Troisième rapport d'étape sur les évolutions en matière de léglislation sur la protection des données au Canada

Rapport à la Commission européenne, juin 2018

Version PDF

Table des matières

1.0 Introduction
2.0 Évolutions liées à la Loi canadienne régissant la protection des renseignements personnels dans le secteur privé
3.0 Initiatives législatives
4.0 Activités des comités parlementaires
5.0 Décisions récentes des tribunaux
6.0 Directives du CPVP
7.0 Autres sujets d'intérêt
8.0 Coordonnées
Annexe A — Renseignements supplémentaires


1.0 Introduction

1.1. En décembre 2001, la Commission européenne (CE) a rendu la Décision 2002/2/CE, en vertu du paragraphe 25(6) de la Directive 95/46/CE. La Décision énonce que le Canada est considéré comme assurant un niveau de protection adéquat des données à caractère personnel transférées de l'Union européenne (UE) aux destinataires assujettis à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La décision d'adéquation a été réaffirmée en 2006.

1.2. Conformément à l'article 2 de la Décision d'exécution (UE) 2016/2295, qui a modifié la Décision 2002/2/CE, la CE est maintenant tenue de suivre, de manière permanente, les évolutions du cadre juridique canadien, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si le Canada continue d'assurer un niveau de protection adéquat des données à caractère personnel.

1.3 En mai 2017, dans le cadre de ses efforts continus pour aider la Commission à s'acquitter de ses obligations de surveillance, les responsables du gouvernement du Canada ont transmis aux responsables de la CE le premier de plusieurs rapports périodiques qui traitent des évolutions du cadre canadien de la protection des données applicables aux organisations du secteur privé et aux entités gouvernementales depuis la Décision 2002/2/CE, ainsi que de l'information sur les limitations et les mesures de protection régissant l'accès des autorités publiques canadiennes aux données à caractère personnel. Un rapport complémentaire a été transmis à la Commission en septembre 2017 en réponse à une demande de renseignements supplémentaires.

1.4 En novembre 2017, le Canada a transmis un deuxième rapport d'étape sur les évolutions en matière de confidentialité et de protection des données. Par la suite, les responsables du Canada et de la CE ont tenu une réunion par vidéoconférence, le 16 février 2018.

Le présent rapport :


2.0 Évolutions liées à la Loi canadienne régissant la protection des renseignements personnels dans le secteur privé

Règlement sur les atteintes aux mesures de sécurité en vertu de la LPRPDE

2.1 Le 2 septembre 2017, un projet de règlement intitulé Règlement sur les atteintes aux mesures de sécurité a étépublié à des fins de consultation publique dans la partie I de la Gazette du Canada. Ce projet a fait suite à des modifications législatives liées au signalement obligatoire de l'atteinte à la protection des données prévu par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), en 2015. L'objectif du Règlement est d'offrir plus de certitude et de précision au sujet de certaines des exigences liées au signalement d'une atteinte à la protection des données au titre de la section 1.1.

2.2 Le gouvernement a reçu environ 20 observations écrites de la part d'associations commerciales, de la société civile, d'universitaires, d'experts du droit relatif à la protection de la vie privée et de la sécurité des données ainsi que du Commissariat à la protection de la vie privée (CPVP). Les intervenants ont exprimé leur soutien général à l'approche proposée, qui consiste en l'utilisation d'un règlement pour fournir de plus amples renseignements sur les exigences législatives relatives au signalement de l'atteinte à la protection des données au commissaire à la protection de la vie privée du Canada, à des fins d'avis aux personnes concernées et de tenue de dossiers.Les commentaires ont contribué à l'élaboration du règlement final.

2.3 Le 18 avril 2018, le gouvernement du Canada a publié le Règlement sur les atteintes aux mesures de sécurité finalNote de bas de page 1. Le Règlement entrera en vigueur le 1er novembre 2018. Le Règlement stipule de quelle manière les entreprises canadiennes doivent alerter les particuliers si leurs renseignements personnels sont perdus ou volés en conséquence d'une atteinte à la sécurité des données, et doivent leur dire comment se protéger et protéger leurs renseignements. Il comprend des exigences précises concernant le contenu et les modalités de la déclaration de l'atteinte à la protection des données au Commissariat à la protection de la vie privée du Canada ainsi que l'avis aux personnes concernées. Le Règlement stipule également qu'une organisation doit conserver un dossier sur les atteintes à la protection des données pendant une période minimale de 24 mois à partir de la date où l'atteinte a été confirmée par l'organisation. Les sanctions pécuniaires liées au défaut de signaler une atteinte sont prévues dans le Règlement.


3.0 Initiatives législatives

Projet de loi C-49 – Loi sur la modernisation des transports, 2017

3.1 En mai 2017, le gouvernement du Canada a déposé le projet de loi C-49 Loi sur la modernisation des transportsNote de bas de page 2 afin de modifier la Loi sur les transports au Canada et d'autres lois concernant les transports. Ce projet de loi traite de transport maritime, aérien et ferroviaire et contient des modifications à la Loi sur la sécurité ferroviaire pour rendre obligatoire l'installation d'enregistreurs audio-vidéo dans les cabines de locomotive afin de rendre le système de transport ferroviaire canadien encore plus sécuritaire. Le projet de loi C-49 a reçu la sanction royale le 23 mai 2018, rendant obligatoires l'installation et l'utilisation d'enregistreurs audio-vidéo de locomotive pour garantir que l'information soit disponible, en cas d'enquêtes sur les causes d'accidents, tout en protégeant la vie privée des employés au moyen d'une limitation des fins auxquelles les données sont utilisées.

Projet de loi C-76, Loi sur la modernisation des élections, 2018

3.2 Le 30 avril 2018, le gouvernement du Canada a présenté un projet de loi visant à modifier la Loi électorale du Canada et d'autres lois ainsi qu'à faire certaines modifications consécutives en vertu de la Loi sur la modernisation des électionsNote de bas de page 3. Ce projet de loi traite de certains éléments précis des systèmes électoraux et politiques du Canada à l'ère numérique, y compris la collecte de données par les partis politiques. À titre d'exemple, le projet de loi exigerait que tous les partis politiques créent et publient une politique indiquant de quelle manière ils protégeront la vie privée des électeurs, quels renseignements ils recueilleront auprès des électeurs potentiels et de quelle façon ces renseignements seront protégés et utilisés. La deuxième lecture du projet de loi a pris fin le 23 mai 2018 et on a renvoyé le document au comité de la Chambre des communes. De plus amples renseignements sur l'évolution de ce projet de loi seront fournis dans les prochains rapports.

Projet de loi C-59 — Loi de 2017 sur la sécurité nationale

3.3 Le gouvernement du Canada a déposé le projet de loi C-59, intitulé Loi de 2017 sur la sécurité nationaleNote de bas de page 4, afin d'améliorer la surveillance par le gouvernement des organismes chargés de la sécurité nationale et de modifier la Loi sur le Service canadien du renseignement de sécurité. Ce projet de loi a été étudié par le Comité permanent de la sécurité nationale de la Chambre des communes et renvoyé à la Chambre des communes, avec des modifications, le 3 mai 2018. Plus récemment, le 11 juin, le projet de loi a été accepté avec des modifications, et l'on procédera à une deuxième lecture.

3.4 Le projet de loi C-59 prévoit que l'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) remplace le Comité de surveillance des activités de renseignement de sécurité (CSARS). L'OSSNR aura pour mandat d'examiner les plaintes du public concernant la conduite du SCRS, le Centre de la sécurité des télécommunications (CST), les activités de sécurité nationale de la GRC et le refus ou le retrait d'une habilitation de sécurité par le gouvernement du Canada. Le gouvernement du Canada ne pourra interférer sur l'objet des examens de l'OSSNR, et n'exercera aucune influence sur les conclusions des examens effectués par l'OSSNR. Durant les examens, l'OSSNR aura un accès complet à tous les renseignements du gouvernement, à l'exception des documents du Cabinet. On s'attendra à ce que les membres de l'OSSNR rendent un jugement indépendant en tant que citoyens, en prenant des décisions au sujet de l'à-propos des activités gouvernementales; ils ne sont pas tenus d'appliquer une définition préétablie.

3.5 Pour ce qui est de sa composition, l'OSSNR proposé sera dirigé par un maximum de sept membres. Ces membres seront d'éminents Canadiens — la plupart ayant des carrières remarquables au sein du Parlement, dans la fonction publique ou en droit — dont les divers antécédents et expériences enrichiront les travaux de l'OSSNR. Les membres de l'OSSNR bénéficieront de l'aide d'un secrétariat expert.

3.6 La procédure de traitement des plaintes proposée pour l'OSSNR serait plutôt semblable à celle de son prédécesseur, le CSARS. Un ou plusieurs membres de l'OSSNR présideront les audiences quasi judiciaires. Lorsque les audiences sont terminées, l'OSSNR publiera un rapport contenant des conclusions et des recommandations.

3.7 Le projet de loi C-59 précise les fonctions de surveillance proposées et les responsabilités de l'OSSNR ainsi que du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR)Note de bas de page 5. L'OSSNR et le CPSNR ont tous deux pour mandat d'examiner la gamme complète des activités de sécurité nationale et de renseignement qui sont entreprises par le gouvernement du Canada. Bien qu'il y ait des risques de chevauchement, ces deux organismes sont tenus légalement de coordonner leurs travaux afin d'éviter un chevauchement non nécessaire des tâches. En pratique, on s'attend à ce que le CPSNR se concentre largement sur des problèmes systémiques généraux, tandis que l'OSSNR effectuera un examen plus minutieux sur la légalité des activités gouvernementales. Ainsi, ces deux organismes se compléteront l'un l'autre afin d'assurer un examen complet des activités du gouvernement.

3.8 Le commissaire au renseignement, un organisme de surveillance, aura pour mandat d'examiner le caractère raisonnable des décisions ministérielles au sujet de l'utilisation de certains pouvoirs par le SCRS et le CST. En substance, le SCRS ou le CST proposeront une certaine mesure au ministre concerné. Si le ministre l'approuve, le commissaire au renseignement recevra l'information transmise au ministre et aura la possibilité de réfléchir au caractère raisonnable de la décision du ministre. Si le commissaire au renseignement ne juge pas la décision raisonnable, le SCRS et le CST ne pourront pas prendre la mesure en question. L'OSSNR et le CPSNR effectueront un suivi pour s'assurer que ces activités ont été entreprises de manière appropriée.

3.9 La procédure du commissaire au renseignement complétera, mais ne remplacera pas le régime des mandats en vertu de l'article 21. Le commissaire au renseignement procurera une autre forme de responsabilité quant à certains types d'activités du SCRS, notamment les activités pour lesquelles un mandat n'est pas nécessaire ou ne serait pas approprié, mais pour lesquelles une surveillance indépendante est néanmoins importante.

3.10 Le projet de loi C-59 modifie également la Loi sur le SCRS afin de créer un régime pour que le SCRS puisse recueillir, conserver, demander et utiliser des ensembles de donnéesNote de bas de page 6 au cours de ses tâches et fonctions, apporter au régime des mandats des modifications liées aux ensembles de données et mettre en œuvre des mesures pour la gestion des ensembles de données. Les mesures législatives proposées s'appliquent aux ensembles de données qui contiennent des renseignements personnels, au sens de la Loi sur la protection des renseignements personnels.

3.11 Le cadre proposé inclurait une autorisation de la Cour fédérale, ou du nouveau commissaire au renseignement, à l'égard des ensembles de données contenant des renseignements personnels qui ne sont pas mis à la disposition du public et nécessitent un examen par l'OSSNR, y compris le pouvoir pour l'OSSNR de renvoyer ses conclusions à la Cour fédérale, au besoin. Il y aurait également des mesures de sécurité supplémentaires concernant la gestion des ensembles de données, y compris la séparation des ensembles de données contenant des renseignements personnels non mis à la disposition du public tirés des autres données d'enquête du SCRS, un contrôle strict des personnes pouvant y avoir accès, des exigences pour la tenue des dossiers ainsi que pour la conservation et la destruction des ensembles de données.

3.12 Le projet de loi mettrait également en place un solide régime d'autorisation à l'égard des ensembles de données étrangères contenant des renseignements personnels principalement liés à des non-Canadiens à l'extérieur du Canada. Il faudrait une autorisation du commissaire au renseignement pour pouvoir conserver des ensembles de données étrangères, et dans des situations exceptionnelles, il faudrait procéder à la consultation d'ensembles de données canadiennes ou étrangères avant que leur conservation puisse être autoriséeNote de bas de page 7.


4.0 Activités des comités parlementaires

Examen législatif de la Loi canadienne antipourriel (LCAP)

4.1 Le 13 décembre 2017, le Comité permanent de l'industrie, des sciences et de la technologie a présenté son rapport sur l'examen de la Loi canadienne antipourriel. Le rapport, intitulé La Loi canadienne antipourriel : des précisions s'imposent, présente 13 recommandations, dont celles de clarifier certaines dispositions législatives de la LCAP et d'améliorer l'éducation et la transparence liées à cette loi.

4.2 L'examen législatif de la LCAP s'est déroulé entre le 26 septembre et le 12 décembre 2017. Durant cette période, le Comité a tenu 13 réunions, a entendu 41 témoins et a reçu 29 mémoires d'un vaste éventail d'intervenants et d'experts.

4.3 La réponse du gouvernement au rapport du Comité permanent de l'industrie, des sciences et de la technologie sur la LCAP a été déposée au Parlement le 16 avril 2018. Dans sa réponse, le gouvernement accepte intégralement ou en principe toutes les recommandations du rapport et propose la tenue de nouvelles consultations auprès des intervenants sur la manière dont on pourrait clarifier la Loi tout en conservant ses principes et sa souplesse inhérente. Le rapport mentionne également que le gouvernement accepte de travailler pour améliorer la cohérence à l'égard de l'éducation et de l'orientation tout en respectant l'indépendance des organismes d'application. Enfin, il accepte d'analyser de manière plus approfondie l'éventuelle incidence de l'entrée en vigueur du droit privé d'action et de l'échange d'information nationale avec les organismes d'application de la loi.

4.4 Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a annoncé qu'il a conclu un protocole de coopération avec le ministère des Affaires intérieures et des Communications du Japon afin de lutter contre les messages électroniques commerciaux non sollicités. En vertu de cette entente, les deux pays acceptent d'échanger des renseignements sur une base confidentielle, et d'offrir un soutien aux enquêtes pour lutter contre les courriels indésirables reçus par les résidents canadiens et japonais. Cette entente s'ajoute à la coopération qui existe déjà et aux accords de partage que le CRTC a conclus avec certains partenaires internationaux du Canada, y compris les États-Unis, le Royaume-Uni, la Nouvelle-Zélande et l'Australie. L'ententeNote de bas de page 8, signée le 8 décembre 2017, appuie une approche coordonnée de l'application des lois antipourriel dans les deux pays.

Étude de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

4.5 Le 28 février 2018, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique (ETHI) a publié son rapport sur l'étudeNote de bas de page 9 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le rapport, intitulé Vers la protection de la vie privée dès la conception : Examen de la Loi sur la protection des renseignements personnels et les documents électroniques, formule 19 recommandations qui traitent de tous les volets de cette loi, dont 13 qui proposent des modifications législatives. Les recommandations entrent généralement dans l'une des catégories suivantes :

4.6 Au cours de cette étude, l'ETHI a tenu 16 assemblées publiques pendant lesquelles 65 témoins provenant d'entreprises, du milieu universitaire et d'organisations de défense de la protection de la vie privée ont comparu. Il convient de noter qu'il y a eu deux comparutions du commissaire à la protection de la vie privée du Canada, M. Daniel Therrien, qui a décrit une portée de facto de l'étude, et une comparution du contrôleur européen de la protection des données, M. Giovanni Buttarelli, qui a témoigné au sujet du Règlement général sur la protection des données de l'UE.

4.7 La réponse du gouvernement au rapport de l'ETHI sur la LPRPDE a été déposée au Parlement le 19 juin 2018. La réponse partage le point de vue du Comité, estimant que des modifications au régime de protection des renseignements personnels sont requises, et indique que la prochaine étape consistera à mobiliser les Canadiens à l'égard des problèmes de données et des problèmes numériques, afin de voir de quelle façon le Canada pourrait diriger une économie fructueuse axée sur les données et le numérique tout en protégeant la vie privée. Le même jour, le gouvernement a lancé des consultations publiques à l'échelle nationale sur la transformation numérique et sur la transformation des données, afin de mieux comprendre comment le Canada pourrait stimuler l'innovation, comment préparer les Canadiens à l'avenir du travail et comment s'assurer qu'ils sont confiants et rassurés quant à la façon dont leurs données sont utilisées. Les consultations nationales sur le numérique et les données comprennent des consultations publiques en ligne à l'échelle nationale et une série de tables rondes dans des villes de l'ensemble du Canada avec des intervenants de l'industrie, des Autochtones et des femmes.

Étude sur l'atteinte à la sécurité des renseignements personnels impliquant Cambridge Analytica et Facebook

4.8 Le 22 mars 2018, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique (ETHI) a adopté une motion pour effectuer une étude au sujet des répercussions sur la vie privée des monopoles de plateforme et des possibles recours réglementaires et législatifs nationaux et internationaux visant à assurer la confidentialité des données des citoyens et l'intégrité des processus démocratiques et électoraux à travers le monde. Le 19 juin 2018, l'ETHI a publié un rapport provisoire sur son étude de l'atteinte à la sécurité des renseignements personnels impliquant Cambridge Analytica et Facebook. Ce rapport, intitulé Aborder les vulnérabilités de la vie privée numérique et les menaces potentielles au processus électoral démocratique canadien, résume les témoignages que le Comité a entendus au cours des premiers mois de son étude et formule huit recommandations préliminaires à des fins d'examen. Ces recommandations préliminaires comprennent des propositions à l'égard du cadre élargi de la confidentialité (qui font écho aux recommandations que formulait le Comité dans sa récente étude sur la LPRPDE), ainsi que des mesures visant tout particulièrement à protéger l'intégrité des processus démocratiques du Canada. L'ETHI entend poursuivre son étude en formulant des recommandations supplémentaires dans son rapport final, lorsque l'étude sera terminée.


5.0 Décisions récentes des tribunaux

Cour suprême du Canada

5.1 Le 8 décembre 2017, la Cour suprême du Canada a rendu ses décisions dans R. c. Marakah et R. c. Jones, lesquelles traitent du droit à la vie privée d'un accusé en ce qui a trait aux communications électroniques. Dans ces affaires, la Cour suprême a réaffirmé que, pour répondre à la question de savoir si le demandeur a une attente raisonnable au respect de sa vie privée, il faut tenir compte de l'ensemble des circonstances propres à l'affaire en cause. Dans le cadre de cette analyse, la cour a énoncé que plusieurs facteurs peuvent aider à décider s'il était objectivement raisonnable de s'attendre au respect de la vie privée dans diverses circonstances, notamment : (1) le lieu fouillé; (2) le caractère privé de l'objet de la fouille, autrement dit la question de savoir si le contenu informatif de la conversation électronique a révélé des détails au sujet du mode de vie du demandeur ou des renseignements de nature biographique; (3) le contrôle du demandeur sur l'objet de la fouille. La Cour a jugé que le contrôle n'est pas un indicateur absolu de l'existence d'une attente raisonnable en matière de respect de la vie privée, pas plus que l'absence de contrôle ne porte un coup fatal à la reconnaissance d'un intérêt en matière de vie privée. Il n'est qu'un facteur à prendre en considération parmi l'ensemble des circonstances. Dans les deux décisions, la Cour suprême a jugé que l'individu avait une attente raisonnable au respect de sa vie privée en ce qui a trait aux messages texte qu'il avait envoyés, même si les messages n'étaient plus sous son contrôle exclusif.


6.0 Directives du CPVP

Projet de position sur la réputation en ligne (« droit à l'oubli »)

6.1 En janvier 2018, le CPVP a publié son Projet de position du Commissariat sur la réputation en ligneNote de bas de page 10. Cette ébauche de document souligne les protections existantes dans le droit fédéral en matière de protection des renseignements personnels dans le secteur privé, indique les modifications législatives possibles et propose d'autres solutions à des fins d'examen. Ces mesures comprennent le droit de demander à des exploitants de moteur de recherche de désindexer des pages Web qui contiennent des renseignements inexacts, incomplets ou obsolètes, le retrait ou la modification de l'information à la source et la diffusion d'information afin de contribuer à la formation de citoyens responsables et informés.

Lignes directrices pour l'obtention d'un consentement valable

6.2 Le 24 mai 2018, le CPVP a publié les Lignes directrices pour l'obtention d'un consentement valableNote de bas de page 11. Ces Lignes directrices énoncent sept principes directeurs pour avoir un consentement valable en vertu de la LPRPDE. Le Bureau commencera à appliquer ces Lignes directrices le 1er janvier 2019.

6.3 Le 24 mai 2018, le CPVP a publié le Document d'orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) de la LPRPDENote de bas de page 12, lequel précise essentiellement les « zones interdites » pour la collecte et l'utilisation de renseignements personnels. Le paragraphe 5(3) énonce un principe directeur sur lequel repose l'interprétation des diverses dispositions de la LPRPDE. Le CPVP commencera à appliquer cette orientation le 1er juillet 2018.


7.0 Autres sujets d'intérêt

Intelligence artificielle

7.1 En juin 2017, la Loi d'exécution du budget de 2017 a reçu la sanction royale, autorisant un financement maximal de 125 000 000 $ CA à L'Institut canadien de recherches avancées pour appuyer une stratégie pancanadienne d'intelligence artificielleNote de bas de page 13. L'objectif de la stratégie est de contribuer au renforcement de la position de leadership du Canada dans le domaine de l'intelligence artificielle et de constituer un écosystème de recherche et de développement des talents.

7.2 En mars 2018, le Conseil du Trésor du Canada a publié une première ébauche de sa norme sur les systèmes de décision automatisés à des fins de consultation publique. L'objet proposé de la norme est de permettre au gouvernement fédéral d'utiliser des systèmes de décision automatisés afin de fournir des idées et des recommandations au sujet des décisions administratives tout en garantissant que les données et les systèmes qui remplissent ces fonctions sont conçus et fonctionnent de manière responsable et conformément aux lois, normes, codes, règles et règlements canadiens et internationaux. Lorsque la norme sera définitive, il est prévu de publier d'autres orientations non contraignantes sous forme de lignes directrices complémentaires afin d'aider les institutions du gouvernement fédéral à se conformer à la norme.

7.3 Dans le contexte de la présidence canadienne du G7 de 2018, le Canada a fait progresser les travaux sur l'intelligence artificielle à l'échelle internationale. En mars 2018, les ministres de l'Innovation ont exprimé une vision commune de l'intelligence artificielle centrée sur l'homme à des fins d'innovation et de croissance économique, et ont publié une déclaration qui confirme la nécessité de protéger la vie privée. Cette vision commune a également été exprimée par les dirigeants dans leur Déclaration des ministres de l'innovation du G7 au sujet de l'intelligence artificielle, et dans la Déclaration des dirigeants du G7 publiée en juin 2018. Pour la suite, une conférence sur l'intelligence artificielle entre de multiples intervenants sera animée par le Canada à l'automne 2018. Cette conférence réunira divers intervenants, notamment le gouvernement, des universitaires, des spécialistes et des partenaires du secteur privé dans le but de débattre des futurs enjeux économiques, juridiques, sociaux et éthiques qui sont liés au développement et au déploiement de l'intelligence artificielle.

7.4 À titre de complément à ses travaux du G7 sur l'intelligence artificielle, le Canada a également travaillé avec la France à la création d'un groupe d'étude international qui peut devenir un point de référence mondial pour comprendre et mettre en commun des résultats de recherche sur les défis de l'intelligence artificielle et les pratiques exemplairesNote de bas de page 14. Cette initiative sera mise de l'avant afin de créer une expertise mondialement reconnue et de fournir un mécanisme pour mettre en commun des analyses multidisciplinaires, des prévisions et des capacités de coordination dans le domaine de l'intelligence artificielle au moyen d'une approche inclusive et multilatérale. Le groupe, composé de responsables du gouvernement auxquels se joignent des experts réputés des secteurs de la science, de l'industrie et de la société civile, analysera les renseignements scientifiques, techniques et socioéconomiques qui sont requis pour mieux comprendre les développements technologiques de l'intelligence artificielle et établir les conséquences de leur utilisation. Le Canada et la France créeront un groupe de travail qui fera des recommandations sur la portée, la gouvernance et la mise en œuvre d'un groupe d'étude international qui seront communiquées au sein du G7.

Autres engagements internationaux

7.5 Le Canada participe à des instances internationales comme l'Organisation de coopération et de développement économiques (OCDE) et le Forum de coopération économique Asie-Pacifique (APEC) qui participent activement à des initiatives visant à améliorer et à étendre l'interopérabilité mondiale des cadres de protection de la vie privée. Les travaux actuels entre l'APEC et la Commission européenne visant à étudier l'interopérabilité entre le système de règles transfrontalières de protection de la vie privée de l'APEC et le Règlement général sur la protection des données (RGPD) de l'UE sont particulièrement importants. Ces travaux s'ajoutent aux travaux antérieurs de l'APEC et de l'UE qui ont suscité l'élaboration d'un référentiel établissant la correspondance entre les exigences du système de règles transfrontalières de protection de la vie privée et les Règles d'entreprise contraignantes de l'UE. Le Canada est membre du groupe de travail de l'APEC qui a été constitué pour définir un programme de travail potentiel pour le renouvellement de la collaboration entre l'APEC et l'UE dans le contexte du RGPD.


8.0 Coordonnées

8.1 Pour de plus amples renseignements sur n'importe quel élément du présent rapport, veuillez communiquer avec Charles Taillefer, directeur, Direction de la politique sur la vie privée et la protection des données, Direction générale des politiques-cadres du marché, Innovation, Sciences et Développement économique Canada au 235, rue Queen, Ottawa (Ontario) K1A 0H5, Canada.

8.2 Il est prévu que les futurs rapports soient fournis à intervalles réguliers, environ tous les six mois.


Annexe A — Renseignements supplémentaires

La présente annexe donne de plus amples renseignements et détails au sujet des points présentés dans le deuxième rapport d'étape, qui a été remis à la CE en novembre 2017.

Modifications à la LPRPDE en 2004 en conséquence de la Loi sur la sécurité publique, 2002

1.1 En 2004, l'article 7 de la LPRPDE a été modifié par la Loi sur la sécurité publique, 2002, de manière à clarifier qu'une organisation ne peut recueillir et utiliser de renseignements à l'insu de l'intéressé ou sans son consentement à des fins de divulgation à une organisation gouvernementale que si elle soupçonne que les renseignements sont afférents à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales [LPRPDE, sous-alinéa 7(1)e)(i) et alinéa 7(2)d)].

1.2 En ce qui concerne le motif raisonnable, pour une organisation, de soupçonner une telle chose, la LPRPDE ne définit aucunement le « soupçon ». Dans le contexte du droit pénal, les « soupçons sont une impression que l'individu ciblé se livre à une activité criminelle » (voir R c. KangBrown 2008 CSC 18, par. 75). Les soupçons doivent être raisonnables, c'est-à-dire qu'ils sont « plus que de simples soupçons, mais ils ne correspondent pas à une croyance fondée sur des motifs raisonnables et probables » (Ibid.). Il est important de noter que la LPRPDE n'est pas une loi pénale et que le seuil du soupçon en vertu d'une loi pénale doit nécessairement être élevé, vu les droits de base mis en cause par les enquêtes criminelles. Cette norme élevée et objective ne s'applique pas nécessairement à la LPRPDE.

Loi sur l'accès à l'information

1.3 La Loi sur l'accès à l'information donne aux particuliers un droit d'accès aux documents relevant des institutions gouvernementales. Cette loi permet aux institutions gouvernementales canadiennes de communiquer des documents contenant des renseignements personnels sur un ressortissant étranger qui n'est pas présent au Canada au mandataire de ce ressortissant, pourvu que les deux conditions suivantes soient remplies : (1) le mandataire est un demandeur au sens de la Loi; (2) le ressortissant étranger non présent au Canada accepte que ses renseignements personnels soient communiqués au mandataire.

1.4 Qualification du mandataire en vertu de la Loi sur l'accès à l'information — Le mandataire qui demande des renseignements en vertu de la Loi doit être un citoyen canadien, un résident permanent au sens du paragraphe 2(1) de la Loi sur l'immigration et la protection des réfugiésNote de bas de page 15, ou un individu « présent au Canada »Note de bas de page 16.

1.5 Consentement à la communication — Le droit d'accès à des documents en vertu de la Loi sur l'accès à l'information est assujetti à des exceptions et à des exclusionsNote de bas de page 17. Par exemple, la Loi prévoit une exception obligatoire dans le cas d'une communication de documents contenant des renseignements personnels. Toutefois, cette exception donne aux institutions gouvernementales le pouvoir discrétionnaire de communiquer des documents contenant des renseignements personnels lorsque l'individu concerné y consentNote de bas de page 18. Par conséquent, un ressortissant étranger qui n'est pas présent au Canada devra accepter que ses renseignements personnels soient communiqués au mandataire qui a fait la demande d'accès à l'information en vertu de la Loi, avant cette communication.

1.6 Le consentement du ressortissant étranger doit être donné par écrit (signé et daté) et contenir certains renseignements qui aideront l'institution fédérale à trouver les documents pertinents. Les renseignements requis comprennent le nom du ressortissant étranger, sa date de naissance, le nom du mandataire, les coordonnées du mandataire, la signature du ressortissant étranger et la date à laquelle il a signé le consentement.

1.7 Demande d'accès à l'information — Le droit qu'il faut payer afin de présenter une demande d'accès à l'information est de cinq dollars canadiens, conformément à l'alinéa 7(1)a) du Règlement sur l'accès à l'information. Conformément à la Directive provisoire concernant l'administration de la Loi sur l'accès à l'information du Secrétariat du Conseil du Trésor, aucun autre droit n'est demandé pour obtenir l'accès aux renseignements personnels d'un individu.

1.8 Le gouvernement du Canada n'est pas responsable des droits que des mandataires peuvent demander aux ressortissants étrangers afin de les représenter en effectuant une demande d'accès à l'information, et il ne réglemente pas ces droits. Toutes les demandes sont traitées de la même manière par les institutions gouvernementales, qu'elles proviennent d'un citoyen canadien ou d'un mandataire représentant un ressortissant étranger.

Application de la Charte au Canada

1.9 Même si, selon certaines décisions de justice, la Charte ne s'applique pas à certaines actions de responsables canadiens à l'extérieur du CanadaNote de bas de page 19, nous ne connaissons aucune décision suggérant que la Charte ne s'appliquerait pas aux actions au Canada qui ne touchent que des ressortissants étrangers ni aucune jurisprudence suggérant que le terme « chacun », à l'article 8 de la Charte, exclurait les ressortissants étrangers. Toutefois, il convient de souligner que la Charte impose seulement des limites à ce que les responsables canadiens pourraient être autorisés à faire en vertu de la loi. Les lois elles-mêmes constituent une meilleure source d'information concernant les pouvoirs que les responsables canadiens pourraient exercer au Canada.

Concept d'« attente raisonnable en matière de protection de la vie privée »

1.10 Bien que la Loi sur la protection des renseignements personnels et la LPRPDE s'appliquent à tous les renseignements permettant d'identifier une personne, l'article 8 de la Charte ne s'applique qu'aux actions du gouvernement qui mettent en jeu une attente raisonnable de respect de la vie privée.

1.11 On évalue si une action implique une attente raisonnable de respect de la vie privée en fonction de la totalité des circonstances entourant l'action, en portant une attention particulière à un certain nombre de facteurs qui ont été déterminés par les tribunauxNote de bas de page 20. Essentiellement, il s'agit d'établir si l'action publique interfère avec le degré de confidentialité auquel un individu serait en droit de s'attendre dans une société libre et démocratique. Autrement dit, les actions qui n'interfèrent pas avec une attente raisonnable de respect de la vie privée ne suscitent pas l'application de l'article 8 de la Charte. Parmi les exemples d'actions publiques qui n'interfèrent pas avec une attente raisonnable de respect de la vie privée, mentionnons les situations où l'individu a abandonné intentionnellement un intérêt de nature privée à l'égard des renseignements (par exemple, en jetant un document en publicNote de bas de page 21), où l'information est mise à la disposition du public (par exemple, un numéro de téléphone inscrit dans le bottin téléphoniqueNote de bas de page 22), où l'individu a fourni un consentement volontaire et éclairé à l'action du gouvernementNote de bas de page 23, et où l'information, en raison de sa nature, ne révèle aucune information sensible sur l'individuNote de bas de page 24.

1.12 Ces facteurs ne sont toutefois pas déterminants. L'analyse est toujours contextuelle et l'examen porte sur la totalité des circonstances afin de déterminer l'incidence réelle de l'action publique sur les intérêts en matière de vie privée. Même la collecte d'information qui est en théorie observable publiquement peut porter atteinte à une attente raisonnable de respect de la vie privée si la technique utilisée par la police a une incidence qualitative sur les attentes liées au respect de la vie privée, par exemple, l'installation d'un dispositif afin de suivre les déplacements d'un véhicule qui peuvent être observés publiquementNote de bas de page 25. De même, une collecte d'information qui n'est pas de nature sensible peut porter atteinte à une attente raisonnable de respect de la vie privée si elle risque de révéler de l'information sensible, comme avec le lien entre l'identité d'un abonné et une adresse IP associée à une activité sur InternetNote de bas de page 26.

1.13 Dans la situation particulière d'une collecte de données sur des clients, une question fondamentale est le lien entre le but de la communication et le but dans lequel l'information a été donnée, à l'origine. Un client n'abandonne pas un intérêt de nature privée à l'égard d'une information simplement en la transmettant à un tiers (par exemple, une banque). Un tribunal examinera plutôt la relation entre les parties, y compris tous les cadres réglementaires applicables, afin de déterminer les attentes quant à la façon dont les données seront gérées. Généralement, l'accès aux données de clients par l'application de la loi, les organismes de renseignement ou les organismes réglementaires suscitera une attente raisonnable de respect de la vie privée, et par conséquent, nécessitera un pouvoir légalNote de bas de page 27. Les exceptions pourraient comprendre, par exemple, le cas où les cadres contractuels ou réglementaires applicables prévoient que l'information sera mise à la disposition du publicNote de bas de page 28, ou le cas où l'organisation détenant les données a été victime d'un acte répréhensible commis par le client et signale un crime à la policeNote de bas de page 29.

1.14 Le ministère de la Justice du Canada a récemment publié Charterpedia, une ressource annotée en ligne qui explique la jurisprudence relative à la Charte canadienne des droits et libertés. La page Charterpedia qui concerne l'article 8 donne des renseignements supplémentaires sur le concept d'attente raisonnable de respect de la vie privée et pourrait être une ressource utile.

Service canadien du renseignement de sécurité (SCRS)

1.15 En termes d'activités d'enquête nécessitant des autorisations judiciaires, le SCRS demanderait à la Cour fédérale du Canada un mandat en vertu de l'article 21 de la Loi sur le Service canadien du renseignement de sécurité, lorsque des activités d'enquête impliquent l'article 8 de la Charte. Par exemple, le SCRS demanderait un mandat pour intercepter les communications d'un individu. Deux récentes décisions de la Cour fédérale donnent aussi des exemples où le SCRS demanderait un mandat :

1.16 Il faut remplir plusieurs conditions pour qu'un juge puisse délivrer un mandat en vertu de l'article 21 de la Loi sur le Service canadien du renseignement de sécurité. Parmi celles-ci, mentionnons l'exigence en vertu de l'alinéa 21(2)b) que le SCRS démontre que d'autres méthodes d'enquête ont été essayées en vain, le fait que l'urgence de l'affaire soit telle qu'il serait très difficile de mener l'enquête sans mandat, ou le fait que, sans mandat, il est probable que des informations importantes ne pourraient être acquises. La jurisprudence qui entoure la confidentialité en tant que droit de base dans la société canadienne continue d'évoluer, et à ce titre, les activités pour lesquelles il faut que le SCRS obtienne un mandat changent également.

1.17 De manière plus générale, les activités opérationnelles du SCRS sont effectuées conformément à la Loi sur le Service canadien du renseignement de sécurité, à l'orientation du ministère et à de solides politiques et procédures internes. Toutes les activités opérationnelles nécessitent une autorisation, même s'il ne faut pas une autorisation judiciaire en vertu de l'article 21 de la Loi sur le Service canadien du renseignement de sécurité. L'orientation ministérielle fournit les principes fondamentaux suivants pour orienter toutes les opérations du SCRS :

1.18 Les politiques et procédures internes orientent avec plus de précision les employés du SCRS quant aux opérations et aux enquêtes. Généralement, les documents de politique donnent les exigences, y compris les niveaux d'approbation. Habituellement, plus une activité opérationnelle est intrusive, plus l'autorité d'approbation devra être élevée.

1.19 En vertu de l'article 16 de la Loi sur le Service canadien du renseignement de sécurité, le SCRS est autorisé à prêter son assistance au ministre de la Défense nationale ou au ministre des Affaires étrangères, dans les limites du Canada, pour la collecte d'informations ou de renseignements sur les moyens, les intentions ou les activités d'un État étranger ou d'un groupe d'États étrangers, ainsi que d'un ressortissant étranger. Le SCRS ne peut pas collecter d'information sur un citoyen canadien, un résident permanent ou une personne morale canadienne. La collecte de tels renseignements par le SCRS est subordonnée à une demande écrite du ministre de la Défense nationale ou du ministre des Affaires étrangères, et au consentement écrit du ministre de la Sécurité publique et de la Protection civile. Les mêmes obligations d'obtention d'un mandat en vertu de l'article 21 de la Loi sur le Service canadien du renseignement de sécurité s'appliquent à l'article 16.

1.20 En ce qui concerne les mesures de sécurité liées à la minimisation et à la conservation des données, le SCRS est autorisé, en vertu de l'article 12 de la Loi sur le Service canadien du renseignement de sécurité, à collecter des données, dans la mesure où cela est strictement nécessaire, et à analyser et conserver les informations et renseignements sur les activités dont il existe des motifs raisonnables de soupçonner qu'elles constituent des menaces envers la sécurité du Canada. Conformément à de solides politiques et procédures internes, et avec l'appui de l'infrastructure des technologies de l'information du SCRS, le Service n'aura accès aux informations conservées qu'en fonction du principe du « besoin de connaître », pour les enquêtes supplémentaires. Ceci s'applique à toutes les informations recueillies par le SCRS. En délivrant des mandats, la Cour fédérale peut imposer des conditions supplémentaires à la conservation de renseignements recueillis dans le cadre de ces mandats précis.

1.21 En termes de surveillance et de fonctions de redressement du Comité de surveillance des activités de renseignement de sécurité (CSARS), il existe deux types de plaintes pouvant être soumises au CSARS : celles qui sont déposées en vertu de l'article 41 de la Loi sur le Service canadien du renseignement de sécurité, et celles qui sont déposées en vertu de l'article 42. Les plaintes soumises en vertu de l'article 41 pourraient être liées à un acte effectué par le SCRS. La personne doit d'abord déposer une plainte au directeur du SCRS. Si la personne n'est pas satisfaite de la réponse qu'elle a reçue, ou si elle n'a pas obtenu de réponse dans un délai raisonnable (environ 30 jours), elle peut alors déposer une plainte au CSARS. Lorsqu'il a reçu une plainte, le CSARS doit juger que la plainte n'est pas futile, inutile, frivole ou faite de mauvaise foi avant d'entreprendre son enquête. Le SCRS peut contester la plainte pour ces motifs. Cependant, la décision d'enquêter relève du CSARS.

1.22 Les plaintes soumises en vertu de l'article 42 sont liées au refus ou à la révocation d'une habilitation de sécurité. Leur procédure est semblable à celle utilisée pour les plaintes en vertu de l'article 41, sauf que le plaignant doit soumettre la plainte dans un délai de 30 jours à compter de la réception de l'avis l'informant du fait que son habilitation de sécurité a été refusée ou révoquée.

1.23 Le CSARS publie un rapport annuel public au Parlement qui comprend des conclusions et des recommandations. Bien que ces conclusions et recommandations, qu'elles soient liées à un examen ou à un dossier de plainte, ne soient pas contraignantes, les résultats des examens et des plaintes du CSARS orientent quotidiennement les politiques et les pratiques du SCRS.

1.24 Si une personne est insatisfaite d'une décision du CSARS, elle peut demander à la Cour fédérale de procéder à une révision judiciaire de cette décision. De même, en vertu de la Loi sur la protection des renseignements personnels, une personne peut soumettre une plainte au commissaire à la protection de la vie privée du Canada à l'égard de toute affaire liée à la collecte, à la conservation ou à l'élimination de renseignements personnels par une institution gouvernementale. Cette Loi n'exige pas que l'individu ait été personnellement touché par la collecte, la conservation ou l'élimination des renseignements personnels, et le commissaire à la protection de la vie privée est également autorisé à déposer une plainte à l'égard d'une affaire en vertu de la Loi sur la protection des renseignements personnels. Si l'individu qui dépose la plainte est insatisfait de la décision du commissaire à la protection de la vie privée, il peut alors demander à la Cour fédérale de procéder à une révision judiciaire de la décision. Bien que la Loi sur les Cours fédérales permette à toute personne directement concernée par une affaire de demander une révision judiciaire à ce sujet, la Cour a déjà accordé la qualité pour agir dans l'intérêt public, dans de telles affaires. Aucune condition particulière d'accès aux tribunaux ne s'applique aux non-Canadiens.

1.25 Étant donné la nature et la sensibilité opérationnelle des enquêtes du SCRS, il n'est pas exigé que le SCRS informe des individus du fait qu'ils ont été assujettis à des activités d'enquête du SCRS.

Date de modification :