Passer au contenu
;

ETHI Rapport du Comité

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

RÉponse du gouvernement au QuatriÈme Rapport du ComitÉ permanent de l’accÈs À l’information, de la protection des renseignements personnels et de l’Éthique :

Examen, prévu par la loi, de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

INTRODUCTION

En mai 2007, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (« le Comité ») a mené à bien son examen de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), en vertu de l’article 29 de la Loi. Durant le processus de l’examen, le Comité a entendu 67 témoins et reçu 34 mémoires de particuliers et d’organismes canadiens. Dans son rapport, le Comité présente au gouvernement 25 recommandations, qui portent sur les principales questions soulevées durant l’examen. Le gouvernement a tenu pleinement compte du rapport du Comité et de ses recommandations, ainsi que de la vaste gamme d’opinions présentées dans le cadre de l’examen parlementaire, pour déterminer les mesures à prendre à l’égard de la Loi et de sa mise en œuvre.

Le rapport du Comité parlementaire, qui est conforme aux mémoires reçus, met en évidence l’importance essentielle d’un cadre juridique efficace pour la protection des renseignements personnels au Canada. Comme l’indique le Comité, la protection des renseignements personnels représente une valeur fondamentale pour les Canadiens, sans oublier que la gestion et l’utilisation des données personnelles sont cruciales aux affaires et au commerce dans une économie mondiale moderne axée sur l’information.

De plus, l’importance de la protection des renseignements personnels s’est accentuée de façon radicale au cours des dernières années avec l’émergence d’Internet et du commerce électronique. Depuis 2005, 68 p. 100 des Canadiens utilisent Internet et plus de 82 p. 100 des entreprises canadiennes ont maintenant une présence en ligne. Selon Statistique Canada, en 2006, la valeur totale du commerce électronique au Canada s’élevait à 49,9 milliards de dollars. Ces technologies ont donc beaucoup augmenté la capacité de recueillir, de transférer et de traiter d’énormes quantités de renseignements personnels, ce qui pose de nouveaux défis tant pour l’industrie que pour les gouvernements. En conséquence, les consommateurs et les entreprises peuvent, plus que jamais, profiter des mesures de protection claires et efficaces destinées à assurer la confidentialité des données personnelles, surtout en ce qui concerne les affaires en ligne et le commerce électronique.

Le Canada a réussi à relever ces défis. Sur la scène internationale, le régime canadien de protection des renseignements personnels est reconnu comme l’un des meilleurs au monde. En 2001, la Commission européenne a reconnu la LPRPDE comme une loi qui offre une protection « adéquate » en matière de renseignements personnels selon les critères de la Direction de l’UE sur la protection des données, permettant ainsi le transfert des renseignements personnels au sujet des Européens vers le Canada, sans aucune restriction. Dans une étude menée en 2006 par Privacy International, un groupe militant de la vie privée situé en Grande-Bretagne, le régime de protection des renseignements personnels du Canada s’est classé au deuxième rang, derrière l’Allemagne, dans le cadre d’une enquête auprès de 37 pays. Plus particulièrement, la LPRPDE, de pair avec les lois fédérales et provinciales connexes, a atteint un équilibre approprié entre la protection des renseignements personnels et la gestion et l’utilisation efficaces de l’information dans un contexte d’affaires.

Nous sommes d’accord avec le Comité pour dire que la loi en question ne nécessite aucune modification radicale pour l’instant, surtout compte tenu de la courte période de temps depuis son entrée en vigueur. Le gouvernement est également d’accord avec le Comité sur la nécessité et la valeur d’« ajuster » la loi et sa mise en œuvre de manière à renforcer l’efficacité globale de la protection des renseignements personnels au Canada. À cet égard, les propositions du Comité concernant des modifications législatives sélectives et d’autres mesures sont extrêmement utiles. En particulier, le gouvernement prise les recommandations qui visent surtout à :

  • améliorer la clarté et la certitude quant aux principales définitions et dispositions dans la Loi;
  • accroître les connaissances et la sensibilisation des particuliers et des organismes canadiens, surtout des petites entreprises, à propos des mesures de protection des renseignements personnels;
  • maintenir une approche flexible et « sans lourdeur » pour la réglementation et la surveillance dans le domaine de la protection des renseignements personnels.

Le gouvernement est déterminé à protéger les renseignements personnels des Canadiens. De concert avec les autres parties intéressées, il ne ménagera aucun effort pour s’assurer que les lois et les politiques du Canada respectent la norme la plus élevée possible dans ce domaine. À cette fin, le gouvernement a examiné les constatations générales du Comité et chacune des recommandations du Comité. Les pages suivantes présentent les domaines qui, de l’avis du gouvernement, méritent une attention prioritaire dans les travaux futurs.

RÉPONSE AUX RECOMMANDATIONS

La présente section examine chacune des recommandations du Comité et indique les dossiers pour lesquels le gouvernement accepte, en tout ou en partie, les conclusions du Comité et ceux pour lesquels il faut des travaux ou des consultations plus poussés.

CoordonnÉes des entreprises
Recommandation 1
« Le Comité recommande qu’une définition des coordonnées des entreprises soit ajoutée à la LPRPDE et que soient prises en considération, à cette fin, la définition et la disposition limitative connexe qui se trouvent dans la Loi sur la protection des renseignements personnels de l’Alberta. »
RÉponse

Cette recommandation s’inspire du point de vue généralisé exprimé au Comité selon lequel l’approche actuelle par rapport aux « coordonnées des entreprises » est trop restreinte et, par conséquent, qu’elle ne convient pas aux exigences des communications d’affaires à l’ère de l’information. Le gouvernement convient qu’une définition modifiée des « coordonnées des entreprises », qui inclurait le courriel d’affaires et le numéro de télécopie et qui est assez large pour tenir compte des changements dans les technologies des communications, pourrait fournir plus de certitude quant à l’utilisation commerciale de ce type de données, sans nuire aux mesures de protection réservées aux autres types de renseignements personnels.

À cet égard, le gouvernement étudiera des moyens d’intégrer, dans la LPRPDE, les mesures de protection établies dans la loi en matière de protection des renseignements personnels de l’Alberta de manière à s’assurer que les coordonnées des entreprises soient exclues uniquement s’elles sont recueillies, utilisées ou communiquées en vue de communiquer avec une personne en sa fonction d’affaires.

Produit du travail
Recommandation 2
« Le Comité recommande que la LPRPDE soit modifiée pour y inclure une définition du “ produit du travail ” qui précise explicitement que ce dernier ne constitue pas des renseignements personnels aux fins de la Loi. La définition devrait s’inspirer de la définition des “ renseignements sur le produit du travail ” contenue dans la Loi sur la protection des renseignements personnels de la Colombie-Britannique, de la définition proposée au Comité par IMS Canada et de l’approche adoptée au Québec dans la Loi sur la protection des renseignements personnels dans le secteur privé à l’égard des renseignements personnels de professionnels. »
RÉponse

Le gouvernement reconnaît que la question du produit du travail revêt une grande importance à plusieurs intervenants. Dans son rapport, le Comité a reconnu l’appel fait par les parties intéressées du secteur privé en vue de fournir plus de clarté et de certitude à la LPRPDE relativement à cet aspect pour faciliter la planification des entreprises et les aider dans leurs efforts à se conformer à la Loi.

Parallèlement, le gouvernement ne doit pas perdre de vue les préoccupations exprimées par la commissaire à la protection de la vie privée et par d’autres au sujet des conséquences négatives non voulues sur la protection des renseignements personnels à cause d’une exclusion du produit du travail.

Pour demeurer fidèle à l’approche générale de la LPRPDE, il est important d’établir un équilibre entre un régime de protection des renseignements personnels propice aux entreprises et le besoin de maintenir le niveau de protection actuellement prévu par la Loi. Pour ce motif, le gouvernement prendra l’engagement de mener d’autres consultations et d’examiner comment on peut répondre au besoin des organisations en matière de collecte, d’utilisation et de communication des renseignements sur le produit du travail d’une manière qui pose le moins de risque pour la protection des renseignements personnels.

Comme le propose le Comité, le gouvernement tiendra compte des diverses approches, y compris celles proposées dans les mémoires au Comité et celles contenues dans les lois provinciales en matière de protection des renseignements personnels.

Destruction de donnÉes
Recommandation 3
« Le Comité recommande qu’une définition de “ destruction ” soit ajoutée à la LPRPDE afin de guider les organisations sur la façon de bien détruire les documents papier et les fichiers électroniques. »
RÉponse

Le gouvernement prend note de la recommandation du Comité visant à inclure une définition du terme « destruction » dans la LPRPDE. Conscient de la nécessité de clarifier davantage cet aspect, le gouvernement note qu’il existe déjà une variété de dispositions dans la LPRPDE qui offrent une orientation liée à la destruction des renseignements personnels.

Par conséquent, il suffirait peut-être d’élaborer une directive non législative pour aider davantage les organisations à se débarrasser des renseignements personnels conformément aux exigences actuelles de la LPRPDE. Le gouvernement travaillera avec le secteur privé et les autres intervenants afin de mettre au point des outils qui offriront plus de clarté sur cet aspect à l’intention des organisations.

Consentement : principes gÉnÉraux
Recommandation 4
« Le Comité recommande d’envisager de modifier la LPRPDE pour y préciser les exigences applicables à la forme et à la conformité du consentement et établir une distinction entre les différentes formes de consentement : explicite, implicite et présumé/refusé. Il conviendrait, à cet égard, de se reporter aux Lois de l’Alberta et de la Colombie-Britannique en matière de protection des renseignements personnels. »
RÉponse

Le gouvernement du Canada reconnaît sans réserve l’importance d’un consentement judicieux pour une protection efficace des renseignements personnels. À cette fin, la LPRPDE établit une approche législative flexible qui tient compte des pratiques et besoins divergents des nombreuses organisations qui en sont assujetties.

Conformément à son mandat d’élaborer des produits d’information pour éduquer le public au sujet de la Loi et de ses objectifs, la commissaire à la protection de la vie privée du Canada a produit un document d’orientation qui vise à aider les organisations à mieux comprendre et mettre en œuvre les exigences de consentement prévues par la LPRPDE.

En guise de complément à ces outils précieux, le gouvernement s’engage à consulter les intervenants afin de cerner des domaines possibles qui pourraient nécessiter plus d’orientation et d’élaborer des outils à cet égard. Le gouvernement serait heureux d’avoir la participation de la commissaire à la protection de la vie privée du Canada et de ses homologues provinciaux à ces efforts et d’autres dans la même veine.

Consentement : relations entre employeurs et employÉs
Recommandation 5
« Le Comité recommande que les lois du Québec, de l’Alberta et de la Colombie-Britannique en matière de protection des renseignements personnels dans le secteur privé soient prises en compte dans le but d’élaborer une modification qui pourrait être intégrée à la LPRPDE, pour tenir compte du contexte particulier dans lequel évoluent les employeurs et les employés régis par des lois fédérales. »
RÉponse

Le gouvernement appuie la recommandation du Comité et de plusieurs intervenants, y compris la commissaire à la protection de la vie privée du Canada, en ce qui concerne la nécessité de mieux tenir compte des circonstances uniques liées aux relations entre employeurs et employés.

Au moment d’étudier la protection des renseignements personnels concernant les employés’ organisations assujetties à la réglementation fédérale, il faudrait prendre en considération les dispositions dans les lois du Québec, de la Colombie-Britannique et de l’Alberta, ainsi que les recommandations de la commissaire à la protection de la vie privée, pour faire en sorte que les droits à la vie privée des employés continuent d’être protégés en vertu de la LPRPDE.

Organismes d’enquÊte
Recommandation 6
« Le Comité recommande de modifier la LPRPDE pour remplacer le processus de désignation des “ organismes d’enquête ” par une définition du terme “ enquête ”, semblable à celle énoncée dans les Lois de l’Alberta et de la Colombie-Britannique en matière de protection des renseignements personnels, qui prévoit la collecte, l’utilisation et la communication de renseignements personnels sans le consentement du principal intéressé, aux fins d’enquête. »
RÉponse

Le gouvernement reconnaît que le processus actuel de désignation des organismes d’enquête s’est révélé long et fastidieux pour les requérants qui ont besoin de cette désignation en vertu de la Loi afin de mener des enquêtes. Le gouvernement est d’accord avec le Comité pour dire que le manque d’uniformité à l’article 7 de la LPRPDE relativement aux exceptions pour la collecte, l’utilisation et la communication de renseignements personnels est une source de frustration pour certaines organisations dans leurs efforts à détecter et à prévenir la fraude, particulièrement au sein du secteur financier. Toutefois, il faut également tenir compte d’appuis exprimés par la commissaire à la protection de la vie privée et les défenseurs de la vie privée à l’égard de la transparence du processus actuel, qui prévoit une liste publique des organisations désignées.

Cependant, il faut examiner davantage la meilleure solution de rechange au processus actuel de désignation. Le gouvernement est d’accord pour dire qu’il est utile d’examiner les approches adoptées par l’Alberta et la Colombie-Britannique, qui définissent le terme « enquête » et qui permettent la collecte, l’utilisation et la communication de renseignements personnels sans le consentement du principal intéressé aux fins d’enquête. En plus d’accroître l’efficacité du processus, conformément à l’Initiative d’allégement du fardeau de la paperasserie du gouvernement du Canada, cette approche permettrait une harmonisation accrue avec la législation des provinces. Par conséquent, le gouvernement examinera de façon plus poussée la question de déterminer comment rationaliser de façon optimale les dispositions de la Loi en ce qui concerne les activités d’enquête du secteur privé.

Transactions commerciales
Recommandation 7
« Le Comité recommande que la LPRPDE soit modifiée par l’ajout d’une disposition habilitant les organisations à recueillir, à utiliser et à communiquer des renseignements personnels sans consentement, aux fins de transactions commerciales. Cette modification pourra s’inspirer de la disposition contenue dans la Loi sur la protection des renseignements personnels de l’Alberta et comprendre les améliorations recommandées par la commissaire à la protection de la vie privée du Canada. »
RÉponse

Le gouvernement appuie la recommandation, qui tient compte d’un consensus général parmi les témoins qui ont comparu devant le Comité, au sujet de la nécessité de modifier la LPRPDE pour permettre aux organisations de recueillir, d’utiliser et de communiquer des renseignements personnels pour les transactions commerciales telles que les fusions et les acquisitions.

Les lois en matière de protection des renseignements personnels de l’Alberta et de la Colombie-Britannique offrent des modèles dont on pourra s’inspirer pour répondre aux besoins d’information des organisations qui participent à des transactions commerciales, tout en veillant à ce que les renseignements personnels des particuliers continuent d’être protégés.

Relation mandant-agent
Recommandation 8
« Le Comité recommande que l’on envisage de modifier la LPRPDE en ce qui concerne la relation entre mandants et agents. Il conviendrait de se reporter au paragraphe 12(2) de la Loi sur la protection des renseignements personnels de la Colombie-Britannique pour formuler cette modification. »
RÉponse

Conscient de l’observation du Comité selon laquelle l’application de la LPRPDE semble créer une confusion dans les situations où des organisations engagent un tiers pour des activités qui nécessitent la collecte, l’utilisation et la communication de renseignements personnels, le gouvernement propose que l’éducation et l’encadrement soient des solutions de rechange aux modifications législatives. Par conséquent, le gouvernement travaillera avec la commissaire à la protection de la vie privée et les autres intervenants pour mettre au point des outils destinés à préciser cette question.

ProcÉdure et instance judiciaires
Recommandation 9
« Le Comité recommande que la LPRPDE soit modifiée de façon à créer une exception – essentiellement comme celle que prévoient les Lois sur la protection des renseignements de l’Alberta et de la Colombie-Britannique – pour se soustraire à l’obligation d’obtenir un consentement pour les renseignements auxquels une partie à une instance a légitimement accès. »
RÉponse

Le gouvernement prend note de la recommandation du Comité et reconnaît qu’elle a été faite en réponse aux préoccupations exprimées par certains intervenants en ce qui concerne la nécessité de s’assurer que la LPRPDE n’entrave pas la procédure de contestation. Toutefois, le gouvernement n’appuie pas le point de vue du Comité selon lequel une telle modification est nécessaire pour l’instant.

DÉclarations de tÉmoins
Recommandation 10
« Le Comité recommande que le gouvernement consulte la commissaire à la protection de la vie privée afin de déterminer s’il faut apporter d’autres modifications à la LPRPDE pour régler la question des déclarations de témoins et des droits des personnes dont les renseignements personnels sont contenus dans ces déclarations. »
RÉponse

Le gouvernement appuie la recommandation du Comité de consulter la commissaire à la protection de la vie privée, le milieu juridique ainsi que les autres intervenants afin de déterminer s’il y a lieu d’apporter une modification à la LPRPDE pour régler les questions liées aux déclarations de témoins.

Exceptions aux exigences en matiÈre de consentement pour la collecte de renseignements À des fins personnelles, familiales et d’intÉrÊt public.
Recommandation 11
« Le Comité recommande que la LPRPDE soit modifiée par l’ajout de nouvelles exceptions aux exigences en matière de consentement pour permettre la collecte de renseignements à des fins personnelles, familiales et d’intérêt public, de façon à harmoniser l’approche fédérale avec celles adoptées par le Québec, l’Alberta et la Colombie-Britannique dans leurs lois respectives sur la protection des renseignements personnels dans le secteur privé. »
RÉponse

Le gouvernement appuie le point de vue du Comité, à savoir que certaines exceptions limitées aux exigences de consentement de la LPRPDE pourraient être justifiées afin de régler les préoccupations exprimées par les intervenants en ce qui concerne la communication de renseignements personnels dans les cas de catastrophes naturelles, d’abus des personnes âgées et d’autres circonstances semblables. Toutefois, dans l’intérêt de maintenir une protection solide des renseignements personnels, toute modification devrait être définie de façon étroite pour s’assurer que la disposition ne servira qu’aux fins prévues.

Au moment d’examiner les options, le gouvernement étudiera les approches adoptées dans les lois sur la protection des renseignements personnels de l’Alberta et de la Colombie-Britannique ainsi que la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.

Application de la loi et sÉcuritÉ nationale
Recommandation 12
La recommandation 12 comporte deux propositions connexes, quoique distinctes, de modification législative : (a) la définition d’une « autorité légitime »; et (b) l’article 7(3) de la LPRPDE et ses exceptions à l’obligation de consentement pour la communication de renseignements personnels.
« Le Comité recommande que l’on envisage de préciser ce que l’on entend par “ autorité légitime ” à l’alinéa 7(3)(c.1) de la LPRPDE[.] »
RÉponse

Le gouvernement considère que la sécurité des citoyens canadiens revêt une importance primordiale. Pour atteindre cet objectif, il croit fermement qu’il est possible de répondre aux besoins d’information des organismes d’application de la loi et de sécurité, tout en respectant le droit à la vie privée des Canadiens.

Le gouvernement souhaite confirmer que l’alinéa 7(3) (c.1) a pour objet de permettre aux organisations de collaborer avec les organismes d’application de la loi et de sécurité nationale, sans nécessiter une assignation, un mandat ou une ordonnance des tribunaux. Les organisations qui partagent des renseignements avec les institutions gouvernementales, y compris les organismes d’application de la loi et de sécurité nationale, conformément aux exigences de cette disposition, agissent en conformité avec la LPRPDE.

Le gouvernement reconnaît les préoccupations exprimées par les militants de la protection de la sécurité des Canadiens, en ce qui concerne l’interprétation actuelle de l’alinéa 7(3)(c.1) par certaines organisations du secteur privé et les défis que cela pose parfois pour les enquêtes et la prévention d’activités criminelles au Canada.

Le gouvernement est donc d’accord avec le Comité pour dire qu’il est nécessaire de clarifier le concept d’« autorité légitime » aux fins de l’alinéa 7(3)(c.1) de la Loi.

“ [Le Comité recommande] que la formule introductive du paragraphe 7(3) soit modifiée pour se lire comme suit : “ Pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation doit communiquer des renseignements personnels à l’insu de l’intéressé et sans son consentement dans les cas suivants :[...] ”.

RÉponse

Comme on l’a mentionné précédemment, grâce à une définition plus précise et à une meilleure compréhension de ce qu’on entend par « autorité légitime », il sera possible de régler l’ambiguïté qui existe actuellement en ce qui concerne le droit des organisations en vertu de la LPRPDE de communiquer des renseignements personnels aux fins d’application de la loi ou de sécurité nationale. La proposition d’inclure, dans la LPRPDE, une autre disposition conçue pour obliger les organisations à communiquer des renseignements personnels serait difficile à mettre en œuvre, car l’objet de la LPRPDE ne convient pas à une telle exigence. Pour ce motif, le gouvernement ne propose pas de mettre en œuvre cet aspect de la recommandation du Comité.

DÉfinition d’« institution gouvernementale »
Recommandation 13
« Le Comité recommande que l’expression “ institution gouvernementale ” aux alinéas 7(3)(c.1) et d) de la LPRPDE soit éclaircie afin de préciser si elle comprend les entités municipales, provinciales, territoriales, fédérales et non canadiennes. »
RÉponse

Conscient des avantages de clarifier l’expression « institution gouvernementale », le gouvernement fait remarquer que la LPRPDE comporte déjà une disposition destinée à conférer au gouverneur en conseil le pouvoir de prendre des règlements sur ces questions. À ce titre, il sera possible de définir l’expression « institution gouvernementale » dans la Loi dans le cadre d’un règlement.

Industrie Canada examinera la possibilité de procéder à une réglementation qui précisera la définition de l’expression « institution gouvernementale » pour les fins de la Loi.

AlinÉa 7(1)(e)
Recommandation 14
« Le Comité recommande que l’alinéa 7(1)(e) soit retiré de la LPRPDE. »
RÉponse

Le gouvernement du Canada prend note de la recommandation du Comité visant à retirer les modifications apportées à la LPRPDE à cause de la Loi de 2002 sur la sécurité publique, (alinéa 7(1)(e)), et reconnaît les préoccupations exprimées par la commissaire à la protection de la vie privée et d’autres au sujet de l’impact potentiel de cette disposition sur la protection des renseignements personnels des Canadiens. Toutefois, en raison des intérêts importants en matière de sécurité publique que cet alinéa vise à traiter, le gouvernement n’est pas prêt à retirer l’alinéa 7(1)(e) de la LPRPDE pour l’instant.

Renseignements personnels sur des mineurs
Recommandation 15
« Le Comité recommande que le gouvernement examine la question du consentement des mineurs concernant la collecte, l’utilisation et la communication de leurs renseignements personnels dans un contexte commercial, en vue de modifier la LPRPDE à cet égard. »
RÉponse

Le gouvernement reconnaît que la protection des renseignements personnels sur des mineurs peut être vulnérable, particulièrement dans un environnement en ligne. À l’appui de la recommandation du Comité, le gouvernement consultera les intervenants pertinents afin d’examiner la question de consentement par des mineurs et de déterminer s’il est nécessaire et faisable de modifier la LPRPDE à cet égard.

Circulation transfrontalière de données
Recommandation 16
« Le Comité recommande qu’aucune modification ne soit apportée à la LPRPDE en ce qui concerne la circulation transfrontalière de renseignements personnels. »
RÉponse

Le gouvernement appuie certes la recommandation du Comité voulant qu’aucune modification législative ne soit nécessaire. Or, il est également important de reconnaître les préoccupations en matière de protection des renseignements personnels que pose la circulation transfrontalière de données et l’importance de relever ces défis grâce à une coopération internationale. À ce titre, le gouvernement travaille depuis longtemps avec ses homologues internationaux pour régler ces questions. Par exemple, le Canada avait participé à la conception des Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’Organisation de coopération et de développement économiques, qui ont été adoptées en 1980. Plus récemment, le Canada a participé à l’élaboration d’un cadre de protection des renseignements personnels de la Coopération économique Asie-Pacifique (APEC) et continue de jouer un rôle actif dans les efforts de coopération pour élaborer des règles de protection transfrontalière des renseignements personnels conformément à ce cadre. Enfin, le gouvernement travaille actuellement avec le Mexique et les États-Unis pour régler les questions de circulation transfrontalière de données dans le contexte nord-américain, par le biais du Partenariat de la sécurité et de la prospérité (PSP).

Renseignements personnels sur la santÉ
Recommandation 17
« Le Comité recommande que le gouvernement consulte les membres du secteur des soins de santé et le Commissariat à la protection de la vie privée du Canada afin de déterminer quels éléments du document sur les outils de sensibilisation à la LPRPDE pourraient être énoncés sous forme législative. »
RÉponse

Le gouvernement est heureux de l’appui exprimé par le milieu des soins de santé et d’autres intervenants à l’égard du document sur les outils de sensibilisation à la LPRPDE. Fidèle à la recommandation du Comité, Industrie Canada travaillera avec Santé Canada, la commissaire à la protection de la vie privée du Canada, le milieu des soins de santé et les gouvernements provinciaux et territoriaux afin de discuter des options possibles pour attribuer au document un caractère plus officiel.

Pouvoirs de rendre des ordonnances
Recommandation 18
« Le Comité recommande qu’aucun pouvoir de rendre des ordonnances ne soit octroyé pour l’instant à la commissaire fédérale à la protection de la vie privée. »
RÉponse

Le gouvernement convient qu’aucun pouvoir de rendre des ordonnances ne devrait être octroyé pour l’instant à la commissaire à la protection de la vie privée. Cette position est appuyée par le point de vue général exprimé dans l’ensemble des témoignages et des mémoires présentés au Comité, à savoir que la LPRPDE fonctionne assez bien. De plus, comme la Loi est entrée en vigueur depuis peu, il faut adopter une approche prudente pour ce qui est d’apporter des modifications importantes aux pouvoirs d’application de la commissaire à la protection de la vie privée. On devrait plutôt donner à la commissaire plus de temps pour utiliser pleinement les pouvoirs d’application dont elle dispose maintenant.

Divulgation de l’identitÉ des contrevenants
Recommandation 19
« Le Comité recommande qu’aucune modification ne soit apportée au paragraphe 20(2) de la LPRPDE en ce qui concerne le pouvoir discrétionnaire de la commissaire à la protection de la vie privée de divulguer l’identité d’une organisation dans l’intérêt public. »
RÉponse

Le gouvernement appuie la recommandation du Comité voulant qu’aucune modification ne soit nécessaire relativement à cette question. En vertu de la LPRPDE, la commissaire à la protection de la vie privée a la capacité de rendre public le nom des organisations qui font l’objet de plaintes; elle devrait donc conserver ce pouvoir discrétionnaire lorsqu’il est dans l’intérêt public d’utiliser ce pouvoir.

Partage d’information avec d’autres autoritÉs responsables de donnÉes
Recommandations 20 et 21
Recommandation 20
« Le Comité recommande qu’en vertu de la LPRPDE, la commissaire fédérale à la protection de la vie privée soit habilitée à partager des renseignements personnels et à coopérer, dans le cadre d’enquêtes d’intérêt mutuel, avec ses homologues des provinces où il n’y a pas de lois essentiellement similaires à la loi fédérale pour le secteur privé, ainsi qu’avec les instances responsables de la protection des données à l’étranger. »
Recommandation 21
« Le Comité recommande que les renseignements partagés avec d’autres pays, particulièrement les États-Unis, soient dûment protégés de façon à ne pas être divulgués à un tribunal étranger ou à une autre instance gouvernementale à des fins autres que celles pour lesquelles ils ont été communiqués. »
RÉponse (aux recommandations 20 et 21)

Le gouvernement est d’accord pour dire que la commissaire à la protection de la vie privée doit coopérer dans les enquêtes avec d’autres pays. En raison de la nature mondiale de l’économie moderne, la commissaire à la protection de la vie privée doit être en mesure de travailler avec d’autres autorités responsables de la protection des renseignements personnels, tant au Canada qu’à l’étranger, afin de remplir son mandat en vertu de la LPRPDE.

Le gouvernement convient aussi que le pouvoir actuel de la commissaire à la protection de la vie privée en ce qui concerne le partage d’information avec ses homologues est limité, ce qui restreint sa capacité de bien travailler en collaboration. Toutefois, il est reconnu que toute entente de partage d’information avec des autorités étrangères devrait inclure des contraintes appropriées pour stipuler que les renseignements ne seront utilisés que pour les fins prévues.

Cette recommandation est directement liée aux travaux continus avec les partenaires internationaux du Canada dans le contexte de l’Organisation de coopération et de développement économiques (OCDE), de la Coopération économique Asie-Pacifique (APEC) et du Partenariat pour la sécurité et la prospérité (PSP), en vue d’améliorer l’application transfrontalière des règles sur la protection des renseignements personnels. Le gouvernement fédéral et la commissaire à la protection de la vie privée du Canada participent activement à ces initiatives.

Secret professionnel liant un avocat À un client
Recommandation 22
« Le Comité recommande que la LPRPDE soit modifiée afin que la commissaire à la protection de la vie privée soit habilitée à demander à la Cour fédérale du Canada un examen accéléré d’une allégation de secret professionnel liant un avocat à son client invoquée pour refuser l’accès à des renseignements personnels (alinéa 9(3)(a)), lorsque la commissaire s’est fait refuser la production d’information dans le cadre d’une enquête. »
RÉponse

Le gouvernement reconnaît la recommandation du Comité en ce qui concerne la capacité de la commissaire à la protection de la vie privée du Canada de vérifier les allégations de secret professionnel liant un avocat à son client. Le gouvernement note également qu’en octobre 2006, la Cour d’appel fédérale a rendu une décision sur cette question Blood Tribe Department of Health c. Commissaire à la protection de la vie privée du Canada. Étant donné qu’en mars 2007, la commissaire à la protection de la vie privée a reçu l’autorisation d’interjeter appel devant la Cour suprême du Canada, le gouvernement juge qu’il ne conviendrait pas pour l’instant de prendre une mesure législative pour régler la question du secret professionnel liant un avocat à son client. Le gouvernement attendra la décision de la Cour suprême dans cette affaire.

Avis d’atteinte À la sÉcuritÉ des renseignements personnels
Recommandations 23, 24 et 25
Recommandations 23
« Le Comité recommande que la LPRPDE soit modifiée par l’ajout d’une disposition obligeant les organisations à signaler certaines violations précises de la confidentialité de leurs fonds de renseignements personnels à la commissaire à la protection de la vie privée. »
RÉponse

Le gouvernement reconnaît que le vol d’identité est un problème de taille qui ne cesse de croître et que la fréquence accrue d’importantes fuites de données liées aux renseignements personnels est un facteur qui contribue à ce problème. Il est également admis que la plupart des entreprises agissent de bonne foi et que certaines d’entre elles avisent automatiquement les personnes touchées dans un incident de fuites de données, alors que d’autres ne le font pas. Dans cette perspective, le gouvernement est d’accord avec le Comité qu’une modification à la LPRPDE pour obliger un avis d’atteinte à la sécurité des données établirait une approche uniforme dans l’ensemble du marché et encouragerait toutes les organisations à prendre au sérieux la sécurité des données.

Comme le reconnaît le Comité dans son rapport, l’avis public d’une atteinte à la sécurité des données est une question complexe qui a d’importantes répercussions sur les organisations et les particuliers. Il est généralement admis qu’il faut émettre, dans certaines circonstances, un avis aux personnes ou aux organisations qui sont touchées par un tel incident pour qu’elles puissent prendre des mesures afin d’atténuer leur risque de nuisance. Toutefois, comme de nombreuses fuites de données ne posent aucune menace réelle aux renseignements personnels des gens, l’obligation d’un avis public dans tous les cas serait fastidieuse et coûteuse pour les organisations et pourrait même diminuer sa valeur aux yeux du public (par une notification excessive qui entraîne de la « fatigue »). Par conséquent, dans les cas de certaines fuites de données définies, où il existe un risque élevé de nuisance importante aux personnes ou aux organisations, le gouvernement appuie une obligation législative d’émettre rapidement un avis à ceux qui sont touchés par la perte ou le vol de renseignements personnels.

De plus, comme le recommande le Comité, l’exigence de déclarer tous les incidents de vol ou de perte de renseignements personnels à la commissaire à la protection de la vie privée dans un délai précis, ainsi que les détails de l’incident et les mesures prises par l’organisation pour aviser les personnes (ou une justification si elle ne les avise pas), pourrait permettre une surveillance des pratiques organisationnelles. Cela permettra à la commissaire à la protection de la vie privée d’avoir l’occasion de surveiller le volume et la nature des fuites de données et les mesures prises par les organisations qui respectent le processus d’avis, au besoin. Cette approche serait particulièrement utile pour les petites et moyennes entreprises (PME) qui pourraient ne pas disposer de ressources internes suffisantes pour effectuer des évaluations d’avis.

Recommandation 24
« Le Comité recommande que, dès qu’une organisation lui signale une atteinte à la confidentialité de son fonds de renseignements personnels, la commissaire à la protection de la vie privée décide s’il y a lieu ou non d’en informer les personnes concernées ainsi que d’autres personnes et, dans l’affirmative, détermine la façon de procéder à cette fin. »
RÉponse

La décision d’aviser ou non les personnes en cas d’une atteinte à la sécurité des données doit reposer sur une analyse du niveau de risque de nuisance au cas par cas. Dans l’hypothèse d’une surveillance appropriée par la commissaire à la protection de la vie privée du Canada, les organisations qui connaissent une telle expérience sont bien placées pour comprendre et évaluer les risques en jeu et pour prendre une décision rapide sur la nécessité et la façon d’aviser leurs clients, leurs partenaires commerciaux et/ou le grand public. La proposition du Comité, selon laquelle on confierait à la commissaire à la protection de la vie privée la responsabilité de décider s’il faut aviser ou non les autres, serait une solution de rechange moins efficace et plus fastidieuse pour le Commissariat du point de vue des ressources.

Recommandation 25
« Le Comité recommande qu’au moment de décider des détails d’un modèle d’avis adapté à la LPRPDE, il faudra aussi prendre en considération le moment et la façon de signaler les atteintes, les sanctions en cas de défaut d’aviser, et la nécessité de prévoir un pouvoir d’aviser “ sans consentement ” les agences d’évaluation du crédit afin d’aider à protéger les consommateurs contre le vol d’identité et la fraude. »
RÉponse

Le gouvernement reconnaît que le fait de déterminer les paramètres précis du modèle, y compris les « éléments déclencheurs » et les « seuils » de notification (pour la commissaire à la protection de la vie privée et les personnes touchées) sera un élément essentiel dans la disposition en matière de notification. Il faudra effectuer des recherches, des analyses et des consultations pour aboutir au meilleur modèle pour le Canada.

Une partie importante des consultations concernera les détails pour élaborer des paramètres de notification efficaces et pratiques et pour déterminer si des infractions particulières sont pertinentes. Parmi les questions examinées, on comptera l’échéance, la forme, le contenu et le mode de notification des personnes, en plus de l’identification des organisations, telles que les organismes d’évaluation du crédit, à la commissaire à la protection de la vie privée. Des lignes directrices et des normes clairement définies à l’échelle de l’industrie seraient particulièrement utiles pour les petites et moyennes entreprises (PME) qui pourraient ne pas disposer de ressources internes suffisantes pour effectuer des évaluations d’avis.

CONCLUSIONS ET PROCHAINES ÉTAPES

Dans une économie moderne, basée sur l’information, un régime efficace et solide pour la protection des renseignements personnels est d’une importance vitale, tant pour les consommateurs que les entreprises. C’est pourquoi le gouvernement est déterminé à s’assurer que les Canadiens continuent de profiter de l’une des normes les plus élevées au monde en matière de protection des renseignements personnels. Il reconnaît également le rôle précieux que joue la LPRPDE pour atteindre cet objectif et l’importance de l’ajuster lorsque cela s’avère nécessaire.

Le rapport de l’ETHI souligne la complexité et la nature délicate des nombreuses questions qui sont liées aux lois et politiques du Canada pour la protection des renseignements personnels. Le gouvernement est reconnaissant des efforts déployés par le Comité pour élaborer des propositions qui feront nettement avancer l’objectif d’améliorer la Loi et sa mise en œuvre. Même s’il a énoncé sa position à l’égard d’une bonne partie des recommandations de l’ETHI, le gouvernement juge qu’il faut mener d’autres travaux et consultations dans les domaines essentiels, avant de pouvoir présenter une gamme complète de propositions législatives et stratégiques pour examen parlementaire.

Comme prochaine étape, le gouvernement envisage donc de mener des consultations plus poussées afin de s’assurer que toute modification apportée à la LPRPDE et à sa mise en œuvre soit la plus efficace possible. Le gouvernement consultera le public canadien, d’autres ministères et organismes fédéraux, les gouvernements provinciaux et territoriaux, en plus de prêter une attention particulière aux points de vue de la commissaire fédérale à la protection de la vie privée. Grâce à des consultations plus poussées, il sera possible d’établir un consensus dans les dossiers où il existe un désaccord. Dans les dossiers où il existe un consensus général, les consultations peuvent aider à déterminer comment assurer une mise en œuvre plus efficace des propositions. Ce processus donnera également une dernière occasion de soulever des questions qui n’avaient pas été prises en considération dans le rapport du Comité et de régler les préoccupations exprimées par les organismes d’application de la loi et de sécurité nationale en ce qui concerne les dispositions de la LPRPDE destinées à protéger leurs enquêtes.

Enfin, les consultations publiques permettront aux gouvernements provinciaux et territoriaux de fournir un apport au processus d’examen, étant donné que les modifications à la LPRPDE auront des répercussions sur la protection des renseignements personnels dans l’ensemble des provinces et des territoires.

À la lumière des opinions reçues, le gouvernement comparaîtra devant le Parlement dans un proche avenir avec des propositions précises de mesures législatives et autres.