Faites connaitre vos opinions sur la modernisation de la Loi sur la protection des renseignements personnels

Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel

La consultation est terminée. Merci pour vos contributions.

Bienvenue à Parlons renseignements personnels!

La consultation publique en ligne est maintenant terminée.

Les commentaires reçus pendant la consultation seront résumés et publiés dans un rapport qui sera accessible en ligne.

Pour en savoir plus sur les raisons pour lesquelles nous examinons la Loi sur la protection des renseignements personnels, visitez le site sur la modernisation de la Loi sur la protection des renseignements personnels.


En savoir plus sur la consultation :


En savoir plus sur la Loi sur la protection des renseignements personnels :

Bienvenue à Parlons renseignements personnels!

La consultation publique en ligne est maintenant terminée.

Les commentaires reçus pendant la consultation seront résumés et publiés dans un rapport qui sera accessible en ligne.

Pour en savoir plus sur les raisons pour lesquelles nous examinons la Loi sur la protection des renseignements personnels, visitez le site sur la modernisation de la Loi sur la protection des renseignements personnels.


En savoir plus sur la consultation :


En savoir plus sur la Loi sur la protection des renseignements personnels :

FERMÉ: Cette discussion est terminée.
Discussions: Tout (13) Ouvrir (0)
  • Une vision pour la modernisation de la Loi sur la protection des renseignements personnels

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    Une Loi sur la protection des renseignements personnels modernisée devrait renforcer la confiance des Canadiens et des Canadiennes dans la manière dont les organismes publics fédéraux traitent, gèrent et protègent leurs renseignements personnels. Le gouvernement du Canada a pour vision de moderniser cette loi afin qu’elle reflète mieux les attentes contemporaines quant aux mesures que doivent prendre les organismes publics fédéraux, tant pour protéger les renseignements personnels des individus que pour en faire un meilleur usage en vue d’assurer leur sécurité, de leur faciliter la vie et d’apporter des solutions innovantes aux difficultés auxquelles ils doivent faire face. En ce sens, la version modernisée de la Loi devra refléter comment les organismes publics fédéraux assurent une gestion responsable et efficace des renseignements personnels que les Canadiens et les Canadiennes leur ont confié, tout en leur permettant de s’améliorer et de s’adapter aux changements sociétaux et technologiques qui surviendront au fil du temps.  

    Trois piliers

    Cette vision de modernisation de la Loi sur la protection des renseignements personnels s’appuie sur trois piliers :

    1. Le respect des individus, qui passe par l’établissement de droits et d’obligations en matière de protection des renseignements personnels, en tenant compte de la réalité de l’ère numérique.

    2. La responsabilité, qui doit être à la fois constructive et transparente. Pour les organismes publics fédéraux, être responsable signifie démontrer la mise en place de pratiques de gouvernance et de surveillance rigoureuses leur permettant d’assurer une gestion responsable et efficace des renseignements personnels dont ils disposent.

    3. L’adaptabilité, pour permettre aux organismes publics fédéraux d’innover. Les nouvelles technologies, les nouveaux modèles d’affaires, les nouvelles capacités, les changements perturbateurs et les circonstances imprévues sont aujourd’hui la norme. La Loi modernisée devra établir un cadre souple qui aide les organismes publics fédéraux à composer efficacement avec les pressions qu’occasionne un changement constant. L’adoption d’une approche rigide de la réglementation relative aux renseignements personnels ne serait adaptée ni aux attentes des individus ni à la diversité des contextes dans lesquels les organismes publics fédéraux recueillent, utilisent et communiquent des renseignements personnels.


    Assurer l’équivalence essentielle avec les autres régimes de protection des données de premier plan

    La Loi sur la protection des renseignements personnels n’est qu’un des éléments du cadre de plus en plus global liant la réglementation des pratiques impliquant des renseignements personnels au sein des secteurs public et privé, et ce, au sein de nombreux ressorts. La Loi devrait être compatible avec les autres grands régimes de protection des données du Canada et d’ailleurs afin d’assurer l’harmonisation avec les exigences de base de ces régimes. En même temps, la Loi sur la protection des renseignements personnels présente de nombreuses caractéristiques uniques qui ont bien servi les Canadiens et les Canadiennes au fil des ans. Ces caractéristiques constituent un fondement solide pour apporter des améliorations propres au contexte canadien.

    Un point de départ serait de mieux harmoniser la Loi sur la protection des renseignements personnels avec la Loi sur la protection des renseignements personnels et des documents électroniques, une loi fédérale qui s’applique au secteur privé. La cohérence entre ces lois fédérales pourrait simplifier le régime de protection des renseignements personnels pour tous, améliorer l’interopérabilité nationale, prévenir les lacunes en matière de responsabilité lorsqu’il y a interaction entre les secteurs public et privé, et confirmer encore davantage la conformité de la Loi sur la protection des renseignements personnels avec les normes mondiales établies. Bien qu’elles comportent certaines différences de terminologie et d’approches, les deux lois ont été influencées par les Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données à caractère personnel, texte fondamental de l’OCDE. Ces lignes directrices de l’OCDE ont été établies en 1980 et mises à jour en 2013 pour tenir compte des développements importants dans le domaine de la protection internationale des données, y compris la modernisation de la Convention no 108, la mise en œuvre du Cadre de protection de la vie privée de l’APEC et le Règlement général sur la protection des données (RGPD) de l’Union européenne. Une Loi sur la protection des renseignements personnels modernisée devra également refléter ces importants développements internationaux. 

    Neutralité technologique 

    Une Loi sur la protection des renseignements personnels moderne devra mettre l’accent sur la neutralité technologique, c’est-à-dire qu’elle ne devra privilégier l’utilisation d’aucun type particulier de technologie. Cela permettra aux organismes publics fédéraux d’envisager des moyens nouveaux et différents de s’acquitter de leurs fonctions et de s’assurer que la Loi conserve sa pertinence relativement aux nouvelles technologies. Elle leur permettra également de réglementer les pratiques nouvelles et de réagir rapidement aux changements.

    Réponses fermées
  • La Loi sur la protection des renseignements personnels et la réconciliation avec les peuples autochtones au Canada

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    La Loi sur la protection des renseignements personnels joue un rôle important dans l’orientation des relations du gouvernement fédéral avec les individus. Cela dit, sa modernisation vise aussi à faire progresser la réconciliation avec les peuples autochtones du Canada, car il s’agit d’une occasion de reconnaître la réalité particulière des Autochtones, de leurs collectivités et de leurs gouvernements, d’y affirmer les modalités qui leur sont propres et de leur donner les moyens d’en tirer parti. 

    Cette consultation publique offre certes l’occasion à tous les Canadiens et les Canadiennes, y compris les Autochtones, de donner leur avis sur les idées de modifications possibles à la Loi sur la protection des renseignements personnels, mais les discussions en cours avec les gouvernements et organisations autochtones ont fait ressortir certaines répercussions particulières que la Loi peut avoir sur les Autochtones et leurs communautés respectives. De plus, aborder la question du contrôle des peuples autochtones de leurs renseignements et de leurs données est une étape importante vers la réconciliation. Le ministère de la Justice du Canada poursuit ses discussions avec les gouvernements et les organisations autochtones afin de mieux comprendre certaines questions qui ont été mises en évidence lors de discussions antérieures, dont les suivantes : 

    • Reflet de la diversité des gouvernements autochtones : Une idée envisagée est celle de remplacer la définition actuelle de « gouvernement autochtone » par une définition plus souple qui reflète la diversité des modèles de gouvernance autochtones.

    • Des partenariats d’échange d’information : Compte tenu de la nature particulière, du caractère délicat et de la quantité de renseignements personnels que les organismes publics fédéraux peuvent détenir en lien avec les Autochtones, la version modernisée de la Loi sur la protection des renseignements personnels pourrait faciliter la conclusion d’ententes de partage de renseignements avec les gouvernements autochtones et leurs institutions à des fins plus variées que celles actuellement reconnues à l’alinéa 8(2)f) de la Loi. Répondre au besoin de tels partages de renseignements avec les gouvernements autochtones et leurs communautés est une façon d'aider les peuples autochtones à s'orienter vers l'autonomie gouvernementale.

    • Communication continue pour la recherche sur les revendications : En reconnaissance du fait que l’avancement des revendications historiques peut exiger et justifier la communication de renseignements personnels, la Loi permet actuellement au gouvernement fédéral de communiquer des renseignements personnels en vue de « l’établissement des droits des peuples autochtones ou du règlement de leurs griefs ». L’une des questions à examiner est la communication de renseignements personnels à ce genre de fins.

    • Nouveaux mécanismes de gouvernance en appui aux approches consultatives : La protection des renseignements personnels des Autochtones et l’accès à ces renseignements peuvent susciter des questions particulièrement complexes. Les organisations et les gouvernements autochtones veulent exercer un contrôle sur les décisions concernant les renseignements personnels de leurs membres. De nouveaux mécanismes et outils pourraient permettre de résoudre ces enjeux.

    • Intérêts particuliers des Autochtones pour une approche collective de la protection des renseignements personnels : Les intérêts individuels et collectifs des Autochtones quant à la protection des renseignements personnels peuvent être profondément liés. Ceci pose la question de la capacité, pour la Loi sur la protection des renseignements personnels, de refléter ce concept unique de l’approche collective de la protection des renseignements personnels.
    Réponses fermées
  • La modernisation de la Loi sur la protection des renseignements personnels et la révision de la Loi sur l’accès à l’information

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    Plus tôt cette année, le gouvernement du Canada a lancé une révision de la Loi sur l’accès à l’information. Cette révision examinera le cadre législatif, étudiera des possibilités d’améliorer la publication proactive pour rendre l’information ouvertement disponible, et évaluera les processus et les systèmes pour améliorer le service et réduire les délais de traitement. Le gouvernement du Canada mobilisera les Canadiens et les Canadiennes relativement à ces questions importantes et sollicitera également l’avis des Autochtones sur les aspects de la Loi sur l’accès à l’information qui revêtent une importance particulière pour eux. 

    La Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information sont deux lois fédérales qui ont un statut quasi constitutionnel. Les deux lois contiennent des dispositions et des éléments similaires, y compris des exceptions presque identiques concernant l’accès aux dossiers et aux renseignements personnels, lesquelles sont motivées par les mêmes impératifs d’intérêt public, dont la sécurité, la confidentialité et le respect de la vie privée. 

    Ces aspects de la Loi sur la protection des renseignements personnels bénéficieront de la contribution du public à la révision de la Loi sur l’accès à l’information par le gouvernement. Par conséquent, le présent document de discussion fera abstraction de certains de ces éléments communs, notamment les exceptions au droit d’accès aux renseignements personnels. Ces éléments seront examinés ultérieurement.

    Réponses fermées
  • 1. Changer le titre de la Loi

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    Le titre anglais de la Loi (Privacy Act) pourrait être modifié pour mieux rendre compte du fait que la Loi régit et réglemente la confidentialité des renseignements personnels

    Malgré son titre, la Loi sur la protection des renseignements personnels n’est pas la seule source de protection de la « vie privée » au Canada, ni même au niveau fédéral. Le droit canadien protège de nombreux types d’intérêts différents en matière de vie privée, en s’appuyant sur une combinaison d’instruments constitutionnels, du Code criminel, du Code civil du Québec, de la common law et d’autres lois fédérales, provinciales et territoriales.   

    Pour sa part, la Loi sur la protection des renseignements personnels ne traite que de la confidentialité des renseignements personnels. Elle régit la collecte, l’utilisation, la communication et la conservation des renseignements concernant un individu identifiable. Afin de tenir compte de cet objectif sous-jacent, le titre anglais de la Loi pourrait être modifié afin de préciser le rôle de la Loi en matière de protection des renseignements personnels, tel que c’est présentement le cas pour le titre français.

    Réponses fermées
  • 2. Moderniser la disposition d’objet pour qu’elle reflète mieux les objectifs généraux de la Loi

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    La disposition d’objet pourrait refléter les importants objectifs publics qui sous-tendent la législation fédérale sur la protection des renseignements personnels dans le secteur public

    L’actuelle disposition d’objet énonce que la Loi « a pour objet de compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d’accès des individus aux renseignements personnels qui les concernent ». Cette déclaration en dit davantage sur l’historique législatif de la Loi que sur ses objectifs publics généraux. En vue de mieux orienter l’interprétation de la Loi, la disposition d’objet modernisée pourrait clairement énoncer les importants objectifs qui sous-tendent la législation fédérale sur la protection des données dans le secteur public, notamment : 

    • protéger la dignité humaine, l’autonomie personnelle et l’autodétermination; 
    • renforcer la confiance du public envers le gouvernement; 
    • promouvoir l’utilisation et la communication responsables des données afin de contribuer à l’atteinte des objectifs du gouvernement dans l’intérêt public; 
    • promouvoir une gouvernance publique efficace et responsable;
    • soutenir la réconciliation avec les peuples autochtones au Canada en favorisant un meilleur partage des données avec les gouvernements et les communautés autochtones; et
    • aider les responsables du secteur public à prendre des décisions judicieuses, éthiques et fondées sur des éléments probants. 
    Réponses fermées
  • 3. Intégrer des principes dans la Loi sur la protection des renseignements personnels qui s’inspirent des modèles internationaux

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    La Loi pourrait prévoir des principes de protection des renseignements personnels similaires à ceux prévus dans la Loi sur la protection des renseignements personnels et les documents électroniques, afin d’orienter, de soutenir et d’élargir la protection des renseignements personnels des particuliers

    La Loi sur la protection des renseignements personnels pourrait intégrer un certain nombre de principes de protection des renseignements personnels reconnus à l’échelle internationale, dont : i) la responsabilité; ii) la détermination des fins; iii) le consentement; iv) la limitation de la collecte; v) la limitation de l’utilisation, de la communication et de la conservation; vi) l’exactitude; vii) les mesures de sécurité; viii) la transparence; ix) l’accès aux renseignements personnels; et x) la possibilité de porter plainte. L’intégration de ces principes à la Loi sur la protection des renseignements personnels établirait les attentes de base des Canadiens et des organismes publics fédéraux quant à la façon dont les renseignements personnels devraient être gérés et protégés dans le secteur public fédéral. De plus, la conformité de ces principes avec ceux prévus à la Loi sur la protection des renseignements personnels et les documents électroniques harmoniserait les règles fédérales applicables aux secteurs public et privé en matière de protection des renseignements personnels.  

    Pour de plus amples renseignements et des explications approfondies sur l’intérêt d’intégrer des principes à la Loi, et sur l’incidence que ces principes pourraient avoir, veuillez consulter notre annexe ici.


    Réponses fermées
  • 4. Clarifier les concepts

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    Certaines définitions prévues à la Loi pourraient être mises à jour, et d’autres pourraient être introduites

    Il existe un certain nombre de domaines dans lesquels la Loi devrait énoncer des règles plus claires au sujet de sa portée – ce à quoi elle s’applique et quand ses pleines protections sont engagées. Une approche en matière de protection des renseignements personnels fondée sur le risque commence à s’établir, sur la scène internationale, comme une pratique exemplaire. Voici certains changements envisagés :

    • Appliquer la loi aux « organismes publics fédéraux » : Actuellement, la Loi sur la protection des renseignements personnels s’applique aux « institutions fédérales » telles qu’elles sont définies dans la Loi. Bien que cette définition s’applique à un large éventail d’institutions fédérales relevant d’un ministre, elle s’étend également à de nombreux organismes publics fédéraux qui ne sont pas des ministères ou ne font pas partie de l’administration publique centrale. Le remplacement de la notion « d’institution fédérale » par celle de « organisme public fédéral » indiquerait plus clairement que de nombreuses entités fédérales non gouvernementales sont également assujetties à la Loi.

    • Mettre à jour et clarifier la définition de « renseignements personnels » : La Loi définit actuellement les « renseignements personnels » comme étant des « renseignements, quels que soient leur forme et leur support, concernant un individu identifiable ». Elle donne un certain nombre d’exemples de ce qui constitue des renseignements personnels, et elle exclut certains renseignements de cette définition, en ce qui a trait à l’application des dispositions relatives à leur usage et à leur communication (ainsi qu’à l’accès à des documents contenant des renseignements personnels, demandés au titre de la Loi sur l’accès à l’information). Voici certaines modifications qui pourraient être proposées : 
      • Inclure les renseignements personnels non consignés : La définition de « renseignements personnels » pourrait être simplifiée si on y supprimait l’exigence actuelle selon laquelle les renseignements doivent être consignés. Bon nombre de parties prenantes ont recommandé cette modification, car elle permettrait d’harmoniser la Loi avec la Loi sur la protection des renseignements personnels et les documents électroniques et avec l’approche adoptée dans de nombreux autres ressorts. Toutefois, étant donné que la Loi est organisée autour de la notion de « document » (record), il est difficile de déterminer quels avantages pratiques découleraient de l’élargissement de la définition de façon à y inclure les renseignements non consignés. Bon nombre de droits et d’obligations que prévoit la loi seraient tout simplement inapplicables aux renseignements non consignés, comme le droit d’une personne d’accéder à ses renseignements personnels et de les corriger, les obligations des organismes publics fédéraux de conserver ces renseignements, et certaines règles concernant leur usage et leur communication. Le gouvernement aurait donc besoin d’information supplémentaire sur les avantages concrets que pourrait avoir cette éventuelle modification.
      • Préciser les cas où un individu est « identifiable » : La Loi pourrait fournir des critères permettant de déterminer les cas où un renseignement concerne un « individu identifiable » et est donc assujetti à ses dispositions. L’adaptation au contexte serait particulièrement importante, car différentes considérations pourraient être appropriées selon les circonstances. Par exemple, une personne pourrait-elle raisonnablement être identifiée à partir de renseignements qui sont limités à un usage interne confidentiel, par opposition à une diffusion auprès d’un public élargi?  
      • Introduire une de mise en équilibre pour les cas où des renseignements personnels rendraient compte des points de vue et des opinions d’une personne sur une autre : Selon l’actuelle définition de « renseignements personnels », les opinions ou les points de vue déclarés d’un individu A sur un individu B sont considérés comme des renseignements personnels aussi bien de l’individu B que de l’individu A. Cela signifie que, sous réserve de certaines exceptions, l’individu B est en droit d’accéder aux opinions ou aux points de vue de l’individu A à son sujet et de connaître l’identité de la personne qui les a exprimés. Il s’agit d’un droit important dans de nombreuses situations, notamment lorsque les opinions d’une personne peuvent avoir des répercussions défavorables sur les droits d’une autre personne. Toutefois, dans certaines circonstances, il peut être plus important de protéger la confidentialité de l’opinion d’une personne sur une autre – par exemple, dans le contexte d’allégations et d’enquêtes en matière de harcèlement. La Loi pourrait inclure une disposition énonçant une approche de mise en équilibre plus nuancée et plus souple, pour ce type de cas, que la règle rigide actuelle. 
      • Supprimer les exceptions de la définition elle-même : Les alinéas j) à m) de la définition actuelle établissent une exception à l’égard de certains types de renseignements qui seraient autrement considérés comme des « renseignements personnels » aux fins des articles 7, 8 et 26 de la Loi (et de l’article 19 de la Loi sur l’accès à l’information). Ces exemptions permettent la consultation de certains renseignements par des personnes autres que celle à laquelle ils se rapportent, principalement pour des motifs d’intérêt public. Toutefois, en pratique, ces exceptions ont été difficiles à interpréter et à gérer. De plus, les motifs d’intérêt public justifiant une plus grande utilisation, un plus grand partage et un meilleur accès à ces renseignements personnels pourraient mieux s’intégrer dans d’autres parties de la Loi et dans la Loi sur l’accès à l’information. Par conséquent, pour simplifier la définition, cette liste d’exception pourrait être supprimée et les articles 7, 8 et 26 pourraient être modifiés au besoin.

    • Définir les coordonnées des entreprises : En ce moment, la Loi n’indique pas clairement que les renseignements commerciaux ne sont pas des renseignements personnels, ce qui peut entraîner des problèmes dans certains cas, par exemple lorsqu’une entreprise est exploitée par un propriétaire unique. La Loi pourrait préciser que les renseignements qui concernent principalement une entreprise ne constituent pas des « renseignements personnels ».

    • Préciser les critères de validité du consentement : La Loi pourrait inclure des facteurs ou des normes en vue de garantir que le consentement donné par une personne au titre de la Loi est exprès, informé, volontaire et révocable.

    • Établir un cadre à jour en ce qui a trait aux renseignements personnels accessibles au public : La Loi s’applique aux renseignements personnels accessibles au public, à l’exception de ses règles régissant les utilisations et communications ultérieures de renseignements personnels. Cependant, la Loi ne définit pas expressément l’expression « auxquels le public a accès ». Une Loi modernisée pourrait définir les renseignements personnels comme « accessibles au public » dans trois cas : lorsqu’ils ont été manifestement rendus publics par la personne à laquelle ils se rapportent; lorsqu’ils sont largement et continuellement accessibles à tous les membres du public et que la personne n’a pas d’attente raisonnable en matière de respect de la vie privée relativement aux renseignements en question; et lorsqu’une autre loi fédérale ou un règlement exige que les renseignements soient accessibles au public. De plus, l’exclusion actuelle prévue au paragraphe 69(2) pourrait être éliminée, de sorte que toutes les règles énoncées dans la Loi s’appliquent aux renseignements personnels accessibles au public, tandis que des dispositions permettant l’utilisation et la communication de ces renseignements dans des cas précis pourraient être ajoutées, ainsi qu’une exception connexe au droit d’une personne d’exiger que la collecte de renseignements personnels s’effectue directement auprès d’elle.

    • Élargir le concept de fins administratives : Certaines des protections prévues par la Loi s’appliquent aux renseignements personnels qui sont utilisés à des « fins administratives ». Au sens de la Loi actuelle, les fins administratives concernent l’usage de renseignements personnels d’un individu dans le cadre d’une décision le touchant directement. Toutefois, lorsque les renseignements personnels ne sont pas utilisés à des fins administratives, certaines des exigences communes en matière de notification, de correction et de conservation sont assouplies. La Loi pourrait être modifiée afin d’élargir le champ d’application du concept de « fins administratives », de manière à englober toute pratique touchant des renseignements personnels qui pourrait avoir une incidence directe pour la personne, qu’il s’agisse ou non d’un processus décisionnel. Cela permettrait d’assurer, par exemple, que l’ensemble des protections prévues par la Loi s’appliqueraient à la conception et au développement de systèmes d’intelligence artificielle. 

    Pour le moment, le gouvernement n’envisage pas de préciser des catégories de renseignements personnels auxquels des règles particulières s’appliqueraient (comme les renseignements personnels « sensibles » ou les renseignements relatifs à des mineurs), bien que ce soit le cas dans certains ressorts. Une stratégie souple fondée sur des principes et certains des autres changements proposés permettrait d’assurer une protection appropriée des renseignements personnels, selon le contexte. Le gouvernement convient également avec le Commissaire à la protection de la vie privée que la Loi n’est pas l’instrument approprié pour définir les « métadonnées », puisque de nombreuses formes de métadonnées ne sont tout simplement pas des renseignements concernant un individu identifiable.

    Réponses fermées
  • 5. Mettre à jour les droits et obligations et en instaurer de nouveaux

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    Les droits des individus et les obligations des organismes publics fédéraux pourraient être mis à jour et de nouveaux droits et de nouvelles obligations pourraient être introduits

    À l’heure actuelle, la Loi sur la protection des renseignements personnels établit un certain nombre de droits pour les individus. Les Canadiens et les Canadiennes et toute personne présente au Canada ont le droit d’accéder aux renseignements personnels les concernant. Ils ont également le droit d’être avisés lorsqu’un organisme public fédéral utilise leurs renseignements personnels pour prendre une décision à leur sujet, et de demander la correction de ces renseignements. 

    La Loi impose également certaines obligations aux organismes publics fédéraux dans les cas où ils ont l’intention d’utiliser les renseignements personnels d’une personne pour prendre une décision la concernant. Ces obligations comprennent ce qui suit : i) recueillir les renseignements personnels auprès de la personne elle-même lorsque c’est possible (sous réserve de certaines exceptions); ii) conserver les renseignements personnels pendant au moins deux ans après leur dernière utilisation (à moins que la personne concernée consente à ce qu’il en soit autrement) ou jusqu’à ce que cette personne ait eu la possibilité d’exercer tous ses droits au titre de la Loi ; iii) assurer le maintien de l’exactitude de ces renseignements; et iv) verser ces renseignements dans un fichier de renseignements personnels (entre autres renseignements). 

    Ces droits et obligations en vigueur pourraient être mis à jour, et de nouveaux droits et de nouvelles mesures de protection pourraient être introduits pour tenir compte de l’évolution des attentes à l’ère numérique. Voici des changements qui pourraient être apportés :

    • Droit d’accès élargi : La Loi pourrait étendre la portée du droit d’accès aux renseignements personnels aux étrangers qui ne sont pas présents au Canada, à condition que des procédures adéquates soient en place pour vérifier l’identité de la personne à l’origine de la demande de renseignements. Ce changement permettrait d’éviter aux étrangers de devoir s’en remettre à un tiers se trouvant au Canada en le chargeant de présenter des demandes pour leurs renseignements personnels en leur nom au titre de la Loi sur l’accès à l’information. Cela permettrait du même coup d’harmoniser la législation canadienne avec celle d’autres ressorts où la pratique établie consiste à accorder un accès universel aux renseignements personnels, ainsi que d’améliorer l’interopérabilité, en particulier avec l’Union européenne. Toutefois, étant donné qu’un certain nombre d’institutions fédérales ont constaté que l’élargissement des droits d’accès pouvait avoir un impact important au niveau des ressources, il serait peut-être prudent de mettre d’abord à l’essai un élargissement limité des droits pour en évaluer les effets sur les ressources publiques et le système dans son ensemble, tout en profitant de l’occasion pour élaborer une procédure efficace de vérification de l’identité.

    • Le droit pour toute personne d’exiger que la collecte de renseignements personnels s’effectue directement auprès d’elle pour toutes les fins visées, à moins qu’une exception s’applique : Les exceptions permettant à un organisme public fédéral de recueillir indirectement des renseignements personnels comprendraient celles qui figurent déjà dans la Loi et pourraient aussi en inclure d’autres, telles que les suivantes : 
      • si l’individu consent à la collecte indirecte de ses renseignements personnels;
      • si les renseignements sont « accessibles au public » et sont recueillis à des fins autres que la prise d’une décision touchant directement la personne concernée;
      • si les renseignements sont recueillis aux fins d’enquête par un organisme d’application de la loi ou une agence de sécurité nationale;
      • si la collecte effectuée auprès d’une autre source est autorisée ou requise au titre d’une autre loi fédérale; 
      • si les renseignements sont communiqués par un autre organisme public fédéral conformément à la Loi sur la protection des renseignements personnels.

    • Le droit pour un individu d’être avisé lorsque ses renseignements personnels sont recueillis par un organisme public fédéral, à moins qu’une exception s’applique : La Loi pourrait également prévoir le droit de toute personne d’être avisée lorsque ses renseignements personnels sont recueillis par un organisme public fédéral. La Loi pourrait préciser les éléments que l’avis en question devrait absolument comporter. Toutefois, la Loi pourrait aussi fixer des limites raisonnables à ce droit, notamment dans les cas suivants : 
      • si l’individu a déjà été avisé; 
      • si l’organisme public fédéral est autorisé à recueillir des renseignements personnels auprès d’une autre source que l’individu; 
      • si la collecte de renseignements personnels relève d’une question d’application de la loi ou de sécurité nationale; ou
      • si la transmission d’un avis est pratiquement impossible, risque de nuire à l’objet de la collecte ou de rendre celle-ci inutile, ou risque de se traduire par la collecte de renseignements inexacts.

    • Le droit de demander que les renseignements personnels inexacts soient rapidement corrigés : La Loi pourrait élargir l’obligation actuelle d’assurer l’exactitude des renseignements personnels en exigeant de maintenir l’exactitude de tous les renseignements personnels pouvant avoir une incidence directe sur un individu. Ce changement serait conforme à un possible élargissement de la définition de l’expression à des fins administratives. De même, le droit d’exiger la correction des renseignements personnels s’étendrait à tous les renseignements personnels utilisés à des fins administratives, et la correction de ces renseignements devrait être effectuée dans un délai raisonnable.

    • Certains droits visant à mieux informer le public sur les interactions avec les systèmes décisionnels automatisés (p. ex. des outils d’intelligence artificielle) : L’harmonisation des exigences de transparence et de responsabilisation que comporte la Loi sur la protection des renseignements personnels avec celles des principaux instruments stratégiques du secteur public fédéral qui guident l’utilisation des systèmes décisionnels automatisés contribuerait à ce que les particuliers soient informés des situations où ils interagissent avec ces systèmes, des types et des sources de renseignements personnels utilisés par ces systèmes, et de la manière dont ceux-ci fonctionnent. Il serait important que tout nouveau cadre décisionnel automatisé demeure souple et technologiquement neutre pour permettre l’adaptation des nouvelles règles, à mesure que l’expérience du gouvernement évoluera dans ce domaine. Par ailleurs, des exceptions pourraient être prévues dans certains contextes, notamment en matière d’application de la loi et de sécurité nationale, où la communication de détails sur ces renseignements nuirait à l’intérêt public.

    • Un principe portant spécifiquement sur la protection des renseignements personnels à l’aide de mesures de sécurité appropriées sur les plans technique, administratif et physique : La Loi pourrait prévoir un principe de « mesures de sécurité », comme c’est le cas pour la Loi sur la protection des renseignements personnels et les documents électroniques, afin de veiller à ce que les Canadiens et les Canadiennes profitent du même niveau de protection en matière de sécurité des données, quel que soit le secteur ou l’ordre de gouvernement avec lequel ils traitent. Les politiques du Secrétariat du Conseil du Trésor (SCT) pourraient traduire les obligations juridiques plus générales par des politiques et directives opérationnelles plus détaillées convenant aux institutions fédérales.

    • Une obligation visant à limiter les dommages en cas d’atteinte à la protection des renseignements personnels et, dans certains cas, à aviser par la suite le Commissaire à la protection de la vie privée et les individus touchés : La Loi pourrait obliger les organismes publics fédéraux à réduire et à atténuer les répercussions des atteintes substantielles à la protection des renseignements personnels, et à aviser le Commissaire à la protection de la vie privée et les individus touchés s’il y a un risque de préjudice grave pour les individus en question. L’obligation d’aviser le Commissaire à la protection de la vie privée et les individus touchés s’appliquerait dès que possible après la prise de mesures visant à limiter les dommages causés et à évaluer la situation.

    • Imposer une obligation visant à consigner l’information portant sur toute atteinte à la protection des renseignements personnels : La Loi pourrait prévoir une nouvelle obligation de conserver l’information sur toute atteinte à la protection des renseignements personnels, et ce, que l’atteinte en question entraîne ou non un risque réel de préjudice grave. Cette obligation permettrait au gouvernement de surveiller plus efficacement les tendances et de diminuer les risques qui toucheraient plus d’un organisme public fédéral. Elle pourrait également permettre au Commissaire à la protection de la vie privée de vérifier plus efficacement l’application des dispositions législatives. 
    Réponses fermées
  • 7. Accorder un rôle plus important aux renseignements personnels anonymisés

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    Les organismes publics fédéraux pourraient bénéficier d’une plus grande souplesse quant à l’utilisation et à la communication de renseignements personnels qui ont été soumis à un processus établi de suppression des éléments d’identification personnelle

    L’utilisation de renseignements personnels anonymisés est très prometteuse pour les organismes publics fédéraux en ce qu’elle leur permettra d’innover dans l’intérêt public, tout en protégeant la vie privée. Malgré quelques exemples notoires de ré-identification de renseignements personnels qui avaient été anonymisés, l’utilisation de l’anonymisation comme technique de renforcement de la protection des renseignements personnels fait l’objet d’un appui soutenu, même de la part des autorités de réglementation. L’anonymisation n’élimine pas complètement le risque de ré-identification, mais elle réduit considérablement ce risque lorsqu’elle est effectuée adéquatement. Par conséquent, si le cadre de réduction des risques s’appuie sur la suppression des éléments d’identification personnelle et sur la protection des utilisations subséquentes des renseignements anonymisés, les organismes publics fédéraux disposeront d’une plus grande latitude pour l’utilisation des données dans l’intérêt du public, alors que les risques liés aux renseignements personnels s’en trouveront réduits. 

    Pour inciter davantage les organismes publics fédéraux à utiliser et à communiquer des renseignements personnels anonymisés, plutôt que des renseignements permettant d’identifier les personnes, la Loi pourrait :

    • définir la notion de renseignements personnels « anonymisés » ;

    • préciser que le processus d’anonymisation des renseignements personnels ne constitue pas un « usage » distinct de ces renseignements ;

    • permettre aux organismes publics fédéraux d’utiliser et de communiquer des renseignements personnels anonymisés dans un plus grand nombre de circonstances : La Loi pourrait permettre aux organismes publics fédéraux d’utiliser ou de communiquer sans consentement des renseignements personnels anonymisés, à condition que ce soit dans l’intérêt public, que ces renseignements aient été anonymisés selon un processus prévu par règlement ou par une politique gouvernementale, et que le processus d’anonymisation de ces renseignements ait été assorti de mesures de protection techniques, administratives ou contractuelles appropriées, dépendamment du contexte;

    • créer une infraction expresse pour la ré-identification de renseignements personnels qui ont été anonymisés, ou pour les tentatives délibérées de le faire. 
    Réponses fermées
  • 8. Introduire des mécanismes de responsabilisation plus solides dans la Loi

    Il y a 5 mois
    Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel
    FERMÉ: Cette discussion est terminée.

    Vous devez être connecté pour pouvoir ajouter un commentaire.

    Des obligations précises pourraient être introduites dans la Loi pour aider les organismes publics fédéraux à démontrer qu’ils sont responsabilisés quant à leurs pratiques relatives aux renseignements personnels

    La Loi pourrait prévoir des obligations soutenant le principe selon lequel chaque organisme public fédéral est responsable des renseignements personnels qui relève de lui. La Loi pourrait également établir des outils pour aider les organismes publics fédéraux à démontrer aux Canadiens et aux Canadiennes, et le cas échéant au Commissariat à la protection de la vie privée, qu’ils ont mis en place des mesures efficaces pour se conformer à la Loi et protéger les renseignements personnels. En voici quelques exemples possibles :

    • L’obligation de veiller à ce que les renseignements personnels envoyés à l’extérieur du Canada soient protégés de manière appropriée : La Loi pourrait imposer aux organismes publics fédéraux l’obligation de veiller à ce que des clauses appropriées de protection des renseignements personnels soient incluses dans les contrats ou les accords susceptibles d’entraîner une circulation intergouvernementale ou transfrontalière de renseignements personnels, conformément à la politique gouvernementale actuelle. Pour s’acquitter de cette exigence selon une approche souple et axée sur les risques, il faudrait tenir compte des divers contextes dans lesquels les renseignements peuvent être communiqués à l’extérieur du Canada, ainsi que des divers cadres de protection des renseignements personnels à l’extérieur du Canada. La Loi pourrait exiger que la circulation de renseignements personnels à l’extérieur du Canada soit régie par un accord ou un arrangement écrit qui comprendrait des mesures de protection adaptées au contexte de la communication, notamment selon qu’il existe ou non un accord ou arrangement déjà applicable, selon la nature du régime de protection des renseignements personnels du ressort vers lequel les renseignements seront communiqués, et selon la sensibilité des renseignements personnels communiqués. Cette obligation pourrait être soutenue par des règlements ou des politiques.

    • L’obligation de concevoir des programmes et des activités en tenant compte de la protection des renseignements personnels : La Loi pourrait imposer un processus de protection proactive des renseignements personnels en intégrant des considérations sur la façon de protéger ces renseignements dès les premières étapes de l’élaboration et de la mise en œuvre d’une initiative, par exemple un nouveau programme ou service offert par un organisme public fédéral. C’est ce que l’on appelle la protection des renseignements personnels dès la conception. Les politiques gouvernementales exigent déjà que les organismes publics fédéraux évaluent et atténuent les risques en matière de protection des renseignements personnels lorsqu’ils élaborent ou modifient des activités ou des programmes gouvernementaux. Faire de cette obligation une exigence législative viendrait valider les pratiques actuelles du gouvernement et son engagement à traiter d’entrée de jeu les questions de protection des renseignements personnels.

    • L’obligation de procéder à une évaluation des facteurs relatifs à la vie privée : La Loi pourrait imposer aux organismes publics fédéraux l’obligation d’effectuer une analyse pour identifier et atténuer les risques d’atteinte à la vie privée. Ce type d’analyse est communément appelé une évaluation des facteurs relatifs à la vie privée (EFVP) et est présentement encadré par une politique. Cette obligation s’appliquerait aux nouveaux programmes, aux nouvelles activités et aux programmes ayant subi une modification substantielle qui nécessitent la collecte, l’utilisation ou la communication de renseignements personnels à des « fins administratives », pour des activités de profilage automatisé ou manuel qui s’appuient sur des renseignements personnels sensibles, ou selon ce qui serait prescrit par une politique gouvernementale. La Loi pourrait définir la notion de « modification substantielle » afin de préciser les cas où cette évaluation doit être effectuée, et les exigences de la Loi pourraient être soutenues par une politique mise à jour.

    • L’obligation de disposer d’un programme de gestion des renseignements personnels : La Loi pourrait également imposer aux organismes publics fédéraux une nouvelle obligation de créer et de maintenir un programme de gestion des renseignements personnels. Il s’agit essentiellement d’un plan organisationnel de protection des renseignements personnels qu’un organisme public gouvernemental peut utiliser pour identifier, organiser, examiner et améliorer ses pratiques en matière de renseignements personnels. Ce programme servirait de guide individualisé pour assurer la conformité à la Loi. La Loi pourrait énoncer les éléments de base d’un programme de gestion des renseignements personnels et prévoir l’obligation de les réviser et de les mettre à jour régulièrement. Ces exigences seraient complétées par des règlements ou des politiques gouvernementales connexes.

    • Des précisions pour déterminer l’organisme public fédéral responsable lorsque plusieurs organismes publics sont concernés : La Loi pourrait préciser lequel ou lesquels des organismes publics fédéraux seraient responsables des renseignements personnels lorsque organismes fédéraux ou plus ont accès aux mêmes ensembles de données, par exemple lorsque plusieurs organismes publics fédéraux ont accès à une base de données partagée.
    Réponses fermées