L’obligation d’effectuer des évaluations des facteurs relatifs à la vie privée par les institutions fédérales
Mohamed Naoufal Abdellahi (Blogue rédigé par le cadre du cours DRT 6903)
Contexte
Le 10 octobre dernier, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a publié un rapport sur l’utilisation d’outils d’investigation informatique par certaines institutions fédérales. Ces outils, aussi appelés « outils de criminalistique numérique », permettent l’extraction de données, pouvant comprendre des renseignements personnels, à partir d’appareils mobiles et d’ordinateurs physiquement en possession des institutions.
Enjeux juridiques
Les enjeux juridiques soulevés dans le rapport ont conduit à plusieurs recommandations. Ce billet de blogue abordera l’un de ces enjeux, soit l’absence de cadre législatif imposant aux institutions fédérales l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée (« ÉFVP ») avant l’utilisation ou l’acquisition de technologies susceptibles de porter atteinte à la vie privée des personnes concernées.
Bien que cette collecte de données s’effectue généralement par l’entremise d’une ordonnance judiciaire ou d’un mandat de perquisition, cela ne dispense pas les institutions fédérales d’effectuer en amont les ÉFVP nécessaires. Le Commissaire à la protection de la vie privée du Canada explique ce point dans son témoignage :
« L’utilisation n’est pas nécessairement inappropriée en soi, mais il faut faire cette évaluation. Or, comme nous l’avons constaté, les gens disent parfois ne pas avoir besoin de faire cette évaluation parce que leur mandat juridique comporte l’autorisation de mener ces activités. Or, mon message aux ministères est que ce n’est pas suffisant. L’évaluation des facteurs relatifs à la vie privée est un sujet distinct qu’il faut traiter de façon plus proactive.
[…] Dans de nombreux cas, un mandat est nécessaire. Les ministères l’ont indiqué. Comme c’était le cas de l’étude de la GRC sur l’utilisation des outils d’enquête sur l’appareil, il faut également des mandats. Cependant, c’est une question distincte de celle des évaluations des facteurs relatifs à la vie privée. Le mandat peut être fondé sur des critères distincts des considérations relatives à la vie privée qui sont au cœur des évaluations d’incidence sur la vie privée. »
Absence d’encadrement législatif
Sur la question des ÉFVP, les institutions fédérales s’appuient sur un cadre de gouvernance du Conseil du Trésor reposant sur une Politique, et dont une Directive en découle. Or, ces instruments de gestion interne ne sont pas juridiquement contraignants.
La Directive sur l’évaluation des facteurs relatifs à la vie privée, qui fera l’objet d’une modification à venir, prévoit la réalisation d’ÉFVP lorsque :
-
« des renseignements personnels peuvent être utilisés dans le cadre d’un processus décisionnel touchant directement un individu;
-
des modifications importantes sont apportées à des programmes ou à des activités déjà en place dans lesquels des renseignements personnels peuvent être utilisés à des fins administratives;
-
la sous-traitance ou le transfert d’un programme ou d’une activité à un autre ordre du gouvernement ou au secteur privé constitue une modification importante à ce programme ou à cette activité; ou
-
des activités ou des programmes nouveaux ou ayant subi des modifications importantes auront une incidence sur la vie privée en général, même si aucune décision n’est prise concernant les individus »
Ce cadre nous semble restrictif quant à la pluralité de situations où une ÉFVP peut être exigée, voire souhaitée. Conformément aux recommandations du rapport, la Directive ne spécifie pas si une ÉFVP doit être effectuée advenant un changement accessoire au programme, de l’utilisation de l’outil ou de l’acquisition d’un outil plus performant.
Contrairement au législateur québécois, où la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 25 ») est venue imposer des conditions de réalisation d’ÉFVP, la Loi sur la protection des renseignements personnels (la « LPRP ») applicable aux institutions fédérales est silencieuse sur cette question.
En l’absence d’encadrement législatif, le Commissariat à la protection de la vie privée est limité dans son pouvoir d’intervention :
« Je crois que vous demandez si nous avons enquêté sur l’un ou l’autre de ces ministères à la suite des révélations. Ce n’est pas le cas. Comme je l’ai indiqué, il n’y a pas d’obligation légale en vertu de la Loi sur la protection des renseignements personnels. Je n’ai donc pas de raison d’enquêter sur le non-respect de cette directive. Nous avons pris contact avec les ministères, et nous poursuivrons sur cette voie. Nous allons continuer à insister sur le fait que les EFVP doivent être réalisées.
Je recommande au Comité et à la Chambre d’en faire une obligation légale prévue à la Loi sur la protection des renseignements personnels. Il faudrait également que ce soit une obligation légale dans la législation sur la protection des renseignements personnels du secteur privé. Ce serait ainsi une obligation proactive qui me donnerait plus évidemment le mandat et le pouvoir de m’assurer que c’est fait. Les Canadiens considéreraient que cela fait partie de leur protection en matière de vie privée. »
Les ÉFVP : plus qu’un « exercice de conformité »
Suivant cette Directive, l’utilisation de tels outils par les institutions fédérales ne requiert pas systématiquement la réalisation d’une ÉFVP, et ce malgré les risques importants que ces technologies peuvent poser en matière d’atteinte à la vie privée.
En ce sens, certaines institutions fédérales semblent limiter le recours aux ÉFVP aux exigences de conformité interne. Au-delà de cette motivation, les ÉFVP représentent une démarche permettant d’identifier et d’atténuer les risques d’atteintes à la vie privée, et ce tout au long du cycle de vie et du traitement du renseignement personnel. Compte tenu du droit à protéger, ces évaluations peuvent être menées sur une base volontaire, même en l’absence d’une obligation légale ou d’une directive interne.
Selon le guide du Commissariat concernant le processus d’évaluation des facteurs relatifs à la vie privée, une ÉFVP ne doit pas se limiter à une démarche ponctuelle ou à un simple exercice de conformité aux exigences prévues par la loi. L’ÉFVP est un exercice proactif d’évaluation des risques afin de déterminer les mesures concrètes à mettre en place pour atténuer les risques identifiés d’atteinte à la vie privée. Ainsi, cette démarche ne doit pas se limiter qu’à une simple formalité administrative sans une réelle prise en compte des attentes en matière de vie privée des personnes concernées.
Conclusion
Le rapport met en lumière la nécessité d’une réforme législative en matière de protection de la vie privée au niveau fédéral. Récemment, le Commissaire à la protection de la vie privée du Canada, M. Philippe Dufresne, a réitéré les conclusions du rapport et de l’importance de moderniser la LPRP. Cette loi n’a pas subi de réforme majeure depuis son entrée en vigueur en 1983. Dans cette perspective, nous considérons qu’il est souhaitable pour les institutions fédérales de réaliser des ÉFVP proportionnées à la sensibilité des renseignements personnels concernés, indépendamment de la distinction entre le programme et l’outil. Le Commissariat à la protection de la vie privée recommande par ailleurs des modifications à la LPRP afin d’inclure entre autres :
« une obligation explicite pour les institutions fédérales de mener des évaluations des facteurs relatifs à la vie privée (EFVP) avant d’adopter des outils technologiques à haut risque qui font la collecte de renseignements personnels et de les soumettre au Commissariat pour examen ».
Dès lors, plusieurs enseignements peuvent être tirés de la réforme apportée par la Loi 25 au Québec qui impose une obligation plus étendue en matière de réalisation des ÉFVP dans le secteur public, et ce notamment pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services tout au long du cycle de vie du renseignement personnel (voir également les articles 64, 67.2.1, 68, 70.1 de la LADOPPRP).
Ce contenu a été mis à jour le 24 octobre 2024 à 10 h 31 min.
Commentaires