Nous procédons actuellement au transfert de nos services et de nos renseignements sur le Web vers Canada.ca.

Le site Web du Secrétariat du Conseil du Trésor du Canada restera accessible jusqu’à  ce que le transfert soit terminé.

Protéger les renseignements personnels - Un impératif : La stratégie fédérale visant à répondre aux préoccupations suscitées par la USA PATRIOT Act et le flux de données transfrontière


Informations archivées

Les informations archivées sont fournies aux fins de référence, de recherche ou de tenue de documents. Elles ne sont pas assujetties aux normes Web du gouvernement du Canada et n’ont pas été modifiées ou mises à  jour depuis leur archivage. Pour obtenir ces informations dans un autre format, veuillez communiquez avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Sommaire

Le gouvernement du Canada accorde une grande importance à la question de la protection des renseignements personnels, y compris les préoccupations exprimées au sujet des possibles risques que représentent des lois étrangères, telles que la USA PATRIOT Act1, pour la protection de ces renseignements.

Ces lois font ressortir le besoin d'uniformiser davantage les pratiques exemplaires actuelles en matière de protection des renseignements personnels à l'échelle du gouvernement fédéral, et de prendre des dispositions additionnelles afin de tabler sur les mesures de protection qui existent déjà et de les compléter.

Depuis plus d'un quart de siècle, le Canada est reconnu comme un chef de file mondial en ce qui a trait à la protection des renseignements personnels. Il a instauré des lois et des politiques innovatrices visant à assurer le respect des renseignements personnels de ses citoyens.

Cependant, des tendances et des événements récents ont soulevé de nouvelles inquiétudes quant à la protection adéquate des renseignements personnels des Canadiens et des Canadiennes par les gouvernements et les entreprises, lorsque ces renseignements circulent à l'extérieur du pays.

Flux de données transfrontière et impartition

La venue de nouvelles technologies de l'information, telles qu'Internet, permet de transférer rapidement et aisément des données d'un pays à l'autre, y compris les renseignements personnels et d'autres renseignements de nature délicate. On appelle « flux de données transfrontière » le transfert de telles données vers l'étranger.

Le flux de données transfrontière devient plus courant à mesure que les entreprises et les gouvernements font appel à l'impartition, une pratique consistant à engager un fournisseur pour administrer certaines activités, en raison souvent du fait que l'institution n'a pas de ressources suffisantes à l'interne pour améliorer l'efficience et les niveaux de services. Les institutions du gouvernement fédéral comptent au nombre des organismes qui recourent à l'impartition ou à la sous-traitance pour certains programmes et services.

Renseignements assujettis à des lois étrangères

Il arrive assez régulièrement qu'un organisme canadien impartisse à une société basée aux É.-U. ou dans un autre pays la gestion des renseignements personnels de Canadiens et de Canadiennes. Les renseignements conservés ou accessibles à l'extérieur du Canada peuvent être assujettis non seulement aux lois canadiennes, mais également à celles de l'autre pays.

L'une de ces lois est la USA PATRIOT Act. Celle-ci autorise les responsables américains de l'application de la loi à demander une ordonnance de la cour leur permettant d'accéder aux dossiers personnels de toute personne aux fins d'une enquête antiterroriste, et ce, à l'insu de la personne concernée.

En théorie, cela signifie que les responsables américains pourraient avoir accès à des renseignements concernant des Canadiens et des Canadiennes, si l'information se trouve physiquement sur le territoire des É.-U. ou si elle est accessible par voie électronique.

Une affaire portée devant un tribunal de la Colombie-Britannique à l'origine du débat national

En 2004, une affaire dont a été saisi un tribunal de la Colombie-Britannique (C.-B.) a donné naissance au débat national sur les répercussions potentielles que pouvait avoir la USA PATRIOT Act sur la protection des renseignements personnels des Canadiens et des Canadiennes.

Le British Columbia Government and Services Employees' Union a demandé une ordonnance visant à empêcher le gouvernement provincial de recourir aux services de la filiale canadienne d'une entreprise basée aux É.-U. pour administrer les dossiers médicaux de la province, en faisant valoir que le contrat ferait en sorte d'assujettir les renseignements contenus dans les dossiers à la USA PATRIOT Act.

Le syndicat a perdu sa cause devant le tribunal et en a appelé de la décision. La province, entre-temps, a maintenu l'impartition du marché à l'entreprise basée aux É.-U., mais non sans ajouter de nouvelles mesures de protection des renseignements personnels.

Outre la cause susmentionnée, le commissaire à l'information et à la protection de la vie privée de la C.-B. a procédé à un examen de la situation. Il en est arrivé à la conclusion que la question ne se limitait pas seulement à la USA PATRIOT Act – c'est-à-dire que le flux de données transfrontière pourrait donner accès aux renseignements sur des Canadiens et des Canadiennes en vertu de lois étrangères, et qu'il fallait que cette question soit prise en compte tant par le secteur public que le secteur privé.

La commissaire à la protection de la vie privée du Canada a approuvé les conclusions de l'examen et, de concert avec le commissaire de la C.-B., a demandé au gouvernement fédéral de prendre les mesures nécessaires pour améliorer la protection des renseignements personnels des Canadiens et des Canadiennes sujets à un flux transfrontière.

La stratégie du gouvernement fédéral

Le gouvernement du Canada a répondu aux préoccupations soulevées par la USA PATRIOT Act et les autres questions relatives au flux de données transfrontière en élaborant une stratégie fédérale. Le gouvernement est convaincu qu'il est possible à la fois de respecter et d'assurer le droit à la vie privée, en ce qui a trait aux renseignements clés, de nature personnelle et délicate, qu'il détient.

Les facteurs ci-après ont été pris en compte dans l'élaboration de la stratégie.

Responsabilité partagée : Le gouvernement fédéral n'agit pas seul. D'autres gouvernements, le secteur privé et les Canadiens et Canadiennes eux-mêmes ont tous un rôle à jouer dans la protection des renseignements personnels.

Approche équilibrée : La protection des renseignements personnels doit être envisagée par rapport à d'autres considérations importantes, au nombre desquelles : le besoin de permettre une impartition qui, à la fois, protège les renseignements personnels et donne lieu à des services de meilleure qualité pour les Canadiens et les Canadiennes; des ententes commerciales internationales autorisant un traitement juste et équitable des entreprises étrangères et jouant un rôle important dans la santé économique du Canada; le besoin d'assurer la protection du public et la sécurité nationale.

Importance de tabler sur les mesures existantes : Les mesures les plus récentes constituent une extension des mesures de protection des renseignements personnels mises en place bien avant l'adoption de la USA PATRIOT Act. Elles viennent compléter les lois précédentes, comme la Loi sur la protection des renseignements personnels, instaurée en 1983 afin d'obliger les institutions du gouvernement fédéral à respecter les droits des Canadiens et des Canadiennes en ce qui a trait à la vie privée. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est entrée pleinement en vigueur en janvier 2004, protège les renseignements personnels détenus par le secteur privé. En outre, le gouvernement du Canada a été la première administration nationale dans le monde à adopter une Politique d'évaluation des facteurs relatifs à la vie privée ayant un caractère obligatoire. Aux termes de la Politique, les ministères fédéraux sont tenus d'introduire un élément de protection des renseignements personnels lorsqu'ils modifient ou créent des programmes et des services qui recueillent ce type de renseignements.

En vertu de l'article 8 de la Charte canadienne des droits et libertés, la confidentialité de l'information bénéficie également d'une protection constitutionnelle.

La stratégie fédérale est constituée des étapes ci-après.

  1. Sensibilisation : Le gouvernement a fait en sorte de sensibiliser l'ensemble de ses 160 institutions assujetties à la Loi sur la protection des renseignements personnels quant aux questions relatives à la protection des renseignements personnels que soulève la USA PATRIOT Act.
  2. Détermination et atténuation des risques : Les institutions ont passé en revue leurs ententes d'impartition et de sous-traitance afin de déterminer tout risque découlant de la USA PATRIOT Act, d'évaluer la gravité de ces risques, de prendre les mesures correctrices s'il y a lieu, et de faire rapport au Secrétariat du Conseil du Trésor du Canada (le Secrétariat).

    Voici les résultats présentés au Secrétariat :

    La plupart des institutions fédérales, soit une proportion de 83 p. 100, ont classé leurs ententes d'impartition dans les catégories « risque inexistant » (77 institutions) et « risque faible » (57 institutions) en ce qui a trait à la USA PATRIOT Act ou à d'autres lois étrangères. Pour les institutions restantes, dont bon nombre mènent des activités à l'étranger, certaines impartitions ont été classées dans les catégories « risque faible à moyen » (19 institutions) et « risque moyen à élevé » (7 institutions). Il est à noter que si une institution a indiqué qu'un marché représentait un risque élevé, l'institution était classée par le fait même dans la catégorie à risque élevé. Dans tous les cas, les institutions ont pris ou prévoient prendre des mesures correctrices afin d'atténuer les risques.

  3. Orientation quant à la protection des renseignements personnels relativement à l'impartition : Depuis de nombreuses années, les institutions fédérales disposent de mesures de protection et de sécurité visant à protéger les renseignements personnels et de nature délicate qui sont manipulés ou accessibles par l'entremise d'un marché. Il existe également des stratégies de gestion des risques afin de pouvoir composer avec les questions émergentes en matière de protection des renseignements personnels, et les institutions ont défini, selon les besoins, d'autres mesures permettant d'atténuer les risques.

    Pratiques exemplaires existantes : Avant de conclure un marché avec un entrepreneur du secteur privé, des experts gouvernementaux de la sécurité peuvent procéder à l'inspection de ses installations afin de s'assurer qu'il est en mesure de protéger adéquatement les renseignements qu'il détiendra ou conservera pour le compte du gouvernement; il existe une exigence selon laquelle les renseignements de base doivent être conservés sur place, c'est-à-dire, que la totalité ou une partie des travaux doit être effectuée dans le ministère ou à l'intérieur du territoire canadien; on renvoie des dossiers ou on autorise la destruction de tous les dossiers à la fin d'un marché; on inclut aux marchés des clauses visant à assurer la confidentialité et il y a signature d'ententes de non-divulgation.

    Document d'orientation : Le gouvernement a produit un document d'orientation à l'intention des institutions fédérales, qui contient une liste de contrôle et des conseils de premier plan pour la prise en compte de la protection des renseignements personnels avant la conclusion des marchés. Il comporte également des exigences particulières pour maximiser la protection des renseignements personnels pouvant être utilisés dans les demandes de propositions (DP) et les marchés.

  4. Suivi : Le gouvernement prendra d'autres mesures afin d'atténuer davantage les risques.

Faits saillants des mesures en cours et des mesures prévues pour la prochaine année :

  • Suivi de l'évaluation des activités fédérales d'impartition, émission de conseils en matière de marché d'une manière suivie, et mise en œuvre de stratégies de gestion des risques pour l'impartition lorsque l'information peut être sujette à des risques découlant de la USA PATRIOT Act ou d'autres lois étrangères.
  • Assurance que les politiques gouvernementales clés s'harmonisent aux questions relatives à la protection des renseignements personnels et prennent en compte la nouvelle réalité mondiale.
  • Examen de la technologie et des solutions d'architecture des données afin de protéger les renseignements qui circulent, y compris l'utilisation de la technologie de chiffrement et les pistes de vérification électronique.
  • Surveillance permanente des nouvelles technologies, des tendances et des événements afin de contrer leurs répercussions possibles sur la protection des renseignements personnels.
  • Élaboration de lignes directrices additionnelles portant sur le partage d'information entre les gouvernements (au Canada et à l'étranger), sur la vérification des marchés et sur les solutions techniques de protection des renseignements personnels.
  • Sensibilisation et formation accrues relativement au flux de données transfrontière et aux mesures de protection fédérales existantes.

Faits saillants des mesures devant être prises d'ici deux ans :

  • Examen prévu en 2006 de la LPRPDE, et décision quant à savoir si la Loi sur la protection des renseignements personnels devrait également être examinée.
  • Élaboration d'un cadre de gestion de la protection des renseignements personnels visant à établir des normes élevées de protection des renseignements personnels à l'échelle du gouvernement fédéral.
  • Résolution des questions concernant la protection des renseignements personnels et le flux de données transfrontière, relativement au Partenariat pour la sécurité et la prospérité (PSP) récemment annoncé et qui lie le Canada, le Mexique et les É.-U.

Le gouvernement fédéral continuera également de partager les pratiques exemplaires avec les gouvernements provinciaux et territoriaux, ainsi qu'avec le secteur privé et les gouvernements étrangers, en ce qui a trait à la protection du flux de données transfrontière.



Date de modification :