Nous procédons actuellement au transfert de nos services et de nos renseignements sur le Web vers Canada.ca.

Le site Web du Secrétariat du Conseil du Trésor du Canada restera accessible jusqu’à  ce que le transfert soit terminé.

Protéger les renseignements personnels - Un impératif : La stratégie fédérale visant à répondre aux préoccupations suscitées par la USA PATRIOT Act et le flux de données transfrontière


Informations archivées

Les informations archivées sont fournies aux fins de référence, de recherche ou de tenue de documents. Elles ne sont pas assujetties aux normes Web du gouvernement du Canada et n’ont pas été modifiées ou mises à  jour depuis leur archivage. Pour obtenir ces informations dans un autre format, veuillez communiquez avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Annexe B : Détails des assises existantes

1. Le flux de données transfrontière – Une réalité qui ne date pas d'hier

En 1987, le Comité permanent de la justice et des droits de la personne de la Chambre des communes ainsi que le Solliciteur général du Canada ont présenté un rapport à la suite de l'examen triennal de la Loi sur la protection des renseignements personnels du Canada.

Le Comité a recommandé qu'on procède à une étude sur le flux transfrontière des renseignements personnels des Canadiens et des Canadiennes. Le gouvernement a commandé l'exécution d'une telle étude, laquelle a été publiée en 1990. Elle a permis de confirmer qu'il y avait un flux important de renseignements personnels vers des pays étrangers. Depuis ce temps, le flux de données transfrontière a considérablement augmenté.

L'étude fut la première à prouver officiellement l'existence d'un problème pour le Canada et, dans les années qui ont suivi, le gouvernement du Canada a mis en place et a appliqué une série de mesures de protection, qu'on se charge aujourd'hui d'examiner et d'actualiser.

2. Comment sont conservés les renseignements personnels

Certains Canadiens et Canadiennes ont l'impression que tous les renseignements que possède le gouvernement fédéral à leur sujet sont regroupés dans un seul et même dossier, ou encore qu'ils sont contenus dans une seule base de données. Dans les faits, chacune des institutions qui recueille, emmagasine et utilise des renseignements personnels conserve ses propres dossiers distincts pour chacun des programmes et services gouvernementaux qui nécessitent ces renseignements. Il existe un certain nombre de dossiers, en fonction du type de communication qu'ont eue les personnes avec le gouvernement.

Chaque institution est tenue responsable des renseignements sous son contrôle, et elle ne doit pas partager ceux-ci avec des tiers ou même avec d'autres institutions gouvernementales, à moins d'y être autorisée en vertu de la Loi sur la protection des renseignements personnels du Canada.

Le Secrétariat publie tous les ans des numéros d'Info Source, dont deux renferment des descriptions des fichiers de renseignements personnels (FRP), qui présentent un sommaire des types d'information que détient chacune des institutions fédérales sur les personnes. L'un d'eux décrit les FRP contenant des renseignements au sujet des employés fédéraux. L'autre renferme des descriptions de FRP en rapport avec toutes les personnes pour lesquelles le gouvernement du Canada détient des renseignements.

Vous êtes invités à consulter les publications aux Publications d'Info Source.

3. La Loi sur la protection des renseignements personnels

En promulguant la Partie IV de la Loi canadienne sur les droits de la personne, en 1978, qui a fait place en 1983 à la Loi sur la protection des renseignements personnels, le gouvernement du Canadaa montré qu'il reconnaissait l'importance de protéger les renseignements personnels et a établi la norme sur laquelle allaient être basées les lois provinciales similaires en matière de protection des renseignements personnels.

La Loi sur la protection des renseignements personnels du Canada oblige les institutions fédérales (tous les ministères fédéraux, la plupart des organismes fédéraux et quelques sociétés d'État) à respecter le droit des Canadiens et des Canadiennes à la vie privée en imposant des restrictions en matière de collecte, d'utilisation, de divulgation, de conservation et d'élimination des renseignements personnels.

En vertu de la Loi sur la protection des renseignements personnels, les Canadiens et les Canadiennes ont le droit d'accéder aux renseignements détenus à leur sujet, et ils peuvent demander qu'on y apporte des corrections s'ils ont l'impression que les renseignements les concernant ne sont plus à jour ou sont inexacts.

La Loi est fondée sur des principes reconnus à l'échelle internationale en matière de protection des renseignements personnels, selon lesquels toute personne devrait être autorisée à savoir :

  • quels sont les renseignements personnels recueillis à son sujet;
  • quand et comment on éliminera les renseignements personnels;
  • comment les renseignements personnels seront utilisés;
  • dans quelles circonstances les renseignements personnels peuvent être divulgués;
  • comment s'y prendre pour accéder aux renseignements personnels déjà recueillis ou pour corriger ceux-ci.

4. Autres lois

La Loi sur la protection des renseignements personnels n'est pas la seule mesure législative visant à protéger les renseignements personnels détenus par le gouvernement du Canada. L'article 8 de la Charte canadienne des droits et libertés peut offrir davantage de protection relativement au traitement de l'information personnelle.

Plusieurs autres lois régissant la façon dont le gouvernement fédéral traite les renseignements personnels s'accompagnent également de mesures de protection des renseignements personnels, dont bon nombre ajoutent un niveau de protection supplémentaire.

Par exemple, certaines catégories de renseignements personnels sont sujettes à une protection additionnelle en vertu de lois telles que la Loi de l'impôt sur le revenu, la Loi sur la statistique, la Loi sur l'assurance-emploi, la Loi sur la sécurité de la vieillesse et la Loi sur le Régime de pensions du Canada.

5. Politique d'évaluation des facteurs relatifs à la vie privée

En 2002, le gouvernement du Canada est devenu la première administration nationale au monde à rendre obligatoire la prise en compte de la protection des renseignements personnels dans la création ou la modification de programmes et de services gouvernementaux qui recueillent des renseignements personnels.

Aux termes de la Politique d'évaluation des facteurs relatifs à la vie privée, les institutions fédérales sont tenues de procéder à une analyse approfondie en vue de déterminer toute répercussion réelle ou potentielle sur la protection des renseignements personnels. En outre, la politique nécessite qu'on établisse un plan expliquant comment on s'y prendra pour réduire ou éliminer les risques potentiels concernant la protection des renseignements personnels.

La politique s'accompagne d'une série de lignes directrices visant à aider les institutions fédérales à procéder à leurs évaluations pour ce qui est de cibler et de régler les questions relatives à la protection des renseignements personnels, avant qu'elles ne se transforment en problèmes réels.

Dans certains cas, il est possible que le financement d'un programme gouvernemental soit refusé jusqu'à ce qu'on procède à une évaluation appropriée, et toutes les institutions doivent faire connaître publiquement les résultats de leurs évaluations.

6. Politiques et lignes directrices du Secrétariat

Le Secrétariat, à titre d'organisme habilité à soumettre des recommandations au Conseil du Trésor et à conseiller celui-ci, supervise une gamme de politiques, de directives, de lignes directrices et de règlements.

En plus d'être chargé de l'application de la Politique d'évaluation des facteurs relatifs à la vie privée, le Secrétariat est aussi responsable de ce qui suit :

  • Politique sur la protection des renseignements personnels et des données;
  • Politique sur les marchés;
  • Politique sur la gestion des risques;
  • Cadre de gestion intégrée du risque;
  • Politique du gouvernement sur la sécurité.

7. Mesures de sécurité

En plus de permettre le traitement des questions liées à la protection des renseignements personnels, les assises fédérales existantes permettent aussi d'assurer la sécurité de ceux-ci. Sans l'existence d'une infrastructure sécurisée visant à conserver l'information, la protection des renseignements personnels est menacée. Ces deux éléments sont donc importants et se complètent.

La Politique du gouvernement sur la sécurité et les clauses en matière de sécurité incluses dans les marchés que passe le gouvernement sont conçues de manière à assurer la sécurité des renseignements personnels.

Toutes les institutions fédérales sont tenues de se conformer à la Politique du gouvernement sur la sécurité lorsqu'elles partagent des renseignements détenus par le gouvernement du Canada. Cette dernière comporte des procédures visant la sauvegarde et la conservation des renseignements, et les institutions doivent respecter la politique et les normes de sécurité connexes lorsqu'elles passent des marchés.

8. Travaux publics et Services gouvernementaux Canada

Travaux publics et Services gouvernementaux Canada (TPSGC) joue un rôle de premier plan dans la sécurité des renseignements détenus par le gouvernement.

TPSGC se charge d'inspecter les installations que les entreprises privées utilisent pour conserver les renseignements sous le contrôle du gouvernement. Ces installations doivent recevoir une cote de sécurité, et tous les employés ayant accès aux renseignements doivent posséder la cote de fiabilité appropriée.

Si les renseignements sortent du Canada, TPSGC veille à ce que l'entreprise étrangère (et ses employés) respecte les exigences du gouvernement du Canada en matière de sécurité.

TPSGC est responsable des documents ci-après relatifs à la passation de marché et des documents connexes ayant trait à la sécurité :

  • Guide des clauses et conditions uniformisées d'achat;
  • Manuel de sécurité de l'industrie.

9. Le secteur privé et la Loi sur la protection des renseignements personnels et les documents électroniques

Jusqu'ici, on a abordé les mesures de protection s'appliquant uniquement aux renseignements sous le contrôle du gouvernement fédéral.

Or, des millions d'opérations sont également effectuées tous les jours dans le secteur privé.

Loi sur la protection des renseignements personnels et les documents électroniques

La loi canadienne visant à protéger les renseignements personnels détenus par les entités du secteur privé s'intitule Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

La LPRPDE s'applique à tous les organismes du secteur privé, y compris les entreprises, les associations, les syndicats et les groupes à but non lucratif.

L'entrée en vigueur de la LPRPDE s'est faite en trois étapes. Dans le cadre de la première étape, en 2001, elle a été appliquée aux projets du gouvernement fédéral et aux entreprises telles que les banques, les lignes aériennes et les compagnies ferroviaires. En 2002, la portée de la Loi a été élargie pour englober les renseignements personnels sur la santé. Enfin, en 2004, on a étendu la réglementation afin qu'elle s'applique à la collecte, à l'utilisation et à la divulgation des renseignements personnels effectuées par tout organisme engagé dans des activités commerciales.

Certains des règlements d'application les plus importants de la LPRPDE comportent les éléments suivants :

  • En vertu de la LPRPDE, une personne a le droit de savoir à quelles fins une organisation recueille, utilise ou divulgue des renseignements personnels qui la concerne (nom, âge, dossiers médicaux, état civil, revenu). En vertu de cette même Loi, l'organisation a également l'obligation d'informer, sur demande, la personne de la nature de l'information qu'elle détient à son sujet et de se conformer à toute demande visant à faire corriger les erreurs.
  • Les entreprises doivent obtenir le consentement de la personne concernée pour recueillir, utiliser ou divulguer des renseignements personnels, sauf dans certaines circonstances, notamment dans les cas où des renseignements sont nécessaires à une enquête ou dans des situations d'urgence mettant en danger la vie ou la sécurité de toute personne.
  • Dans les cas où l'organisation impartit le traitement des renseignements personnels à un tiers, l'organisation est tenue de s'assurer, par le biais de moyens contractuels, que l'information est protégée conformément aux exigences de la LPRPDE. Cette obligation s'applique peu importe le lieu géographique où se trouve le tiers, que ce soit au Canada ou à l'étranger.
  • Les organisations sont tenues de mettre en place des mécanismes de sécurité afin d'assurer que les renseignements personnels dont elles ont la garde sont protégés de l'accès, de l'utilisation ou de la divulgation non autorisés, ainsi que de la copie ou de modifications ultérieures.
  • En vertu de la LPRPDE, les intéressés peuvent déposer une plainte auprès de la commissaire à la protection de la vie privée du Canada relativement à la façon dont les organismes traitent les renseignements personnels qui les concernent.

L'Alberta, la C.-B. et le Québec ont adopté des lois essentiellement similaires à la LPRPDE. Les organisations assujetties à ces lois ont été exemptées de la LPRPDE pour les opérations conclues dans ces provinces. La LPRPDE continue de s'appliquer au mouvement de données transfrontalier inhérent aux activités de nature commerciale. La LPRPDE continue également de s'appliquer aux organisations régies par le gouvernement fédéral, telles que les sociétés de télécommunications, les radiodiffuseurs, les banques et les lignes aériennes.

10. Commissariat de la protection de la vie privée du Canada

La commissaire à la protection de la vie privée du Canada est une mandataire du Parlement relevant directement de la Chambre des communes et du Sénat.

La commissaire se charge de défendre le droit des Canadiens et des Canadiennes à la vie privée, et elle dispose des pouvoirs suivants :

  • faire enquête sur les plaintes et procéder à des vérifications et à des examens de conformité aux termes de deux lois fédérales, c'est-à-dire la Loi sur la protection des renseignements personnels et laLPRPDE;
  • publier des documents d'information portant sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé;
  • mener des recherches sur les questions entourant la protection des renseignements personnels;
  • en vertu de la LPRPDE, favoriser la sensibilisation et la compréhension du public canadien à l'égard des questions relatives à la protection des renseignements personnels.

La commissaire à la protection de la vie privée du Canada se charge, sans dépendre d'aucun autre secteur du gouvernement, d'enquêter sur les plaintes qui sont déposées par des personnes à l'endroit de la fonction publique fédérale et d'entreprises du secteur privé.

11. L'expérience du gouvernement du Canada en ce qui a trait à Internet

Outre le cadre existant de mesures de protection des renseignements personnels, mentionné précédemment, le gouvernement du Canada possède également une grande expérience en matière de protection des renseignements en ligne. En fait, le Canada est reconnu comme un chef de file mondial pour ce qui est de rendre les programmes et services gouvernementaux accessibles par le biais d'Internet.

Gouvernement en direct

Le projet Gouvernement en direct (GED) du gouvernement du Canada a commencé en 1999 et, aujourd'hui, 34 ministères et organismes fédéraux offrent aux citoyens et aux entreprises l'accès à une vaste gamme de services électroniques gouvernementaux alliant qualité et uniformité.

Le gouvernement du Canada est conscient que, pour assurer le succès de la prestation de services en ligne, il est impératif de se mériter et de maintenir la confiance des Canadiens et des Canadiennes. Les degrés de confiance en ce qui a trait à la sécurité et à la protection des renseignements personnels ont une incidence importante sur l'adhésion de la part des Canadiens et des Canadiennes et sur l'utilisation des services gouvernementaux offerts par le biais d'Internet.

Lors d'une enquête d'opinion publique sur les services gouvernementaux et le degré de satisfaction, effectuée en décembre 2004, 75 p. 100 des répondants ont mentionné que la sécurité et la confidentialité des renseignements personnels figuraient au nombre des aspects les plus importants de l'exécution d'opérations en ligne.

Selon une autre étude, le GED s'est mérité la confiance des Canadiens et des Canadiennes. Les résultats ci-après sont tirés d'une étude effectuée par Les Associés de recherche EKOS inc. en 2003, intitulée Repenser l'autoroute de l'information.

  • 53 p. 100 des Canadiens et des Canadiennes s'attendent à ce qu'au cours des cinq prochaines années, la plupart de leurs interactions avec le gouvernement du Canada s'effectueront par le biais d'Internet ou par courriel;
  • 70 p. 100 des internautes ont utilisé un site Web du gouvernement du Canada au cours des 12 derniers mois;
  • 1,2 million de Canadiens et de Canadiennes visitent le site du gouvernement du Canada tous les mois;
  • 34 p. 100 des Canadiens et des Canadiennes mentionnent que leur plus récente interaction avec le gouvernement du Canada s'est faite au moyen d'Internet;
  • 80 p. 100 des utilisateurs des services du gouvernement du Canada offerts par le biais d'Internet se sont dits satisfaits de ces services.

Voie de communication protégée et epass

La Voie de communication protégée est un portefeuille de services d'infrastructure formant la base du GED. Elle a pour but premier d'offrir aux citoyens et aux entreprises un accès en ligne sûr et confidentiel à tous les services du gouvernement fédéral.

La Voie de communication protégée permet :

  • de donner accès à des services pluriministériels et plurigouvernementaux;
  • de protéger les services gouvernementaux de technologie de l'information contre des attaques à la sécurité par le biais d'Internet;
  • d'offrir une suite de services à valeur ajoutée à l'appui de la prestation de services en ligne.

Au nombre des composantes de la Voie de communication protégée se trouve epass, un système qui permet de confirmer l'identité des utilisateurs d'Internet et qui leur donne l'assurance qu'ils sont bel et bien en train de traiter avec l'organisme gouvernemental souhaité.

Pour obtenir un epass, les clients valident leur identité en utilisant des secrets partagés (des renseignements connus seulement d'eux-mêmes et du ministère ou de l'organisme avec lequel ils traitent); ensuite, ils sont invités à choisir un nom d'usager et un mot de passe.

En faisant usage d'un epass, les clients peuvent communiquer des renseignements personnels par le biais d'Internet tout en sachant que seul le destinataire voulu y aura accès. Il leur est même possible d'apposer leur signature électronique à des documents, ce qui évite d'avoir à se rendre à un comptoir quelconque pour conclure une transaction. Le système epass permet aussi aux clients de naviguer plus facilement de l'un à l'autre des divers services en ligne, car ils n'ont pas à s'inscrire plus d'une fois à chaque programme ni à se souvenir de multiples mots de passe s'ils choisissent d'utiliser le même epass pour tous les programmes.

Jusqu'à présent, le gouvernement du Canada a émis 900 000 epass à des Canadiens et à des Canadiennes.

Avis de confidentialité

Les Canadiens et les Canadiennes sont tenus à l'affût des politiques de confidentialité de chacune des institutions au moyen des avis de confidentialité, qui doivent figurer dans tous les sites Web du gouvernement.

Outre les avis généraux, une déclaration de confidentialité apparaît avant chaque demande de renseignements personnels. Cette déclaration avise l'utilisateur du site Web de la raison pour laquelle les renseignements sont demandés et comment ils seront recueillis, conservés et divulgués, puis elle invite l'utilisateur à donner son consentement avant de conclure l'opération.

L'affichage des déclarations constitue la première étape lorsqu'on remplit tout formulaire de demande à partir d'un site Web du gouvernement du Canada, et elles fournissent l'information nécessaire pour décider de façon éclairée si on fait une demande relativement à un programme ou à un service gouvernemental par le biais d'Internet, si on choisit une autre voie de communication, comme le téléphone, ou si on s'abstient complètement de recourir au programme ou au service, dans le cas où la participation est volontaire.

1 « USA PATRIOT » est l'acronyme de « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism » (Unifier et renforcer les États-Unis en se dotant des outils appropriés et nécessaires pour prévenir le terrorisme et y faire obstacle [traduction]).

2 « USA PATRIOT » est l'acronyme de « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism » (Unifier et renforcer les États-Unis en se dotant des outils appropriés et nécessaires pour prévenir le terrorisme et y faire obstacle [traduction]).



Date de modification :