ETHI Rapport du Comité

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

PDF

INTRODUCTION

Considérée depuis toujours comme le « droit d’être laissé tranquille », la notion de vie privée, en cette ère d’essor rapide des technologies de l’information, de mondialisation et de préoccupations plus vives en matière de sécurité, a beaucoup évolué depuis l’adoption de la Loi sur la protection des renseignements personnels (L.R.C. 1985, ch. P‑21) en 1983.

À cette époque, la protection des renseignements personnels a commencé à devenir préoccupante essentiellement en raison du recours de plus en plus répandu aux ordinateurs dans les institutions gouvernementales et les grandes entreprises. En réponse à un rapport d’un groupe d’étude fédéral sur l’ordinateur et la vie privée^[1], le Canada a édicté en 1977 la première disposition fédérale sur le respect de la vie privée pour le secteur public dans la partie IV de la Loi canadienne sur les droits de la personne. Cette disposition créait le poste de commissaire à la protection de la vie privée du Canada au sein de la Commission canadienne des droits de la personne et attribuait à son titulaire le mandat de recevoir les plaintes du grand public, de mener des enquêtes et de présenter des recommandations au Parlement. Les dispositions antidiscriminatoires de la Loi canadienne sur les droits de la personne n’étaient sans doute pas les mieux adaptées pour protéger le droit à la vie privée, d’où l’entrée en vigueur, en 1983, de l’actuelle Loi sur la protection des renseignements personnels, qui n’a pratiquement pas été modifiée depuis.

Ainsi, même si dans l’esprit des experts en la matière, le droit à la vie privée peut aujourd’hui être synonyme de tout un éventail de valeurs comme le droit de jouir d’un espace à soi, d’avoir des communications privées, d’être libre de toute surveillance et de faire respecter le caractère sacré de sa personne, le respect du droit à la vie privée au Canada repose essentiellement sur la protection des renseignements personnels.

Beaucoup de choses ont changé depuis l’entrée en vigueur de la Loi sur la protection des renseignements personnels. En fait, après s’être intéressé aux lois sur la protection des renseignements personnels dites « de deuxième génération », dans son examen de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)^[2], adoptée en 2000 pour protéger les renseignements personnels dans le secteur privé, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le Comité) a reconnu que l’approche proposée dans la Loi sur la protection des renseignements personnels à l’égard de la protection des renseignements personnels en était une de « première génération ». Le Comité est également conscient que les premières propositions de réforme de la Loi datent d’aussi loin que 1987, année où le Comité permanent de la justice et du solliciteur général de la Chambre des communes a formulé plus de 100 recommandations unanimes d’améliorations à apporter à la Loi, dans son rapport intitulé Une question à deux volets : Comment améliorer l’accès à l’information tout en renforçant les mesures de protection des renseignements personnels^[3]. En 1997, le Comité des droits de la personne et de la condition des personnes handicapées de la Chambre des communes a à son tour recommandé que la Loi sur la protection des renseignements personnels soit élargie et renforcée pour toutes les questions touchant le secteur de compétence fédérale^[4].

C’est dans ce contexte que le Comité a entrepris sa propre étude des changements possibles à apporter à la Loi sur la protection des renseignements personnels. Entre le 17 avril 2008 et le 3 juin 2008, il a entendu la commissaire à la protection de la vie privée du Canada et dix autres témoins. La commissaire à la protection de la vie privée, qui a été la première à comparaître, a présenté une série de dix propositions de réforme ou, comme le Comité a fini par les appeler, dix « modifications rapides » de la Loi sur la protection des renseignements personnels. Le 11 mai 2009, la commissaire a comparu devant le Comité et a mis à jour la série de modifications rapides en y ajoutant deux autres propositions de réforme, en fonction des déclarations de témoins antérieurs, portant à 12 le nombre total de modifications.

La majorité des témoins ont réagi à l’initiative de la commissaire et formulé des observations au sujet des changements proposés, mais plusieurs s’en sont abstenus. Les fonctionnaires de différents ministères fédéraux ont été invités à se prononcer sur les propositions de changement, devant le Comité et aussi par la suite, mais seuls quelques-uns ont réagi.

En conséquence, le Comité a décidé d’examiner les propositions de changement à la lumière des observations qui lui ont été faites. Il est conscient qu’il y a beaucoup de travail à faire et qu’une refonte complète de la Loi est effectivement justifiée. Toutefois, les « modifications rapides » proposées par la commissaire sont une occasion d’amorcer du bon pied le processus de réforme.

APERÇU DE LA LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

La Loi sur la protection des renseignements personnels est entrée en vigueur le 1^er juillet 1983, en même temps que la Loi sur l’accès à l’information. D’abord axée sur la protection des données, la Loi a jadis été comparée à un « code déontologique destiné aux utilisateurs de renseignements ». Elle part du principe que toute personne devrait, dans la mesure du possible, exercer un contrôle sur les renseignements détenus à son sujet et sur ceux qui en ont la garde.

La Loi intervient fondamentalement de trois façons : 1) elle confère aux particuliers le droit d’avoir accès aux renseignements personnels détenus à leur sujet par l’administration fédérale; 2) elle impose de justes obligations à l’administration fédérale relativement à la façon de recueillir, de conserver, d’utiliser et de communiquer les renseignements personnels dont elle a la garde; et 3) elle prévoit la mise en place d’un ombudsman indépendant, le commissaire à la protection de la vie privée^[5], pour résoudre les problèmes et veiller au respect de la loi. La Loi sur la protection des renseignements personnels s’applique uniquement aux ministères et aux organismes fédéraux énumérés à l’annexe 1 de la Loi, dont la liste a récemment été enrichie en vertu de la Loi fédérale sur la responsabilité en 2006.

En vertu de la Loi, les renseignements personnels sont les renseignements concernant un individu identifiable, quelle que soit leur forme (p. ex., bande vidéo ou sonore ou support électronique), y compris ceux qui concernent son âge, son éducation, son dossier médical, son casier judiciaire ou ses antécédents professionnels (p. ex., dossiers d’impôt et demandes de prêt étudiant).

La Loi précise que les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. De plus, dans la mesure du possible, l’institution doit recueillir auprès de l’individu même les renseignements le concernant et l’informer des fins auxquelles ils sont destinés. Par souci de transparence et d’ouverture, les institutions fédérales doivent publier un répertoire indiquant tous les fichiers de renseignements personnels dont elles disposent. Le Conseil du Trésor en fait un recueil qui est publié en ligne sous la forme de quatre outils de référence et de recherche connus collectivement sous le nom d’Info Source^[6]. Le Secrétariat du Conseil du Trésor est le principal responsable de l’application de la loi, rôle qu’il partage en partie avec le ministère de la Justice.

Au Canada, tout individu a le droit de demander l’accès aux renseignements personnels que l’administration fédérale détient à son sujet. S’il n’est pas satisfait de l’exactitude des renseignements obtenus, il peut demander que des corrections soient apportées. Si cette demande est refusée, il peut exiger qu’une note soit portée à son dossier pour faire état de la demande de correction.

La Loi prévoit un certain nombre d’exceptions que peut invoquer une institution fédérale pour empêcher un demandeur d’accéder à une partie ou à la totalité des renseignements personnels détenus à son sujet. Si un demandeur n’est pas satisfait de la mesure prise par l’institution fédérale, il peut déposer une plainte devant le commissaire à la protection de la vie privée. Si ce recours échoue, une demande de révision judiciaire peut être présentée à la Cour fédérale.

En plus de faire enquête sur les plaintes relatives à l’application de la Loi sur la protection des renseignements personnels, le commissaire à la protection de la vie privée peut vérifier les pratiques équitables de traitement de l’information des institutions fédérales et réaliser des études spéciales à la demande du ministre de la Justice.

LES MODIFICATIONS RAPIDES

Le Comité a entrepris son étude en faisant comparaître à deux reprises la commissaire à la protection de la vie privée, qui en a profité pour proposer « modifications rapides » à apporter à la Loi sur la protection des renseignements personnels^[7]. Selon elle, les propositions en question sont les changements les plus importants et les plus nécessaires à apporter à la Loi et elles peuvent aisément être mises en œuvre à court terme. La commissaire a toutefois tenu à préciser que ces propositions de modifications rapides n’éliminaient en rien la nécessité de procéder à un examen approfondi de la Loi.

La commissaire a affirmé au Comité qu’à son avis, ces changements immédiats constitueraient à tout le moins un premier effort de modernisation de la Loi :

J’aimerais rappeler aux députés que nous ne prétendons en rien qu’il s’agisse là d’une version définitive de la Loi sur la protection des renseignements personnels, ni des problèmes concernant le droit à l’information des Canadiens. C’est un document très contextuel. Il s’agissait de proposer certaines modifications dont le besoin se fait sérieusement sentir et parmi les plus faciles à apporter à un document qui remonte maintenant à 1982. C’est l’un des rares textes de loi sur le droit à l’information à travers le monde qui n’a pas été modifié. En faisant la comparaison avec la législation des autres pays démocratiques, par exemple le Royaume‑Uni, l’Australie, etc., nous constatons que notre Loi sur la protection des renseignements personnels a maintenant beaucoup vieilli^[8].

La commissaire à la protection de la vie privée a aussi évoqué plusieurs autres raisons pour justifier la nécessité d’une réforme de la loi, notamment l’obligation de faire en sorte que les responsabilités imposées au secteur public par la Loi sur la protection des renseignements personnels soient au moins aussi strictes que celles imposées au secteur privé par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), dont l’adoption est plus récente :

[L]e fait est que le gouvernement ne s’impose pas les mêmes normes qu’il impose aux entreprises canadiennes, ou les mêmes droits qu’il accorde aux consommateurs canadiens, par rapport aux entreprises canadiennes, ou les droits qu’il accorde aux plaignants qui s’adressent au Commissariat, qui n’aiment pas la façon dont ils ont été traités par des entreprises commerciales canadiennes, pour ce qui est d’aller plus loin pour obtenir satisfaction… Une modernisation s’impose. Dans une société qui valorise des droits aussi importants que cela, il est essentiel de définir ces droits de façon à ce qu’on puisse les exercer pleinement dans la société d’aujourd’hui^[9].

Modification rapide numéro 1 : Instaurer par voie législative un « test de nécessité » pour les institutions gouvernementales qui recueillent des renseignements personnels, afin de les obliger à démontrer la nécessité de recueillir ces renseignements.

La commissaire a affirmé qu’il était maintenant courant dans les lois modernes sur la protection des renseignements personnels d’exiger que les institutions recueillent seulement les renseignements qui sont nécessaires et raisonnables dans le contexte de leurs programmes ou activités. Le libellé actuel de l’article 4 de la Loi renferme seulement un énoncé général stipulant que les seuls renseignements personnels que peut recueillir une institution fédérale sont « ceux qui ont un lien direct avec ses programmes ou ses activités ».

La commissaire a fait référence aux politiques du Conseil du Trésor qui affirment clairement que la nécessité de chaque renseignement personnel recueilli pour mener à bien l’activité ou le programme concerné doit pouvoir être démontrée. Elle a aussi souligné que la loi fédérale applicable au secteur privé, en l’occurrence la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), et même la Loi sur le service canadien du renseignement de sécurité qui régit le SCRS, comportent des restrictions plus strictes encore en ce qui concerne la collecte.

La commissaire a également fait remarquer que presque toutes les provinces et tous les territoires qui ont légiféré en matière de protection des renseignements personnels dans le secteur public, ont adopté un modèle assorti de trois conditions et instauré, à cet égard, un test de nécessité :

(i) la collecte est expressément autorisée par un texte législatif;

(ii) les renseignements sont recueillis aux fins de l’application de la loi;

(iii) les renseignements sont directement liés et nécessaires à un programme ou à une activité.

La commissaire a conclu que l’instauration d’un test de nécessité au niveau fédéral permettrait de resserrer le cadre législatif régissant la collecte des renseignements personnels et de faire respecter le droit fondamental au respect de la vie privée qui a été reconnu par la Cour suprême en vertu de la Charte canadienne des droits et libertés.

La Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC), l’ancien président de la Commission d’accès à l’information du Québec, Paul-André Comeau, Michael Geist et l’Association du Barreau canadien sont tous favorables à cette proposition de « modification rapide ». L’Association du Barreau canadien a insisté sur l’importance du critère de la nécessité aux fins de la protection des renseignements personnels :

Il y a une autre maxime importante qui s’applique aux pratiques exemplaires de collecte, d’utilisation et de communication des renseignements personnels depuis 1982, et c’est ce qu’on appelle le « critère de la nécessité ». Simplement, il s’agit de recueillir seulement les renseignements raisonnablement nécessaires, afin de nous prémunir contre la tendance naturelle ou ce qui semble être une tendance naturelle à collecter plus de renseignements que nécessaire, puisqu’il faut bien sûr les protéger après. Si l’on recueille des renseignements qui ne sont pas nécessaires, la probabilité qu’ils soient mal utilisés augmente^[10].

L’Association du Barreau canadien a insisté sur l’utilité du critère de la nécessité dans le contexte du secteur public qui, contrairement au secteur privé, n’utilise pas de modèle de consentement :

Sur le plan de la philosophie ou de la différence… Rien ne vous empêche, lorsque vous faites affaire avec une banque ou avec votre club vidéo local, d’aller ailleurs si vous n’êtes pas satisfait; c’est donc vraiment une question de consentement, de consentement éclairé, et cela rejoint les principes deux et trois de la LPRPDE.

La relation d’un citoyen avec le gouvernement n’est pas volontaire. Elle l’est peut‑être pour certains services, si la personne choisit de s’en prévaloir, mais il n’y a rien de volontaire dans sa relation avec l’Agence du revenu du Canada, la Commission de l’assurance-emploi ou les autres ministères. L’individu a une obligation. On ne demande pas nécessairement son consentement^[11].

David Flaherty, ex-commissaire à l’information et à la protection de la vie privée de la Colombie‑Britannique, est allé plus loin et a affirmé qu’il ne voyait pas pourquoi il ne serait pas possible de mettre en œuvre dans le secteur public une exigence de consentement semblable à celle en vigueur dans le secteur privé. Cette proposition cadre, selon lui, avec les grands principes dont s’inspirent la plupart des modèles de lois sur la protection des renseignements personnels^[12] – par exemple, transparence quant à l’utilisation faite des renseignements personnels; responsabilité quant au traitement; collecte servant à une fin précise; limitation de la collecte, de l’utilisation et de la communication; obtention du consentement; mesures de sécurité suffisantes; respect du droit des personnes d’avoir accès aux renseignements personnels conservés à leur sujet et possibilité de porter plainte, au besoin.

Selon la position exprimée par le ministre de la Justice au moment de sa comparution devant le Comité, le test de nécessité existe déjà en vertu de l’actuel article 4 de la Loi évoqué précédemment. La GRC s’est également prononcée contre l’idée d’ajouter à la loi un nouveau critère pour justifier la collecte de renseignements, parce qu’elle craint que les changements proposés par la commissaire ne nuisent considérablement à l’efficience de son travail d’enquête relatif à la sécurité nationale, au crime organisé transnational et aux agressions sexuelles commises contre des enfants.

Le SCRS a signalé qu’il applique déjà son propre critère de la nécessité en vertu de l’article 12 de la Loi sur le service canadien du renseignement de sécurité. Ce critère découle du mandat même du SCRS qui, de son propre aveu, est large : « raison de soupçonner une activité ». À ce moment du témoignage, une membre du Comité est intervenue pour chercher à préciser ce mandat, sans que ni l’un ni l’autre des témoins concernés ne cherche à réfuter son affirmation voulant que la GRC cherche des preuves, alors le SCRS lui cherche plutôt des soupçons.

Réponse du Comité : Le Comité s’est demandé si l’article 4 de la Loi sur la protection des renseignements personnels est suffisamment solide dans son libellé actuel pour donner pleinement effet aux droits sous-jacents à la Loi, mais les avis à ce sujet divergent. Le ministre pourra vouloir s’y attarder davantage.

Modification rapide numéro 2 : Étendre les motifs de recours aux tribunaux en vertu de l’article 41 de la Loi sur la protection des renseignements personnels à toute la gamme des protections et droits relatifs à la vie privée que cette Loi garantit et autoriser la Cour fédérale à allouer des dommages-intérêts à la charge des institutions contrevenantes.

Conformément à l’actuel libellé de la Loi, les motifs de recours aux tribunaux énoncés aux articles 41 et 42 se limitent aux plaintes concernant un refus de donner accès à des renseignements personnels. Même si la commissaire peut enquêter sur toutes les autres questions visées par la Loi, ce genre d’enquête ne peut donner lieu qu’à des recommandations et aucun autre recours ne peut être exercé auprès des tribunaux^[13]. L’article 41 de Loi actuelle, qui est la principale disposition portant sur le recours aux tribunaux, est libellé comme suit :

Révision par la Cour fédérale dans les cas de refus de communication

41. L’individu qui s’est vu refuser la communication de renseignements personnels demandés en vertu du paragraphe 12(1) et qui a déposé ou fait déposer une plainte à ce sujet devant le Commissaire à la protection de la vie privée peut, dans un délai de quarante-cinq jours suivant le compte rendu du Commissaire prévu au paragraphe 35(2), exercer un recours en révision de la décision de refus devant la Cour. La Cour peut, avant ou après l’expiration du délai, le proroger ou en autoriser la prorogation^[14].

La commissaire a proposé que tous les droits prévus par la Loi soient assortis de recours, de façon à mettre en place une responsabilité exécutoire pour l’ensemble des lois. Elle a fait valoir que cette « modification rapide » serait doublement profitable puisqu’elle permettrait une interprétation judiciaire de certains aspects de la Loi qui ont porté à confusion par le passé (par exemple, dans quelles circonstances la collecte, l’utilisation ou la communication est-elle inappropriée?). Voici la liste des justifications fournies par la commissaire, dans sa proposition, à l’appui de cette recommandation :

Traduire en pratique la qualité de droit fondamental et quasi constitutionnel accordée à la protection des renseignements personnels
L’élargissement du champ de compétence de la Cour fédérale permettrait de confirmer que les droits à la vie privée des secteurs public et privé sont d’égale importance, de garantir que les institutions gouvernementales respectent le droit de l’ensemble des Canadiens et des Canadiennes à voir leurs renseignements personnels recueillis, utilisés et communiqués conformément à la Loi sur la protection des renseignements personnels et de donner tout son poids au droit à la vie privée dans une société libre et démocratique. La Cour suprême du Canada a confirmé que la Loi sur la protection des renseignements personnels vise à protéger les renseignements personnels relevant des institutions gouvernementales et que cette mesure législative a une telle importance que notre Cour l’a qualifiée de « quasi constitutionnelle » en raison du rôle que joue la protection de la vie privée dans le maintien d’une société libre et démocratique.

Assurer la responsabilité du gouvernement à l’aide d’un mécanisme d’examen valable
La mise en œuvre de notre recommandation donnerait aux Canadiennes et aux Canadiens les mêmes droits quant aux renseignements personnels recueillis, utilisés et communiqués par les institutions gouvernementales que ceux dont ils jouissent, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, à l’égard des organisations du secteur privé qui mènent des activités commerciales. Les institutions gouvernementales devraient même faire preuve d’une ouverture et d’une responsabilité plus grandes en ce qui concerne leurs modes de traitement des renseignements personnels. Pour accroître la responsabilité gouvernementale, il est évident qu’il faut renforcer le droit à la protection de la vie privée dans la gestion que fait le gouvernement des renseignements personnels des Canadiennes et Canadiens. La mise en œuvre de notre recommandation est essentielle pour assurer la responsabilisation et la transparence réelles du gouvernement.

Protéger directement les renseignements personnels dans la loi pertinente
La Cour suprême du Canada a affirmé qu’un tiers, dans une demande d’accès à l’information faite en vertu de la Loi sur l’accès à l’information, peut demander à être entendu par la Cour fédérale relativement à la communication de renseignements personnels par une institution gouvernementale. Étant donné que la Cour suprême du Canada considère que le droit à la vie privée l’emporte sur le droit d’accès à l’information, comment se fait-il qu’un tiers peut se présenter devant la Cour fédérale pour une affaire de communication de renseignements sur une autre personne en vertu de la Loi sur l’accès à l’information, mais qu’une personne ne peut pas demander qu’on respecte son droit à la protection de la vie privée ou qu’on la dédommage pour atteinte à ce droit en vertu de la Loi sur la protection des renseignements personnels quand il s’agit de ses renseignements personnels? L’élargissement des motifs de recours devant la Cour fédérale en vertu de la Loi sur la protection des renseignements personnels réglerait cette situation incongrue.

Tout droit nécessite un recours
Pour avoir un sens, un droit doit s’accompagner d’un recours. C’est particulièrement vrai dans le cas d’un droit fondamental tel que celui de protéger la vie privée. La mise en œuvre de notre recommandation permettrait à la Cour fédérale de traiter les plaintes relatives à toute la gamme des droits et des mesures de protection prévus dans la Loi sur la protection des renseignements personnels, y compris les plaintes pour collecte, utilisation ou communication inappropriée de renseignements personnels, pour défaut de conserver des données à jour et exactes, pour conservation ou destruction inappropriée de données, ou encore celles liées à un refus d’accès à des renseignements ou de correction de renseignements par des institutions gouvernementales. La Cour fédérale pourrait alors allouer des dommages-intérêts, lorsque, par exemple, l’utilisation ou la communication inappropriée de renseignements personnels met dans l’embarras la personne concernée ou lui cause d’autres dommages.

Besoin des conseils des tribunaux
La mise en œuvre de notre recommandation permettrait à la Cour fédérale de donner des conseils dont nous avons besoin sur ce qui constitue une collecte, une utilisation ou une communication inappropriée de renseignements personnels^[15].

La CIPPIC, David Flaherty, Paul-André Comeau, Michael Geist et l’Association du Barreau canadien (ABC) ont souscrit à cette recommandation. L’ABC a notamment souligné que l’élargissement de l’accès aux tribunaux autorisé par la Loi à l’égard de toutes les questions régies par celle-ci, plutôt qu’à l’égard du refus d’accès seulement, accroîtra la responsabilité du gouvernement à l’égard de questions pour lesquelles il n’existe actuellement aucun recours exécutoire. De l’avis des représentants de l’ABC, la responsabilité est la « pierre angulaire » des recommandations de réforme.

La GRC a indiqué que même si elle ne s’oppose pas directement à cette deuxième « modification rapide », elle craint quand même que celle-ci change entièrement l’« esprit » de la Loi^[16]. De même, le ministre de la Justice a exprimé des préoccupations au sujet des pressions accrues exercées sur les ressources judiciaires, et s’est demandé si cette proposition n’était pas incompatible avec une autre modification rapide proposée par la commissaire, qui vise à conférer à cette dernière le pouvoir discrétionnaire de refuser d’enquêter au sujet de plaintes répétitives ou sans fondement (voir le numéro 6 ci‑dessous). Voici les propos tenus par le ministre :

L'une des suggestions serait d'élargir le rôle de la Cour fédérale pour lui permettre d'entendre des plaintes en vertu de la LPRP. Des dommages-intérêts pourraient être accordés à l'encontre des institutions délinquantes, probablement des institutions gouvernementales. Je serais très curieux d'entendre ce que vous en pensez, franchement, et je suppose que vous voudrez examiner cette proposition de concert avec la recommandation n^o 6, qui donnerait à la commissaire le pouvoir de rejeter certaines plaintes qui ne seraient pas dans l'intérêt public ou qu'elle jugerait vexatoires ou frivoles. D'après moi, c'est un peu difficile. Une question peut être extrêmement importante pour une personne, et avoir très peu de ramifications sur le plan de la politique publique. J'ai hâte de voir ce que vous aurez à dire à ce sujet.

D'autre part, la recommandation n^o2 vise à donner à la Cour fédérale le pouvoir d'entendre des appels. Cela me semble un peu contradictoire. Je ne vois pas comment la commissaire pourrait rejeter certaines plaintes si le droit d'interjeter appel à la Cour fédérale existe dans tous les cas. Encore une fois, la recommandation me semble très intéressante, mais j'ai bien hâte de savoir ce que vous en pensez^[17].

[…]

S'il existe un droit d'appel automatique à la Cour fédérale, ça entraînera nécessairement des frais juridiques. Cela dépend si vous recommandez que le rôle de la Commissaire à la vie privée soit élargi et dans quelle mesure. La plupart de ces choses coûtent de l'argent. Chaque fois qu'on élargit le rôle de quelqu'un, cela implique des ressources. Je verrai lorsque vous formulerez vos recommandations.

Dans mon discours préliminaire, je vous demandais simplement de garder cela à l'esprit. Ces choses ne sont pas sans coûter quelque chose, et les tribunaux sont déjà très occupés. Il y aura évidemment des coûts. Mais peut-être que vous allez recommander que la Cour fédérale puisse entendre de tels appels^[18].

[…]

Il est vrai que j'entrevois un conflit entre certaines recommandations et j'aimerais connaître votre avis au sujet des recommandations 2 et 6. Si la commissaire peut d'une part rejeter une demande et que d'autre part, un droit d'appel à la Cour fédérale est accordé, cela pourrait constituer un conflit. Je me trompe peut-être, mais j'aimerais connaître votre avis là-dessus^[19].

[…]

Dans le premier tour de questions, j'ai fait remarquer que je souhaiterais qu'on fasse une analyse plus poussée du lien entre les recommandations n^o 2 et n^o 6. C'est mon avis. Vous conclurez peut-être qu'il n'y a pas de problème, que les deux recommandations peuvent s'appliquer simultanément, mais à mon avis, d'après la première lecture que j'en ai faite — et j'y ai réfléchi depuis — cela pourrait poser certains problèmes. J'aimerais connaître votre avis à ce sujet^[20].

Réponse du Comité : Le Comité s’est penché sur l’article 41 et s’est demandé s’il y avait lieu de proposer des modifications à la Loi pour élargir l’accès aux tribunaux en vertu de cette disposition. Il s’est aussi attardé au lien entre cette recommandation et la recommandation numéro 6, qui vise à conférer à la commissaire à la protection de la vie privée le pouvoir discrétionnaire de refuser d’enquêter sur les plaintes frivoles ou vexatoires. Le Comité reconnaît les points de vue divergents exprimés par tous ceux qui ont témoigné à ce sujet, et propose que le ministre examine cette question plus à fond. Un entretien entre le ministre et la commissaire à la protection de la vie privée aiderait à faire le point sur ces propositions et à voir si elles doivent être appliquées ou s’il y a lieu de les modifier.

Modification rapide numéro 3 : Inscrire dans la Loi l’obligation, pour les responsables des institutions gouvernementales assujetties à la Loi sur la protection des renseignements personnels, d’effectuer une évaluation des facteurs relatifs à la vie privée avant de mettre en œuvre un programme ou un système et d’en publier les résultats.

En mai 2002, la commissaire à la protection de la vie privée a adopté une politique pour exiger qu’une évaluation des facteurs relatifs à la vie privée soit effectuée à l’égard de toutes les propositions de programmes et de services qui ont des répercussions à cet égard. Le Conseil du Trésor a confirmé au Comité que cette politique fait partie d’une série de politiques touchant la protection de la vie privée et la sécurité qui sont actuellement regroupées et mises à jour.

Parce qu’elle estime que la mise en œuvre de la politique d’évaluation des facteurs relatifs à la vie privée dans l’ensemble des institutions fédérales s’est faite de façon « inégale », la commissaire propose d’intégrer cette exigence à la Loi. Selon elle, le fait de rendre obligatoire les évaluations des facteurs relatifs à la vie privée permettra de faire en sorte que celles-ci soient effectuées de façon régulière et en temps opportun pour l’ensemble des programmes et des services, et contribuera à la transparence au sein de l’appareil gouvernemental.

La CIPPIC, David Flaherty, Paul-André Comeau, Michael Geist et l’Association du Barreau canadien appuient cette proposition. La directrice de la CIPPIC a souligné que les évaluations des facteurs relatifs à la vie privée peuvent aider à pallier l’absence de règle de consentement applicable à la collecte et à l’utilisation de renseignements personnels dans le secteur public, grâce à l’imposition d’une norme équivalente :

Cette règle de consentement n’existe pas dans le secteur public. Au lieu de cela, nous comptons sur le gouvernement fédéral pour entreprendre une analyse des ramifications de l’aspect respect de la vie privée dans le contexte de l’intérêt public et pour en bout de ligne prendre des décisions qui servent l’intérêt public. Bien sûr, nous comptons également sur des mécanismes de transparence et de reddition de comptes pour appuyer cela. Mais les évaluations des facteurs relatifs à la vie privée sont essentielles; elles remplacent en définitive l’exigence de consentement qui existe dans le secteur privé et devraient être une obligation en vertu de la loi. Elles ne devraient pas être le simple fait d’une politique^[21].

David Flaherty est d’avis que les institutions gouvernementales devraient consulter la commissaire à la protection de la vie privée sur les questions comme les évaluations des facteurs relatifs à la vie privée plus tôt dans le processus qu’elles ne le font actuellement. Il estime qu’il faudrait adopter une stratégie de « gestion des risques en matière de protection des renseignements personnels » semblable à celle en vigueur dans le secteur public, et qu’il faudrait prévoir la nomination de dirigeants principaux de la protection des renseignements personnels, rendre obligatoires les évaluations des facteurs relatifs à la vie privée et offrir aux fonctionnaires une meilleure formation sur la protection des renseignements personnels. Il se dit aussi favorable au renforcement des règles relatives à la destruction des renseignements personnels une fois que ceux‑ci ne sont plus nécessaires. Il a ajouté que l’évaluation des risques en matière de protection des renseignements personnels ne peut se faire en vase clos :

Je veux que les responsables de la gestion des risques financiers, des risques en matière de relations de travail et même des risques en matière de ressources tiennent compte de tous ces risques quand ils abordent le sujet de la vie privée. Il y a des risques que les données soient perdues, qu’elles soient utilisées pour d’autres motifs que ceux prévus ou pour causer du tort à des personnes; elles peuvent être volées ou utilisées pour s’immiscer dans la vie privée de personnes qui consultent des bases de données; elles peuvent même être vendues à des éléments criminels^[22].

M. Flaherty a résumé la nature de l’évaluation des facteurs relatifs à la vie privée de la façon suivante :

L’évaluation sert à tracer le portrait d’une base de données. Pourquoi existe‑t‑elle? Quels en sont les usages prévus? Pourquoi faut‑il disposer de cette information de toute façon? Est‑ce fondé? Quels sont les renseignements personnels qu’on réunit? Quels sont les renseignements personnels qu’on divulgue? Obtient‑on un consentement? Quelles sont les mesures de sécurité qu’on a mises en place^[23]?

Paul-André Comeau a indiqué que le Conseil du Trésor a, dans bien des cas, des directives détaillées en ce qui concerne la procédure à suivre en matière de protection des renseignements personnels et les normes de sécurité technologiques, et qu’il serait plus simple de rendre certains de ces usages obligatoires parce que les procédures existent déjà et sont élaborées. À son avis, les ministères qui se sont conformés à ces directives depuis le début sont peut‑être en meilleure position et il cite, à cet égard, l’exemple d’une société québécoise qui, pour remettre son système informatique en accord avec la Loi sur la protection des renseignements personnels, a dû consacrer plus d’argent à la mise à niveau que le prix initial de la construction du système. Il a aussi fait remarquer que le fait de rendre obligatoires les évaluations des facteurs relatifs à la vie privée allait permettre que celles-ci soient dûment effectuées et que l’ensemble des institutions y consacrent les ressources nécessaires.

Le ministre de la Justice ne s’est pas prononcé expressément sur cette recommandation, mais il a indiqué que les politiques du Conseil du Trésor sont déjà en place pour veiller à ce que les évaluations des facteurs relatifs à la vie privée soient effectuées dans l’ensemble de l’appareil gouvernemental. Le ministre a également souligné dans son témoignage général que la mise en œuvre des recommandations de la commissaire à la protection de la vie privée pourrait coûter assez cher, et que bon nombre des mesures recommandées existent déjà sous la forme de politiques qui, à son avis, ont l’avantage d’être plus souples qu’une loi.

La proposition de « modification » de la commissaire n’a pas l’appui de la GRC, qui estime qu’elle procède déjà à des évaluations des facteurs relatifs à la vie privée en vertu de l’ensemble des politiques actuelles et qu’il est inutile, en conséquence, d’inclure cette exigence dans une loi.

Réponse du Comité : Le Comité a examiné cette recommandation et, bien que sensible aux préoccupations soulevées par la commissaire, ne croit pas qu’elle devrait figurer au nombre des réformes prioritaires pour le moment.

Modification rapide numéro 4 : Modifier la Loi sur la protection des renseignements personnels pour confier au Commissariat un mandat clair en matière de sensibilisation du public.

La commissaire a souligné que la LPRPDE, qui régit la protection des renseignements personnels dans le secteur privé, confère au Commissariat le mandat de sensibiliser le public aux questions touchant la protection des renseignements personnels dans ce secteur. Il n’existe toutefois aucun mandat comparable dans Loi sur la protection des renseignements personnels en ce qui concerne le secteur public. Voici ce qu’a dit la commissaire au Comité à ce sujet :

Lorsque cette loi a été rédigée et mise en vigueur, on n’a jamais pensé qu’un des rôles les plus importants — certains diraient le plus important — du Commissaire à la protection de la vie privée du Canada était de donner de l’information au public sur une grande échelle concernant les menaces à leur vie privée, la façon de préserver leur droit à la vie privée et, de plus en plus, la navigation dans ce monde technologique qui dépasse l’entendement de plusieurs^[24].

La commissaire propose que l’on confie au Commissariat un mandat législatif clair en ce qui concerne la recherche, la communication et la sensibilisation du public en matière de droit à la vie privée pour ce qui touche les institutions fédérales. Elle estime que la fréquence de ses communications avec le public s’en trouverait accrue et diversifiée.

La commissaire a indiqué qu’en plus de publier les rapports annuels actuellement exigés par la Loi, elle aimerait créer à l’intention du public un recueil des enquêtes importantes mettant en cause la vie privée; publier des évaluations périodiques du rendement des ministères fédéraux en matière de protection des renseignements personnels; fournir de l’information aux professionnels de l’accès à l’information et de la protection des renseignements personnels (AIRP) de la fonction publique en guise de complément à leurs programmes de formation et mieux sensibiliser le grand public à la Loi afin d’en stimuler l’observation et de favoriser l’adoption de pratiques exemplaires. La commissaire a affirmé que le Commissariat aimerait aussi élargir les paramètres de l’actuel Programme de contributions à la recherche, qui permet de financer certaines études sur des questions liées à la vie privée.

Voici les justifications fournies par la commissaire à l’appui de sa recommandation :

Justification
Même si sa fonction principale selon la Loi sur la protection des renseignements personnels consiste à enquêter sur des plaintes et à les régler, le Commissariat doit également faire progresser le droit à la protection de la vie privée par d’autres moyens – par la recherche, la communication et la sensibilisation du grand public. La Loi sur la protection des renseignements personnels ne donne pas à la commissaire le mandat de sensibiliser les citoyens au droit à la vie privée quant aux renseignements personnels les concernant que détiennent les institutions fédérales. La commissaire devrait, en vertu de la Loi sur la protection des renseignements personnels, être investie du pouvoir de sensibiliser les entreprises, le gouvernement et le grand public.

Résumés de conclusions d’enquête portant sur la gestion des renseignements personnels dans le secteur public
Actuellement, le principal instrument pour rendre compte des enquêtes est le rapport annuel, dont la publication est prévue dans la Loi sur la protection des renseignements personnels. Cependant, s’il avait un mandat plus explicite pour ce qui est de la sensibilisation du public et s’il disposait d’une plus grande marge de manœuvre pour l’établissement de rapports destinés au public, le Commissariat pourrait publier un recueil des enquêtes importantes qui relèvent de la Loi sur la protection des renseignements personnels, notamment dans les domaines de la sécurité nationale, de l’application de la loi et de la santé. Plusieurs groupes de la société civile qui s’intéressent à la promotion de la vie privée ont exhorté le Commissariat à publier plus régulièrement des rapports sur les activités de surveillance gouvernementale et sur la façon dont ces activités peuvent influer sur la protection de la vie privée.

Évaluations périodiques du rendement des ministères en matière de protection des renseignements personnels
Le Commissariat souhaite favoriser un débat public mieux informé sur le rôle du gouvernement fédéral dans des domaines qui nécessitent la communication de renseignements personnels entre des organismes et des instances ou administrations. Un mandat clair en matière de sensibilisation du public permettrait au Commissariat de publier des avis et du matériel d’information portant sur des politiques et des mesures législatives importantes qui ont une incidence sur les renseignements personnels.

Appuyer les objectifs d’apprentissage des professionnels des droits en matière d’information
Les recherches menées par le Conseil du Trésor indiquent que les besoins d’apprentissage des spécialistes de l'AIPRP (Accès à l'information et protection des renseignements personnels) sont importants, et elles attirent l’attention sur le nombre et la complexité accrus des dossiers, ainsi que sur le nombre de nouveaux organismes assujettis à la Loi sur la protection des renseignements personnels par suite de l’adoption de la Loi fédérale sur la responsabilité. Les recherches révèlent aussi — ce qui est corroboré par les vérifications et analyses du Commissariat — que l’infrastructure d’apprentissage actuelle ne répond pas aux besoins en la matière. En rendant davantage d’information disponible en temps utile, le Commissariat deviendra une précieuse source d’information sur la nécessité d’avoir une stratégie plus cohérente pour la gestion des renseignements personnels dans l’ensemble de l’appareil fédéral.

Élargir les paramètres du programme de recherche du Commissariat
Pour éclairer les politiques gouvernementales, nous avons besoin de meilleures recherches sur la gestion des renseignements personnels dans le secteur public. L’article 24 de la LPRPDE permet au Commissariat de faire des recherches liées à la protection des renseignements personnels dans le secteur privé et d’en publier les résultats, en utilisant une enveloppe budgétaire spécifique. Dans le cadre de ce mandat, le Commissariat a mis en place un vaste programme de contributions à la recherche, qui a permis d’octroyer plus de 1 000 000 $ à plus de 30 projets de recherche privés au Canada, ce qui s’est traduit par des études approfondies sur des enjeux clés liés à la vie privée. Les rapports de recherche peuvent être consultés sur le site Web du Commissariat. La Loi sur la protection des renseignements personnels devrait prévoir un mandat semblable pour effectuer des recherches portant sur le secteur public.

Servir les intérêts des citoyens et des résidents du Canada
Si le Commissariat avait un mandat plus explicite en matière de sensibilisation du public, cela permettrait d’avoir un débat public plus approfondi et mieux informé sur la gestion des renseignements personnels au sein de l’administration fédérale dans des domaines cruciaux pour le droit à la vie privée. Cela garantirait également une approche plus cohérente pour ce qui est de la conformité en matière de protection des renseignements personnels puisqu’on répondrait aux besoins d’apprentissage des spécialistes des droits à l’information^[25].

David Flaherty, Paul-André Comeau, Michael Geist et l’Association du Barreau canadien appuient cette proposition. Michael Geist estime qu’il est particulièrement important de confier un vaste mandat au Commissariat à une époque où l’information circule sans interruption :

De plus, l’idée de prévoir simplement un rapport annuel reflète clairement une époque révolue. L’information nous est diffusée 24 heures sur 24 et toute limitation de la capacité de diffuser l’information, surtout celle qui pourrait toucher la vie privée de millions de Canadiens, tant qu’un rapport annuel n’est pas déposé, doit être révisée afin qu’il soit possible de divulguer l’information en temps opportun^[26].

Le SCRS a également fait savoir qu’il n’avait aucune objection à ce que l’on donne suite à cette proposition de modification à apporter à la Loi.

Le ministre de la Justice estime pour sa part que la Loi confère déjà ces pouvoirs au Commissariat. Voici ce qu’il a dit à ce propos lors de son témoignage :

Quant aux dix recommandations qui m'ont été présentées, je crois que certaines d'entre elles pourraient déjà être mises en œuvre dans le cadre de la loi actuelle. Ainsi, l'une de ces recommandations veut que le bureau de la Commissaire à la protection de la vie privée joue un rôle accru en matière d'éducation du public. À mon avis, c'est une recommandation qui pourrait déjà être mise en œuvre^[27].

[…]

Dans le cas d'une recommandation, par exemple — j'oublie laquelle, mais elle parlait de l'information de la population... J'ai l'impression que cette mesure ne nécessite pas de modification à la loi. C'est ce que je voulais dire^[28].

Réponse du Comité : Le Comité souscrit à cette recommandation et est d’avis que le ministre devrait envisager de modifier la Loi en conséquence.

Modification rapide numéro 5 : Donner au Commissariat une plus grande latitude pour communiquer de l’information d’intérêt public sur les pratiques de gestion des renseignements personnels des institutions gouvernementales.

Cette « modification rapide » vise un aspect particulier des changements proposés par la commissaire pour lui permettre de publier plus d’information publiquement, à l’extérieur du cadre des rapports annuels du Commissariat. Dans son mémoire au Comité, la commissaire a décrit en ces termes le rôle que joue le Commissariat :

La population s’attend à ce que le Commissariat fasse enquête sur les questions d’intérêt public et en rende compte. C’est particulièrement le cas lorsque la question relative à la protection de la vie privée est déjà du domaine public. Le Commissariat a été empêché de parler à la presse, au public et même aux députés en raison des contraintes en matière de confidentialité imposées par la Loi sur la protection des renseignements personnels. En outre, le fait d’avoir la latitude de communiquer de l’information dans l’intérêt public permettrait de communiquer plus rapidement des renseignements pertinents, plutôt que de devoir attendre la fin de l’année sur laquelle porte le rapport, lorsque l’information risque d’être devenue sans portée pratique, dépassée et, dans une large mesure, dépourvue de pertinence^[29].

La commissaire souligne qu’à son avis, ce pouvoir aidera à informer le public sur les questions de vie privée et à assurer sa confiance dans le Commissariat. Elle a ajouté que ce pouvoir sera très utile pour favoriser l’observance :

C’est ainsi que, si je découvre un problème très grave de protection des renseignements personnels dans un ministère ou dans une institution qui offre un service touchant la plupart des Canadiens, il me paraîtrait opportun, dans certains cas, d’en informer immédiatement les Canadiens au lieu d’attendre 18 mois. Cela pourrait également inciter les ministères à veiller plus efficacement à la protection des renseignements personnels^[30].

La CIPPIC, David Flaherty, Paul-André Comeau, Michael Geist et l’Association du Barreau canadien appuient cette proposition. Le SCRS a également signalé qu’il ne s’oppose pas à ce projet de modification.

Réponse du Comité : Le Comité serait a priori favorable à la proposition visant à accorder une plus grande latitude à la commissaire pour communiquer de l’information au Parlement, laquelle pourrait ensuite faire l’objet d’un débat public. Le Comité a cependant des réserves, s’il faut pour cela modifier la Loi pour permettre la communication des renseignements autres que ceux prévus en vertu du modèle applicable aux hauts fonctionnaires du Parlement, qui eux sont tenus de déposer leurs rapports au Parlement d’abord. Le Comité s’interroge aussi sur le sens à donner à l’expression « d’intérêt public » et sur la façon dont elle sera interprétée.

Modification rapide numéro 6 : Conférer à la commissaire à la protection de la vie privée le pouvoir discrétionnaire de refuser ou d’abandonner une plainte dans les cas où une enquête ne serait guère utile et ne servirait aucunement l’intérêt public.

La commissaire a déclaré qu’en vertu de l’article 29 de la Loi, elle est tenue de recevoir toutes les plaintes et faire enquête sur chacune; elle ne peut ni établir de distinction ou de priorité en fonction du sérieux de la plainte, ni séparer les plaintes sérieuses de celles qui sont répétitives ou ont été déposées pour des raisons frivoles.

Dans son témoignage, la commissaire a signalé que ce principe du premier arrivé, premier servi, a donné lieu, au Commissariat, à un arriéré persistant de plaintes, impossible à écouler par l’ajout seul de ressources. Cet arriéré a également empêché le Commissariat de se pencher sur ce qu’elle décrit comme étant « les menaces à la vie privée plus systémiques et envahissantes » qui sont en train de prendre de l’ampleur.

La commissaire décrit cinq exemples de plaintes à l’égard desquelles elle voudrait avoir la latitude de refuser de faire enquête :

Plaintes répétitives concernant des litiges qui, manifestement, ont déjà été tranchés dans des affaires antérieures (p. ex., concernant la collecte et l’utilisation légitimes des numéros d’assurance sociale).
Plaintes devenues sans objet, dans le cas où une personne a, dans l’intervalle, reçu l’information demandée (p. ex. lorsque l’accès a déjà été accordé, quoiqu’avec un certain retard, rigoureusement parlant, mais sans que cela ne désavantage la personne).
Plaintes fréquentes déposées par une même personne qui a de toute évidence des motifs personnels de critiquer une institution gouvernementale (p. ex. lorsque des litiges touchant le travail ou l’emploi constituent le réel motif du conflit entre les parties et que le conflit en question pourrait être réglé plus efficacement grâce à d’autres procédures plus appropriées).
Plaintes multiples déposées par un grand nombre de plaignants concernant un même incident (p. ex. atteinte à la sécurité de données contenant des renseignements personnels portant sur un grand nombre de personnes, lorsque l’incident est déjà bien documenté et qu’une nouvelle enquête ne permettrait que de confirmer des faits déjà connus).
Problèmes qui ont déjà été recensés et réglés par une institution gouvernementale (p. ex., des mesures correctives efficaces ont déjà été prises).

La commissaire souligne que ce pouvoir est accordé aux commissaires de provinces comme l’Alberta et la Colombie-Britannique et qu’il permettrait ainsi, à son avis, au Commissariat de mieux utiliser ses ressources.

La proposition bénéficie de l’appui de David Flaherty, ancien commissaire provincial, et de l’Association du Barreau canadien. La CIPPIC rejette la proposition, disant craindre pour les droits d’accès équitable pour tous. Paul-André Comeau, qui est aussi un ancien dirigeant de commission provinciale, propose plutôt d’accorder à la commissaire des pouvoirs spéciaux lui permettant d’accélérer le traitement de certains types de plaintes.

Le ministre de la Justice juge que cette « modification rapide » risque d’être en conflit avec le projet d’élargir les pouvoirs de la Cour fédérale relativement à la Loi sur la protection des renseignements personnels (voir la recommandation 2 ci-dessus).

Réponse du Comité : Le Comité a examiné cette recommandation et remarqué que, dans son témoignage, le ministre avait établi un lien entre cette recommandation et la deuxième portant sur l’élargissement des pouvoirs des tribunaux en ce qui concerne la Loi sur la protection des renseignements personnels. Le Comité reconnaît les points de vue divergents exprimés par tous ceux qui ont témoigné à ce sujet, et propose que le ministre examine cette question plus à fond. Un entretien entre le ministre et la commissaire à la protection de la vie privée aiderait à faire le point sur ces propositions et à voir si elles doivent être appliquées ou s’il y a lieu de les modifier.

Modification rapide numéro 7 : Modifier la Loi sur la protection des renseignements personnels pour la faire concorder avec la Loi sur la protection des renseignements personnels et les documents électroniques(LPRPDE) en éliminant la restriction selon laquelle la Loi sur la protection des renseignements personnels ne s’applique qu’aux renseignements consignés.

La commissaire a expliqué au Comité que l’article 3 de la Loi sur la protection des renseignements personnels dispose que cette dernière s’applique uniquement aux renseignements recueillis par le gouvernement fédéral et « consignés ». Elle a souligné que l’évolution de la technologie a donné naissance à de nombreux nouveaux moyens de recueillir de l’information sous des formes qui ne répondent pas à ce critère, par exemple le signal en direct de caméras de surveillance et les renseignements provenant d’échantillons d’ADN prélevés sur des individus. La commissaire propose de modifier la Loi afin d’éliminer la limitation.

David Flaherty, Paul-André Comeau, Michael Geist et l’Association du Barreau canadien appuient cette « modification rapide ». M. Geist souligne l’incidence des nouvelles technologies qui créent une situation où toutes les institutions recueillent un plus grand volume et un plus grand éventail de données qu’auparavant et ajoute qu’il importe d’assurer que la loi est à jour, dans ce contexte où il est impossible de prévoir tous les modes de collecte et toutes les utilisations d’information à venir.

L’Association du Barreau canadien a souligné lors de son témoignage général que la Loi a été adoptée avant l’essor de la technologie touchant le couplage de données, les données biométriques, l’information génétique, le décodage du génome humain, les appareils électroniques portables, la surveillance, la vidéosurveillance et les GPS.

La GRC n’appuie pas cette modification rapide. Son représentant a déclaré qu’elle était « inutile » et « contraire à l’esprit de la loi actuelle^[31] ». Il a ajouté que la GRC avait des préoccupations en ce qui concerne la surveillance vidéo légitime des criminels et la surveillance physique de sujets et a signalé que le cadre législatif actuel touchant l’ADN tenait compte des questions de protection des renseignements personnels.

Réponse du Comité : Le Comité souscrit à cette recommandation et est d’avis que le ministre devrait envisager de modifier la Loi en conséquence.

Modification rapide numéro 8 : Renforcer les exigences touchant les rapports annuels des ministères et organismes gouvernementaux énoncées à l’article 72 de la Loi sur la protection des renseignements personnels, en obligeant ces institutions à rendre compte au Parlement d’un plus large éventail de pratiques en matière de protection des renseignements personnels.

En vertu de l’article 72 de la Loi sur la protection des renseignements personnels, chacun des responsables d’une institution fédérale doit présenter au Parlement un rapport annuel sur l’application de la Loi, à condition que cette dernière vise son institution. Le Conseil du Trésor a publié en 2005 des lignes directrices à l’intention des institutions fédérales au sujet des rapports concernant la protection des renseignements personnels; ces lignes directrices exigeaient en outre que les administrateurs généraux soumettent des rapports sur des questions liées à la promotion et à la protection de la vie privée dans leurs institutions. Ces lignes directrices ont été mises à jour en 2008.

Dans son témoignage, la commissaire a signalé que les renseignements fournis actuellement en vertu de l’article 72 sont quelque peu limités et ont tendance à être un regroupement de statistiques sur le nombre de demandes reçues en vertu de la Loi sur la protection des renseignements personnels, les dispositions prises relativement aux demandes complétées, les exemptions invoquées ou les exclusions citées et les délais de traitement.

La commissaire propose que l’article 72 de la Loi soit modifié afin d’y intégrer les lignes directrices à jour du Conseil du Trésor et pour rendre exécutoire leur application par toutes les institutions fédérales. Les lignes directrices suivantes seraient donc intégrées à la loi :

une description de chaque évaluation en fonction de la vie privée (ÉFVP) complétée au cours de la période de déclaration;
une indication du nombre de nouvelles activités de couplage et d’échange de données qui ont été entreprises;
une description des activités d’apprentissage et de formation liées à la protection des renseignements personnels qui ont été entreprises;
un sommaire des changements importants de la structure organisationnelle, des programmes, des opérations, ou des politiques qui peuvent avoir une incidence sur la protection des renseignements personnels;
un aperçu des politiques et des procédures nouvelles ou révisées relatives à la protection des renseignements personnels qui ont été mises en œuvre;
une description des principaux changements mis en œuvre en raison de préoccupations ou de problèmes soulevés par le Commissariat ou le vérificateur général;
de l’information sur les plaintes concernant la protection des renseignements personnels qui ont été réglées ou sur les enquêtes qui ont été conclues et un résumé des enjeux clés connexes;
une indication du nombre de demandes ou d’appels présentés à la Cour fédérale ou à la Cour d’appel fédérale concernant des questions relevant de la Loi sur la protection des renseignements personnels.

La CIPPIC, David Flaherty, Paul-André Comeau et l’Association du Barreau canadien appuient la « modification ».

Réponse du Comité : Le Comité souscrit à cette recommandation et est d’avis que le ministre devrait envisager de modifier la Loi en conséquence.

Modification rapide numéro 9 : Incorporer une disposition exigeant des examens réguliers de la Loi sur la protection des renseignements personnels par le Parlement tous les cinq ans.

L’article 75 de la Loi prévoit que cette dernière doit faire l’objet d’un « examen permanent » par le Parlement, mais ne précise pas à quels intervalles cet examen doit être effectué. En guise de comparaison, la commissaire a attiré l’attention sur la LPRPDE qui exige que le Parlement fasse un examen du texte législatif tous les cinq ans. Le seul examen complet effectué jusqu’à maintenant en vertu de la Loi sur la protection des renseignements personnels est le rapport du Comité permanent de la justice et du solliciteur général de la Chambre des communes, publié en 1987 et intitulé Une question à deux volets. Ce rapport contenait plus de 100 recommandations pour améliorer les mesures législatives sur la protection des renseignements personnels et l’accès à l’information, mais elles n’ont jamais été mises en œuvre.

La commissaire recommande que la Loi sur la protection des renseignements personnels soit modifiée et prévoie la même exigence d’examen tous les cinq ans que la LPRPDE, afin que les législateurs l’étudient et la mettent à jour à intervalles réguliers.

David Flaherty, Paul-André Comeau et l’Association du Barreau canadien appuient la « modification ». L’Association du Barreau canadien, en particulier, indique qu’il s’agit d’un outil important pour assurer que la Loi reste à jour :

Sans aller jusqu’à préconiser un examen quinquennal exhaustif, nous proposons de faire au moins le point pour que cette importante mesure législative, que la Cour suprême du Canada considère quasi constitutionnelle, corresponde toujours aux besoins de la société d’aujourd’hui. Or, nous estimons que ce n’est pas le cas. Le monde a bien changé. Les pratiques de gestion de l’information du gouvernement ont beaucoup évolué depuis 1982, et on peut difficilement prédire ce qui nous attend au cours des 5, 10 et même 15 prochaines années^[32].

Réponse du Comité : Le Comité souscrit à cette recommandation et est d’avis que le ministre devrait envisager de modifier la Loi en conséquence.

Modification rapide numéro 10 : Renforcer les dispositions concernant la communication de renseignements personnels par le gouvernement canadien aux États étrangers.

La Loi autorise le gouvernement canadien à communiquer des renseignements personnels au sujet de ses citoyens à des gouvernements étrangers en vertu d’une entente, quelle qu’elle soit, écrite ou autre, pourvu que les renseignements personnels soient utilisés à des fins d’administration d’une loi ou d’exécution d’une enquête. La commissaire propose de modifier l’alinéa 8(2)f) de la Loi par l’ajout de la phrase « ayant un lien raisonnable et direct avec la fin pour laquelle les renseignements ont été initialement obtenus ».

Elle propose également de modifier la Loi ou de prendre un nouveau règlement afin d’indiquer précisément comment ces renseignements doivent être traités et elle suggère que les changements soient inspirés des lignes directrices actuelles du Conseil du Trésor régissant le contenu des ententes de communication de renseignements personnels aux gouvernements étrangers. Finalement, elle propose que le gouvernement envisage d’ajouter des dispositions à la Loi afin de définir les responsabilités de ceux qui transmettent des renseignements personnels à d’autres administrations et d’aborder la question de l’efficacité de la protection des renseignements personnels dans ces administrations.

La dixième « modification » est celle qui a suscité le plus de discussions parmi les témoins qui ont comparu devant le Comité.

La CIPPIC accepte la proposition de la commissaire mais propose d’ajouter une exigence, soit que les Canadiens soient avisés par leur gouvernement lorsque les renseignements personnels les concernant sont transmis à des États étrangers. L’organisme recommande en particulier que le Canada adopte les normes utilisées en Europe et au Québec, lesquelles exigent que les renseignements personnels soient communiqués uniquement aux pays dotés d’une protection équivalente, ou que des ententes soient prises par contrat afin d’obliger les gouvernements étrangers à respecter les critères de protection du Canada. La représentante du CIPPIC a aussi exprimé des préoccupations concernant le traitement des renseignements personnels communiqués au Federal Bureau of Investigation (FBI) aux États-Unis, et a recommandé de modifier la disposition de la Loi qui autorise le gouvernement à fournir des renseignements personnels exigés par subpoena ou mandat d’un tribunal, afin de préciser que la disposition s’applique aux subpoenas ou mandats émis par les seuls tribunaux canadiens.

Les témoins David Flaherty, Paul-André Comeau, Michael Geist et l’Association du Barreau canadien ont aussi appuyé la proposition de la commissaire. M. Geist a signalé que son expertise vise surtout les échanges d’information entre pays dans le secteur privé par sous-traitante et au moyen d’ententes semblables, mais il estime qu’aucune loi ne permettra d’éliminer entièrement les risques inhérents aux échanges d’information entre pays. Il affirme que la loi est selon lui un outil essentiel pour gérer ces risques, mais il constate qu’il est difficile d’imposer des normes canadiennes à des administrations étrangères, même au moyen de contrats les obligeant à respecter ces critères, puisque de nombreuses administrations ne peuvent pas donner l’assurance de les respecter. Il souligne qu’en Europe, il est interdit d’échanger des données avec d’autres pays sauf ceux ayant des critères équivalents, mais qu’il est difficile de mettre en œuvre le principe et de le faire respecter.

L’Association du Barreau canadien a expliqué pourquoi elle estime qu’une surveillance législative accrue des échanges de renseignements transfrontières s’impose :

Cette surveillance est nécessaire pour les raisons suivantes: un individu peut ne pas avoir l’occasion de savoir quand un organisme chargé de l’application de la loi a recueilli des renseignements sur lui; si des données ont été recueillies, un individu n’aura pas l’occasion de découvrir en quoi consiste ces données et si elles sont exactes; un individu n’aura pas l’occasion de savoir si les données ont été partagées avec un État étranger ou une institution étrangère et, dans ce cas, avec quel État étranger ou quelle institution étrangère elles ont été partagées; un individu n’aura pas l’occasion de découvrir à quelle fin les données seront utilisées par un État étranger ou une institution étrangère; un individu n’aura pas l’occasion de découvrir si l’État étranger ou l’institution étrangère aura partagé les données avec d’autres institutions ou États étrangers; un individu n’aura aucun moyen de savoir si l’État étranger ou l’institution étrangère qui a reçu les données se conformera aux modalités de toute entente en vertu de laquelle les données ont été transférées par le gouvernement du Canada; les données peuvent être utilisées par un État étranger ou une institution étrangère d’une manière ou à une fin qui met grandement en péril l’individu et ses amis ou les membres de sa famille^[33].

Le SCRS n’accepte pas ce projet de « modification ». Il ne lui est pas possible de conclure une entente écrite avec tous les pays parce que bon nombre s’y refuse. Le représentant du SCRC a ajouté en outre que les ententes d’échange d’information conclues avec des pays étrangers, qu’elles soient écrites ou non, font toutes l’objet d’une vérification et d’une autorisation du ministre de la Sécurité publique et du ministre des Affaires étrangères en application de l’article 17 de la Loi sur le service canadien du renseignement de sécurité, de sorte qu’il existe pour chacune une description écrite. D’après le représentant du SCRS qui a comparu devant le Comité, le Comité de surveillances des activités de renseignement de sécurité (CSARS) est aussi chargé de revoir chaque année toutes ces ententes en application du sous-alinéa 38a)(iii) de la Loi sur le service canadien du renseignement de sécurité, même si les détails ne sont pas publics. Selon le rapport annuel de 2007, le SCRS avait 271 ententes étrangères avec des agences de 147 pays, et le CSARS a conclu que le SCRS s’était dûment informé de la situation des droits de la personne dans tous les pays en question et a fait preuve de prudence dans ses échanges d’information avec ces pays. Le représentant du SCRS a aussi affirmé que sur le terrain, avant d’échanger de l’information, on examine les antécédents et la fiabilité de l’agence étrangère dans ses rapports avec le Canada, et dans chaque cas, il faut obtenir l’autorisation d’un directeur général. Généralement, on pose des questions pour connaître les raisons pour lesquelles l’information est demandée, sauf en de très rares occasions.

La GRC n’appuie pas non plus la « modification ». Le représentant de la GRC constate qu’Interpol a demandé des informations au Canada environ 4 000 fois l’année précédente et que les agents de liaison de la GRC ont échangé des renseignements avec des organismes étrangers à quelque 3 000 reprises au cours de l’année, de sorte que l’exemption actuelle vise un volume important de renseignements. La GRC a indiqué que lorsqu’elle échange des renseignements avec des gouvernements étrangers, elle applique les recommandations du juge O’Connor, auteur du Rapport Arar^[34], en veillant à assurer « l’exactitude, la fiabilité et l’origine de l’information ». Dans son témoignage, la GRC a indiqué qu’elle procède à une analyse qualitative des demandes de renseignements en ce qui concerne leur nature, l’usage envisagé et les antécédents du pays qui présente la demande. Selon elle, le mieux est de suivre cette « approche axée sur des principes fondamentaux » pour traiter de tels échanges de renseignements, puisqu’il est impossible de prévoir toutes les circonstances dans lesquelles des renseignements peuvent être échangés, et de légiférer en conséquence. La GRC a indiqué que, en général, toutes ses ententes d’échange de renseignements avec d’autres pays sont établies par écrit et certaines sont très flexibles, comme le protocole d’entente avec les États-Unis régissant les enquêtes conjointes.

L’Agence des services frontaliers du Canada (ASFC) n’a pas témoigné directement au sujet de cette proposition, mais a abordé des questions connexes comme la liste des personnes interdites de vol qui vise les antécédents en matière de sécurité des passagers sur les vols. L’Agence a souligné que les États-Unis ont une liste différente de celle du Canada et font parfois leur propre interprétation des renseignements sur les casiers judiciaires contenus dans le système du Centre d’information de la police canadienne (CIPC). L’Agence a ajouté qu’il y a une entente entre les deux pays concernant le traitement de telles questions lorsque sont mis en cause les ressortissants de pays étrangers qui ne sont pas des citoyens américains ou canadiens.

L’ASFC a été interrogée sur sa collecte de renseignements personnels auprès des personnes qui traversent la frontière pour savoir si l’échange était convenablement documenté ou s’il s’agissait principalement d’échanges verbaux. Les membres du Comité ont souligné que la commissaire à la protection de la vie privée a constaté que la politique de l’ASFC sur la documentation écrite n’est pas respectée, et les témoins ont répondu que les mesures sont en voie d’être prises à cet égard.

Réponse du Comité : Le Comité est généralement favorable à la recommandation de la commissaire, mais les points de vue exprimés divergent quant à la question de savoir s’il faudrait assortir cette modification d’une exemption aux fins de l’application de la loi. Le Comité propose que le ministre se penche sur une modification et sur la forme qu’elle pourrait prendre.

Modification rapide numéro 11 : Incorporer une disposition exigeant des mesures de sécurité adéquates visant la protection des renseignements personnels.

La commissaire à la protection de la vie privée a recommandé cette « modification rapide » supplémentaire lors de sa comparution de clôture devant le Comité le 11 mai 2009. Elle a fait valoir au Comité qu’il faudrait faire adopter sous forme de loi une directive existante du Conseil du Trésor sur la sécurité :

Il existe une directive du Conseil du trésor sur la sécurité et la protection des renseignements personnels, mais selon notre expérience et l'expérience de mes prédécesseurs, une directive du Conseil du Trésor ne semble pas recevoir l'attention requise du ministère et certainement beaucoup moins que si c'était dans une loi. Je ne veux pas dire qu'il n'y a aucune sécurité. Le gouvernement élabore actuellement une politique sur la sécurité cybernétique, ce qui est très important. Je suis très contente qu'il aille de l'avant avec cela, mais c'est pour les gens qui administrent la loi, jour après jour. Je pense que le Parlement envoie un message beaucoup plus fort s'il met dans une loi le minimum, la base de ce qui devrait être fait^{^[35]}.

La « modification rapide » ressemble à une recommandation formulée par l’Association du Barreau canadien (ABC) lors de son témoignage devant le Comité, visant l’ajout à la Loi du « devoir de protéger », c’est‑à‑dire de garder en lieu sûr les renseignements personnels auxquels la Loi s’applique. Les représentants de l’ABC ont expliqué les raisons motivant leur proposition :

À l’heure actuelle, il n’y a aucune disposition législative qui oblige le gouvernement à protéger ces renseignements, et rien ne l’oblige à aviser les personnes touchées en cas de perte ou de divulgation de leurs renseignements. Ce n’est pas seulement que les gens veulent savoir ce qui se passe avec leurs renseignements, même si c’est sans doute leur droit et que ce doit être leur droit, mais il faut permettre aux gens de prendre des mesures pour atténuer les préjudices auxquels ils s’exposent si leurs renseignements personnels sont utilisés à mauvais escient^[36].

L’Association du Barreau canadien a aussi proposé que la Loi exige un suivi quant à la quantité et à la nature des échanges de données entre ministères fédéraux, mais la commissaire n’a pas intégré cet élément dans la modification qu’elle a proposée.

Réponse du Comité : Le Comité souscrit à la recommandation de la commissaire et est d’avis que le ministre devrait envisager de modifier la Loi en conséquence.

Modification rapide numéro 12 : Consacrer par la loi les directives du Conseil du Trésor au sujet des avis en cas d’atteinte à la protection des données.

La commissaire à la protection de la vie privée a recommandé cette « modification rapide » supplémentaire lors de sa comparution de clôture devant le Comité le 11 mai 2009. Elle a fait valoir au Comité qu’il faudrait faire adopter sous forme de loi les lignes directrices existantes du Conseil du Trésor sur les avis en cas d’atteinte à la protection des données commise par un ministère^{^[37]} :

De toute évidence, le gouvernement du Canada a instauré une politique en matière de sécurité, et le Conseil du Trésor a imposé des lignes directrices sur la publication d'avis en cas d'atteinte à la protection des données. Ici encore, nous n'entendons pas souvent parler de problèmes concernant la perte ou l'utilisation abusive de données au sein du secteur public, mais nous savons qu'il y a certains problèmes. Nous l'apprenons souvent par l'entremise des médias, parfois du gouvernement lui-même. Mais ici encore, c'est une question d'effet, comme je vous l'expliquais au sujet des recours intentés devant la Cour fédérale. Si la loi prévoit des dispositions selon lesquelles il faut aviser le ministre responsable de la protection de la vie privée en cas d'atteinte à la protection des données, j'espère que ces affaires seront prises plus sérieusement et qu'il sera moins question de vols d'ordinateurs portables contenant des renseignements personnels sur les citoyens, qui sont trouvés sous les ponts, dont nous avons fait état il y a quelques années^{^[38]}.

Cette « modification rapide » ressemble à une recommandation de l’Association du Barreau canadien (ABC) voulant que le devoir de notification en cas d’atteinte à la vie privée soit ajouté aux lois visant les secteurs tant public que privé :

L’Association du Barreau canadien recommande que des dispositions concernant les notifications en cas d’atteinte à la vie privée soient incluses dans les deux mesures législatives, soit la LPRPDE, la loi s’appliquant au secteur privé, et la Loi sur la protection des renseignements personnels, la loi s’appliquant au secteur public. Nous n’avons pas adopté de position précise sur la nature des renseignements divulgués pour que la personne soit avisée, car c’est une question de jugement. Nous ne voulons pas que les gens soient bombardés d’avis pour des atteintes à la vie privée sans gravité, mais nous voulons nous assurer que les personnes dont la divulgation des renseignements personnels pourrait avoir de graves conséquences soient avisées. Nous recommandons donc qu’il y ait une disposition de notification équilibrée dans les deux mesures législatives^[39].

Réponse du Comité : Le Comité ne prend pas position pour l’instant à l’égard de cette recommandation et convient qu’elle doit être étudiée plus à fond.

Autres domaines de réforme possibles

Formation et ressources

La commissaire, lors de son témoignage, a formulé des commentaires généraux sur la nécessité d’accroître et d’améliorer la formation donnée dans l’ensemble de la fonction publique fédérale au sujet de sur la protection des renseignements personnels. Elle a aussi souligné les problèmes constants de ressources qui nuisent tant aux institutions fédérales qu’à son propre bureau dans le traitement de l’énorme charge de travail créée par la législation actuelle et a insisté sur l’importance d’assurer les niveaux de dotation nécessaires pour réaliser l’intégralité des objectifs de la Loi.

D’autres témoins ont parlé du besoin d’améliorer la formation et la dotation dans l’ensemble de la fonction publique fédérale, notamment M. David Flaherty :

Pour ce qui est de la formation sur la protection des renseignements personnels, il y a plus de 200 000 fonctionnaires, et nombre d’entre eux n’ont pas suivi ce genre de formation depuis longtemps. Ils ne comprennent pas les dix principes de la protection des renseignements personnels ni ne seraient capables de déceler un problème qui devrait pourtant leur sauter aux yeux. Évidemment, il y a aussi des fonctionnaires qui possèdent ces connaissances, mais ce sont des connaissances temporaires. Ce qui se passe, aujourd’hui, c’est qu’on leur demande de répondre à un questionnaire qui prend 20 minutes à faire, puis de passer une épreuve de 30 minutes, une fois l’an, ce qui leur permet d’obtenir la confirmation dans leur dossier de RH qu’ils ont suivi une formation sur la protection des renseignements personnels. Comme je vous l’ai dit déjà, on sera en mesure de reconnaître que l’un des principes de base de la protection des renseignements personnels est en jeu^[40].

Pouvoirs de rendre des ordonnances

Plusieurs témoins ont proposé que la commissaire à la protection de la vie privée soit investie de pouvoirs de rendre des ordonnances, comme le sont ses homologues dans certaines provinces^[41].

Le Comité s’est déjà penché sur l’utilité de conférer à la commissaire à la protection de la vie privée des pouvoirs de rendre des ordonnances lorsqu’il a réalisé son examen, prévu par la loi, de la LPRPDE, la loi régissant le secteur privé^[42], mais il n’avait pas approuvé la recommandation à l’époque, citant la nécessité de laisser la commissaire s’adapter aux nouveaux pouvoirs prévus par la LPRPDE, avant d’apporter d’autres changements au modèle de l’ombudsman dont est inspiré le Commissariat. La question a aussi été examinée par le juge La Forest dans une étude commandée par le ministère de la Justice en 2005^[43], et il a aussi rejeté l’idée. Le modèle de l’ombudsman adopté par la commissaire à la protection de la vie privée est semblable à celui qui est appliqué pour les sept autres hauts fonctionnaires du Parlement; par conséquent, toute modification aurait de vastes répercussions.

Cependant, de nombreux observateurs et défenseurs de la vie privée continuent de soulever la possibilité de ces pouvoirs et, récemment, le commissaire à l’information a comparu devant le Comité dans le cadre d’une étude distincte sur la loi sur l’accès à l’information et il a proposé d’être investi de pouvoirs circonscrits de prendre des ordonnances, mais seulement relativement aux plaintes administratives^[44].

La commissaire à la protection de la vie privée, pour sa part, n’a pas proposé ce changement et a indiqué dans le passé qu’elle ne souhaitait pas être investie de ces pouvoirs. Cependant, lorsque le Comité a étudié la Loi sur la protection des renseignements personnels, la CIPPIC, David Flaherty, Paul-André Comeau et M. Geist ont appuyé l’idée. L’Association du Barreau canadien, pour sa part, n’a pas étudié cette proposition en particulier, mais a proposé une solution de rechange, soit accroître les pouvoirs de la Cour fédérale pour que celle‑ci puisse accorder des redressements relativement à toutes les questions visées par la Loi, au lieu d’être limitée seulement aux questions de refus d’accès.

Tous les témoins qui ont appuyé la proposition ont insisté sur la nécessité que la commissaire soit investie de pouvoirs musclés afin de lui permettre de prendre des décisions et des ordonnances à l’égard de contestations fondées sur des questions de protection de la vie privée qui peuvent survenir au fil de ses enquêtes.

Nouvelles exemptions

Lors de son témoignage devant le Comité, le représentant de la GRC a indiqué qu’il faudrait peut-être prévoir une exemption encore plus vaste au titre de la sécurité nationale dans le cadre d’enquêtes d’exécution de la loi. Il a aussi ajouté qu’un besoin croissant pourrait se faire sentir que les fournisseurs de services Internet produisent les noms et les adresses des utilisateurs.

Réponse du Comité : Le Comité recommande que ces propositions de réforme supplémentaires soient prises en considération lors d’une prochaine étude, quand un examen exhaustif et approfondi de réformes supplémentaires de la Loi sur la protection des renseignements personnels sera amorcé.

NOTE DE SYNTHÈSE:

Se trouvent énumérées ci-dessous, les modifications recommandées à la Loi sur la protection des renseignements personnels par la Commissaire à la protection de la vie privée du Canada, suivies des réponses du Comité permanent de la Chambre de Communes de l’accès à l’information, de la protection des renseignements personnels et de l’éthique à chacune d’entre elles.

Modification rapide numéro 1 : Instaurer par voie législative un « test de nécessité » pour les institutions gouvernementales qui recueillent des renseignements personnels, afin de les obliger à démontrer la nécessité de recueillir ces renseignements.

Modification rapide numéro 2 : Étendre les motifs de recours aux tribunaux en vertu de l’article 41 de la Loi sur la protection des renseignements personnels à toute la gamme des protections et droits relatifs à la vie privée que cette Loi garantit et autoriser la Cour fédérale à allouer des dommages-intérêts à la charge des institutions contrevenantes.

Modification rapide numéro 4 : Modifier la Loi sur la protection des renseignements personnels pour confier au Commissariat un mandat clair en matière de sensibilisation du public.

Réponse du Comité : Le Comité souscrit à cette recommandation et est d’avis que le ministre devrait envisager de modifier la Loi en conséquence.

Modification rapide numéro 8 : Renforcer les exigences touchant les rapports annuels des ministères et organismes gouvernementaux énoncées à l’article 72 de la Loi sur la protection des renseignements personnels, en obligeant ces institutions à rendre compte au Parlement d’un plus large éventail de pratiques en matière de protection des renseignements personnels.