Rapport annuel : L'examen de la GRC fait ressortir la nécessité d'améliorer la tenue des dossiers English
Nouvelles fournies par
Commissariat à la protection de la vie privée du Canada30 oct, 2014, 10:21 ET
Dans son dernier rapport annuel, le Commissaire à la protection de la vie privée du Canada fait état d'un examen révélant des lacunes dans la surveillance qu'exerce la Gendarmerie royale du Canada (GRC) sur sa collecte sans mandat, auprès des sociétés de télécommunications, de données concernant leurs abonnés, et dans la façon dont elle en rend compte.
OTTAWA, le 30 oct. 2014 /CNW/ - Les résultats d'un examen des demandes d'accès présentées sans mandat par la Gendarmerie royale du Canada (GRC) à des sociétés de télécommunications ont incité le commissaire à la protection de la vie privée à exhorter les institutions fédérales à dûment documenter genres de demandes.
Le Commissariat à la protection de la vie privée du Canada entrepris un examen afin de déterminer si la GRC disposait des contrôles adéquats pour garantir que ses activités liées à la collecte sans mandat de renseignements sur les abonnés auprès d'entreprises étaient conformes à la Loi sur la protection des renseignements personnels.
« Nous avons été déçus de constater que les lacunes dans les systèmes de gestion de l'information de la GRC nous empêchaient de déterminer si ces contrôles étaient en place, a expliqué le commissaire Therrien.
« Il n'a pas été possible de déterminer à quelle fréquence la GRC avait recueilli sans mandat des données sur les abonnés ou si ces demandes étaient justifiées. »
Les résultats de l'examen sont présentés dans le Rapport annuel 2013-2014 concernant la Loi sur la protection des renseignements personnels, que le commissaire a présenté au Parlement aujourd'hui. Ce rapport donne aussi de l'information sur d'autres enjeux ayant trait à la protection de la vie privée et à la surveillance, notamment les initiatives s'inscrivant dans le cadre de l'accord Par-delà la frontière ainsi que les métadonnées, et il analyse les principales tendances en matière d'enquêtes, de plaintes et d'atteinte à la protection des données.
Le Commissariat a mis fin à l'examen après que des cadres supérieurs de la GRC l'eurent informé que, dans la foulée d'un arrêt clé de la Cour suprême du Canada, l'organisme veillerait à ce que ses pratiques soient conformes à ce jugement.
Le Commissariat a recommandé à la GRC de se doter d'un mécanisme pour surveiller les demandes d'accès aux renseignements sur les abonnés présentées sans mandat et en rendre compte.
« Nous sommes heureux que la GRC ait accepté de mettre en œuvre cette recommandation, indique le commissaire Therrien. L'examen était centré sur la GRC, mais les autres organisations fédérales devraient également donner suite à la recommandation prônant la bonne tenue des dossiers concernant ces demandes. »
« Les Canadiens et les Canadiennes comprennent bien que les organismes d'application de la loi et de sécurité nationale ont des motifs légitimes de recueillir des renseignements personnels, a ajouté le commissaire, mais la transparence est essentielle à l'exercice de la responsabilité et elle aidera à renforcer la confiance. Les Canadiens veulent avoir une meilleure idée de la situation, et méritent de savoir comment, quand et pourquoi les institutions fédérales recueillent des renseignements personnels. »
« Nous encourageons par ailleurs tous les ministères et organismes fédéraux qui ne l'ont pas encore fait à prendre des mesures afin que toutes les demandes de renseignements personnels sur les abonnés soient conformes au récent arrêt de la Cour suprême du Canada dans R. c. Spencer. Ce jugement de la plus haute importance a une incidence sur la protection de la vie privée, car les institutions fédérales doivent évaluer attentivement le processus qu'elles ont mis en place pour obtenir des renseignements en vue de s'assurer qu'il est conforme à la Charte. Dans l'arrêt Spencer, la Cour suprême affirme clairement qu'en l'absence de circonstances contraignantes ou d'une loi qui n'a rien d'abusif prévoyant une autorité légitime, les organismes gouvernementaux doivent obtenir une autorisation judiciaire préalable afin d'obtenir des renseignements sur les abonnés correspondant à des activités menées en ligne de façon anonyme. »
Analyse des métadonnées
Le Rapport annuel signale que le Commissariat a également lancé un rapport qui fait un survol technique et juridique sur les métadonnées - l'information générée chaque fois qu'une personne utilise un appareil mobile, un ordinateur, un téléphone ou d'autres technologies.
D'après les conclusions du rapport rendu public aujourd'hui, les organisations ne devraient pas sous-estimer ce que les métadonnées peuvent révéler à propos d'une personne. Compte tenu de l'omniprésence des métadonnées et de la foule de déductions que l'on peut faire concernant des individus en particulier, les institutions gouvernementales et les organisations du secteur privé devront gérer leurs activités de collecte et de communication conformément à des normes et à des processus pertinents adaptés au degré de sensibilité éventuel des métadonnées, quelles que soient les circonstances.
Initiatives s'inscrivant dans le cadre de l'accord Par-delà la frontière
Le Rapport annuel mentionne aussi que le Commissariat a observé au cours du dernier exercice une tendance à la hausse de la collecte de renseignements personnels aux postes frontaliers ainsi que de l'échange et de l'utilisation de ces renseignements. Ces activités sont en grande partie attribuables à l'initiative sur les entrées et les sorties, qui a été élaborée dans le cadre de l'accord Par-delà la frontière conclu entre le Canada et les États-Unis sur la sécurité du périmètre. Les premières phases ont consisté en un échange de données entre le Canada et les États-Unis sur les ressortissants de pays tiers et les résidents permanents franchissant les frontières terrestres. La surveillance sera étendue aux citoyens canadiens et américains.
Le Commissariat a déjà soulevé un certain nombre de questions concernant cette initiative.
Les plans des prochaines phases de l'initiative sur les entrées et les sorties prévoient non seulement la collecte des données de sortie pour tous les voyageurs, mais également l'utilisation de ces renseignements personnels à des fins plus larges, notamment leur communication à des institutions fédérales. Le Commissariat a recommandé de faire la démonstration que chacune de ces utilisations plus étendues est nécessaire et efficace, de les effectuer de la manière la moins intrusive possible du point de vue de la vie privée et de les concevoir de façon à ce que toute atteinte à cet égard soit compensée par un bénéfice sociétal substantiel.
Le Commissariat s'attend à recevoir au cours de l'année qui vient les évaluations des facteurs relatifs à la vie privée (EFVP) quant aux nouvelles utilisations proposées concernant les renseignements personnels qui découlent du programme sur les entrées et les sorties. Les EFVP constituent un outil important et fournissent aux organisations des avantages concrets puisqu'elles contribuent à identifier et à atténuer les risques touchant la protection de la vie privée.
Atteintes à la protection des données
Pour la troisième année de suite, le nombre d'atteintes à la protection des données signalées volontairement au Commissariat par les ministères et les organismes se situe à un niveau record. Il est difficile de dire s'il y a réellement une augmentation du nombre d'atteintes à la protection des données ou si davantage de ministères et d'organismes décident de les signaler.
Les 228 atteintes à la protection des données signalées en 2013-2014 à l'échelle du gouvernement fédéral représentent plus du double par rapport aux 109 atteintes signalées au cours de l'exercice précédent.
Les futurs rapports annuels devraient fournir plus de détails sur l'ampleur des atteintes graves à la protection des données au sein du gouvernement fédéral grâce à un changement récemment apporté à la Directive sur les pratiques relatives à la protection de la vie privée du Conseil du Trésor. En fait, les institutions fédérales sont maintenant tenues de signaler toutes les atteintes substantielles à la protection de la vie privée.
Plaintes
Année après année, tout indique que les plaintes soumises au Commissariat augmentent en nombre et en complexité.
En 2013-2014, le Commissariat a accepté 1 777 plaintes en vertu de la Loi sur la protection des renseignements personnels. Il s'agit d'une baisse par rapport à l'exercice précédent, où le nombre de plaintes reçues était anormalement élevé puisque plus de 1 000 plaintes étaient attribuables à deux atteintes graves à la protection des données à Emploi et Développement social Canada (EDSC). Si l'on exclut les plaintes liées à ces atteintes, l'augmentation sur 12 mois se chiffre à environ 700 plaintes. Ce chiffre comprend 339 plaintes en lien avec un seul incident à Santé Canada.
Enquête sur EDSC
En mars 2014, le Commissariat a déposé auprès du Parlement un rapport spécial sur une enquête menée à la suite de la disparition d'un disque dur portatif contenant les renseignements personnels de près de 600 000 bénéficiaires de prêts d'études.
Notre rapport annuel résume les résultats d'une enquête sur une autre atteinte à la protection des données causée par la disparition d'une clé USB contenant les renseignements personnels de plus de 5 000 particuliers ayant demandé un nouvel examen de leur admissibilité à des prestations d'invalidité du Régime de pensions du Canada. Cette clé, qui était utilisée par un employé du ministère de la Justice, a disparu d'un bureau d'EDSC. La clé USB n'était ni protégée par un mot de passe, ni chiffrée et elle n'a jamais été retrouvée. Comme dans le cas de l'atteinte causée par la perte d'un disque dur, l'enquête a mis au jour des lacunes dans les principaux contrôles de gestion de la protection des renseignements personnels.
À propos du Commissariat à la protection de la vie privée du Canada
Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d'agir à titre d'ombudsman et de gardien du droit à la vie privée au Canada. Le commissaire est responsable de l'application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s'applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques, qui s'applique aux organisations du secteur privé.
Voir également :
Rapport annuel 2013-2014 concernant la Loi sur la protection des renseignements personnels
Métadonnées et vie privée : Aperçu technique et juridique
SOURCE : Commissariat à la protection de la vie privée du Canada
Valerie Lawton, Commissariat à la protection de la vie privée du Canada, Courriel : [email protected]; Note aux journalistes : Veuillez envoyer par courriel vos demandes d'entrevue ou de renseignements complémentaires.
Partager cet article