Réponse du gouvernement au Quatrième Rapport du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

Définition d'« institution gouvernementale »
Recommandation 13

« Le Comité recommande que l'expression " institution gouvernementale " aux alinéas 7(3)c.1) et d) de la LPRPDE soit éclaircie afin de préciser si elle comprend les entités municipales, provinciales, territoriales, fédérales et non canadiennes. »

Réponse

Conscient des avantages de clarifier l'expression « institution gouvernementale », le gouvernement fait remarquer que la LPRPDE comporte déjà une disposition destinée à conférer au gouverneur en conseil le pouvoir de prendre des règlements sur ces questions. À ce titre, il sera possible de définir l'expression « institution gouvernementale » dans la Loi dans le cadre d'un règlement.

Industrie Canada examinera la possibilité de procéder à une réglementation qui précisera la définition de l'expression « institution gouvernementale » pour les fins de la Loi.

 

Alinéa 7(1)e)
Recommandation 14

« Le Comité recommande que l'alinéa 7(1)e) soit retiré de la LPRPDE. »

Réponse

Le gouvernement du Canada prend note de la recommandation du Comité visant à retirer les modifications apportées à la LPRPDE à cause de la Loi de 2002 sur la sécurité publique, (alinéa 7(1)e)), et reconnaît les préoccupations exprimées par la commissaire à la protection de la vie privée et d'autres au sujet de l'impact potentiel de cette disposition sur la protection des renseignements personnels des Canadiens. Toutefois, en raison des intérêts importants en matière de sécurité publique que cet alinéa vise à traiter, le gouvernement n'est pas prêt à retirer l'alinéa 7(1)e) de la LPRPDE pour l'instant.

 

Renseignements personnels sur des mineurs
Recommandation 15

« Le Comité recommande que le gouvernement examine la question du consentement des mineurs concernant la collecte, l'utilisation et la communication de leurs renseignements personnels dans un contexte commercial, en vue de modifier la LPRPDE à cet égard. »

Réponse

Le gouvernement reconnaît que la protection des renseignements personnels sur des mineurs peut être vulnérable, particulièrement dans un environnement en ligne. À l'appui de la recommandation du Comité, le gouvernement consultera les intervenants pertinents afin d'examiner la question de consentement par des mineurs et de déterminer s'il est nécessaire et faisable de modifier la LPRPDE à cet égard.

 

Circulation transfrontalière de données
Recommandation 16

« Le Comité recommande qu'aucune modification ne soit apportée à la LPRPDE en ce qui concerne la circulation transfrontalière de renseignements personnels. »

Réponse

Le gouvernement appuie certes la recommandation du Comité voulant qu'aucune modification législative ne soit nécessaire. Or, il est également important de reconnaître les préoccupations en matière de protection des renseignements personnels que pose la circulation transfrontalière de données et l'importance de relever ces défis grâce à une coopération internationale. À ce titre, le gouvernement travaille depuis longtemps avec ses homologues internationaux pour régler ces questions. Par exemple, le Canada avait participé à la conception des Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l'Organisation de coopération et de développement économiques, qui ont été adoptées en 1980. Plus récemment, le Canada a participé à l'élaboration d'un cadre de protection des renseignements personnels de la Coopération économique Asie-Pacifique (APEC) et continue de jouer un rôle actif dans les efforts de coopération pour élaborer des règles de protection transfrontalière des renseignements personnels conformément à ce cadre. Enfin, le gouvernement travaille actuellement avec le Mexique et les États-Unis pour régler les questions de circulation transfrontalière de données dans le contexte nord-américain, par le biais du Partenariat de la sécurité et de la prospérité (PSP).

 

Renseignements personnels sur la santé
Recommandation 17

« Le Comité recommande que le gouvernement consulte les membres du secteur des soins de santé et le Commissariat à la protection de la vie privée du Canada afin de déterminer quels éléments du document sur les outils de sensibilisation à la LPRPDE pourraient être énoncés sous forme législative. »

Réponse

Le gouvernement est heureux de l'appui exprimé par le milieu des soins de santé et d'autres intervenants à l'égard du document sur les outils de sensibilisation à la LPRPDE. Fidèle à la recommandation du Comité, Industrie Canada travaillera avec Santé Canada, la commissaire à la protection de la vie privée du Canada, le milieu des soins de santé et les gouvernements provinciaux et territoriaux afin de discuter des options possibles pour attribuer au document un caractère plus officiel.

 

Pouvoirs de rendre des ordonnances
Recommandation 18

« Le Comité recommande qu'aucun pouvoir de rendre des ordonnances ne soit octroyé pour l'instant à la commissaire fédérale à la protection de la vie privée. »

Réponse

Le gouvernement convient qu'aucun pouvoir de rendre des ordonnances ne devrait être octroyé pour l'instant à la commissaire à la protection de la vie privée. Cette position est appuyée par le point de vue général exprimé dans l'ensemble des témoignages et des mémoires présentés au Comité, à savoir que la LPRPDE fonctionne assez bien. De plus, comme la Loi est entrée en vigueur depuis peu, il faut adopter une approche prudente pour ce qui est d'apporter des modifications importantes aux pouvoirs d'application de la commissaire à la protection de la vie privée. On devrait plutôt donner à la commissaire plus de temps pour utiliser pleinement les pouvoirs d'application dont elle dispose maintenant.

 

Divulgation de l'identité des contrevenants
Recommandation 19

« Le Comité recommande qu'aucune modification ne soit apportée au paragraphe 20(2) de la LPRPDE en ce qui concerne le pouvoir discrétionnaire de la commissaire à la protection de la vie privée de divulguer l'identité d'une organisation dans l'intérêt public. »

Réponse

Le gouvernement appuie la recommandation du Comité voulant qu'aucune modification ne soit nécessaire relativement à cette question. En vertu de la LPRPDE, la commissaire à la protection de la vie privée a la capacité de rendre public le nom des organisations qui font l'objet de plaintes; elle devrait donc conserver ce pouvoir discrétionnaire lorsqu'il est dans l'intérêt public d'utiliser ce pouvoir.

 

Partage d'information avec d'autres autorités responsables de données
Recommandations 20 et 21

Recommandation 20

« Le Comité recommande qu'en vertu de la LPRPDE, la commissaire fédérale à la protection de la vie privée soit habilitée à partager des renseignements personnels et à coopérer, dans le cadre d'enquêtes d'intérêt mutuel, avec ses homologues des provinces où il n'y a pas de lois essentiellement similaires à la loi fédérale pour le secteur privé, ainsi qu'avec les instances responsables de la protection des données à l'étranger. »

 

Recommandation 21

« Le Comité recommande que les renseignements partagés avec d'autres pays, particulièrement les États-Unis, soient dûment protégés de façon à ne pas être divulgués à un tribunal étranger ou à une autre instance gouvernementale à des fins autres que celles pour lesquelles ils ont été communiqués. »

Réponse (aux recommandations 20 et 21)

Le gouvernement est d'accord pour dire que la commissaire à la protection de la vie privée doit coopérer dans les enquêtes avec d'autres pays. En raison de la nature mondiale de l'économie moderne, la commissaire à la protection de la vie privée doit être en mesure de travailler avec d'autres autorités responsables de la protection des renseignements personnels, tant au Canada qu'à l'étranger, afin de remplir son mandat en vertu de la LPRPDE.

Le gouvernement convient aussi que le pouvoir actuel de la commissaire à la protection de la vie privée en ce qui concerne le partage d'information avec ses homologues est limité, ce qui restreint sa capacité de bien travailler en collaboration. Toutefois, il est reconnu que toute entente de partage d'information avec des autorités étrangères devrait inclure des contraintes appropriées pour stipuler que les renseignements ne seront utilisés que pour les fins prévues.

Cette recommandation est directement liée aux travaux continus avec les partenaires internationaux du Canada dans le contexte de l'Organisation de coopération et de développement économiques (OCDE), de la Coopération économique Asie-Pacifique (APEC) et du Partenariat pour la sécurité et la prospérité (PSP), en vue d'améliorer l'application transfrontalière des règles sur la protection des renseignements personnels. Le gouvernement fédéral et la commissaire à la protection de la vie privée du Canada participent activement à ces initiatives.

 

Secret professionnel liant un avocat à un client
Recommandation 22

« Le Comité recommande que la LPRPDE soit modifiée afin que la commissaire à la protection de la vie privée soit habilitée à demander à la Cour fédérale du Canada un examen accéléré d'une allégation de secret professionnel liant un avocat à son client invoquée pour refuser l'accès à des renseignements personnels (alinéa 9(3)a)), lorsque la commissaire s'est fait refuser la production d'information dans le cadre d'une enquête.

Réponse

Le gouvernement reconnaît la recommandation du Comité en ce qui concerne la capacité de la commissaire à la protection de la vie privée du Canada de vérifier les allégations de secret professionnel liant un avocat à son client. Le gouvernement note également qu'en octobre 2006, la Cour d'appel fédérale a rendu une décision sur cette question Blood Tribe Department of Health c. Commissaire à la protection de la vie privée du Canada. Étant donné qu'en mars 2007, la commissaire à la protection de la vie privée a reçu l'autorisation d'interjeter appel devant la Cour suprême du Canada, le gouvernement juge qu'il ne conviendrait pas pour l'instant de prendre une mesure législative pour régler la question du secret professionnel liant un avocat à son client. Le gouvernement attendra la décision de la Cour suprême dans cette affaire.

Avis d'atteinte à la sécurité des renseignements personnels
Recommandations 23, 24 et 25

Recommandation 23

« Le Comité recommande que la LPRPDE soit modifiée par l'ajout d'une disposition obligeant les organisations à signaler certaines violations précises de la confidentialité de leurs fonds de renseignements personnels à la commissaire à la protection de la vie privée. »

Réponse

Le gouvernement reconnaît que le vol d'identité est un problème de taille qui ne cesse de croître et que la fréquence accrue d'importantes fuites de données liées aux renseignements personnels est un facteur qui contribue à ce problème. Il est également admis que la plupart des entreprises agissent de bonne foi et que certaines d'entre elles avisent automatiquement les personnes touchées dans un incident de fuites de données, alors que d'autres ne le font pas. Dans cette perspective, le gouvernement est d'accord avec le Comité qu'une modification à la LPRPDE pour obliger un avis d'atteinte à la sécurité des données établirait une approche uniforme dans l'ensemble du marché et encouragerait toutes les organisations à prendre au sérieux la sécurité des données.

Comme le reconnaît le Comité dans son rapport, l'avis public d'une atteinte à la sécurité des données est une question complexe qui a d'importantes répercussions sur les organisations et les particuliers. Il est généralement admis qu'il faut émettre, dans certaines circonstances, un avis aux personnes ou aux organisations qui sont touchées par un tel incident pour qu'elles puissent prendre des mesures afin d'atténuer leur risque de nuisance. Toutefois, comme de nombreuses fuites de données ne posent aucune menace réelle aux renseignements personnels des gens, l'obligation d'un avis public dans tous les cas serait fastidieuse et coûteuse pour les organisations et pourrait même diminuer sa valeur aux yeux du public (par une notification excessive qui entraîne de la « fatigue »). Par conséquent, dans les cas de certaines fuites de données définies, où il existe un risque élevé de nuisance importante aux personnes ou aux organisations, le gouvernement appuie une obligation législative d'émettre rapidement un avis à ceux qui sont touchés par la perte ou le vol de renseignements personnels.

De plus, comme le recommande le Comité, l'exigence de déclarer tous les incidents de vol ou de perte de renseignements personnels à la commissaire à la protection de la vie privée dans un délai précis, ainsi que les détails de l'incident et les mesures prises par l'organisation pour aviser les personnes (ou une justification si elle ne les avise pas), pourrait permettre une surveillance des pratiques organisationnelles. Cela permettra à la commissaire à la protection de la vie privée d'avoir l'occasion de surveiller le volume et la nature des fuites de données et les mesures prises par les organisations qui respectent le processus d'avis, au besoin. Cette approche serait particulièrement utile pour les petites et moyennes entreprises (PME) qui pourraient ne pas disposer de ressources internes suffisantes pour effectuer des évaluations d'avis.

 

Recommandation 24

« Le Comité recommande que, dès qu'une organisation lui signale une atteinte à la confidentialité de son fonds de renseignements personnels, la commissaire à la protection de la vie privée décide s'il y a lieu ou non d'en informer les personnes concernées ainsi que d'autres personnes et, dans l'affirmative, détermine la façon de procéder à cette fin. »

Réponse

La décision d'aviser ou non les personnes en cas d'une atteinte à la sécurité des données doit reposer sur une analyse du niveau de risque de nuisance au cas par cas. Dans l'hypothèse d'une surveillance appropriée par la commissaire à la protection de la vie privée du Canada, les organisations qui connaissent une telle expérience sont bien placées pour comprendre et évaluer les risques en jeu et pour prendre une décision rapide sur la nécessité et la façon d'aviser leurs clients, leurs partenaires commerciaux et/ou le grand public. La proposition du Comité, selon laquelle on confierait à la commissaire à la protection de la vie privée la responsabilité de décider s'il faut aviser ou non les autres, serait une solution de rechange moins efficace et plus fastidieuse pour le Commissariat du point de vue des ressources.

 

Recommandation 25

« Le Comité recommande qu'au moment de décider des détails d'un modèle d'avis adapté à la LPRPDE, il faudra aussi prendre en considération le moment et la façon de signaler les atteintes, les sanctions en cas de défaut d'aviser, et la nécessité de prévoir un pouvoir d'aviser " sans consentement " les agences d'évaluation du crédit afin d'aider à protéger les consommateurs contre le vol d'identité et la fraude. »

Réponse

Le gouvernement reconnaît que le fait de déterminer les paramètres précis du modèle, y compris les « éléments déclencheurs » et les « seuils » de notification (pour la commissaire à la protection de la vie privée et les personnes touchées) sera un élément essentiel dans la disposition en matière de notification. Il faudra effectuer des recherches, des analyses et des consultations pour aboutir au meilleur modèle pour le Canada.

Une partie importante des consultations concernera les détails pour élaborer des paramètres de notification efficaces et pratiques et pour déterminer si des infractions particulières sont pertinentes. Parmi les questions examinées, on comptera l'échéance, la forme, le contenu et le mode de notification des personnes, en plus de l'identification des organisations, telles que les organismes d'évaluation du crédit, à la commissaire à la protection de la vie privée. Des lignes directrices et des normes clairement définies à l'échelle de l'industrie seraient particulièrement utiles pour les petites et moyennes entreprises (PME) qui pourraient ne pas disposer de ressources internes suffisantes pour effectuer des évaluations d'avis.

 

Conclusions et prochaines étapes

Dans une économie moderne, basée sur l'information, un régime efficace et solide pour la protection des renseignements personnels est d'une importance vitale, tant pour les consommateurs que les entreprises. C'est pourquoi le gouvernement est déterminé à s'assurer que les Canadiens continuent de profiter de l'une des normes les plus élevées au monde en matière de protection des renseignements personnels. Il reconnaît également le rôle précieux que joue la LPRPDE pour atteindre cet objectif et l'importance de l'ajuster lorsque cela s'avère nécessaire.

Le rapport de l'ETHI souligne la complexité et la nature délicate des nombreuses questions qui sont liées aux lois et politiques du Canada pour la protection des renseignements personnels. Le gouvernement est reconnaissant des efforts déployés par le Comité pour élaborer des propositions qui feront nettement avancer l'objectif d'améliorer la Loi et sa mise en œuvre. Même s'il a énoncé sa position à l'égard d'une bonne partie des recommandations de l'ETHI, le gouvernement juge qu'il faut mener d'autres travaux et consultations dans les domaines essentiels, avant de pouvoir présenter une gamme complète de propositions législatives et stratégiques pour examen parlementaire.

Comme prochaine étape, le gouvernement envisage donc de mener des consultations plus poussées afin de s'assurer que toute modification apportée à la LPRPDE et à sa mise en œuvre soit la plus efficace possible. Le gouvernement consultera le public canadien, d'autres ministères et organismes fédéraux, les gouvernements provinciaux et territoriaux, en plus de prêter une attention particulière aux points de vue de la commissaire fédérale à la protection de la vie privée. Grâce à des consultations plus poussées, il sera possible d'établir un consensus dans les dossiers où il existe un désaccord. Dans les dossiers où il existe un consensus général, les consultations peuvent aider à déterminer comment assurer une mise en œuvre plus efficace des propositions. Ce processus donnera également une dernière occasion de soulever des questions qui n'avaient pas été prises en considération dans le rapport du Comité et de régler les préoccupations exprimées par les organismes d'application de la loi et de sécurité nationale en ce qui concerne les dispositions de la LPRPDE destinées à protéger leurs enquêtes.

Enfin, les consultations publiques permettront aux gouvernements provinciaux et territoriaux de fournir un apport au processus d'examen, étant donné que les modifications à la LPRPDE auront des répercussions sur la protection des renseignements personnels dans l'ensemble des provinces et des territoires.

À la lumière des opinions reçues, le gouvernement comparaîtra devant le Parlement dans un proche avenir avec des propositions précises de mesures législatives et autres.