L'évaluation des facteurs relatifs à la vie privée (EFVP)

Loi canadienne anti-pourriel

Mars 2014

Volume I : Évaluation pluri-institutionnelle des facteurs relatifs à la vie privée découlant de l'administration et de l'application de la Loi canadienne anti-pourriel (LCAP).

Table des matières

Description du programme

Le , la Loi canadienne anti-pourrielNote de bas de page 1 (LCAP) a reçu la sanction royale. La LCAP vise à stimuler la croissance du commerce électronique en assurant la confiance du public à l'égard du commerce en ligne. En plus de favoriser la messagerie électronique comme vecteur d'activités commerciales, la LCAP contribue à protéger les Canadiens et les entreprises canadiennes des pourriels dommageables et trompeurs, des représentations électroniques fausses ou mensongères, des logiciels malveillants (y compris les espiogiciels), des réseaux de zombies et d'autres menaces associés à l'Internet.

La plupart des dispositions de la LCAP doivent entrer en vigueur le . Une fois cette nouvelle loi en vigueur, il y aura généralement interdiction de mener les activités suivantes :

  • envoyer des messages électroniques commerciaux sans le consentement du destinataire;
  • modifier les données de transmission d'un message électronique sans consentement, de sorte que le message parvienne à un autre et/ou à un destinataire supplémentaire;
  • installer des programmes informatiques sans consentement;
  • faire des représentations fausses ou trompeuses en ligne à l'égard de la promotion de produits ou de services;
  • recueillir des renseignements personnels en accédant sans autorisation à un système informatique;
  • recueillir des adresses électroniques sans autorisation (c.-à-d. collecte d'adresses).

Trois organismes fédéraux sont chargés de l'application de la Loi : le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), le Bureau de la concurrence (BC) et le Commissariat à la protection de la vie privée du Canada (CPVP) (collectivement désignés « autorités chargées de l'application de la loi »). En plus des mesures indépendantes qu'un organisme peut prendre pour faire respecter la LCAP, la loi exige que ces trois organismes se consultent (d'une façon jugée appropriée) pour garantir l'efficacité de la réglementation sur les activités interdites. Les organismes peuvent échanger de l'information entre eux et avec un gouvernement étranger (dans des circonstances précises et sous réserve d'ententes écrites entre les parties).

La mise en œuvre de la LCAP exige la création d'un Centre de notification des pourriels (CNP) et la mise en place de nouveaux systèmes électroniques pour appuyer la collecte, l'administration et l'analyse des soumissionsNote de bas de page 2 et des rapportsNote de bas de page 3 aux fins d'application de la loi. Le CNP sert de dépôt d'information, information que les organismes d'application de la loi peuvent consulter dans le cadre d'une enquête. L'accès à l'information détenue par le CNP est restreint; les organismes d'application de la loi n'ont accès à l'information que s'il existe un besoin de savoir. Le CNP reçoit des soumissions et des rapports concernant des infractions présumées en provenance du site Web public d'Industrie Canada (IC), ainsi que des données émanant de tierces parties et de pots de mielNote de bas de page 4. Seuls les organismes d'application de la loi ont accès à l'information conservée par le CNP. Des copies de travail de données brutes seront fournies à des personnes désignées de chaque organisme en fonction du « besoin de savoir ».

Les renseignements personnels recueillis dans le cadre des activités d'application de la LCAP peuvent être utilisés à des fins administratives (p. ex. pour prendre des décisions ayant un impact direct sur un particulier identifiable); ces renseignements peuvent aussi être utilisés dans le cadre d'enquêtes sur des infractions présumées à la LCAP ayant des conséquences administratives, civiles et/ou criminelles. Toute divulgation de renseignements personnels aux organismes d'application de la loi, ou toute utilisation de renseignements personnels à des fins d'enquête, doit être assujettie aux dispositions législatives de la LCAP ainsi qu'aux lois et aux politiques du gouvernement du Canada sur le respect de la vie privée.

Les activités d'application de la LCAP n'exigent pas de recueillir, d'utiliser ou de divulguer des renseignements personnels de nature particulièrement délicate. Évidemment, l'inclusion de renseignements personnels dans les soumissions est strictement volontaire. Compte tenu du fait que les rapporteurs peuvent fournir des renseignements personnels qu'ils estiment pertinents pour leur soumission et qui peuvent être de nature délicate (seuls ou reliés à d'autres renseignements identifiables), il a été recommandé que des contrôles soient mis en place pour s'assurer que les organismes d'application de la loi ne recueillent que les renseignements personnels requis pour les besoins indiqués.

Dans la plupart des cas, les renseignements personnels tirés des soumissions se limitent au nom d'une personne, à ses coordonnées et aux aspects touchant l'incident présumé. En soi, ces renseignements ne sont pas jugés « délicats » dans le contexte. Autant que possible, les renseignements personnels doivent être obtenus directement de la personne ou avec le consentement de cette dernière par l'intermédiaire de tierces parties. Les renseignements personnels des rapporteurs (personnes présentant des soumissions) ne doivent pas avoir de fonctions secondaires.

Objet de l'EFVP

Le CRTC, le CPVP et IC figurent tous dans l'annexe de la Loi sur la protection des renseignements personnelsNote de bas de page 5 et sont assujettis aux politiques et aux directives du Secrétariat du Conseil du Trésor du Canada (SCT). Même s'il n'apparaît pas dans l'annexe de la Loi sur la protection des renseignements personnels, le BC relève du ministre de l'Industrie pour toutes les questions financières et administratives. En vertu de la politique du SCT, toutes les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels sont tenues d'évaluer les facteurs relatifs à la vie privée, dans le contexte du développement ou de la conception de nouveaux programmes ou services faisant intervenir des renseignements personnels (ou si des changements importants sont apportés à un programme ou à un service existant). La présente évaluation (appelée « EFVP LCAP ») répond à l'obligation de procéder à une EVFP en vertu de la Directive sur l'évaluation des facteurs relatifs à la vie privéeNote de bas de page 6 du SCT. Elle satisfait aussi aux exigences de la Direction générale de la vérification et de l'examen du CPVP, précisées dans Nos attentes : un guide pour la présentation d'évaluations des facteurs relatifs à la vie privéeNote de bas de page 7.

Portée de l'EFVP

L'EFVP LCAP pluri-institutionnelle vise à évaluer avec soin les facteurs potentiels relatifs à la vie privée dans le contexte des activités d'application de la LCAP menées pour le compte d'IC, du CRTC, du BC ou du CPVP. Elle comprend une évaluation des activités envisagées de collecte de renseignements, un examen des fonctions clés du CNP et une évaluation détaillée des fonctions normales des enquêteurs. L'échange de renseignements personnels entre les organismes d'application de la loi, dans les limites prescrites au moment de la rédaction de la présente, a aussi été pris en considération.

L'EFVP LCAP ne comprend pas un examen des activités spécialisées ou institutionnelles d'enquête ou d'application de la loi menées par les organismes d'application de la LCAP. Ces activités — lorsqu'il s'agit de recueillir, d'utiliser ou de divulguer des renseignements personnels — sont (ou ne sont pas) visées par les EFVP des programmes mis en place par les différents organismes.

Résumé des risques pour la protection de la vie privée

En général, d'après les constatations de la présente EFVP, les activités administratives et d'application de la loi devant être menées dans le cadre de la LCAP constituent probablement un risque modéré pour la protection de la vie privée des personnes. Même si l'inclusion de renseignements personnels dans les soumissions est strictement volontaire, des renseignements de nature délicate peuvent, de temps à autre, être recueillis s'ils concernent une infraction présumée à la loi. Ces renseignements, même s'ils ne doivent pas être associés à une décision administrative à l'égard d'un rapporteur, peuvent être utilisés au cours de procédures judiciaires et/ou aux fins d'application de la loi.

Dans tous les cas, les organismes d'application de la loi ne peuvent utiliser de renseignements personnels qu'aux fins pour lesquels ils ont été initialement recueillis (p. ex. enquêtes sur des infractions à la LCAP et activités autorisées d'application de la loi). Les mécanismes de sécurité et de protection prévus pour le CNP doivent être adaptés à la nature délicate des renseignements conservés. D'après l'examen du développement du CNP et des activités prévues d'application de la loi, il est peu probable que le programme soit mal perçu par le public ou fasse l'objet de critiques négatives.

Indépendamment des caractéristiques générales du programme — certaines suggèrent un risque élevé — les recommandations de l'EFVP LCAP, si elles sont intégralement adoptées, doivent faire en sorte que le risque découlant de la mise en œuvre de la LCAP soit atténué pour correspondre à un niveau faible ou acceptable.

Le tableau qui suit résume les risques pour la vie privée associés au processus d'EFVP et confie la responsabilité de chaque recommandation aux entités appropriées. Un plan d'action détaillé concernant les points en suspens doit être élaboré et mis en œuvre d'ici le .

Le tableau qui suit résume les risques pour la vie privée associés au processus d'EFVP
Risque et recommandation ICNote de bas de page 8 CRTC BC CPVP

1. Il n'existe actuellement pas de politique ni d'entente concernant l'accès à l'information ou la protection des renseignements personnels, ou les exigences connexes, relativement au Centre de notification des pourriels.

Le CRTC, de concert avec IC, le BC et le CPVP, doit envisager de rédiger et de mettre en œuvre une entente ou une politique sur l'utilisation du CNP, de la base de données sur les pourriels et d'autres outils et applications connexes, s'il y a lieu. En ce qui concerne le traitement des renseignements personnels, l'entente doit définir les exigences en matière de protection de la vie privée et de sécurité.

C

R

C

C

2. Pour les institutions, les protocoles de protection de la vie privée associés à l'administration et à l'application de la LCAP peuvent être inadéquats ou insuffisants pour garantir le bon traitement des renseignements personnels au CNP.

La directive du SCT sur les EFVP incite les institutions fédérales qui recueillent, utilisent ou divulguent des renseignements personnels à créer et à mettre en œuvre des protocoles de protection des renseignements personnels qui contribuent à réduire les facteurs relatifs à la vie privée découlant des programmes ou des activités opérationnels. Même si une évaluation complète des protocoles en place au CRTC, au BC et au CPVP sort du cadre de la présente EFVP, chaque institution doit évaluer ses contrôles internes pour déterminer si les protocoles de protection des renseignements personnels sont suffisants pour contrer les risques liés au traitement des renseignements personnels en vertu de la LCAP.

 

R

R

R

3. Les fichiers de renseignements personnels (FRP) précisant la collecte, l'utilisation et la conservation de renseignements personnels par les organismes chargés de l'administration et de l'application de la LCAP peuvent être périmés ou incomplets.

Il est recommandé que le CRTC, le BC et le CPVP mettent à jour leurs banques de renseignements personnels dans Info Source afin de signifier la collecte et l'utilisation de renseignements personnels en vertu de la LCAP.

Si IC prévoit utiliser des renseignements personnels pour développer des cadres juridiques et stratégiques à l'appui de la LCAP, IC doit envisager de rédiger et de divulguer un nouveau FRP. Dans l'intervalle, la collecte, l'utilisation, la divulgation et la conservation de renseignements personnels (le cas échéant) aux fins de réception et de traitement des plaintes et des demandes d'information doivent être reflétées dans le FRP IC PPU 034.

 

R

R

R

4. L'emploi de texte en clair ou de champs à structure libre dans les soumissions en ligne peut entraîner la collecte de plus de renseignements personnels qu'il n'est nécessaire aux fins de la LCAP.

Le CRTC doit envisager de développer et de mettre en œuvre des contrôles et des procédures pour s'assurer que le CNP ne recueille pas plus de renseignements personnels que nécessaire. Des contrôles et des procédures doivent aussi exister pour garantir que les renseignements personnels inutilement recueillis soient détruits ou rendus anonymes. Les contrôles de validation de données et les procédures de notification doivent être examinés en tenant suffisamment compte des activités d'application de la loi pouvant être menées par les organismes d'application de la loi.

C

R

C

C

5. Les personnes peuvent être mal informées des motifs d'utilisation ou de divulgation de leurs renseignements personnels lorsque ces derniers sont recueillis.

Les personnes qui présentent des soumissions à IC (ou directement aux organismes d'application de la loi) doivent être informées des motifs généraux de collecte, d'utilisation et de divulgation de leurs renseignements personnels. Les entités doivent développer et rédiger un « Énoncé de confidentialité » et/ou un « Énoncé de consentement » et informer les rapporteurs sur les formules de soumission en ligne et/ou sur les formules de consentement des organismes d'application de la loi, le cas échéant.

R

C

C

C

6. Pour l'heure, il n'y a pas de normes ni de mécanismes garantissant pour s'assurer qu'un individu est en mesure de consentir à l'utilisation et à la divulgation de ses renseignements personnels aux fins d'application de la LCAP.

IC doit envisager de déterminer un âge et d'autres critères pour les soumissions, si nécessaire et selon ce que permet le paragraphe 77(1) de la Loi sur la protection des renseignements personnels. Aux fins d'application de la loi, si un consentement est requis pour utiliser et divulguer des renseignements personnels, IC doit s'assurer que les rapporteurs ont l'âge exigé pour que leur consentement soit valable. Si un rapporteur ne satisfait pas aux critères établis, le consentement d'un parent ou du tuteur doit être obtenu avant que la soumission soit traitée.

Si des renseignements peuvent être recueillis de mineurs ou de personnes inhabiles ou de personnes autorisées à agir en leur nom, IC, de concert avec le CRTC, doit mettre en place des mécanismes adéquats pour s'assurer que le consentement est documenté et vérifié.

R

C

C

C

7. Au sein des institutions chargées de l'administration et de l'application de la LCAP, les protocoles en cas d'atteinte à la vie privée peuvent être périmés ou inadéquats et ne pas être en mesure d'atténuer d'éventuels préjudices découlant d'une atteinte à la vie privée au CNP.

Conformément à la Directive sur les pratiques relatives à la protection de la vie privée du gouvernement du Canada, toutes les institutions doivent s'assurer que des protocoles en cas d'atteinte à la vie privée sont en place et mis à jour pour convenir aux renseignements personnels à protéger après l'entrée en vigueur de la LCAP. Au minimum, ces protocoles doivent définir les éléments suivants : rôles et responsabilités en cas d'atteinte à la vie privée; procédures internes et exigences en termes de communications; normes et procédures de notification (y compris le moment de cette notification, pour informer le Commissariat à la protection de la vie privée du Canada et les parties touchées par une atteinte à la vie privée).

R

R

R

R

8. La réponse d'un organisme à une demande d'accès à l'information ou de renseignements personnels peut entraîner la divulgation de renseignements susceptibles de nuire ou de porter préjudice à une enquête menée par un autre organisme.

Les directeurs institutionnels de l'AIPRP doivent envisager de développer un protocole officiel pour coordonner les réponses aux demandes d'accès à l'information ou de renseignements personnels liées à la LCAP pour éviter de divulguer des renseignements susceptibles de nuire ou de porter préjudice à une enquête menée par un organisme partenaire d'application de la loi.

R

R

R

R

Notes de bas de page

Note de bas de page 1

Loi visant à promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation de certaines pratiques qui découragent l'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications (L.C. 2010, ch. 23)

Retour à l'appel de note 1

Note de bas de page 2

Aux fins de la présente EFVP, le terme « soumission » signifie des formules et des renseignements présentés par un individu sur fightspam.gc.ca concernant une infraction présumée à la LCAP.

Retour à l'appel de note 2

Note de bas de page 3

Aux fins de la présente EFVP, le terme « rapport » désigne les renseignements fournis à l'appui d'une soumission, ou les renseignements et d'autres informations transmis au CNP par des tierces parties, en rapport avec des infractions présumées.

Retour à l'appel de note 3

Note de bas de page 4

Un « pot de miel » est un piège tendu pour détecter ou permettre l'utilisation non autorisée de systèmes informatiques. Les pots de miel peuvent être des ordinateurs, des adresses électroniques ou des sites de réseau qui semblent faire partie d'un réseau ouvert, mais qui sont en réalité isolés et surveillés. Ces sites permettent de recueillir des renseignements ou de l'information sur les pourriels ou sur d'autres menaces électroniques.

Retour à l'appel de note 4

Note de bas de page 5

R.S.C., 1985, c. P-21.

Retour à l'appel de note 5

Note de bas de page 6

Secrétariat du Conseil du Trésor du Canada, Directive sur l'évaluation des facteurs relatifs à la vie privée, Ottawa, avril 2010 [Directive EFVP]. www.tbs-sct.gc.ca

Retour à l'appel de note 6

Note de bas de page 7

Commissariat à la protection de la vie privée du Canada, Nos attentes : un guide pour la présentation d'évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada, Ottawa, octobre 2011 [CPVP Nos attentes]. www.priv.gc.ca

Retour à l'appel de note 7

Note de bas de page 8

R = Responsable C = Consultation I = Information

Retour à l'appel de note 8