Nous procédons actuellement au transfert de nos services et de nos renseignements sur le Web vers Canada.ca.

Le site Web du Secrétariat du Conseil du Trésor du Canada restera accessible jusqu’à  ce que le transfert soit terminé.

Protéger les renseignements personnels - Un impératif : La stratégie fédérale visant à répondre aux préoccupations suscitées par la USA PATRIOT Act et le flux de données transfrontière

Informations archivées

Les informations archivées sont fournies aux fins de référence, de recherche ou de tenue de documents. Elles ne sont pas assujetties aux normes Web du gouvernement du Canada et n’ont pas été modifiées ou mises à  jour depuis leur archivage. Pour obtenir ces informations dans un autre format, veuillez communiquez avec nous.



Table des matières



Sommaire

Le gouvernement du Canada accorde une grande importance à la question de la protection des renseignements personnels, y compris les préoccupations exprimées au sujet des possibles risques que représentent des lois étrangères, telles que la USA PATRIOT Act1, pour la protection de ces renseignements.

Ces lois font ressortir le besoin d'uniformiser davantage les pratiques exemplaires actuelles en matière de protection des renseignements personnels à l'échelle du gouvernement fédéral, et de prendre des dispositions additionnelles afin de tabler sur les mesures de protection qui existent déjà et de les compléter.

Depuis plus d'un quart de siècle, le Canada est reconnu comme un chef de file mondial en ce qui a trait à la protection des renseignements personnels. Il a instauré des lois et des politiques innovatrices visant à assurer le respect des renseignements personnels de ses citoyens.

Cependant, des tendances et des événements récents ont soulevé de nouvelles inquiétudes quant à la protection adéquate des renseignements personnels des Canadiens et des Canadiennes par les gouvernements et les entreprises, lorsque ces renseignements circulent à l'extérieur du pays.

Flux de données transfrontière et impartition

La venue de nouvelles technologies de l'information, telles qu'Internet, permet de transférer rapidement et aisément des données d'un pays à l'autre, y compris les renseignements personnels et d'autres renseignements de nature délicate. On appelle « flux de données transfrontière » le transfert de telles données vers l'étranger.

Le flux de données transfrontière devient plus courant à mesure que les entreprises et les gouvernements font appel à l'impartition, une pratique consistant à engager un fournisseur pour administrer certaines activités, en raison souvent du fait que l'institution n'a pas de ressources suffisantes à l'interne pour améliorer l'efficience et les niveaux de services. Les institutions du gouvernement fédéral comptent au nombre des organismes qui recourent à l'impartition ou à la sous-traitance pour certains programmes et services.

Renseignements assujettis à des lois étrangères

Il arrive assez régulièrement qu'un organisme canadien impartisse à une société basée aux É.-U. ou dans un autre pays la gestion des renseignements personnels de Canadiens et de Canadiennes. Les renseignements conservés ou accessibles à l'extérieur du Canada peuvent être assujettis non seulement aux lois canadiennes, mais également à celles de l'autre pays.

L'une de ces lois est la USA PATRIOT Act. Celle-ci autorise les responsables américains de l'application de la loi à demander une ordonnance de la cour leur permettant d'accéder aux dossiers personnels de toute personne aux fins d'une enquête antiterroriste, et ce, à l'insu de la personne concernée.

En théorie, cela signifie que les responsables américains pourraient avoir accès à des renseignements concernant des Canadiens et des Canadiennes, si l'information se trouve physiquement sur le territoire des É.-U. ou si elle est accessible par voie électronique.

Une affaire portée devant un tribunal de la Colombie-Britannique à l'origine du débat national

En 2004, une affaire dont a été saisi un tribunal de la Colombie-Britannique (C.-B.) a donné naissance au débat national sur les répercussions potentielles que pouvait avoir la USA PATRIOT Act sur la protection des renseignements personnels des Canadiens et des Canadiennes.

Le British Columbia Government and Services Employees' Union a demandé une ordonnance visant à empêcher le gouvernement provincial de recourir aux services de la filiale canadienne d'une entreprise basée aux É.-U. pour administrer les dossiers médicaux de la province, en faisant valoir que le contrat ferait en sorte d'assujettir les renseignements contenus dans les dossiers à la USA PATRIOT Act.

Le syndicat a perdu sa cause devant le tribunal et en a appelé de la décision. La province, entre-temps, a maintenu l'impartition du marché à l'entreprise basée aux É.-U., mais non sans ajouter de nouvelles mesures de protection des renseignements personnels.

Outre la cause susmentionnée, le commissaire à l'information et à la protection de la vie privée de la C.-B. a procédé à un examen de la situation. Il en est arrivé à la conclusion que la question ne se limitait pas seulement à la USA PATRIOT Act – c'est-à-dire que le flux de données transfrontière pourrait donner accès aux renseignements sur des Canadiens et des Canadiennes en vertu de lois étrangères, et qu'il fallait que cette question soit prise en compte tant par le secteur public que le secteur privé.

La commissaire à la protection de la vie privée du Canada a approuvé les conclusions de l'examen et, de concert avec le commissaire de la C.-B., a demandé au gouvernement fédéral de prendre les mesures nécessaires pour améliorer la protection des renseignements personnels des Canadiens et des Canadiennes sujets à un flux transfrontière.

La stratégie du gouvernement fédéral

Le gouvernement du Canada a répondu aux préoccupations soulevées par la USA PATRIOT Act et les autres questions relatives au flux de données transfrontière en élaborant une stratégie fédérale. Le gouvernement est convaincu qu'il est possible à la fois de respecter et d'assurer le droit à la vie privée, en ce qui a trait aux renseignements clés, de nature personnelle et délicate, qu'il détient.

Les facteurs ci-après ont été pris en compte dans l'élaboration de la stratégie.

Responsabilité partagée : Le gouvernement fédéral n'agit pas seul. D'autres gouvernements, le secteur privé et les Canadiens et Canadiennes eux-mêmes ont tous un rôle à jouer dans la protection des renseignements personnels.

Approche équilibrée : La protection des renseignements personnels doit être envisagée par rapport à d'autres considérations importantes, au nombre desquelles : le besoin de permettre une impartition qui, à la fois, protège les renseignements personnels et donne lieu à des services de meilleure qualité pour les Canadiens et les Canadiennes; des ententes commerciales internationales autorisant un traitement juste et équitable des entreprises étrangères et jouant un rôle important dans la santé économique du Canada; le besoin d'assurer la protection du public et la sécurité nationale.

Importance de tabler sur les mesures existantes : Les mesures les plus récentes constituent une extension des mesures de protection des renseignements personnels mises en place bien avant l'adoption de la USA PATRIOT Act. Elles viennent compléter les lois précédentes, comme la Loi sur la protection des renseignements personnels, instaurée en 1983 afin d'obliger les institutions du gouvernement fédéral à respecter les droits des Canadiens et des Canadiennes en ce qui a trait à la vie privée. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est entrée pleinement en vigueur en janvier 2004, protège les renseignements personnels détenus par le secteur privé. En outre, le gouvernement du Canada a été la première administration nationale dans le monde à adopter une Politique d'évaluation des facteurs relatifs à la vie privée ayant un caractère obligatoire. Aux termes de la Politique, les ministères fédéraux sont tenus d'introduire un élément de protection des renseignements personnels lorsqu'ils modifient ou créent des programmes et des services qui recueillent ce type de renseignements.

En vertu de l'article 8 de la Charte canadienne des droits et libertés, la confidentialité de l'information bénéficie également d'une protection constitutionnelle.

La stratégie fédérale est constituée des étapes ci-après.

  1. Sensibilisation : Le gouvernement a fait en sorte de sensibiliser l'ensemble de ses 160 institutions assujetties à la Loi sur la protection des renseignements personnels quant aux questions relatives à la protection des renseignements personnels que soulève la USA PATRIOT Act.
  2. Détermination et atténuation des risques : Les institutions ont passé en revue leurs ententes d'impartition et de sous-traitance afin de déterminer tout risque découlant de la USA PATRIOT Act, d'évaluer la gravité de ces risques, de prendre les mesures correctrices s'il y a lieu, et de faire rapport au Secrétariat du Conseil du Trésor du Canada (le Secrétariat).

    Voici les résultats présentés au Secrétariat :

    La plupart des institutions fédérales, soit une proportion de 83 p. 100, ont classé leurs ententes d'impartition dans les catégories « risque inexistant » (77 institutions) et « risque faible » (57 institutions) en ce qui a trait à la USA PATRIOT Act ou à d'autres lois étrangères. Pour les institutions restantes, dont bon nombre mènent des activités à l'étranger, certaines impartitions ont été classées dans les catégories « risque faible à moyen » (19 institutions) et « risque moyen à élevé » (7 institutions). Il est à noter que si une institution a indiqué qu'un marché représentait un risque élevé, l'institution était classée par le fait même dans la catégorie à risque élevé. Dans tous les cas, les institutions ont pris ou prévoient prendre des mesures correctrices afin d'atténuer les risques.

  3. Orientation quant à la protection des renseignements personnels relativement à l'impartition : Depuis de nombreuses années, les institutions fédérales disposent de mesures de protection et de sécurité visant à protéger les renseignements personnels et de nature délicate qui sont manipulés ou accessibles par l'entremise d'un marché. Il existe également des stratégies de gestion des risques afin de pouvoir composer avec les questions émergentes en matière de protection des renseignements personnels, et les institutions ont défini, selon les besoins, d'autres mesures permettant d'atténuer les risques.

    Pratiques exemplaires existantes : Avant de conclure un marché avec un entrepreneur du secteur privé, des experts gouvernementaux de la sécurité peuvent procéder à l'inspection de ses installations afin de s'assurer qu'il est en mesure de protéger adéquatement les renseignements qu'il détiendra ou conservera pour le compte du gouvernement; il existe une exigence selon laquelle les renseignements de base doivent être conservés sur place, c'est-à-dire, que la totalité ou une partie des travaux doit être effectuée dans le ministère ou à l'intérieur du territoire canadien; on renvoie des dossiers ou on autorise la destruction de tous les dossiers à la fin d'un marché; on inclut aux marchés des clauses visant à assurer la confidentialité et il y a signature d'ententes de non-divulgation.

    Document d'orientation : Le gouvernement a produit un document d'orientation à l'intention des institutions fédérales, qui contient une liste de contrôle et des conseils de premier plan pour la prise en compte de la protection des renseignements personnels avant la conclusion des marchés. Il comporte également des exigences particulières pour maximiser la protection des renseignements personnels pouvant être utilisés dans les demandes de propositions (DP) et les marchés.

  4. Suivi : Le gouvernement prendra d'autres mesures afin d'atténuer davantage les risques.

Faits saillants des mesures en cours et des mesures prévues pour la prochaine année :

Faits saillants des mesures devant être prises d'ici deux ans :

Le gouvernement fédéral continuera également de partager les pratiques exemplaires avec les gouvernements provinciaux et territoriaux, ainsi qu'avec le secteur privé et les gouvernements étrangers, en ce qui a trait à la protection du flux de données transfrontière.



1. Introduction

Rôle du Secrétariat du Conseil du Trésor du Canada

Le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) produit le présent rapport pour faire le point auprès du Parlement et des Canadiens et Canadiennes au sujet de la stratégie fédérale visant à répondre aux préoccupations en matière de protection de renseignements personnels issues de la USA PATRIOT Act2 et la possibilité que des lois étrangères puissent avoir une incidence sur la protection des renseignements personnels des Canadiens et des Canadiennes.

Le président du Conseil du Trésor est le ministre désigné pour l'émission des directives pangouvernementales concernant l'administration de la Loi sur la protection des renseignements personnels. Le Secrétariat appuie le président dans son rôle et émet aussi des politiques en matière de sécurité, de passation de marchés et d'approvisionnement à l'échelle du gouvernement. Le Secrétariat a donc constitué le choix logique pour ce qui est de coordonner les efforts pangouvernementaux d'examen de la protection et de la sécurité des renseignements personnels dans les marchés.

Objectifs du rapport

Le présent rapport poursuit les objectifs suivants :

Faits à l'appui

La protection des renseignements personnels est définie comme le droit fondamental des personnes d'exercer un contrôle sur la collecte, l'utilisation et la divulgation des renseignements les concernant. La sécurité, en corrélation avec la protection des renseignements personnels, est le processus visant à évaluer les menaces et les risques que courent les renseignements et à prendre les mesures nécessaires pour protéger ceux-ci.



2. Contexte

Économie actuelle axée sur l'information

L'information et les connaissances, dans une large part, figurent aujourd'hui parmi les principaux éléments créateurs de richesse à l'échelle des pays industrialisés.

Grâce aux nouvelles technologies, le Canada forme aujourd'hui une société axée sur l'information.

Internet et les logiciels perfectionnés permettent aux entreprises, aux gouvernements et aux personnes de partager aisément l'information avec autrui et de mener des activités à partir de tout lieu et en tout temps.

Flux de données transfrontière et impartition

Le flux de données informatisées d'un pays à l'autre, y compris les renseignements personnels et de nature délicate, est appelé « flux de données transfrontière ».

Le flux de données transfrontière augmente chaque jour et cela est dû, en partie, au fait que l'on s'appuie de plus en plus sur l'impartition, une pratique selon laquelle les entreprises et les gouvernements engagent un fournisseur externe pour mettre en œuvre un programme ou pour fournir un service, comme gérer une base de données. Cela permet souvent de réaliser des économies et d'améliorer les niveaux de service.

La pratique de l'impartition, aussi connue sous le nom de sous-traitance, a pris une ampleur internationale. Une entreprise située au Canada peut impartir la gestion de certaines de ses activités, y compris la conservation et le traitement de renseignements personnels, à un autre organisme basé dans un autre pays.

Bien que le flux de données transfrontière ait donné lieu à des gains d'efficacité, à un accès à de nouveaux produits et services, ainsi qu'à des avantages sur le plan économique, le transfert de renseignements personnels d'un pays à l'autre a également soulevé des inquiétudes – à savoir, que les renseignements tombent entre les mains de personnes à qui ils ne sont pas destinés.

Cette dernière possibilité pourrait, quant à elle, mener à un empiétement sur le droit à la protection des renseignements personnels.

La protection des renseignements personnels, un droit fondamental au Canada

Le droit à la protection des renseignements personnels est depuis longtemps considéré comme un droit fondamental au Canada.

La Déclaration universelle des droits de l'homme et le Pacte international relatif aux droits civils et politiques des Nations Unies consacrent la protection des renseignements personnels en tant que droit fondamental de la personne ou que valeur se trouvant au cœur même de la protection de la dignité humaine et de l'autonomie, au même titre que la Charte canadienne des droits et libertés.

Pour la plupart des Canadiens et des Canadiennes, la protection des renseignements personnels renvoie à une question de contrôle – le droit de pouvoir contrôler les renseignements personnels les concernant.

Il ne faut donc pas se surprendre que, lors d'une récente enquête, nombre de Canadiens et de Canadiennes se soient dits préoccupés par le flux de données transfrontière.

Opinion publique

Selon une enquête menée par Les Associés de recherche EKOS inc. pour le compte du Commissariat à la protection de la vie privée du Canada (intitulée Les Canadiens et les Canadiennes, la protection des renseignements personnels et les nouveaux enjeux), la majorité des Canadiens et des Canadiennes ont exprimé une inquiétude relativement au transfert des renseignements personnels d'un pays à l'autre.

Les résultats de l'enquête ont confirmé que le transfert des renseignements personnels d'un pays à l'autre représentait une question complexe liée aux politiques et, parmi les questions d'importance, on compte celles qui ont trait à la protection des renseignements personnels, à l'économie et à la sécurité nationale. Vous êtes invités à consulter le rapport sur le site Web de la commissaire.

Une autre étude récente (août 2005), intitulée La protection des renseignements personnels : Le citoyen face au service public, a montré que les Canadiens et les Canadiennes s'inquiètent du fait que les gouvernements détiennent des dossiers détaillés les concernant, mais qu'ils sont prêts à faire des compromis pour obtenir de meilleurs services, tant et aussi longtemps que des mesures de protection appropriées sont en place. L'étude, qui a porté sur la question du partage d'information entre les ministères en vue d'améliorer les services, a été effectuée par le Conseil national Traverser les frontières, un organisme non gouvernemental formé de hauts fonctionnaires et de représentants élus provenant de tous les ordres de gouvernement et de la collectivité autochtone.

Dans le rapport, le Conseil national Traverser les frontières recommande que les gouvernements se chargent d'établir des mesures de protection rigoureuses concernant l'accès aux renseignements personnels, tout en s'assurant que ces mesures soient assez souples pour ne pas trop nuire aux organes gouvernementaux qui souhaitent partager entre eux de l'information selon des méthodes nouvelles. Vous êtes invités à consulter le rapport sur le site Web suivant.

La Colombie-Britannique et la USA PATRIOT Act

Les questions entourant le flux transfrontière de renseignements personnels a pris le devant de la scène au Canada, à la suite d'une affaire dont a été saisi un tribunal de la C.-B. en 2004.

Le British Columbia Government and Services Employees' Union a demandé une ordonnance afin d'empêcher le gouvernement provincial de recourir aux services de la filiale canadienne d'une entreprise basée aux É.-U. pour administrer les dossiers médicaux de la province.

Le syndicat a fait valoir que le marché conclu avec l'entreprise basée aux É.-U. pourrait faire en sorte d'autoriser les responsables américains de l'application de la loi à examiner les dossiers médicaux de citoyens et citoyennes de la C.-B., en vertu de la USA PATRIOT Act.

Finalement, en mars 2005, la Cour suprême de la C.-B. a rejeté la contestation du syndicat – celui-ci a depuis interjeté appel.

À l'été et à l'automne 2004, le Commissariat à l'information et à la protection de la vie privée de la C.-B. a examiné la question, a demandé qu'on lui soumette des mémoires afin de connaître les divers points de vue, et a formulé des recommandations à l'intention des gouvernements de la C.-B. et du Canada. Le commissaire a conclu qu'il s'agissait d'une question dépassant le champ d'influence de la province, et qu'elle touchait le Canada dans son entier.

Faits à l'appui

La USA PATRIOT Act

  • Dans la USA PATRIOT Act, « USA PATRIOT » est l'acronyme de « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism » (Unifier et renforcer les États-Unis en se dotant des outils appropriés et nécessaires pour prévenir le terrorisme et y faire obstacle [traduction]).
  • Elle a été édictée en 2001 par le Congrès des É.-U.
  • Elle modifie la U.S. Foreign Intelligence Surveillance Act, afin de permettre au Federal Bureau of Investigation (FBI) de demander une ordonnance de la cour en vue d'obtenir des dossiers, des papiers, des documents et d'autres éléments dans le cadre d'enquêtes sur des activités terroristes ou des activités clandestines de renseignement.
  • En vertu de l'article 215 de la USA PATRIOT Act, le FBI pourrait demander l'obtention de dossiers détenus par des entreprises basées aux É.-U. ou de dossiers auxquels les entreprises basées aux
    É.-U. ont directement accès, et obliger les entreprises à ne pas divulguer ces demandes de renseignements.

L'examen mené par le commissaire à l'information et à la protection de la vie privée de la C.-B.

  • Le commissaire à l'information et à la protection de la vie privée de la C.-B. a reçu 500 mémoires provenant, entre autres, d'administrations publiques, d'entreprises et de syndicats, canadiens pour la plupart, mais également des É.-U. et d'Europe.
  • Il s'est dégagé un consensus quant au fait que les autorités américaines pouvaient, dans certaines circonstances, utiliser les pouvoirs conférés par la USA PATRIOT Act pour accéder à des renseignements concernant les citoyens et citoyennes de la C.-B., si ces renseignements étaient accessibles en vertu des lois américaines. Cependant, les opinions variaient grandement quant à savoir si le risque que cela se produise réellement était faible ou élevé.

Un sujet d'ampleur mondiale

Les mémoires présentés au commissaire à l'information et à la protection de la vie privée de la C.-B. ont soulevé des questions plus larges concernant la protection des renseignements personnels à une époque marquée par la mondialisation de l'économie, la peur généralisée du terrorisme et le flux de données transfrontière.

On note qu'il existe des risques relatifs à la protection des renseignements personnels dès qu'il y a flux de données transfrontière, car de nombreux pays se sont dotés de lois antiterroristes et de mesures de sécurité qui confèrent des pouvoirs semblables à ceux de la USA PATRIOT Act.

En conséquence, dans son rapport, le commissaire à l'information et à la protection de la vie privée de la C.-B. suggère que les mesures existantes de protection des renseignements personnels fassent l'objet d'un examen de la part de toutes les administrations à l'échelle du Canada et au niveau international, et ce, tant dans les secteurs public que privé.

La commissaire à la protection de la vie privée du Canada a approuvé ces conclusions.

Mémoire de la commissaire à la protection de la vie privée du Canada

Dans le cadre de l'examen, la commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, a présenté un mémoire qui a salué les efforts du commissaire à l'information et à la protection de la vie privée de la C.-B. visant à déterminer les répercussions de la USA PATRIOT Act.

Elle était d'accord pour dire que la situation de la C.-B. s'inscrivait dans une question d'une portée plus générale, à savoir, la mesure dans laquelle le Canada et les autres pays partagent entre eux des renseignements personnels au sujet de leurs citoyens et de leurs citoyennes, et jusqu'à quel point les gouvernements d'autres pays peuvent accéder aux renseignements transférés à l'étranger pour des fins commerciales.

La commissaire à la protection de la vie privée du Canada a souligné les mesures pouvant être prises, y compris le fait de rappeler aux entreprises privées leurs obligations en vertu des lois fédérales et provinciales, et elle a mentionné que son bureau comptait procéder à l'étude des ententes de partage de l'information entre les gouvernements du Canada et des É.-U.

Elle a demandé au gouvernement du Canada d'examiner les circonstances dans lesquelles le flux de données transfrontière pouvait donner l'accès, à l'extérieur du Canada, aux renseignements personnels sur des Canadiens et des Canadiennes.

Faits à l'appui

La commissaire à la protection de la vie privée du Canada conclut qu'il est peu probable que la USA PATRIOT Act soit la mesure utilisée en premier lieu pour accéder aux renseignements

La commissaire à la protection de la vie privée du Canada en vient à la conclusion qu'il est peu probable que la USA PATRIOT Act constitue la procédure normale pour obtenir des renseignements personnels détenus aux É.-U. au sujet de Canadiens et de Canadiennes, un point de vue que partage l'Association canadienne de la technologie de l'information.

Selon la commissaire, il est plus probable qu'on continue d'utiliser d'autres moyens d'obtenir les renseignements, tels que les subpoenas de grand jury, les mandats de perquisition ordinaires et les ententes d'échange d'information existantes ou les traités bilatéraux d'assistance juridique mutuelle qu'ont signés les gouvernements du Canada et des É.-U.

Établir un juste équilibre entre la protection des renseignements personnels et les autres priorités

Le commissaire de la C.-B., la commissaire du Canada et le public canadien reconnaissent tous que le règlement des questions entourant le flux de données transfrontière ne se limite pas seulement à prendre en compte la protection des renseignements personnels.

Il y a d'autres éléments qui entrent en jeu, comme les questions de rentabilité, d'efficacité des services et d'avantages économiques importants associées à l'impartition, ainsi que l'obligation pour le Canada de respecter les ententes commerciales qu'il a conclues et la nécessité d'assurer la sécurité nationale.

Impartition

Il y a impartition ou sous-traitance lorsqu'un organisme engage une entreprise pour accomplir certaines fonctions afin de réaliser des économies et d'améliorer les niveaux de service. Les entreprises font souvent appel à des firmes qui peuvent être basées à l'étranger pour exécuter les tâches administratives et de traitement des données, ce qui leur permet de se concentrer sur leurs activités de base.

Le Canada recourt abondamment aux ententes de sous-traitance à la fois comme utilisateur et fournisseur, et tire avantage de cette pratique. De nombreuses entreprises canadiennes concluent des ententes de sous-traitance avec d'autres entreprises basées aux É.-U. pour recevoir et fournir des services. Les administrations publiques ont recours également à la sous-traitance pour recevoir des services.

Activités d'impartition du gouvernement fédéral

Le gouvernement fédéral a conclu un grand nombre d'ententes contractuelles visant à améliorer la rentabilité des fonctions.

La plupart de ces marchés visent à obtenir des biens et services à l'usage du gouvernement. Ils peut s'agir de marchés ordinaires servant à acquérir de l'équipement, des logiciels, des services de télécommunications, de la formation, ou encore des services tels que ceux concernant le personnel temporaire, l'informatique, la consultation, l'entretien et les réparations, aux ententes contractuelles extrêmement complexes faisant intervenir le transfert ou l'exécution d'une fonction de programme ou de service à un entrepreneur.

Le gouvernement fédéral favorise la conclusion d'ententes innovatrices avec des fournisseurs afin de réaliser des économies et d'améliorer le service offert au public. L'impartition est perçue comme un moyen crucial de fournir des services plus flexibles et adaptés aux Canadiens et aux Canadiennes.

Cependant, la protection des renseignements personnels doit toujours être prise en compte lorsqu'on détermine si l'impartition est appropriée.

Faits à l'appui

Le Canada est l'un des principaux bénéficiaires de la sous-traitance

La Conférence des Nations Unies sur le commerce et le développement a donné lieu, en 2004, à la publication d'un rapport intitulé Rapport sur l'investissement dans le monde 2004 : la montée en puissance du secteur des services, qui indique que les pays ayant le plus profité de la sous-traitance à l'étranger sont l'Irlande, le Canada, Israël et l'Inde.(Voir : le site web suivant.)

Sous-traitance de services de technologie de l'information par le gouvernement fédéral

Les ententes contractuelles conclues par le gouvernement fédéral en matière de technologie de l'information peuvent concerner simplement la conservation ou l'archivage des renseignements gouvernementaux, l'exploitation ou la gestion de systèmes informatiques, ou encore l'exécution de la fonction complète des services de technologie de l'information d'une institution ou d'un organisme gouvernemental.

Les services de technologie de l'information peuvent également être impartis afin de soutenir l'exécution d'une fonction ou d'un programme gouvernemental qui suppose la collecte, l'utilisation ou la divulgation de renseignements personnels pour une période déterminée, alors que la responsabilité du programme ou de la fonction continue d'incomber au gouvernement.

Accords commerciaux internationaux

Dans le cadre de sa réponse aux préoccupations du public concernant la protection des renseignements personnels, le gouvernement de la C.-B. a modifié sa Freedom of Information and Protection of Privacy Act. Les modifications ont imposé de nouvelles restrictions aux organes publics et aux fournisseurs de services en ce qui a trait à la conservation, à l'accessibilité et à la divulgation des renseignements personnels hors du Canada.

Il n'est pas question pour l'instant d'apporter des modifications semblables à la Loi sur la protection des renseignements personnels. Cela est dû au fait qu'une telle mesure encouragerait d'autres gouvernements étrangers à faire de même et entraînerait une diminution considérable des avantages économiques que tire le Canada de l'impartition de tâches à des fournisseurs canadiens. En outre, le gouvernement fédéral est tenu de respecter les accords commerciaux internationaux ne liant pas les gouvernements provinciaux.

Le Canada a signé un certain nombre d'accords internationaux, dont l'Accord de libre-échange nord-américain et l'Accord sur les marchés publics de l'Organisation mondiale du commerce (OMC).

Tout changement possible aux lois canadiennes devrait nécessairement respecter en tout point ces accords commerciaux internationaux, qui sont en place depuis longtemps déjà. Cela est d'une extrême importance, car les accords commerciaux jouent un rôle majeur dans l'économie canadienne.

Faits à l'appui

Le commerce international est vital pour le Canada

Au Canada, un emploi sur quatre est lié au commerce international.

L'économie mondiale ne concerne pas que les entreprises, les organismes et les gouvernements. Les citoyens et les citoyennes, pris individuellement, y participent également, et les Canadiens et Canadiennes comptent au nombre des plus importants utilisateurs du commerce électronique.

On se charge d'établir un juste équilibre entre le besoin de protéger les renseignements personnels et la liberté d'utiliser sa carte de crédit pour faire des achats par l'entremise d'Internet ou d'utiliser un guichet automatique où que ce soit dans le monde.

Le moyen le plus efficace de protéger les renseignements personnels

Les lois fédérales concernant la sauvegarde de la vie privée offrent une protection appropriée des renseignements personnels des Canadiens et des Canadiennes. À celles-ci viennent s'ajouter des politiques qui régissent la façon dont les institutions gouvernementales mènent leurs activités, ainsi que des clauses contractuelles et des pratiques exemplaires qui déterminent les obligations des entrepreneurs en ce qui a trait à la protection des renseignements personnels.

Une responsabilité partagée

Il n'y a pas que le gouvernement fédéral qui adopte une approche équilibrée quant à la protection des renseignements personnels : la protection de ces renseignements est une responsabilité partagée.

Autres ordres de gouvernement

Les administrations provinciales, territoriales et locales ont toutes l'obligation de protéger les renseignements qui sont sous leur contrôle. Les provinces et les territoires, tout comme le gouvernement fédéral, disposent de lois et de politiques qui régissent la collecte, l'utilisation, la divulgation et la conservation des renseignements personnels.

Entreprises et organismes du secteur privé

Le secteur privé est responsable de la protection des renseignements personnels en vertu de la LPRPDE ou de lois provinciales semblables dont se sont dotées un certain nombre de provinces. Au moment de rédiger le rapport, seules la C.-B., l'Alberta et le Québec avaient adopté une législation relative à la protection de la vie privée semblable à la LPRPDE — contrairement aux territoires et aux autres provinces. Or, la question ne se limite pas au simple fait de se conformer aux textes de loi. Le respect des lois en matière de renseignements personnels et de politiques internes visant à protéger ce type de renseignements constitue un élément essentiel de la confiance accordée par les consommateurs.

Canadiens et Canadiennes

La responsabilité en matière de protection des renseignements personnels incombe également au public canadien. Dans son mémoire présenté le 18 août 2004 au commissaire à l'information et à la protection de la vie privée de la C.-B., la commissaire à la protection de la vie privée du Canada a mentionné que les Canadiens et les Canadiennes doivent assumer la responsabilité de s'informer eux-mêmes, en demandant qui utilise leurs renseignements personnels et à quelles fins.

Faits à l'appui

Comment protéger ses renseignements personnels

Le site Web de la commissaire à la protection de la vie privée du Canada comporte une série de feuillets d'information destinés à renseigner les Canadiens et les Canadiennes sur les mesures qu'ils peuvent prendre pour assurer eux-mêmes la protection de leurs renseignements personnels.

Réponse du gouvernement fédéral : Une approche continue de gestion des risques

L'approche comprend 4 étapes :

  1. Faire part de l'enjeu aux 160 institutions
  2. Entreprendre une évaluation exhaustive pour identifier les risques et pour élaborer une stratégie d'atténuation des risques
  3. Élaborer et mettre en œuvre un document d'orientation stratégique sur les risques liés à la USA PATRIOT Act
  4. Effectuer un suivi
1. Sensibilisation, 2. Détermination et atténuation, 3. Orientation, 4. Suivi


3. La stratégie du gouvernement fédéral

Le gouvernement fédéral recourt depuis nombre d'années à des pratiques efficaces de gestion de la protection des renseignements personnels. La plupart des grandes institutions fédérales qui recueillent régulièrement des renseignements personnels sur les Canadiens et les Canadiennes conservent ces renseignements sur place seulement. Statistique Canada, par exemple, ne conserve que les renseignements personnels dans ses locaux gouvernementaux, l'Agence du revenu du Canada, de son côté, conserve et sauvegarde toute l'information des contribuables canadiens uniquement sur place.

Cependant, la USA PATRIOT Act met en évidence le fait que les pratiques exemplaires devraient faire l'objet d'une uniformisation accrue à l'échelle du gouvernement. Elle fait également ressortir le besoin de mesures additionnelles qui renforceraient les mesures de protection existantes, tout en les complétant. Voici l'approche adoptée dans le plan d'action du gouvernement fédéral visant à répondre aux préoccupations des Canadiens et des Canadiennes au sujet de la USA PATRIOT Act :

  1. Sensibilisation : Le Secrétariat a fait en sorte de sensibiliser l'ensemble des 160 institutions fédérales au sujet des questions les plus récentes entourant la USA PATRIOT Act et le flux transfrontière de renseignements personnels et d'autres renseignements de nature délicate.
  2. Détermination et atténuation des risques : Le Secrétariat a demandé aux institutions de passer en revue les marchés qu'elles ont conclus, afin de déterminer tout risque potentiel pouvant découler de la USA PATRIOT Act, d'évaluer le niveau de ces risques et de faire connaître les mesures correctrices à prendre pour les atténuer.
  3. Orientation quant à la protection des renseignements personnels relativement à l'impartition :
    1. Les institutions fédérales pour lesquelles on a déterminé qu'il existait des risques ont été tenues de mettre en œuvre des mesures correctrices.
    2. Afin d'aider les institutions, le Secrétariat a produit un document d'orientation destiné à être utilisé avant la passation de futurs marchés. Il comprend une liste de contrôle relative à la protection des renseignements personnels et des conseils sur l'inclusion de clauses appropriées concernant la protection des renseignements dans les marchés.
    3. En vue de partager l'information et les pratiques exemplaires, le gouvernement du Canada a contacté et consulté un large éventail d'intervenants, y compris ses propres spécialistes, le Commissariat à la protection de la vie privée du Canada et les gouvernements provinciaux.
    4. Le gouvernement fédéral a également veillé à ce que les responsables du gouvernement des É.-U. soient au fait des préoccupations exprimées au Canada au sujet de la USA PATRIOT Act, et il a encouragé l'utilisation des ententes existantes entre les organismes de sécurité nationale et les organismes d'application de la loi pour ce qui est de protéger les renseignements personnels et de nature délicate.
  4. Suivi permanent : Le gouvernement surveillera les risques potentiels à la protection des renseignements personnels et prendra les mesures additionnelles requises, s'il y a lieu. Celles-ci incluront des lignes directrices stratégiques additionnelles, l'examen prévu de la LPRPDE, une formation et une sensibilisation étendues, ainsi que l'introduction d'un cadre de gestion de la protection des renseignements personnels qui définira la structure de gouvernance et de responsabilisation en ce qui a trait à la protection de ce type de renseignements.

Procédons maintenant à l'examen plus en détail de chacune des composantes de la stratégie du gouvernement fédéral, en commençant par les pratiques d'impartition de ce dernier.

Examen des marchés fédéraux

Une composante importante de la stratégie du gouvernement fédéral consistait à examiner les marchés. En octobre 2004, le Secrétariat a demandé à l'ensemble des 160 institutions assujetties à la Loi sur la protection des renseignements personnels de procéder à une évaluation de leurs activités d'impartition et d'en présenter les conclusions.

Ce n'était pas une mince tâche que de procéder à cet examen. Un grand nombre de marchés d'impartition et d'ententes sur l'échange de renseignements étaient en cours au gouvernement fédéral. Par exemple, Ressources humaines et Développement des compétences Canada, et Développement social Canada ont plus de 40 000 ententes de subventions et contributions avec des entreprises et des organismes du secteur privé. Affaires étrangères Canada et Commerce international Canada comptent plus de 8 000 ententes contractuelles.

Objectifs de l'examen

L'examen visait principalement à déterminer si les renseignements conservés par les entreprises du secteur privé ou accessibles en vertu des modalités d'un contrat pouvaient faire l'objet d'une divulgation, particulièrement en vertu de la USA PATRIOT Act. On a demandé aux institutions de vérifier si toute entreprise engagée pour offrir des services était basée aux É.-U. ou avait des filiales dans ce pays, et si celle-ci pouvait être assujettie aux lois américaines permettant l'accès aux renseignements personnels.

Dans le cadre de l'examen, il fallait également étudier la nature des marchés afin de déterminer s'ils comportaient des clauses adéquates pour assurer la protection des renseignements personnels et de nature délicate et, dans la négative, pour cibler les points faibles potentiels et produire un plan de mesures correctrices visant à atténuer les risques.

On a mis l'accent sur la USA PATRIOT Act, car cela permettait aux institutions de cibler plus rapidement les points faibles et, par conséquent, de savoir si l'impartition des institutions pouvait être aussi vulnérable à d'autres lois étrangères autorisant l'accès aux renseignements personnels ou de nature délicate. Bien qu'on se soit attardé à savoir s'il était possible d'accéder aux renseignements par l'entremise de la USA PATRIOT Act, les résultats pourraient s'appliquer également au flux de données transfrontière en général.

Méthodologie de l'examen

Comité interministériel

Étant donné que l'examen allait constituer une tâche de grande envergure, un comité interministériel a été mis sur pied.

Le comité était dirigé par le Secrétariat et regroupait 14 institutions clés. Chacune d'entre elles avait pour rôle de conseiller les autres institutions membres du comité et de contribuer au processus global d'examen.

L'examen s'est déroulé en deux étapes. On a procédé rapidement à l'étape préliminaire qui consistait en la détermination, par 17 institutions gouvernementales, de tout point faible majeur relativement à leurs programmes les plus importants. On n'en a trouvé aucun. Un examen plus exhaustif a suivi, effectué par l'ensemble des 160 institutions.

Système de cotation

On a demandé aux institutions fédérales de coter la situation concernant leurs ententes d'impartition selon des catégories allant de « risque inexistant » et « risque faible » à « risque moyen » et « risque élevé ». Plus le risque est élevé, plus l'impartition peut potentiellement être assujettie à la USA PATRIOT Act et possiblement à d'autres lois étrangères dont l'application pourrait donner accès aux renseignements personnels sur des Canadiens et des Canadiennes et à d'autres renseignements de nature délicate.

La détermination de risques ne signifiait pas qu'un problème existait dans les faits, mais, plutôt, qu'un problème potentiel pourrait surgir à l'avenir.

Risque inexistant à faible : Dans ces cas, l'ensemble des activités de collecte, de conservation et de traitement des renseignements est effectué entièrement par le gouvernement du Canada, sans qu'il fasse appel à un entrepreneur externe (risque inexistant), ou encore en faisant intervenir un entrepreneur canadien qui poursuit ses activités à l'intérieur du Canada uniquement (risque faible).

Risque faible à moyen : Les renseignements sont situés ou conservés à l'extérieur du gouvernement; ils sont détenus par une entreprise canadienne située au Canada, mais peuvent être également accessibles à un sous-traitant, à une société mère ou à une filiale basée à l'étranger. Dans ces cas, les lois de plusieurs pays différents peuvent s'appliquer.

Risque moyen à élevé : On considère que le risque entre dans la catégorie « moyen à élevé » lorsque les renseignements sont conservés et traités par une entreprise basée à l'étranger et sujette aux lois d'un gouvernement étranger. Dans ces cas, le risque est plus élevé parce que ces entreprises sont davantage assujetties aux lois du pays où elles se trouvent qu'aux lois canadiennes.

Résultats de l'examen

La vaste majorité de l'impartition du gouvernement fédéral a lieu à l'intérieur du Canada et, par conséquent, présente un faible facteur de risque en ce qui a trait à l'application possible de la USA PATRIOT Act.

Risque inexistant à faible 83%, risque faible à moyen 12%, Risque moyen à élevé 5%

Selon les réponses données par les 160 institutions fédérales, 83 p. 100 d'entre elles ont vu leurs marchés classés dans la catégorie « risque inexistant à faible ». Dans le cas de 77 institutions, les marchés ont figuré dans la catégorie « risque inexistant », et pour 57 institutions, on a déterminé que certains marchés présentaient un « risque faible ».

Au total, 19 institutions ont informé le Secrétariat que certains de leurs marchés avaient été classés dans la catégorie « risque faible à moyen ».

Seulement 7 institutions, en examinant leurs activités d'impartition, ont déterminé qu'un certain nombre de leurs marchés présentaient des risques potentiels pouvant entrer dans la catégorie « moyen à élevé ».

Il convient de noter que, si une institution a indiqué qu'un de ces marchés avait été classé par le Secrétariat dans la catégorie « risque moyen » ou « risque élevé », alors la cotation définitive pour cette institution devenait en conséquence « risque moyen à élevé ».

Prière de se reporter à l'annexe A pour consulter le tableau des résultats complets obtenus jusqu'à présent, en ce qui a trait à l'examen.

Marchés à risque inexistant à faible

On compte de nombreux exemples de situations où l'impartition s'accompagne d'un risque inexistant ou faible. Dans certains cas, cela est dû au fait que le fonctionnement de l'institution fédérale est assujetti à des pratiques et à des procédures strictes, selon lesquelles les données sont soumises à une norme de protection élevée. C'est le cas de Statistique Canada, qui est régi par la Loi sur la statistique.

Étude de cas : Statistique Canada

Selon la Loi sur la statistique, seuls les employés de Statistique Canada ayant prêté un serment de confidentialité et ayant fait l'objet d'une enquête de sécurité sont autorisés à accéder aux renseignements confidentiels. L'accès à ces renseignements est assujetti au principe d'accès sélectif.

La protection de la confidentialité constitue la priorité la plus importante de Statistique Canada. Les données confidentielles selon la Loi sur la statistique ne quittent jamais les installations de Statistique Canada et sont toujours sous le contrôle de l'organisme. En outre, tous les renseignements statistiques confidentiels sont conservés dans un « îlot électronique » (c.-à-d. qu'aucun des systèmes ou des réseaux contenant des données confidentielles ne possède de connexion externe), ce qui rend impossible la transmission des données à l'extérieur de l'organisme.

Aucun pirate informatique ne peut accéder à ces données protégées.

Statistique Canada a conclu des marchés avec des firmes américaines, dont certaines sont des filiales canadiennes d'entreprises basées aux É.-U. Ces marchés portent sur la fourniture, l'élaboration et l'entretien de logiciels et de matériel informatique, et n'offrent aucune possibilité d'accéder à des renseignements confidentiels. En fait, on a pris toutes les précautions possibles à ce sujet : par exemple, tous les entrepreneurs sont eux-mêmes sujets aux sanctions prévues par la Loi sur la statistique, et ils ne sont en aucun cas autorisés à accéder aux installations de Statistique Canada, à moins d'être accompagnés par des employés permanents de l'organisme. Par conséquent, même si une autorité américaine en venait à présenter une requête à l'un ou l'autre des entrepreneurs, ceux-ci seraient matériellement incapables de fournir quelque donnée que ce soit, étant donné qu'ils n'ont jamais les renseignements confidentiels en leur possession.

À titre de mesure supplémentaire, préalablement au Recensement de 2006, Statistique Canada procédera à trois vérifications indépendantes de la sécurité de tous les systèmes de recensement, de façon à confirmer la protection des renseignements confidentiels de recensement.

Statistique Canada est un exemple d'institution du gouvernement fédéral où les renseignements personnels relatifs au public en général ne font l'objet d'aucune impartition.

Étude de cas : le Secrétariat

L'examen a montré que la majorité des activités d'impartition du gouvernement fédéral où interviennent des renseignements personnels portent sur les programmes et services destinés aux fonctionnaires fédéraux. Par exemple, le Secrétariat supervise les marchés relatifs aux régimes d'assurance et de soins de santé des employés du gouvernement fédéral.

Le marché du Régime d'assurance pour les cadres de gestion de la fonction publique est attribué actuellement à La Nationale du Canada, Compagnie d'assurance-vie, qui n'a aucun bureau aux É.-U.À ce titre, il y a un « risque inexistant » qu'une loi étrangère puisse s'appliquer à ce marché. La situation est semblable pour ce qui est des marchés relatifs au Régime de soins dentaires de la fonction publique et au Régime de soins dentaires pour les pensionnés.

Les marchés duRégime de soins de santé et duRégime d'assurance-invalidité de la fonction publique sont attribués à la Sun Life du Canada, Compagnie d'assurance-vie, qui a recours aux services d'un autre entrepreneur, World Access Canada, pour les demandes à l'extérieur du pays et les demandes d'assurance générales. World Access Canada possède des bureaux aux É.-U., mais, selon ce que prévoit l'entente, ceux-ci sont autorisés à accéder temporairement aux renseignements des bases de données seulement si une catastrophe survient dans les bureaux canadiens, de façon à assurer la poursuite de la prestation des services aux fonctionnaires en poste et aux anciens fonctionnaires.

Plusieurs institutions ont classé dans la catégorie « risque faible » l'inclusion, dans les ententes d'impartition, du recours à des bureaux situés aux É.-U. comme mesure d'urgence uniquement.

Renseignements personnels considérés comme étant le plus à risque

Sur les sept institutions ayant rapporté que certains marchés particuliers pouvaient présenter un risque potentiel allant de moyen à élevé relativement à l'application possible de la USA PATRIOT Act, une majorité a ciblé des marchés concernant le traitement de données sur les employés, comme les renseignements sur la feuille de paie, la pension, la sécurité du personnel, les déplacements, l'assurance et la réorientation professionnelle.

Ces institutions ont déterminé d'autres vulnérabilités relatives à des marchés portant sur ce qui suit :

En ce qui a trait à plusieurs de ces marchés, les institutions ont indiqué qu'ils tiennent à minimiser les risques. En outre, on tiendra compte des préoccupations lors du renouvellement des marchés, certains marchés ou ententes ne seront pas renouvelés et on inclura aux marchés des clauses appropriées afin de maximiser la sécurité et les mesures de protection des renseignements.

Stratégies de gestion des risques et pratiques exemplaires

Dans le cadre du processus d'examen, on a demandé aux institutions fédérales de faire rapport au sujet de leurs stratégies de gestion des risques, peu importe la classification donnée à leurs marchés.

Chaque institution fédérale doit répondre de ses propres marchés et des renseignements personnels sous son contrôle. Comme chacune d'entre elles s'acquitte de fonctions différentes, les stratégies sont adaptées selon les activités et les besoins des clients de l'institution.

L'examen a montré que bon nombre des stratégies et des pratiques exemplaires déjà en place permettaient de remédier à certaines des difficultés actuelles associées au flux de données transfrontière.

Pratiques actuelles

La plupart des institutions fédérales ont incorporé des clauses sur la protection des renseignements personnels et la sécurité dans leurs ententes d'impartition, afin d'assurer la présence d'une variété de mesures de protection. Certaines des pratiques exemplaires les plus efficaces comprennent ce qui suit :

Certaines institutions traitant des renseignements de nature particulièrement délicate certifient que ces données ne quittent jamais les locaux du gouvernement fédéral.

Par ailleurs, un certain nombre d'institutions ayant conclu des marchés relatifs à la technologie de l'information limitent l'accès de l'entrepreneur aux données, de sorte que celui-ci ne peut procéder qu'à des travaux de mise à l'essai et d'entretien.

Pratiques étendues

Après avoir pris connaissance des résultats de l'examen, bon nombre d'institutions ont mentionné qu'elles mettraient en œuvre des mesures d'atténuation additionnelles visant à protéger les renseignements personnels, outre les pratiques déjà en place.

Certaines institutions ont indiqué qu'elles modifieraient leurs propres politiques, pratiques, systèmes, matériel de formation, mesures de contrôle et mesures de protection, afin d'atténuer les risques actuels et futurs en matière de divulgation non autorisée.

Ces modifications comporteront les éléments ci-après.

Examens précédant l'impartition et pendant celle-ci

Clauses relatives aux marchés

Planification

Orientation stratégique

Le Secrétariat a élaboré un document d'orientation stratégique afin d'aider les institutions fédérales qui s'apprêtent à conclure une entente d'impartition faisant intervenir des renseignements personnels ou de nature délicate tant au Canada qu'à l'étranger.

Le document vise tout d'abord à aider les institutions à déterminer et à évaluer les risques potentiels à l'égard de la protection des renseignements personnels, puis, s'il y a lieu, à prendre les mesures qui s'imposent. Il a pour objet de faire en sorte que le gouvernement du Canada respecte ses obligations juridiques et politiques concernant la protection des renseignements personnels.

Conseils relativement aux décisions de faire ou de faire faire

Le document d'orientation met l'accent sur la protection initiale des renseignements personnels, par l'entremise du libellé des marchés et d'autres mesures. On cherche à mettre en place les mesures nécessaires permettant d'atténuer le plus possible les risques associés à la protection des renseignements personnels, avant même que ne débute le processus d'attribution du marché.

Le document rappelle également aux institutions que, selon la politique gouvernementale, l'impartition doit être précédée d'une analyse de rentabilisation faisant ressortir les avantages que retireront les Canadiens et les Canadiennes. Si une analyse de rentabilisation est produite, les répercussions sur la protection des renseignements personnels sont étudiées en consultation avec les agents internes appropriés – cette étape doit être complétée avant d'entreprendre tout processus visant à acquérir les services d'un fournisseur externe.

Au nombre des autres recommandations présentes dans le document, on compte ce qui suit :

Le document d'orientation n'est pas destiné à être utilisé indépendamment des autres directives en matière d'acquisition et de politique. En outre, il ne vise pas à encourager l'adoption d'une approche uniforme, étant donné que les situations sont différentes selon les institutions et les possibilités d'impartition, et que chaque cas doit être considéré séparément.

Chaque institution doit répondre de ses propres ententes d'impartition et, en conséquence, devrait tenir compte des mesures mentionnées dans le présent document, en consultation avec ses propres conseillers juridiques et conseillers en matière de protection des renseignements personnels.

Conseils relatifs aux clauses des marchés

Le document d'orientation offre des conseils sur l'élaboration de clauses appropriées pouvant être utilisées, au besoin, pour atténuer les risques potentiels de divulgation de renseignements à des gouvernements étrangers. Ces clauses, qui devraient figurer dans la demande de proposition destinée aux soumissionnaires, s'avèrent particulièrement indiquées lorsque le risque en matière de la protection des renseignements personnels est peut-être plus élevé, comme c'est le cas pour la collecte et la conservation des renseignements sur la santé, des renseignements sur le revenu ou des renseignements financiers personnels.

Avant d'utiliser, de modifier ou d'adapter ces clauses types, les institutions sont invitées à consulter leurs services juridiques et leurs responsables de la protection des renseignements personnels, pour s'assurer que les clauses sont utilisées conformément aux règles et qu'elles ne contreviennent pas à d'autres obligations découlant d'accords internationaux en vigueur.

Gamme des clauses

Le document d'orientation propose diverses clauses pouvant être incorporées aux marchés afin d'assurer une meilleure protection des renseignements personnels.

Contrôle maintenu par le Canada : Les institutions fédérales devraient s'assurer que le gouvernement du Canada conserve le contrôle des renseignements et qu'il peut demander en tout temps à l'entrepreneur de les lui remettre.

Inspections des installations : L'institution peut prévoir dans ses marchés la possibilité d'inspecter les installations de l'entrepreneur.

Permission requise : On peut obliger les fournisseurs à toujours demander l'approbation avant de divulguer des renseignements.

Accès limité : On peut limiter l'accès aux renseignements. Par exemple, il serait possible d'inclure à un marché une clause stipulant qu'on ne peut accéder aux renseignements pour des fins autres que celles prévues dans le marché, y compris toute divulgation ou tout accès par une société mère basée à l'étranger, par d'autres filiales ou par des tiers, tels que des sous-traitants ou des agents, qui ne sont pas directement concernés par le marché ou l'entente d'impartition.

Vérification : Tout particulièrement quand il y a accès à des renseignements personnels ou tout autre renseignement protégé ou classifié, il faudrait exiger des fournisseurs qu'ils conservent une piste de vérification, afin d'avoir la confirmation que les personnes ayant accédé aux renseignements y étaient autorisées et de permettre à l'institution gouvernementale de procéder à des vérifications.

Avis de manquement : Lorsqu'un entrepreneur apprend que des renseignements confidentiels ont été divulgués, il devrait être tenu, en vertu du contrat, d'en informer le gouvernement. Les modalités du marché devraient encourager l'entrepreneur à déclarer l'incident et à prendre rapidement les mesures correctrices.

On pourrait exiger de l'entrepreneur qu'il accepte d'être tenu responsable d'une divulgation illicite et d'assumer les coûts associés à l'avis qui doit être donné aux personnes dont les renseignements ont peut-être été communiqués. Le gouvernement pourrait également exiger la résiliation du marché dans le cas de divulgation de renseignements confidentiels.

Sous-traitance : Un marché peut stipuler l'autorisation ou l'interdiction de recourir à toute sous-traitance. Si la sous-traitance est permise, le sous-traitant devrait être assujetti aux mêmes restrictions que l'entrepreneur en ce qui a trait à la protection des renseignements personnels, et ce, même si ses activités sont menées à l'extérieur du Canada. L'institution fédérale peut également exiger de l'entrepreneur qu'il obtienne une approbation écrite avant d'engager tout sous-traitant.

Liste de contrôle de la protection des renseignements personnels

Afin d'aider les institutions à s'assurer que les clauses appropriées liées à la protection des renseignements personnels sont incluses lorsqu'elles concluent une entente d'impartition ou de sous-traitance concernant un programme gouvernemental ou une fonction de prestation de services, le document d'orientation fournit une liste de contrôle de la protection des renseignements personnels. Toutes les institutions fédérales auront accès à cette liste, qui sera présentée sous forme d'un outil électronique convivial à partir du site Web du Secrétariat.

Il est peu probable que toute stratégie prise séparément puisse suffire, à elle seule, à protéger les renseignements personnels contre une divulgation à l'étranger.

Par conséquent, les institutions fédérales utilisent une combinaison de stratégies visant à prévenir la divulgation qui incluent une vaste gamme d'outils, dont les clauses de marché, la vérification, l'évaluation des risques et la technologie.

Autres activités

Outre le document d'orientation, le gouvernement fédéral communique avec des organismes et des personnes, et consulte ceux-ci afin de partager l'information, d'accroître la sensibilisation à l'égard des questions relatives au flux de données transfrontière et de recevoir des conseils.

LPRPDE : La commissaire à la protection de la vie privée du Canada demande aux entreprises canadiennes de continuer à respecter le droit à la vie privée des Canadiens et des Canadiennes relativement aux renseignements que possède le secteur privé sur les citoyens et citoyennes, tel que le prescrit la LPRPDE.

Discussions avec les É.-U. : Les responsables canadiens et américains ont discuté des questions entourant le flux de données transfrontière. Les responsables américains ont été informés du plan d'action fédéral, de la façon dont les Canadiens et Canadiennes perçoivent la protection des renseignements personnels et la USA PATRIOT Act, et du désir du gouvernement fédéral de poursuivre le dialogue en vue d'en arriver à un juste équilibre entre le respect des droits à la protection des renseignements personnels et une application efficace de la loi.

Une coopération continue entre le Canada et les É.-U. favorisera le commerce ininterrompu et la poursuite d'autres activités entre les deux pays, tout en permettant de prendre en compte les préoccupations et les besoins de l'un et l'autre pays.

Commissariat à la protection à la vie privée du Canada et les provinces : Le gouvernement du Canada, le Commissariat à la protection à la vie privée du Canada et les gouvernements provinciaux partagent entre eux et avec le secteur privé l'information au sujet des pratiques exemplaires, afin d'assurer la sécurité et la protection des renseignements personnels des Canadiens et des Canadiennes et de protéger les intérêts des entreprises canadiennes.



4. Plan d'action de la commissaire à la protection de la vie privée du Canada

La commissaire à la protection de la vie privée du Canada s'est également dotée d'un programme vigoureux visant à répondre aux préoccupations exprimées au sujet du flux de données transfrontière.

Dans le mémoire qu'elle a présenté le 18 août 2004 au Commissariat à l'information et à la protection de la vie privée de la C.-B. (intitulé Communication transfrontalière de renseignements sur les Canadiens et les Canadiennes –Répercussions de laUSA PATRIOT Act), la commissaire a fait connaître son intérêt pour les mesures suivantes :

Pour obtenir de plus amples renseignements sur les mesures que prévoit prendre la commissaire à la protection de la vie privée du Canada en ce qui a trait à la protection des renseignements personnels, prière de consulter le site Web du Commissariat.



5. S’appuyer sur les assises existantes

Au Canada, la protection des renseignements personnels ne constitue pas une préoccupation nouvelle. En fait, le Canada est un chef de file mondial dans ce domaine depuis plus de 25 ans.

À l'étranger, des défenseurs de la protection des renseignements personnels et des responsables gouvernementaux se sont tournés vers le Canada pour obtenir une orientation en cette matière, car celui-ci s'est doté de lois et de politiques modernes.

Les mesures les plus récentes prises par le gouvernement ont été conçues de manière à s'appuyer sur les assises existantes et à les compléter, et non pas de façon à être utilisées isolément.

Lois régissant les renseignements recueillis par le gouvernement fédéral

La Charte canadienne des droits et libertés :Lorsque le gouvernement fédéral établit des ententes d'impartition avec une entité du secteur privé pour un programme gouvernemental ou la prestation de services, cette entité doit se conformer aux exigences de la Charte dans l'exécution de ces fonctions. C'est un fait reconnu depuis longtemps que la protection qu'offre l'article 8 de la Charte, contre les fouilles et les saisies abusives, s'étend également au droit à la vie privée en matière d'information. Lorsque le gouvernement fédéral est en présence d'information qui suscite une attente raisonnable en matière de protection de la vie privée, il est d'usage qu'une certaine forme d'autorité légitime soit exercée pour autoriser l'intrusion qui peut découler de la gestion de cette information.

La Loi sur la protection des renseignements personnels : La protection des renseignements personnels a fait l'objet d'une mesure législative pour la première fois en 1978, en vertu de la partie IV de la Loi canadienne sur les droits de la personne. En 1983, la Loi sur la protection des renseignements personnels entrait en vigueur. Cette dernière oblige les institutions du gouvernement fédéral à respecter le droit des Canadiens et des Canadiennes à la protection de leurs renseignements personnels, en imposant des limites quant à la collecte, à l'utilisation, à la divulgation, à la conservation et à l'élimination de ce type de renseignements. Elle a été érigée en norme pour la législation canadienne portant sur la protection des renseignements personnels et a servi d'assise pour les lois provinciales qui ont suivi.

Autres lois relatives à la protection des renseignements personnels : La Loi sur la protection des renseignements personnels n'est pas la seule mesure législative visant à protéger les renseignements personnels recueillis par le gouvernement fédéral. D'autres lois, comme la Loi de l'impôt sur le revenu, la Loi sur la statistique, la Loi sur l'assurance-emploi, la Loi sur la sécurité de la vieillesse et la Loi sur le Régime de pensions du Canada, comportent des mesures additionnelles visant à protéger les renseignements personnels des Canadiens et des Canadiennes.

La LPRPDE et le secteur privé

Les entreprises, les associations, les syndicats et les groupes à but non lucratif sont également tenus de se conformer à la loi. En ce qui concerne le secteur privé, la protection des renseignements personnels est régie par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Celle-ci a été introduite progressivement à partir de 2001, et elle est entrée pleinement en vigueur en 2004. La LPRPDE impose des règles à tout organisme qui exerce des activités commerciales de collecte, d'utilisation et de divulgation de renseignements personnels. Par exemple, en vertu de la LPRPDE, une personne a le droit de savoir pourquoi une entreprise souhaite recueillir des renseignements personnels à son sujet. Dans les provinces dotées de lois essentiellement similaires à la LPRPDE, ce sont celles-ci qui régissent les activités des entreprises du secteur privé à l'intérieur des provinces.

Politiques fédérales

Outre les lois, une série de politiques et de lignes directrices viennent orienter la façon dont le gouvernement fédéral mène ses activités. Nombre d'entre elles exigent qu'on prenne en compte la question de la protection des renseignements personnels avant d'entreprendre un programme, un service ou un marché.

Politique d'évaluation des facteurs relatifs à la vie privée : Le gouvernement du Canada a été le premier gouvernement national au monde à rendre obligatoire la prise en compte de la protection des renseignements personnels dans la création ou la modification de programmes et de services gouvernementaux qui recueillent des renseignements personnels. Les institutions fédérales sont tenues de procéder à une évaluation des facteurs relatifs à la vie privée afin de déterminer quelles peuvent être les répercussions sur la protection des renseignements personnels, de cibler tous les risques et de créer un plan visant à atténuer ceux-ci.

Politique du gouvernement sur la sécurité : La sécurité fait également partie du cadre existant. Sans l'existence d'une infrastructure sécurisée visant à assurer la protection des données et à empêcher que des employés non autorisés les falsifient ou accèdent à celles-ci, la protection des renseignements personnels est menacée. La Politique du gouvernement sur la sécurité donne un aperçu des procédures relativement à la protection et à la conservation des renseignements.

Politiques additionnelles : Il existe une vaste gamme d'autres politiques permettant d'assurer à la fois la protection et la sécurité des renseignements personnels et de nature délicate. Au nombre de celles-ci, on compte les politiques sur la gestion de l'information gouvernementale, la passation de marché et la gestion des risques.

Rôles des institutions fédérales

Outre les lois et les politiques, certains organismes fédéraux sont chargés d'apporter une contribution additionnelle à la protection des renseignements personnels et à la sécurité.

Travaux publics et Services gouvernementaux Canada (TPSGC) : TPSGC procède à l'inspection des installations où sont conservés des renseignements sous le contrôle du gouvernement. Ces installations doivent recevoir du gouvernement une cote de sécurité avant de pouvoir manipuler l'information gouvernementale, et toute personne ayant accès à l'information doit aussi posséder une cote de sécurité.

Commissariat à la protection de la vie privée du Canada : La commissaire à la protection de la vie privée du Canada voit à ce que soit respecté le droit à la vie privée des Canadiens et des Canadiennes. La commissaire peut enquêter sur les plaintes déposées en vertu de la Loi sur la protection des renseignements personnels ou de la LPRPDE. La commissaire se charge aussi de défendre le droit à la vie privée, elle procède à des recherches sur la protection des renseignements personnels et publie de l'information sur les pratiques exemplaires en matière de protection des renseignements personnels. En cas de motifs valables, la commissaire est également habilitée à vérifier les pratiques d'information des organismes du secteur privé.

Expérience et savoir-faire du gouvernement fédéral

Avec le temps, le gouvernement fédéral a acquis une vaste expérience et un grand savoir-faire en matière de protection des renseignements personnels, ce qui lui a permis de mettre au point des pratiques exemplaires.

Le projet Gouvernement en direct (GED) en est un parfait exemple. Le GED a su se mériter la confiance de Canadiens et de Canadiennes préoccupés par la cybersécurité et la confidentialité. En fait, lors d'une récente enquête, 70 p. 100 des Canadiens et des Canadiennes ont dit avoir utilisé un site Web du gouvernement du Canada au cours des 12 derniers mois.

Cette confiance accordée au GED découle d'une infrastructure de communication appelée « Voie de communication protégée », qui permet d'effectuer de façon fiable et sécuritaire des transactions électroniques avec les ministères fédéraux. Les Canadiens et les Canadiennes peuvent se procurer un epass, un ensemble de preuves d'identité électroniques permettant de transmettre et de recevoir des renseignements de nature délicate en toute sécurité.

Une bonne communication, au moyen de déclarations et d'avis de protection des renseignements personnels sur les sites Web des ministères et organismes, contribue également à établir la confiance des Canadiens et des Canadiennes. Ces déclarations et ces avis indiquent aux personnes quelle est la politique de l'institution en matière de protection des renseignements personnels et informent les visiteurs sur l'utilisation qui sera faite de leurs renseignements personnels avant qu'ils ne les fournissent.

Pour obtenir plus de renseignements sur les assises existantes, prière de consulter l'annexe B.

 



6. Mesures de suivi – Les prochaines étapes

La gestion des risques est un processus continu. Par conséquent, le travail qu'effectue le gouvernement du Canada en ce qui a trait à la USA PATRIOT Act et à la question plus vaste du flux de données transfrontière ne prendra pas fin avec la publication de ce rapport.

On veillera à ce que les institutions fédérales poursuivent la surveillance des risques et à ce qu'elles se dotent de mesures d'atténuation des risques et de stratégies pour éliminer ceux-ci.

Voici une liste de mesures que prendra le gouvernement à court (d'ici six mois), moyen (de six mois à un an) et long (d'un à deux ans) termes.

Institutions fédérales

Les institutions fédérales sont tenues de s'assurer, de façon continue, que leurs stratégies d'atténuation des risques associés à la USA PATRIOT Act sont en place et qu'elles ont pris des mesures concrètes pour déterminer et minimiser les risques éventuels d'entrave à la protection des renseignements, lorsqu'elles évaluent leurs besoins futurs en fait de marché.

1. Le Secrétariat

En cours et d'ici six mois

De six mois à un an

D'un à deux ans

2. Industrie Canada

D'ici six mois

D'un à deux ans

3. Ministère de la Justice Canada

D'un à deux ans

4. Travaux publics et Services gouvernementaux Canada

D'ici six mois

5. École de la fonction publique du Canada

De six mois à un an



Annexe A : Tableau détaillé des résultats de l'examen

Institution Risque inexistant Risque faible Risque faible à moyen Risque moyen à élevé
Administration canadienne de la sûreté du transport aérien     X  
Administration de pilotage de l'Atlantique Canada X      
Administration de pilotage des Grands Lacs Canada X      
Administration de pilotage des Laurentides Canada X      
Administration du pilotage du Pacifique Canada X      
Administration du pipe-line du Nord Canada X      
Administration du pont Blue Water   X    
Administration portuaire de Belledune X      
Administration portuaire de Halifax   X    
Administration portuaire de Hamilton X      
Administration portuaire de Montréal   X    
Administration portuaire de Nanaimo   X    
Administration portuaire de Port Alberni X      
Administration portuaire de Prince Rupert   X    
Administration portuaire de Québec X      
Administration portuaire de Saint-Jean   X    
Administration portuaire de Sept-Îles     X  
Administration portuaire de St. John's   X    
Administration portuaire de Thunder Bay   X    
Administration portuaire de Toronto   X    
Administration portuaire de Trois-Rivières X      
Administration portuaire de Vancouver   X    
Administration portuaire de Windsor   X    
Administration portuaire du fleuve Fraser X      
Administration portuaire du North-Fraser X      
Administration portuaire du Saguenay   X    
Affaires étrangères Canada Nota : Dans sa réponse, Affaires étrangères Canada/Commerce international Canada inclut des catégories de marché similaires à l'ensemble des institutions fédérales.       X
Affaires indiennes et du Nord Canada   X    
Agence canadienne d'évaluation environnementale X      
Agence canadienne d'inspection des aliments       X
Agence canadienne de développement international     X  
Agence de développement économique du Canada pour les régions
 du Québec
X      
Agence de gestion des ressources humaines de la fonction publique
 du Canada
X      
Agence de la consommation en matière financière du Canada Nota : On trouve des exemples d'ententes de confidentialité et de clauses contractuelles dans les réponses fournies.   X    
Agence de promotion économique du Canada atlantique X      
Agence des services frontaliers du Canada   X    
Agence du revenu du Canada   X    
Agence spatiale canadienne   X    
Agriculture et Agroalimentaire Canada X      
Anciens Combattants Canada     X  
Banque de développement du Canada     X  
Banque du Canada   X    
Bibliothèque et Archives Canada X      
Bureau de l'Enquêteur correctionnel X      
Bureau de l'inspecteur général, SCRS Nota : Voir Sécurité publique et Protection civile Canada X      
Bureau de l'intégrité de la fonction publique X      
Bureau de l'Ombudsman de la Défense nationale et des Forces canadiennes X      
Bureau de la sécurité des transports du Canada X      
Bureau du Conseil privé X      
Bureau du surintendant des institutions financières Canada X      
Bureau du Vérificateur général du Canada Nota : Le traitement des renseignements personnels dans le cadre des marchés que TPSGC gère pour l'ensemble des institutions(déplacement, AMEX) a suscité des préoccupations d'ordre stratégique.   X    
Centre canadien d'hygiène et de sécurité au travail X      
Centre canadien du règlement indépendant des revendications
particulières des premières nations
X      
Centre d'analyse des opérations et déclarations financières du Canada X      
Centre de la sécurité des télécommunications     X  
Centre de recherches pour le développement international     X  
Centre des armes à feu du Canada   X    
Centre international des droits de la personne et du développement
 démocratique
X      
Centre national des Arts   X    
Citoyenneté et Immigration Canada     X  
Comité de surveillance des activités de renseignement de sécurité X      
Comité des griefs des Forces canadiennes X      
Comité externe d'examen de la GRC X      
Commerce international Canada (Voir Affaires étrangères Canada)       X
Commissariat aux langues officielles X      
Commission canadienne d'examen des exportations de biens culturels X      
Commission canadienne de sûreté nucléaire     X  
Commission canadienne des affaires polaires X      
Commission canadienne des droits de la personne   X    
Commission canadienne des grains X      
Commission canadienne du blé   X    
Commission canadienne du lait   X    
Commission canadienne du tourisme   X    
Commission d'appel des pensions X      
Commission d'examen des plaintes concernant la police militaire
 du Canada
X      
Commission de l'immigration et du statut de réfugié   X    
Commission de la capitale nationale X      
Commission de la fonction publique du Canada X      
Commission des champs de bataille nationaux X      
Commission des lieux et monuments historiques du Canada X      
Commission des plaintes du public contre la Gendarmerie royale
 du Canada
X      
Commission des relations de travail dans la fonction publique Nota : Remplacée par la Commission des relations de travail dans la fonction publique, au printemps 2005   X    
Commission des traités de la Colombie-Britannique X      
Commission du droit d'auteur   X    
Commission du droit du Canada   X    
Commission nationale des libérations conditionnelles X      
Commission sur les revendications particulières des Indiens Nota : La Commission a indiqué « risque inexistant » même si elle n'avait pas à répondre.        
Condition féminine Canada X      
Conseil canadien des normes   X    
Conseil canadien des relations industrielles X      
Conseil d'examen du prix des médicaments brevetés Canada X      
Conseil de contrôle des renseignements relatifs aux matières
 dangereuses Canada
X      
Conseil de la radiodiffusion et des télécommunications canadiennes   X    
Conseil de recherches en sciences humaines du Canada X      
Conseil des Arts du Canada   X    
Conseil national de recherches Canada X      
Conseil national des produits agricoles X      
Construction de Défense Canada X      
Corporation commerciale canadienne     X  
Défense nationale     X  
Développement social Canada   X    
Diversification de l'économie de l'Ouest Canada   X    
École de la fonction publique du Canada X      
Élections Canada   X    
Environnement Canada     X  
Exportation et développement Canada     X  
Financement agricole du Canada   X    
Gendarmerie royale du Canada   X    
Industrie Canada       X
Infrastructure Canada   X    
Instituts de recherche en santé du Canada   X    
La Corporation du pont international de la voie maritime, ltée   X    
La Société des ponts fédéraux Limitée X      
Les Ponts Jacques Cartier et Champlain Incorporée   X    
Ministère de la Justice Canada       X
Ministère des Finances Canada X      
Monnaie royale canadienne X      
Musée canadien de la nature     X  
Musée canadien des civilisations X      
Musée des beaux-arts du Canada X      
Musée des sciences et de la technologie du Canada     X  
Office Canada-Nouvelle-Écosse des hydrocarbures extracôtiers X      
Office Canada-Terre-Neuve des hydrocarbures extracôtiers X      
Office d'aménagement territorial du Sahtu X      
Office d'examen des répercussions environnementales de la vallée
 du Mackenzie
  X    
Office de commercialisation du poisson d'eau douce   X    
Office des droits de surface du Yukon X      
Office des eaux des Territoires du Nord-Ouest X      
Office des eaux du Nunavut   X    
Office des terres et des eaux de la vallée du Mackenzie X      
Office des terres et des eaux des Gwich'in X      
Office des terres et des eaux du Sahtu X      
Office des transports du Canada   X    
Office Gwich'in d'aménagement territorial X      
Office national de l'énergie   X    
Office national du film   X    
Parcs Canada X      
Patrimoine canadien X      
Pêches et Océans Canada     X  
Recherches en sciences et en génie Canada X      
Résolution des questions des pensionnats indiens Canada X      
Ressources humaines et développement des compétences Canada   X    
Ressources naturelles Canada     X  
Santé Canada Nota : La nouvelle Agence de santé publique du Canada relève de Santé Canada     X  
Secrétariat du Conseil du Trésor du Canada   X    
Sécurité publique et Protection civile Canada X      
Service administratif des tribunaux judiciaires   X    
Service canadien du renseignement de sécurité   X    
Service correctionnel Canada     X  
Société canadienne d'hypothèques et de logement   X    
Société canadienne des postes       X
Société d'assurance-dépôts du Canada   X    
Société immobilière du Canada Limitée   X    
Statistique Canada X      
Table ronde nationale sur l'environnement et l'économie X      
Téléfilm Canada   X    
Transports Canada   X    
Travaux publics et Services gouvernementaux Canada       X
Tribunal canadien des droits de la personne X      
Tribunal canadien des relations professionnelles artistes-producteurs X      
Tribunal canadien du commerce extérieur   X    
Total 77 57 19 7

Taux de réponse de 100 p. 100

 



Annexe B : Détails des assises existantes

1. Le flux de données transfrontière – Une réalité qui ne date pas d'hier

En 1987, le Comité permanent de la justice et des droits de la personne de la Chambre des communes ainsi que le Solliciteur général du Canada ont présenté un rapport à la suite de l'examen triennal de la Loi sur la protection des renseignements personnels du Canada.

Le Comité a recommandé qu'on procède à une étude sur le flux transfrontière des renseignements personnels des Canadiens et des Canadiennes. Le gouvernement a commandé l'exécution d'une telle étude, laquelle a été publiée en 1990. Elle a permis de confirmer qu'il y avait un flux important de renseignements personnels vers des pays étrangers. Depuis ce temps, le flux de données transfrontière a considérablement augmenté.

L'étude fut la première à prouver officiellement l'existence d'un problème pour le Canada et, dans les années qui ont suivi, le gouvernement du Canada a mis en place et a appliqué une série de mesures de protection, qu'on se charge aujourd'hui d'examiner et d'actualiser.

2. Comment sont conservés les renseignements personnels

Certains Canadiens et Canadiennes ont l'impression que tous les renseignements que possède le gouvernement fédéral à leur sujet sont regroupés dans un seul et même dossier, ou encore qu'ils sont contenus dans une seule base de données. Dans les faits, chacune des institutions qui recueille, emmagasine et utilise des renseignements personnels conserve ses propres dossiers distincts pour chacun des programmes et services gouvernementaux qui nécessitent ces renseignements. Il existe un certain nombre de dossiers, en fonction du type de communication qu'ont eue les personnes avec le gouvernement.

Chaque institution est tenue responsable des renseignements sous son contrôle, et elle ne doit pas partager ceux-ci avec des tiers ou même avec d'autres institutions gouvernementales, à moins d'y être autorisée en vertu de la Loi sur la protection des renseignements personnels du Canada.

Le Secrétariat publie tous les ans des numéros d'Info Source, dont deux renferment des descriptions des fichiers de renseignements personnels (FRP), qui présentent un sommaire des types d'information que détient chacune des institutions fédérales sur les personnes. L'un d'eux décrit les FRP contenant des renseignements au sujet des employés fédéraux. L'autre renferme des descriptions de FRP en rapport avec toutes les personnes pour lesquelles le gouvernement du Canada détient des renseignements.

Vous êtes invités à consulter les publications aux Publications d'Info Source.

3. La Loi sur la protection des renseignements personnels

En promulguant la Partie IV de la Loi canadienne sur les droits de la personne, en 1978, qui a fait place en 1983 à la Loi sur la protection des renseignements personnels, le gouvernement du Canadaa montré qu'il reconnaissait l'importance de protéger les renseignements personnels et a établi la norme sur laquelle allaient être basées les lois provinciales similaires en matière de protection des renseignements personnels.

La Loi sur la protection des renseignements personnels du Canada oblige les institutions fédérales (tous les ministères fédéraux, la plupart des organismes fédéraux et quelques sociétés d'État) à respecter le droit des Canadiens et des Canadiennes à la vie privée en imposant des restrictions en matière de collecte, d'utilisation, de divulgation, de conservation et d'élimination des renseignements personnels.

En vertu de la Loi sur la protection des renseignements personnels, les Canadiens et les Canadiennes ont le droit d'accéder aux renseignements détenus à leur sujet, et ils peuvent demander qu'on y apporte des corrections s'ils ont l'impression que les renseignements les concernant ne sont plus à jour ou sont inexacts.

La Loi est fondée sur des principes reconnus à l'échelle internationale en matière de protection des renseignements personnels, selon lesquels toute personne devrait être autorisée à savoir :

4. Autres lois

La Loi sur la protection des renseignements personnels n'est pas la seule mesure législative visant à protéger les renseignements personnels détenus par le gouvernement du Canada. L'article 8 de la Charte canadienne des droits et libertés peut offrir davantage de protection relativement au traitement de l'information personnelle.

Plusieurs autres lois régissant la façon dont le gouvernement fédéral traite les renseignements personnels s'accompagnent également de mesures de protection des renseignements personnels, dont bon nombre ajoutent un niveau de protection supplémentaire.

Par exemple, certaines catégories de renseignements personnels sont sujettes à une protection additionnelle en vertu de lois telles que la Loi de l'impôt sur le revenu, la Loi sur la statistique, la Loi sur l'assurance-emploi, la Loi sur la sécurité de la vieillesse et la Loi sur le Régime de pensions du Canada.

5. Politique d'évaluation des facteurs relatifs à la vie privée

En 2002, le gouvernement du Canada est devenu la première administration nationale au monde à rendre obligatoire la prise en compte de la protection des renseignements personnels dans la création ou la modification de programmes et de services gouvernementaux qui recueillent des renseignements personnels.

Aux termes de la Politique d'évaluation des facteurs relatifs à la vie privée, les institutions fédérales sont tenues de procéder à une analyse approfondie en vue de déterminer toute répercussion réelle ou potentielle sur la protection des renseignements personnels. En outre, la politique nécessite qu'on établisse un plan expliquant comment on s'y prendra pour réduire ou éliminer les risques potentiels concernant la protection des renseignements personnels.

La politique s'accompagne d'une série de lignes directrices visant à aider les institutions fédérales à procéder à leurs évaluations pour ce qui est de cibler et de régler les questions relatives à la protection des renseignements personnels, avant qu'elles ne se transforment en problèmes réels.

Dans certains cas, il est possible que le financement d'un programme gouvernemental soit refusé jusqu'à ce qu'on procède à une évaluation appropriée, et toutes les institutions doivent faire connaître publiquement les résultats de leurs évaluations.

6. Politiques et lignes directrices du Secrétariat

Le Secrétariat, à titre d'organisme habilité à soumettre des recommandations au Conseil du Trésor et à conseiller celui-ci, supervise une gamme de politiques, de directives, de lignes directrices et de règlements.

En plus d'être chargé de l'application de la Politique d'évaluation des facteurs relatifs à la vie privée, le Secrétariat est aussi responsable de ce qui suit :

7. Mesures de sécurité

En plus de permettre le traitement des questions liées à la protection des renseignements personnels, les assises fédérales existantes permettent aussi d'assurer la sécurité de ceux-ci. Sans l'existence d'une infrastructure sécurisée visant à conserver l'information, la protection des renseignements personnels est menacée. Ces deux éléments sont donc importants et se complètent.

La Politique du gouvernement sur la sécurité et les clauses en matière de sécurité incluses dans les marchés que passe le gouvernement sont conçues de manière à assurer la sécurité des renseignements personnels.

Toutes les institutions fédérales sont tenues de se conformer à la Politique du gouvernement sur la sécurité lorsqu'elles partagent des renseignements détenus par le gouvernement du Canada. Cette dernière comporte des procédures visant la sauvegarde et la conservation des renseignements, et les institutions doivent respecter la politique et les normes de sécurité connexes lorsqu'elles passent des marchés.

8. Travaux publics et Services gouvernementaux Canada

Travaux publics et Services gouvernementaux Canada (TPSGC) joue un rôle de premier plan dans la sécurité des renseignements détenus par le gouvernement.

TPSGC se charge d'inspecter les installations que les entreprises privées utilisent pour conserver les renseignements sous le contrôle du gouvernement. Ces installations doivent recevoir une cote de sécurité, et tous les employés ayant accès aux renseignements doivent posséder la cote de fiabilité appropriée.

Si les renseignements sortent du Canada, TPSGC veille à ce que l'entreprise étrangère (et ses employés) respecte les exigences du gouvernement du Canada en matière de sécurité.

TPSGC est responsable des documents ci-après relatifs à la passation de marché et des documents connexes ayant trait à la sécurité :

9. Le secteur privé et la Loi sur la protection des renseignements personnels et les documents électroniques

Jusqu'ici, on a abordé les mesures de protection s'appliquant uniquement aux renseignements sous le contrôle du gouvernement fédéral.

Or, des millions d'opérations sont également effectuées tous les jours dans le secteur privé.

Loi sur la protection des renseignements personnels et les documents électroniques

La loi canadienne visant à protéger les renseignements personnels détenus par les entités du secteur privé s'intitule Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

La LPRPDE s'applique à tous les organismes du secteur privé, y compris les entreprises, les associations, les syndicats et les groupes à but non lucratif.

L'entrée en vigueur de la LPRPDE s'est faite en trois étapes. Dans le cadre de la première étape, en 2001, elle a été appliquée aux projets du gouvernement fédéral et aux entreprises telles que les banques, les lignes aériennes et les compagnies ferroviaires. En 2002, la portée de la Loi a été élargie pour englober les renseignements personnels sur la santé. Enfin, en 2004, on a étendu la réglementation afin qu'elle s'applique à la collecte, à l'utilisation et à la divulgation des renseignements personnels effectuées par tout organisme engagé dans des activités commerciales.

Certains des règlements d'application les plus importants de la LPRPDE comportent les éléments suivants :

L'Alberta, la C.-B. et le Québec ont adopté des lois essentiellement similaires à la LPRPDE. Les organisations assujetties à ces lois ont été exemptées de la LPRPDE pour les opérations conclues dans ces provinces. La LPRPDE continue de s'appliquer au mouvement de données transfrontalier inhérent aux activités de nature commerciale. La LPRPDE continue également de s'appliquer aux organisations régies par le gouvernement fédéral, telles que les sociétés de télécommunications, les radiodiffuseurs, les banques et les lignes aériennes.

10. Commissariat de la protection de la vie privée du Canada

La commissaire à la protection de la vie privée du Canada est une mandataire du Parlement relevant directement de la Chambre des communes et du Sénat.

La commissaire se charge de défendre le droit des Canadiens et des Canadiennes à la vie privée, et elle dispose des pouvoirs suivants :

La commissaire à la protection de la vie privée du Canada se charge, sans dépendre d'aucun autre secteur du gouvernement, d'enquêter sur les plaintes qui sont déposées par des personnes à l'endroit de la fonction publique fédérale et d'entreprises du secteur privé.

11. L'expérience du gouvernement du Canada en ce qui a trait à Internet

Outre le cadre existant de mesures de protection des renseignements personnels, mentionné précédemment, le gouvernement du Canada possède également une grande expérience en matière de protection des renseignements en ligne. En fait, le Canada est reconnu comme un chef de file mondial pour ce qui est de rendre les programmes et services gouvernementaux accessibles par le biais d'Internet.

Gouvernement en direct

Le projet Gouvernement en direct (GED) du gouvernement du Canada a commencé en 1999 et, aujourd'hui, 34 ministères et organismes fédéraux offrent aux citoyens et aux entreprises l'accès à une vaste gamme de services électroniques gouvernementaux alliant qualité et uniformité.

Le gouvernement du Canada est conscient que, pour assurer le succès de la prestation de services en ligne, il est impératif de se mériter et de maintenir la confiance des Canadiens et des Canadiennes. Les degrés de confiance en ce qui a trait à la sécurité et à la protection des renseignements personnels ont une incidence importante sur l'adhésion de la part des Canadiens et des Canadiennes et sur l'utilisation des services gouvernementaux offerts par le biais d'Internet.

Lors d'une enquête d'opinion publique sur les services gouvernementaux et le degré de satisfaction, effectuée en décembre 2004, 75 p. 100 des répondants ont mentionné que la sécurité et la confidentialité des renseignements personnels figuraient au nombre des aspects les plus importants de l'exécution d'opérations en ligne.

Selon une autre étude, le GED s'est mérité la confiance des Canadiens et des Canadiennes. Les résultats ci-après sont tirés d'une étude effectuée par Les Associés de recherche EKOS inc. en 2003, intitulée Repenser l'autoroute de l'information.

Voie de communication protégée et epass

La Voie de communication protégée est un portefeuille de services d'infrastructure formant la base du GED. Elle a pour but premier d'offrir aux citoyens et aux entreprises un accès en ligne sûr et confidentiel à tous les services du gouvernement fédéral.

La Voie de communication protégée permet :

Au nombre des composantes de la Voie de communication protégée se trouve epass, un système qui permet de confirmer l'identité des utilisateurs d'Internet et qui leur donne l'assurance qu'ils sont bel et bien en train de traiter avec l'organisme gouvernemental souhaité.

Pour obtenir un epass, les clients valident leur identité en utilisant des secrets partagés (des renseignements connus seulement d'eux-mêmes et du ministère ou de l'organisme avec lequel ils traitent); ensuite, ils sont invités à choisir un nom d'usager et un mot de passe.

En faisant usage d'un epass, les clients peuvent communiquer des renseignements personnels par le biais d'Internet tout en sachant que seul le destinataire voulu y aura accès. Il leur est même possible d'apposer leur signature électronique à des documents, ce qui évite d'avoir à se rendre à un comptoir quelconque pour conclure une transaction. Le système epass permet aussi aux clients de naviguer plus facilement de l'un à l'autre des divers services en ligne, car ils n'ont pas à s'inscrire plus d'une fois à chaque programme ni à se souvenir de multiples mots de passe s'ils choisissent d'utiliser le même epass pour tous les programmes.

Jusqu'à présent, le gouvernement du Canada a émis 900 000 epass à des Canadiens et à des Canadiennes.

Avis de confidentialité

Les Canadiens et les Canadiennes sont tenus à l'affût des politiques de confidentialité de chacune des institutions au moyen des avis de confidentialité, qui doivent figurer dans tous les sites Web du gouvernement.

Outre les avis généraux, une déclaration de confidentialité apparaît avant chaque demande de renseignements personnels. Cette déclaration avise l'utilisateur du site Web de la raison pour laquelle les renseignements sont demandés et comment ils seront recueillis, conservés et divulgués, puis elle invite l'utilisateur à donner son consentement avant de conclure l'opération.

L'affichage des déclarations constitue la première étape lorsqu'on remplit tout formulaire de demande à partir d'un site Web du gouvernement du Canada, et elles fournissent l'information nécessaire pour décider de façon éclairée si on fait une demande relativement à un programme ou à un service gouvernemental par le biais d'Internet, si on choisit une autre voie de communication, comme le téléphone, ou si on s'abstient complètement de recourir au programme ou au service, dans le cas où la participation est volontaire.


1 « USA PATRIOT » est l'acronyme de « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism » (Unifier et renforcer les États-Unis en se dotant des outils appropriés et nécessaires pour prévenir le terrorisme et y faire obstacle [traduction]).

2 « USA PATRIOT » est l'acronyme de « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism » (Unifier et renforcer les États-Unis en se dotant des outils appropriés et nécessaires pour prévenir le terrorisme et y faire obstacle [traduction]).


Date de modification :