Rapport annuel
au Parlement
2003-2004

	Voir erratum # 1 Voir erratum # 2

Commissaire à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3

(613) 995-8210, 1-800-282-1376
Téléc. (613) 947-6850
ATS (613) 992-9190

© Ministre des Travaux publics et Services gouvernementaux Canada 2004

N^o de cat. IP50-2004
ISBN 0662-68421-4

Cette publication est également disponible sur notre site Web à www.privcom.gc.ca

Novembre 2004

L'honorable Daniel Hays, Sénateur
Président
Sénat du Canada
Ottawa

Monsieur,

J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1^er avril 2003 au 31 mars 2004 conformément à la Loi sur la protection des renseignements personnels et celle du 2 janvier au 31 décembre 2003 conformément à la Loi sur la protection des renseignements personnels et les documents électroniques.

Veuillez agréer, Monsieur, l'assurance de ma considération distinguée.

La commissaire à la protection de la vie privée du Canada

Jennifer Stoddart

Novembre 2004

L'honorable Peter Milliken, Député
Président
Chambre des communes
Ottawa

Monsieur,

J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1^er avril 2003 au 31 mars 2004 conformément à la Loi sur la protection des renseignements personnels et celle du 2 janvier au 31 décembre 2003 conformément à la Loi sur la protection des renseignements personnels et les documents électroniques.

Veuillez agréer, Monsieur, l'assurance de ma considération distinguée.

La commissaire à la protection de la vie privée du Canada

Jennifer Stoddart

Table des matières

Préface

Aperçu

Point de vue de la politique

Lois provinciales essentiellement similaires

Première partie - Rapport concernant la Loi sur la protection des renseignements personnels

Introduction

Enquêtes et demandes de renseignements

• Plaintes en vertu de la Loi sur la protection des renseignements personnels
• Définition de conclusions aux termes de la Loi sur la protection des renseignements personnels
• Cas choisis en vertu de la Loi sur la protection des renseignements personnels
• Incidents visés par la Loi sur la protection des renseignements personnels
• Communications dans l'intérêt public aux termes de la Loi sur la protection des renseignements personnels

Examens et pratiques en matière de vie privée

• Évaluations des facteurs relatifs à la vie privée

Devant les tribunaux

Deuxième partie - Rapport concernant la Loi sur la protection des renseignements personnels et les documents électroniques

Introduction

Enquêtes et demandes de renseignements

• Définition des conclusions en vertu de la LPRPDÉ
• Cas choisis en vertu de la LPRPDÉ
• Incidents visés par la LPRPDÉ

Examens et pratiques en matière de vie privée

Devant les tribunaux

Troisième partie - Gestion intégrée

Lettre de responsabilité de la direction a l'égard des états financiers et les états financiers vérifiés

Préface

L'année écoulée s'est révélée exceptionnelle pour le Commissariat à la protection de la vie privée du Canada. Le 1^er décembre 2003, lorsque j'ai été nommée au poste de commissaire, j'ai pris les rênes d'un bureau qui venait de subir de grands bouleversements. En l'espace de six mois, un commissaire et plusieurs hauts fonctionnaires ont remis leur démission à la suite de scandales et d'une attention médiatique soutenue, un commissaire intérimaire a été nommé, de nombreux examens, vérifications et enquêtes internes et externes ont été menés (dont certains se poursuivent toujours), deux commissaires adjoints ont été nommés et l'organisation a été restructurée en profondeur. J'ai donc pris la barre d'un navire qui, malgré l'orientation positive que lui avait donnée le commissaire à la protection de la vie privée par intérim, Robert Marleau, naviguait toujours dans les eaux troubles des crises administratives, financières et organisationnelles.

D'immenses progrès ont été réalisés au chapitre du renouveau institutionnel et du renforcement du cadre financier et de gestion du CPVP. Ces progrès ont contribué au tout premier plan à restructurer le Commissariat et à mieux faire valoir les efforts déployés pour accroître l'efficacité de notre organisme et faire en sorte qu'elle respecte les principes de la fonction publique tout en remplissant son mandat de protéger et de défendre le droit fondamental à la vie privée des Canadiens et des Canadiennes.

Je tiens à signaler le travail formidable que le commissaire par intérim Robert Marleau a abattu pour assurer le progrès du Commissariat en cette période difficile et complexe. Le soutien de M. Marleau et l'encouragement qu'il a su donner au personnel, sa collaboration avec les équipes de vérification et d'enquête ainsi que l'importance qu'il a accordée à la responsabilité et au travail d'équipe ont jeté de solides assises qui garantiront le retour à la normale. Il mérite notre appréciation et notre gratitude.

Pour construire sur ces assises, nous avons pris et nous continuons de prendre des mesures correctives afin de rétablir le bien-être global du milieu de travail, de renforcer davantage les pratiques de gestion et les contrôles financiers, de donner plus de transparence et d'équité au service des ressources humaines, de favoriser l'innovation et d'obtenir l'engagement des employés et des représentants syndicaux dans la reconstruction et le maintien d'un processus d'apprentissage organisationnel.

La création d'un plan de recouvrement des coûts et la mise au point d'un procédé complet de planification visant à réaligner nos stratégies et nos buts sont au nombre des autres mesures couronnées de succès. Un rapport préliminaire au Parlement sur les mesures prises à la suite du Rapport sur le Commissariat à la protection de la vie privée du Canada de la vérificatrice générale, déposé conjointement par le Commissariat et la présidente du Conseil du Trésor du Canada le 31 octobre 2003, a fourni en détail la liste des actions qui ont été prises ou qui seront prises quant aux mesures de recouvrement du Commissariat. La version finale du rapport a été déposée en avril 2004.

Nous avons en outre mis sur pied un comité consultatif externe, composé d'éminents experts nationaux de la protection de la vie privée, à qui nous avons demandé de prodiguer des conseils et des directives au Commissariat quant à ses orientations et priorités stratégiques. Par ailleurs, nous avons créé un comité consultatif patronal-syndical, de même qu'un comité de santé et sécurité afin de rétablir le bien-être global du milieu de travail. Nous nous activons également, de concert avec le Secrétariat du Conseil du Trésor, à améliorer notre service des ressources humaines. Par nos efforts de renouveau, nous avons essentiellement tenté de regagner la confiance du Parlement du Canada et, dans cette optique, nous avons créé un nouveau poste, celui d'agent de liaison parlementaire, grâce auquel nous pourrons nous acquitter de nos responsabilités permanentes à titre de fenêtre unique du Parlement sur les enjeux du droit à la vie privée.

Tout au long de cette année marquée par les difficultés et les bouleversements, le Commissariat s'est préparé à mettre en oeuvre intégralement la Loi sur la protection des renseignements personnels et les documents électroniques, connue également sous l'acronyme LPRPDÉ. Depuis le 1^er janvier 2004, la LPRPDÉ, dont l'application s'est faite progressivement, régit la collecte, l'utilisation et la communication de renseignements personnels dans le cadre d'activités commerciales dans toutes les provinces autres que celles ayant promulgué une loi sur la protection des renseignements personnels que le gouvernement fédéral aura jugée « essentiellement similaire » à la loi fédérale.

La LPRPDÉ constitue une loi souple et pragmatique qui traite des enjeux relevant de plusieurs secteurs de compétence qui surviennent dans notre cadre constitutionnel. La Loi peut être remplacée par des textes de loi jugés « essentiellement similaires » à la loi fédérale. À la publication du présent rapport, seule la loi du Québec a été jugée essentiellement similaire, mais nous nous attendons à des constatations positives quant aux lois sur la protection des renseignements personnels adoptées par l'Alberta et la Colombie-Britannique. Le Commissariat collabore avec ses homologues provinciaux afin de trouver une démarche harmonisée de règlement des plaintes en matière de vie privée et poursuivra ses efforts en ce sens.

Ainsi, la LPRPDÉ touche les organisations, des grandes entreprises aux petits dépanneurs, des multinationales de l'industrie de la finance et de l'assurance aux fleuristes et aux nettoyeurs de quartier. Au départ, les nouvelles règles régissant les renseignements personnels dans le secteur privé ont été source de confusion et d'inquiétude.

Toutefois, au cours de l'année et, surtout dans les mois qui ont précédé la date butoir du 1^er janvier 2004, nous avons cherché activement à aider les organisations à mettre en oeuvre la LPRPDÉ et à s'y conformer. Nous nous sommes engagés dans la voie de la sensibilisation, de la coopération, de l'éducation du public ainsi que de la conclusion de nouveaux partenariats novateurs avec le secteur privé. Nous avons mené de vastes consultations auprès des associations commerciales du secteur privé, en particulier avec celles du secteur bancaire et financier et avec l'industrie du marketing direct. Pendant l'année écoulée, la commissaire adjointe à la protection de la vie privée, Heather Black, a sillonné le pays et prononcé un très grand nombre d'allocutions devant des groupes des plus variés afin de sensibiliser davantage la population à la LPRPDÉ. Avant sa nomination à titre de commissaire adjointe, M^e Black a été avocate générale au Commissariat et à Industrie Canada, où elle a collaboré à la rédaction de la Loi sur la protection des renseignements personnels et les documents électroniques.

Nous avons de plus donné suite à des milliers de requêtes et de demandes de renseignements sur la LPRPDÉ que nous ont adressées des entreprises et des organisations de toutes les régions du Canada. Nous avons consulté des groupes et associations commerciaux et envoyé des milliers de copies de rapports, de guides à l'intention des entreprises, de feuilles d'information et d'autres documents de sensibilisation du public. De plus, nous avons réorganisé et revampé notre site Web de sorte qu'il soit conforme à la normalisation des sites Internet et nous avons offert sur support électronique plusieurs ressources, guides et outils de conformité nouveaux à l'intention des entreprises et des particuliers au Canada.

L'année s'est également révélée exceptionnelle en ce qui concerne les plaintes déposées conformément à la Loi sur la protection des renseignements personnels. Le Commissariat a reçu un nombre record de nouvelles plaintes, qui ont enregistré une hausse de 250 pour 100 par rapport à l'année précédente. Le présent rapport contient un supplément de précisions qui expliquent ces statistiques. En outre, les enquêteurs ont traité un nombre inégalé de plaintes, réalisation fort louable compte tenu des défis supplémentaires que les employés ont dû relever au cours de l'année.

Même si le Commissariat a traversé une période marquée par les difficultés, il a poursuivi ses travaux de surveillance des tendances et initiatives technologiques afin d'aider à protéger le droit à la vie privée de la population canadienne et à assurer l'intégrité des renseignements personnels et ce, en présence des nouvelles menaces à la vie privée qui se font sentir à l'échelle tant nationale qu'internationale. Au début de l'année, l'idée d'une carte d'identité nationale a été lancée, à laquelle nombre de Canadiens et de Canadiennes se sont opposés. Cette idée a été mise en veilleuse, du moins jusqu'à maintenant. La plupart des Canadiens et des Canadiennes ayant comparu devant le Comité permanent sur la citoyenneté et l'immigration, y compris des représentants du Commissariat, ont manifesté leur vive opposition à l'instauration d'une telle carte d'identité. Nous continuons de nous y opposer.

La collecte, l'enregistrement, le tri et le partage d'une quantité alarmante de renseignements personnels concernant les Canadiens et les Canadiennes se sont poursuivis en conformité du principe, non démontré cependant, selon lequel l'augmentation du nombre de renseignements concernant les particuliers se traduit par une plus grande protection contre le terrorisme et les autres menaces. Nous nous inquiétons de l'intégration croissante de notre sécurité frontalière à celle des États-Unis, laquelle donne lieu à une collecte de vastes fichiers de renseignements personnels sur les voyageurs, les éventuels voyageurs et les employés de l'industrie du transport qui sont appelés à traverser régulièrement la frontière dans l'exercice de leurs fonctions. Le Commissariat examine de très près les pratiques de traitement des renseignements personnels de l'Agence des services frontaliers du Canada qui vient d'être mise sur pied.

Le dossier de la circulation transfrontalière des données a également suscité notre attention cette année. Dans un monde de plus en plus informatisé, il suffit de cliquer sur une souris pour envoyer dans toutes les régions du globe des renseignements personnels concernant les Canadiens et les Canadiennes. Nous nous inquiétons de l'incidence que cela peut avoir sur le droit à la protection de la vie privée de la population canadienne. Le Commissariat mène un projet qui permettra d'identifier les circuits d'acheminement des renseignements personnels entre les frontières et de déterminer les droits et mesures de protection susceptibles de s'appliquer à ces renseignements. Nous sommes conscients de la nécessité d'accroître la sécurité de l'environnement public actuel et nous ne nous opposerons jamais aux mesures légitimes de lutte contre le terrorisme. Toutefois, il faut arriver à assurer un équilibre entre, d'une part, la sécurité nationale et internationale et, d'autre part, le droit fondamental à la vie privée des personnes et le droit de la personne de contrôler la collecte, l'utilisation et la communication des renseignements personnels à son sujet.

De nouvelles technologies voient le jour et menacent la vie privée de manières encore jamais vues. Nous continuerons de surveiller l'utilisation et l'incidence de technologies telles que la surveillance vidéo, les logiciels espions, les dispositifs d'identification par radiofréquence, les systèmes mondiaux de localisation, les dispositifs de communication sans fil ainsi que les identificateurs biométriques comme la reconnaissance faciale, l'ADN et les empreintes digitales. Le Commissariat concerte ses efforts à ceux de ses partenaires fédéraux afin de trouver les mesures juridiques, réglementaires et techniques qui permettront de traiter de ces enjeux.

À titre d'exemple, nous avons été témoins de la prolifération des pourriels, ces courriels non sollicités très répandus, qui commencent à menacer sérieusement la vie privée et l'intégrité des renseignements personnels concernant les Canadiens et les Canadiennes. Les pourriels sont souvent porteurs de codes informatiques malveillants qui infectent votre ordinateur et créent des programmes capables de lire vos courriels, de suivre l'utilisation que vous faites d'Internet et même de dérober vos mots de passe et numéros de cartes de crédit. Le Commissariat travaille de près avec Industrie Canada et son groupe de travail anti-pourriel afin de trouver des moyens de juguler cet épineux problème et d'aider les consommateurs à prendre des mesures concrètes et efficaces pour se protéger. De même, nous nous pencherons sur les possibilités de sauvegarder le droit à la vie privée des consommateurs en analysant l'incidence négative éventuelle des nouvelles technologies qui soulèvent des préoccupations en matière de vie privée.

Au cours de la prochaine année, le Commissariat poursuivra ses efforts de communication pour sensibiliser la population canadienne et les entreprises canadiennes afin que celles-ci comprennent mieux leurs droits et obligations aux termes de la Loi sur la protection des renseignements personnels et de la LPRPDÉ. Nous tenterons par divers moyens d'obtenir le point de vue des Canadiens et des Canadiennes afin de mieux combler leurs besoins et pour renforcer le rôle du Commissariat à la protection de la vie privée à titre d'autorité assurant la protection et la promotion du droit à la vie privée.

Surtout, je tiens à profiter de l'occasion du dépôt de mon premier rapport à titre de commissaire à la protection de la vie privée pour faire l'éloge des employés du Commissariat, qui ont su surmonter des difficultés sans précédent, sur le plan personnel tout autant qu'administratif, afin de s'acquitter de leurs responsabilités. Leur professionnalisme, leur engagement à maintenir le droit à la vie privée de la population canadienne, leur respect des principes de la fonction publique et leur courage devant l'adversité méritent certes d'être soulignés. L'année a été semée d'embûches, mais les opportunités naissent souvent des crises. J'affirme avec fierté que le Commissariat a profité de l'opportunité qui lui a été offerte pour renforcer ses assises et, fort de son énergie renouvelée, il pourra relever avec confiance les nombreux défis en matière de protection du droit à la vie privée qui s'annoncent.

Aperçu

De presque tous les points de vue, l'année écoulée s'est révélée des plus difficiles pour la protection de la vie privée. En raison de la prolifération des menaces, la lutte pour protéger le droit à la vie privée des Canadiens et des Canadiennes et pour protéger les renseignements personnels a exigé à maintes reprises des efforts sans relâche. Les perspectives ne sont toutefois pas tout à fait sombres.

Technologies de surveillance subreptice

Tous les jours, nous lisons dans les médias des articles sur les nouvelles technologies ou les nouvelles utilisations de technologies existantes qui menacent notre vie privée. Des systèmes mondiaux de localisation qui repèrent par satellites l'emplacement des véhicules et suivent leurs déplacements sont installés dans des automobiles de location et les véhicules des employés. Les cellulaires-appareils photo pouvant capter et transmettre subrepticement des images sont utilisés pour porter atteinte à la vie privée des gens. De plus en plus de municipalités envisagent l'installation de caméras de surveillance vidéo au centre-ville.

Au cours de la dernière année, nous avons pris connaissance de l'expression « puces d'identification par radiofréquence ». Il s'agit de circuits informatiques miniatures munis de toutes petites antennes qui signalent leur présence en vibrant et qui sont dotés d'un code d'identification unique. Sans être nouvelles, ces puces suscitent actuellement une certaine inquiétude. Elles servent déjà à de nombreuses fins; on les retrouve notamment dans les porte-clés émis par les postes d'essence grâce auxquels les clients peuvent payer leurs achats aux pompes. À l'heure actuelle, les détaillants et les gouvernements proposent d'insérer ces puces dans presque tout, depuis les documents de voyage jusqu'au papier-monnaie et même certains vêtements. C'est la capacité de lecture à distance de ces puces qui soulève nombre de préoccupations en matière de respect de la vie privée.

Si vous portez un vêtement contenant une de ces puces, le détaillant pourrait vous identifier dès votre entrée dans le magasin. Le gouvernement pourrait un jour suivre à la piste les déplacements des visiteurs qui sont entrés au pays.

Le logiciel espion, une nouvelle technologie de surveillance, a remplacé les « témoins » à titre de menace la plus récente à la vie privée sur Internet. Il s'agit d'un logiciel qui s'installe subrepticement sur votre ordinateur, puis transmet en secret de l'information sur vos activités en ligne à votre insu et sans votre consentement. Le logiciel espion est souvent greffé à un courriel non sollicité, de sorte que vous pourriez ne pas savoir comment les programmes ont été installés sur votre appareil ni même comment les enlever.

Protéger votre droit à la vie privée

Ces technologies ont attiré passablement notre attention au cours de la dernière année, mais, dans la plupart des cas, les menaces qu'elles posent peuvent être examinées grâce à l'application de principes de pratiques équitables en matière de renseignements. Ces principes sont énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) qui régit la collecte, l'utilisation et la communication des renseignements personnels vous concernant.

Les formulations de ces principes sont nombreuses, mais elles peuvent se résumer ainsi :

• la collecte, l'utilisation et la communication des renseignements personnels ne peuvent se faire à l'insu de l'intéressé et sans son consentement;
• les organisations ne doivent recueillir que les renseignements dont elles ont besoin;
• les organisations doivent expliquer pourquoi elles recueillent les renseignements et ces derniers ne doivent être utilisés que pour les fins déterminées;
• les intéressés devraient pouvoir corriger ou modifier les renseignements les concernant;
• les organisations doivent instaurer des politiques et pratiques régissant la collecte, l'utilisation et la communication de renseignements personnels, ce qui comprend des politiques de destruction et des procédures de sauvegarde des renseignements.

Ces technologies de surveillance présentent sans aucun doute de grandes menaces d'intrusion dans notre vie privée et de compromission de la protection de nos renseignements personnels, mais il existe des moyens d'en atténuer l'incidence. Une coalition d'organismes de protection de la vie privée des consommateurs et de défense des droits civils a publié un exposé de principe sur l'utilisation responsable des puces d'identification par radiofréquence. Le Commissariat prépare des lignes directrices sur l'utilisation de la surveillance vidéo par les forces de l'ordre et les particuliers peuvent se renseigner sur les logiciels espions afin de se protéger.

Accroître la sécurité : à quel prix ?

En bout de ligne, les mesures accrues de sécurité que déploient les gouvernements du monde entier peuvent constituer une menace plus fondamentale et troublante à nos droits fondamentaux, ce qui comprend notre droit à la vie privée. Les récentes tentatives visant à augmenter notre sécurité et notre protection, à la fois contre le terrorisme international et contre les menaces plus conventionnelles à la sécurité publique, soulèvent de très graves préoccupations en matière de vie privée.

Partout dans le monde, des gouvernements, dont celui du Canada, continuent d'instaurer des mesures accrues de sécurité en supposant que, si les forces de l'ordre et les organismes de sécurité nationale disposent de suffisamment de renseignements personnels nous concernant tous, notre société sera plus sûre et plus protégée. En décembre 2003, le gouvernement du Canada a créé l'Agence des services frontaliers du Canada (ASFC), regroupant ainsi les fonctions de sécurité frontalière et du renseignement de l'Agence des douanes et du revenu du Canada, de Citoyenneté et Immigration Canada et de l'Agence canadienne d'inspection des aliments. Quant à elle, l'ASFC fait partie du nouveau ministère de la Sécurité publique et de la Protection civile aux côtés du Service canadien du renseignement de sécurité (SCRS) et de la Gendarmerie royale du Canada (GRC).

En avril 2004, le gouvernement du Canada a publié sa tout première Politique de sécurité nationale qui propose notamment de créer un « centre d'évaluation intégrée des menaces » qui facilitera la collecte et l'analyse du renseignement et d'autres informations. Le document sur la politique gouvernementale prétend que le centre « aidera à réduire les risques que l'information que possède un secteur de la fonction publique ne soit pas communiquée promptement à ceux auxquels cette information peut être utile ».

Le gouvernement du Canada a fait savoir qu'en 2005, il commencera à délivrer des passeports dotés d'une technologie biométrique de reconnaissance faciale. Cette proposition n'a jamais été une proposition officielle du gouvernement, mais au moins un ministre du Cabinet a préconisé l'instauration d'une carte nationale d'identité.

Redéfinir la frontière

La frontière représente désormais beaucoup plus qu'une simple rivière ou une ligne tracée sur une carte et une série de postes de contrôle matériels. La frontière est en voie de devenir virtuelle, ce qui suscite des préoccupations en matière de vie privée. Comme le laisse supposer la création de l'ASFC, le programme de sécurité nationale du gouvernement du Canada est en grande partie axé sur la frontière. Il en découle un nouveau concept de ce que constitue une frontière. En décembre 2001, le Canada et les États-Unis ont signé la Déclaration sur la frontière intelligente. La Politique de sécurité nationale prévoit « créer une frontière du XXI^e siècle » et élaborer une « frontière intelligente de la prochaine génération avec le Mexique et les États-Unis ».

De plus en plus, les décisions concernant les personnes autorisées à entrer au Canada ou celles qui constituent une menace à la sécurité sont prises bien avant que les intéressés n'arrivent au Canada. Dans bon nombre de villes, les voyageurs qui prennent l'avion en direction des États-Unis peuvent passer aux douanes américaines par un aéroport canadien. En ce qui concerne les cybermenaces, la notion conventionnelle de frontière n'a plus aucune importance : les cyberattaques peuvent provenir de n'importe où dans le monde. C'est pourquoi la nouvelle Politique de sécurité nationale prévoit que « le gouvernement créera aussi un groupe de travail national de haut niveau, composé de représentants des secteurs public et privé, en vue d'élaborer une stratégie nationale de cybersécurité. Cette stratégie réduira la vulnérabilité du Canada aux cyberattaques et aux cyberaccidents. »

La frontière nationale perd de son importance. La politique de sécurité frontalière des États-Unis est fondée sur la création d'une zone tampon ou d'un cordon sanitaire entourant l'Amérique du Nord et, de plus en plus, les politiques canadiennes abondent dans ce sens. Notre sécurité frontalière commence à s'intégrer avec celle des États-Unis. Le Canada et les États-Unis ont mis sur pied plusieurs équipes intégrées de la police multidisciplinaire des frontières. Les deux pays échangent des listes de surveillance, et on presse le gouvernement du Canada de procurer au gouvernement des États-Unis des renseignements concernant toute personne provenant d'un pays étranger qui se rendrait au Canada.

La frontière intelligente ou la frontière virtuelle suppose la collecte de renseignements personnels, de vastes quantités de renseignements personnels. Cette information sert à vérifier l'identité et à déterminer qui devrait pouvoir entrer au pays sans subir d'examen, qui devrait faire l'objet d'une surveillance et qui devrait s'en voir refuser l'admission. C'est surtout ce qui ressort des diverses initiatives mises en oeuvre ou proposées par les États-Unis, à savoir l'initiative Total Information Awareness (qui est devenue Terrorism Information Awareness), le Computer Assisted Passenger Prescreening System (CAPPS II), lequel a été abandonné depuis en raison de préoccupations relatives à la vie privée, et le programme VISIT. Le système Terrorism Information Awareness vise l'intégration des bases de données commerciales et gouvernementales, ce qui donnera accès aux achats par carte de crédit, aux réservations de voyage, aux dossiers téléphoniques, aux dossiers de courriels, aux antécédents médicaux, à l'information financière et même à l'utilisation de la bibliothèque publique.

Cette importance accordée à la collecte de vastes quantités de renseignements personnels caractérise également les initiatives canadiennes. L'ASFC recueille actuellement des renseignements personnels sur tous les passagers du transport aérien qui arrivent au Canada dans le cadre de l'initiative Information préalable sur les voyageurs et du dossier passager (IPV/DP) dont il a été question dans les rapports annuels antérieurs. Ces renseignements sont utilisés aux fins du programme NEXUS et du programme EXPRES, lesquels permettent d'approuver au préalable la circulation entre les frontières canadoaméricaines des voyageurs et des envois commerciaux présentant peu de risques.

Plus de renseignements = plus de sécurité ?

La plupart des textes de loi sur la lutte contre le terrorisme qui ont été adoptés au Canada et à l'étranger se fondent sur la prémisse que la sécurité de la population croît en fonction de l'augmentation du nombre de renseignements que le gouvernement recueille sur tous les particuliers, que leur comportement soit ou non suspect.

Nous apprenons que la collecte et l'utilisation de ces renseignements afin de déceler les menaces est le prix à payer pour éviter l'établissement de profils raciaux et ethniques et le recours aux stéréotypes. Nous recevons l'assurance que les outils d'évaluation des risques ne reconnaissent pas la couleur ni la religion, mais qu'ils se bornent à analyser l'information.

Les forces de l'ordre et les organismes de sécurité nationale recueillent de plus en plus de renseignements provenant de plus en plus de sources et concernant de plus en plus de personnes et s'en servent de plus en plus pour déceler d'éventuelles menaces. Il s'ensuit alors que les gens risquent davantage d'être l'objet d'une surveillance non justifiée, d'être indûment pris à parti et de ne pas recevoir un traitement équitable. Des erreurs ont déjà été commises et d'autres continueront d'être commises. Par ailleurs, le manque de transparence fait que nous pourrions ne jamais savoir pourquoi ces personnes ont été ciblées par erreur ni où le système a échoué.

Le Commissariat à la protection de la vie privée est d'avis que nous ne devrions pas avoir à choisir le moindre de deux maux. Il faut trouver le juste milieu entre l'établissement de profils raciaux et la collecte d'une surabondance de renseignements sur tous et la surveillance accrue de tous. Le Commissariat n'est pas convaincu qu'en réduisant les libertés de tous les membres d'une société on réussisse à empêcher les terroristes de proférer d'autres menaces à la sécurité publique.

Le Commissariat ne s'oppose pas à l'amélioration de la sécurité. La question est toutefois de savoir comment nous pourrons y parvenir sans saper les valeurs fondamentales de notre société. Nous ne nous opposons pas à l'échange de renseignements entre les organismes, pourvu que des procédures et des politiques aient été instaurées pour les protéger, pour veiller à ce qu'ils soient utilisés ou communiqués uniquement aux fins précises déterminées — qui doivent être raisonnables — et qu'ils ne soient pas conservés plus longtemps que nécessaire.

L'utilisation plus efficace des renseignements dont nous disposons déjà et non la collecte de renseignements supplémentaires pourrait régler en partie le problème de l'accroissement de la sécurité. C'est bien le message que la vérificatrice générale a transmis dans son rapport de mars 2004. Le rapport cite plusieurs cas où des organismes et ministères canadiens ont omis de partager ou d'utiliser des renseignements en leur possession qui auraient accru la sécurité. Il précise notamment qu'en dépit du fait que plus de 25 000 passeports canadiens sont perdus ou volés chaque année, les fonctionnaires aux postes frontaliers ne reçoivent pas de listes de ces documents perdus ou volés.

La participation du secteur privé constitue une autre caractéristique troublante des mesures de sécurité nationale en voie d'être instaurées. La sécurité nationale, depuis toujours, a été confiée à des organismes gouvernementaux qui se fondaient essentiellement sur le renseignement de sécurité qu'ils recueillaient eux-mêmes. Or, les organismes de sécurité nationale se servent de plus en plus des renseignements personnels recueillis auprès des particuliers par le secteur privé à des fins non liées à la sécurité nationale. Ces données s'ajoutent aux renseignements déjà connus, et l'on s'en remet au savoir-faire du secteur privé pour élaborer les outils d'analyse nécessaires.

Cette situation soulève nombre de questions troublantes. En Colombie-Britannique, la proposition de confier l'administration des régimes provinciaux de soins de santé et d'assurance-médicaments à une filiale canadienne d'une entreprise américaine a suscité de nombreuses préoccupations. Les opposants craignent qu'ainsi, des organismes américains comme le Federal Bureau of Investigation n'obtiennent des renseignements personnels concernant les Canadiens et les Canadiennes auprès d'entreprises américaines conformément à la loi dite USA PATRIOT Act. David Loukidelis, le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique, a lancé un processus de consultations publiques pour examiner le dossier, dans le cadre duquel le Commissariat a déposé un document d'orientation sur la loi dite USA PATRIOT Act.

Diverses mesures de lutte contre le terrorisme adoptées par les États-Unis supposent le recours aux bases de données du secteur privé pour confirmer l'identité ou déceler des tendances de comportement susceptibles d'indiquer qu'une personne constitue une menace. Nombre de ces initiatives, comme le programme Terrorism Information Awareness, font intervenir « le forage de banques de données », c'est-à-dire l'application de la technologie des bases de données et d'algorithmes complexes pour consulter des quantités massives de renseignements afin de détecter des tendances ou des corrélations cachées.

La Loi sur la sécurité publique

La distinction entre le secteur public et le secteur privé commence aussi à s'estomper au Canada, comme en fait surtout foi l'adoption récente du projet de loi C-7, la Loi sur la sécurité publique.

Il a fallu, pour que ce projet de loi très controversé devienne loi, deux ans et demi d'efforts et quatre tentatives.

En mars 2004, la commissaire Stoddart a comparu devant le Comité sénatorial permanent sur les transports et les communications afin de commenter le projet de loi C-7. Ses commentaires ont porté sur deux volets du projet de loi, à savoir la modification de la Loi sur l'aéronautique qui autorise le commissaire de la GRC et le directeur du Service canadien du renseignement de sécurité (SCRS) à demander aux transporteurs aériens et aux exploitants de systèmes de réservation de services aériens de leur fournir certains renseignements sur les passagers et la disposition modifiant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) afin de permettre aux organisations de recueillir des renseignements personnels sans le consentement de l'intéressé, lesquels renseignements seront communiqués au gouvernement, aux forces de l'ordre et aux organismes de sécurité nationale.

La GRC et le SCRS se serviront des renseignements sur les passagers pour identifier les personnes susceptibles de constituer une menace à la sécurité du transport et à la sécurité nationale, l'utilisation de ces renseignements constituant une fin légitime selon les dispositions de la Loi sur la sécurité publique. Toutefois, les renseignements peuvent également servir à exécuter des mandats d'arrestation pour la commission des infractions punissables d'une peine d'emprisonnement de cinq ans ou plus, fin qui n'a aucun lien avec la loi.

La modification de la LPRPDÉ est encore plus alarmante étant donné que ses retombées pourraient être encore plus vastes. En permettant aux organisations du secteur privé de recueillir des renseignements personnels sans le consentement de l'intéressé à la seule fin de les communiquer au gouvernement, aux forces de l'ordre et aux organismes de sécurité nationale, on les autorise en réalité à servir d'agents de l'État. Le fait d'autoriser une organisation à communiquer aux organismes gouvernementaux des renseignements qu'elle possède déjà sans le consentement de l'intéressé n'a absolument rien à voir avec le fait d'autoriser, voire d'encourager, une organisation du secteur privé à recueillir ces renseignements sans le consentement de l'intéressé, puis de les communiquer, une fois de plus, sans le consentement de l'intéressé. La modification vise toute organisation assujettie à la LPRPDÉ et non seulement les transporteurs aériens. Elle ne limite aucunement la quantité de renseignements pouvant être recueillis sans le consentement de l'intéressé, pas plus qu'elle n'impose de limite aux sources de renseignements.

Ces dispositions estompent dangereusement la distinction entre le secteur privé et le secteur public, car elles assurent le concours des entreprises, non seulement pour lutter contre le terrorisme, mais aussi pour mener les activités conventionnelles d'application de la loi.

En dépit de notre opposition, de l'opposition de plusieurs de nos collègues provinciaux et territoriaux et de l'opposition d'un grand nombre d'autres organisations, le Sénat a adopté le projet de loi C-7, et la Loi sur la sécurité publique a reçu la sanction royale en mai 2004.

« Pour chaque action... »

Malgré tous les défis connus cette année, nous pouvons tout de même afficher un optimisme prudent. Si les menaces à l'encontre de la protection de notre vie privée ne cessent de croître, tel est également le cas de l'intérêt pour la défense du droit à la vie privée.

Nous entendons de plus en plus parler des puces d'identification par radiofréquence, des cellulaires-appareils photo, des enregistreurs de données dans les voitures et des caméras de surveillance vidéo parce que le Commissariat à la protection de la vie privée, les groupes de protection des libertés civiles, les défenseurs de la vie privée et d'autres font connaître leurs préoccupations. De plus, les médias publient des reportages sur ces technologies parce qu'ils savent que le grand public s'intéresse à la protection de la vie privée.

L'opposition exprimée par des défenseurs de la vie privée, les médias et des politiciens des deux grands partis politiques des États-Unis a contraint l'administration américaine à abandonner, réduire ou reporter nombre de mesures de lutte contre le terrorisme. Le programme Operation TIPS, qui devait assurer le concours de travailleurs comme des employés de sociétés de câblodistribution et de livraison de colis pour signaler des activités suspectes, a été abandonné. Le projet Total Information Awareness, qui aurait permis au gouvernement de recourir au « forage de banques de données » pour grouper et analyser des renseignements provenant de bases de données commerciales des secteurs public et privé n'a jamais pris son envol. Le programme Computer Assisted Passenger Prescreening System (CAPPS II), qui devait identifier les terroristes étrangers ou les personnes ayant des liens avec des terroristes, a lui aussi été abandonné en raison de préoccupations en matière de vie privée.

Au Canada, le public a fait connaître haut et fort son opposition à une carte nationale d'identité, si bien que la proposition a été mise en veilleuse. Le Commissariat à la protection de la vie privée du Canada a soulevé de graves objections à cette proposition et il continue de s'y opposer.

En septembre 2003, Robert Marleau, le commissaire à la protection de la vie privée par intérim, a comparu devant le Comité permanent de la citoyenneté et de l'immigration pour discuter de l'opposition du Commissariat à la carte d'identité nationale. Denis Coderre, à l'époque ministre de la Citoyenneté et de l'Immigration, a prétendu qu'une telle carte constituait une preuve d'identité plus sûre et plus fiable, qu'elle permettait d'enrayer le vol d'identité, qu'elle facilitait les déplacements des Canadiens et des Canadiennes à l'étranger et qu'elle empêchait l'établissement de profils raciaux à la frontière.

Le commissaire par intérim a exhorté le Comité à rejeter la proposition en invoquant les motifs suivants :

« Les risques associés à une carte d'identité nationale sont considérables. Les défis que pose la mise en oeuvre d'un système national d'identification pratique, abordable et respectueux des droits à la vie privée des Canadiens et des Canadiennes sont colossaux. On n'a pas avancé d'arguments irréfutables en faveur d'un tel système; s'il y en avait, ceux-ci seraient, au mieux, marginaux. »

Plus de 60 témoins ont comparu devant le Comité et presque tous s'opposaient à l'instauration d'une carte nationale d'identité. Des groupes de protection du droit à la vie privée et des droits de la personne, des groupes de pression de consommateurs, des organisations religieuses et ethniques ainsi que des grands journaux de toutes les régions du Canada ont manifesté leur opposition à cette proposition.

Par ailleurs, nous avons constaté des progrès au chapitre des efforts législatifs déployés pour garantir le droit à la protection des renseignements personnels. Un représentant chargé de protéger les renseignements personnels versés aux dossiers publics a été nommé dans chaque province et chaque territoire. Trois provinces, l'Alberta, la Saskatchewan et le Manitoba, ont promulgué des lois portant précisément sur la protection des renseignements personnels sur la santé; l'Ontario vient tout juste d'adopter une loi semblable qui devrait entrer en vigueur plus tard en 2004. Le Québec, l'Alberta et la Colombie-Britannique ont édicté des lois régissant la collecte, l'utilisation et la communication de renseignements personnels dans le secteur privé.

En bout de ligne, les décisions que nous prenons maintenant en matière de vie privée et le fait que nous tenions réellement ou non à cette dernière façonneront la société que nous léguerons à nos enfants. À titre d'organisme chargé de protéger le droit à la vie privée, nous devons confronter les personnes qui troqueraient volontiers les droits individuels contre la promesse d'une sécurité nationale ou de technologies portant atteinte à la vie privée. Nous devons veiller à ce que la grande valeur que les Canadiens et les Canadiennes accordent à leur droit à la vie privée ne soit pas perdue dans le tumulte des voix exigeant un accroissement de la sécurité et la collecte de renseignements supplémentaires sur tous autant que nous sommes. Nous devons à l'avenir concerter nos efforts pour relever les défis qui nous attendent assurément.

Point de vue de la politique

Une des principales attributions du Commissariat à la protection de la vie privée consiste à recenser et à analyser les nouveaux enjeux en matière de vie privée et d'élaborer des politiques et des positions qui les régleront et feront progresser le dossier de la protection du droit à la vie privée. La recherche et l'analyse que nous menons de ces enjeux stimulent et alimentent le débat public, suscitent l'engagement des Canadiens et des Canadiennes et accroissent la sensibilisation du public. Le Commissariat peut donc servir au Parlement de fenêtre sur les enjeux en matière de vie privée, fournir promptement des conseils éclairés sur l'incidence des initiatives législatives et réglementaires et faire connaître au grand public les risques qui menacent la protection de la vie privée ainsi que les moyens d'y réagir.

Le Commissariat a déployé un effort concerté pour renforcer ses relations avec le Parlement et mieux répondre aux besoins de ce dernier. Dans cette optique, nous avons créé une nouvelle fonction d'agent de liaison parlementaire qui s'attachera précisément à informer les députés et sénateurs sur des questions particulières en matière de vie privée, à surveiller les initiatives législatives et réglementaires, de même qu'à prendre les mesures nécessaires pour que la commissaire et les cadres supérieurs de notre organisation de l'effectif fournissent des conseils éclairés aux parlementaires au sujet des répercussions sur le droit à la vie privée des nouvelles lois et politiques.

Au cours de la période visée par le rapport de 2003-2004, le Commissariat a réussi à promouvoir la protection du droit à la vie privée dans le cadre d'un éventail d'enjeux sociaux, technologiques et politiques, dont ceux qui sont énumérés ci-après :

• cartes d'identité;
• technologies de surveillance et surveillance vidéo;
• accès du gouvernement aux fonds de renseignements personnels détenus par les entreprises;
• protection des renseignements personnels sur la santé;
• réglementation du droit à la vie privée dans un régime fédéral.

Cartes d'identité

Depuis longtemps, les cartes d'identité sont source de préoccupation pour le Commissariat et pour les commissaires à la protection des données nominatives et de la vie privée du monde entier. Une carte d'identité, incluant le système d'identification dans lequel elle s'imbrique, ne représente pas simplement un outil pratique de confirmation de l'identité d'une personne. Elle constitue également un outil de gestion de l'information donnant accès à des renseignements personnels et permettant de les combiner et de les manipuler. Une carte unique, servant d'identificateur dans un vaste éventail d'opérations avec le secteur public et le secteur privé, peut représenter un moyen puissant de recueillir et d'apparier des renseignements concernant une personne et, au bout du compte, de suivre à la piste et de surveiller cette personne. C'est bien ce pouvoir qui confère aux cartes d'identité leur caractère menaçant pour la vie privée.

Technologies de surveillance

La technologie peut menacer la vie privée et ne cesse de préoccuper les défenseurs de la vie privée et les commissaires à la protection de la vie privée. Tel est surtout le cas lorsque des technologies d'observation de plus en plus perfectionnées et d'enregistrement des renseignements concernant le lieu où se trouvent des personnes, leurs déplacements, leur comportement et leurs gestes se greffent à des ordinateurs de plus en plus performants dans lesquels cette information est stockée, triée, appariée et analysée. Songez par exemple aux renseignements qui pourraient être recueillis à votre sujet lorsque vous vous rendez au magasin à bord de votre voiture munie d'un système mondial de localisation (GPS), que vous utilisez votre carte de crédit pour payer un plein panier de marchandises dont chaque item peut être identifié par sa puce d'identification par radio-fréquence, que le magasin que vous fréquentez utilise des caméras vidéo équipées d'une technologie de reconnaissance faciale. Maintenant, imaginez-vous qu'un ordinateur relie tous ces renseignements vous concernant à toutes les autres données provenant de votre carte de crédit, de la boîte noire, du GPS, des puces d'identification par radiofréquence et de toutes vos présences devant les caméras vidéo, puis les analyse afin de déceler les tendances de comportements à risque. Cet exemple est hypothétique mais il n'est certes pas inconcevable.

Surveillance vidéo

La surveillance vidéo pourrait bien être l'exemple le mieux connu et le plus évident des technologies de surveillance. Certains ont de la difficulté à s'imaginer, voire à saisir le sentiment que leur « vie privée » est protégée lorsqu'ils se trouvent dans un parc public ou qu'ils se promènent sur une rue de la ville, entourés de gens qui peuvent bien les voir et les entendre. En revanche, rares sont ceux qui n'arrivent pas à juger malsain le fait que des caméras les surveillent et enregistrent peut-être leurs moindres faits et gestes chaque fois qu'ils sortent de chez eux et peu importe où ils se trouvent. Nous ne sommes pas encore rendus à ce stade au Canada, contrairement au Royaume-Uni qui compte environ 4 millions de caméras, soit une caméra pour 14 habitants. Il n'en demeure pas moins que chaque jour nous nous retrouvons à de nombreuses reprises dans l'objectif de caméras dans les banques, les centres commerciaux, les garages de stationnement, les escaliers, les dépanneurs et, de plus en plus, dans des endroits publics comme les parcs et les rues.

Accès du gouvernement aux renseignements personnels détenus par les entreprises

Un autre sujet inquiète le Commissariat, les défenseurs de la vie privée et les commissaires à la protection de la vie privée : l'accès par les forces de l'ordre et les organismes de sécurité nationale aux renseignements personnels recueillis par des organisations du secteur privé. Nombre de gens s'opposent à la collecte de renseignements les concernant par le secteur privé parce qu'ils s'inquiètent surtout que ces renseignements puissent, d'une manière ou d'une autre, se retrouver entre les mains du gouvernement.

Cette collecte peut à l'occasion être légitime, mais, sans contrôle ni surveillance, elle peut conférer aux organisations du secteur privé le rôle d'agent d'application de la loi et les forcer à remettre les renseignements personnels qu'elles ont recueillis pour des motifs tout à fait différents, ce qui va à l'encontre des pratiques équitables les plus fondamentales en matière de renseignements.

Protection des renseignements personnels sur la santé

L'assujettissement des renseignements personnels sur la santé à la LPRPDÉ a troublé plus d'un intervenant du secteur des soins de santé et ce, avant même que la Loi ne soit adoptée. C'est donc en partie par souci de dissiper les incertitudes dans ce dossier que le Parlement a choisi de soustraire les renseignements personnels sur la santé du champ d'application de la Loi pour l'année suivant son adoption.

En 2003, divers groupes du secteur des soins de santé ainsi que les ministères de la Santé provinciaux et territoriaux appréhendaient de plus en plus l'arrivée imminente de la date butoir de janvier 2004 à partir de laquelle la LPRPDÉ s'appliquerait à toutes les activités commerciales. Ils ont de nouveau fait connaître leurs craintes concernant l'incidence de la Loi sur le secteur des soins de santé, certaines parties allant même jusqu'à demander officiellement que la Loi soit modifiée de manière à retirer les renseignements sur la santé de son champ d'application ou à retarder la prochaine étape prévue de sa mise en oeuvre.

Les cabinets de médecin et ceux d'autres professionnels, tels les dentistes et les chiropraticiens, exercent des activités commerciales. Par conséquent, les renseignements personnels qu'ils recueillent, utilisent et communiquent sont assujettis à la LPRPDÉ. La Loi ne s'applique pas aux activités essentielles des hôpitaux, à savoir les soins aux patients. Ce dossier relève manifestement de la compétence des provinces (même si la LPRPDÉ s'appliquerait à des activités périphériques manifestement commerciales comme l'exploitation d'un terrain de stationnement, laquelle exploitation pourrait impliquer la collecte de renseignements personnels).

Réglementation du droit à la vie privée dans un régime fédéral

Dans une économie moderne où les renseignements personnels circulent librement entre les limites territoriales (par exemple, des renseignements concernant des clients à Madrid d'une entreprise dont le siège est à Montréal peuvent être traités à Berlin, puis stockés à Vancouver), la protection de la vie privée se doit d'être homogène et harmonisée. Les particuliers ont besoin que les renseignements personnels les concernant tout autant que leurs droits à cet égard soient protégés, quelle que soit l'administration vers laquelle ils sont acheminés.

Cette tâche est difficile à remplir à l'échelle internationale et exige des négociations et des rajustements en permanence. Même si les renseignements ne quittent jamais le pays, cette tâche pose un défi de taille dans un régime fédéral comme celui du Canada où les responsabilités des secteurs de compétence varient sensiblement. Au cours de l'année visée par l'examen, nombre de faits nouveaux importants sont survenus dans le processus menant vers une protection entière et harmonisée de la vie privée au Canada.

En octobre 2003, le gouvernement de la Colombie-Britannique a adopté la loi dite Personal Information Protection Act qui s'applique aux activités commerciales du secteur privé. L'Alberta lui a emboîté le pas, en décembre 2003, lorsqu'elle a adopté une loi essentiellement similaire portant le même titre. Le 1^er janvier 2004, la version intégrale de la LPRPDÉ est entrée en vigueur, de sorte qu'elle s'applique maintenant à l'ensemble des activités commerciales au Canada sauf dans les provinces ayant adopté des lois provinciales essentiellement similaires à la loi fédérale. En novembre 2003, la gouverneure en conseil a déclaré que la Loi sur la protection des renseignements personnels dans le secteur privé de la province de Québec était essentiellement similaire à la loi fédérale. À la mise sous presse du présent rapport, des déclarations semblables étaient attendues pour les lois de la Colombie-Britannique et l'Alberta.

Dans un monde de plus en plus informatisé et perfectionné sur le plan technologique, chaque jour, voire chaque minute, semble apporter son lot de nouvelles menaces éventuelles à la protection des renseignements personnels. Dans un avenir rapproché, le Commissariat est résolu à favoriser une bonne compréhension des nouveaux enjeux en matière de vie privée auprès des parlementaires, du grand public et des législateurs, de même qu'à continuer de formuler une analyse convaincante des risques et défis nationaux et internationaux en matière de protection de la vie privée à mesure qu'ils se présentent.

Lois provinciales essentiellement similaires

Aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), le gouverneur en conseil peut prendre un décret excluant une organisation, une catégorie d'organisations, une activité ou une catégorie d'activités de l'application de la LPRPDÉ à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels, lequel s'effectue à l'intérieur d'une province ayant adopté une loi réputée essentiellement similaire à la LPRPDÉ.

Le but de cette disposition est de permettre aux provinces et territoires de réglementer les pratiques de gestion des renseignements personnels des organisations faisant affaire à l'intérieur de leurs frontières, sous réserve qu'ils disposent d'une loi qui soit essentiellement similaire à la LPRPDÉ.

S'il y a décret, la LPRPDÉ ne s'applique pas à la collecte, à l'utilisation ou à la communication de renseignements personnels par des organisations assujetties à la loi provinciale. Néanmoins, les renseignements personnels, communiqués à l'extérieur de cette province ou du pays continueront d'être assujettis à la LPRPDÉ, laquelle continuera également de s'appliquer, dans les limites d'une province, aux ouvrages, aux entreprises et aux secteurs d'activités sous réglementation fédérale, ce qui comprend les banques, les compagnies aériennes, les radiodiffuseurs et les entreprises de télécommunications.

Processus d'évaluation des lois provinciales et territoriales

Le 22 septembre 2001, Industrie Canada a publié un avis établissant le processus que le Ministère utilisera pour déterminer si les lois provinciales ou territoriales sont réputées être essentiellement similaires.

Le processus sera enclenché lorsqu'une province, un territoire ou une organisation informera le ministre de l'Industrie d'une loi qui, à son avis, est essentiellement similaire à la LPRPDÉ. Le ministre peut aussi agir de son propre chef et recommander au gouverneur en conseil de désigner une loi provinciale ou territoriale comme étant essentiellement similaire.

Le ministre a déclaré qu'il sollicitera le point de vue du commissaire à la protection de la vie privée afin de déterminer si la législation est essentiellement similaire et il inclura le point de vue de ce dernier dans la soumission au gouverneur en conseil. Le processus offre également une occasion au public et aux parties intéressées de commenter la législation dont il est question.

Selon l'avis publié dans la Gazette du Canada, le ministre s'attend à ce que les lois essentiellement similaires des provinces ou des territoires comportent les éléments suivants :

• elles intègrent les dix principes de l'annexe 1 de la LPRPDÉ;
• elles prévoient un mécanisme de surveillance et de recours indépendant et efficace comportant des pouvoirs d'enquête;
• elles restreignent la collecte, l'utilisation et la communication des renseignements personnels à des fins appropriées ou légitimes.

Lois provinciales et territoriales adoptées à ce jour

Conformément au paragraphe 25(1) de la LPRPDÉ, le Commissariat à la protection de la vie privée est tenu de rendre compte chaque année au Parlement de la « mesure dans laquelle les provinces ont édicté des lois essentiellement similaires » à la Loi.

La Loi sur la protection des renseignements personnels dans le secteur privé de la province de Québec est entrée en vigueur, avec quelques exceptions, le 1^er janvier 1994. Elle contient des dispositions détaillées qui augmentent les droits à la protection des renseignements des articles 35 à 41 du Code civil du Québec et leur donnent force de loi. En novembre 2003, la gouverneure générale a pris un décret (C.P. 2003-1842, 19 novembre 2003) qui exclut certaines organisations de cette province, autres que des ouvrages, entreprises et secteurs d'activités fédéraux, du champ d'application de la LPRPDÉ.

Au printemps 2003, les provinces de la Colombie-Britannique et de l'Alberta ont déposé des textes de loi similaires, soit respectivement le projet de loi 38 et le projet de loi 44. Les deux projets de loi ont été adoptés par les assemblées législatives et sont entrés en vigueur le 1^er janvier 2004.

Les deux lois, qui portent le même titre, soit Personal Information Protection Act, sont similaires à la LPRPDÉ sans toutefois y être identiques, leur champ d'application étant plus vaste. Contrairement à la LPRPDÉ, ces lois s'appliquent à toutes les organisations, à quelques exceptions près, et non seulement à celles qui exercent des activités commerciales. De plus, contrairement à la LPRPDÉ, elles contiennent des règles régissant les renseignements personnels des employés qui diffèrent de celles visant les autres renseignements personnels. En outre, elles confèrent aux deux commissaires provinciaux le pouvoir de rendre des ordonnances, par exemple, pour exiger d'une organisation qu'elle donne à une personne accès aux renseignements personnels à son sujet ou pour exiger d'une organisation qu'elle cesse de recueillir, d'utiliser ou de communiquer certains de ces renseignements personnels. À titre comparatif, le commissaire à la protection de la vie privée du Canada ne jouit pas du pouvoir de rendre des ordonnances.

En nous fondant sur les critères établis dans cet avis, soit la présence des dix principes de l'annexe 1 de la LPRPDÉ, les examens et recours indépendants et une disposition limitant la collecte, l'utilisation et la communication des renseignements aux seules fins légitimes (le critère de la personne raisonnable), nous avons conclu que, dans l'ensemble, les lois de la Colombie-Britannique et de l'Alberta sont essentiellement similaires à la LPRPDÉ.

Une autre initiative législative mérite d'être signalée, à savoir le dépôt et l'adoption du projet de loi 31 de l'Ontario, la Loi sur la protection des renseignements sur la santé. La loi a reçu la sanction royale le 20 mai 2004 et devrait entrer en vigueur le 1^er novembre 2004. Nous poursuivons toujours notre examen de cette loi et ne sommes pas encore en mesure d'affirmer si elle est ou non réputée essentiellement similaire à la LPRPDÉ.

[Première partie] [Deuxième partie] [Troisième partie]