l’élargissement de la portée de ce droit sur les ressources publiques et sur le système d’AIPRP. Les organismes publics fédéraux se sont montrés divisés sur la question : certains ont appuyé l’approche, mais la plupart ont exprimé des préoccupations quant aux problèmes potentiels relatifs aux ressources, au volume et à l’authentification, et quelques‑uns ont noté que le volume actuel de demandes rend très difficile le respect des échéances prescrites par la Loi.
Traitement des demandes vexatoires, de mauvaise foi ou abusives
La plupart des intervenants se sont montrés en faveur de la mise en place d’un mécanisme, dans la Loi, qui permettrait aux organismes publics fédéraux de refuser de répondre aux demandes de renseignements personnels qui sont vexatoires ou de mauvaise foi, ou encore qui constituent un abus du droit de faire de telles demandes. Le CPVP a proposé que les organismes publics fédéraux soient eux‑mêmes responsables d’approuver le rejet de ces demandes, mais que ces décisions soient assujetties aux pouvoirs d’examen du CPVP, soit dans le cadre du processus de traitement des plaintes des individus, soit en vertu de ses pouvoirs discrétionnaires d’enquête et de vérification.
Protection des renseignements personnels
Tous les intervenants qui ont formulé des observations sur cet enjeu ont soutenu l’idée que la Loi exige la mise en place, par les organismes publics fédéraux, de solides mesures techniques, physiques, administratives et juridiques pour protéger les renseignements personnels. Certains ont souligné la pertinence d’établir une norme qui intégrerait les meilleures pratiques de l’industrie et les meilleures technologies pour protéger les renseignements personnels, telles que des exigences explicites en matière de chiffrement et de stockage.
De nombreux intervenants, dont le CPVP, ont appuyé la proposition d’inclure un principe de protection explicite dans la Loi. Un intervenant a recommandé que la Loi interdise explicitement aux organismes publics fédéraux de compromettre activement les protocoles et les outils de sécurité et qu’elle exige qu’ils fassent systématiquement appel aux meilleures pratiques en matière de cybersécurité.
La majorité des intervenants privilégie une approche souple et fondée sur les risques, en lien avec la protection des renseignements personnels. Par exemple, de nombreux intervenants ont estimé que les mesures de protection devraient refléter le caractère sensible ou non des renseignements personnels à protéger. Les points de vue ont été divisés sur la question de savoir si la Loi devrait exiger que les renseignements personnels sensibles soient stockés au Canada ou permettre qu’ils le soient dans un autre pays. Certains intervenants ont proposé l’utilisation d’autres moyens (p. ex., des ententes de partage de renseignements) permettant de protéger de manière appropriée les renseignements personnels stockés à l’extérieur du pays.
Le CPVP et d’autres intervenants ont également soutenu l’adoption d’exigences de signalement des atteintes à la loi, notamment des exigences enjoignant aux organismes publics fédéraux de conserver les dossiers portant sur toute atteinte à la vie privée et de les signaler au CPVP et, lorsque les risques de préjudices sont importants, à tous les individus concernés.
Répondre aux besoins et aux attentes des peuples autochtones
Des partenaires autochtones et des intervenants non autochtones ont fourni, dans le cadre de la consultation publique en ligne, des observations qui traitent des répercussions uniques que les changements potentiels à la Loi sur la protection des renseignements personnels pourraient avoir sur les peuples autochtones au Canada. Dans la présente section, l’utilisation du terme « peuples autochtones » rend compte du fait que la majorité des partenaires et des intervenants qui ont fourni des commentaires sur ce sujet n’ont pas fait de distinction spécifique entre les Premières Nations, les Métis et les Inuits.
Principes directeurs
La majorité de ces partenaires et intervenants ont souligné l’importance de la souveraineté des données des Autochtones, à savoir que les Premières Nations, les Métis et les Inuits devraient avoir le contrôle sur leurs renseignements personnels et sur les renseignements concernant leurs communautés (y compris les données anonymisées et les données statistiques démographiques).
Les changements à la Loi sur la protection des renseignements personnels proposés comprennent la reconnaissance explicite de l’engagement du gouvernement du Canada à l’égard de la réconciliation, des principes de PCAP®2 et de la Déclaration des Nations Unies sur les droits des peuples autochtones dans le préambule de la Loi. Certains partenaires et intervenants ont suggéré que le ministère de la Justice du Canada consulte davantage les groupes autochtones en vue de déterminer si des concepts spécifiques exigent une protection supplémentaire et explicite dans la Loi sur la protection des renseignements personnels (p. ex., définir le concept des données communes, aborder la question des droits collectifs à la protection de la vie privée).
Mécanismes de gouvernance et ententes sur le partage de renseignements
Des partenaires et des intervenants ont proposé que la Loi sur la protection des renseignements personnels prévoit de nouveaux mécanismes de gouvernance permettant aux organismes de gouvernance autochtones de conclure des ententes sur le partage de renseignements avec le gouvernement du Canada. Ces partenaires et intervenants se sont montrés d’avis que ces mécanismes de gouvernance devraient être conçus en consultation avec les groupes autochtones nationaux et régionaux et pourraient prévoir un rôle officiel pour la perspective des communautés ou encore l’intendance de données par des tiers (comme le Centre de gouvernance de l’information des Premières Nations). De plus, les ententes de partage de renseignements devraient assurer un équilibre entre le droit des gouvernements autochtones d’accéder aux renseignements de leurs membres et les mesures de protection appropriées pour les renseignements personnels des individus Autochtones. Ces mesures de protection pourraient comprendre des exigences de notification, la possibilité pour un individu de refuser que ses renseignements soient communiqués et des infractions spécifiques pour toute atteinte à la vie privée.
Utilisation par le gouvernement du Canada des renseignements personnels des Autochtones
Les partenaires ont insisté sur le besoin d’une plus grande transparence dans la manière dont les ministères fédéraux, dont Services aux Autochtones Canada, Relations Couronne‑Autochtones et Affaires du Nord Canada, utilisent les renseignements personnels des Autochtones. Des partenaires et des intervenants font valoir que le gouvernement du Canada pourrait soutenir davantage la gouvernance des données des Autochtones en fournissant un financement aux communautés autochtones qui veulent exercer un contrôle sur leurs renseignements et en donnant de la formation aux employés du gouvernement sur la gouvernance des données des Autochtones.
Risques uniques
Certains partenaires et intervenants ont affirmé que les Autochtones, tout particulièrement les femmes autochtones, sont particulièrement vulnérables lorsque leurs renseignements personnels sont partagés dans un contexte d’application de la loi. Certains ont souligné que les risques associés à l’utilisation de renseignements personnels anonymisés peuvent être plus grands lorsque ces renseignements sont ceux des peuples autochtones, parce que les données provenant de petites communautés sont plus susceptibles d’être désanonymisées. Un partenaire autochtone a suggéré que le mandat du Commissaire à la protection de la vie privée soit modifié afin d’y inclure l’obligation d’entreprendre une enquête lorsque des plaintes concernent la divulgation de renseignements personnels pouvant causer un préjudice aux droits autochtones individuels ou collectifs ou poser un risque de préjudice physique, psychologique, social ou politique à un Autochtone, et tout particulièrement un risque de violence envers les femmes et les filles autochtones.
Résultats du sondage
En tout, 1 121 individus provenant de toutes les provinces et de tous les territoires ont répondu au sondage3. La proportion la plus élevée de répondants provenait de l’Ontario (39 %), de la Colombie-Britannique (16 %) et du Québec (13 %). Près des trois quarts (73 %) des personnes interrogées avaient une certaine connaissance de la Loi sur la protection des renseignements personnels, et plus de la moitié (58 %) étaient « assez confiant » ou « un peu confiant » que le gouvernement fédéral fait un bon travail de protection des renseignements personnels.
Un peu moins des trois quarts des répondants (72 %) sont « fortement d’accord » ou « assez d’accord » pour dire que le secteur privé et le gouvernement fédéral devraient être soumis aux mêmes règles en matière de protection des renseignements personnels.
Le degré d’aisance des répondants quant à la communication de leurs renseignements personnels entre des ministères et des organismes gouvernementaux sans leur consentement varie selon le motif de cette communication des renseignements. Une forte proportion de répondants se sont dits « plutôt à l’aise » ou « parfaitement à l’aise » avec la communication de renseignements personnels pour fournir un service ou un avantage demandé (68 %), pour atteindre l’objectif pour lequel ils ont initialement été recueillis (57 %) ou pour protéger l’intégrité d’un programme en minimisant la fraude ou les abus (56 %). Les répondants étaient moins à l’aise (« complètement mal à l’aise » ou « légèrement mal à l’aise ») avec le fait que leurs renseignements soient communiqués en vue de proposer de nouveaux services ou des services supplémentaires (53 %), ou pour effectuer des recherches dans l’intérêt public (51 %).
Les personnes interrogées se sont dites très mal à l’aise à l’idée que leurs renseignements personnels soient communiqués à des gouvernements étrangers ou à des entreprises à but lucratif du secteur privé. Ce malaise était évident, que les renseignements soient ou non utilisés pour l’objectif pour lequel ils ont été recueillis à l’origine, ou pour un objectif différent de celui-ci. Une majorité des répondants n’étaient pas favorables à ce que leurs renseignements soient communiqués à un gouvernement étranger ou une entreprise à but lucratif du secteur privé (92 % étaient « complètement mal à l’aise » ou « légèrement mal à l’aise »), même pour les fins pour lesquelles ils ont initialement été recueillis. Cette proportion était encore plus élevée en ce qui concerne les renseignements utilisés dans un but différent de celui pour lequel ils ont été recueillis, 96 % des personnes étant « complètement mal à l’aise » ou « légèrement mal à l’aise » avec le fait que leurs renseignements soient communiqués à un gouvernement étranger ou à une entreprise à but lucratif du secteur privé.
La plupart des répondants ont estimé que la possibilité d’accéder à leurs données personnelles était un aspect important de la protection de leur vie privée, 87 % d’entre eux étant « fortement d’accord » ou « assez d’accord ». Les personnes interrogées sont également d’accord pour dire que les ministères et les organismes fédéraux devraient informer les gens lorsque l’intelligence artificielle est utilisée pour prendre des décisions qui les concernent, 86 % d’entre eux étant « fortement d’accord » ou « assez d’accord ». Les répondants n’étaient pas favorables à l’utilisation par le gouvernement des renseignements personnels accessibles au public comme ceux que l’on trouve sur les médias sociaux, un peu moins des deux tiers des répondants (64 %) étant « fortement en désaccord » ou « pas tout à fait d’accord » quant à cette pratique.
Les options proposées en vue du renforcement des pouvoirs du Commissaire à la protection de la vie privée du Canada ont bénéficié d’un appui considérable, le plus important étant le pouvoir de formuler des recommandations aux ministères et organismes fédéraux sur la manière de faire face aux risques potentiels pour la vie privée (91 % « fortement d’accord » ou « assez d’accord »), et de soutenir les ministères et organismes fédéraux dans l’évaluation les risques pour la vie privée lors de la conception de nouveaux programmes ou de nouvelles activités (90 % « fortement d’accord » ou « assez d’accord »).
Les réponses ont également révélé un soutien très important pour des mesures améliorées de reddition de compte et de transparence. Presque tous les répondants ont estimé qu’une politique de protection des renseignements personnels accessible et facile à trouver était importante en vue de les aider à comprendre pourquoi et comment les ministères et les organismes gouvernementaux recueillent et utilisent les renseignements personnels (96 % ont estimé que cela était « relativement important » ou « très important »). Qui plus est, la protection adéquate de leurs renseignements et la connaissance des renseignements personnels dont disposent les ministères et organismes fédéraux, de même que la manière dont ils peuvent les utiliser et les communiquer ont été jugées « très importantes » ou « relativement importantes » par 99 % et 96 % des répondants respectivement.
Notes de fin de page
2 PCAP® est une marque déposée du Centre de gouvernance de l’information des Premières Nations. Consulter le site Web https://fnigc.ca/fr/les-principes-de-pcap-des-premieres-nations/ pour obtenir de plus amples renseignements.
- Date de modification :