Note pour la période des questions : RECOMMANDATIONS POUR RÉFORMER LA LPRPDE

Au vu des recommandations formulées récemment par le Comité ETHI et le commissaire à la protection de la vie privée, le gouvernement du Canada ira-t-il de l’avant pour renforcer le régime de protection de la vie privée du Canada?

• Le gouvernement fédéral est déterminé à veiller à ce que les lois en matière de vie privée protègent les renseignements personnels des Canadiens tout en favorisant l’innovation.
• Nous remercions le Commissariat à la protection de la vie privée de son rapport annuel et examinerons attentivement ses recommandations;
• Afin d’offrir aux Canadiens la meilleure protection possible et de relever les défis du monde numérique, nous convenons qu’il faut apporter des modifications législatives au régime de protection de la vie privée du Canada.
• À mesure que nous formulerons ces modifications, nous continuerons de consulter les intervenants et d’utiliser les commentaires dont les Canadiens nous ont fait part dans le cadre des Consultations nationales sur le numérique et les données.

MESSAGES SUPPLÉMENTAIRES
Si l’on insiste sur l’examen par le CPVP du projet pilote de données sur les transactions financières de Statistique Canada:
• Le gouvernement fédéral prend la protection des renseignements personnels et la confidentialité des données des Canadiens très au sérieux, et le statisticien en chef s’est engagé à mettre en œuvre les recommandations contenues dans le rapport annuel du Commissariat;
• Statistique Canada est également profondément déterminé à respecter des mesures strictes de protection de la vie privée et de confidentialité conformément aux attentes des Canadiens;
• Le projet pilote demeure en suspens jusqu’à ce que les préoccupations des Canadiens en matière de protection de la vie privée soient prises en compte.

Si on insiste sur les conclusions des commissaires à la protection de la vie privée concernant les pratiques d’AggregateIQ en matière de protection de la vie privée et l’application des lois sur la protection de la vie privée aux partis politiques :
• Nous remercions le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à la protection de la vie privée du Canada pour leur travail d’enquête sur les pratiques d’AggregateIQ en matière de protection de la vie privée dans l’utilisation et la divulgation des renseignements personnels des électeurs; et
• L’intégrité continue de nos processus électoraux est de la plus haute importance. Le ministre de l’Innovation, des Sciences et de l’Industrie examine de près les cadres de protection des renseignements personnels du Canada et est prêt à collaborer avec ses collègues fédéraux sur ces questions importantes.

Si l’on insiste sur les conclusions du Commissaire à la protection de la vie privée sur les pratiques de protections des données personnelles de Facebook :
• Facebook doit concrétiser son engagement à protéger les données personnelles des Canadiens en prenant des mesures cohérentes et évaluables. Les Canadiens attendent et méritent plus de transparence et un contrôle accru de l’utilisation de leurs renseignements personnels.
• Notre gouvernement continue le dialogue avec les plates-formes et nous sommes clairs par rapport à nos attentes. Nous attendons plus d’actions et des mesures spécifiques pour accroître la transparence, l’authenticité, l’intégrité et lutter contre la propagation de la désinformation.

Si l’on insiste sur la recommandation concernant les pouvoirs d’application de la loi du commissaire à la protection de la vie privée du Canada :
• Le gouvernement du Canada s’est engagé à examiner des moyens de renforcer le régime d’application de la LPRPDE.
• Toute proposition de renforcement des pouvoirs d’application de la loi doit être évaluée dans l’optique des répercussions sur les organisations sous réglementation et sur leur capacité de collaborer avec le Commissariat à la protection de la vie privée, en particulier les petites entreprises.

Rapport annuel du Commissariat à la protection de la vie privée

Le 10 décembre 2019, le Commissariat à la protection de la vie privée (CPVP) a publié son rapport annuel pour 2018-2019, y compris des recommandations détaillées pour la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi sur la protection des renseignements personnels, en plus des résultats de plusieurs enquêtes de haut niveau en vertu de ces statuts.

Dans le rapport, le commissaire Therrien note que les réformes du cadre fédéral de protection de la vie privée devraient commencer par fonder les lois fédérales sur la protection des renseignements personnels sur les droits des individus. Le rapport détaille ensuite les réformes proposées de la LPRPDE, y compris une nouvelle clause de préambule et d'objet. Le rapport souligne que les enquêtes du CPVP sur Facebook et Equifax démontrent les limites actuelles du Statut, en particulier en ce qui concerne les pouvoirs d’application et le principe de responsabilité.

Le rapport fait le point sur les principales tendances opérationnelles de l'OPC. Le CPVP a pu résoudre 63% des cas qu'il a clos cette année grâce à un règlement rapide (plutôt qu'à des enquêtes complètes). Le CPVP note que les cas qu'il n'a pas pu résoudre ont généralement impliqué des technologies émergentes, de nouveaux modèles commerciaux et des implications entre les juridictions. Le carnet de commandes du CPVP a augmenté de 16% cette année; cependant, le rapport note que le financement temporaire prévu dans le budget de 2019 devrait contribuer à réduire le nombre d'enquêtes ouvertes. Enfin, le CPVP note qu'il a connu une augmentation de 500% du nombre de rapports de violation de données entrants depuis novembre 2018, date à laquelle le signalement obligatoire des violations de données est entré en vigueur en vertu de la LPRPDE. Le CPVP estime qu'une partie de la raison de cette augmentation spectaculaire est la prudence excessive et la surdéclaration de nombreuses entreprises; par exemple, le Commissariat a constaté que 33% des rapports qu'il avait reçus en mars 2019 ne satisfaisaient pas réellement au seuil de déclaration de «risque réel de préjudice important» exigé par la Loi.

Enquêtes du CPVP de Facebook suite à l’atteinte de protection des données personnelles de Cambridge Analytica / AggregateIQ et Equifax

Le rapport annuel du CPVP met en évidence ses enquêtes sur Facebook, résultant du scandale Cambridge Analytica, comme démontrant les lacunes du régime d'application actuel. Le CPVP a rendu public les résultats de son enquête conjointe avec le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique en avril 2019. Les commissaires ont conclu que Facebook avait violé les exigences fédérales et provinciales concernant le consentement, la protection et la responsabilité en divulguant des renseignements personnels. vers une application tierce. Le CPVP a indiqué que Facebook a refusé de mettre en œuvre les recommandations d'une manière acceptable et, par conséquent, prévoit de demander une ordonnance de la Cour fédérale pour obliger l'entreprise à modifier ses pratiques en matière de confidentialité.

Les commissaires fédéral et provincial ont également publié les résultats de leur enquête conjointe sur AggregateIQ (AIQ), une société de publicité et de données de la Colombie-Britannique et ancien fournisseur de services de Cambridge Analytica, en novembre 2019. Les commissaires ont constaté que AIQ n'avait pas obtenu le consentement approprié d'une personne. les électeurs dans les services de consultation qu'il a fournis aux campagnes politiques au Canada, aux États-Unis et au Royaume-Uni; l'entreprise n'a pas pris de mesures raisonnables pour s'assurer que le consentement obtenu par ses clients internationaux était valide pour ses pratiques au Canada. De plus, l'entreprise n'a pas pris de mesures de sécurité raisonnables pour protéger les renseignements personnels, ce qui a entraîné une atteinte à la vie privée en 2018. Les commissaires étaient satisfaits de l'engagement de l'AIQ à prendre un certain nombre de mesures pour améliorer sa sécurité et assureront le suivi auprès de l'AIQ dans les prochains mois. mois pour confirmer qu'ils ont mis en œuvre les recommandations de l'enquête.

Dans son rapport d'avril 2019 sur une enquête de 2017 sur une violation de données à Equifax Canada, le CPVP a conclu que le transfert des renseignements personnels des Canadiens à sa société mère aux États-Unis était contraire à la loi. En conséquence, le CPVP a lancé une consultation officielle sur les révisions proposées à sa position politique sur les flux de données transfrontaliers, qui auraient exigé des organisations qu'elles obtiennent leur consentement avant de divulguer des informations personnelles à une organisation à travers une frontière, y compris aux fins de traitement des informations. Cela a soulevé des préoccupations importantes parmi les parties prenantes des entreprises de tous les secteurs concernant les impacts économiques de la position et, en septembre 2019, l'OPC a annoncé qu'il maintiendrait sa position antérieure de longue date sur les flux de données transfrontaliers. L'annonce a été bien accueillie par les parties prenantes. Malgré cela, dans son rapport annuel, le CPVP estime que le cas d'Equifax met en évidence l'insuffisance du régime de responsabilisation.

Enquête du CPVP sur Statistique Canada

Le rapport détaille les conclusions du CPVP sur ses enquêtes dans deux projets pilotes de données administratives de Statistique Canada: le projet pilote sur les transactions financières, pour lequel aucune donnée n'a été recueillie; et le Credit Information Project, pour lequel des données ont été recueillies afin de fournir aux Canadiens et aux décideurs des statistiques sur les niveaux d'endettement. L'enquête a été lancée en novembre 2018 à la suite des préoccupations exprimées par les Canadiens concernant la confidentialité de leurs données financières. Le statisticien en chef a suspendu les projets en attendant la fin de l'enquête et jusqu'à ce que les problèmes de confidentialité soient résolus.

Statistique Canada continuera de travailler avec le Commissariat à la protection de la vie privée après la publication du rapport pour définir une nouvelle approche de collecte de renseignements personnels. Statistique Canada consulte également le Conseil consultatif canadien de la statistique et des experts internationaux de la protection des renseignements personnels et des statistiques pour élaborer et intégrer les concepts de nécessité et de proportionnalité dans la conception de ses activités statistiques.

aucun