Nous avons pour objectif de favoriser la confiance dans le système de soins de santé numérique en veillant à ce que les dépositaires respectent les droits de la population ontarienne en matière de protection de la vie privée et d’accès à l’information, et l’utilisation novatrice des renseignements personnels sur la santé à des fins de recherche et d’analytique dans la mesure où elle sert le bien public.
Exemples de notre travail visant à atteindre cet objectif :
Aujourd’hui, l’application de notification d’exposition Alerte COVID a été lancée. Il s’agit d’un outil numérique important qui, de concert avec d’autres mesures de santé publique, contribuera à freiner la propagation de la COVID-19 en Ontario.
Je félicite le gouvernement pour les mesures de précaution rigoureuses qu’il a prises afin de protéger la vie privée et la sécurité des Ontariennes et des Ontariens qui décident de se servir de cette application. Je lui suis reconnaissante également de l’occasion qui nous a été donnée de discuter avec lui de cette importante initiative, ainsi que de sa collaboration et de l’empressement avec lequel il a mis en œuvre nos recommandations.
Comme cette application est une initiative nationale que l’on compte lancer dans l’ensemble du pays, notre examen de ses aspects touchant la protection de la vie privée a été effectué de concert avec le Commissariat à la protection de la vie privée du Canada. À l’issue de cet examen, nous avons fourni à nos gouvernements respectifs des recommandations exhaustives, qui s’appuient sur les principes de base en matière de protection de la vie privée énoncés dans une déclaration commune fédérale, provinciale et territoriale sur les applications de traçage de contacts.
Ayant effectué un examen approfondi de l’application et reçu l’assurance que nos recommandations seraient mises en œuvre, j’ai le plaisir, à l’instar de mon homologue fédéral, d’appuyer l’utilisation de l’application Alerte COVID.
Je suis consciente du fait que pour que cette application soit efficace en vue d’endiguer la COVID-19, le public doit savoir que ses renseignements personnels seront protégés, et que l’utilisation de cette technologie est facultative. À ma demande expresse, le gouvernement de l’Ontario a accepté de faire savoir clairement et publiquement aux entreprises et aux employeurs qu’ils doivent respecter le caractère facultatif de l’application Alerte COVID en n’obligeant pas les particuliers à s’en servir ou à divulguer des renseignements sur son utilisation.
Nous vivons une période exceptionnelle, au cours de laquelle la COVID-19 a eu de lourdes et tragiques conséquences pour de nombreux membres vulnérables de la collectivité. Bien que le lancement de l’application Alerte COVID constitue un jalon marquant dans notre lutte contre la propagation de la COVID-19, le travail du CIPVP n’est pas terminé. Nous continuerons de nous assurer que l’application est employée aux fins escomptées, que les mesures de précaution permettent comme prévu de protéger la vie privée, et que la collecte et l’utilisation de renseignements personnels recueillis au moyen de cette application demeurent un moyen nécessaire et efficace de freiner la propagation de la COVID-19 en Ontario.
Cette société canadienne de laboratoires d’analyse a enfreint les lois sur la vie privée
TORONTO – Le jeudi 25 juin 2020 – À l’issue d’une enquête conjointe, les commissaires à l’information et à la protection de la vie privée de l’Ontario et de la Colombie-Britannique ont conclu que LifeLabs avait négligé de protéger les renseignements personnels sur la santé de millions de Canadiennes et de Canadiens, et que cela avait causé une importante atteinte à la vie privée en 2019.
Cette enquête conjointe a révélé que la société avait omis de prendre des mesures de précaution suffisantes afin de protéger les renseignements personnels sur la santé de millions de Canadiennes et de Canadiens, et qu’ainsi, elle avait enfreint la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario et la loi sur la protection des renseignements personnels de la Colombie-Britannique, la PIPA.
Les commissaires de l’Ontario et de la Colombie-Britannique ont conclu que la société avait :
omis de prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé sauvegardés dans ses systèmes électroniques;
omis d’adopter des politiques adéquates de sécurité informatique;
recueilli plus de renseignements personnels sur la santé que raisonnablement nécessaire.
Les deux commissaires ont ordonné à LifeLabs de prendre certaines mesures (résumées dans le document d’information qui accompagne le présent communiqué) afin de combler ces lacunes.
La publication du rapport d’enquête a été retardée, LifeLabs ayant affirmé que les renseignements qu’elle a remis aux commissaires font l’objet d’un privilège ou sont confidentiels. Les commissaires rejettent cette affirmation. Le CIPVP et l’OIPC de la Colombie-Britannique ont l’intention de rendre leur rapport public à moins que Lifelabs n’intente une action en justice.
« Notre enquête a révélé que LifeLabs avait omis de prendre les précautions requises afin de protéger adéquatement les renseignements personnels sur la santé de millions de Canadiennes et de Canadiens, en contravention de la Loi sur la protection des renseignements personnels sur la santé de l’Ontario. Cette atteinte à la vie privée devrait rappeler aux organisations de toute taille qu’elles ont le devoir de faire preuve de vigilance pour se prémunir contre de telles attaques. Je suis impatient de divulguer tous les détails de notre enquête au public, et particulièrement aux personnes touchées par l’atteinte à la vie privée. »
— Brian Beamish, commissaire à l’information et à la protection de la vie privée de l’Ontario
« LifeLabs a négligé de protéger suffisamment les renseignements personnels sur la santé des citoyens de la Colombie-Britannique et du reste du Canada, ce qui est inacceptable. Cette société a exposé nos citoyens et des millions d’autres Canadiennes et Canadiens au vol d’identité, à des pertes financières et à des atteintes à leur réputation. Les ordonnances que nous avons rendues ont pour but de nous assurer que cela ne se reproduira pas.
Cette enquête souligne également la nécessité de modifier les lois de la Colombie-Britannique afin de permettre aux organismes de réglementation d’imposer des pénalités financières aux sociétés qui violent le droit à la vie privée des particuliers. Cette affaire est précisément du genre de celles où mon bureau aurait envisagé d’infliger de telles pénalités. »
— Michael McEvoy, commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique
Le 25 mars 2020, le gouvernement de l’Ontario a modifié la Loi sur la protection des renseignements personnels sur la santé de l’Ontario. Lorsque ces modifications seront en vigueur, l’Ontario sera la première province du Canada à conférer à son commissaire à l’information et à la protection de la vie privée le pouvoir d’imposer des pénalités financières aux particuliers et aux sociétés qui contreviennent à la LPRPS.
Déclaration commune des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée[1]
7 mai 2020
En cette période de crise sanitaire liée à la COVID-19, la santé et la sécurité des Canadiens sont une préoccupation majeure. L’urgence de limiter la propagation du virus représente un défi de taille pour les gouvernements et les autorités de santé publique, qui cherchent des moyens d’utiliser des renseignements personnels pour obtenir un meilleur portrait de ce nouveau virus et de la menace mondiale qu’il représente, de même que pour les circonscrire.
Dans ce contexte, ils pourraient envisager davantage de mesures exceptionnelles, dont certaines porteront grandement atteinte à la vie privée et aux autres droits de la personne. Les choix effectués par nos gouvernements aujourd’hui quant à la manière d’atteindre les objectifs de santé publique tout en préservant nos valeurs canadiennes fondamentales, dont fait partie le droit au respect de la vie privée, façonneront l’avenir de notre pays.
Une des mesures présentement à l’étude ou déjà mises en œuvre à certains endroits au Canada et ailleurs dans le monde est le lancement d’applications mobiles comme outils de santé publique. Beaucoup de ces applications ont comme finalité soit le traçage des contacts, soit le fait d’informer les personnes qu’elles ont été en contact rapproché avec une personne testée positive à la COVID-19 ou jugée susceptible d’en être porteuse, afin d’éviter le plus possible la propagation du virus.
Les commissaires estiment qu’il est important d’émettre une déclaration commune aux Canadiens parce que ces applications soulèvent d’importants risques en matière de vie privée et de protection des renseignements personnels. Bien que les lois applicables sur la protection des renseignements personnels doivent être respectées, certaines d’entre elles ne prévoient pas un degré de protection adapté à l’environnement numérique, comme l’a mis en évidence une résolution commune diffusée l’automne dernier. C’est la raison pour laquelle nous invitons nos gouvernements respectifs, dans la mesure où ils prévoient utiliser des applications de traçage des contacts, à respecter à tout le moins les principes suivants :
Consentement et confiance : L’utilisation des applications doit être volontaire. Cela sera indispensable pour bâtir la confiance du public. Cette confiance exigera également des gouvernements la démonstration d’un degré élevé de transparence et de responsabilité.
Conformité à la loi : Les mesures proposées doivent avoir une assise juridique claire et le consentement doit être valable. Un consentement distinct doit être obtenu pour chacune des finalités de santé publique qui sont visées. Les renseignements personnels ne devraient pas être accessibles par les fournisseurs de service ou toute autre organisation et les utilisateurs ne doivent pas être contraints de les fournir à quiconque.
Nécessité et proportionnalité : Les mesures doivent respecter les principes de nécessité et de proportionnalité, c’est-à-dire être fondées sur la science, nécessaires pour une fin particulière, adaptées à cette fin et susceptibles d’être efficaces. Pour déterminer si la mesure envisagée est justifiée dans les circonstances, les gouvernements devraient prendre en compte les critères suivants :
Nécessité : La fin ou les fins visées en matière de santé publique qui sous-tendent une mesure doivent reposer sur des données probantes et être définies avec un certain degré de précision. L’objectif est-il de notifier les utilisateurs et de les aviser de prendre certaines mesures? S’agit-il d’aider les autorités de santé publique à mieux comprendre la situation locale pour les besoins de l’affectation des ressources? L’objectif est-il autre?
Proportionnalité : La mesure devrait être conçue de manière à avoir un lien rationnel avec la ou les fins particulières à réaliser.
Efficacité : La mesure doit être susceptible d’être efficace pour atteindre le ou les objectifs déterminés.;
Atteinte à la vie privée minimale : Bien que l’option la moins intrusive pour la vie privée devrait être retenue et que seuls les renseignements nécessaires doivent être recueillis, lorsque cela est impossible ou que l’on ne peut faire la démonstration de l’ampleur de l’atteinte, les gouvernements devraient justifier clairement la quantité de renseignements personnels qu’ils souhaitent recueillir.
Finalité : Les renseignements personnels doivent être utilisés uniquement pour les fins initialement prévues visant la protection de la santé publique et pour aucune autre fin.
Dépersonnalisation : Les gouvernements devraient utiliser des données dépersonnalisées ou agrégées dans la mesure du possible, à moins que ce type de données ne permette pas d’atteindre l’objectif déterminé. Ils devraient prendre en compte le risque de réidentification, qui peut être plus élevé dans le cas des données de géolocalisation.
Durée limitée des mesures : Les mesures exceptionnelles devraient être limitées dans le temps. Tout renseignement personnel recueilli pendant la période en cours devrait être détruit à la fin de la crise et l’application devrait être mise hors service.
Transparence : Les gouvernements devraient indiquer clairement le fondement et les modalités se rapportant aux mesures exceptionnelles. Les Canadiens devraient être pleinement informés des renseignements qui seront recueillis, des utilisations prévues, des personnes ou organisations qui y auront accès, de l’emplacement où ils seront stockés, des mesures prévues pour les protéger pendant la période de conservation ainsi que du moment où ils seront détruits. Les gouvernements devraient réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) ou des analyses rigoureuses de protection de la vie privée, les soumettre à l’examen des commissaires à la protection de la vie privée et en publier de façon proactive un résumé en langage clair.
Responsabilité : Les gouvernements devraient élaborer et rendre public un plan continu de suivi et d’évaluation de l’efficacité de ces initiatives et s’engager à publier le rapport d’évaluation dans un délai déterminé. Une surveillance exercée par un tiers indépendant – par exemple l’analyse de la mesure et l’examen de sa mise en œuvre par une autorité de contrôle en matière de protection de la vie privée – aidera à assurer la responsabilité et renforcera la confiance du public. La loi confère à certains commissaires à la protection de la vie privée le pouvoir de procéder à des vérifications indépendantes, mais il est souhaitable que les gouvernements confient ce mandat à l’ensemble des commissaires en prenant les moyens appropriés. Si l’efficacité de l’application ne peut être démontrée, alors celle-ci devrait être mise hors service et tout renseignement personnel recueilli devrait être détruit.
Garanties : Des mesures de protection juridiques et techniques appropriées, y compris des dispositions contractuelles robustes conclues avec les développeurs d’applications, doivent être mises en place pour empêcher tout accès non autorisé aux renseignements personnels et toute utilisation de ces derniers à une fin autre que les finalités initiales liées à la santé publique. Les autorités doivent s’assurer que le public est conscient des risques et des menaces inhérents à cette technologie (p. ex. fraude en ligne ou maliciel).
[1] Le Commissariat à l’information et à la vie privée de l’Alberta examine présentement une évaluation des facteurs relatifs à la vie privée au sujet de l’application ABTraceTogether, lancée récemment en Alberta, et fournira ses recommandations directement au gouvernement de l’Alberta.
Cette année, à cause de la saison grippale particulièrement difficile, les statistiques sur les éclosions de grippe suscitent beaucoup d’intérêt.
Les citoyens veulent connaître le risque que pose cette maladie dans leur collectivité, et ce risque se mesure souvent en fonction du nombre de décès locaux associés à la grippe.
Dernièrement, des personnes ont fait part à notre bureau du fait qu’il leur était difficile d’obtenir de telles statistiques non identificatoires de la part des responsables locaux de la santé publique. La protection de la vie privée est le motif invoqué le plus souvent pour refuser de divulguer ces renseignements.
Or, les lois sur la protection de la vie privée n’interdisent pas la publication de statistiques non identificatoires. Ces statistiques peuvent donner des indications précieuses sur les tendances quant aux maladies, et il s’agit là de renseignements que le public a le droit de connaître. Les responsables de la santé publique qui disposent de ces renseignements devraient les divulguer.
Notre bureau encourage toutes les institutions publiques à faire preuve de transparence et à publier les renseignements d’intérêt public. Celles qui adoptent une approche proactive visant à rehausser le droit à l’information du public favorisent la reddition de comptes et la confiance dans leur organisme.
L’accès à l’information et la protection de la vie privée ne s’excluent pas mutuellement; il est possible de faire preuve d’ouverture et de transparence tout en protégeant la vie privée. Si vous ne l’avez pas déjà fait, je vous invite à consulter les nombreux documents d’orientation pratiques que notre bureau a élaborés pour aider les institutions à atteindre ces objectifs.
Brian Beamish
Commissaire à l’information et à la protection de la vie privée de l’Ontario
