Document d'orientation pour aider à préparer des Ententes d'échange de renseignements personnels

Juillet 2010

Table des matières

  1. Introduction
    1. 1.1 Contexte
    2. 1.2 Définition d'une entente d'échange de renseignements (EER
  2. Décision à savoir si des renseignements personnels doivent être échangés ou non
    1. 2.1 Objet de l'échange
    2. 2.2 Détermination à savoir si les renseignements sont personnels
    3. 2.3 Solutions de rechange à l'échange
    4. 2.4 Détermination du besoin
    5. 2.5 Renseignements exacts, à jour et complets
    6. 2.6 Vérifier l'observation des lois
    7. 2.7 Considérations transfrontières
  3. Vérifier l'observation des politiques
    1. 3.1 Politique du SCT sur la protection de la vie privée
    2. 3.2 Directive du SCT sur le numéro d'assurance sociale (NAS)
    3. 3.3 Directive du SCT sur les pratiques relatives à la protection des renseignements personnels
    4. 3.4 Directive du SCT sur l'évaluation des facteurs relatifs à la vie privée
  4. Consignation de la décision
  5. Rédaction de l'EER
    1. 5.1 Création d'une EER – composantes
  6. Notes explicatives détaillées
    1. 6.1 Objet de l'échange
    2. 6.2 Définition de « renseignements personnels »
    3. 6.3 Solutions de rechange à l'échange de renseignements personnels avec d'autres institutions
    4. 6.4 Détermination du besoin
    5. 6.5 Définition de la portée de l'entente
    6. 6.6 Vérifier l'observation des lois
      1. 6.6.1 Charte canadienne des droits et libertés
      2. 6.6.2 Autres lois fédérales
      3. 6.6.3 Loi sur la protection des renseignements personnels
        1. 6.6.3.1 Collecte de renseignements personnels
        2. 6.6.3.2 Détermination du besoin d'avis ou de consentement
        3. 6.6.3.3 Exactitude des renseignements personnels
        4. 6.6.3.4 Utilisation de renseignements personnels
        5. 6.6.3.5 Communication de renseignements personnels
        6. 6.6.3.6 Conservation et aliénation de renseignements personnels
      4. 6.6.4 Protection de renseignements personnels
    7. 6.7 Vérifier l'observation des politiques
      1. 6.7.1 Politique du SCT sur la protection de la vie privée
      2. 6.7.2 Directive du SCT sur l'évaluation des facteurs relatifs à la vie privée
      3. 6.7.3 Directive du SCT sur le numéro d'assurance sociale (NAS)45
      4. 6.7.4 Directive du SCT sur les pratiques relatives à la protection des renseignements personnels
      5. 6.7.5 Politique sur les traités du gouvernement
    8. 6.8 Évaluation des risques
    9. 6.9 Considérations transfrontières
      1. 6.9.1 Risques accrus pour la vie privée
      2. 6.9.2 Ententes internationales en vigueur
      3. 6.9.3 Risques éventuels pour la vie privée posés par les lois antiterroristes
      4. 6.9.4 Droits de la personne
    10. 6.10 Dispositions de vérification
    11. 6.11 Autres dispositions
      1. 6.11.1 Règlement de différends
      2. 6.11.2 Signatures
  7. Définitions
  8. Documents de référence et liens utiles

Remerciements

Ce document d'orientation du Secrétariat du Conseil du Trésor (SCT) est inspiré d'un document semblable produit en 2006, par le sous-comité de la protection des renseignements personnels des conseils mixtes du Conseil de la prestation des services du secteur public (CPSSP) et du Conseil des dirigeants principaux de l'information du secteur public (CDPISP). Les deux conseils et le sous-comité sont constitués de représentants des administrations fédérales, provinciales et territoriales. Le document du sous-comité de la protection des renseignements personnels est intitulé Ententes d'échange de renseignements personnels entre gouvernements - Lignes directrices sur les pratiques exemplaires. 

Ce document d'orientation du SCT vise surtout à dispenser des conseils sur l'élaboration d'ententes fédérales d'échange de renseignements qui englobent le transfert ou l'échange de renseignements personnels. Comme le SCT a utilisé quelques unes des pratiques et des principes de protection des renseignements personnels indiqués dans le document du sous-comité de la protection des renseignements personnels, nous aimerions remercier le sous-comité pour son travail inégalé dans ce domaine.

Le SCT participe activement aux activités du sous-comité de la protection des renseignements personnels et il partagera ce document d'orientation avec d'autres membres du sous-comité afin qu'ils puissent l'utiliser et l'adapter aux besoins de leurs juridictions respectives si nécessaire.

1. Introduction

« Nota : Ce document a été conçu pour être lu en format électronique afin de pouvoir bénéficier des hyperliens (liens à d'autres documents) et signets (liens à d'autres sections de ce document) ». 

1.1 Contexte

Le Secrétariat du Conseil du Trésor (SCT) du Canada a publié en 2006 un rapport intitulé Protéger les renseignements personnels - Un impératif : La stratégie fédérale visant à répondre aux préoccupations suscitées par la USA PATRIOT Act et le flux transfrontières de données.  Dans le cadre de la stratégie gouvernementale visant à apaiser les préoccupations liées à l'USA PATRIOT Act et aux flux de données transfrontières, le Secrétariat a publié à l'intention des institutions fédérales un document d'orientation intitulé « Prise en compte de la protection des renseignements personnels avant de conclure un marché » et il a décidé de diffuser pour les institutions fédérales d'autres orientations sur les ententes d'échange de renseignements (EER) conclues avec d'autres ordres d'administration publique. Il était reconnu dans ce rapport que l'échange de renseignements personnels ne doit pas entraîner d'atteinte déraisonnable à la vie privée, un problème susceptible de prendre une grande importance quand des renseignements personnels sont transférés entre des administrations publiques ayant des cadres législatifs différents ou des administrations dont les lois sur la protection des renseignements personnels diffèrent. Le présent document vise donc à établir des orientations au sujet des ententes d'échange de renseignements (EER).

Le présent document d'orientation est destiné à toutes les institutions qui sont assujetties à la Loi sur la protection des renseignements personnels. Il a pour objet d'être utilisé dans le cadre de l'examen et de l'élaboration d'EER visant l'échange de renseignements personnels avec d'autres administrations publiques au Canada et à l'étranger. Le document n'est pas un instrument stratégique obligatoire, mais il expose des principes communs de partage ou d'échange de renseignements personnels avec d'autres administrations publiques. Il devrait aider les institutions à concevoir des EER conformes aux principes de protection des renseignements personnels. Les institutions doivent toutefois reconnaître que chaque EER est unique, et adapter les conseils à chaque situation donnée, y compris le contexte et les besoins des organisations en cause.  

Le document vise en particulier les échanges entre les gouvernements, mais il peut également être utile pour la préparation d'ententes interministérielles. Les institutions devraient, cependant, tenir compte du fait que certaines considérations et certains conseils dans ce document ne s'appliqueront peut-être pas aux ententes interministérielles. Par exemple, les ententes interministérielles ne demanderaient pas, habituellement, le transfert de renseignements personnels au delà de la frontière canadienne et, par conséquent, n'exigeraient pas l'élaboration de dispositions relatives à la protection des renseignements personnels à cet effet.

Les sections 1 à 5 de ce document présentent un sommaire des points à considérer pour les EER alors que la section 6 offre des notes explicatives relatives à ces points, avec plusieurs renvois.

Les conseils inscrits dans le présent document ne doivent pas être considérés isolément, mais de concert avec toutes les lois, réglementations, politiques et lignes directrices fédérales connexes. De plus, il faudra peut‑être aussi tenir compte des questions liées aux articles 7 et 8 de la Charte canadienne des droits et libertés. Les institutions sont fortement encouragées à consulter leurs coordonnateurs ministériels de l'AIPRP, leurs conseillers juridiques et leurs experts de la sécurité afin de répertorier, d'examiner et de tenir compte de toutes les lois et les politiques applicables qui peuvent avoir une incidence sur la protection des renseignements personnels et la sécurité, avant de conclure toute entente d'échange de renseignements personnels.

1.2 Définition d'une entente d'échange de renseignements (EER)

La Loi sur la protection des renseignements personnels ne précise pas expressément que tous les arrangements ou les ententes soient par écrit. Cependant, les institutions devraient préparer un document d'entente d'échange de renseignements (EER), c'est-à-dire un protocole d'entente écrit entre les gouvernements qui décrit les termes selon lesquels les renseignements personnels seront échangés entre les parties en question. Le « partage de renseignements » peut signifier que l'une des parties communique des renseignements tandis que l'autre partie en recueille. Il peut également s'appliquer à des situations dans lesquelles les deux parties communiquent et recueillent des renseignements.   

Une EER peut être une entente écrite formelle, un protocole, un arrangement ou un protocole d'entente, un échange de lettres, ou une convention ou un traité international ratifié par le Canada. Une EER peut être exécutoire en droit public international (elle peut alors s'appeler un traité ou un accord) ou ce peut être un instrument qui n'est pas exécutoire en droit international public (qui peut être désigné sous le nom d'arrangement ou de protocole d'entente). Comme le titre de l'instrument ne détermine pas s'il est exécutoire ou non, il importe de tenir des consultations rapides et suivies avec les experts du domaine juridique du ministère des Affaires étrangères. En consultant leurs experts du domaine juridique et les experts du domaine juridique du ministère des Affaires étrangères et du Commerce international, les institutions devraient pouvoir déterminer quel genre d'EER utiliser dans une situation donnée, et devraient pouvoir établir si l'EER doit être exécutoire ou non.

2. Décision à savoir si des renseignements personnels doivent être échangés ou non

Tôt dans le processus, les fonctionnaires qui envisagent un échange de renseignements doivent consulter leurs experts du domaine juridique, de la protection des renseignements personnels et de la sécurité.

En outre, les orientations qui suivent proposent un processus décisionnel qui aidera les institutions à déterminer si des renseignements personnels doivent être échangés. En cas de besoin, le lecteur peut utiliser les « liens en signet » afin de prendre connaissance d'explications détaillées à la section 6 du présent document.

2.1 Objet de l'échange

Les institutions fédérales doivent définir clairement l'objet d'une initiative d'échange de renseignements avant de la mettre en œuvre et ensuite déterminer si l'échange de renseignements personnels constitue le meilleur moyen d'échanger ces renseignements.

Pour plus de détails à ce sujet, prière de consulter la section intitulée Objet de l'échange (section 6.1).

2.2 Détermination à savoir si les renseignements sont personnels

Il est recommandé, dans la mesure du possible et s'il y a lieu, que tous les éléments de données personnelles susceptibles d'être partagés soient cernés au moment où l'institution envisage de conclure une EER. L'institution peut ensuite déterminer si chaque élément constitue ou non des « renseignements personnels » au sens de l'article 3 de la Loi sur la protection des renseignements personnels(remarque : certains renseignements sont exclus de la définition à des fins d'utilisation et de communication; par exemple, les renseignements au sujet du poste ou des fonctions d'un fonctionnaire). 

Pour plus de détails à ce sujet, voir la définition de « renseignements personnels » (section 6.2)

2.3 Solutions de rechange à l'échange

Les institutions fédérales peuvent envisager des solutions de rechange à l'échange afin de réduire ou d'éliminer les risques d'atteinte à la vie privée. L'approche préférée est de recueillir les renseignements personnels directement des personnes concernées.  

Une autre solution consiste à dépersonnaliser les renseignements; quand cette méthode est utilisée toutefois, il ne doit subsister aucune possibilité de relier quelque partie que ce soit des renseignements à des personnes identifiables. Les institutions doivent aussi obtenir des assurances, dans la mesure du possible, que la partie qui reçoit les renseignements n'essaiera pas de ré-identifier les personnes.

Pour plus de détails à ce sujet, voir Solutions de rechange à l'échange (section 6.3)

2.4 Détermination du besoin


Si les renseignements personnels sont exigés par une loi fédérale, l'institution n'a pas le choix – elle doit les échanger. 

Dans de nombreux cas toutefois, l'échange peut être autorisé, mais ne pas être exigé par la loi; il est donc discrétionnaire.

Les institutions ne devraient envisager les communications discrétionnaires que dans les circonstances dans lesquelles ceci est autorisé par une loi fédérale et il existe un objet clair et justifiable. Le besoin qu'a le destinataire d'obtenir les renseignements ne doit pas être confondu avec la commodité administrative; il doit être établi clairement que les renseignements personnels sont directement liés à un programme ou à une activité que le destinataire a pour mandat d'administrer. Le principe sous-jacent réside dans le fait que des renseignements personnels ne doivent jamais être échangés simplement parce que ceci est utile ou que les renseignements seraient « bons à savoir ».   

Pour plus de détails à ce sujet, voir Détermination du besoin (section 6.4)

2.5 Renseignements exacts, à jour et complets

Les institutions fédérales doivent faire tous les efforts raisonnables pour vérifier que les renseignements personnels à communiquer sont exacts, à jour et complets, surtout quand le destinataire peut utiliser les renseignements personnels dans le cadre d'un processus décisionnel qui touchera les personnes concernées. Il s'agit là d'un important facteur à prendre en considération afin de déterminer si des renseignements personnels seront communiqués ou non.La prestation de renseignements inexacts, désuets ou incomplets à d'autres organismes peut créer des problèmes graves pour ceux qui s'y fient et pour ceux qui sont possiblement associés à des renseignements inexacts. 

Pour plus de détails à ce sujet, voir Exactitude des renseignements personnels (section 6.6.3.3)

2.6 Vérifier l'observation des lois

Une fois qu'il a été déterminé qu'il existe un besoin d'échanger des renseignements personnels, une institution doit vérifier qu'elle y est autorisée par la loi. L'autorisation de recueillir et de communiquer des renseignements personnels se trouve habituellement dans une loi fédérale ou dans un règlement connexe.

Afin de vérifier la conformité, l'institution doit examiner:

  1. les lois, politiques et règlements qui régissent l'institution, le programme ou le service;
  2. la Charte canadienne des droits et libertés; et
  3. la Loi sur la protection des renseignements personnels.

Il est fortement recommandé que les institutions consultent leurs services juridiques afin d'assurer la conformité.

Avant qu'une institution décide d'échanger des renseignements personnels, elle doit s'assurer que ceux‑ci seront gérés par le récipiendaire conformément à des principes semblables à ceux qui sont enchâssés aux articles 4 à 8 de la Loi sur la protection des renseignements personnels, aussi appelé « Code de pratiques équitables en matière de gestion des renseignements personnels ». Ce code régit la collecte, l'exactitude, l'utilisation, la communication, la conservation et l'aliénation de renseignements personnels.

Conformément aux articles 10 et 11 de la Loi sur la protection des renseignements personnels, les institutions fédérales doivent décrire tous les renseignements personnels qui relèvent d'elles dans les fichiers de renseignements personnels (FRP) ou une catégorie de renseignements personnels. Toutes les descriptions des fichiers de renseignements personnels doivent aussi inclure un énoncé des fins auxquelles seront utilisés les renseignements.

Pour plus de détails à ce sujet, voir Vérifier l'observation des lois (section 6.6)

2.7 Considérations transfrontières

2.7.1 Risques accrus pour la vie privée

Les lois canadiennes sur la protection des renseignements personnels ne s'appliquent pas à une administration publique étrangère au titre des renseignements personnels qu'elle obtient d'une institution fédérale canadienne (flux transfrontières de données). Donc, les risques d'atteinte à la vie privée associés à l'échange de renseignements personnels avec des pays étrangers sont considérés, de façon générale, plus élevés que ceux qui sont associés à l'échange de renseignements personnels avec une administration provinciale, territoriale ou municipale au Canada. Ces risques sont particulièrement importants quand l'organisation étrangère n'est pas assujettie à des lois sur la protection des renseignements personnels ou à un mécanisme exécutoire sensiblement semblable à la Loi sur la protection des renseignements personnels appliquée à l'échelon fédéral.

2.7.2 Ententes internationales en vigueur

Le Canada est déjà signataire de nombreux traités internationaux bilatéraux et multilatéraux conclus avec d'autres pays en ce qui a trait à l'échange de renseignements personnels, notamment en matière de douanes, d'extradition, de fiscalité et d'immigration. Au moment de décider si elle doit ou non établir une initiative d'échange de renseignements avec un pays étranger, une institution fédérale devrait consulter ses services juridiques et se doit de consulter le ministère des Affaires étrangères et du Commerce international. Cette façon de faire permet de s'assurer que l'entente est conforme à la politique étrangère du Canada et qu'elle respecte les principes des lois internationales et canadiennes et les exigences de la Politique sur les traités du gouvernement.

Pour obtenir plus de renseignements à ce sujet, veuillez consulter la section ayant trait à la Politique sur les traités du gouvernement(section 6.7.5).

2.7.3 Risques éventuels pour la vie privée posés par les lois antiterroristes

Dans le cadre de l'échange de renseignements personnels avec des pays étrangers, il est recommandé que les institutions fédérales tiennent compte des risques éventuels d'atteinte à la vie privée posés par des lois étrangères antiterroristes comme l'USA PATRIOT Act. Une loi étrangère pourrait permettre de contourner les restrictions imposées au destinataire en ce qui concerne l'utilisation ou la communication ultérieure des renseignements personnels échangés.

2.7.4 Droits de la personne

Une fois que des renseignements personnels ont été partagés ou échangés avec un pays qui n'a pas lois qui protègent suffisamment la vie privée, des droits de la personne ou des libertés civiles, il peut devenir difficile, voire impossible, de veiller à ce que ces renseignements soient traités conformément aux valeurs et aux droits constitutionnels canadiens. Le Canada doit donc déployer tous les efforts possibles pour réduire les risques que les renseignements personnels communiqués à une administration étrangère entraînent des violations des droits de la personne ou que les renseignements personnels reçus d'un pays étranger puissent être le résultat de telles violations.

Pour plus de détails sur cette section, voir Considérations transfrontières (section 6.9)

3. Vérifier l'observation des politiques

3.1 Politique du SCT sur la protection de la vie privée

La Politique sur la protection de la vie privée du SCT précise que les responsables des institutions fédérales ou leurs délégués assument les responsabilités suivantes :

  • Prendre des mesures visant à garantir que l'institution fédérale soit conforme à la Loi sur la protection des renseignements personnels lors de la conclusion de contrats avec des organisations du secteur privé ou l'établissement d'accords ou d'ententes avec des organisations du secteur public lorsque des renseignements personnels sont échangés.
  • Veiller à ce que des dispositions appropriées en matière de protection des renseignements personnels soient incluses dans les contrats ou les ententes pouvant donner lieu à une circulation intergouvernementale ou transfrontalière de renseignements personnels.

Parmi les avantages d'une EER, mentionnons :

  • préciser les droits, les obligations et les devoirs redditionnels des parties;
  • assurer l'observation des politiques et des lois applicables en matière de protection de la vie privée;
  • définir les enjeux de garde et de contrôle;
  • restreindre l'utilisation et la communication;
  • établir des protocoles en vue de régler les problèmes et les incidents;
  • sensibiliser le personnel et lui fournir des instructions; et
  • assurer la transparence pour les personnes concernées;

3.2 Directive du SCT sur le numéro d'assurance sociale (NAS)

Si le numéro d'assurance sociale (NAS) est destiné à être échangé, ces échanges doivent toutefois être conformes à la Directive du SCT sur le numéro d'assurance sociale (NAS). La Directive expose les restrictions particulières relatives à la collecte, l'utilisation et la communication du numéro d'assurance sociale par des institutions fédérales, et elle précise les processus d'établissement de l'autorisation d'une nouvelle collecte ou utilisation du numéro d'assurance sociale. 

3.3 Directive du SCT sur les pratiques relatives à la protection des renseignements personnels

La Directive du SCT sur les pratiques relatives à la protection des renseignements personnels renferme une interprétation de l'application des articles 4 à 8 de la
Loi sur la protection des renseignements personnels, qui régissent la collecte, l'utilisation, la communication, l'exactitude, la conservation et l'aliénation de renseignements personnels. La Directive précise aussi les exigences relatives à la création et à la modification des fichiers de renseignements personnels. La tenue d'une évaluation des facteurs relatifs à la vie privée permettra de veiller au respect de ces exigences.

3.4 Directive du SCT sur l'évaluation des facteurs relatifs à la vie privée

Aux termes de la Directive du SCT sur l'évaluation des facteurs relatifs à la vie privée, les institutions sont tenues de mener une évaluation des facteurs relatifs à la vie privée quand un nouveau programme ou service concerne la collecte, l'utilisation ou la communication de renseignements personnels ou quand un changement important est apporté à un programme ou à un service existant. Cela inclurait l'échange de renseignements personnels entre administrations. Une évaluation des facteurs relatifs à la vie privée permettra de faire en sorte que l'activité d'échange de renseignements soit conforme à la Loi sur la protection des renseignements personnels et que des mesures soient mises en œuvre afin d'atténuer d'éventuels risques d'atteinte à la vie privée.  

Pour plus de détails au sujet de cette section, voir Vérifier l'observation des politiques  (section 6.7)

4. Consignation de la décision

Si une institution a décidé de conclure une EER, une pratique exemplaire consiste à consigner cette décision. Cela peut être accompli en résumant les obligations de diligence raisonnable qui ont amené le délégué ou le représentant officiel de l'institution à conclure qu'une EER était nécessaire. Parmi les documents qui s'imposent, mentionnons une justification, une analyse juridique à l'appui, une évaluation des facteurs relatifs à la vie privée, l'évaluation connexe de la menace et des risques, ainsi qu'un plan d'atténuation des risques. 

Dans la mesure du possible, chaque EER devrait traiter des préoccupations soulevées dans les documents susmentionnés.

5. Rédaction de l'EER

Une EER devrait établir les modalités et les conditions qui régiront l'échange de renseignements personnes entre les parties.

Une EER devrait être rédigée suivant les conseils et l'orientation de responsables des programmes et des projets, de conseillers en politiques sur la protection de la vie privée et en gestion de l'information, de conseillers juridiques et de spécialistes fonctionnels (comme des experts de la sécurité et des spécialistes des systèmes de technologie de l'information).

Dans la mesure du possible, une EER devrait être précise, et elle devrait être rédigée dans un langage simple afin d'être bien comprise. Elle devrait être assez souple pour pouvoir être modifiée et, dans la mesure du possible, elle devrait être publiée pour une plus grande transparence.

Les composantes suivantes permettront de veiller à ce que tous les enjeux applicables de protection de la vie privée soient pris en considération dans le cadre de l'élaboration de l'EER. Des « signets » ont été ajoutés afin de vous fournir des notes explicatives détaillées à la section 6 du document. Il convient toutefois de signaler que les composantes ne sont pas toutes pertinentes à chaque initiative d'échange de renseignements. Les experts juridiques de l'institution peuvent aider à déterminer lesquelles s'appliquent.

5.1 Création d'une EER – composantes

L'inclusion dans une EER des composantes suivantes devrait être prise en considération :

  1. Un titre qui constitue un reflet fidèle de l'objet de l'EER;
  2. Les parties à l'entente qui communiquent les renseignements personnels et les destinataires. Inclure les noms des personnes ressources de toutes les institutions assujetties à l'entente; 
  3. L'objet de l'EER;
  4. Le fondement en loi qui autorise l'échange de renseignements personnels (collecte, utilisation et communication) entre les parties, y compris les lois pertinentes concernant les programmes;
  5. Les éléments des renseignements personnels qui seront communiqués et recueillis;
  6. Dans la mesure du possible, les titres de poste des fonctionnaires qui auront accès aux renseignements personnels qui seront échangés;
  7. À savoir s'il faut obtenir un consentement des personnes concernées ou leur fournir un avis;
  8. Les limitations concernent l'utilisation et la communication ultérieures de renseignements personnels échangés entre les parties à l'entente, sous réserves des lois qui s'appliquent dans chacune des administrations;
  9. Toutes les mesures de protection administrative, technique et matérielle requises pour assurer la protection des renseignements personnels échangés, du transfert initial à l'aliénation définitive, contre l'accès, la communication, l'utilisation, la modification et la suppression accidentels ou non autorisés;
  10. Processus visant à réagir aux atteintes à la vie privée ou à la sécurité, y compris les exigences d'avis;
  11. Processus à utiliser afin de veiller à ce que les renseignements personnels échangés soient conservés exacts, complets et à jour par toutes les parties concernées
  12. Période maximale de conservation des renseignements personnels échangés par les parties et méthodes d'aliénation exigées;
  13. Dans la mesure du possible et le cas échéant, processus à utiliser pour assurer aux personnes concernées le droit d'accès à leurs renseignements personnels, y compris leur droit de demander une correction;
  14. Processus de contrôle de l'observation et de vérification;
  15. Procédures requises pour modifier l'entente ou y mettre fin;
  16. Mécanismes de règlement de différends;
  17. Le cas échéant, mesures à adopter face aux risques éventuels d'atteinte à la vie privée posés par les lois antiterroristes d'un pays étranger;
  18. Le cas échéant, exigences d'observer des dispositions particulières de traités particuliers d'entraide juridique ou d'autres ententes internationales;
  19. Droits de la personne;
  20. Signatures et dates de signature

6. Notes explicatives détaillées

6.1 Objet de l'échange

Un organisme qui demande des renseignements personnels doit pouvoir clairement établir la raison pour laquelle les renseignements sont requis. Par exemple, les renseignements peuvent être nécessaires pour des fins non administratives (lorsque les renseignements ne seront pas utilisés dans le cadre d'un processus décisionnel qui pourrait toucher les personnes concernées) comme en ce qui concerne :

  • L'évaluation de programmes;
  • La vérification;
  • La recherche; ou
  • L'analyse statistique

En revanche, les renseignements peuvent être nécessaires à des fins administratives dans les cas où ils seront utilisés dans le cadre d'un processus décisionnel qui touchera les personnes concernées, comme pour :

  • L'authentification et la vérification : dans les cas où des renseignements personnels sont comparés et confirmés aux fins de l'identification de personnes avant de leur accorder l'accès à des programmes et des services ou à des installations matérielles, ou de leur fournir des renseignements; 
  • L'administration d'un programme ou d'un service : dans les cas où des renseignements personnels sont utilisés afin de déterminer ou de vérifier l'admissibilité à des programmes, d'administrer des paiements en trop ou des paiements de programme, d'octroyer ou de refuser des permis ou des licences, de traiter des appels, etc.;
  • Activités d'observation ou réglementaires : par exemple, dans les cas où les renseignements sont utilisés pour déceler des cas de fraude ou d'éventuelles utilisations abusives de programmes ou de services, de harcèlement, etc. (lorsque les conséquences sont de nature administrative, c.-à-d., amende, interruption de prestations, vérification de demandes ou de dossiers personnels, etc.);
  • Enquêtes criminelles et sécurité nationale/de l'exécution : dans les cas où les renseignements sont utilisés à des fins liées à des enquêtes et l'exécution dans un contexte criminel, ou lorsqu'ils sont associés à des activités de sécurité nationale ou antiterrorisme (c.-à-d., dans le cadre d'enquêtes et de poursuites relatives à des infractions, pour faciliter le flux en toute sécurité des personnes au Canada, pour réagir à la menace de terrorisme, etc.).

6.2 Définition de « renseignements personnels »

Les renseignements personnels sont définis à l'article 3 de la Loi sur la protection des renseignements personnels comme « Les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment:

  1. les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille;
  2. les renseignements relatifs à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé;
  3. tout numéro ou symbole, ou toute autre indication identificatrice, qui lui est propre.

La liste des exemples cités aux alinéas 3a) à 3m) dans la Loi n'est pas exhaustive.

Cela inclut les renseignements qui peuvent être liés, même de loin, à une personne, comme un numéro de compte; un certificat ou un numéro de licence, une adresse de protocole Internet (IP), un identificateur biométrique, une image photographique; et tout autre numéro, caractéristique ou code qui pourrait mener à l'identification d'une personne. Le nom de la personne n'est pas toujours le facteur déterminant, étant donné que les renseignements personnels incluent les renseignements consignés qui permettent ou mènent à l'identification Voir la note en bas de page 1 éventuelle d'une personne, seuls ou jumelés à des renseignements de sources « autrement disponibles », y compris des sources publiques.

L'utilisation et la communication de certains types de renseignements personnels ne sont pas restreintes par la Loi sur la protection des renseignements personnels. Ces exceptions sont précisées aux alinéas 3j) à m) et incluent notamment certains renseignements au sujet des postes, fonctions et coordonnées professionnelles des fonctionnaires; certains renseignements au sujet des personnes qui fournissent des services à contrat à une institution fédérale; les renseignements au sujet des avantages financiers discrétionnaires; et les renseignements au sujet de personnes décédées depuis plus de 20 ans. (L'information est exclue de la définition pour l'application des articles 7, 8 et 26 de la Loi sur la protection des renseignements personnels et de l'article 19 de la Loi sur l'accès à l'information) Voir la note en bas de page 2 .

D'autres types de renseignements personnels conformément aux articles 69, 69.1 et 70 de la Loi sur la protection des renseignements personnels , sont également exclus du domaine d'application de la Loi. De tels renseignements ne seraient pas, par conséquent, divulgués en réponse à une demande formelle déposée en vertu de la Loi sur la protection des renseignements personnels. Les articles 69 et 70 stipulent que la Loi ne s'applique pas :

  • au matériel de bibliothèques ou de musées conservé uniquement à des fins de consultation par le public ou d'exposition;
  • au matériel placé à Bibliothèque et Archives Canada, au Musée des beaux-arts du Canada, au Musée canadien des civilisations, au Musée canadien de la nature et au Musée des sciences et de la technologie du Canada par des personnes ou des organismes autres que des institutions fédérales, ou en leur nom;
  • aux renseignements personnels que la Société Radio-Canada recueille, utilise ou communique uniquement à des fins journalistiques, artistiques ou littéraires;
  • aux renseignements confidentiels du Conseil privé de la Reine.

En cas de doute à savoir si des renseignements sont considérés comme étant « personnels » ou non et quelles restrictions s'y appliquent, vous devez consulter le coordonnateur de l'accès à l'information et de la protection des renseignements personnels de votre institution. 

REMARQUE : Les renseignements personnels sont définis différemment d'une administration à l'autre, et cela pourrait avoir une incidence sur l'EER. Certains renseignements professionnels ou sur les employés ne sont pas considérés comme des renseignements personnels par certaines administrations, mais ils le sont ailleurs. La plupart des lois sur la protection des renseignements personnels s'appliquent aux renseignements personnels consignés, mais certaines lois s'appliquent à la fois aux renseignements personnels qui sont consignés et à ceux qui ne le sont pas. Les renseignements personnels qui concernent la santé ne sont pas traités de la même façon par toutes les administrations. Certaines administrations peuvent imposer différentes exigences applicables aux renseignements personnels qui sont du domaine public.   

Il est recommandé que les parties tiennent compte de l'incidence des différences juridictionnelles dans la définition de « renseignements personnels » avant de décider s'ils échangent les renseignements ou non.

 

6.3 Solutions de rechange à l'échange de renseignements personnels avec d'autres institutions

L'échange de renseignements personnels signifie que l'une des parties ou les deux peuvent se communiquer ou collecter des renseignements personnels. Compte tenu des répercussions qui en résultent en matière de protection des renseignements personnels, les institutions doivent se demander s'il existe des solutions de rechange à l'échange de renseignements personnels. Par exemple, les méthodes suivantes peuvent être envisagées:  

  • Partage de renseignements dépersonnalisés (suppression de tous les identificateurs personnels)

    Les renseignements personnels qui sont modifiés de façon que l'identité de la personne ne puisse plus être établie constituent des renseignements dépersonnalisés. Cela peut se faire en supprimant les identificateurs comme le nom d'une personne, sa date de naissance et d'autres données personnelles qui peuvent être liées à la personne. Quelque soit la méthode utilisée pour dépersonnaliser les renseignements, la réidentification devrait être rendue impossible, c'est à dire que, même lorsque jumelées à d'autres sources, le reste des données ne devrait permettre d'établir aucun lien avec la (les) personne(s).

  •  Partage de données agrégées (comme une fourchette d'âges, plutôt que des âges en particulier)

    Les renseignements qui ont été généralisés de telle sorte qu'ils ne peuvent être liés à une personne, comme le fait d'utiliser une fourchette d'âges, plutôt que des âges en particulier, sont appelés données agrégées. 

REMARQUE : Quand l'une des approches susmentionnées est utilisée, il ne doit subsister aucune possibilité de relier les renseignements à des personnes identifiables. Par exemple, afin de limiter la possibilité de réidentification, il peut être nécessaire: 
  • de supprimer des données de tableaux qui renferment des renseignements au sujet de moins de cinq personnes (et d'autres données de tableaux au besoin afin de prévenir l'identification d'après les totaux des rangées et des colonnes);
  • de combiner des catégories;
  • d'examiner les tableaux et les graphiques afin de s'assurer qu'ils n'affichent pas de renseignements sur des personnes identifiables;
  • examiner attentivement les combinaisons d'« identificateurs indirects » pour s'assurer que ceux-ci ne peuvent être liés avec d'autres renseignements qui pourraient permettre la réidentification des individus (p. ex., identificateurs indirects comme la population, le groupe d'âge, le sexe et l'étât civil).

Une pratique exemplaire consiste à obtenir des conseils de la part d'experts en statistiques, comme les représentants de Statistiques Canada. De telles consultations pourraient fournir des assurances que les renseignements à communiquer ne permettrait pas la ré-identification des individus.

Si l'objectif ne peut être réalisé en utilisant des renseignements personnels non identifiables, les institutions devraient considérer d'autres solutions de rechange pour réduire ou éliminer les risques en matière de protection des renseignements personnels.  

Partage de renseignements disponibles dans l'institution : nvisager d'utiliser des renseignements personnels qui existent déjà au sein de l'institution, mais qui sont détenus par une autre direction ou un autre secteur de programme. Les renseignements peuvent être échangés entre les programmes :

  • avec le consentement de la personne concernée;
  • si l'objet de l'échange est conforme à l'objet pour lequel les renseignements ont été initialement obtenus ou compilés;
  • pour une autre raison si l'une des conditions indiquées aux articles 7 ou 8 de la Loi sur la protection des renseignements personnels est remplie.

Même au sein de l'institution, il faut s'assurer d'être autorisé (normalement par la loi) à échanger des renseignements personnels entre programmes. Ceci dit, malgré que des EERs puissent parfois être utilisées pour partager des renseignements personnels entre programmes de la même institution, des ententes écrites ne sont pas requises. Cependant, un tel partage doit être conforme à la Loi sur la protection des renseignements personnels et doit être reflété dans le fichier de renseignements personnels de l'institution dans la publication du SCT Info Source.

Dans certains cas, d'autres lois peuvent avoir préséance sur la Loi sur la protection des renseignements personnels (p. ex., lois habilitantes) et ainsi permettre l'usage et la communication au sein ou hors de l'institution. Par exemple, la Loi de l'impôt sur le revenu,, la Loi sur les statistiques, et la Loi sur le ministère des Ressources humaines et du Développement des compétences contiennent leurs propres dispositions concernant l'utilisation et la divulgation des renseignements personnels et, par conséquent, elles supplantent l'application des dispositions relatives à l'utilisation et à la divulgation de la Loi sur la protection des renseignements personnels.

Le secteur de programme qui a le contrôle des renseignements personnels à être échangés peut déterminer si l'échange est opportun ou non, en suivant les conseils des experts ministériels du domaine juridique et de la protection des renseignements personnels.  
Il peut y avoir d'autres solutions de rechange, mais les avantages et les risques pour la protection des renseignements personnels associés à une option doivent être comparés et analysés avant qu'une décision soit prise.

Il est recommandé que des fonctionnaires consignent les solutions de rechange et la justification de l'option choisie.

6.4 Détermination du besoin

Une institution fédérale peut avoir besoin d'échanger des renseignements personnels pour diverses raisons avec l'un des organismes gouvernementaux suivants:

  • une autre institution fédérale;
  • l'administration d'une province ou d'un territoire du Canada;
  • une administration municipale ou régionale au Canada;
  • le gouvernement d'un État étranger;
  • une organisation internationale d'États ou une organisation internationale mise sur pied par des gouvernements d'États;
  • d'autres organisations au besoin, p. ex. le conseil d'une Première Nation.

Il existe des circonstances particulières, comme une épidémie, dans lesquelles la prestation de renseignements personnels à une autre administration est obligatoire. Par exemple, l'article 40.2 de la Loi sur la mise en quarantaine (2005) est un exemple de loi fédérale qui exige que les renseignements personnels concernant la santé soient communiqués dans certaines situations. Cependant, la plupart des communications de renseignements personnels d'une institution gouvernementale à une autre sont discrétionnaires. 

Les institutions devraient limiter les communications discrétionnaires aux circonstances dans lesquelles ceci est permis par une loi fédérale et il existe un objet clair et justifiable. Dans ce contexte, le besoin qu'a le destinataire d'obtenir les renseignements ne doit pas être confondu avec la commodité administrative. L'« institution gouvernementale qui recueille les renseignements » devrait pouvoir démontrer qu'elle a l'autorité nécessaire pour la collecte de renseignements personnels dans les circonstances données. De même,
« l'institution gouvernementale qui communique les renseignements » devrait pouvoir prouver que les renseignements personnels peuvent être communiqués à une fin légitime. 

Des arguments d'intérêt public ou d'avantage pour la personne peuvent également être invoqués afin de justifier la communication. Dans un cas comme dans l'autre, la communication devrait être restreinte au minimum de renseignements nécessaires aux fins autorisées par la loi.

6.5 Définition de la portée de l'entente

Les institutions doivent toujours veiller à ne communiquer que le minimum de renseignements personnels requis aux fins de l'objet déclaré d'une EER, et à ne communiquer que les renseignements dont la communication est dûment autorisé en application de l'article 8 de la Loi sur la protection des renseignements personnels.  L'EER devrait inclure une liste des éléments de données personnelles qui seront échangés, ainsi que l'objet de chaque échange et les restrictions particulières qui peuvent être associées aux éléments (par exemple, les parties peuvent vouloir exiger que les éléments plus délicats soient cryptés, ou imposer des conditions plus strictes relativement à l'utilisation ou la communication ultérieures, par exemple, si des numéros d'assurance sociale sont échangés).

Les institutions doivent aussi déployer tous les efforts raisonnables pour que tous les éléments de données communiqués soient aussi pertinents, exacts, à jour et complets que possible par rapport à l'objet légitime pour lequel ils sont échangés avec le destinataire.  Le genre, l'ampleur, la qualité et la fiabilité des renseignements personnels à échanger, ainsi que la méthode de communication des données, doivent être clairement établis par les parties avant que les renseignements soient partagés. 

REMARQUE : Comme certains organismes peuvent détenir une grande quantité de renseignements personnels, mais que ceux‑ci peuvent ne pas tous être pertinents aux fins auxquelles l'autre partie les demande, il ne serait pas opportun de les communiquer tous.  Il ne s'agit pas seulement d'une question que doit prendre en considération l'organisme qui détient les renseignements, mais également celui qui les reçoit. La communication d'une trop grande quantité de renseignements personnels ou la collecte d'une quantité de renseignements plus grande que nécessaire à une fin particulière est contraire à l'esprit de la Loi sur la protection des renseignements personnels et elle est aussi contraire aux principes généralement acceptés en matière de protection des renseignements personnels et aux normes qui régissent la collecte, l'utilisation et la communication de renseignements personnels. 

Une question à régler dans le cadre de l'échange de renseignements personnels consiste à déterminer la qualité des renseignements personnels dont le destinataire a besoin.  Par exemple, les données à échanger sont‑elles pertinentes, exactes, complètes et suffisamment à jour, compte tenu du besoin du destinataire? En raison de la diversité des milieux dans lesquels les données sont recueillies à diverses fins par des organismes gouvernementaux, elles peuvent ne pas toujours être convenables ou fiables. Leur exactitude, leur intégralité et leur qualité peuvent varier sensiblement. Les parties devraient donc s'attaquer à la question de la qualité des données ou des mesures à adopter pour que les données correspondent à l'utilisation visée avant de conclure une entente d'échange de renseignements personnels. 

Cela est particulièrement important quand les renseignements à échanger sont des renseignements de sécurité qui ont été recueillis par l'institution qui les communique au sujet du crime organisé, du terrorisme, de l'extrémisme et d'autres menaces. Dans ces cas, il est recommandé que l'organisme qui communique les renseignements indique la fiabilité des renseignements personnels à échanger en établissant le contexte des renseignements, comme en précisant si ces renseignements sont le fruit d'observations, s'ils proviennent d'une source, s'ils ont été interceptés de façon électronique, et en précisant la source des renseignements. Il peut être nécessaire d'inclure clairement dans l'entente une évaluation de la fiabilité des renseignements et l'étendue des mesures à adopter afin de les corroborer. Cela nécessiterait aussi l'utilisation de restrictions dans le cadre de l'échange de renseignements afin d'apaiser les préoccupations au sujet de la fiabilité, de la pertinence et de l'exactitude des renseignements. 

En outre, le processus par lequel des renseignements personnels seront échangés entre les parties, p. ex., poste, télécopieur, téléphone, transfert de fichiers électroniques, ou accès Internet – qu'il s'agisse de « pousser » (données remises à l'autre partie) ou de « tirer » (données prises par l'autre partie), ainsi que de la fréquence à laquelle les données seront fournies – en temps réel, en traitement par lots ou en demandes spéciales – devra aussi faire l'objet d'une entente entre les parties. Cela inclut aussi les mesures de sécurité à adopter afin d'assurer la sécurité des données pendant et après leur transmission, comme le cryptage, la protection d'un mot de passe ou l'authentification. Ces mesures devront être entièrement consignées dans l'entente. Souvent, ces mesures sont incluses dans un calendrier distinct joint à l'entente afin de permettre la modification de celle-ci quand les mesures sont modifiées. 

Dans la mesure du possible, les renseignements personnels fournis par un organisme gouvernemental à une autre partie doivent être « poussés », plutôt que « tirés ». Cela signifie que plutôt que de donner accès à la base de données dans laquelle les renseignements personnels sont conservés, l'institution ferait mieux de transférer les renseignements ou les données à l'autre administration, de la manière, aux heures et aux dates prévues dans l'entente.

Parmi les pratiques exemplaires à observer, l'institution doit clairement déterminer d'emblée toutes les fins auxquelles les renseignements personnels peuvent être utilisés ou communiqués, y compris les utilisations secondaires. Les interdictions visant l'utilisation secondaire ou la communication ultérieures des renseignements peuvent aussi devoir faire l'objet d'un examen attentif et d'un accord entre les parties à l'entente, afin d'éviter les différends ou les mésententes par rapport aux lois applicables dans chaque administration, y compris les lois sur l'accès à l'information et la protection de la vie privée et les autres lois pertinentes.

Remarque : Il est important que les interdictions visant l'utilisation secondaire ou la communication ultérieure des renseignements qui peuvent être imposées au destinataire par l'expéditeur des renseignements, comme les restrictions ou les règlements touchant une tierce personne qui interdisent la diffusion ultérieure des renseignements sans l'approbation de l'expéditeur, soient convenues entre les parties au moyen de procédures déterminées avant la conclusion de l'entente d'échange de renseignements personnels. À défaut d'inclure des restrictions, l'expéditeur court le risque que le destinataire communique les renseignements à une tierce partie non nommée dans l'entente et que les renseignements soient utilisés à des fins non prévues qui pourraient être inacceptables. Ces procédures doivent tenir compte des lois applicables dans chaque administration, y compris les lois sur l'accès à l'information et la protection de la vie privée, et d'autres lois pertinentes. 

En vertu de la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels, les renseignements obtenus à titre confidentiel par d'autres gouvernements sont assujettis à une exception obligatoire qui offre le pouvoir discrétionnaire de communiquer les renseignements avec le consentement de l'individu ou si l'autre gouvernement rend les renseignements publics. Il est donc fortement suggéré que l'entente établisse un mécanisme de consultation afin de répondre aux demandes de renseignements présentées aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels. Par exemple, l'entente pourrait inclure une disposition exigeant que les parties se consultent mutuellement quand elles reçoivent une demande d'accès aux renseignements de la part de la personne concernée, afin de déterminer si la partie ayant fourni les renseignements consentirait ou non à leur communication.

Afin de prévenir la communication, la copie, l'utilisation ou la modification non autorisées des renseignements visés par l'entente, les destinataires doivent restreindre l'accès à ces renseignements en fonction du besoin de savoir, et utiliser des mécanismes de sécurité reconnus comme des mots de passe, le cryptage, des pistes de vérification, ou d'autres mesures de protection raisonnables, de manière à empêcher l'accès non autorisé et à exercer un effet dissuasif.

Il est recommandé que les échanges de renseignements soient consignés au dossier du sujet par l'institution qui les communique, de façon que les destinataires de renseignements inexacts puissent être informés et recevoir des renseignements révisés exacts. 

Le fait de signaler ou d'incorporer des filigranes dans les renseignements échangés, surtout quand il s'agit de renseignements délicats, constitue une façon de s'assurer que les renseignements sont traités conformément aux modalités et aux conditions de l'entente. Par exemple, avant d'être échangés, tous les renseignements personnels peuvent être assortis d'un en-tête ou d'un filigrane « Reçu à titre confidentiel conformément aux modalités de l'entente (titre de l'entente) » ou d'une autre mention de l'entente conclue entre les parties. Cela permettrait aussi d'identifier la source de renseignements dont la communication n'a pas été autorisée.

6.6 Vérifier l'observation des lois

Quand elles envisagent pour la première fois un échange de données, les institutions doivent confirmer que l'échange en question est légal. Cela signifie qu'une fois qu'un organisme a défini quels renseignements personnels il échangera, comment, pourquoi et avec qui il le fera, il procède ensuite à une analyse de toutes les lois fédérales applicables, y compris la réglementation, afin de confirmer qu'il y est autorisé par la loi. Le destinataire serait aussi tenu de vérifier qu'il est lui aussi autorisé par la loi à procéder à l'échange de données proposé.

L'échange de renseignements personnels peut faire entrer en jeu la Charte canadienne des droits et libertés. Le fait qu'une communication soit expressément autorisée aux termes de la Loi sur la protection des renseignements personnels ou d'une autre loi fédérale n'assure pas automatiquement l'observation de la Charte canadienne des droits et libertés. L'examen de ces lois, de la Charte canadienne des droits et libertés et de la jurisprudence établit le cadre juridique à passer en revue afin de déterminer si l'échange de données proposé est assujetti à des restrictions législatives. Il est reconnu que les rapports mutuels entre ces domaines de la loi sont assez complexes, et que des conseils de spécialistes juridiques sont souvent nécessaires.

Les paragraphes qui suivent établissent une vue d'ensemble du contexte juridique dans lequel la décision d'une institution d'échanger ou non des renseignements personnels devrait être prise. 

6.6.1 Charte canadienne des droits et libertés

Le gouvernement fédéral est assujetti à la Charte canadienne des droits et libertés et il doit veiller à ce que ses lois, ses politiques et ses mesures ne contreviennent pas à la protection accordée par la Charte.  

Les tribunaux canadiens ont clairement établi que les articles 7 et 8 de la Charte canadienne des droits et libertés protègent le droit à la vie privée dans certaines circonstances. La Cour suprême du Canada a déterminé que l'article 8 de la Charte canadienne des droits et libertés garantit que chacun est en droit raisonnable de s'attendre au respect de sa vie privée et qu'il protège les personnes contre une intrusion arbitraire du gouvernement dans leur vie privée. Cette protection s'étend à la collecte, à l'utilisation et à la communication de renseignements personnels. Plus les renseignements s'approchent des « renseignements biographiques de base » d'une personne—comme les renseignements au sujet de sa santé, ses caractéristiques génétiques, son orientation sexuelle, son emploi, ses opinions sociales ou religieuses, ses amitiés et ses associations—plus le gouvernement a l'obligation de respecter et de protéger la vie privée de la personne.   

En plus du droit à la vie privée que les articles 7 et 8 de la Charte canadienne des droits et libertés protègent, les droits à la vie, à la liberté et à la sécurité de sa personne énoncée à l'article 7 peuvent entrer en jeu lorsque des renseignements sont échangés avec des pays étrangers. Pour de plus amples détails à ce sujet, veuillez consulter les points 6.9.1 et 6.9.4. 

Il est recommandé que les institutions consultent leurs Services juridiques pour déterminer si l'échange de renseignements proposé contrevient ou non à la Charte canadienne des droits et libertés.   

L'observation de la Charte canadienne des droits et libertés est contextuelle et doit être examinée cas par cas. Les Services juridiques ainsi que des groupes spécialisés du ministère de la Justice dispensent des conseils en matière de droit constitutionnel, de droit administratif, de la Charte canadienne des droits et libertés, de droit international et de droit criminel pour ce qui est du renseignement et de la sécurité nationale.

6.6.2 Autres lois fédérales

La Loi sur la protection des renseignements personnels n'est pas la seule loi qui réglemente les pouvoirs qu'a une institution fédérale de recueillir, d'utiliser et de communiquer des renseignements personnels. D'autres lois fédérales renferment des dispositions législatives qui autorisent, interdisent ou réglementent expressément l'échange de renseignements personnels. Par exemple, la Loi sur la statistique autorise Statistique Canada à conclure des ententes avec des organismes statistiques provinciaux, des institutions fédérales, provinciales ou municipales ou d'autres sociétés. La Loi sur le ministère des Ressources humaines et du Développement des compétences et la Loi de l'impôt sur le revenu constituent également d'autres exemples de ce genre de lois.

Remarque : La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, modifiée en 2004, constitue un autre exemple de Loi qui autorise la collecte et la communication de renseignements personnels. La Loi vise à déceler les cas de blanchiment d'argent et de financement d'activités terroristes, et à exercer un effet dissuasif en la matière. Dans cette optique, la Loi exige que les institutions financières et d'autres personnes et entités désignées présentent des rapports au Centre d'analyse des opérations et déclarations financières du Canada (CANAFE) concernant des opérations financières douteuses et certaines opérations visées par la Loi. Le CANAFE doit analyser ces rapports afin de déceler les cas de blanchiment d'argent et de financement d'activités terroristes, et d'exercer un effet dissuasif en la matière. Afin de renforcer sa capacité d'analyse, le CANAFE est également autorisé à recevoir des renseignements sur une base volontaire de la police et d'autres organismes, et il a accès à des bases de données tenues à jour par les administrations fédérales ou provinciales au sujet de la sécurité nationale et de l'observation des lois. 

Il est interdit au CANAFE de communiquer des renseignements personnels qui lui sont déclarés ou fournis à titre volontaire, sauf si ces renseignements satisfont à un ou plusieurs des critères prévus dans la Loi. Si, après l'analyse du CANAFE, un ou plusieurs des critères sont remplis, le Centre doit communiquer ce que la Loi définit comme des « renseignements désignés » à la police et à d'autres organismes canadiens de sécurité et d'observation des lois visés par la Loi. Sous réserve de l'autorisation du ministre, le CANAFE peut aussi conclure des ententes avec ses homologues étrangers. Si, après l'analyse du CANAFE, les critères de communication à un organisme étranger sont remplis, le Centre peut communiquer des « renseignements désignés » à cet organisme aux fins d'enquêtes ou de poursuites relatives à des infractions de blanchiment d'argent ou de financement d'activités terroristes.

La Loi sur le ministère de la Citoyenneté et de l'Immigration constitue un autre exemple de loi autorisant le transfert de renseignements personnels à l'étranger. La Loi autorise le ministre de la Citoyenneté et de l'Immigration à conclure des ententes avec des administrations étrangères et des organisations internationales afin de faciliter la formulation, la coordination et la mise en œuvre, y compris la collecte, l'utilisation et la communication de renseignements, de politiques et de programmes qui relèvent du ministre. La Loi sur le Service canadien du renseignement de sécurité autorise le Service (aussi appelé SCRS), s'il y est lui-même autorisé par le ministre intéressé, et après consultation avec le ministre des Affaires étrangères, à conclure des  arrangements ou à collaborer avec le gouvernement d'un État étranger, une institution de cet État, ou une organisation internationale d'États. Cette collaboration pourrait manifestement inclure le transfert de renseignements personnels détenus par des institutions fédérales au sujet de Canadiennes ou de Canadiens ou d'autres ressortissants étrangers.

D'autres lois fédérales renferment aussi des dispositions protégeant la vie privée des particuliers ou interdisant la communication de types précis de renseignements personnels. Par exemple, la Loi sur le casier judiciaire précise qu'aucun renseignement ne peut être communiqué en ce qui concerne les déclarations de culpabilité d'une personne au titre desquelles un pardon a été accordé, à moins d'obtenir la permission du ministre de la Sécurité publique et Protection civile Canada – ou le consentement écrit de la personne concernée. De même, la Loi sur le système de justice pénale pour les adolescents précise que, sous réserve de certaines exceptions, nul ne doit obtenir des renseignements susceptibles d'identifier une jeune personne concernée, considérée comme un adolescent aux termes de cette loi.

D'autres lois comme le Régime de pensions du Canada, la Loi sur la sécurité de la vieillesse, et la Loi sur l'identification par les empreintes génétiques, pour n'en nommer que quelques-unes, renferment aussi des restrictions ou des interdictions concernant la communication de renseignements personnels.

La décision de communiquer ou non des renseignements personnels devrait être exercée par le décideur désigné conformément au pouvoir légal prévu dans la loi qui autorise la communication. 

Les communications en vertu du paragraphe 8(2) de la Loi sur la protection des renseignements personnels sont « sous réserve d'autres lois fédérales ». Ces communications ne sont pas généralement permises lorsqu'une autre loi l'interdit spécifiquement, à mois que celle-ci contiennent des exceptions. Par ailleurs, si une autre loi fédérale autorise la communication de renseignements personnels en particulier, cette communication est reconnue aux termes de l'alinéa 8(2)b) de la Loi sur la protection des renseignements personnels, qui autorise la « communication aux fins qui sont conformes aux lois fédérales ou ceux de leurs règlements qui autorisent cette communication ».

6.6.3 Loi sur la protection des renseignements personnels

En supposant que la Charte canadienne des droits et libertés et d'autres lois fédérales n'interdisent pas le projet proposé d'échange de renseignements, une institution doit ensuite s'assurer que la communication ou la collecte proposée de renseignements personnels est conforme à la Loi sur la protection des renseignements personnels.

La Loi sur la protection des renseignements personnels et les politiques afférentes du SCT imposent les normes suivantes en ce qui a trait à la collecte, l'exactitude, l'utilisation, la communication, la conservation et l'aliénation de renseignements personnels. 

6.6.3.1 Collecte de renseignements personnels

La collecte de renseignements personnels a un rôle essentiel à jouer dans l'administration des activités et des programmes gouvernementaux. L'approche générale exposée dans la Loi sur la protection des renseignements personnels consiste à créer des silos de renseignements personnels entre les programmes du gouvernement fédéral, et entre les institutions fédérales et d'autres administrations, afin de protéger les renseignements personnels des particuliers. Cela signifie que les dépôts de renseignements personnels de chaque institution fédérale sont établis par programme ou par activité. 

La collecte de renseignements personnels par les institutions du gouvernement fédéral est restreinte par certains critères imposés par les articles 4 et 5 de la Loi sur la protection des renseignements personnels. Ainsi, il est interdit à une institution fédérale de recueillir des renseignements personnels sauf s'ils ont « un lien direct avec ses programme ou ses activités ».  Les institutions fédérales doivent recueillir les renseignements personnels qui seront utilisés à des fins administratives directement auprès de la personne concernée, à moins qu'une exception existe aux termes des  paragraphes 5(1) et (3) de la Loi.  Lorsque les renseignements sont recueillis directement auprès de l'individu, les institutions doivent informer l'individu du but de la collecte (paragraphe 5(2).           

Les paragraphes 5(1) et (3) de la Loi autorisent la collecte indirecte de renseignements personnels à utiliser à des fins administratives, mais seulement dans certaines circonstances limitées. Parmi les exceptions, mentionnons les cas où : 

  1. la personne autorise la collecte indirecte de renseignements personnels;
  2. la collecte directe n'est pas possible;
  3. une institution fédérale peut recueillir des renseignements personnels d'un autre organisme gouvernemental qui est autorisé à communiquer les renseignements personnels à l'institution aux termes du paragraphe 8(2);
  4. la collecte directe pourrait entraîner la collecte de renseignements inexacts, être contraire à l'objectif visé ou porter préjudice à l'utilisation pour laquelle les renseignements personnels sont recueillis.
Remarque : Il est important de se rappeler que pour la plupart, les exceptions prévues au paragraphe 5(3) de la Loi sur la protection des renseignements personnels visent principalement une utilisation par des organismes d'enquête dans des circonstances où l'avis et la collecte directe mettrait l'enquête en péril. Par exemple, dans le cadre du processus de collecte de renseignements personnels à des fins d'observation des lois ou aux fins d'une enquête légitime, il est souvent inopportun ou non pratique d'informer la personne qui est l'objet des renseignements personnels recueillis de l'objet de la collecte des renseignements personnels.   

La collecte indirecte peut être justifiée dans d'autres circonstances, mais celles-ci doivent être conformes aux exigences de l'article 5 de la Loi sur la protection des renseignements personnels.

Même si le principe de la « collecte minimale » n'est pas expressément visé dans la loi, un des principes sous-jacents de la Loi sur la protection des renseignements personnels est qu'une institution ne devrait recueillir que la quantité minimale de renseignements personnels nécessaires aux fins de l'activité ou du programme visé. Les institutions fédérales doivent mettre en place des contrôles administratifs pour éviter de recueillir plus de renseignements personnels que ceux requis pour leurs programmes ou activités. Pour ce faire, elles doivent avoir une autorisation parlementaire ayant trait à l'activité ou au programme concerné et pouvoir démontrer la nécessité de chaque renseignement personnel recueilli afin d'entreprendre le programme ou l'activité concerné. 

L'autorisation parlementaire est habituellement donnée par une loi du Parlement ou par un règlement subséquent

Remarque :

Dans certains cas, l'autorisation de recueillir des renseignements personnels sera clairement énoncée dans la loi. La Loi de l'impôt sur le revenu en constitue un bon exemple. Dans la plupart des cas cependant, il est simplement question, dans la loi habilitante de l'institution, d'une activité ou d'un programme de fonctionnement. Dans d'autres cas encore, il est possible qu'il ne soit pas expressément question d'un programme ou d'une activité en particulier dans la loi habilitante de l'institution, mais il peut être établi que le programme ou l'activité à l'examen est conforme au mandat législatif de l'institution et qu'il contribue à sa réalisation. 

En l'absence d'une autorisation législative claire de la collecte de renseignements personnels, les institutions doivent consulter leurs services juridiques. Il est important de se rappeler que le «consentement » de la personne concernée ne suffit pas pour autoriser la collecte de renseignements personnels par l'institution en l'absence d'une autorisation de collecte de renseignements personnels.

6.6.3.2 Détermination du besoin d'avis ou de consentement

Même si ce n'est pas le cas pour la collecte de renseignements personnels, l'obtention du consentement d'une personne pour la divulgation de renseignements personnels est une option à considérer, dans la mesure du possible.  Bon nombre des problèmes de protection de la vie privée entourant la communication peuvent être évités si le consentement de la personne est d'abord obtenu, puisqu'il autorise les institutions fédérales à utiliser ou communiquer des renseignements personnels aux fins consenties par la personne. Autrement dit, le consentement élimine la nécessité de se fier à une disposition particulière concernant la communication. 

Dans certains cas, le consentement n'est pas nécessaire, par exemple, pour plusieurs programmes sociaux fédéraux-provinciaux, le partage de renseignements personnels entre juridictions peut être requis pour déterminer l'admissibilité à certains bénéfices de programme. Dans de telles circonstances, il serait approprié d'aviser les participants au moment de la collecte initiale que le partage est une condition d'inscription au programme. 

Plusieurs facteurs peuvent devoir être soupesés avant de déterminer s'il faut demander le consentement d'une personne ou l'aviser avant de communiquer ses renseignements personnels à un autre organisme. Le consentement ne devrait, en général, être recherché que lorsque la personne a un véritable motif de refuser et qu'il n'existe aucune raison légitime de communiquer les renseignements sans consentement. En outre, s'il existe des motifs raisonnables de soupçonner que le fait de demander le consentement d'une personne ou de l'aviser risque de nuire à l'objet légitime de la demande des renseignements, il peut être inopportun de demander le consentement de la personne en question ou de l'aviser au sujet de la communication. En cas de doute, il faut obtenir un avis juridique.

Remarque : Le consentement autorise les institutions fédérales à utiliser ou à communiquer des renseignements personnels à des fins auxquelles la personne a consenti. Autrement dit, le consentement de la personne élimine la nécessité de se fier à une disposition particulière d'exemption ou de communication. Le consentement à l'utilisation ou la communication de renseignements personnels par une personne peut être obtenu au moment de la collecte des renseignements (pour une activité ou un programme autorisé de l'institution) ou par la suite, quand un besoin particulier se présente. 

Si le consentement à une utilisation ou une communication additionnelle est demandé au moment où les renseignements personnels sont recueillis, les institutions fédérales doivent, en général, fournir suffisamment de renseignements au sujet de l'utilisation ou de la communication prévue afin de permettre à la personne de prendre une décision éclairée d'accorder son consentement ou de le refuser. Ces renseignements doivent habituellement inclure une description des renseignements en particulier, de l'utilisation ou de la communication pour laquelle le consentement est demandé, et une déclaration selon laquelle le refus de consentir à cette utilisation ou cette communication ne portera d'aucune façon préjudice à la personne et n'entraînera aucune conséquence négative pour la personne à l'égard de l'objectif administratif principal auquel répond la collecte des renseignements.

Le consentement à l'utilisation ou à la communication ultérieure à la collecte est habituellement obtenu par écrit. Il prend habituellement la forme d'un consentement signé par la personne ou son représentant autorisé, précisant l'utilisation ou la communication autorisée.

La communication de renseignements personnels sans consentement devrait seulement  se faire que conformément au paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Il est recommandé que les facteurs suivants, qui sont fondés sur le critère de l'invasion de la vie privée que l'on trouve dans le Manuel du Conseil du Trésor sur la protection des renseignements personnels soient pris en considération au moment de déterminer que les renseignements seront communiqués sans consentement.

  1. Attentes de la personne : Les conditions qui ont régi la collecte initiale des renseignements personnels et les attentes de la personne concernée sont d'importants critères à prendre en considération avant de prendre la décision de communiquer les renseignements. Les renseignements ont-ils été compilés ou obtenus en échange de garanties, ce qui interdit une partie ou la totalité des genres de communication? Ou, par ailleurs, les renseignements peuvent-ils être considérés comme n'ayant pas été sollicités ou fournis librement ou volontairement avec peu d'attente de maintien de leur caractère entièrement confidentiel? La personne a-t-elle conçu une version des renseignements généralement disponibles au public et ainsi renoncé à son droit à la vie privée dans de telles circonstances? 
  2. Caractère délicat des renseignements : Il doit être déterminé quels genres de renseignements sont visés par le projet d'échange de renseignements. S'agit-il manifestement de renseignements personnels très délicats ou de renseignements d'apparence assez inoffensive? Les renseignements sont-ils très à jour et, pour cette raison, plus délicat, ou le passage du temps aurait-il atténué ce caractère délicat de sorte que leur communication dans des circonstances particulières ne porterait pas atteinte de façon mesurable à la vie privée de la personne? Par ailleurs, la communication des renseignements après le passage du temps ne risque-t-elle pas simplement de rouvrir des plaies? 
  3. Probabilité de préjudice : Si les renseignements sont considérés comme étant délicats, peut-on supposer que leur communication risque de causer un préjudice mesurable? Le préjudice devrait être interprété comme des dommages qui auront des effets négatifs directs sur la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être d'une personne. De même, l'organisme peut tenir compte de la possibilité que la communication prévue rende les renseignements personnels publics dans le cadre du processus décisionnel d'une institution fédérale, au-delà de l'objet pour lequel ils sont communiqués.

Une saine pratique consiste à consigner comme il se doit dans l'entente la justification du fait de ne pas demander le consentement ou les procédures à suivre pour obtenir le consentement, ou pour aviser les personnes d'une communication de renseignements personnels. 

REMARQUE : S'il est déterminé que le consentement sera demandé ou qu'un avis sera donné pour la collecte, l'utilisation ou la communication de renseignements personnels, une approche commune pour aviser les individus, devra être convenue entre toutes les parties à l'entente, en tenant compte de leurs lois et pouvoirs respectifs.   

Les circonstances dans lesquelles le consentement devrait être obtenu ou l'avis devrait être fourni aux personnes doivent, en général, être précisées dans l'entente. Par exemple, il peut être précisé dans l'entente qu'au moment de fournir un avis, la personne visée par les données doit être informée de l'objet de la collecte des renseignements, du fondement législatif de la collecte, de la façon dont les renseignements seront utilisés et avec qui les renseignements seront échangés et à quelle fin. Si le consentement est demandé et refusé, les objections doivent être consignées comme il se doit et chaque organisme doit se conformer au refus. Il peut aussi être précisé dans l'entente qu'un retrait du consentement sera immédiatement communiqué à toutes les parties. 

Dans les cas où il peut ne pas être opportun ou raisonnablement pratique d'obtenir le consentement de la personne,  l'institution fédérale canadienne pourrait mener une évaluation des risques ou un examen de l'atteinte à la vie privée afin de jauger les attentes de la personne, la nature des renseignements personnels en cause et les conséquences éventuelles de la communication de ces renseignements pour la personne par rapport  à l'intérêt public.

6.6.3.3 Exactitude des renseignements personnels 

Il est exigé, aux termes du paragraphe 6(2) de la Loi sur la protection des renseignements personnels, qu'une institution fédérale adopte toutes les mesures raisonnables pour veiller à ce que les renseignements personnels qu'elle recueille à des fins administratives soient aussi exacts, à jour et complets que possible. Cela vise à réduire la possibilité qu'une décision touchant une personne, par exemple en déterminant l'admissibilité d'un client à des prestations, soit prise sur la base de renseignements inexacts, désuets ou incomplets.

Remarque : Les institutions fédérales doivent déployer tous les efforts raisonnables pour assurer l'exactitude, l'intégralité ou la fiabilité des renseignements personnels qu'elles ont l'intention de communiquer à un autre ordre d'administration publique, surtout lorsqu'elles savent que l'autre institution fédérale peut utiliser les renseignements personnels à des fins administratives. Il s'agit là d'un important facteur à prendre en considération avant de décider d'exercer le pouvoir discrétionnaire de communiquer ou non des renseignements personnels à un autre organisme.   

Nul n'a intérêt à fournir des renseignements non fiables, inexacts ou incomplets à d'autres organismes, et à risquer de créer des problèmes graves pour ceux qui s'y fient, voire pour ceux qui font l'objet de ces inexactitudes. En fait, l'échange de ces renseignements peut être pire que de ne pas échanger du tout de renseignements. En règle générale, s'il existe des doutes raisonnables au sujet de la valeur des renseignements pour le destinataire, il peut être inopportun de les échanger. 

Comme l'a indiqué le juge O'Connor dans la sixième recommandation de son rapport de septembre 2006 intitulé Rapport sur les événements concernant Maher Arar : Analyse et recommandations, le partage d'information est vital, mais il doit se faire d'une façon fiable et responsable. 

Il est important que les parties à une entente fondent leurs mesures administratives sur des renseignements personnels à jour. Dans cette optique, l'entente peut renfermer une disposition qui impose à chaque partie l'obligation d'aviser l'autre immédiatement dès qu'elle apprend que les renseignements personnels échangés ne sont pas exacts, complets et à jour. Cela est particulièrement important lorsque l'impact sur les personnes risque d'être élevé. À cet égard, l'entente pourrait renfermer une disposition en vertu de laquelle les parties consentent à réviser des mesures administratives adoptées sur la base des renseignements inexacts qui lui ont été fournis.

Remarque : Aux termes de l'alinéa 12(2) a) de la Loi sur la protection des renseignements personnels, des personnes ont le droit de demander accès à des renseignements personnels qui ont été, sont ou peuvent être utilisés à des fins administratives.  Les alinéas 12(2) b) et c) accordent aux personnes les droits : de demander la correction des renseignements personnels le concernant qui, selon lui, sont erronés ou incomplets; d'exiger, s'il y a lieu, qu'il soit fait mention des corrections qui ont été demandées mais non effectuées; et d'exiger que toute personne ou tout organisme à qui ces renseignements ont été communiqués pour servir à des fins administratives dans les deux ans précédant la demande de correction ou de mention des corrections non effectuées soient avisés de la correction ou de la mention. 

Dans les cas où cet avis est envoyé à une institution fédérale assujettie à la Loi sur la protection des renseignements personnels, l'institution est tenue par la Loi d'apporter la correction ou la mention sur toute copie de document contenant les renseignements qui relèvent de lui. Même si la Loi exige qu'une institution fédérale avise d'autres destinataires des renseignements au sujet de la correction ou de la mention, la Loi n'oblige pas les destinataires qui ne sont pas assujettis à la Loi sur la protection des renseignements personnels à corriger ou à modifier les renseignements contenus dans leurs dossiers. 

Compte tenu de cette situation, il devrait être précisé dans l'entente que dans les cas où une institution communique des renseignements personnels à un autre organisme public à des fins administratives, et où il est plus tard découvert que ces renseignements sont inexacts, l'institution a le devoir d'en aviser les destinataires afin de leur permettre de corriger leurs dossiers et, s'il le faut, de modifier aussi les mesures administratives inopportunes adoptées sur la base des renseignements inexacts qui leur ont été fournis. 

De façon concrète, cela signifie que les parties à l'entente doivent savoir quels renseignements personnels ont été communiqués, et à qui. Cela met en relief le besoin d'assurer le suivi des renseignements échangés et de les consigner. L'institution qui communique les renseignements peut exiger que le destinataire conserve un document des communications ultérieures des renseignements personnels qui ont été communiqués aux termes de l'entente. Ce dossier des communications peut renfermer les renseignements qui suivent :

  • une brève description des renseignements communiqués;
  • le nom de l'entité ou de la personne à qui les renseignements ont été communiqués;
  • la date de la communication;
  • un bref énoncé de l'objet de cette communication;
  • le format du document (p. ex., papier, électronique);
  • la méthode de communication;
  • le nom de la personne ayant communiqué les renseignements.

S'il n'existe pas de document indiquant que les renseignements personnels ont été communiqués, les parties à l'entente ne pourront pas aviser des tierces parties à qui les renseignements ont été communiqués que des renseignements ont été corrigés ou qu'une demande de correction des renseignements a été présentée par la personne concernée.

6.6.3.4 Utilisation de renseignements personnels

Une fois qu'ils ont été recueillis, les renseignements personnels peuvent être utilisés par des institutions fédérales aux termes de l'article 7 de la Loi sur la protection des renseignements personnels : 

  • avec le consentement de la personne concernée;
  • aux fins auxquelles ils ont été recueillis ou à une utilisation conforme
  • à une autre fin conforme au paragraphe 8(2) de la Loi sur la protection des renseignements personnels.

Par exemple, si un organisme a recueilli des renseignements personnels auprès d'un autre organisme à des fins particulières (par exemple., programme A), elle ne devrait pas les utiliser à d'autres fins (par exemple, programme B) sans le consentement de la personne ou sans pouvoir établir qu'il les utilise aux mêmes fins, à des fins compatibles (discutées ci-après) ou que ces autres fins sont compatibles au paragraphe 8(2) de la Loi sur la protection des renseignements personnels.

Remarque : Il devrait, de façon générale, être précisé dans une entente comment les renseignements personnels partagés ou échangés aux termes de l'entente seront utilisés. Les utilisations secondaires doivent être limitées à celles permises par l'article 7 de la Loi sur la protection des renseignements personnels. 

Les interdictions ou les limitations applicables à l'utilisation ultérieure ou secondaire des renseignements devraient être clairement établies dans l'entente, en tenant compte des règlements, lois ou politiques applicables des parties à l'entente. 

Sous réserve des lois applicables de chaque administration, y compris les lois sur l'accès à l'information et la protection des renseignements personnels et toutes les autres lois pertinentes, les parties peuvent s'entendre pour ne pas communiquer les renseignements pour des fins autres que les fins initialement prévues sans le consentement écrit préalable de l'autre partie.

6.6.3.5 Communication de renseignements personnels

Il est précisé à l'article 8 de la Loi sur la protection des renseignements personnels que sous réserve d'autres lois fédérales, les renseignements personnels qui relèvent d'une institution fédérale ne peuvent être communiqués sans le consentement de la personne concernée que conformément au paragraphe 8(2). Dans ce paragraphe, treize circonstances dans lesquelles des renseignements personnels peuvent être communiqués sans consentement sont décrites. Toutes ces dispositions autorisant la communication des renseignements sont de nature discrétionnaire et elles sont assujetties à d'autres lois fédérales.

Bien qu'un nombre de responsabilités sous la Loi sur la protection des renseignements personnels puissent être déléguées, une telle délégation doit être approuvée par le chef de l'institution. L'arrêté de délégation de l'institution doit énumérer les postes des représentants de l'institution à qui ont été déléguées de telles responsabilités.

À l'exception des alinéas 8(2)j) et m), qui précisent que c'est le responsable de l'institution qui doit prendre la décision de communiquer ou non les renseignements, l'identité de la personne qui doit prendre cette décision n'est pas indiquée aux autres alinéas du paragraphe 8(2). Même si la Loi sur la protection des renseignements personnels prévoit un certain nombre de délégations de pouvoirs, celles-ci ont tendance à être restreintes aux articles de la Loi qui visent expressément le responsable de l'institution.  En conséquence, à l'exception des alinéas 8(2)j) et m), il est recommandé que les institutions aient en place une politique ou une ligne directrice interne qui indique qui peut prendre les décisions de communiquer des renseignements personnels aux termes d'autres dispositions du paragraphe 8(2).  

En ce qui concerne les articles de la Loi sur la protection des renseignements personnels qui autorisent la communication et qui ne précisent pas qui doit en prendre la décision, la Loi d'interprétation précise que la décision doit être prise par un représentant officiel.  Même si aucune règle ne précise qui devrait être ce représentant officiel, il est important que ce représentant ait été désigné comme ayant pris la décision de communiquer les renseignements, par souci de reddition de comptes et de transparence.

Remarque : Certaines des autorisations de communication de renseignements personnels prévues au paragraphe 8(2) de la Loi sur la protection des renseignements personnels sont plus complexes que d'autres. Parmi les exemples à donner, mentionnons : la communication exigée par subpoena, mandat ou ordonnance d'un tribunal (8(2) c) et la communication au procureur général du Canada pour usage dans des poursuites judiciaires (8(2) d). Les institutions devraient quand même consulter leurs services juridiques avant de communiquer des renseignements en vertu des alinéas 8(2)c) et 8(2)d) de la Loi sur la protection des renseignements personnels. D'autres types de communication peuvent être plus routinières; par exemple, la communication pour vérification interne au personnel de l'institution (8(2) h), ou la communication à Bibliothèque et Archives du Canada pour dépôt (8(2) i).  

Pour plus de détails, consulter le Manuel du Conseil du Trésor sur la protection des renseignements personnels.

Lorsqu'une institution fédérale a décidé de communiquer des renseignements, elle devrait respecter le principe directeur, en matière de sécurité, selon lequel seules les personnes ayant le besoin de connaître les renseignements doivent y avoir accès.   

Les paragraphes qui suivent décrivent les dispositions les plus fréquemment citées du paragraphe 8(2) qui sont invoquées par des institutions fédérales aux fins de l'échange de renseignements personnels avec un autre ordre d'administration publique sans le consentement de la personne concernée.

Alinéa 8(2)a) – Objet initial et usage compatible : Cet alinéa accorde aux institutions fédérales le pouvoir discrétionnaire de communiquer des renseignements personnels lorsqu'il est nécessaire de le faire afin de réaliser l'objectif pour lequel les renseignements ont été recueillis ou compilés, ou aux fins d'un usage compatible à cet objectif.   

Afin de déterminer si une utilisation ou une communication proposée est compatible à cet objectif, il y aurait lieu de se demander s'il est raisonnable que l'individu s'attende à ce que les renseignements fournis soient utilisés de la façon dont on se propose de le faire.  Ceci implique que l'objet initial et l'usage proposé sont si intimement liés que la personne s'attend à ce que les renseignements soient utilisés à cet usage compatible, même si l'usage n'est pas expressément indiqué. 

Remarque : Le critère qui permet de déterminer si l'utilisation ou la communication proposée de renseignements personnels constitue un « usage compatible » comporte à la fois un élément objectif – le lien direct et raisonnable avec l'objectif initial pour lequel les renseignements ont été recueillis – et un élément subjectif – une personne raisonnable pourrait s'attendre à ce que l'institution utilise les renseignements de cette façon. 

Même quand une communication correspond à des fins compatibles, la loi n'oblige nullement l'institution fédérale qui détient les renseignements à les fournir à l'organisme public qui les demande. La décision de communiquer les renseignements est de nature discrétionnaire, et seul le représentant officiel désigné peut décider d'exercer le pouvoir discrétionnaire de communiquer ou non les renseignements.

Aux termes de l'article 11 de la Loi sur la protection des renseignements personnels, il est exigé que la description des fichiers de renseignements personnels contenue dans Info Source renferme un énoncé des usages compatibles pour lesquelles les renseignements peuvent être utilisés ou communiqués. Le paragraphe 9(4) de la Loi prévoit que les institutions fédérales doivent aviser le Commissaire à la protection de la vie privée lorsque les renseignements personnels sont utilisés ou communiqués d'une manière compatible avec les fins pour lesquelles ils ont été recueillis ou consignés mais dont l'utilisation compatible ne figure pas dans l'Info Source. Ce paragraphe stipule également que l'institution devrait s'assurer que l'utilisation compatible est jointe à la description du fichier de renseignements personnels contenue dans Info Source.

Remarque :Les institutions fédérales doivent consulter la publication l' Info source afin de déterminer si la communication à l'autre institution fédérale figure parmi les utilisations existantes ou compatibles dans le Fichier de Renseignements Personnels (FRP) pertinent. Si la communication ne correspond pas à une utilisation existante ou compatible déjà citée dans le FRP, les renseignements personnels ne peuvent donc pas être communiqués à l'autre institution fédérale, sauf si la personne consent à leur communication, si la communication est compatible à un autre alinéa du paragraphe 8(2) de la Loi sur la protection des renseignements personnels, ou si l'institution fédérale détermine qu'il s'agit d'une nouvelle utilisation compatible. Dans ce dernier cas, l'institution devrait aussi adopter les mesures nécessaires pour aviser le Commissaire à la protection de la vie privée et ajouter le nouvel usage compatible au FRP pertinent dans Info Source.

Alinéa 8(2)b) – Lois fédérales ou leurs règlements : Cet alinéa précise que des renseignements personnels peuvent être communiqués à toutes fins utiles conformément à une loi fédérale ou à son règlement autorisant la communication. Cet alinéa englobe toutes les autres autorisations de communication de renseignements personnels prévues dans des lois fédérales. Par exemple, la Loi sur la faillite et l'insolvabilité autorise le surintendant des faillites à tenir à jour un registre public des faillites et à fournir des renseignements sur demande et sur paiement des droits visés par règlement. Lorsque des renseignements personnels ont été communiqués en vertu d'une autorisation législative, il est recommandé que la description des FRPs pertinents contenue dans l'Info Source inclue ou soit modifiée de façon à inclure : 

  1. une mention de la loi ou le règlement régissant la communication;
  2. une brève description du genre de renseignements communiqués;
  3. l'objet de la communication;
  4. le nom de la personne à qui les renseignements ont été communiqués;
  5. toutes conditions régissant l'utilisation de ces renseignements.

Alinéa 8(2)f) – Gouvernements d'une province ou d'un État étranger et organisations internationales : Cet alinéa permet d'échanger des renseignements personnels avec des gouvernements provinciaux ou étrangers et avec des organisations internationales aux fins de l'administration ou de l'application d'une loi ou de l'exécution d'une enquête légitime, quand l'échange est effectué aux termes d'une entente ou d'un arrangement.   

Par exemple, cette disposition peut reconnaître les pratiques d'échange de renseignements personnels entre les corps policiers, les organismes de sécurité et autres organismes d'enquête et leurs homologues tant au pays qu'à l'étranger, aux fins de l'observation des lois ou d'enquêtes licites. La disposition facilite aussi l'application des lois.

Dans les cas où une institution échange régulièrement des renseignements personnels aux termes de cette disposition, il est recommandé qu'une entente écrite soit établie. 

Il existe d'autres dispositions de communication discrétionnaire, aux termes du paragraphe 8(2), qui peuvent être invoquées afin de communiquer des renseignements personnels à une autre organisation gouvernementale. Ce genre de communication peut être traité et consigné cas par cas :

  • Alinéa 8(2)c) - Communication exigée par subpoena, mandat ou ordonnance d'un tribunal, ou exigée par des règles de procédure : Cet alinéa autorise une institution fédérale à communiquer des renseignements personnels aux fins d'une « communication exigée par subpoena, mandat ou ordonnance d'un tribunal, d'une personne ou d'un organisme ayant le pouvoir de contraindre à la production de renseignements ou exigée par des règles de procédure se rapportant à la production de renseignements ».Les institutions fédérales devraient consulter leur conseiller juridique afin d'assurer la validité du subpoena et l'observation qui s'impose. Dans les cas où de tels documents ne seront pas versées aux dossiers du tribunal, les institutions fédérales devraient demander qu'elles lui soient retournées, soit pour les détruire, soit pour les reclasser.
  • Alinéa 8(2)j) – Travaux de recherche et de statistique : Cet alinéa autorise le dirigeant d'une institution fédérale à communiquer des renseignements personnels à une personne ou à un organisme à des fins de recherche ou de statistique, si le responsable de l'institution fédérale de qui relèvent les documents estime que cet échange est essentiel au projet de recherche. Le chercheur doit en échange signer un engagement écrit signifiant que les renseignements ne seront pas ultérieurement communiqués sous une forme qui pourrait raisonnablement permettre d'identifier les personnes concernées Voir la note en bas de page 3 .

Au moment d'examiner le pouvoir discrétionnaire de communiquer des renseignements personnels aux termes de l'alinéa 8(2)j), il est recommandé que les institutions fédérales tiennent compte du caractère délicat des renseignements et d'autres facteurs prévus dans le critère d'atteinte à la vie privée qui se trouve dans le chapitre 2-4 du Manuel du Conseil du Trésor sur la protection des renseignements personnels .

Il est recommandé dans le  Manuel du Conseil du Trésor sur la protection des renseignements personnels (chapitre 2-4) du SCT que les privilèges de recherche soient retirés à une personne ou un organisme qui communique de manière inopportune des renseignements personnels qui ont été recueillis ou produits suite à une communication aux termes de la disposition visant les travaux de recherche et de statistique prévue à l'alinéa 8(2)j) de la Loi sur la protection des renseignements personnels. Cela peut signifier que les institutions doivent prendre immédiatement les mesures qui s'imposent pour éviter d'autres communications de ces renseignements personnels. 

Remarque : Si les renseignements personnels à communiquer au destinataire à des fins administratives serviront aussi à des fins de recherche et de statistique (par exemple, évaluation de programme, analyse des tendances, élaboration des politiques ou fins statistiques, etc.), cette utilisation secondaire des renseignements doit être compatible aux lois et aux politiques de chacune des parties à l'entente et elles doivent être clairement précisées dans l'entente.
  • Alinéa 8(2)k) – Recherche liée à l'établissement des droits de peuples autochtones : Cet alinéa précise que des renseignements personnels peuvent être communiqués à un gouvernement autochtone, une association d'autochtones, une bande d'Indiens, une institution gouvernementale ou une subdivision de celle-ci, ou à leur représentant, en vue de l'établissement des droits des peuples autochtones ou du règlement de leurs griefs.

Cet alinéa autorise la communication de renseignements personnels à des chercheurs agissant au nom des entités énumérées lorsqu'ils participent au processus d'établissement des droits de peuples autochtones. Les chercheurs doivent être accrédités pour effectuer ces recherches et ils doivent signer une entente écrite en vertu de laquelle ils doivent rendre compte de la protection des renseignements personnels. Le Formulaire de demande de renseignements personnels à des fins de recherche et engagements corrélatifs peut être utilisé à titre d'EER à cette fin.

Dans l'exercice du pouvoir discrétionnaire de communication de renseignements personnels aux termes de la disposition de recherche liée à l'établissement des droits autochtones, il est recommandé que les institutions fédérales tiennent compte du caractère délicat des renseignements et d'autres facteurs prévus dans le critère de l'atteinte à la vie privée. Une version de ce critère figure dans le Manuel du Conseil du Trésor sur la protection des renseignements personnels.

Remarque : Il est recommandé que les chercheurs qui participent au processus de recherche liée à l'établissement de droits autochtones présentent une preuve d'identité, une résolution d'un conseil de bande ou une lettre les autorisant à effectuer ces recherches et à avoir accès aux documents liés à la recherche relative à l'Association inuit ou des Premières nations. La résolution ou la lettre devrait permettre d'identifier :
  • le nom du chercheur et celui de l'organisme qu'il représente;
  • le nom de la réserve, de la bande et de la province ou du territoire où elles sont situées;
  • les sujets demandés, en précisant clairement la nature de la recherche;
  • la signature du chef et d'un représentant du conseil (à une réunion où il y a quorum).

Seuls les renseignements nécessaires à la réalisation de l'objectif de recherche doivent être communiqués. Il est donc très important que la demande du chercheur précise clairement quels renseignements sont demandés et le calendrier des travaux.   

Les renseignements pertinents au sujet de la recherche sur l'établissement de droits autochtones se trouvent auprès d'Affaires indiennes et du Nord canadien et dans des documents historiques détenus par Bibliothèque et Archives Canada. 

  • Sous-alinéa 8(2)m)(i) – Intérêt public, ou 8(2)m)(ii) – Avantage individuel : Comme supplément aux dispositions particulières mentionnées ci-devant, des renseignements personnels peuvent être communiqués à toutes fins utiles lorsque, de l'avis du responsable d'une institution, l'intérêt public a nettement préséance sur le risque d'atteinte à la vie privée lié à la communication des renseignements (sous-alinéa 8(2)m)(i), ou lorsque la communication peut clairement avantager la personne concernée (sous-alinéa 8(2)m)(ii)). 

Ces dispositions relatives à la communication devraient être invoquées avec une grande prudence, et leur application devrait être consignée comme il se doit.

Les responsables d'une institution fédérale qui reçoivent des demandes de communication de renseignements personnels aux termes de cette disposition doivent tenir compte du sujet à l'étude, en soupesant l'intérêt public par rapport au risque d'atteinte à la vie privée lié à la communication des renseignements. La décision de communiquer ou non les renseignements doit équilibrer intérêt public et risque d'atteinte à la vie privée. Les critères essentiels de violation de la vie privée doivent être pris en considération. Une version des critères figure au chapitre 2-4 du Manuel du Conseil du Trésor  sur la protection des renseignements personnels. 

Aux termes du paragraphe 8(5) de la Loi sur la protection des renseignements personnels, l'institution doit aviser le Commissaire à la protection de la vie privée qu'elle communiquera des renseignements personnels dans l'intérêt public. Le Commissaire peut exprimer des préoccupations à l'égard de la communication proposée et il peut, s'il estime justifié de le faire, aviser la personne concernée. La décision de communiquer ou non les renseignements dans l'intérêt public, et la quantité de renseignements qui seront communiqués, revient toutefois uniquement au responsable de l'institution (ou à son délégué en application de l'article 73). Le Commissaire à la protection de la vie privée n'a aucun pouvoir d'empêcher que les renseignements soient communiqués. 

Des orientations additionnelles au sujet de cette disposition, y compris certains exemples de situations précises et limitées dans lesquelles elle peut être invoquée, se trouvent dans le chapitre 2-4 du Manuel du Conseil du Trésor sur la protection de la vie privée du SCT.

6.6.3.6 Conservation et aliénation de renseignements personnels

Conservation de renseignements personnels : Conformément au paragraphe 6(1) de la Loi sur la protection des renseignements personnels et au paragraphe 4(1) du Règlement sur la protection des renseignements personnels, des renseignements personnels qui ont été utilisés par une institution fédérale à des fins administratives doivent être conservés par cette institution pendant au moins deux ans après leur dernière utilisation, sauf si la personne concernée consent à leur aliénation plus rapide. La Loi précise aussi que si une demande d'accès à des renseignements personnels est présentée, l'institution conserve ces renseignements jusqu'à ce que le requérant ait eu la possibilité d'exercer tous ses droits en vertu de la loi (par exemple, droit de porter plainte, de demander une révision judiciaire, etc.). L'obligation de conserver des documents personnels s'appliquerait également aux cas où les documents concernent une demande présentée aux termes de la Loi sur l'accès à l'information. 

De même, quand une demande de communication de renseignements personnels à des organismes fédéraux d'enquête visés dans le Règlement aux termes de l'alinéa 8(2)e) de la Loi sur la protection des renseignements personnels, le paragraphe 8(4) de la Loi et l'article 7 du Règlement exigent que les renseignements communiqués en réponse à la demande soient conservés pendant au moins deux ans à partir de la date à laquelle la demande a été reçue par l'institution qui communique les renseignements. Un FRP distinct doit être tenu à jour dans l'Info Source au titre de tous ces documents, et ceux-ci doivent être fournis sur demande au Commissaire à la protection de la vie privée. 

Il existe des exceptions au principe de la conservation. Par exemple, dans une situation d'urgence, dans une mission canadienne à l'étranger, le chef de cette mission ou le cadre supérieur responsable peut ordonner la destruction des renseignements personnels pour éviter d'en perdre le contrôle. De même, l'aliénation de renseignements personnels avant la fin de la période minimale de conservation pourrait être autorisée avec le consentement écrit de la personne concernée. Cela pourrait survenir, par exemple, s'il est déterminé que les renseignements sont inexacts et si le meilleur moyen de corriger la situation consiste à les aliéner, ou si les renseignements ne sont plus requis.  

Aux termes de la Loi sur la Bibliothèque et les Archives du Canada, le bibliothécaire et archiviste du Canada peut autoriser l'aliénation de documents publics en émettant l'un des types suivants d'autorisations de disposition de documents (ADD) :

  • Autorisations pluri institutionnelles de disposer de documents (APDD)visent les documents que gèrent toutes les institutions fédérales ou du moins un bon nombre d'entre elles et habilite les institutions à disposer des documents en autant qu'elles respectent certaines modalités;
  • Autorisations spécifiques de disposer de documents (ASDD)visent les documents gérés par cette seule institution et habilite l'institution à disposer de ses documents en autant qu'elle respecte certaines modalités.

Le système de contrôle des autorisations de disposer des documents (SysCAD) est un système de renseignements qui renferme les descriptions sommaires des Autorisations de disposer des documents (ADD) accordées par le Bibliothécaire et Archiviste du Canada aux institutions fédérales, ainsi que les copies en ligne de la documentation qui s'y rattache. Il comprend les descriptions de plus de 2 200 autorisations. SysCAD est maintenant offert aux institutions fédérales à l'adresse http://rdacs-syscad.lac-bac.gc.ca/index_fr.html.

Le bibliothécaire et archiviste du Canada peut déterminer que des documents contenant des renseignements personnels ont une valeur archivistique ou historique. Dans ces cas, des procédures doivent être établies afin d'assurer la conservation et le transfert de ces documents à Bibliothèque et Archives Canada.

Aliénation de renseignements personnels : L'aliénation de renseignements personnels est réglementée par le paragraphe 6(3) de la Loi sur la protection des renseignements personnels et par la Loi sur la Bibliothèque et les Archives du Canada. 

Le paragraphe 6(3) précise qu'une institution fédérale procède au retrait des renseignements personnels qui relèvent d'elle « conformément aux règlements et aux instructions ou directives applicables du ministre désigné ». 

Remarque : Aux termes de la Loi sur la Bibliothèque et les Archives du Canada, des documents du gouvernement ne peuvent être détruits ou aliénés sans le consentement du bibliothécaire et archiviste du Canada. Il est précisé ce qui suit au paragraphe 12(1) de la Loi: 

« L'élimination ou l'aliénation des documents fédéraux ou ministériels, qu'il s'agisse ou non de biens de surplus, est subordonnée à l'autorisation écrite de l'administrateur général ou de la personne à qui il a délégué, par écrit, ce pouvoir. ». 

Bibliothèque et Archives Canada consent à l'aliénation de documents gouvernementaux au moyen d'« autorisations de disposer de documents ». Ces autorisations peuvent s'appliquer à de nombreuses institutions (autorisations pluriinstitutionnelles de disposer de documents) lorsque les documents en question sont du genre qui peuvent être détenus par de nombreuses institutions, ou par l'entremise d'autorisations spécifiques de disposer de documents.   

Les institutions fédérales doivent communiquer avec Bibliothèque et Archives Canada afin d'obtenir une autorisation de disposer de documents, soit un document établissant quels documents leur seront éventuellement transférés et quels documents l'institution peut détruire.

Outre les exigences précisées dans la Loi sur Bibliothèque et Archives du Canada et la Loi sur la protection des renseignements personnels concernant la conservation et l'aliénation de documents renfermant des renseignements personnels, la Loi sur l'accès à l'information précise que constitue une infraction le fait de détruire ou de camoufler un document en vue de refuser un droit d'accès aux termes de cette loi. En application du paragraphe 67.1(1) de la Loi, « Nul ne peut, dans l'intention d'entraver le droit d'accès prévu par la présente loi,

  1. détruire, tronquer ou modifier un document;
  2. falsifier un document ou faire un faux document;
  3. cacher un document; ou
  4. ordonner, proposer, conseiller ou amener de n'importe quelle façon une autre personne à commettre un acte visé à l'un des alinéas (a) à (c) ».

Le Règlement sur la protection des renseignements personnels exige que les renseignements personnels utilisés à des fins administratives soient conservés pendant au moins deux ans. Il existe d'autres exigences de conservation, par exemple, si une personne présente une demande visant ces renseignements aux termes de la Loi sur l'accès à l'information ou la Loi sur la protection des renseignements personnels, les renseignements ne peuvent être aliénés avant que la personne concernée ait eu l'occasion d'exercer tous ses droits en vertu de la loi.

Les méthodes d'aliénation dépendront de facteurs comme le caractère délicat des renseignements, la quantité de renseignements à détruire, et la forme sous laquelle ces renseignements sont consignés.

Remarque : Une pratique exemplaire consiste à préciser dans l'entente la durée de la période pendant laquelle les renseignements personnels échangés seront conservés, et à savoir si les renseignements doivent être retournés ou non à la source ou détruits par le destinataire, ainsi que les normes d'aliénation à observer. Il est important que la conservation et l'aliénation des renseignements personnels soient conformes aux lois et aux politiques de gestion des documents de chacune des parties.  

Selon le caractère délicat des renseignements personnels échangés, les institutions fédérales peuvent aussi exiger d'être avisées par le destinataire une fois que les renseignements ont été détruits. Cela obligerait le destinataire à conserver un document faisant état de la destruction ou un registre de l'aliénation des renseignements personnels échangés. Ce document ou ce registre faisant état de la destruction pourrait être immédiatement mis à la disposition de l'autre partie, sur demande, et renfermer les renseignements suivants :

  • détails concernant les documents aliénés (p. ex., nom, numéro et date du document);
  • méthode de destruction (copie papier déchiquetée ou version électronique supprimée);
  • date de destruction (jour, mois, année);
  • nom et titre de poste de la personne ayant détruit les documents.

6.6.4 Protection de renseignements personnels

Conformément à la Loi sur la protection des renseignements personnels Voir la note en bas de page 4 et au Règlement sur la protection des renseignements personnels, ainsi qu'aux politiques connexes du Secrétariat du Conseil du Trésor, une institution fédérale doit prendre les précautions raisonnables pour protéger la sécurité et le caractère confidentiel des renseignements personnels qui relèvent d'elle en veillant à ce que les mesures de protection organisationnelle, matérielle et technologique soient mises en place et observées.

La nature des mesures de protection des renseignements personnels contre des sources internes et externes varie selon le caractère délicat des renseignements ayant été recueillis; la quantité, la distribution et le format des renseignements; la méthode d'entreposage; et le préjudice susceptible d'être causé par une atteinte à la sécurité.  Les renseignements de nature plus délicate seront couverts par un niveau de protection plus élevé. Dans cette optique, les institutions fédérales doivent observer les exigences de la Politique sur la sécurité du gouvernement et  le cas échéant, ou d'une autre norme semblable.  Les autres institutions devraient se référer à leurs politiques et procédures internes sur la sécurité. 

Par exemple, les méthodes de protection peuvent inclure ce qui suit: 

  • Mesures administratives : politiques et procédures de protection de la vie privée et de la sécurité des renseignements personnels, formation du personnel en matière de protection de la vie privée, restriction de l'accès à l'information en fonction du « besoin de connaître », et fiabilité des employés ayant accès à l'information.
  • Mesures techniques : mots de passe, pistes de vérification, cryptage, cloisons pare-feu et autres mesures techniques de protection de la sécurité visant à réduire le risque que des personnes non autorisées aient accès à des renseignements personnels.
  • Mesures de protection matérielle : fichiers verrouillés, accès restreint aux bureaux et aux autres zones où des renseignements personnels sont conservés.

De plus, les mesures de protection doivent tenir compte des mesures qui peuvent devoir être prises en réaction à des atteintes à la sécurité ou à la vie privée, y compris le fait d'aviser les parties intéressées. Pour plus de détails à ce sujet, consulter le Lignes directrices sur les atteintes à la vie privée du SCT.

Remarque : Il est recommandé que chacune des parties à l'entente soit tenue de traiter les renseignements personnels obtenus de l'autre partie en toute confidentialité et de prendre toutes les mesures raisonnables pour préserver leur caractère confidentiel et leur intégrité, et de protéger les renseignements contre un accès, une utilisation ou une communication accidentel ou non autorisé. Un calendrier établissant les mesures de sécurité et de protection à adopter par les parties afin de protéger les renseignements pourrait être annexé à l'entente.  Par exemple, il pourrait inclure des détails au sujet des exigences de sécurité concernant l'emplacement des bases de données, les méthodes de stockage, et les méthodes de transmission, l'utilisation de la technologie ou le personnel assigné. 

Si la proposition entraîne l'échange de renseignements particulièrement délicats, les parties peuvent même exiger la tenue d'une évaluation de la menace et des risques ou d'une évaluation de sécurité semblable afin de cerner les risques éventuels associés à l'échange de renseignements, et élaborer des stratégies visant à les atténuer, comme condition préalable à l'échange. 

L'entente pourrait aussi exiger que chacune des parties désigne un ou des représentants de niveau supérieur, au sein de l'organisme, qui seraient responsables de surveiller la mise en œuvre des modalités et des conditions de l'entente. Dans un tel cas, une liste des agents désignés qui assumeront la responsabilité des questions de protection des renseignements personnels, de sécurité et de confidentialité ou d'observation des lois dans leurs organismes respectifs serait annexée à l'entente ou elle serait communiquée aux participants sur demande. 

L'entente pourrait exiger qu'en cas d'accès, de communication, d'utilisation, de modification et de suppression accidentel ou non autorisé, la partie qui est responsable de la sécurité des renseignements personnels adopte rapidement toutes les mesures raisonnables pour empêcher que cela ne se reproduise, et qu'elle avise immédiatement l'autre partie. 

En cas d'atteinte à la sécurité ou à la vie privée, l'entente pourrait autoriser la partie qui communique les renseignements, dès qu'elle est avisée de l'accès, la communication, l'utilisation, la modification et la suppression accidentel ou non autorisé, à sa discrétion, à mettre immédiatement fin à l'entente et à demander le retour des renseignements personnels déjà communiqués. L'entente doit inclure un plan visant à aviser les personnes concernées que leurs renseignements ont été communiqués.

Les institutions fédérales peuvent consulter les membres de leur personnel de la sécurité et, s'il le faut, les membres du personnel des systèmes de technologie de l'information, afin de déterminer quelles mesures de protection ou de sécurité elles doivent mettre en place pour satisfaire aux normes de sécurité de l'institution. Elles peuvent aussi avoir besoin des compétences du personnel de la gestion de l'information.

6.7 Vérifier l'observation des politiques

6.7.1 Politique du SCT sur la protection de la vie privée

La Politique sur la protection de la vie privée précise que les responsables des institutions fédérales ou leurs délégués assument les responsabilités suivantes :

  • prendre des mesures visant à garantir que l'institution fédérale soit conforme à la Loi sur la protection des renseignements personnels lors de la conclusion de contrats avec des organisations du secteur privé ou l'établissement d'accords ou d'ententes avec des organisations du secteur public lorsque des renseignements personnels sont échangés; et
  • veiller à ce que des dispositions appropriées en matière de protection des renseignements personnels soient incluses dans les contrats ou les ententes pouvant donner lieu à une circulation intergouvernementale ou transfrontalière de renseignements personnels.

La Politique exige aussi que les institutions établissent un protocole de protection des renseignements personnels au sein de l'institution fédérale pour la collecte, l'utilisation et la communication de renseignements personnels à des fins non administratives, notamment à des fins de recherche, de statistique, de vérification et d'évaluation. Ce protocole pourrait être utilisé dans le cadre d'initiatives d'échange de renseignements à des fins non administratives entre des institutions fédérales ou des programmes de la même institution, de même qu'entre différents ordres d'administration publique, à l'intérieur ou l'extérieur du Canada.

6.7.2 Directive du SCT sur l'évaluation des facteurs relatifs à la vie privée

La Directive sur l'évaluation des facteurs relatifs à la vie privée appuie le président du Conseil du Trésor dans l'exercice de ses responsabilités en veillant à ce que les répercussions en matière de protection de la vie privée soient cernées, évaluées et réglées comme il se doit avant qu'une activité ou qu'un programme nouveau ou modifié de façon substantielle concernant des renseignements personnels soit mis en œuvre.

Il se doit avant qu'une activité ou qu'un programme nouveau ou modifié de façon substantielle concernant des renseignements personnels soit mis en œuvre.

La Directive exige qu'une institution mène une évaluation des facteurs relatifs à la vie privée (EFVP):

  • quand des renseignements personnels sont utilisés ou sont destinés à être utilisés dans le cadre d'un processus décisionnel qui touche directement la personne;
  • quand des modifications substantielles sont apportées à des programmes ou des activités dans le cadre desquels des renseignements personnels sont utilisés ou sont destinés à être utilisés à des fins administratives;
  • dans le cas où l'impartition ou la dévolution d'un programme ou d'activités à un autre ordre d'administration publique entraîne des modifications substantielles du programme ou des activités.

L'échange de renseignements personnels avec d'autres organismes déclenche l'exigence d'une EFVP, sauf si l'échange est destiné à des fins non administratives, auquel cas l'exigence consiste à déterminer, en consultation avec des spécialistes ministériels de protection de la vie privée, si l'initiative aura ou non une incidence en matière de protection de la vie privée et si elle justifie la tenue d'une EFVP.

Les institutions fédérales doivent soumettre leurs rapports définitifs d'évaluation des facteurs relatifs à la vie privée au Secrétariat du Conseil du Trésor et au Commissariat à la protection de la vie privée (CPVP). Le CPVP peut présenter des observations et des recommandations au ministère. Cependant, la décision définitive à savoir si les recommandations du CPVP seront mises en œuvre ou non incombe à l'institution.

6.7.3Directive du SCT sur le numéro d'assurance sociale (NAS)

La Loi sur la protection des renseignements personnels ne mentionne pas expressément le numéro d'assurance sociale et elle ne crée pas de règles spéciales visant sa collecte, son utilisation et sa communication, en comparaison d'autres genres de renseignements personnels.  Cependant, comme tout autre numéro d'identité, le numéro d'assurance sociale tombe sous la définition de renseignements personnels aux termes de la Loi sur la protection des renseignements personnels.

Si le numéro d'assurance sociale doit être utilisé afin d'autoriser l'échange de renseignements personnels entre des parties, cette utilisation doit être conforme à la loi et à la Directive sur le numéro d'assurance sociale, du SCT, qui expose les restrictions particulières qui s'appliquent à la collecte, l'utilisation et la communication du numéro d'assurance sociale par des institutions fédérales et qui précise les processus qui permettent d'établir dans une politique l'autorisation d'une nouvelle collecte ou utilisation. 

6.7.4 Directive du SCT sur les pratiques relatives à la protection des renseignements personnels

En vertu de la Politique sur la protection de la vie privée, les institutions fédérales doivent adopter des pratiques régissant le traitement et la protection des renseignements personnels en vue de s'assurer que la Loi sur la protection des renseignements personnels est administrée de manière juste et uniforme. La Directive du SCT sur les pratiques relatives à la  protection des renseignements personnels appuie la politique en établissant les exigences de saines pratiques de protection de la vie privée et de gestion des renseignements personnels. Ensemble, la Politique sur la protection de la vie privée et ses directives et lignes directrices connexes constituent les outils utilisés pour structurer une saine stratégie de gestion des renseignements personnels au sein des institutions fédérales.

La Directive spécifie que les institutions doivent observer les exigences suivantes quand des renseignements personnels sont communiqués à une autre institution du secteur public ou au secteur privé, y compris une autre institution fédérale :

  • l'avis de confidentialité reflète s'il y a lieu cette divulgation;
  • une entente ou un arrangement stipulant des mesures de protection appropriées a été conclue entre l'institution fédérale et l'entité du secteur public, qu'elle soit internationale, fédérale, provinciale ou territoriale, ou municipale.

6.7.5 Politique sur les traités du gouvernement

En février 2008, le gouvernement a annoncé sa Politique sur les traités, que l'on trouve à : http://treaty-accord.gc.ca/procedures.aspx?lang=fra. La politique vise à garantir le dépôt devant la Chambre des communes de tous les instruments considérés comme régis par le droit international public et signés entre le Canada et d'autres États ou organisations internationales, après leur signature ou leur adoption au moyen d' une autre procédure, mais avant que le Canada n'ait notifié officiellement qu'il est lié par l'instrument en question. 

Aux termes de la politique, tous les ministères ont la responsabilité « [d']informe[r] la Section des traités du ministère des Affaires étrangères et du Commerce international avant d'entamer des négociations avec un autre État, que ce soit avec son gouvernement en tant que tel ou avec un de ses organismes, ou encore avec une organisation internationale. On peut ainsi faire une distinction appropriée entre les traités et les autres instruments internationaux qui ne sont pas contraignants en droit international public ». Si un traité doit être négocié, un mémoire au Cabinet visant à obtenir un mandat de négociation sera nécessaire. Les ministères ont la responsabilité de veiller à ce que la Division des traités dispose d'un délai d'exécution suffisant pour vérifier les textes dans toutes les langues et s'assurer que les autorisations nécessaires ont été obtenues avant que le Canada ne signe le traité ou n'exprime son consentement à être lié par celui-ci.

La Direction générale des affaires juridiques du ministère des Affaires étrangères et du Commerce international donne des conseils sur le droit international, notamment sur le droit des traités, et doit s'assurer de l'observation de la Politique sur le dépôt des traités devant le parlement du gouvernement. Il incombe aux ministères de veiller à ce que des avis juridiques soient demandés.

6.8 Évaluation des risques

Outre le fait de s'assurer qu'elles sont autorisées par la loi à mener leurs projets d'échange de renseignements, les institutions fédérales doivent aussi veiller à ce que les risques pour la protection de la vie privée et pour la sécurité qui peuvent être associés à ces initiatives soient pris en considération, atténués ou éliminés avant que soient conclues des ententes d'échange de renseignements personnels.

L'évaluation des risques pour la protection de la vie privée et pour la sécurité peut être menée de manière systémique et cohérente en procédant à une évaluation des facteurs relatifs à la vie privée (EFVP) ou à une évaluation de la menace et des risques (EMR), le cas échéant. Ces outils de gestion des risques, qui sont décrits ci-après, sont efficaces pour la réalisation de ces objectifs.

Évaluation des facteurs relatifs à la vie privée (EFVP) :

L'évaluation des facteurs relatifs à la vie privée constitue d'abord et avant tout un outil qui fournit aux décideurs un cadre logique qui leur permet : 

  • de cerner les problèmes éventuels de protection de la vie privée liés à une proposition donnée en évaluant sa conformité avec les lois, les politiques et les principes de protection de la vie privée;
  • de prévoir les répercussions probables associées aux problèmes ou à l'inobservation;
  • de déterminer des mesures ou des stratégies à adopter afin d'éliminer ou de réduire les risques en matière de protection de la vie privée.

Tel que mentionné ci-haut, aux termes de la Directive du SCT sur l'évaluation des facteurs relatifs à la vie privée, les institutions sont tenues de mener une évaluation des facteurs relatifs à la vie privée dans certaines circonstances, incluant l'échange de renseignements personnels entre des programmes, des institutions ou des administrations.  L'évaluation des facteurs relatifs à la vie privée permettra de veiller à ce que l'activité d'échange de renseignements soit conforme à la Loi sur la protection des renseignements personnels et que des mesures soient mises en œuvre afin d'atténuer d'éventuels risques pour la protection de la vie privée, y compris l'établissement d'une EER qui renferme des dispositions en ce sens.   

Évaluation de la menace et des risques (EMR) :

Au moment d'échanger des renseignements personnels, les parties doivent s'efforcer de maintenir des mesures de protection administrative, technique et matérielle afin de protéger la vie privée des personnes et le caractère confidentiel de leurs renseignements personnels. La tenue d'une EMR est un processus reconnu utilisé par les institutions fédérales afin de déterminer le risque de menace ou de danger susceptible de mettre en péril le caractère confidentiel, la sécurité ou l'intégrité des renseignements personnels à échanger. Les EMRs peuvent être courtes et simples ou elles peuvent être beaucoup plus détaillées et rigoureuses, selon le caractère délicat, le caractère critique et la complexité du programme, du système ou du service évalué. Si cela est justifié, les autres parties au projet d'échange de renseignements peuvent aussi être tenues de procéder à un processus semblable d'évaluation des risques afin d'évaluer les menaces et les risques éventuels pour les renseignements comme condition préalable à l'échange.

Une fois qu'une EMR est terminée, les parties à l'entente doivent normalement adopter les mesures nécessaires pour élaborer ou adopter, mettre en œuvre ou maintenir les mesures de protection administrative, technique et matérielle nécessaires à la protection des renseignements personnels à échanger. Une meilleure pratique consiste à ce que ces mesures soient mises en œuvre avant que les renseignements soient échangés. Dans cette optique, les organismes peuvent demander confirmation que ces mesures de protection sont mises en œuvre et périodiquement examinées, afin d'assurer la protection des renseignements. 

REMARQUE : La Gendarmerie royale du Canada (GRC) offre depuis des années une orientation et une formation sur la façon de mener des EMRs.   

En 2001, le SCT a publié le Cadre de gestion intégrée du risque afin de fournir aux ministères une orientation sur la façon d'adopter une approche systématique en matière de gestion des risques. Dans les dernières années, le Centre de la sécurité des télécommunications Canada (CSTC) a aussi mis au point une méthodologie et une orientation sur la façon de mener des évaluations exhaustives. Les institutions fédérales peuvent tirer pleinement profit de cette aide pour veiller à ce que leurs ressources de TI soient bien protégées de manière avantageuse sur le plan coût-efficacité.

6.9 Considérations transfrontières

6.9.1 Risques accrus pour la vie privée

Les renseignements personnels sont bien protégés dans le secteur public au Canada.  Le gouvernement fédéral et les administrations de tous les territoires et les provinces ont mis en place des lois sur la protection de la vie privée qui s'appliquent à la collecte, à l'utilisation et à la communication des renseignements personnels qui relèvent d'eux.  La plupart des municipalités sont assujetties aux lois provinciales ou territoriales sur la protection de la vie privée. Ces diverses lois sont fondées en grande partie sur des normes et des principes communs de protection de la vie privée. Même si tous les régimes provinciaux et territoriaux n'appliquent pas des dispositions, en la matière, qui équivalent à celles de la Loi sur la protection des renseignements personnels appliquée à l'échelon fédéral, ils assurent tous la protection de la vie privée dans le cadre de l'échange de renseignements personnels avec des institutions fédérales, provinciales, territoriales et municipales au Canada.

Cependant, les lois canadiennes sur la protection des renseignements personnels ne s'appliquent pas aux renseignements personnels une fois qu'ils ont été communiqués à un organisme d'un État étranger (flux transfrontières de données). Il est entendu que ce processus doit être négocié, mais il est crucial que les ententes écrites conclues avec des partenaires internationaux fassent état du souci de protection des renseignements personnels. Les risques d'atteinte à la vie privée associés à l'échange de renseignements personnels avec des pays étrangers sont, de façon générale, considérés comme étant plus élevés que ceux de l'échange de renseignements personnels avec un partenaire canadien.  Ces risques sont particulièrement importants quand l'organisation étrangère n'est pas assujettie à des lois sur la protection des renseignements personnels ou à un mécanisme exécutoire sensiblement semblable à la Loi sur la protection des renseignements personnels appliquée à l'échelon fédéral.   

Avant de communiquer des renseignements personnels, les institutions fédérales peuvent s'assurer que le pays destinataire assurera un niveau de protection suffisant. La suffisance de la protection des renseignements personnels assurée par un autre pays peut être déterminée par l'examen d'un certain nombre de facteurs, y compris la nature et le caractère délicat des données, l'objet de la communication, les règles de droit, et les mesures de sécurité qui seront appliquées à la protection des renseignements dans l'autre pays. 

Comme il peut exister dans les autres administrations des lois qui peuvent avoir des répercussions légales sur le flux transfrontière de données, il est recommandé que les institutions fédérales consultent leurs services juridiques afin de s'assurer que l'EER conclue avec un pays étranger soit conforme aux lois et aux pratiques du Canada et aux principes du droit international. De plus, le ministère des Affaires étrangères et du Commerce international doit être consulté avant le début de négociations avec un autre État, que ce soit avec son gouvernement comme tel ou avec l'un de ses organismes, ou encore avec une organisation internationale, afin de veiller à ce qu'une entente ou un arrangement soit conforme aux objectifs de la politique étrangère du Canada et aux obligations du Canada aux termes du droit international, y compris le droit international en matière de droits de la personne, et de veiller au maintien d'une distinction appropriée entre les traités et les autres instruments internationaux qui ne sont pas contraignants en droit international public.   

De même, il peut y avoir des enjeux face à la Charte canadienne des droits et libertés. Bien que la Charte canadienne des droits et libertés ne s'applique pas généralement hors territoire (c'est-à-dire que les protections qu'elle offre sont perdues lors de communication subséquentes des renseignements par les représentants d'un étât étranger), celle-ci s'applique néanmoins aux actes des fonctionnaires canadiens qui participent à l'échange de renseignements. Les conséquences raisonnablement prévisibles de l'échange de renseignements avec des représentants de gouvernements étrangers peuvent mettre en jeu les droits de la Charte canadienne des droits et libertés, en ce qui a trait aux actes des fonctionnaires canadiens si, par exemple, l'échange pourrait avoir comme résultat des abus potentiels de droits de la personne tels la torture, la détention illégale ou l'ajout non-justifié à une liste d'interdiction de vol. Il est donc recommandé que des experts de la Charte canadienne des droits et libertés soient consultés avant d'entreprendre une EER avec un pays étranger. 

6.9.2 Ententes internationales en vigueur

Le Canada est signataire de nombreux traités bilatéraux ou multilatéraux avec d'autres pays, qui portent sur des sujets comme l'extradition, l'entraide juridique en affaires criminelles, la fiscalité, les pensions et l'immigration. Ces traités entraînent souvent l'échange de renseignements personnels entre les administrations publiques respectives.

La Section des traités du ministère des Affaires étrangères et du Commerce international offre des ressources en ligne aux fins de la recherche sur les traités dont le Canada est un signataire.  Les ressources en ligne fournissent également de l'information détaillée sur la Politique sur les traités du gouvernement, notamment sur les mesures que doivent prendre les ministères pour obtenir un mandat approprié afin de négocier une entente ou un arrangement avec un état étranger.  

A titre d'exemple, la Loi sur le Service canadien du renseignement de sécurité autorise le Service (aussi appelé SCRS), s'il est lui-même autorisé par le ministre intéressé, et après consultation avec le ministre des Affaires étrangères, à conclure des arrangements ou à collaborer avec le gouvernement d'un État étranger, une institution de cet État, ou une organisation internationale d'États. Cette collaboration pourrait manifestement inclure le transfert de renseignements personnels de Canadiennes ou de Canadiens.

En outre, bon nombre d'autorités gouvernementales de l'étranger appliquent des traités d'entraide juridique et d'autres mécanismes transnationaux d'échange de renseignements de manière à obtenir l'information d'une institution fédérale. Un traité d'entraide juridique permet aux autorités chargées de l'application des lois d'un pays de demander l'aide d'un autre pays afin d'obtenir des documents et d'autres éléments de preuve liés à une enquête ou à des poursuites relatives à une infraction. La Loi sur l'entraide juridique en matière criminelle du Canada est entrée en vigueur en 1990. 

Aux termes du traité d'entraide juridique Canada-États-Unis, les autorités américaines pourraient, par exemple, demander des renseignements détenus par le gouvernement fédéral ou par les administrations provinciales ou territoriales, ou par des personnes ou des sociétés au Canada, en liaison avec un vaste éventail d'infractions. Si les autorités américaines veulent obtenir des renseignements personnels détenus par une institution fédérale, la voie à suivre habituelle consiste à présenter une demande aux termes du traité d'entraide juridique Canada-États-Unis. Le ministère de la Justice du Canada peut ensuite demander à un tribunal canadien un mandat de perquisition afin d'obliger l'autre institution fédérale à communiquer les renseignements demandés. Une fois que l'information est obtenue, le ministère de la Justice la transmet au gouvernement des États-Unis. L'alinéa 8(2)c) de la Loi sur la protection des renseignements personnels autorise les institutions fédérales à communiquer des renseignements personnels qui sont exigés par subpoena, mandat ou ordonnance d'un tribunal.

Outre les autres modalités et conditions d'une EER conclue entre une institution fédérale et l'organisme d'un gouvernement étranger, les parties peuvent préciser que certaines dispositions de traités d'entraide juridique existants ou d'autres ententes internationales doivent être respectées.

De plus, la conclusion d'une EER avec un pays étranger imposera presque certainement à une institution fédérale ou au gouvernement du Canada les obligations de protéger le caractère privé et la confidentialité de l'information reçue du Canada. Celà pourraient entraîner des exigences en matière de ressources afin que les institutions puissent rencontrer leurs obligations de protéger adéquatement l'information.

6.9.3 Risques éventuels pour la vie privée posés par les lois antiterroristes

Un autre problème qui découle des EER internationales réside dans les risques d'atteinte à la vie privée des lois antiterroristes du pays étranger. Cela pourrait signifier, par exemple, qu'une loi étrangère pourrait permettre de contourner les restrictions imposées par l'organisme qui communique les renseignements au sujet de l'utilisation ou de la communication ultérieure de renseignements personnels. Bon nombre de pays étrangers appliquent des lois antiterroristes et des mesures de sécurité qui prévoient des pouvoirs semblables à ceux qui sont inscrits dans l'USA PATRIOT Act. Dans ces cas, une institution fédérale peut imposer des conditions additionnelles au destinataire, comme en séparant les données partagées de ses autres documents, ou en imposant l'obligation d'aviser le Canada si des renseignements doivent être communiqués aux termes de lois étrangères, dans la mesure du possible.

En revanche, il est plus avantageux de conclure une EER en bonne et due forme que pas du tout dans ces cas. Quand le gouvernement étranger utilise une EER pour obtenir les renseignements personnels de Canadiens, le gouvernement fédéral canadien peut communiquer les renseignements suivant des modalités clairement établies. Le fait d'avoir une entente en place peut aussi empêcher le gouvernement étranger de demander une ordonnance de tribunal.

6.9.4 Droits de la personne

Il ne fait pas de doute que les institutions fédérales doivent partager ou échanger des renseignements personnels avec d'autres pays afin d'assurer l'observation des lois et la sécurité nationale. Cela ne signifie toutefois pas que la collecte, l'utilisation et la communication de ces renseignements doivent causer des injustices ou des risques injustifiés aux personnes concernées. Le Canada doit être vigilant afin de veiller à ce qu'aucun renseignement obtenu d'un pays étranger soit le résultat de violations des droits de la personne selon le droit national ou international et qu'aucun renseignement personnel communiqué à ce pays n'entraîne de tels abus. Les institutions devraient communiquer avec leurs Services juridiques pour traiter de ce type de question.

Il faut tenir compte de la pertinence des lois selon le droit national ou international concernant les renseignements personnels et les droits de la personne au moment d'échanger des renseignements personnels avec un pays étranger. Par exemple, avant de recueillir des renseignements auprès d'un pays étranger, les institutions fédérales peuvent s'assurer que les renseignements personnels à recueillir ont été obtenus et traités par cet organisme conformément aux obligations du Canada en droit national et international et aux valeurs et aux principes canadiens de respect des droits de la personne, suivant un avis suffisant ou un consentement. 

En outre, même si les principaux problèmes liés à la Charte canadienne des droits et libertés qui résulteront des EER ont trait aux droits aux aspects de la protection de la vie privée prévus à l'article 8, lorsque des renseignements sont échangés avec des États où les droits de la personne sont moins bien protégés qu'au Canada, les droits à la vie, à la liberté et à la sécurité de la personne aux termes de l'article 7 pourront aussi être invoqués. Bien que la Charte canadienne des droits et libertés ne s'applique pas généralement hors territoire (c'est-à-dire que les protections qu'elle offre sont perdues lors de communication subséquentes des renseignements par les représentants d'un étât étranger), celle-ci s'applique néanmoins aux actes des fonctionnaires canadiens qui participent à l'échange de renseignements. Les conséquences raisonnablement prévisibles de l'échange de renseignements avec des représentants de gouvernements étrangers peuvent mettre en jeu les droits de la Charte canadienne des droits et libertés, en ce qui a trait aux actes des fonctionnaires canadiens si, par exemple, l'échange pourrait avoir comme résultat des abus potentiels de droits de la personne tels la torture, la détention illégale ou l'ajout non-justifié à une liste d'interdiction de vol. Il est donc recommandé que des experts de la Charte canadienne des droits et libertés soient consultés à ce sujet. De plus, l'échange de renseignements peut donner lieu à des facteurs à prendre en compte aux termes du droit international en matière de droits de la personne. Le ministère des Affaires étrangères et du Commerce international devrait être consulté relativement aux obligations internationales du Canada en matière de droits de la personne à cet égard.

L'échange de renseignements avec des pays étrangers est l'un des sujets ayant été étudiés en profondeur par la Commission d'enquête sur les actions des responsables canadiens relativement à Maher Arar. Il peut valoir la peine d'examiner certains des problèmes décrits par la Commission au moment de déterminer s'il faut échanger ou non des renseignements personnels, et d'établir quelles restrictions il faut inclure dans une EER conclue avec un pays étranger.

Dans le chapitre IX de son Rapport sur les événements concernant Maher Arar : Analyse et recommandations, de septembre 2006, le juge O'Connor a présenté plusieurs recommandations concernant le processus à observer quand des fonctionnaires traitent avec des pays où les droits de la personne sont bafoués.  Par exemple, il a recommandé que la décision d'accepter des renseignements de tels pays peut être prise en fonction de chaque cas, de manière à assurer la reddition de comptes.  Les fonctionnaires canadiens doivent toujours faire preuve de prudence afin de ne pas adopter de mesures pouvant être interprétées comme cautionnant ou favorisant les atteintes aux droits de la personne. 

Dans son rapport intitulé Rapport principal du Comité sénatorial spécial sur la Loi antiterroriste rendu public en février 2007, le Comité sénatorial spécial sur la Loi antiterroriste a recommandé que le gouvernement consigne par écrit les modalités des EER relatives aux enquêtes qui concernent la sécurité nationale; qu'il veille à ce que les organismes canadiens de sécurité et de police joignent des réserves écrites aux renseignements qu'ils communiquent à d'autres; qu'il exige des organismes canadiens qu'ils déposent une plainte officielle auprès des organismes étrangers en cas d'usage abusif des renseignements qui leur ont été communiqués; et qu'il produise des rapports annuels sur le respect des droits de la personne dans les divers pays (recommandation 25).

Plus particulièrement, le Comité aimerait que le gouvernement mette en œuvre les recommandations 2, 9, 12 et du rapport de septembre 2006 du juge O'Connor, non seulement en ce qui a trait à l'échange de renseignements par la Gendarmerie royale du Canada, mais à l'égard de l'échange de renseignements par tout organisme canadien chargé de la protection de la sécurité nationale. Ces recommandations sont reprises ci‑après.

  • La recommandation 2 du rapport de septembre 2006 du juge O'Connor précise que la GRC devrait continuer de participer à des opérations intégrées et coopératives dans les enquêtes relatives à la sécurité nationale, mais les accords ou ententes à cet égard devraient être consignées par écrit. 
  • La recommandation 9 stipule que la GRC ne devrait jamais partager de l'information dans le cadre d'une enquête relative à la sécurité nationale sans y rattacher des réserves écrites (précisant) exactement quelles institutions peuvent avoir accès à l'information visée par la réserve et quelle utilisation elles peuvent faire de l'information. 
  • La recommandation 12 précise que lorsque des organismes canadiens apprennent que des organismes étrangers ont utilisé à mauvais escient de l'information fournie par un organisme canadien, ils doivent déposer une plainte formelle. 
  • Enfin, il est indiqué à la recommandation 13 que le ministère des Affaires étrangères et du Commerce international (MAECI) doit transmettre à la Gendarmerie royale du Canada et au Service canadien du renseignement de sécurité des rapports annuels évaluant la situation des droits de la personne dans divers pays, afin de les aider à déterminer s'ils doivent continuer d'échanger des renseignements avec des organismes de ces pays.

Une fois que des renseignements personnels ont été partagés ou échangés avec un pays qui n'applique pas de lois de protection de la vie privée, des droits de la personne ou des libertés civiles, il peut devenir difficile, voire impossible, de veiller à ce que ces renseignements soient traités conformément aux valeurs et aux droits constitutionnels canadiens. Le pouvoir légal qu'ont le gouvernement fédéral et les tribunaux canadiens d'exiger le respect des droits et libertés garantis par la Constitution en vertu de la Charte canadienne des droits et libertés ne peut être exercé qu'à l'intérieur des frontières canadiennes. 

6.10 Dispositions de vérification

Les processus de vérification permettent de veiller à ce que les parties à une entente observent les modalités et les conditions des ententes. Même s'il peut ne pas être pratique pour le gouvernement canadien de procéder à la vérification des pratiques de gestion des renseignements personnels observées par un autre pays, il n'est pas déraisonnable de demander que l'autre pays lui fournisse des renseignements expliquant en détail les mesures de contrôle interne adoptées afin de protéger les renseignements personnels ou de procéder à des vérifications de sécurité ou de protection de la vie privée et qu'il fournisse des copies de ses rapports de vérification à intervalles fixes et réguliers.Certaines institutions peuvent même demander des vérifications précises suivant un calendrier prédéterminé.

6.11 Autres dispositions

L'entente peut inclure d'autres dispositions qui ne sont pas directement liées à la protection de la vie privée, mais qui doivent néanmoins être prises en considération. Les éléments suivants ne sont précisés qu'à titre d'exemples.

6.11.1 Règlement de différends 

En cas de questions, de contestations ou de mésententes concernant tout aspect de l'entente, il est recommandé que des clauses soient incluses afin de prévoir un mécanisme de règlement des différends.  

Par exemple, l'entente peut aussi inclure une clause qui autorise la nomination d'un conciliateur chargé de régler les différends. D'autres clauses peuvent être ajoutées si les parties veulent une entente exécutoire qui soit recevable devant un tribunal. Dans un tel cas, l'institution doit consulter ses services juridiques. 

Évidemment, avant de recourir à un mécanisme en bonne et due forme, il est recommandé que les parties en cause essaient de régler les problèmes au niveau des hauts fonctionnaires de leurs organisations respectives.

6.11.2 Signatures

Une entente doit inclure la date, les noms, les titres et les signatures des représentants autorisés de toutes les parties à l'entente.

7. Définitions

Les définitions des expressions « fins administratives », « responsable d'institution fédérale », « renseignements personnels » et « fichier de renseignements personnels » qui figurent ci-après sont conformes aux définitions de ces expressions qui figurent à l'article 3 de la Loi sur la protection des renseignements personnels.  Les autres définitions ont été adaptées aux fins du présent document d'orientation.

Avis ( notice) :
Processus qui consiste à informer directement des particuliers dont les renseignements personnels sont recueillis de ce qui suit : l'objet et le fondement en loi de la collecte les utilisations et communications qui sont conformes à l'objet initial, les conséquences juridiques ou administratives du refus de fournir les renseignements personnels, les droits d'accès et de correction aux renseignements personnels, et les droits à la protection des renseignements personnels en application de la Loi sur la protection des renseignements personnels.
Consentement ( consent) :
Accord éclairé et tacite d'une personne relativement à la collecte indirecte ou à la communication, la conservation et les utilisations ultérieures de ses renseignements personnels recueillis à des fins autorisées par la loi.
Données agrégées ( aggregated data) :
En statistique, données combinées à partir de plusieurs mesures, ou en économie, données de haut niveau qui sont composées d'une multitude ou d'une combinaison d'autres données plus individuelles. Dans un cas comme dans l'autre, les données agrégées devraient être généralisées de telle sorte qu'elles ne peuvent être liées à une personne, par exemple, en utilisant une fourchette d'âges, plutôt que des âges en particulier.
Fins administratives ( administrative purpose) :
L'usage de renseignements personnels concernant un individu dans le cadre d'une décision le touchant directement (article 3). Ceci comprend tous les usages de renseignements personnels pour confirmer l'identité (c.‑à‑d. à des fins d'authentification et de vérification) et déterminer l'admissibilité de personnes à des programmes gouvernementaux.
Fins non administratives ( non-administrative purpose) :
L'usage de renseignements personnels à une fin qui n'est pas liée à quelque processus de prise de décisions touchant directement le particulier. Ceci comprend l'usage de renseignements personnels à des fins comme la recherche, les statistiques, la vérification et l'évaluation.
Fichiers de renseignements personnels (FRPs) ( personal information bank) :
Description de renseignements personnels organisés et pouvant être extraits à l'aide du nom d'une personne ou d'un numéro, symbole ou autre identificateur propre à cette personne. Les renseignements personnels décrits dans le fichier de renseignements personnels ont été, sont ou peuvent être utilisés à des fins administratives et ils relèvent d'une institution fédérale.
Info Source ( Info Source) :
Une série de publications annuelles du Secrétariat du Conseil du Trésor du Canada dans lesquelles les institutions fédérales décrivent leur organisation, leurs responsabilités de programme et les renseignements qu'elles détiennent, y compris les fichiers de renseignements personnels (FRP) et les catégories de documents, de façon suffisamment claire et détaillée pour que le public puisse s'en servir pour exercer ses droits en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. La publication l' Info Source contient également les coordonnées de représentants des institutions fédérales.
Nouvel usage compatible ( new consistent use) :
Si un usage compatible n'a pas été indiqué initialement dans la description du fichier de renseignements personnels (FRP), dans le chapitre sur l'institution dans l' Info Source, l'utilisation est désignée comme un « nouvel usage compatible ».
Numéro d'assurance sociale (NAS) ( social insurance number (SIN) :
Numéro utilisable comme numéro de dossier ou de compte ou pour le traitement des données, tel que défini au paragraphe 138 (3) de la Loi sur l'assurance-emploi. Pour l'application de l'alinéa 3 c) de la Loi sur la protection des renseignements personnels, comme le NAS est un numéro d'identité, il est considéré comme étant un renseignement personnel.
Renseignements personnels ( personal information) :
« Renseignements, quel que soit leur forme et leur support concernant un individu identifiable » (article 3). Voir l'article 3 de la Loi sur la protection des renseignements personnels pour plus de détails.
Renseignements personnels de caractère délicat ( sensitive personal information) :
Même si pratiquement tous les renseignements personnels peuvent être délicats dans certains contextes (par exemple, la communication de l'adresse domiciliaire peut faire courir un risque à un particulier, pour des raisons personnelles ou professionnelles), certaines catégories de renseignements personnels sont considérées comme étant de nature délicate pour la totalité ou la majorité des personnes. Parmi ces renseignements, mentionnons les renseignements médicaux, les renseignements financiers, les antécédents criminels, ou des identificateurs utilisés à grande échelle, comme le numéro d'assurance sociale ou d'autres renseignements dont la communication pourrait porter préjudice à la personne concernée (p. ex., vol d'identité, fraude, trouble émotionnel ou effets négatifs sur la carrière d'une personne, sur sa réputation, sur sa situation financière, sur sa sécurité, sur sa santé ou sur son mieux‑être).
Responsable d'institution fédérale ( head) :
Le ministre, dans le cas d'un ministère ou d'un département d'État. Dans tout autre cas, la personne désignée par le Décret sur la désignation des responsables d'institutions fédérales. Si aucune personne n'est désignée, le premier dirigeant de l'institution, quel que soit son titre.
USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) :
Loi instaurée aux États-Unis en octobre 2001 à titre de mesure antiterrorisme. Elle permet aux fonctionnaires des É.‑U. chargés de faire observer les lois, aux fins d'une enquête antiterrorisme, de demander une ordonnance d'un tribunal donnant accès aux documents personnels d'une personne à son insu. Aux termes de cette loi, des fonctionnaires des É.‑U. pourraient avoir accès à des renseignements concernant des citoyens d'autres pays, y compris le Canada, si ces renseignements se trouvent sous une forme matérielle aux États-Unis ou s'ils sont accessibles par voie électronique.
Usage compatible ( consistent use) :
Un usage qui a un lien raisonnable et direct avec les fins pour lesquelles les renseignements ont été recueillis ou compilés. En d'autres termes, les fins premières et les fins prévues sont si intimement liées que la personne s'attend à ce que les renseignements soient utilisés à une fin compatible, même si l'usage n'est pas expressément indiqué.

8.Documents de référence et liens utiles

Lois fédérales et liens utiles : 


Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes :

Déclaration de confidentialité

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :