CHAPITRE 1 : INTRODUCTION

1.1  Mandat

Le 23 février 2016, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le « Comité ») a convenu : « Que, conformément à l’article 108(3)h)(vi) du Règlement, le Comité entreprenne une étude sur la Loi sur la protection des renseignements personnels[1] ».

Le Comité a commencé son étude le 10 mars 2016. Il a tenu 12 réunions, au cours desquelles il a entendu 45 témoins. Parmi les témoins se trouvaient des ministres, le commissaire à la protection de la vie privée du Canada, des commissaires provinciaux à l’information et à la protection de la vie privée, des fonctionnaires ainsi que des spécialistes de la protection de la vie privée de cabinets d’avocats, d’universités et de groupes de défense. Le Comité a aussi reçu cinq mémoires.

Le Comité tient à remercier tous ceux et celles qui ont participé à l’étude.

1.2  Examen de la Loi sur la protection des renseignements personnels

La Loi sur la protection des renseignements personnels[2] (la « LPRP »), qui est entrée en vigueur le 1^er juillet 1983, « est la loi qui régit les pratiques de traitement des renseignements personnels des institutions fédérales. Elle s’applique à tous les renseignements personnels recueillis, utilisés et communiqués par le gouvernement fédéral, qu’ils portent sur des citoyens ou sur des employés de l’administration fédérale. La [LPRP] donne également aux individus le droit d’accéder aux renseignements personnels les concernant détenus par des institutions fédérales et, s’il y a lieu, de les faire corriger[3] ».

L’article 75 de la LPRP prévoit un examen permanent de la LPRP par un comité parlementaire, ainsi qu’un examen unique devant commencer en 1986[4]. Par conséquent, le Comité permanent de la justice et le solliciteur général ont effectué un examen, puis déposé en 1987 un rapport intitulé Une question à deux volets : Comment améliorer le droit d’accès à l’information tout en renforçant les mesures de protection des renseignements personnels. En 2008-2009, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a procédé à une étude de la LPRP et a déposé un rapport intitulé La Loi sur la protection des renseignements personnels : Premiers pas vers un renouvellement[5]. Ni l’une ni l’autre de ces études n’a donné lieu à des modifications législatives[6].

Le 22 mars 2016, le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a envoyé une lettre au Comité dans laquelle il formule 16 recommandations de changements à la LPRP[7]. Le 16 septembre, il a fait parvenir d’autres précisions sur le rôle du Commissariat à la protection de la vie privée du Canada (CPVP) et ses pouvoirs de rendre des ordonnances[8]. Le 1^er novembre, il a soumis des recommandations révisées (voir l’annexe A[9]). Ces recommandations, qu’il a regroupées par les thèmes des changements technologiques, de modernisation des normes juridiques et de transparence accrue, forment la base de la présente étude.

Un certain nombre de témoins étaient généralement d’accord avec l’ensemble des recommandations du commissaire, mais ont formulé quelques observations et suggestions pour les améliorer. Parmi ces témoins se trouvent :

• Teresa Scassa, professeure titulaire à l’Université d’Ottawa et titulaire de la chaire de recherche du Canada en droit d’information[10];
• David Lyon, professeur à l’Université Queen’s de Kingston (Ontario)[11];
• Tamir Israel, avocat à la Clinique d’intérêt public et de politique d’Internet du Canada Samuelson-Glushko (CIPPIC)[12]^,[13];
• Brenda McPhail, directrice, Confidentialité, technologie et surveillance, Association canadienne des libertés civiles (ACLC)[14];
• Colin Bennett, professeur du Secteur sciences politiques de l’Université de Victoria[15];
• Michael Geist, titulaire de la chaire de recherche du Canada en droit d’Internet et du commerce électronique et professeur de droit, Université d’Ottawa[16];
• David Fraser, associé de la firme d’avocats McInnes Cooper, d’Halifax (Nouvelle-Écosse)[17];
• Catherine Tully, commissaire à l’information et à la protection de la vie privée de la Nouvelle-Écosse[18];
• Donovan Molloy, commissaire à l’information et à la protection de la vie privée de Terre‑Neuve‑et‑Labrador[19];
• Chantal Bernier, avocate-conseil, Protection des renseignements personnels et cybersécurité, firme d’avocats Dentons Canada, et ex-commissaire par intérim à la protection de la vie privée du Canada[20];
• Michael Karanicolas, conseiller juridique principal, Centre for Law and Democracy (CLD)[21].

Gary Dickson, de l’Association du Barreau canadien (ABC), Section du droit de la vie privée et de l’accès à l’information[22], et Michel Drapeau, professeur de la Faculté de droit de l’Université d’Ottawa[23], étaient d’accord avec la plupart des recommandations, mais avaient des désaccords ou des questions sur d’autres.

1.3  Le besoin de réforme

Lors de sa première comparution pour la présente étude, le commissaire Therrien a parlé de la « refonte absolument nécessaire de la Loi sur la protection des renseignements personnels[24] », loi qu’il a qualifiée de « périmée ». Soulignant que la technologie avait, elle, évolué, il a dit que « dans le monde numérique, il est infiniment plus facile de recueillir, de stocker, d’analyser et de partager d’énormes quantités de renseignements personnels. Voilà qui complique beaucoup plus la tâche consistant à sauvegarder toutes ces données et qui suscite de nouveaux risques pour la protection de la vie privée[25] ».

Dans son dernier mémoire, M. Therrien a énoncé certains des risques qu’il y aurait à ne pas moderniser la LPRP :

Dans le secteur public, il y aurait notamment une atténuation inadéquate des risques d’atteinte à la sécurité des données, et une collecte et une communication excessives de renseignements personnels, ce qui pourrait ébranler la confiance envers le gouvernement, et plus précisément, la confiance à l’égard des systèmes en ligne, ce qui pourrait miner les efforts déployés par le gouvernement pour moderniser ses services et ses communications numériques avec les Canadiens.

Certains gouvernements ont déjà pris des mesures pour renforcer leur cadre de protection de la vie privée, en particulier l’Union européenne. Si les autorités européennes jugent que les lois canadiennes en matière de protection de la vie privée ne sont plus substantiellement équivalentes à celles qui protègent leurs ressortissants, les relations commerciales entre le Canada et l’Europe risquent de devenir plus difficiles, à mon avis[26].

De façon générale, les témoins sont d’accord pour dire qu’il faut moderniser la LPRP. M. Lyon a fait valoir que la LPRP « repose sur des idées plutôt fixes liées à qui recueille ces renseignements et où ils sont retransmis, le cas échéant. À l’heure actuelle, nous devrions nous concentrer sur leur mobilité et non sur leur fixité[27] ». M. Bennett abonde dans le même sens : « En raison de l’absence de réforme, une grande partie du contenu de la Loi se trouve dans diverses directives du Secrétariat du Conseil du Trésor, qui peuvent parfois être ignorées ou interprétées de façon sélective[28] ».

M. Israel, de la CIPPIC, a décrit certaines difficultés d’aujourd’hui :

Dans un contexte où les décisions s’appuient sur des données, communément appelées les « mégadonnées », de plus en plus d’organismes d’État sont amenés à ratisser large dans leurs efforts de collecte de données. De plus, la plupart du temps, la Loi s’applique pour examiner des activités motivées par des considérations liées à l’application de la Loi et à la sécurité qui sont très éloignées des activités administratives qui ont mené à son adoption[29].

Il a poursuivi en ces termes : « il faut modifier la Loi d’une façon qui assure le maintien des principes fondamentaux de protection de la vie privée et englobe les idées contemporaines sur les meilleurs moyens de protéger les données personnelles dans un environnement réseauté, permettant ainsi à des organismes de communiquer plus librement et instantanément des données personnelles au sein de leur propre organisation et à d’autres organismes[30] ».

Dans le même ordre d’idée, Drew McArthur, commissaire intérimaire, Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, a dit que le moment était bien choisi pour faire concorder la LPRP « avec les autres activités qui se déroulent partout au pays et à l’étranger[31] ». De même, Vincent Gogolek, directeur général de la B.C. Freedom of Information and Privacy Association (BC FIPA), a déclaré que la révision de la LPRP « devrait aussi viser une meilleure harmonisation de la Loi, non seulement avec des lois en matière de protection de la vie privée plus modernes et assurant une meilleure protection, mais aussi à la loi fédérale équivalente pour le secteur privé, la LPRPDE [Loi sur la protection des renseignements personnels et les documents électroniques], qui est aussi administrée par ce même commissaire[32] ».

CHAPITRE 2 : CHANGEMENTS TECHNOLOGIQUES

2.1  Objet de la Loi sur la protection des renseignements personnels et définition de renseignements personnels

2.1.1  Objet de la Loi sur la protection des renseignements personnels

Pour que la LPRP évolue au même rythme que la technologie, plusieurs témoins ont laissé entendre qu’il serait bon de modifier l’objet de la LPRP énoncé à l’article 2 pour y inclure des principes de protection des renseignements personnels qui soient neutres du point de vue technologique. Voici le libellé actuel de l’article 2 :

La présente loi a pour objet de compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d’accès des individus aux renseignements personnels qui les concernent[33].

M. Israel, de la CIPPIC, a dit que la disposition de déclaration d’objet de la LPRP :

devrait être révisée afin de reconnaître explicitement les objectifs de la Loi : protéger les droits à la vie privée et accroître la transparence et la reddition de comptes de l’État en ce qui concerne l’utilisation des renseignements personnels. Le fait de reconnaître ces objectifs, comme on l’a fait à l’échelle provinciale, contribuera à aligner la Loi sur ses objectifs quasi constitutionnels et à assurer l’efficacité de son application dans le cas où des ambiguïtés surviendraient à l’avenir, comme ce sera probablement le cas[34].

Il a ajouté qu’il était important que les principes de nécessité et de proportionnalité soient explicitement reconnus dans la LPRP[35]. M^me McPhail, de l’ACLC, estime elle aussi que la LPRP devrait être fondée sur des principes[36] et pense qu’elle « doit englober les utilisations actuelles et futures des renseignements personnels[37] ». Pareillement, M. Gogolek, de la BC FIPA, a fait valoir qu’il était « important que les législateurs rédigent des lois à un niveau assez élevé, pour qu’elles demeurent fondées sur des principes et neutres sur le plan technologique[38] ». M. Karanicolas, du CLD, abonde en ce sens[39], de même que Michael Peirce, directeur adjoint du Renseignement, Service canadien du renseignement de sécurité (SCRS)[40].

M^me Tully, commissaire à l’information et à la vie privée de la Nouvelle-Écosse, a dit que le fait d’avoir une disposition de déclaration d'objet dans la loi néo-écossaise sur l’accès à l’information et la protection de la vie privée avait « beaucoup aidé les tribunaux à l’interpréter[41] ». Elle recommande d’ajouter un pareil énoncé dans la LPRP[42].

Selon plusieurs témoins, cet énoncé d’intention élargi pourrait reposer sur l’approche adoptée dans la LPRPDE. Par exemple, M. Fraser a dit :

La LPRPDE est un vrai modèle pour élaborer une loi sur la protection des renseignements personnels qui est fondée sur des principes, des principes fondamentaux auxquels la majorité des Canadiens peuvent adhérer, je pense. Ce sont les os sur lesquels on met la viande, mais on doit s’assurer que le modèle résistera à l’épreuve du temps[43].

M. Geist a aussi proposé de s’inspirer de la LPRPDE comme exemple d’approche fondée sur des principes internationaux en matière de protection de la vie privée [44].

D’autres témoins ont fait des suggestions quant aux principes à inclure dans une disposition de déclaration d’objet révisée. Lisa Austin, professeure agrégée à la Faculté de droit de l’Université de Toronto, a recommandé :

d’inclure dans la Loi sur la protection des renseignements personnels un renvoi aux droits à la vie privée protégés par la Charte canadienne des droits et libertés. Il faudrait le faire figurer dans l’article de déclaration de l’objet de la loi afin de permettre des arguments se rapportant à la Charte des droits et libertés[45].

Ken Rubin, recherchiste d’enquête et protecteur des consommateurs, était du même avis[46].

En particulier, M^me Scassa a affirmé qu’une LPRP réformée devrait inclure le principe de minimisation des données[47], autrement dit, « une réduction de la quantité de renseignements recueillis en premier lieu[48] ».

Le Comité accepte l’idée d’inclure des principes de protection de la vie privée qui soient neutres du point de vue technologique dans la disposition de déclaration d’objet de la LPRP et recommande donc :

RECOMMANDATION 1

• a) Que l’on élargisse la disposition de déclaration d'objet à l’article 2 de la Loi sur la protection des renseignements personnels pour renforcer la nature quasi constitutionnelle des droits à la vie privée en y incluant des principes de protection de la vie privée qui soient neutres du point de vue technologique et généralement acceptés, comme ceux que l’on trouve dans la Loi sur la protection des renseignements personnels et les documents électroniques, dont la responsabilité; la détermination des fins de la collecte de renseignements; la limitation de la collecte; la limitation de l’utilisation, de la communication et de la conservation; l’exactitude; les mesures de sécurité; la transparence; l’accès individuel; et la possibilité de porter plainte à l’égard du non-respect des principes.
• b) Que l’on modifie la Loi sur la protection des renseignements personnels pour préciser que les principes de protection de la vie privée que l’on trouve dans l’objet modifié servent à orienter l’interprétation de la Loi.

2.1.2  La définition de « renseignements personnels »

L’article 3 de la LPRP définit ainsi les « renseignements personnels » : « Les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable[49] », puis donne une liste non exhaustive de types de renseignements inclus.

Le commissaire Therrien a souligné l’importance d’examiner soigneusement toute modification à la définition de « renseignements personnels » en faisant la mise en garde suivante :

la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels doivent être considérées comme un code homogène, et les modifications apportées à l’une de ces lois pourraient avoir une incidence sur l’autre. II faut en tenir compte. Toute modification touchant l’équilibre entre les droits d’accès et le droit à la vie privée dans la législation actuelle doit être mûrement réfléchie comme, par exemple, les modifications à la définition de l’expression « renseignements personnels » et à la primauté de l’intérêt public prévue dans la Loi sur l’accès à l’information.

À mon avis, ces modifications devraient être étudiées lors de la deuxième phase de la réforme de la Loi sur l’accès à l’information[50].

Plusieurs témoins ont proposé de modifier la définition de « renseignements personnels » en y supprimant la mention des renseignements consignés. Pour citer M. Gogolek, de la BC FIPA : « le commissaire a recommandé, en 2008, d’éliminer la restriction voulant que la loi s’applique uniquement à l’information consignée. En 2008, nous pensions que c’était une bonne idée, et nous sommes toujours de cet avis[51] ».

D’autres témoins souscrivent à cet avis. M. Rubin, par exemple, a recommandé « que l’information non enregistrée, comme les échantillons biologiques personnels, y compris l’ADN et les lectures d’iris, soit couverte [52] ». M. Fraser a aussi proposé de retirer « l’exigence selon laquelle les renseignements personnels doivent être sur un support pour être soumis à la Loi[53] ». M. Israel, de la CIPPIC, est du même avis : « La définition actuelle s’applique uniquement aux renseignements personnels qui sont consignés, alors que de nombreuses pratiques modernes de collecte et d’utilisation de données ne consignent jamais systématiquement les données personnelles, mais ont tout de même une incidence importante sur la vie privée des gens[54] ». Il a recommandé que l’on mette à jour la définition de « renseignements personnels » de façon à ce qu’elle concorde avec la définition semblable énoncée dans la LPRPDE[55]. Cette définition énonce que le terme « renseignement personnel » s’entend de « [t]out renseignement concernant un individu identifiable[56] ».

Le Comité convient que la LPRP doit s’appliquer à tous les renseignements personnels et recommande donc :

RECOMMANDATION 2

Que l’on modifie la définition de « renseignements personnels » à l’article 3 de la Loi sur la protection des renseignements personnels pour s’assurer qu’elle est neutre du point de vue technologique et y inclure les renseignements non consignés.

2.1.3  La définition de métadonnées

Plusieurs témoins ont parlé des difficultés propres aux métadonnées, que le Bureau du commissaire du Centre de la sécurité des télécommunications décrit de la façon suivante :

le contexte, mais pas le contenu d’une communication. Les métadonnées comprennent l’information associée à une communication qui est utilisée pour identifier, décrire, gérer ou acheminer cette communication. Elles englobent, sans pour autant s’y limiter, un numéro de téléphone, une adresse de courriel ou une adresse de protocole Internet ainsi que de l’information concernant un réseau et la géolocalisation[57].

Dans son témoignage, le président du Conseil du Trésor, l’honorable Scott Brison, a dit que les métadonnées respectaient la définition de renseignements personnels de la LPRP[58].

Comme l’a fait remarquer M. Lyon, on cherche encore à déterminer si les métadonnées constituent des renseignements personnels. Il a affirmé qu’on pense parfois « à tort qu’il s’agit de renseignements tirés de l’annuaire téléphonique et non du contenu des messages », mais que, « la plupart du temps, ces métadonnées révèlent plus d’information que l’on pense[59] ».

M. Geist a fait savoir que la valeur des métadonnées était énorme et qu’il était « essentiel que les métadonnées soient considérées comme étant des renseignements des plus confidentiels, tant dans la Loi sur la protection des renseignements personnels que dans d’autres instruments législatifs où il est question de ces données[60] ». Pareillement, M. Fraser a dit : « La Loi sur la protection des renseignements personnels est tout indiquée pour aborder la question des métadonnées. Selon la définition dans la Loi, si elle est modifiée afin de tenir compte des enregistrements, les renseignements personnels sont des renseignements concernant une personne. Les métadonnées, y compris leur contenu, sont des renseignements permettant d’identifier une personne[61] ».

M. Karanicolas, du CLD, s’est dit d’avis que les métadonnées peuvent avoir d’importantes répercussions sur la vie privée et qu’il fallait les protéger, mais a aussi mentionné qu’il y avait des risques à vouloir les définir dans la LPRP : « De nos jours, le terme “métadonnées” signifie une certaine chose, mais dans 5 ou 10 ans, il pourrait très bien vouloir dire totalement autre chose[62] ». M. Gogolek, de la BC FIPA, a aussi souligné qu’il valait mieux ne pas être trop précis à ce sujet dans la LPRP[63]. M. Israel, de la CIPPIC, a proposé une façon de remédier à ce problème :

Peut-être qu’un renvoi à un règlement, qui permettrait l’adoption d’une définition évolutive, serait le meilleur moyen de résoudre ce problème particulier et de s’assurer que ce type de données reste protégé par la Loi sur la protection des renseignements personnels[64].

Selon M^me McPhail, de l’ACLC, la réglementation pourrait traiter des détails, mais elle aimerait quand même que les métadonnées soient incluses dans « une déclaration générale sur les types de renseignements protégés[65] ».

Au sujet des métadonnées, certains témoins ont évoqué le jugement rendu en 2014 par la Cour suprême du Canada dans l’affaire R. c. Spencer[66]. Dans son jugement, la Cour avait statué que « les renseignements concernant les activités d’un abonné sur Internet ne devraient pas être obtenus sans mandat, sauf dans des circonstances très précises[67] ». Lors de sa première comparution, le commissaire Therrien avait affirmé :

La décision Spencer, rendue par la Cour suprême en 2014, a beaucoup aidé à réglementer la façon dont les forces policières peuvent utiliser les métadonnées dans le cadre d’une enquête. […] Je ne suis clairement pas favorable à ce qu’on atténue la protection établie par la décision Spencer, et j’irais jusqu’à dire que, si l’on devait légiférer à cet égard, je recommanderais que l’on codifie et confirme les principes énoncés dans la décision Spencer. Serait‑il judicieux de définir les métadonnées? Je n’en suis pas si sûr, mais il serait utile de confirmer les principes énoncés dans la décision Spencer[68].

Dans son témoignage, M^me Bernier a déclaré que dans le jugement Spencer, « ce que la Cour dit – et cela est très important – c’est que les renseignements personnels ne sont pas ce qu’ils sont, ce sont ce qu’ils révèlent. C’est une notion dynamique[69] ». M. Gogolek, de la BC FIPA, a aussi évoqué l’affaire Spencer, qui, selon lui, « nous a donné une très bonne idée de l’importance des métadonnées. Elles constituent des renseignements personnels qui doivent être protégés[70] ».

Lors de sa dernière comparution, le commissaire Therrien a déclaré :

Je souhaite qu’on élabore un cadre ou des dispositions qui énonceraient des principes, acceptés par le Parlement et nos élus, qui dicteraient dans quelles circonstances les organismes gouvernementaux pourraient recueillir et échanger des métadonnées et dans quelles circonstances ils pourraient conserver cette information. Je ne souhaite pas qu’on adopte une approche très normative; je veux qu’on établisse des règles de base[71].

Il a ajouté :

Devrait-on définir les métadonnées dans la Loi sur la protection des renseignements personnels? Ce serait une bonne chose que cette question soit définie.

Est-ce que c’est dans la Loi sur la protection des renseignements personnels? On sait que la collecte, l’utilisation et l’échange des métadonnées ne se fait pas qu’en vertu de la loi générale sur la protection des renseignements personnels. Il faudrait trouver un moyen de s’assurer que la définition et les règles touchant la collecte, l’utilisation et l’échange – ce qui est le fond de la question – s’appliquent dans tous les cas où ces renseignements sont utilisés[72].

Le Comité estime qu’il conviendrait de définir plus nettement ce que sont les métadonnées et recommande donc :

RECOMMANDATION 3

Que le gouvernement du Canada définisse les métadonnées dans la Loi sur la protection des renseignements personnels, d’une façon qui soit neutre du point de vue technologique et en insistant sur les renseignements qu’elles peuvent dévoiler sur une personne.

2.2  Ententes de communication de renseignements personnels

Le commissaire à la protection de la vie privée recommande que la communication de renseignements personnels régie par les alinéas 8(2)a) et f) de la LPRP fasse l’objet d’une entente écrite (voir la recommandation 1 à l’annexe A). Ces alinéas disposent que :

Sous réserve d’autres lois fédérales, la communication des renseignements personnels qui relèvent d’une institution fédérale est autorisée dans les cas suivants :

a) communication aux fins auxquelles ils ont été recueillis ou préparés par l’institution ou pour les usages qui sont compatibles avec ces fins;

f) communication aux termes d’accords ou d’ententes conclus d’une part entre le gouvernement du Canada ou l’un de ses organismes et, d’autre part, le gouvernement d’une province ou d’un État étranger, une organisation internationale d’États ou de gouvernements, le conseil de la première nation de Westbank, le conseil de la première nation participante – au sens du paragraphe 2(1) de la Loi sur la compétence des premières nations en matière d’éducation en Colombie-Britannique – ou l’un de leurs organismes, en vue de l’application des lois ou pour la tenue d’enquêtes licites[73];

Lors de sa première comparution devant le Comité dans le cadre de cette étude, le commissaire Therrien a déclaré :

L’évolution de la technologie a favorisé une augmentation exponentielle de l’échange de renseignements dans l’appareil gouvernemental. Les règles juridiques existantes ne sont pas suffisantes pour réglementer un partage de données aussi massif. Nous recommandons donc de modifier la Loi sur la protection des renseignements personnels afin qu’elle exige que tous les échanges de renseignements soient régis par des accords écrits et que ceux-ci comprennent des éléments bien précis[74].

Dans son mémoire au Comité, la Section du droit de la prive privée et de l’accès à l’information de l’ABC appuie cette recommandation[75]. M. Bennett[76] et M^me Bernier appuient également cette recommandation. M^me Bernier a déclaré :

[J]e crois que l’exigence d’accords écrits qui encadrent mieux le partage de renseignements s’impose pour deux raisons majeures : d’abord, pour protéger les droits fondamentaux, et aussi, pour assurer la reddition de comptes de la part des agences gouvernementales pour ce qui est de la protection de ces droits fondamentaux. La recommandation du Commissariat est donc très pertinente et même urgente à cet égard[77].

M^me Scassa est aussi en faveur cette recommandation, qui, a-t-elle déclaré :

présenterait aussi au public un certain degré de transparence. En effet, les gens ont le droit de savoir si les renseignements qu’ils fournissent à une agence ou à un ministère seront divulgués et, dans l’affirmative, dans quelles conditions leurs renseignements personnels seront transmis à des gouvernements provinciaux ou étrangers[78].

M. Karanicolas, qui appuie cette recommandation relative à la communication des renseignements personnels, ajoute que « ces ententes devraient être publiques et elles devraient fixer des limites précises par rapport aux fins auxquelles les communications sont autorisées. En outre, il devrait y avoir un processus de divulgation quand les conditions ne sont pas respectées et des recours efficaces pour les personnes touchées[79] ». La BC FIPA, qui appuie la recommandation quant aux accords de communication des renseignements personnels, ajoute « qu’ils devraient également être affichés sur le site Web du gouvernement du Canada[80] ».

M^me Austin a déclaré, au sujet de cette recommandation, que « des accords écrits seraient un début. De nouveau, je voudrais que l’exigence de conformité à la Charte y soit intégrée, parce qu’une partie de cette information partagée pourrait soulever des problèmes en regard de la Charte et que ceux-ci doivent être relevés tôt dans le processus[81] ».

Des représentants d’institutions fédérales qui ont comparu devant le Comité se sont déclarés préoccupés d’avoir à exiger des accords de communication des renseignements personnels. Le commissaire adjoint Joe Oliver de la Gendarmerie royale du Canada (GRC) a déclaré :

Il serait très difficile de négocier un accord avec tous les intervenants avec lesquels nous communiquons de l’information. C’est la raison pour laquelle nous nous sommes dotés de politiques strictes qui définissent de quelle façon nous échangeons l’information et avec qui nous le faisons. Il y a un besoin de savoir, et il y a un droit de savoir. De plus, nous évaluons la pertinence de toutes les demandes, la fiabilité de l’information que nous communiquons et l’exactitude des renseignements avant toute communication. Puis, nous communiquerons l’information en l’assortissant d’une mise en garde contre toute dissémination subséquente, ce qui signifie qu’il faut demander à l’intervenant qui a communiqué initialement l’information s’il est possible de la communiquer à d’autres entités[82].

M. Peirce, du SRCS, a exprimé d’autres préoccupations, indiquant que :

[I]l serait difficile pour le SCRS de rendre publique sa relation avec tous les organismes de renseignements de sécurité de la planète avec lesquels nous travaillons. Cela reviendrait à communiquer des liens qui sont étroitement protégés par certains de nos partenaires, parfois, des liens dont la divulgation pourrait miner notre capacité de recueillir des renseignements sur la sécurité nationale au sujet des menaces à la sécurité du Canada[83].

Stefanie Beck, sous-ministre adjointe aux Services ministériels à Immigration, Réfugiés et Citoyenneté Canada (IRCC) a déclaré que « c’est toujours plus facile si nous avons un pouvoir législatif de le faire sans avoir à négocier un accord distinct en bonne et due forme[84] ». M. Dan Proulx, directeur de l’Accès à l’information et de la protection des renseignements personnels à l’Agence des services frontaliers du Canada (ASFC), a évoqué la préoccupation suivante :

[L]a Loi sur la protection des renseignements personnels assujettie à d’autres lois du Parlement qui contiennent déjà des dispositions sur la divulgation, et donc, par conséquent, pour ce qui est des usages compatibles, le fait d’avoir à conclure un accord écrit dans chaque cas serait très problématique.

Sinon, lorsqu’on parle d’usage non compatible, nous sommes d’accord, et nous soutenons le besoin d’avoir un cadre de gouvernance, un pouvoir, un document écrit et signé, pour encadrer la communication de ce genre d’information[85].

Au sujet des ententes de communications des renseignements personnels avec d’autres pays, le commissaire Therrien a déclaré, lors de sa dernière comparution :

Ce serait trop lourd que d’avoir des ententes conçues sur une base de transactions. Ce n’est pas ce que nous recommandons. Nous voulons plutôt voir des ententes-cadres qui offrent plus de précisions que la Loi elle-même quant au type de renseignements qui, dans un contexte donné, seraient communiqués et à quelles fins[86].

Il a ajouté que, pour le Commissariat :

il s’agirait […] d’intervenir avant que l’échange ait lieu, au niveau des politiques, de l’EFVP [évaluation des facteurs relatifs à la vie privée]. Ensuite, […] dans nos recommandations ne l’obligerait à nous consulter au cas par cas. Cela se passerait préalablement, au niveau du contenu de l’entente. Alors, le ministère mettrait en œuvre l’entente.

Le Comité fait sienne la recommandation du commissaire quant aux accords de communication des renseignements personnels et recommande donc :

RECOMMANDATION 4

Que la Loi sur la protection des renseignements personnels soit modifiée afin d’exiger que les communications d’information visées par les alinéas 8(2)a) et f) de la Loi sur la protection des renseignements personnels soient régies par des accords écrits comprenant des éléments bien précis.

RECOMMANDATION 5

Que la Loi sur la protection des renseignements personnels soit modifiée afin d’exiger explicitement que les accords nouveaux ou modifiés soient soumis à l’examen du Commissariat à la protection de la vie privée du Canada, et que les accords existants puissent être examinés par le commissaire à la protection de la vie privée sur demande.

RECOMMANDATION 6

• a) Que la Loi sur la protection des renseignements personnels soit modifiée afin d’exiger explicitement que les ministères fassent preuve de transparence quant à l’existence de ces accords.
• b) Que la Loi sur la protection des renseignements personnels soit modifiée afin d’exiger, sauf dans les circonstances qui le justifient, la publication du contenu des accords de communication de renseignements personnels entre les ministères ou avec d’autres gouvernements.

2.3  Protection des renseignements personnels

Le commissaire à la protection de la vie privée recommande d’obliger légalement les institutions gouvernementales à protéger les renseignements personnels (voir la recommandation 2 à l’annexe A). Lors de sa première comparution devant le Comité, le commissaire Therrien a déclaré que, « [d]ans le monde numérique, il est infiniment plus facile de recueillir, de stocker, d’analyser et de partager d’énormes quantités de renseignements personnels. Voilà qui complique beaucoup plus la tâche consistant à sauvegarder toutes ces données et qui suscite de nouveaux risques pour la protection de la vie privée[87] ». Au sujet de la protection des renseignements personnels, il a souligné que, « [p]our le moment, ces obligations ne sont pas vraiment définies dans la Loi, mais plutôt dans les politiques du gouvernement[88] ».

Dans le mémoire qu’elle a soumis au Comité, la BC FIPA affirme :

Nous partageons l’avis du Commissariat selon lequel la directive administrative du Secrétariat du Conseil du Trésor (SCT) n’est pas suffisante et que la Loi sur la protection des renseignements personnels devrait être harmonisée avec d’autres lois (y compris la FIPPA [Freedom of Information and Protection of Privacy Act] de la Colombie-Britannique et la LPRPDE) en incluant expressément cette exigence. La norme de protection dans le secteur public ne devrait pas être moins élevée que la norme que le gouvernement fédéral a imposée au moyen de la LPRPDE[89].

Dans son mémoire, la Section du droit de la prive privée et de l’accès à l’information de l’ABC s’accorde également sur la nécessité d’inclure des mesures de protection dans la législation, soulignant que, même si le SCT et d’autres institutions gouvernementales ont élaboré des politiques sur la protection des renseignements personnels, « [c]es efforts ont été inadéquats pour indiquer aux fonctionnaires et au public le grave risque de perte, de vol ou d’usage à mauvais escient des renseignements personnels sous forme numérique[90] ». Le mémoire souligne également qu’ « [o]n retrouve dans de nombreuses autres dispositions législatives canadiennes sur la protection des renseignements personnels, tant en ce qui concerne le secteur public que le secteur privé, l’obligation pour l’organisation de mettre en place des mesures raisonnables de protection des renseignements personnels, y compris des mesures de protection administratives, techniques et matérielles[91] ».

M. Israel, de la CIPPIC[92], et M^me McPhail, de l’ACLC[93], ont tous les deux appuyé l’idée de créer une obligation légale de protéger les renseignements personnels. Dans son témoignage, M^me Austin souligne que « [l]e fait de ne pas garantir adéquatement les renseignements pose de graves problèmes au regard de la Charte, et les tribunaux commencent à y faire réellement attention[94] ».

Certains témoins ont mentionné qu’il fallait des sanctions en cas d’infraction à la LPRP. M. Fraser a déclaré : « Bien d’autres lois sur la protection des renseignements personnels […] comportent une disposition qui crée une infraction. Des accusations peuvent être portées contre une personne ou une institution qui enfreint la loi, illégalement et normalement en connaissance de cause[95] ». M. Gogolek, de la BC FIPA, a dit : « il convient d’accroître la portée et l’accessibilité des sanctions prévues dans la Loi sur la protection des renseignements personnels, y compris les dommages-intérêts[96] ».

L’une des mesures de protection proposées est d’exiger que les données soient stockées au Canada. On parle d’entreposage ou de localisation des données nationales. M. Gogolek a déclaré lors de son témoignage :

La loi de la Colombie-Britannique sur la protection des renseignements personnels dans le secteur public prévoit une exigence pour le stockage de données nationales, ce qui n’existe pas à l’échelle fédérale. Encore une fois, cette exigence a été appuyée, récemment, par le comité chargé de l’examen de la loi, plus tôt cette année, et aussi par le gouvernement de la Colombie-Britannique. Nous vous invitons à étudier ce qui a été fait[97] […].

D’autres témoins ont exprimé des réserves à l’égard d’une telle approche. Au sujet des préoccupations exprimées quant au stockage de l’information aux États-Unis, qui a une approche différente de la protection de renseignements personnels, M^me Austin a déclaré :

La localisation des données est une solution. Je crois qu’il est irréaliste de penser que c’est une solution à long terme. Une autre solution […] à négocier avec des pays alliés, comme les États-Unis, un accord bilatéral selon lequel, quand des données canadiennes se trouvent en sol américain, les États-Unis protègent les Canadiens dans la même mesure que leurs propres citoyens[98].

M. Fraser a déclaré que la localisation des données n’est qu’un des nombreux facteurs à entrer en ligne de compte. Il a déclaré qu’il faut faire preuve d’une « compréhension nuancée de l’analyse des risques » et a rappelé la politique du SCT qui veut que,

si un ministère s’apprête à prendre une décision concernant l’emplacement des données […] l’emplacement sera un facteur, mais d’autres facteurs entrent en ligne de compte. Qui sera le fournisseur de services? À qui est-il redevable? Quels sont ses liens nationaux[99]?

De même, le commissaire adjoint Joe Oliver, de la GRC, a aussi demandé à ce que l’approche de la protection des renseignements personnels soit fondée sur les risques :

Je dis cela en raison de certaines des mesures de contrôle de sécurité. Si elles étaient appliquées de façon uniforme, et si les mesures qui sont mises en place par mes collègues du SCRS étaient ensuite appliquées à d’autres renseignements gouvernementaux, les coûts seraient énormes. Nous devons adopter une approche mesurée de protection fondée sur les risques, en fonction du type de renseignements détenus et à la lumière des menaces qui pèsent contre ces renseignements. Ensuite, nous devons mettre en place des contrôles de sécurité mesurés qui seront rentables, mais qui permettront aussi d’atteindre l’objectif de la protection des renseignements[100].

D’autres représentants du gouvernement ont décrit les mesures de protection des renseignements personnels déjà en place[101].

Le Comité fait sienne la recommandation du commissaire quant au fait d’obliger légalement les institutions gouvernementales à protéger les renseignements personnels et recommande donc :

RECOMMENDATION 7

Que la Loi sur la protection des renseignements personnels soit modifiée afin d’obliger explicitement les institutions à protéger les renseignements personnels en prenant des mesures physiques, organisationnelles et technologiques correspondant au niveau de sensibilité des données.

RECOMMANDATION 8

Que la Loi sur la protection des renseignements personnels soit modifiée pour énoncer des conséquences précises au défaut de protéger les renseignements personnels.

2.4  Déclaration des atteintes à la vie privée

Le commissaire à la protection de la vie privée recommande d’obliger les institutions gouvernementales à déclarer rapidement au Commissariat les atteintes substantielles à la sécurité des renseignements personnels et à en aviser les personnes touchées s’il y a lieu (voir la recommandation 3 à l’annexe A). Lors de sa première comparution devant le Comité, le commissaire Therrien a déclaré :

Le fait que les ministères recueillent et utilisent des quantités toujours plus grandes de renseignements personnels a aussi accru les risques d’atteintes à la vie privée. En fait, ces dernières années, il y a eu au sein du gouvernement des atteintes massives à la vie privée qui ont touché des dizaines de milliers, voire des centaines de milliers de citoyens.

Nous recommandons donc que la Loi oblige explicitement les institutions à sauvegarder les renseignements personnels relevant d’elles et à signaler au Commissariat les atteintes à la vie privée[102].

Bien que les témoins aient, de façon générale, appuyé cette recommandation, certains ont formulé des commentaires à son sujet. Ainsi, M^me Teresa Scassa a déclaré :

Le Parlement a récemment amendé la LPRPDE en y ajoutant cette obligation. Lorsque ces dispositions seront en vigueur, le secteur public sera soumis à des normes plus élevées si l’on n’amende pas également la Loi sur la protection des renseignements personnels.

En modifiant la Loi sur la protection des renseignements personnels pour y ajouter l’obligation de déclarer l’atteinte à la protection des données, il faudra tenir compte de la nécessité d’en avertir le commissaire et les personnes touchées en leur indiquant qu’une infraction ainsi commise pourrait atteindre un certain seuil de préjudice, comme la LPRPDE l’exigera aussi.

Les amendements apportés à la LPRPDE exigeront aussi que l’on tienne des dossiers sur toutes les infractions aux mesures de sécurité, qu’elles atteignent ou non le seuil de préjudice exigeant qu’on les déclare officiellement. Le Parlement devrait exiger que les organismes régis par la Loi sur la protection des renseignements personnels tiennent des dossiers et présentent au CPVP des rapports sur ces événements. Ces rapports serviraient à cerner des pratiques ou des tendances[103] […].

D’autres témoins, et notamment, M^me McPhail de l’ACLC[104], M. Israel de la CIPPIC[105], la Section du droit de la prive privée et de l’accès à l’information de l’ABC[106], M. Fraser[107], M. McArthur[108] et M^me Bernier[109], ont demandé à ce que la Loi sur la protection des renseignements personnels comporte des obligations de déclaration similaires à celles qui vont être incluses dans la LPRDE.

M. Bennett a souligné que, tout comme pour la LPRDE, « [l]a déclaration obligatoire des atteintes à la vie privée est une caractéristique des lois modernes en matière de protection de la vie privée[110] ». Il a poursuivi en ajoutant qu’il était crucial

de jumeler le bâton de la déclaration obligatoire des atteintes à la vie privée et la carotte, qui prévoit que la déclaration n’est pas nécessaire si les données sont chiffrées et qu’on a pris les mesures techniques nécessaires pour protéger les données. À ce moment-là, on n’est pas exonéré de toute responsabilité, mais il y a moins à faire pendant le processus de déclaration[111].

Certains témoins ont faire remarquer qu’il peut exister des risques liés au fait d’en aviser les personnes touchées. M. Molloy, commissaire à l’information et à la protection de la vie privée de Terre-Neuve-et-Labrador, a souligné que :

nous pouvons signaler que nous avons vécu des situations où le fait d’informer inutilement des personnes que leurs renseignements personnels avaient été violés peut aussi causer beaucoup de torts. Une fois que la personne a été informée, c’est difficile de revenir en arrière. On a du mal à convaincre les gens que la violation n’a eu aucune incidence sur eux[112].

Lors de sa dernière comparution, le commissaire Therrien a répondu à une question sur les mesures prises pour s’assurer que la déclaration d’une atteinte n’aggrave pas le préjudice causé à une des parties touchées en déclarant que :

vous avez raison de dire qu’en établissant cette obligation, que ce soit dans une politique ou dans une loi, on risque d’accroître les préjudices. Nous avons été consultés par le ministère de l’Innovation [Innovation, Sciences et Développement économique Canada] au sujet de cette même politique dans le secteur privé, et nous avons formulé certains commentaires concernant la façon d’atténuer ce risque. Je suis conscient qu’il y a un risque, mais il est possible de l’atténuer[113].

La plupart des représentants du gouvernement qui ont témoigné devant le Comité ont déclaré qu’ils ne pensaient pas qu’une obligation de déclarer les atteintes substantielles à la vie privée poserait problème[114].

Quoique le Comité ait des préoccupations quant au préjudice que pourrait causer la déclaration d’une atteinte aux personnes touchées, il fait sienne la recommandation du commissaire sur la déclaration des atteintes substantielles et recommande donc :

RECOMMENDATION 9

Que la Loi sur la protection des renseignements personnels soit modifiée afin d’obliger explicitement les institutions gouvernementales à déclarer rapidement au Commissariat à la protection de la vie privée du Canada les atteintes substantielles à la sécurité des renseignements personnels.

RECOMMENDATION 10

Que la Loi sur la protection des renseignements personnels soit modifiée afin d’obliger explicitement les institutions gouvernementales à aviser les personnes touchées, sauf dans les cas pertinents, pourvu que la déclaration n’aggrave pas le préjudice causé à ces dernières.

CHAPITRE 3 : MODERNISATION DES NORMES JURIDIQUES

3.1  Les critères pour la collecte, la communication, l’utilisation et la conservation des renseignements personnels

3.1.1  La recommandation du commissaire à la protection de la vie privée

Le commissaire Therrien a recommandé de « ne permettre la collecte des renseignements que lorsqu'elle est nécessaire à un programme ou une activité gouvernementale », en modifiant « l’article 4 de la Loi sur la protection des renseignements personnels de façon à exiger explicitement la conformité au critère de la nécessité dans le cadre de la collecte des renseignements, conformément aux autres lois sur la protection de la vie privée en vigueur au Canada et à l’étranger[115] ».

L’article 4 de la LPRP se lit comme suit : « Les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités[116] ».

Le commissaire a mentionné qu’il interprète actuellement l’article 4  comme requérant que la collecte de renseignements personnels soit nécessaire pour le programme ou l’activité[117]  et que son interprétation cadre avec l’interprétation donnée par le Secrétariat du Conseil du Trésor dans sa Directive sur les pratiques relatives à la vie privée. Néanmoins, le commissaire a noté que « le gouvernement ne respecte pas toujours cette interprétation[118] » et que « le passage des documents sur support papier aux documents en format numérique a donné lieu à une dynamique de collecte excessive[119] ».

3.1.2  Point de vue des témoins

De manière générale, bien que certains témoins iraient plus loin que la recommandation du commissaire, M^me Scassa[120], M^me McPhail[121], M. Israel[122], M. Fraser[123], M. Geist[124], M. Molloy[125], M^me Tully[126], M^me Bernier[127],  M. Gogolek[128] et l’ABC[129] sont en accord avec l’ajout d’un critère de nécessité à la LPRP pour la collecte de renseignements personnels.

3.1.2.1  La réduction de la quantité de renseignements personnels recueillie

M^me Scassa[130] et M. Israel[131] ont indiqué que la norme actuelle pour la collecte de données est trop vague et trop souple et que la recommandation du commissaire vise « à limiter la collecte exagérée de renseignements personnels[132] ». Précisément, ces deux témoins ont spécifié que cette recommandation s’impose en raison de l’ère des métadonnées où les institutions sont encouragées à recueillir beaucoup de renseignements[133]. M. Israel[134] et M^me McPhail[135] ont indiqué que d’orienter la réflexion vers la nécessité invite les fonctionnaires à se questionner quant à la nécessité réelle de la collecte d’information et de la nécessité de la conserver.

M^me Scassa  a discuté du principe de la minimisation des données qui est appuyé par de nombreuses autorités chargées de la protection des données dans le monde et a indiqué que d’imposer des limites claires au gouvernement en ce qui a trait à la collecte de données favorise la transparence[136]. Selon M^me McPhail[137] et M^me Scassa, la recommandation du commissaire s’inscrit dans le sens du principe de minimisation des données puisqu’elle « sous-entend une réduction de la quantité de renseignements recueillis[138] ». De plus, M^me Scassa[139] et M. Gogolek[140] ont soutenu que la collecte excessive de données pose des risques relativement à la protection des données. Dans cet ordre idées, M. Gogolek a spécifié que « la minimisation des données compte parmi les mesures les plus importantes de protection des renseignements personnels[141] ».

3.1.2.2  Les critères pour la collecte de renseignements personnels

Le Comité a entendu des témoignages sur les critères qui devraient s’appliquer à la collecte de renseignements personnels.

M. Gogolek, de la BC FIPA, a précisé que la loi relative à la protection de la vie privée de la Colombie-Britannique comporte le critère de la nécessité pour la collecte de renseignements et que cette « notion a fait l'objet de nombreuses interprétations, judiciaires et quasi judiciaires, de sorte que son fonctionnement est bien compris[142] ».

Le commissaire Therrien a recommandé de définir la notion de nécessité pour la collecte de renseignements personnels. Il a invité le Comité à se pencher sur quatre facteurs s’inspirant de l’arrêt R c. Oakes[143] de la Cour suprême du Canada :

Ainsi, les renseignements personnels seraient recueillis conformément au critère de la nécessité si l’information a un lien rationnel avec ses programmes ou ses activités et est manifestement nécessaire pour ces derniers; s’il est probable qu’elle répondrait de façon efficace aux objectifs du programme ou de l’activité; qu’il n’y a aucun autre moyen d’atteindre efficacement les objectifs du programme ou de l’activité en portant moins atteinte à la vie privée; et si la perte de vie privée est proportionnelle à l’importance des objectifs du programme ou de l’activité[144].

Le Comité s’est interrogé sur l’opportunité d’imposer à la fois la norme de la nécessité et de proportionnalité à la collecte de renseignements personnels dans la LPRP. À ce sujet, le commissaire a répondu que le CVPC définit le concept de nécessité « en partie, par la proportionnalité. Au bout du compte, tant la nécessité que la proportionnalité feraient partie de la norme[145] ». M. Israel[146], M^me McPhail[147] et M. Fraser[148]  sont d’avis qu’il serait souhaitable d’adopter le principe de la proportionnalité, notamment, pour la collecte de renseignements personnels.

À savoir si le gouvernement peut se servir des renseignements personnels trouvés sur les médias sociaux, M^me Bernier a expliqué que leur utilisation était aussi assujettie au critère de la nécessité : « Le fait est que le gouvernement ne peut pas l’utiliser, parce qu’il ne peut pas utiliser vos renseignements personnels à moins qu’il en démontre la nécessité[149] ».

3.1.2.3  Le critère de la nécessité et la Charte canadienne des droits et libertés

D’une part, M^me Bernier appuie la recommandation du commissaire, mais recommande d’ « ancrer l'obligation de nécessité non pas au programme ni à l'activité, mais à la Charte canadienne des droits et des libertés[150] ». Celle-ci a expliqué qu’établir un lien direct avec la Charte constitue une indication d’une protection supérieure « que d'invoquer le programme en guise de justification[151] ».

M^me Bernier a indiqué que le critère de la nécessité est formulé à l’article premier de la Charte et que l’arrêt Oakes a interprété cet article comme basé sur quatre critères clés : « la nécessité; la proportionnalité de l’atteinte à cette nécessité; l’efficacité de cette intrusion, pour laquelle vous devez prouver le fonctionnement réel; et l’absence d’une solution de rechange moins intrusive[152]  ».

D’autre part, M. Gogolek, de la BC FIPA, est d’avis « qu'inclure le critère de nécessité dans la Loi va dans le même sens qu'appliquer le test de l'arrêt Oakes pour la proportionnalité. C'est semblable, parce que c'est la façon dont nous interprétons généralement les choses[153] ».

Le Comité était très intéressé par le débat, mais estime que le fait de rattacher le critère de nécessité aux programmes ou aux activités d’une institution fédérale protège suffisamment les droits des Canadiens en matière de vie privée.

3.1.2.4  L’ajout de critères pour la communication, l’utilisation et la conservation des renseignements personnels

Le Comité a entendu des témoignages quant à savoir si le critère de nécessité ou d’autres critères, tel que la proportionnalité, devraient également s’appliquer à la communication, l’utilisation et la conservation des renseignements personnels.

De manière générale, voici les opinions des témoins :

• M^me McPhail est d’avis que le critère de la nécessité doit s’appliquer également à la conservation et la communication de renseignements personnels[154].
• M. Israel de la CIPPIC a soutenu que le critère de la nécessité constitue également un bon critère pour évaluer si des données devraient être utilisées ou communiquées[155].
• M. Fraser a indiqué qu’il serait souhaitable d’assujettir la collecte et l’utilisation secondaire de renseignements personnels à un principe de proportionnalité : « L’avantage pour le fonctionnement du gouvernement ou le pays dans son ensemble est-il proportionnel à tout compromis en matière de protection des renseignements personnels? Je pense que ce sont des questions qu’on devrait régulièrement poser[156] ».
• M. Israel a recommandé « l'adoption d'une obligation de proportionnalité qui s'appliquerait à la collecte, à la conservation, à l'utilisation et à la divulgation des renseignements personnels par les organismes gouvernementaux en vertu de la Loi sur la protection des renseignements personnels[157] ». M. Israel a ajouté qu’ « une obligation de proportionnalité ou de caractère raisonnable, calqué sur le paragraphe 5(3) de la LPRPDE, permettrait d'évaluer les considérations relatives à la Charte dans toutes les pratiques en matière de données[158] ». Il a précisé que sa recommandation permettrait de contrôler d’une certaine manière l’application des exceptions prévues à l’article 8(2) de la LPRP[159]. Mme McPhail a appuyé la recommandation de M. Israel[160].
• M^me Austin a recommandé « que l'utilisation ou la divulgation de renseignements personnels à des fins d'enquêtes en vue de l'application de la loi ou de sécurité nationale devrait être assujettie à un examen d'après la protection des droits personnels garantis aux articles 7 et 8 de la Charte et non être examinée simplement en fonction d'une norme de nécessité[161] ».
• M^me Tully est d’avis que l’utilisation des données devrait être guidée par de l’usage compatible qui a parfois été interprété par les tribunaux comme comportant des éléments de nécessité et de proportionnalité[162]. Néanmoins, en ce qui a trait à la communication d’information, M^me Tully est favorable à l’ajout d’une considération de proportionnalité[163]. Selon elle, la communication d’information est souvent basée sur un pouvoir discrétionnaire et l’établissement d’un certain cadre est souhaitable[164].
• Le commissaire Therrien a souligné que la LPRP énonce déjà certaines normes quant à la communication de renseignements personnels[165]. Le commissaire a précisé qu’il n’y avait pas lieu d’imposer le critère de la nécessité pour la communication d’information pour la raison suivante :

Dans une situation d'échange de renseignements, il y a deux parties. Il y a l'organisme qui envoie l'information, et celui qui la reçoit. Pour l'organisme destinataire, la transaction de mise en commun de l'information correspond en fait à un exercice de collecte d'information, et il se peut le critère de nécessité ne s'applique pas à l'organisme expéditeur, mais qu'il s'applique à l'organisme destinataire[166].

• Au moment actuel, la LPRP prévoit très peu de critères en ce qui a trait à la conservation des renseignements personnels recueillis de manière légitime par les institutions fédérales. M. Israel a expliqué que l’absence de règles concernant la conservation des données fait en sorte qu’elles « peuvent être conservées beaucoup plus longtemps que nécessaire, ce qui augmente de façon exponentielle le risque de violation des données et d'utilisation inappropriée. Cela peut même mener à la conservation indéfinie des données dont l'utilité est restreinte, ce qui mine énormément la proportionnalité d'une activité particulière[167] ». Ainsi, M. Israel a spécifié que « l'ajout d'une disposition qui établit clairement les limites de conservation chargerait non seulement les organismes d'État d'adopter des politiques de conservation claires, mais permettrait aussi au commissaire de remédier à une conservation déraisonnable selon des principes[168] ».
• Le commissaire a indiqué que la nécessité devrait être un critère pour la conservation de renseignements personnels[169].

3.1.2.5  Obligation d’exactitude

M^me Austin a recommandé « que le paragraphe 6(2) de la LPRP soit modifié de manière à imposer l'obligation d'assurer l'exactitude de tous les renseignements personnels qui sont utilisés ou divulgués à toutes fins par les institutions[170] » et que l’obligation d’exactitude s’applique aussi aux méthodes de traitement de l’information puisqu’elles n’ont pas toutes la même exactitude. M^me Austin a spécifié que les répercussions pour les droits et libertés fondamentaux peuvent être graves en cas d’information inexacte.

M^me Austin a expliqué que le paragraphe 6(2) de la LPRP, qui énonce qu’ « une institution fédérale est tenue de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets[171] », « devrait s'appliquer également aux divulgations, non seulement aux utilisations[172] ». De plus, « actuellement confinée à des fins administratives, elle devrait être élargie à toutes les fins auxquelles servent ces renseignements[173] ».

3.1.2.6  Le point de vue des institutions fédérales

Plusieurs représentants d’institutions fédérales ont soulevé certains enjeux relatifs à la mise en œuvre de la recommandation du commissaire d’ajouter à la LPRP un critère de la nécessité pour la collecte de renseignements personnels.

D’abord, M. Proulx de l’ASFC a indiqué, qu’à son avis, le « principe est déjà enchâssé dans nos activités quotidiennes[174] ». Néanmoins, M. Proulx a souligné l’importance d’aborder le critère de la nécessité d’un point de vue pratique et s’est dit préoccupé d’un point de vue opérationnel :

En théorie, un critère de nécessité semble une bonne idée, mais, en pratique, je ne sais pas vraiment comment on pourrait l'appliquer, surtout vu les immenses quantités de renseignements que nous recueillons pour réaliser nos mandats.

Quel que soit le critère, même s'il est enchâssé dans une loi, il faudrait que son application soit possible d'un point de vue opérationnel, parce que nous devons pouvoir recueillir des renseignements en temps réel. De plus, je ne sais pas quel pourrait être l'impact d'un tel critère sur les renseignements recueillis dans le passé, lorsque la loi sera adoptée[175].

En ce qui a trait à la mise en œuvre du critère de la nécessité, le commissaire adjoint Joe Oliver de la GRC a souligné que les activités de collecte de renseignements de son institution sont principalement faites par autorisation judiciaire : « Nous présentons nos dossiers à un juge en lui expliquant que nous avons une raison convaincante d'obtenir des renseignements très ciblés et très précis grâce à un mandat ou une ordonnance de communication[176] ». Ainsi, M. Oliver a soulevé certaines préoccupations relativement à l’ajout d’un critère de la nécessité à la LPRP:

il faudrait, selon moi, agir avec prudence afin de ne pas nuire à la collecte d'éléments de preuve. En effet, lorsque nous recueillons des éléments de preuve, nous tentons d'obtenir l'information là où elle se trouve […]. Le fait de seulement permettre aux responsables de l'application de la loi de recueillir certains renseignements pourrait limiter notre capacité de réaliser notre mandat associé à la sécurité publique[177].

Pour sa part, M. Peirce du SCRS a mentionné que l’article 12 de la Loi sur le Service canadien du renseignement de sécurité prévoit déjà un critère de nécessité pour la collecte de renseignements[178].

Finalement, en ce qui a trait à la communication d’information, M. Oliver a souligné « l'importance de l'opportunité de la communication rapide et efficace des renseignements[179] » et a précisé que « la communication de renseignements n'est jamais prise à la légère. On tient toujours compte de la pertinence, de l'exactitude, du besoin de savoir, du droit de savoir, et de tous les éléments de ce genre[180] ». Dans le même sens, M. Peirce a affirmé que leur capacité de communiquer l’information est fondamentale à leur mandat et qu’ils s’efforcent « de communiquer les renseignements de façon proportionnelle[181] », mais que parfois, c’est très complexe et que de nombreux facteurs entrent en ligne de compte.

3.1.3  La recommandation du Comité

À la lumière du témoignage, le Comité appuie la recommandation du commissaire et reconnaît l’importance de l’ajout à la LPRP du critère de la nécessité pour la collecte de renseignements personnels. Néanmoins, il ressort du témoignage que, bien que l’interprétation donnée au critère de la nécessité comporte un aspect de proportionnalité, il serait important d’ajouter explicitement, au même titre que la nécessité, un critère de proportionnalité à la LPRP. Effectivement, les témoins ont convaincu le Comité que le principe de la proportionnalité constitue un aspect essentiel pour déterminer s’il est requis de recueillir des renseignements personnels.

De plus, à la lumière du témoignage, le Comité est d’avis que les critères de la nécessité et de la proportionnalité devraient s’appliquer également :

• à la conservation des renseignements personnels;
• lors de la communication de renseignements personnels, c’est-à-dire à la collecte de renseignements personnels lorsqu’une institution fédérale destinataire reçoit des renseignements lors d’une communication par une autre institution fédérale.

Le Comité recommande donc :

RECOMMANDATION 11

Que l’article 4 de la Loi sur la protection des renseignements personnels soit modifié de façon à exiger explicitement la conformité aux critères de la nécessité et de la proportionnalité dans le cadre de toute collecte des renseignements personnels, conformément aux autres lois sur la protection de la vie privée en vigueur au Canada et à l’étranger.

RECOMMANDATION 12

Qu’une précision soit ajoutée à la Loi sur la protection des renseignements personnels afin de s’assurer qu’il soit clair qu’une institution fédérale destinataire, qui reçoit des renseignements personnels lors d’une communication par une autre institution fédérale, est considérée comme recueillant des renseignements personnels au sens de l’article 4 de la Loi sur les renseignements personnels et doit se conformer aux critères de la nécessité et de la proportionnalité imposés dans le cadre de la collecte des renseignements personnels.

RECOMMANDATION 13

Que l’article 6 de la Loi sur la protection des renseignements personnels soit modifié de façon à exiger explicitement la conformité aux critères de la nécessité et de la proportionnalité dans le cadre de toute conservation de renseignements personnels.

RECOMMANDATION 14

Que la Loi sur la protection des renseignements personnels soit modifiée pour y inclure des règles claires régissant la collecte et la protection de renseignements personnels recueillis sur Internet et dans les médias sociaux.

3.2  Les différents modèles de surveillance

Au moment actuel, le CPVP est basé sur le modèle de l’Ombudsman. Le commissaire peut enquêter les plaintes déposées relatives aux droits et protections prévus dans la LPRP[182]. À l’issue d’une enquête, s’il arrive à la conclusion que la plainte est fondée, le commissaire peut uniquement faire des recommandations non contraignantes au gouvernement[183]. Néanmoins, le commissaire est d’avis que la LPRP doit être modifiée afin d’adopter un modèle de surveillance plus efficace.

3.2.1  Les modèles de surveillance à l’échelle provinciale et territoriale

Il existe présentement divers modèles de surveillance pour les commissaires à l’information et à la vie privée à l’échelle provinciale et territoriale.

Les commissaires à l’information et à la vie privée de l’Alberta, de la Colombie-Britannique, de l’Ontario, de l’Île-du-Prince-Édouard et du Québec détiennent des pouvoirs de rendre des ordonnances[184]. « Leurs homologues de huit provinces et territoires n’ont pas ce pouvoir[185] ».

En 2015, la province de Terre-Neuve-et-Labrador a adopté un nouveau modèle de surveillance : le modèle hybride. Il s’agit d’un modèle d’Ombudsman amélioré en vertu duquel le commissaire à l’information et à la vie privée de Terre-Neuve-et-Labrador a le pouvoir de faire des recommandations contraignantes au gouvernement. Néanmoins, si l’institution gouvernementale décide de ne pas se conformer en entier ou en partie à une recommandation du commissaire de la province, elle doit faire une demande à la Cour dans un délai de 10 jours ouvrables après avoir reçu la recommandation afin d’obtenir une déclaration attestant qu’elle n’est pas tenue de se conformer à la recommandation[186].

3.2.2  Le point de vue du commissaire à la protection de la vie privée

Dans son mémoire présenté au Comité et lors de son témoignage, le commissaire a souligné que bien que la plupart des institutions finissent par accepter ses recommandations, « il faut parfois longtemps pour en arriver à une issue satisfaisante[187] ». Notamment, les institutions fédérales ne sont pas forcément tenues de fournir au Commissariat des documents complets dès le départ. « Il leur est possible de n'étayer pleinement leur position que devant la Cour fédérale[188] ». Le commissaire a indiqué que la situation concernant les délais « pourrait être attribuable au fait que nous pouvons uniquement faire des recommandations et que le gouvernement ne subit aucune sanction s'il ne donne pas suite rapidement aux résultats de nos enquêtes[189] ». Selon le commissaire, « [c]ette situation est incompatible avec l’objectif du modèle axé sur le recours à l’Ombudsman, qui consiste à offrir un recours rapide et à faible coût pour assurer le respect du droit à la vie privée[190] ».

En mars 2016, le commissaire a recommandé au Comité l’adoption du modèle hybride de Terre-Neuve-et-Labrador[191]. Néanmoins, en septembre 2016, le commissaire a avisé le Comité qu’il modifiait sa recommandation et qu’il recommandait au Comité, après avoir effectué plus de recherche, l’adoption d’un modèle exécutoire en vertu duquel il aurait le pouvoir de rendre des ordonnances[192].

3.2.2.1  La recommandation initiale du commissaire à la protection de la vie privée

En mars 2016, lorsque le commissaire a recommandé l’adoption du modèle hybride, il était d’avis qu’il s’agissait d’un modèle qui accélérerait le processus d’enquête et qui le rendrait plus efficace « tout en préservant le caractère informel du modèle de l’ombudsman[193] » et en évitant « les frais inhérents à un système d'arbitrage officiel[194] ». En fait, le commissaire fondait sa recommandation sur deux principales considérations : l’efficacité des modèles et les risques associés aux modèles.

Premièrement, bien que les pouvoirs de rendre des ordonnances créeraient un bon incitatif pour les institutions fédérales, il était d’avis que le modèle hybride de Terre-Neuve-et-Labrador atteint le même résultat : « Je ne fais que proposer une différente façon d'atteindre le même objectif […][195] ».

Deuxièmement, selon le commissaire, l’adoption d’un modèle hybride comporterait moins de risques que l’adoption d’un modèle exécutoire. Notamment, le commissaire a souligné qu’un modèle de surveillance comportant des pouvoirs de prendre des ordonnances « constitue un processus plus formel[196] » qui « pourrait notamment être plus coûteux[197] » et « susciter plus de préoccupations sur le plan des droits procéduraux[198] ». Puis, le commissaire a ajouté qu’ « [u]n tel système vise aussi à réduire le risque que certains perçoivent que le rôle du commissaire comme champion de la vie privée n'entache son impartialité en tant que tribunal[199] » :

Un autre facteur, c'est que, si un organisme ayant un pouvoir de rendre des ordonnances a également la responsabilité, que je recommande, de promouvoir les droits relatifs à la protection des renseignements personnels, peut-on avoir au même endroit un organisme qui fait la promotion de la protection des renseignements personnels et qui doit également se prononcer de façon impartiale sur les droits des Canadiens à l'égard d'une institution gouvernementale? Je ne dis pas que ces deux éléments sont incompatibles. Il est sans doute possible, en ce qui concerne la structure, de bâtir des murs chinois et d'établir des distinctions[200].

3.2.2.2  La recommandation modifiée du commissaire à la protection de la vie privée

En septembre 2016, le commissaire a recommandé de « modifier la Loi de manière à remplacer le modèle de l’Ombudsman par un modèle selon lequel le commissaire à la protection de la vie privée se verrait confier le pouvoir de rendre des ordonnances[201] ». Pour appuyer sa nouvelle recommandation, le commissaire a fait parvenir au Comité une lettre dans laquelle il affirme avoir effectué davantage de recherche du point de vue du droit administratif, notamment en ce qui concerne le respect de l’équité procédurale, et des conflits d’intérêts afin de déterminer si l’attribution de pouvoirs d’ordonnances au commissaire serait incompatible avec ses divers rôles de promotion du droit à la vie privée. Le commissaire en est venu à la conclusion suivante :

Après avoir examiné minutieusement la question, en particulier durant l'été dernier, nous avons conclu que l'attribution de fonctions d'arbitrage et de promotion à un organisme comme le nôtre crée effectivement des risques juridiques. Selon notre évaluation, ces risques sont probablement les mêmes dans le cas du modèle hybride de Terre-Neuve- et-Labrador.

Fait important, crucial en fait, notre examen nous a aussi amenés à conclure qu'il est possible d'atténuer grandement ces risques en séparant de manière plus nette les fonctions d'arbitrage et de promotion au sein du Commissariat. Ce type de structure, comme vous le savez, existe dans plusieurs provinces. Il est important de comprendre que cette séparation des fonctions entraînerait certains coûts, mais nous ne les avons pas encore quantifiés de façon précise. Ultimement, puisque les risques juridiques et les mesures d'atténuation sont les mêmes dans le cas du modèle hybride de Terre-Neuve-et-Labrador, j'estime qu'on devrait privilégier le modèle permettant la prise d'ordonnances, car il permet d'en arriver plus directement et plus rapidement à des décisions finales pour les plaignants[202].

En ce qui a trait aux coûts qui seraient requis s’il y avait un changement de modèle, le commissaire a affirmé que la séparation de certaines fonctions serait requise, mais celui-ci a spécifié ne pas avoir « quantifié ces coûts de manière précise[203] ». Cependant, dans une lettre adressée au Comité le 17 novembre 2016, le commissaire Therrien a précisé que les coûts varient selon le modèle choisi et que de nombreuses variables entrent en jeu. Le commissaire estime qu’« environ 10 % des plaintes qui sont habituellement transmises pour fins d’enquête (hormis celles réglées en vertu de la procédure rapide) pourraient être acheminées à l’arbitrage en vertu de la Loi (ce qui représente environ 80 cas par année[204]) ». Plus généralement, le commissaire déclare qu’il « estimerai[t] de façon provisoire que le coût de la fonction d’arbitrage, une fois celle-ci devenue pleinement fonctionnelle, se situerait entre 0,75 million à 1,25 million de dollars par année[205] ». En se fondant sur le témoignage, il semble difficile de dire ce que seraient les coûts associés à l’adoption d’un modèle hybride.

Puis, le commissaire a spécifié que, étant donné que la prise d’ordonnance ne serait requise que dans une petite partie des enquêtes, la médiation et d’autres solutions seraient préférées : « Il faut avoir cet outil dans son coffre à outils pour gérer le volume de travail et de plaintes, mais je ne pense pas que la prise d'ordonnances servirait dans de nombreux dossiers[206] ».

Dans sa lettre, le commissaire a expliqué les avantages d’écarter les auditions de novo, qui consistent à recommencer à neuf en présentant de nouveaux éléments de preuve au tribunal :

[L]es personnes n’auraient pas besoin de demander une audition de novo auprès de la Cour fédérale afin d’exercer leur droit de recours, car elles pourraient obtenir réparation directement auprès du Commissariat. En outre, les ordonnances seraient assujetties à un contrôle judiciaire en vertu de l’article 18.1 de la Loi sur les cours fédérales. Ainsi, les ministères qui voudront contester mes ordonnances devront prendre l’initiative de ces procédures, supporter le fardeau de la preuve et se fonder sur une preuve plus restreinte. Cette méthode inciterait les ministères à faire montre d’une plus grande ouverture et d’une plus grande rapidité lorsqu’il s’agit de présenter leur dossier au Commissariat au début du processus, sachant qu’ils devraient généralement s’en tenir à ces éléments de preuve si l’affaire venait à faire l’objet d’un contrôle judiciaire devant les tribunaux[207].

3.2.3  Le point de vue des témoins

Au cours de l’étude, le Comité a entendu divers points de vue en ce qui concerne le meilleur modèle de surveillance à adopter. Néanmoins, un consensus existait : le modèle actuel d’Ombudsman comportant des pouvoirs de recommandation n’est pas efficace. La présente section présente les témoins préconisant le modèle exécutoire et les témoins préconisant le modèle hybride. Il est à noter que certains témoins n’avaient pas une idée arrêtée et ont présenté des arguments en faveur des deux modèles.

3.2.3.1  Les témoins préconisant le modèle exécutoire

M^me Austin[208], M^me McPhail[209] , M. Thomas Keenan, de la University of Calgary[210], M. Rubin[211], M. Bennett[212], M. Geist[213], M. Gogolek[214], M^me Tully[215] et M. McArthur[216] préconisent l’adoption du modèle exécutoire. Bien que M. Dickson[217] de l’ABC préconise le modèle hybride, celui-ci a présenté les arguments militant en faveur des deux systèmes et le résumé ici-bas présente ses arguments en faveur du modèle exécutoire.

L’Annexe B du présent rapport présente le témoignage relatif au modèle exécutoire. Les idées principales qui ressortent du témoignage sont les suivantes :

• Le pouvoir d’ordonnance crée un incitatif pour la collaboration des institutions fédérales, ce qui rend ce modèle plus efficace.
  • Un commissaire détenant les pouvoirs de rendre des ordonnances peut orienter plus facilement les parties vers les processus de résolution informelle, tels que la médiation, qui sont plus rapides.
  • Le règlement des plaintes se fait plus rapidement et plus sérieusement.
  • Le commissaire peut obtenir des réponses plus rapidement dans le cadre d’enquête.
• Le droit à la vie privée constitue un droit protégé par la Charte canadienne des droits et libertés et une loi quasi constitutionnelle, la LPRP. Les pouvoirs du commissaire devraient être proportionnels à l’importance de ce droit et des torts importants pouvant être causés par une atteinte à la vie privée.
• Lorsqu’un organisme a recours aux pouvoirs d’ordonnances, les procédures sont plus formelles, notamment en raison de l’équité procédurale.
  • Le respect de l’équité procédurale a pour effet de prolonger le délai de traitement des plaintes.
  • Le processus est moins accessible et flexible.
  • Les parties sont souvent représentées par des avocats.
  • Les décisions du commissaire doivent être exhaustives, explicatives et avoir un caractère judiciaire.
• Le modèle exécutoire s’harmonise avec les pratiques à l’international en ce qui a trait aux organismes ayant pour mandat la protection des données.
• Le changement du modèle d’Ombudsman au modèle exécutoire serait coûteux.
  • Il faudra séparer les groupes de promotion du droit à la vie privée, les groupes traitant les plaintes en médiation et les groupes traitant les plaintes à titre de tribunal administratif au sein du Commissariat.

3.2.3.2  Les témoins préconisant le modèle hybride

Clyde Wells[218], membre du Independent Statutory Review Board, M. Dickson[219], M. Fraser[220], M. Molloy[221] et M. Drapeau[222] préconisent le modèle hybride. Pour sa part, M. Karanicolas n’a pas pris position. Il a soulevé plusieurs questions, dont la question à savoir si le modèle d’ordonnance constituerait un modèle plus efficace que le modèle hybride[223].

L’Annexe C du présent rapport présente le témoignage relatif au modèle hybride. Les principales idées ressortant du témoignage sont les suivantes :

• Le modèle hybride a été développé afin de s’adresser au problème des délais de traitement des plaintes au sein du bureau du commissaire à l’information et à la vie privée de Terre-Neuve-et-Labrador et propose des solutions afin de faire des gains d’efficience et d’accélérer le processus d’enquête.
  • Afin d’améliorer les délais de traitement de plaintes, la loi de Terre-Neuve-et-Labrador impose un échéancier avec des délais stricts. Il s’agit d’un incitatif important pour les organisations.
  • Les délais prévus à la loi font en sorte que le commissaire est capable d’obtenir des réponses des organisations plus rapidement tout en conservant son rôle d’Ombudsman.
  • Le modèle hybride propose une approche moins conflictuelle que le modèle exécutoire, car le commissaire détient des pouvoirs afin de faire avancer les discussions, mais n’a pas le pouvoir d’obliger une organisation à poser une action.
  • Le commissaire peut participer aux audiences afin de donner sa perspective.
• Étant toujours basé sur le modèle d’Ombudsman, le processus du modèle hybride est plus accessible, plus convivial, moins structuré, moins formel et plus flexible que le modèle exécutoire. L’accessibilité au processus concorde avec le statut quasi constitutionnel des droits en matière de vie privée des Canadiens inscrits à la LPRP.
  • L’équité procédurale, pour une enquête faite en vertu du modèle hybride, n’a pas à être aussi rigide. Les délais imposés par le commissaire peuvent être plus courts que ceux imposés par le modèle exécutoire tout en respectant l’équité procédurale.
• Dans le modèle hybride, au lieu que le fardeau tombe sur le demandeur, le fardeau incombe à l’organisme public ne voulant pas se conformer aux recommandations du commissaire.
• Bien que le modèle hybride soit instauré dans une juridiction qui reçoit relativement peu de plaintes, il n’est pas prouvé que ce modèle n’est pas convenable pour une juridiction qui reçoit un grand volume de plaintes. Néanmoins, dans les juridictions où le nombre d’employés est très bas, le modèle hybride est préférable au modèle exécutoire étant donné qu’il serait impossible de séparer les groupes de manière à créer un mur entre les fonctions d’ordonnances et la médiation.
• La transition du Commissariat du modèle de l’Ombudsman vers le modèle hybride serait plus facile que vers le modèle exécutoire.
• Le modèle hybride n’a pas encore fait ses preuves étant donné qu’il est en vigueur depuis près d’un an. Néanmoins, celui-ci semble bien fonctionner pour l’instant.

3.2.4  Le point de vue des institutions fédérales

Monique McCulloch, de Services partagés Canada, a spécifié qu’advenant le cas où l’on conférait des pouvoirs d’ordonnance au commissaire, selon elle, les conséquences sur son organisation seraient faibles étant donné que les situations requérant des ordonnances seraient limitées[224]. Dans le même sens, Maxime Guénette, de l’ Agence du revenu du Canada (ARC), a mentionné qu’il préférerait tenter de résoudre la situation avant qu’une ordonnance soit émise[225]. De plus, l’ARC a précisé qu’il est difficile de connaître les conséquences de l’adoption d’un modèle exécutoire, mais que « dans un endroit comme l'ARC, avec le volume de travail que nous avons, et dépendamment du déroulement, il pourrait y avoir des conséquences sur les processus et les ressources[226] ». Finalement, M^me Beck, d’Immigration, Réfugiés et Citoyenneté Canada, a souligné qu’il serait important de s’« assurer que, peu importe ces nouveaux pouvoirs donnés au commissaire, nous puissions continuer à protéger nos renseignements liés à la sécurité nationale[227] ».

3.2.5  Les pouvoirs du commissaire à la protection de la vie privée et les pouvoirs de la commissaire à l’information

En février 2016, le Comité a commencé une étude sur la Loi sur l’accès à l’information. Au cours de son étude, le Comité a entendu plusieurs témoignages appuyant la recommandation de la commissaire à l’information de renforcer « la surveillance du droit d’accès en adoptant un modèle exécutoire[228] ». Le 31 mars 2016, le président du Conseil du Trésor, l’honorable Scott Brison, a annoncé que, dans le cadre de la réforme du régime d’accès à l’information du Canada, le gouvernement mettra en œuvre plusieurs engagements, dont celui de donner à la commissaire à l’information le pouvoir d’ordonner la diffusion de renseignements gouvernementaux[229]. En juin 2016, le Comité a déposé son rapport intitulé Examen de la Loi sur l’accès à l’information dans lequel il recommande « Que le gouvernement renforce la surveillance du droit d’accès en adoptant un modèle exécutoire dont les paramètres sont clairement et rigoureusement définis[230] ».

Comme l’a mentionné le commissaire Therrien au Comité à plusieurs reprises, la Cour suprême du Canada a reconnu que la LPRP et la Loi sur l’accès à l’information forment un code homogène[231]. Le commissaire l’a expliqué comme suit :

Il ne fait aucun doute que les deux lois accordent un droit d'accès. Ces deux lois prévoient certaines exceptions et exclusions qui permettent de protéger certains intérêts: forces de l'ordre, relations internationales, etc. Le droit d'accès et les exceptions à ce droit sont très semblables dans les deux lois, et je crois que c'est essentiellement pour cette raison que la Cour suprême dit qu'elles constituent un code homogène. Lorsqu'on modifie, dans une loi, le droit d'accès ou les exceptions qui s'y rattachent, il faut normalement apporter les mêmes modifications ou, du moins, se demander s'il faut faire la même chose dans l'autre[232].

Dans ce contexte, plusieurs témoins ont abordé la question suivante : est-ce que le commissaire à la protection de la vie privée et la commissaire à l’information devraient détenir les mêmes pouvoirs si le modèle de surveillance était modifié pour ces deux hauts fonctionnaires du Parlement?

Le commissaire Therrien a souligné qu’ « il ne me semble pas aller de soi que les pouvoirs de rendre des ordonnances d'un commissaire doivent être exactement les mêmes pour l'autre commissaire[233] » et qu’ « il peut être souhaitable que les deux lois [la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels] fonctionnement de la même façon, mais ce n'est pas nécessairement obligatoire. C'est sans doute nécessaire pour ce qui est du droit d'accès et des exceptions, et fort probablement pour ce qui est du champ d'application... Par contre, il y a probablement lieu de prendre des décisions distinctes dans les deux lois en ce qui concerne les autres aspects[234] ». M. Karanicolas a indiqué qu’il existe des différences importantes entre le commissaire et la commissaire à l’information et que ceux-ci n’ont pas nécessairement besoin d’avoir des pouvoirs semblables[235]. Plus précisément, M. Karanicolas a indiqué qu’il faudrait déterminer si des pouvoirs d’ordonnance sont appropriés pour le commissaire à la protection de la vie privée autant pour le secteur public que privé étant donné qu’il existe des différences en ce qui a trait au rôle du commissaire auprès des deux secteurs[236].

Pour M. Bennett[237] et M^me Tully[238], les deux commissaires devraient avoir les mêmes pouvoirs. M. Bennett l’a expliqué comme suit : « le Canada est probablement le seul pays au monde où l'accès à l'information et la protection de la vie privée sont considérés comme les deux côtés de la même médaille[239] ».

3.2.6  La recommandation du Comité

Le Comité recommande :

RECOMMANDATION 15

• a) Que le gouvernement du Canada renforce la surveillance du droit d’accès en adoptant un modèle exécutoire dont les paramètres sont clairement et rigoureusement définis.
• b) Que, afin de garantir l’utilisation la plus efficace des ressources, le gouvernement du Canada envisage des moyens de faire des gains d’efficacité tels que, par exemple, combiner les fonctions juridictionnelles du Commissariat à la protection de la vie privée du Canada et du Commissariat à l’information du Canada.

3.3  Accroître les motifs de recours devant la Cour

Initialement, le commissaire a recommandé « d’élargir la portée de l’article 41 de la Loi de façon à ce que les plaignants ou le commissaire à la protection de la vie privée aient la possibilité d’exercer devant la Cour fédérale un recours en révision concernant toutes les questions pouvant faire l’objet d’une plainte, notamment la collecte, l’utilisation et la communication[240] » et de « conférer à la Cour le pouvoir d’ordonner une série de mesures de redressement, y compris pour dommages-intérêts, comme celles actuellement prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)[241] ». Effectivement, au moment actuel, la LPRP prévoit une mesure de révision par la Cour fédérale uniquement dans le cas où un individu s’est vu refuser la communication de renseignements personnels et qui a déposé une plainte auprès du commissaire[242]. Néanmoins, la LPRP ne comporte pas de mesure de redressement judiciaire pour la majorité des violations des droits qu’elle garantit.

Le commissaire a expliqué que cette recommandation deviendrait probablement caduque si des pouvoirs d’ordonnances lui étaient conférés étant donné que « les personnes n’auraient pas besoin de demander une audition de novo auprès de la Cour fédérale afin d’exercer leur droit de recours, car elles pourraient obtenir réparation directement auprès du Commissariat[243] ».

Malgré tout, plusieurs témoins ont discuté des différents recours possibles et ont recommandé diverses mesures.

M^me Austin[244], M. Rubin[245], M. Gogolek[246] et l’ABC[247] ont appuyé la recommandation du commissaire.

M. Rubin a indiqué qu’il serait utile « qu'on donne aux personnes et aux groupes qui saisissent les tribunaux de tels cas d'atteinte à la vie privée les moyens de poursuivre le gouvernement[248] ». M^me Scassa a souligné que l’ouverture de nouveaux recours en vertu de la LPRP expose le gouvernement du Canada à des amendes[249]. Pour sa part, M. Drapeau a indiqué « l'un des recours les plus importants dont peut se saisir un plaignant, c'est de faire traiter sa plainte dans un délai raisonnable[250] » et qu’il voudrait qu’un délai soit imposé au Commissariat pour son rapport contenant ses conclusions et recommandations.

M. Fraser[251] et M. Gogolek[252] ont fait valoir qu’il serait important d’ajouter à la LPRP un élément de responsabilité personnelle, telle qu’une infraction en vertu de laquelle des accusations peuvent être portées contre une personne ou une institution qui enfreint la Loi.

M^me Bernier a souligné qu’au niveau de l’Europe, les commissaires à la vie privée ont le pouvoir d’imposer des amendes même pour les institutions gouvernementales[253]. De la même manière, M. Keenan a mentionné que, dans le nouveau règlement sur la protection des données de l’Union européenne, « les amendes pour les contrevenants sont extrêmement salées; on parle d’environ 4 % du chiffre d’affaires annuel d’une société[254] » et que cela a un effet dissuasif.

Puis, Patricia Kosseim, du Commissariat, a mentionné que les mesures de redressement prévues à la LPRPDE pourraient s’appliquer et être utiles dans le contexte de la LPRP, en disant :

il s'agit effectivement d'un modèle intéressant quant à la gamme de mesures de redressement que pourraient imposer les tribunaux lorsqu'il y a infraction à la loi. Dans le cas présent, il s'agit de la Loi sur la protection des renseignements personnels et les documents électroniques, mais il pourrait tout aussi bien s'agir de la Loi sur la protection des renseignements personnels. Les tribunaux pourraient notamment ordonner à la partie concernée de faire quelque chose, d'arrêter de faire quelque chose, de payer des dommages-intérêts ou encore de rendre publiques les mesures qu'elle a prises ou qu'elle prendra pour corriger ses pratiques fautives. Toutes ces situations surviennent aussi dans le secteur public[255].

M. Israel, de la CIPPIC, a indiqué qu’il irait plus loin que ce que prévoit la LPRPDE :

Essentiellement, le mécanisme qu'elle prévoit s'apparente plus à une amende. La mise en œuvre est difficile, parce qu'il faut satisfaire à des normes de preuve très rigoureuses avant de pouvoir démontrer le viol délibéré de la vie privée, tandis qu'un régime de sanctions pécuniaires administratives serait plus adapté à ces types de régimes réglementaires. Dans notre exposé, nous avons précisément laissé entendre, mais très rapidement, la possibilité d'envisager un droit privé d'action. Il surgit un problème, bien sûr, quand on expose l'État à des amendes […][256].

M. Keenan[257] et M. Israel[258] se sont montrés favorables aux sanctions administratives sujettes à une forme de contrôle judiciaire de la part de la Cour fédérale. Puis, M. Keenan a fait valoir que la « sensibilisation serait une utilisation merveilleuse du produit des amendes[259] ».

Finalement, M. Israel a précisé qu’il serait également en faveur de la création d’un droit privé parallèle indépendant du dépôt d’une plainte au Commissariat[260].

Le Comité accueille favorablement ce témoignage, mais ne juge pas disposer de suffisamment d’information pour prendre une décision relative aux sanctions. Par conséquent, le Comité recommande :

RECOMMANDATION 16

Que le gouvernement du Canada examine plus en détail la possibilité d’accroître les motifs de recours en vertu de la Loi sur la protection des renseignements personnels.

3.4  Mécanisme statutaire pour un examen indépendant des plaintes

Lors de sa dernière comparution devant le Comité, le commissaire a recommandé de « considérer la création d’un mécanisme statutaire pour un examen indépendant des plaintes en matière de protection à la vie privée envers le CPVP [Commissariat à la protection de la vie privée][261] ». Le commissaire a expliqué que, depuis sa dernière comparution :

la Cour fédérale s'est penchée sur la fonction de commissaire spécial à la protection de la vie privée, que mon organisme a créée pour assurer un examen indépendant des plaintes déposées contre le commissariat. Cette fonction est nécessaire depuis que le Commissariat à la protection de la vie privée du Canada est lui-même devenu assujetti à la Loi sur la protection des renseignements personnels par suite de l'adoption de la Loi fédérale sur la responsabilité en 2007. En considérant l'indépendance de cette fonction, la Cour a remarqué que la question [notamment si ce mécanisme devrait comporter un fondement législatif[262]] devrait être étudiée par le Parlement[263].

Le Comité n’a pas entendu de témoignage à ce sujet.

3.5  Les évaluations des facteurs relatifs à la vie privée

3.5.1  Le point de vue du commissaire à la protection de la vie privée

Le commissaire Therrien a recommandé de « rendre obligatoire la préparation et la présentation au commissaire d'une évaluation des facteurs relatifs à la vie privée (EFVP) pour tous les programmes nouveaux ou ayant fait l’objet de modifications importantes[264] ». Étant donné que les EFVP ont un objectif de prévention, elles devraient généralement être réalisées « avant l’adoption de programmes nouveaux ou ayant fait l’objet de modifications importantes, sauf en de rares exceptions[265] ». De plus, le commissaire a souligné l’efficacité des EFVP « pour cerner et atténuer les risques d’atteinte à la vie privée avant de mettre en œuvre un projet[266] ».

Dans son mémoire, le commissaire a précisé que les lois protégeant la vie privée de nombreuses juridictions tant au niveau international que provincial imposent la réalisation d’EFVP dans plusieurs circonstances[267].

En vertu de la Directive sur l’EFVP du Secrétariat du Conseil du Trésor, « les institutions qui prévoient d’entreprendre des projets faisant appel à des renseignements personnels doivent mener une EFVP et présenter au Commissariat une copie du rapport d’évaluation[268] ». Néanmoins, selon le commissaire, il serait important d’inclure à la LPRP une obligation de préparer et de présenter au commissaire une EFVP pour tous les programmes nouveaux ou ayant fait l’objet de modifications importantes, car :

[l]e recours aux EFVP par les institutions est parfois inégal, à l'heure actuelle, tout comme leur promptitude et leur qualité. En rendant ces évaluations obligatoires dans la Loi [LPRP], on fait en sorte qu'elles soient faites avec rigueur et exécutées avant le lancement de nouveaux programmes, ou lorsque les règles en matière de gestion de l'information de programmes en place se trouvent considérablement modifiées[269].

Puis, le commissaire a mis en évidence l’importance que le Commissariat soit impliqué dès le départ afin de prévenir les risques pour la vie privée : « il est préférable d'identifier, de réduire et de limiter les risques pour la vie privée avant qu'ils ne se produisent, par opposition à trouver des solutions après que le risque s'est manifesté. C'est important d'avoir des pouvoirs réparateurs, mais il est tout aussi important, voire même plus important, de repérer les risques lors de la conception des programmes et de les minimiser dès le départ[270] ».

Finalement, le commissaire a spécifié que l’inclusion dans la LPRP d’une obligation légale d’effectuer des EFVP pourrait occasionner une augmentation des coûts pour les institutions fédérales n’ayant pas implanté les EFVP dans leurs pratiques[271].

3.5.2  Le point de vue des témoins

Plusieurs témoins, dont M^me McPhail[272], M. Israel[273], M. Bennett[274], M. Geist[275], M. Fraser[276], la BC FIPA[277] et l’ABC[278], sont favorables à la recommandation du commissaire.

M^me McPhail[279] et M. Bennett[280] ont souligné qu’afin de réaliser l’objectif de prévention des EFVP, il est important de commencer le processus et d’impliquer le commissaire dès la conception d’un programme pour repérer et atténuer les risques reliés à la vie privée en temps opportun et de mettre en place des mesures de sauvegarde. Puis, M. Israel a recommandé la mise en place d’ « un moyen de faciliter la participation du public dans le processus, de façon à ce que les discussions sur les programmes qui portent atteinte à la vie privée se déroulent aux étapes préliminaires[281] ». De même, M^me McPhail a ajouté que des résumés des EFVP devraient être rendus publics « pour que les citoyens puissent constater que ce processus a eu lieu[282] ».

M. Bennett a spécifié que, pour être efficaces, les EFVP ne doivent pas se limiter à une liste de vérification obligatoire et « devraient être effectuées en continu ou à répétition[283] ». Selon lui, celles-ci sont « beaucoup plus pertinentes lorsqu'elles tiennent compte d'un contexte beaucoup plus vaste, allant au-delà de la Loi, et lorsque les agents s'investissent dans le processus et font des analyses de façon récurrente[284] ».

Puis, plusieurs témoins ont mis en évidence l’importance d’inclure une obligation de réaliser des EFVP à la LPRP. M. Bennett a spécifié qu’en l’absence d’une obligation officialisée d’effectuer des EFVP dans la LPRP, « l'application et la qualité varieront[285] ». M. Fraser a ajouté que « [s]i vous n'effectuez pas d'évaluation des facteurs relatifs à la vie privée, et que vous êtes légalement tenus de le faire, vous violez la loi, ce qui n'a rien à voir avec le contournement d'une politique ou d'une mesure procédurale[286] ». Dans le même sens, M. Geist a expliqué que la répercussion sur la vie privée de projets de loi « devient trop souvent une considération secondaire qui a des répercussions importantes[287] » et que l’inclusion à la LPRP d’une obligation de réaliser des EFVP avant le dépôt d’un projet de loi ou du moins, avant sa mise en œuvre constituerait une reconnaissance que l’examen des répercussions d’un projet de loi sur la vie privée « est un élément essentiel du processus[288] ».

Ensuite, Sean Murray, du Commissariat à l’information et à la protection de la vie privée de Terre-Neuve-et-Labrador, a signalé que la loi de sa province inclut une exigence en matière d’EFVP et qu’il « s'agit d'un processus utile permettant aux organismes publics de se faire une bonne idée des risques pour les renseignements personnels et d'éliminer ou d'atténuer ces derniers[289] ».

Dans le même sens, les représentants de l’ARC[290], d’IRCC[291], du SCRS[292], de la GRC[293] et de l’ASFC[294] ont affirmé réaliser des EFVP et ont déclaré que la réalisation d’EFVP constitue un processus très utile et que leurs échanges avec le Commissariat étaient très constructifs et collaboratifs. À titre d’exemple, M. Peirce du SCRS a indiqué que les EFVP leur permettent de cerner et de régler certains problèmes, notamment en raison de l’aide et de la perspective procurés par le Commissariat[295]. M. Proulx, de l’ASFC, a affirmé tenter d’impliquer le commissaire dès le début du processus[296]. Toutefois, les représentants du SCRS[297] et de la GRC[298] ont spécifié qu’ils ne consultent pas nécessairement le commissaire dès le début du processus, mais au moment qu’ils considèrent le plus opportun. Néanmoins, les représentants d’IRCC[299] et de l’ASFC[300] ont souligné qu’il s’agit d’un processus complexe, chronophage et nécessitant beaucoup de ressources, notamment en raison de l’expertise requise.

3.5.3  La recommandation du Comité

À la lumière du témoignage entendu, le Comité reconnaît l’importance et l’utilité de la réalisation des EFVP comme moyen de prévention pour les atteintes à la vie privée. Le Comité appuie la recommandation du commissaire et recommande:

RECOMMANDATION 17

Que la Loi sur la protection des renseignements personnels soit modifiée afin d’inclure une obligation de préparer et de présenter en temps opportun au commissaire à la protection de la vie privée du Canada une évaluation des facteurs relatifs à la vie privée pour tous les programmes nouveaux ou ayant fait l’objet de modifications importantes.

3.6  Consultation pour les projets de loi et règlement

3.6.1  Le point de vue du commissaire à la protection de la vie privée

Le commissaire Therrien a recommandé d’ « obliger les institutions gouvernementales à consulter le Commissariat au sujet des projets de loi et de règlement ayant une incidence sur la protection de la vie privée avant leur dépôt[301] ».

Dans son mémoire, le commissaire souligne que « plusieurs lois de provinces et d’autres pays exigent maintenant explicitement que les institutions gouvernementales consultent leur autorité de protection des données quand elles préparent une nouvelle loi[302] ». C’est le cas à Terre-Neuve-et-Labrador où la loi

oblige les ministres à consulter le commissaire lorsqu’un projet de loi pourrait avoir une incidence sur l’accès à l’information ou la protection de la vie privée, et ce, dès que possible avant la date de l’avis du dépôt du projet de loi devant la Chambre d’assemblée et au plus tard à cette date. Le commissaire doit indiquer au ministre si le projet de loi aurait une incidence sur l’accès à l’information ou la protection de la vie privée et il peut se prononcer publiquement sur un projet de loi à tout moment après qu’il a été rendu public[303].

De plus, le commissaire mentionne qu’une disposition du nouveau Règlement général de la protection des données de l’Union européenne prévoit la disposition suivante :

les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une mesure législative devant être adoptée par le parlement national ou d’une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement (article 34, point 7)[304].

Lors de son témoignage, le commissaire a précisé que l’objectif derrière cette recommandation est de « prévenir les violations de la vie privée[305] » en obligeant le gouvernement à le consulter pendant la rédaction du texte de loi[306]. De plus, le commissaire a mentionné que cette recommandation vise les projets de loi émanant du gouvernement et de parlementaires[307]. Il a précisé que ce nouveau rôle s’ajouterait à son rôle consultatif lors d’examen législatif devant les comités. Finalement, le commissaire a spécifié que ses recommandations à la suite de la consultation au sujet d’un projet de loi devraient être rendues publiques :

il ne faudrait pas qu'un tel système donne l'impression que le Commissariat conseille le parti au pouvoir d'une certaine façon et qu'il conseille les autres partis politiques d'une façon différente. Concernant l'exercice de cette responsabilité, il est extrêmement important pour nous d'être perçus comme faisant ce travail de façon impartiale[308].

3.6.2  Point de vue des témoins

D’une part, M^me McPhail[309], M. Israel[310], M^me Bernier[311] et la BC FIPA[312] ont appuyé la recommandation du commissaire. Notamment, M^me McPhail a indiqué que cette consultation devrait être faite avant le dépôt du projet de loi et que ce processus de consultation lors de l'élaboration d'une nouvelle loi au cours duquel les intérêts relatifs à la protection des renseignements personnels sont pris en compte « confère aux droits au respect de la vie privée un poids approprié et cadre avec les tendances internationales[313] ». M. Israel[314] et M^me McPhail ont indiqué que cette consultation auprès du commissaire devrait également être effectuée dans les cas d’accords légaux du gouvernement tels que des accords internationaux :

Qu’il s’agisse d’un traité multilatéral, d’un accord commercial, d’un projet de loi ou d’un nouveau système de traitement des données, tous devraient faire l’objet d’une étude par une entité compétente afin d’évaluer, notamment, les risques relatifs à la protection des renseignements personnels[315].

En se fondant sur le statut du commissaire en tant que haut fonctionnaire du Parlement et sur le caractère fondamental de la vie privée, M^me Bernier a appuyé la recommandation du commissaire : « De par ce statut et du fait que la protection de la vie privée ait été confiée à une institution dotée de ce statut, il est tout à fait logique que le commissaire soit consulté au sujet des lois ou des règlements avant d'en assurer le dépôt pour veiller à ce que ceux-ci permettent de protéger la vie privée[316] ».

D’un côté pratique, M. Murray a souligné l’efficacité de la nouvelle disposition de la loi de Terre-Neuve-et-Labrador exigeant que les institutions gouvernementales consultent le commissaire avant le dépôt de projets de loi :

Depuis l'entrée en vigueur du PCICA en juin 2015, nous avons été consultés à de nombreuses reprises. Nous avons donné des conseils sur la rédaction des projets de loi et avons eu une certaine influence sur le projet de loi par la suite déposé et débattu à la Chambre d'assemblée.

Il existait auparavant une pratique occasionnelle ad hoc qui consistait à consulter le bureau du commissaire. Cette pratique était inadéquate parce que parfois, les projets de loi étaient déposés à la Chambre sans que nous le sachions parce que nous n'en étions pas avisés, et cela avait un impact important sur la protection des renseignements personnels et l'accès à l'information. C'était alors une occasion ratée d'avoir cette information[317].

D’autre part, M. Dickson appuie la « pratique des consultations préalables, mais se demande s’il y a lieu d’en faire une obligation légale[318] ». Il a indiqué que la Politique sur la protection de la vie privée du Conseil du Trésor prévoit l’exigence suivante :

6.2.12 Aviser le commissaire à la protection de la vie privée de toute initiative prévue (loi, règlement, politique, programme) pouvant avoir rapport avec la Loi sur la protection des renseignements personnels ou l'une de ses dispositions, ou pouvant avoir une incidence sur la vie privée des Canadiens et Canadiennes. Cet avis doit être transmis suffisamment tôt pour permettre au commissaire d'examiner les enjeux et d'en discuter[319].

Puis, M. Dickson a affirmé que la recommandation du commissaire pouvait poser certains problèmes :

Nous convenons qu'il est important de mener des consultations sans tarder, mais nous nous demandons s'il est réaliste de vouloir en faire une condition préalable à la première lecture d'un projet de loi. À la lumière de mon expérience comme leader à la Chambre de l'opposition officielle au sein d'une législature provinciale, je peux vous dire qu'il arrive de temps à autre que des projets de loi doivent être présentés malgré un court préavis. C'est peut-être parce que la session tire à sa fin ou qu'il est nécessaire de présenter rapidement le projet de loi, non pas pour écourter sa période d'étude, mais plutôt pour permettre de plus amples consultations. Dans la plupart des cas, il convient effectivement d'offrir un préavis suffisant, mais je peux penser à certaines situations où il ne serait pas utile ou réaliste d'imposer des exigences quant à la période de préavis[320].

3.6.3  La recommandation du Comité

Le Comité recommande de :

RECOMMANDATION 18

Modifier la Loi sur la protection des renseignements personnels afin d’obliger les institutions gouvernementales à consulter le Commissariat à la protection de la vie privée du Canada au sujet des projets de loi et de règlement ayant une incidence sur la protection de la vie privée avant leur mise en œuvre.

3.7  Confier au Commissariat à la protection de la vie privée un mandat explicite en matière d’éducation du public et de recherche

3.7.1  Le point de vue du commissaire à la protection de la vie privée

Le commissaire a recommandé au Comité de « conférer expressément au commissaire, en vertu de la Loi sur la protection des renseignements personnels, le pouvoir de mener de sa propre initiative des recherches et des études sur des questions d’importance pour le public[321] » et de « confier expressément au commissaire le mandat d’entreprendre des activités d’éducation et de sensibilisation du public[322] ».

Le commissaire a mentionné que la LPRP ne lui confit pas explicitement un mandat en matière d’éducation du public et de recherche : « Le Commissariat n’a donc aucun pouvoir législatif explicite de déployer des efforts proactifs d’éducation et de sensibilisation sur des questions se rapportant au secteur public[323] ». Néanmoins, en vertu de la LPRPDE, le commissaire possède un tel mandat et réalise du travail d’éducation et de recherche depuis plus de 10 ans[324]. Selon le commissaire, l’adoption de cette recommandation ferait en sorte que « son mandat en matière de recherche et d’éducation concorderait avec son mandat actuel découlant de la LPRPDE et ferait progresser les objectifs de la Loi sur la protection des renseignements personnels[325] ».

3.7.2  Le point de vue des témoins

M. Drapeau a affirmé être en désaccord avec la recommandation du commissaire. Selon lui, l’éducation au public n’est pas requise étant donné que la LPRP ne constitue pas un texte de loi compliqué et que sa portée est limitée[326]. M. Drapeau a ajouté que l’ajout d’un mandat d’éducation à la LPRP « contribuerait considérablement à la bureaucratie déjà lourde du commissariat[327] ». Finalement, M. Drapeau a spécifié que « l'éducation du public et la recherche, si elles s'avèrent nécessaires, devraient être confiées aux universités et aux établissements de recherche, ou encore aux associations du barreau »[328].

Néanmoins, plusieurs témoins dont, M. Rubin[329], M. Fraser[330], M. Israel[331], M. Bennett[332], M. Geist[333], M. Karanicolas[334], M^me Tully[335], M. Molloy[336], la BC FIPA[337] et l’ABC[338], ont appuyé la recommandation du commissaire et ont souligné l’importance d’un mandat d’éducation, de sensibilisation et de recherche pour le commissaire. M. Karanicolas a fait remarquer que

les Canadiens comprennent mal en quoi consistent la protection des renseignements personnels et les changements qui sont survenus à la suite de la numérisation, ce qui a considérablement changé la relation que les gens ont avec les renseignements personnels. Il faut confier au commissaire à la protection de la vie privée un rôle plus important pour promouvoir la protection des renseignements personnels[339].

M. Lyon a mentionné qu’il y a un besoin en matière d’éducation en ce qui a trait notamment à la sécurité nationale et la vie domestique et qu’une possibilité est d’« étendre le mandat du commissaire à la vie privée pour le charger de coordonner les activités d'éducation à ce sujet[340] ». M. Bennett a indiqué que la recommandation du commissaire n’est pas controversée et ne fait qu’officialiser les choses :

Le commissaire à la protection de la vie privée a un programme de contributions très efficace et il octroie des fonds pour la recherche, ce qui est précieux pour en apprendre plus au sujet des nouvelles technologies et des nouvelles pratiques. On le fait pour des dossiers du secteur public et du secteur privé; il est donc vraiment question d'officialiser ce qui est devenu la pratique du Commissariat au cours des 10 ou 15 dernières années[341].

En ce qui concerne la recherche, M. Keenan a indiqué qu’il existe un besoin en matière de recherche dans le secteur de la vie privée : « il faut financer plus de recherches. C’est ce que fait déjà le Commissaire à la protection des renseignements personnels, mais il pourrait en faire davantage à cet égard[342] ».

3.7.3  La recommandation du Comité

Le Comité est d’avis qu’en raison de l’évolution constante de la technologie, l’éducation au public, la sensibilisation et la recherche sont essentielles afin de réaliser les objectifs de la LPRP. Le Comité appuie la recommandation du commissaire et recommande donc :

RECOMMANDATION 19

Que la Loi sur la protection des renseignements personnels soit modifiée afin de conférer explicitement au commissaire à la protection de la vie privée :

• a) le pouvoir de mener de sa propre initiative des recherches et des études sur des questions d’importance pour le public, et
• b) le mandat d’entreprendre des activités d’éducation et de sensibilisation du public.

3.8  Exiger un examen de la Loi sur la protection des renseignements personnels tous les cinq ans

Le commissaire a recommandé « de modifier la Loi sur la protection des renseignements personnels de manière à exiger un examen parlementaire tous les cinq ans[343] ». Le commissaire a souligné que cette recommandation est importante afin de garantir que la LPRP « ne sera plus jamais gravement périmée à l'avenir[344] ».

M. Keenan[345], M. Dickson[346], M. Karanicolas[347] et la BC FIPA[348] ont appuyé la recommandation du commissaire.

Néanmoins, M. Drapeau croit qu’il est trop fréquent de faire un examen de la LPRP aux cinq ans et recommande plutôt de le faire aux dix ans[349]. Pour sa part, M. Dickson croit qu’un examen quinquennal est de mise :

Je crois tout de même que cinq ans est un délai raisonnable, parce que cela correspond non seulement à ce qui se fait dans certaines provinces canadiennes, mais cela évite aussi que la loi ne tombe dans l'oubli. Si on confie au ministère de la Justice, ou à un autre, la tâche de procéder à un examen interne, cela n'offre pas la même visibilité. […] Nous accordons certainement de la valeur aux examens publics qui sont effectués régulièrement. S'il n'y a pas eu beaucoup de changements, peut-être qu'il n'y aura pas lieu d'apporter de grandes modifications. Cependant, dans un monde où la technologie évolue sans cesse et présente toujours de nouveaux risques pour la protection des renseignements personnels, il est préférable de tenter de se tenir à jour[350].

Selon la BC FIPA, « si un examen obligatoire quinquennal avait été prévu initialement pour la Loi sur la protection des renseignements personnels, il est pratiquement certain qu’elle n’aurait pu devenir aussi dépassée et désuète qu’elle ne l’est aujourd’hui[351] ».

Néanmoins, M. Dickson a noté qu’un examen parlementaire ne garantit pas que les recommandations du groupe parlementaire saisi de la révision de la Loi seront mises en œuvre[352].

Considérant que la technologie évolue de manière continuelle et qu’elle peut poser des risques pour la protection de la vie privée, le Comité est d’avis qu’un examen quinquennal de la Loi prévu dans la LPRP constitue une mesure importante afin de tenter de s’assurer que la LPRP reste à jour et protège de manière efficace la vie privée des Canadiens et Canadiennes. Le Comité appuie la recommandation du commissaire et recommande donc :

RECOMMANDATION 20

Que la Loi sur la protection des renseignements personnels soit modifiée de manière à exiger un examen parlementaire tous les cinq ans.

CHAPITRE 4 : ACCROÎTRE LA TRANSPARENCE

4.1  Permettre au commissaire à la protection de la vie privée de rendre publiques les conclusions de ses enquêtes, en dehors du cadre des rapports annuels ou spéciaux, lorsque ces questions sont d’intérêt public

4.1.1  Le point de vue du commissaire à la protection de la vie privée

Le commissaire a recommandé de modifier « l’article 64 de la Loi pour permettre une exception aux exigences de confidentialité afin de conférer au commissaire à la protection de la vie privée le pouvoir discrétionnaire de rendre publiques de manière proactive des questions relatives à la protection de la vie privée au sein du gouvernement s’il juge que cela est dans l’intérêt public[353] ».

Au moment actuel, les articles 63 à 65 de la LPRP établissent les règles entourant la confidentialité et « empêchent le commissaire de rendre publique l’information concernant les enquêtes et les examens, autrement que dans le rapport annuel ou un rapport spécial au Parlement[354] ». Bien que le commissaire reconnaît l’importance de la confidentialité des enquêtes en tant qu’ombudsman, il est d’avis « qu’il serait dans l’intérêt public que le commissaire rende publiques ses conclusions[355] » dans certains cas. Précisément, le commissaire souhaite que la LPRP permette « des exceptions limitées fondées sur l’intérêt public, comme le fait la LPRPDE[356] ».

L’objectif de la recommandation du commissaire est « d’éclairer les débats parlementaires et les discussions publiques en temps opportun[357] » et permettrait au commissaire de « rendre compte publiquement d'une façon moins officielle[358] » que par le biais de rapports spéciaux. De plus, ce pouvoir discrétionnaire « permettrait de communiquer plus rapidement des renseignements pertinents au lieu de devoir attendre la fin de l’exercice sur lequel porte le rapport, lorsque l’information pourrait être devenue sans objet, désuète ou généralement peu pertinente[359] ».

Lors de sa comparution, le commissaire a indiqué que si sa recommandation était mise en œuvre par le gouvernement, il exercerait ce pouvoir de manière similaire à la façon dont il l’exerce en vertu de la LPRPDE :

Nous avons de l'expérience à cet égard en vertu de la LPRPDE, car […] j'ai le pouvoir de rendre publiques des conclusions et des recommandations autrement que dans un rapport annuel. […] Nous publions des rapports de cas, nous remettons des documents à des spécialistes, à des experts, qui leur sont utiles et qui sont utiles aux entreprises, car ils les aident à changer leur comportement ou à s'adapter à nos directives. Je crois que si nous pouvions faire la même chose en ce qui concerne le secteur public, autrement que dans nos rapports annuels, cela serait utile pour les ministères et cela les orienterait durant l'année[360].

Finalement, en ce qui a trait au moment où il utiliserait ce pouvoir et les répercussions potentielles de la divulgation de ses conclusions au cours d’une période électorale, le commissaire a indiqué que son bureau est indépendant et agit de manière responsable : « Nous tenons compte bien sûr des répercussions de la divulgation de nos conclusions pour ne pas avantager un parti ou un autre et pour nous assurer que la publication des conclusions n'aura pas d'influence sur les élections[361] ».

4.1.2  Le point de vue des témoins

M. Fraser[362], M. Geist[363], M^me Bernier[364], la BC FIPA[365] et l’ABC[366] appuient la recommandation du commissaire et sont d’avis que celle-ci favorisait la transparence du gouvernement en ce qui a trait à son utilisation des renseignements personnels.

M^me Bernier, ancienne commissaire par intérim à la protection de la vie privée, a indiqué que la contrainte de pouvoir rendre publiques les conclusions d’une enquête ayant des impacts importants pour les Canadiens uniquement dans des rapports annuels ou spéciaux constitue « un obstacle à la transparence, sans motif valable[367] ». Elle a illustré ses préoccupations à l’aide d’un cas vécu au cours de son mandat :

J'ai été confrontée à cette question lorsque nous avons terminé l'enquête sur l'organisme appelé auparavant Emploi et Développement social Canada. Vous vous souviendrez de la perte d'un disque dur contenant l'information financière de 583 000 Canadiens. J'ai senti que c'était une question tout simplement trop importante pour la laisser dans le rapport annuel. Je pensais que le public canadien méritait de recevoir les résultats de notre enquête plus rapidement et c'est ainsi que nous avons déposé un rapport spécial.

Mais il était rédigé dans un style assez guindé et il a coûté cher. Il manquait de flexibilité. Je voulais bien servir le public canadien en leur présentant les résultats de notre enquête, mais je ne pouvais que le faire par le moyen de notre procédure de rapport spécial[368].

Selon M. Geist, la recommandation du commissaire s’inscrit de manière logique dans l’évolution de la technologie :

En cette ère où le cycle de nouvelles est continu en raison des médias sociaux, on ne peut permettre les restrictions à la capacité de diffuser de l'information, en particulier de l'information qui peut être liée à la protection des renseignements personnels de millions de Canadiens. Cette information ne peut être soustraite au public et réservée aux rapports annuels. Si le commissaire juge qu'il est dans l'intérêt de le faire, le commissariat doit certainement avoir le pouvoir de communiquer l'information au moment opportun[369].

M. Fraser a indiqué que les descriptions d’enquêtes dignes de mention dans les rapports annuels du commissaire sont insuffisantes pour éduquer le public et l’adoption de cette recommandation « favoriserait nettement la transparence[370] ». La BC FIPA est d’avis que la nouvelle disposition prévoyant le pouvoir discrétionnaire du commissaire « serait l’équivalent d’une disposition proposée touchant la primauté de l’intérêt public dans la Loi sur l’accès à l’information (LAI) et elle permettrait au commissaire de mieux servir l’intérêt public[371] ». Finalement, bien que l’ABC appuie la recommandation du commissaire, elle croit que ce nouveau pouvoir du commissaire n’aurait pas beaucoup d’effet étant donné que les « obligations actuelles de déclaration pour les institutions fédérales laissent beaucoup à désirer, particulièrement dans le cas où une institution fédérale a subi une atteinte à la vie privée et que des renseignements personnels ont été communiqués par inadvertance ou de façon inappropriée[372] ».

Lors de sa comparution, M. Oliver, commissaire adjoint de la GRC, a exprimé certaines préoccupations relativement à l’adoption de cette recommandation :

Si cette recommandation est adoptée, j'espère qu'elle n'affaiblira pas l'article 62 [de la LPRP], sur les exigences en matière de sécurité, ni l'article 65 [de la LPRP], sur la protection des capacités de nature délicate, comme les techniques d'enquête et ces genres de choses.

Il s’agit de certains domaines — qui pourraient miner notre capacité de réaliser notre mandat — où la communication de certains renseignements pourrait compromettre l’identité des sources humaines ou l’identité de témoins bénéficiant d'une protection. Cela pourrait aussi compromettre des techniques d’enquête confidentielles que nous tentons de protéger afin que les organisations criminelles ou les terroristes ne modifient pas leurs comportements afin d’éviter toute détection ou ne mettent pas en place des contre-mesures pour les contourner. Nous tenterons de continuer à protéger ces types de renseignements[373].

4.1.3  La recommandation du Comité

À la lumière du témoignage entendu, le Comité est d’avis que la recommandation du commissaire favoriserait la transparence et recommande donc :

RECOMMANDATION 21

Que l’article 64 de la Loi sur la protection des renseignements personnels soit modifié pour permettre une exception aux exigences de confidentialité afin de conférer au commissaire à la protection de la vie privée le pouvoir discrétionnaire de rendre publiques de manière proactive des questions relatives à la protection de la vie privée au sein du gouvernement s’il juge que cela est dans l’intérêt public.

4.2  Communication des renseignements aux homologues du commissaire à la protection de la vie privée à l’échelle nationale et internationale

4.2.1  Le point de vue du commissaire à la protection de la vie privée

Le commissaire a recommandé « de renforcer la capacité du Commissariat à collaborer avec d’autres autorités de protection des données et organismes d’examen pour les vérifications et les enquêtes d’intérêt commun concernant les questions relevant de la Loi sur la protection des renseignements personnels[374] ». Le commissaire a indiqué qu’il possédait ce pouvoir en vertu de la LPRPDE pour son travail d’enquête et d’éducation au public : « les mesures d’application de la loi que nous prenons à l’étranger sont désormais beaucoup plus efficaces et rapides grâce à cette nouvelle capacité de travailler en collaboration avec d’autres autorités[375] ».

4.2.2  Le point de vue des témoins

La BC FIPA[376], l’ABC[377] et M. Karanicolas[378] appuient la recommandation du commissaire. M. Dickson de l’ABC a expliqué que la recommandation du commissaire concerne « tout simplement la question de coordonner l'application de la loi afin de remédier aux problèmes liés à la transmission de données en dehors des frontières canadiennes[379] ». M. Dickson a ajouté qu’il s’agit d’une mesure de protection des Canadiens, car cette recommandation veille « à ce que les organismes de protection aient la capacité de mener des enquêtes en collaboration[380] ». M. Karanicolas a illustré l’importance de cette recommandation :

Internet ébranle les définitions traditionnelles des frontières et des territoires, ce qui rend difficile la protection des droits en ligne. Lorsque le profil Ashley Madison d'un homme d'Arabie saoudite, pays où l'adultère est un acte criminel, est rendu public en raison des mesures de protection inadéquates de l'entreprise, quel recours a-t-il?

Les fuites de ce genre ont des conséquences très graves à l'échelle internationale. Il n'y a pas de frontières sur Internet, et tout organisme qui cherche à protéger les droits des Canadiens en ligne doit collaborer avec les autres pays[381].

4.2.3  La recommandation du Comité

Le Comité est d’avis que la recommandation du commissaire constitue une mesure de protection pour la vie privée des Canadiens et appuie sa recommandation. Le Comité recommande que :

RECOMMANDATION 22

Que la Loi sur la protection des renseignements personnels soit modifiée afin de renforcer la capacité du Commissariat à la protection de la vie privée du Canada à collaborer avec d’autres autorités de protection des données et organismes d’examen pour les vérifications et les enquêtes d’intérêt commun concernant les questions relevant de la Loi sur la protection des renseignements personnels.

4.3  Le pouvoir discrétionnaire de mettre fin à une plainte ou de rejeter une plainte

4.3.1  Le point de vue du commissaire à la protection de la vie privée

Le commissaire a recommandé « de modifier l’article 32 de la Loi pour conférer au commissaire le pouvoir discrétionnaire de mettre fin à l’examen d’une plainte ou de la rejeter pour des motifs précis, notamment quand elle est frivole, vexatoire ou faite de mauvaise foi[382] ». Le commissaire a indiqué que sa recommandation s’inscrit « dans un contexte où les ressources sont limitées et où les Canadiens méritent une surveillance efficace et efficiente portant sur des questions qui présentent un intérêt systémique et revêtent une grande importance à leurs yeux[383] ».

Présentement, le commissaire mène des enquêtes sur toutes les plaintes déposées[384]. Le commissaire a mis en évidence dans son mémoire que la LPRPDE ainsi que plusieurs lois provinciales, dont l’Alberta, « confèrent au commissaire à l’information et à la protection de la vie privée de la province le pouvoir discrétionnaire de refuser pour des motifs légitimes de faire enquête sur une plainte[385] ».

Le commissaire a précisé qu’il a utilisé l’expression « notamment quand elle est frivole, vexatoire ou faite de mauvaise foi » dans sa recommandation puisque la LPRPDE inclut d’autres motifs de refus[386], tels que lorsque la personne a accès à un autre recours efficace, lorsque le commissaire est saisi d’une autre plainte portant sur la même question[387], lorsqu’ « il n’y a pas assez d'éléments de preuves pour poursuivre l'enquête[388] », lorsque l’organisme a « déjà fourni une réponse juste et raisonnable à la personne » ou lorsque « le commissaire a déjà dressé un rapport sur la situation et où un problème récurrent a déjà été réglé[389] ».

Finalement, le commissaire a indiqué que la révision judiciaire constituerait le recours approprié si un plaignant est insatisfait d’une décision du commissaire de rejeter ou de mettre fin à l’examen d’une plainte déposée en vertu de la LPRP[390].

4.3.2  Le point de vue des témoins

M. Bennett[391], M. Fraser[392], M. Gogolek[393] et l’ABC[394] appuient cette recommandation du commissaire.

L’ABC a réitéré sa recommandation de 2012 au gouvernement fédéral de conférer au commissaire  « le pouvoir discrétionnaire de refuser des plaintes ou de mettre fin à des enquêtes en fonction de certains critères, notamment lorsque les plaintes sont mineures, frivoles, vexatoires, faites de mauvaise foi, appuyées par une preuve insuffisante, déjà traitées par le commissaire ou se prêtent mieux à un règlement dans un autre forum[395] ». De plus, M. Gogolek de la BC FIPA a affirmé que cette recommandation était justifiée et « nécessaire pour éviter le gaspillage des ressources publiques dans le cas des demandes d'examen frivoles, vexatoires ou faites de mauvaise foi[396] », mais a insisté sur le fait que « ce pouvoir devrait toutefois être limité à ces cas précis[397] ».

M. Fraser a souligné l’importance de cette recommandation du commissaire, mais a affirmé qu’il « faudrait que la mise en place du pouvoir fasse l'objet des contrôles et des vérifications nécessaires, et possiblement d'un examen judiciaire, car il n'est pas banal de priver une personne de son recours aux termes de la Loi sur la protection des renseignements personnels, compte tenu de son statut quasi constitutionnel au Canada[398] ». M. Gogolek a également souligné que les citoyens devraient pouvoir porter en appel la décision du commissaire de refuser d’enquêter[399]. M. Bennett a précisé qu’une mesure voulant qu’une personne ne puisse seulement avoir trois plaintes actives à la fois existe en Colombie-Britannique afin de se munir contre les plaintes frivoles et vexatoires[400].

M. Fraser a néanmoins spécifié que cet instrument « est trop radical puisque chaque cas est unique[401] ». Il a suggéré qu’il n’est pas requis de réinventer la roue étant donné que « les tribunaux ont élaboré des critères concrets pour déterminer si un plaideur est vexatoire » et que ces « critères tiennent toujours compte des nuances et des circonstances[402] ».

Pour sa part, M. Drapeau s’est opposé à cette recommandation du commissaire en se fondant sur la nature quasi constitutionnelle des droits conférés par la LPRP et en affirmant que cela pourrait avoir comme effet de priver un plaignant de « son droit et de tout recours éventuel devant les tribunaux[403] ».

4.3.3  La recommandation du Comité

Le Comité est en accord avec la recommandation du commissaire et recommande :

RECOMMANDATION 23

Que l’article 32 de la Loi sur la protection des renseignements personnels soit modifié afin de conférer au commissaire à la protection de la vie privée le pouvoir discrétionnaire de mettre fin à l’examen d’une plainte ou de la rejeter pour des motifs précis, notamment quand elle est frivole, vexatoire ou faite de mauvaise foi, et que la décision du commissaire de mettre fin à l’examen d’une plainte ou de rejeter une plainte soit sujette à un droit d’appel pour le plaignant.

4.4  Renforcer les exigences en matière de rapports de transparence imposées aux institutions gouvernementales

4.4.1  Le point de vue du commissaire à la protection de la vie privée

Le commissaire a recommandé « de renforcer les exigences en matière de rapports concernant les grandes questions relatives à la vie privée auxquelles font face les institutions fédérales et d’imposer des exigences particulières concernant la transparence en ce qui a trait aux demandes d’accès légal émanant des organismes chargés de l’application de la loi[404] ».

Le commissaire a indiqué qu’en vertu de l’article 72 de la LPRP, les ministères publient un rapport annuel. Néanmoins, le commissaire a affirmé que « pour le lecteur profane, ces mesures de transparence annuelles consistent généralement en un savant collage de statistiques sur le nombre de demandes d’accès aux renseignements personnels reçues et traitées pendant une année – n’expliquant guère ce que signifient les chiffres présentés[405] ». Or, le commissaire soutient qu’il est nécessaire « de veiller à ce que ces rapports soient faciles à comprendre afin d’assurer leur pertinence et leur utilité pour le public[406] ».

De plus, le Commissariat « a récemment exhorté les institutions fédérales à rendre publics le nombre de demandes d’accès légal qu’elles présentent aux fournisseurs de services Internet et à d’autres organisations du secteur privé auxquelles ont été confiées des données sur les communications des consommateurs, les types de demandes en question et la fréquence de ces demandes[407] ». Selon le commissaire, une plus grande ouverture dans ce domaine est préconisée[408].

4.4.2  Le point de vue des témoins

M^me McPhail[409], M. Karanicolas[410], l’ABC[411] et la BC FIPA[412] appuient la recommandation du commissaire. Pour M. Karanicolas, « au lieu d'intégrer des normes précises dans la Loi, nous pensons qu'il serait préférable que la portée des exigences soit à la discrétion du commissaire à la protection de la vie privée ou de la commissaire à l'information, et qu'elle soit définie dans leurs règlements. Ainsi, on pourrait traiter les nouvelles questions à mesure qu'elles apparaîtraient, sans avoir à réformer la Loi[413] ».

M^me McPhail[414] et M. Geist[415] ont soutenu que l’accès aux renseignements en ce qui a trait aux demandes d’accès légal est extrêmement important pour la transparence.

4.4.3  La recommandation du Comité

Le Comité est d’avis qu’il est important de renforcer les exigences en matière de rapports de transparence imposées aux institutions fédérales. Corollairement, le public doit avoir accès à de l’information accessible et pertinente en ce qui a trait à l’administration de la LPRP par les institutions fédérales. Le Comité appuie la recommandation du commissaire et recommande:

RECOMMANDATION 24

Que les exigences en matière de rapports concernant les grandes questions relatives à la vie privée auxquelles font face les institutions fédérales soient renforcées en exigeant l’ajout d’un élément descriptif afin que le contenu des rapports soit accessible et pertinent.

RECOMMANDATION 25

Que des exigences particulières concernant la transparence en ce qui a trait aux demandes d’accès légal émanant des organismes chargés de l’application de la loi soient imposées.

4.5  Portée de la Loi sur la protection des renseignements personnels

Le commissaire a recommandé de « modifier la Loi de façon à ce qu’elle s’applique à toutes les institutions fédérales, y compris les cabinets des ministres et celui du premier ministre, et à accorder les droits d’accès aux ressortissants étrangers[416] ».

4.5.1  Application de la Loi sur la protection des renseignements personnels

4.5.1.1  Le point de vue du commissaire à la protection de la vie privée

Actuellement, la LPRP « s’applique exclusivement aux institutions fédérales mentionnées à son annexe 1 ou à celles qui ont été ajoutées dans la section “Définitions” (p. ex. les sociétés d’État)[417] ». Selon le commissaire,  « les personnes devraient avoir accès à leurs renseignements personnels et pouvoir en contester l’exactitude, peu importe où ces renseignements sont détenus au sein du gouvernement[418] ».

Dans l’optique où la Loi sur l’accès à l’information et la LPRP forment un code homogène, le commissaire a souligné que : « lorsqu'on modifie, dans une loi, le droit d'accès ou les exceptions qui s'y rattachent, il faut normalement apporter les mêmes modifications ou, du moins, se demander s'il faut faire la même chose dans l'autre. […] Cette question mérite réflexion, mais j'ai tendance à penser que l'élargissement du champ d'application d'une loi ne sera pas efficace si la même chose n'est pas faite dans l'autre loi [419] ».

De plus, le commissaire a précisé que sa recommandation vise l’élargissement de la portée de la LPRP à toutes les institutions gouvernementales et à l’ensemble de l’appareil exécutif, notamment les cabinets des ministres et le Cabinet du premier ministre[420]. Le commissaire explique sa recommandation de la façon suivante :

Les cabinets des ministres et le Cabinet du premier ministre détiennent des renseignements personnels qui sont extrêmement pertinents pour ce qui est de la prestation de services et de la façon dont des droits sont conférés.

De nombreuses lois prévoient des responsabilités pour les ministres, qui à leur tour les délèguent à des fonctionnaires. De nombreux renseignements qui ont trait à ces questions sont détenus par des fonctionnaires, et ces renseignements sont accessibles à l'heure actuelle. Au bout du compte, toutefois, c'est le ministre qui est tenu de prendre les décisions. Dans certains cas, les ministres se chargent personnellement, en effet, de prendre les décisions. S'il s'agit du même genre de renseignements pouvant être utilisés pour l'atteinte des mêmes objectifs de la loi, le fait que le cabinet d'un ministre ou des fonctionnaires détiennent les renseignements ne devrait pas avoir d'importance[421].

4.5.1.2  Le point de vue des témoins

M. Rubin[422], M^me McPhail[423], M. Fraser[424], M. Bennett[425], M. Geist[426], M^me Bernier[427], la BC FIPA[428] et l’ABC[429] appuient la recommandation du commissaire.

M^me Bernier a affirmé qu’ « il y a des renseignements personnels détenus ou qui pourraient être détenus par ces bureaux qui ne sont pas actuellement protégés. On observe le fait que le gouvernement au pouvoir, les ministres et le premier ministre disposent du pouvoir du gouvernement. Ainsi, ils devraient être tenus de respecter les normes de la Loi sur la protection des renseignements personnels pour recueillir, utiliser ou divulguer cette information[430] ». Dans le même sens, M^me McPhail a affirmé que « les Canadiens ont le droit de savoir que, peu importe l’ordre de gouvernement ou le niveau de pouvoir, leurs renseignements personnels sont recueillis et conservés de manière sécuritaire et qu’ils ont le droit concurrent de présenter des demandes d’information en vertu d’autres lois [431] ». De même, M. Geist a expliqué l’importance d’assujettir les cabinets des ministres à la LPRP :

la prise de décisions et l'élaboration des politiques ne se font désormais plus seulement au ministère. Les bureaux ministériels le font très souvent si bien que, d'après moi, il est important de comprendre ces processus et de s'assurer qu'ils sont assujettis aux mêmes exigences de transparence et d'ouverture. Il faut donc veiller à ce que ce soit couvert dans la Loi sur l'accès à l'information, mais aussi dans la Loi sur la protection des renseignements personnels[432].

M^me Tully[433], M. Molloy[434] et M. McArthur[435] ont indiqué que la loi de leur province s’applique au cabinet du premier ministre et aux cabinets des ministres.

De plus, la BC FIPA a illustré l’importance de la recommandation du commissaire en attirant l’attention du Comité sur l’enquête du commissaire sur le cas Sean Bruyea où des renseignements personnels recueillis par une institution fédérale s’étaient retrouvés dans des notes d’information destinées à un ministre[436].

4.5.1.3  La recommandation du Comité

Le Comité recommande que :

RECOMMANDATION 26

Que le gouvernement du Canada explore la possibilité d’étendre le champ d’application de la Loi sur la protection des renseignements personnels à toutes les institutions du gouvernement fédéral, y compris les cabinets des ministres et celui du premier ministre.

4.5.2  Le droit d’accès aux renseignements personnels

4.5.2.1  Le point de vue du commissaire à la protection de la vie privée

Le commissaire a souligné qu’au moment actuel, la LPRP « donne le droit d’accès uniquement aux citoyens canadiens, aux résidents permanents et aux personnes qui se trouvent physiquement au Canada[437] ». Néanmoins, le commissaire a précisé que les

ministères fédéraux détiennent de grandes quantités de renseignements personnels sur des non-citoyens en raison des voyages, des activités migratoires et des activités commerciales à l’échelle mondiale. Les ressortissants étrangers, comme les personnes cherchant à immigrer au Canada, qui veulent avoir accès à leurs renseignements personnels doivent souvent demander à un mandataire de présenter une demande en vertu de la Loi sur l’accès à l’information et consentir à la communication de leurs renseignements personnels[438].

Dans son mémoire, le commissaire fait référence au rapport spécial de la commissaire à l’information du Canada qui indique ce qui suit :

Parmi les provinces et les territoires, les pays du Commonwealth, les États-Unis, dans les lois types et dans les pays dont la loi sur l’accès à l’information se classe parmi les 10 premières selon le « Global Right to Information Rating », le Canada, la Nouvelle-Zélande et l’Inde sont les seuls à imposer des limites quant aux personnes qui peuvent avoir accès à l’information détenue par le gouvernement. Toutes les autres juridictions  ont un droit d’accès universel et aucune d’entre elles n’a indiqué que le droit universel avait entraîné une quantité de demandes ingérable. Par le passé, on a aussi recommandé en de nombreuses occasions un élargissement du droit d’accès au Canada[439].

4.5.2.2  Le point de vue des témoins

M. Drapeau s’est opposé à la recommandation du commissaire étant donné qu’il considère déjà long le traitement des plaintes au Commissariat et qu’il n’est pas opportun d’étendre la portée de la LPRP aux étrangers alors qu’à son avis, le service aux Canadiens n’est pas optimal au moment actuel[440]. Dans son témoignage, M. Brison a dit qu’avant d’étendre la portée de la LPRP aux étrangers, il fallait selon lui d’abord améliorer les temps de réponse pour les citoyens canadiens[441].

De plus, IRCC a mentionné que cette recommandation du commissaire pourrait avoir « une incidence opérationnelle importante[442] » sur leur travail :

Actuellement, les étrangers et les personnes qui se trouvent hors du Canada peuvent avoir accès à leurs renseignements personnels détenus par IRCC en faisant appel à un représentant canadien et en présentant une demande en vertu de la Loi sur l’accès à l’information. […]

Le commissaire à la protection de la vie privée a recommandé que les étrangers et les personnes qui se trouvent hors du Canada puissent soumettre une demande liée à leurs renseignements personnels en vertu de la Loi. Cela nous préoccupe, parce qu'en raison des secteurs d'activité et du mandat international d'IRCC, cette recommandation pourrait donner lieu à une augmentation considérable du nombre de demandes relatives à la protection de la vie privée, ce qui imposerait un fardeau excessif sur nos ressources et créerait des contraintes opérationnelles considérables. Cela pourrait sérieusement compromettre notre capacité de respecter les délais de réponse aux demandes prévus par la loi[443].

La GRC[444], le SCRS[445] et l’ASFC[446] ont indiqué qu’ils auraient des préoccupations similaires à celles d’IRCC si la portée de la LPRP était étendue aux étrangers.

M^me Sue Lajoie du Commissariat a expliqué qu’ils ignorent « combien de demandes supplémentaires seraient créées si la portée de la Loi sur la protection des renseignements personnels était élargie[447] » dans le cas d’IRCC. Le commissaire a spécifié qu’en ce qui a trait à la situation à IRCC, « le fait d'accorder aux étrangers un droit d'accès en vertu de la Loi sur la protection des renseignements personnels n'a pas d'incidence directe sur la procédure indirecte actuelle qui consiste à avoir des étrangers qui font des demandes d'accès à des renseignements personnels par personne interposée en vertu de la Loi sur l'accès à l'information[448]».

4.5.2.3  La recommandation du Comité

À la lumière du témoignage, le Comité recommande :

RECOMMANDATION 27

Que le gouvernement du Canada examine la possibilité d’étendre les droits d’accès aux ressortissants étrangers.

4.6  Exceptions relatives aux demandes d’accès aux renseignements personnels

Dans son mémoire, le commissaire a indiqué qu’il préconise « une communication maximale quand une personne demande l’accès à ses renseignements personnels[449] ». Pour ce faire, le commissaire recommande de « limiter les exceptions relatives aux demandes d’accès, prélever dans la mesure du possible l’information protégée et veiller à ce que ces exceptions soient généralement discrétionnaires et fondées sur le préjudice, s’il y a lieu[450] ».

Néanmoins, le commissaire a spécifié qu’il est en désaccord avec une recommandation de la commissaire à l’information soit celle de modifier l’exception concernant les renseignements personnels prévue à l’article 19 de la Loi sur l’accès à l’information « afin de permettre la divulgation de renseignements personnels lorsque cela ne constitue pas une violation injustifiée à la vie privée[451] ». Pour sa part, il recommande de ne « pas de restreindre la portée de l’exception relative à l’accès lorsqu’il s’agit de renseignements personnels concernant une autre personne[452] ». Le commissaire explique sa recommandation comme suit :

L’exception actuelle s’applique à tous les renseignements personnels, peu importe que leur communication représenterait ou non une atteinte injustifiée à la vie privée. On protège ainsi le droit à la vie privée des tierces personnes, conformément à la jurisprudence canadienne, qui fait ressortir l’importance de la vie privée, laquelle l’emporte même sur l’accès[453].  En outre, la Loi sur la protection des renseignements personnels autorise déjà la communication de renseignements personnels lorsque, selon le responsable de l’institution, l’intérêt public l’emporte manifestement sur toute atteinte à la vie privée[454]. Cette forme de primauté de l’intérêt public établit un juste équilibre, qui ne devrait pas être modifié, entre la protection de la vie privée et l’accès à l’information[455].

Le commissaire a invité le Comité à considérer la Loi sur l’accès à l’information et la LPRP comme un code homogène : « toute modification touchant l'équilibre entre les droits d'accès et le droit à la vie privée dans la législation actuelle doit être mûrement réfléchie[456] ».

M. Rubin[457] et M. Israel[458] ont appuyé la recommandation du commissaire.

Pour l’ABC, aucun consensus par rapport à la recommandation du commissaire ne s’est dégagé au sein de l’organisation[459].

M. Gogolek s’est dit en faveur de la recommandation de la commissaire à l’information : « Nous recommandons depuis longtemps que les exceptions prévues à la LAI [Loi sur l’accès à l’information] soient fondées sur les torts causés, et cela englobe la communication de renseignements personnels. Nous sommes également contre un pouvoir discrétionnaire à cet égard[460] ».

De la même manière, M. Karanicolas est en désaccord avec le commissaire à la protection de la vie privée :

Le CLD [Centre for Law and Democracy] appuie fortement la recommandation du CI [commissaire à l’information] de limiter la définition, pour deux raisons.

Premièrement, il y a des quantités énormes de renseignements personnels qui ne sont pas confidentiels – par exemple, les renseignements qui sont déjà facilement accessibles par tous –; conséquemment, leur communication ne causerait aucun préjudice matériel. Un critère de préjudice – c'est ce que nous recommandons – préciserait que dans de tels cas, il faudrait toujours communiquer les renseignements. Un critère de ce genre permet d'éviter les retards indus dans le traitement des demandes, et c'est une caractéristique centrale d'une bonne loi sur l'accès à l'information.

Deuxièmement, le CPVP [Commissariat à la protection de la vie privée] préconise l'adoption d'une formule qui fait pencher la balance en faveur de la vie privée en exigeant qu'on démontre, pour que les renseignements soient communiqués, que l'intérêt public justifiant la communication dépasse clairement l'intérêt privé. Cette approche est erronée. Le droit à l'information est un droit de la personne généralement reconnu à l'échelle internationale; c'est aussi un droit constitutionnel limité et dérivé. Il devrait avoir le même poids que le droit à la vie privée[461].

Le Comité recommande :

RECOMMANDATION 28

Que le gouvernement du Canada examine la possibilité de limiter les exceptions relatives aux demandes d’accès aux renseignements personnels sous le régime de la Loi sur la protection des renseignements personnels.