Un comité parlementaire recommande au gouvernement fédéral de moderniser la Loi sur la protection des renseignements personnels à la suite de son étude sur l’utilisation par certains ministères fédéraux d’outils capables d’extraire des données personnelles des téléphones mobiles, des ordinateurs et des tablettes.
Le Comité de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a lancé cette étude à la suite d’un reportage de Radio-Canada en novembre dernier révélant que des outils d’extraction de données personnelles étaient utilisés par au moins une douzaine de ministères et organismes fédéraux.
La plupart de ces institutions n’ont pas respecté une directive fédérale du Conseil du Trésor du Canada les obligeant à entreprendre une évaluation des facteurs relatifs à la vie privée avant de mettre en œuvre la technologie.
Les outils en question peuvent déverrouiller des appareils et récupérer des données trouvées sur des téléphones mobiles et des ordinateurs, y compris des informations cryptées ou protégées par des mots de passe. Les ministères affirment les utiliser dans le cadre d’enquêtes internes ou pour faire appliquer les lois.
Entre février et mars, le comité a entendu 32 témoins, dont des représentants de 12 des ministères et organismes qui utilisent de tels instruments et la présidente du Conseil du Trésor, Anita Anand.
Parmi les 14 recommandations dans leur rapport publié jeudile comité affirme que le gouvernement fédéral devrait mettre à jour sa directive sur les évaluations des facteurs relatifs à la vie privée et apporter des modifications à la Loi sur la protection des renseignements personnels, désormais désuète.
«Je pense qu’une refonte aurait dû être effectuée depuis longtemps», a déclaré le député du Bloc Québécois René Villemure, vice-président du comité.
« La plupart des dispositions de la loi ont été rédigées avant les médias sociaux, avant Internet, avant l’intelligence artificielle, donc je pense que nous devons reconnaître qu’elles ont fait une différence. »
La directive a besoin d’un renforcement juridique, déclare la commission
Le Conseil du Trésor directive en vigueur depuis 2002 a exigé que toutes les institutions fédérales effectuent une évaluation des facteurs relatifs à la vie privée avant tout nouveau programme ou activité impliquant la collecte ou le traitement de renseignements personnels.
Après avoir entendu des représentants du ministère qui se sont dits incertains si ces évaluations devraient également être effectuées lors de la mise en œuvre de nouveaux outils technologiques, le comité a toutefois constaté que la directive manquait de clarté.
Le comité a constaté que certains ministères fédéraux avaient mené des évaluations plus larges des facteurs relatifs à la vie privée, mais qu’aucun n’avait mené d’évaluation pour les outils d’investigation numérique qu’ils avaient commencé à utiliser.
« L’obligation de soumettre une évaluation des facteurs relatifs à la vie privée serait utile et nous aimerions voir cela lorsqu’il y a eu des modifications ou des changements substantiels au programme ou à l’activité, ce qui, je pense, par extension, serait probablement dû en partie à l’utilisation de nouveaux outils. et appareils », a déclaré Brenda Shanahan, membre du comité et députée libérale.
Lorsqu’Anand a comparu devant le comité en mars, elle a déclaré qu’une directive plus stricte visant à mesurer l’impact des logiciels potentiellement intrusifs serait prête cet été.
La veille de la publication du rapport du comité, le Conseil du Trésor a publié un nouveau directive sur les pratiques en matière de confidentialité. Il exige que des évaluations des facteurs relatifs à la vie privée soient réalisées pour « tout programme ou activité qui utilise des renseignements personnels à des fins administratives ».
Villemure a déclaré que le gouvernement devrait aller plus loin en rendant cette exigence juridiquement contraignante.
« Une directive n’est pas une révision de la loi », a-t-il déclaré. « Nous devons en faire une loi qui aura alors le pouvoir nécessaire pour faire les choses. »
Rapport d’examen du gouvernement fédéral
La recommandation du rapport selon laquelle le gouvernement fédéral doit modifier la Loi sur la protection des renseignements personnels fait écho aux suggestions faites par le commissaire à la protection de la vie privée du Canada, Phillipe Dufresne, au comité.
Dufresne a déclaré que certains outils d’extraction de données personnelles peuvent être utiles, mais que la protection de la vie privée doit être une priorité.
« Nous devons avoir ce réflexe de protection de la vie privée dès la conception – la protection de la vie privée dès le début », a-t-il déclaré au comité en février.
Le comité a demandé au gouvernement fédéral de répondre à son rapport. Selon les règles de la Chambre des communes, il disposera de 120 jours pour le faire.
CBC News a contacté Anand, le président du Conseil du Trésor, pour obtenir ses commentaires. Le bureau d’Anand s’en est remis au ministre de la Justice Arif Virani, qui serait responsable de l’adoption des modifications à la Loi sur la protection de la vie privée.
Dans un communiqué, Chantalle Aubertin, porte-parole de Virani, a déclaré qu’elle examinait les recommandations du comité.
« Notre gouvernement répondra au rapport du Comité en temps utile », a-t-elle ajouté.
