Politique relative à la protection des renseignements personnels et de la vie privée

Politique relative à la protection des renseignements personnels et de la vie privée :
Enquête sur le profilate et la discrimination raciale par le service de Police de Toronto 

Le 6 novembre 2017

Introduction

1.    La Commission ontarienne des droits de la personne (CODP) mesure qu’il est important de protéger les renseignements personnels.

2.    Soucieuse de préserver la dignité humaine ainsi que la confiance et la considération que lui porte le public, l’institution qu’est la CODP s’emploie avec ardeur à satisfaire aux exigences législatives en matière d’utilisation des renseignements personnels.

3.    La CODP, institution publique provinciale, se doit de respecter la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP)[1].

4.    La responsable de la CODP, la commissaire en chef, a pour mission de prendre, dans les limites raisonnables, les mesures et les dispositions requises aux fins suivantes :

  • Garantir la préservation des documents dont la CODP a la garde ou le contrôle.
  • Assurer la protection des documents originaux.
  • Prévenir la destruction ou l’altération involontaire des documents, « en tenant compte du caractère des documents à protéger »[2].

5.    Le personnel de la CODP est tenu de faire preuve de diligence raisonnable pour veiller à préserver les renseignements personnels.

Enquête sur le profilate et la discrimination raciale par le service de Police de Toronto 

6.    Invoquant les pouvoirs d’enquête que lui confère l’article 31 du Code des droits de la personne de l’Ontario (le Code), la CODP a lancé une enquête (l’enquête sur le SPT) visant à faire la lumière sur les éventuelles pratiques de profilage racial et de discrimination raciale à l’encontre des personnes noires.

7.    Dans le cadre de l’enquête sur le SPT, la CODP a demandé au service de police de Toronto (SPT), à la Commission de services policiers de Toronto (CSPT) et à l’Unité des enquêtes spéciales (UES) de produire toute une série de documents et de données. Ceux-ci peuvent inclure des renseignements de nature « personnelle », au sens de la LAIPVP. Dans la mesure où ces renseignements ont été obtenus dans le cadre d’interactions avec la police, ils sont susceptibles de présenter un caractère confidentiel.

Protection de la vie privée

8.    Plus les renseignements personnels recueillis sont confidentiels, plus il convient d’adopter des mesures drastiques en matière de sécurité, et ce, afin d’atténuer tout risque de violation de la vie privée[3].

9.    Cette politique a pour objet :

  1. de recenser et de définir les mesures de protection de la vie privée que la CODP a instaurées et/ou compte instaurer dans le cadre de l’enquête sur le SPT;
  2. de préciser les rôles et responsabilités incombant aux membres du personnel de la CODP affectés à l’enquête sur le SPT;
  3. d’établir que les incidences en matière de protection de la vie privée susceptibles d’apparaître au cours de l’enquête sur le SPT ont été prises en compte.

I. Protection d’ordre administratif

a. Limitation des données

10. Pour protéger la confidentialité des renseignements personnels, il convient en premier lieu de limiter, dans la mesure du possible, le champ des renseignements personnels qui seront mis à disposition de la CODP.

11. Afin de garantir que les documents demandés par la CODP répondent à cette exigence, la CODP collaborera avec le SPT, la CSPT et l’UES pour veiller à limiter les renseignements personnels et identificatoires fournis.

12. Dans l’éventualité où des renseignements personnels seraient transmis à la CODP, celle-ci adoptera, dans les meilleurs délais, des mesures visant à restreindre le champ des renseignements personnels et identificatoires recueillis. Pour ce faire, il sera possible de recourir à des modèles de référence, dans lesquels ne figurent ni le nom de la personne concernée ni d’autres renseignements personnels de nature à identifier cette personne, mais aussi d’anonymiser les données fournies.

13. La CODP n’entend pas divulguer les renseignements personnels obtenus auprès du SPT, de la CSPT ou de l’UES dans le cadre de l’enquête sur le SPT. Le rapport que la CODP rédigera à l’issue de l’enquête sur le SPT ne mentionnera aucun renseignement personnel de nature à identifier une personne en particulier.

14. La CODP supprimera tous les renseignements personnels dans les meilleurs délais possible, dès que ceux-ci s’avéreront inutiles aux fins de l’enquête.

b. Consentement

15. Préalablement à la consultation des renseignements personnels transmis par le SPT, la CSPT et l’UES, la CODP publiera un avis de collecte de renseignements personnels sur son site Web. Les personnes estimant que leurs renseignements personnels pourraient être compromis auront la possibilité de communiquer avec la CODP. Elles peuvent également communiquer avec le commissaire à l’information et à la protection de la vie privée.

16. La CODP pourra en outre recueillir des renseignements personnels par le biais d’entrevues avec des volontaires. Un consentement sera demandé aux participants préalablement à l’entretien. Les renseignements qui figureront dans le rapport d’enquête seront, dans la mesure du possible, compilés par agrégation et/ou anonymisés. Il est toutefois possible qu’une personne puisse être identifiée dans le rapport. Dans ce cas, son consentement éclairé lui aura été demandé préalablement à la divulgation de tout renseignement personnel.

c. Personnel habilité

17. L’accès à tous les renseignements personnels recueillis par le biais de l’enquête sur le SPT est strictement restreint aux personnes suivantes (l’équipe d’enquête) :

  • Commissaire en chef : Renu Mandhane
  • Directrice générale et avocate en chef : Dianne Carter
  • Chef : Michael Harris
  • Chef d’équipe - TI : Jordan Wynes
  • Avocats : Sunil Gurmukh, Reema Khawja et Sandra Nishikawa
  • Analystes en matière d’enquêtes : Natasha Ali et Kylie Thomas
  • Adjointe administrative : Natasha Heald
  • Expert retenu : professeur Scot Wortley
  • Étudiant : Erick Laming

18. La responsable de la protection de la vie privée conservera une liste des membres de l’équipe d’enquête. Aucun membre du personnel de la CODP ne sera autorisé à consulter les renseignements personnels, à l’exception des membres de l’équipe d’enquête. La composition de celle-ci pourra être modifiée, s’il y a lieu.

d. Responsabilités de l’équipe d’enquête sur le SPT

19. Les membres de l’équipe d’enquête sont tenus de se conformer à toutes les exigences en matière de protection de la vie privée énoncées dans la présente politique.

20. Les membres de l’équipe d’enquête doivent faire preuve de discernement raisonnable lors du traitement des renseignements personnels, selon le caractère confidentiel des données, la nature des renseignements et l’utilisation qui en est faite.

21. Conformément à leur obligation de diligence raisonnable en matière de protection de la vie privée, les membres de l’équipe d’enquête signaleront tout problème en matière de protection de la vie privée qui surviendrait dans le cadre de leur mission aux fins de l’enquête sur le SPT, et prendront les mesures nécessaires pour y remédier.

22. Les membres de l’équipe d’enquête doivent signaler toute atteinte à la vie privée, qu’elle soit avérée ou potentielle, à la responsable de la protection de la vie privée et au chef, et ce, dès la survenue de cette atteinte, avérée ou potentielle.

e. Responsabilités des membres du personnel de la CODP extérieurs à l’enquête sur le SPT

23. Les membres du personnel de la CODP qui ne font pas partie de l’équipe d’enquête doivent, dans la mesure du possible, s’abstenir de prendre connaissance de renseignements personnels liés à l’enquête sur le SPT et doivent préserver la confidentialité de tout renseignement personnel lié à l’enquête sur le SPT dont ils auraient été instruits.

24. Les membres du personnel de la CODP s’entretiendront avec la responsable de la protection de la vie privée en cas de question ou de préoccupation relatives à la protection de la vie privée.

25. Les membres du personnel de la CODP doivent signaler toute atteinte à la vie privée, qu’elle soit avérée ou potentielle, à la responsable de la protection de la vie privée et au chef, et ce, dès la survenue de cette atteinte, avérée ou potentielle.

f. Responsabilités de la responsable de la protection de la vie privée dans le cadre de l’enquête sur le SPT

26. À l’heure actuelle, la responsable de la protection de la vie privée dans le cadre de l’enquête sur le SPT (responsable de la protection de la vie privée) est :

Sunil Gurmukh, avocat,
Services juridiques et enquêtes
Commission ontarienne des droits de la personne
180, rue Dundas Ouest, 9e étage
Toronto (Ontario)  M7A 2G5
Téléphone : 416 314-4519
Courriel : Sunil.Gurmukh@ohrc.on.ca

27. La responsable de la protection de la vie privée est l’interlocutrice privilégiée des citoyens et des membres du personnel interne ou externe pour toute question ou préoccupation relative à l’enquête sur le SPT.

28. La responsable de la protection de la vie privée transmettra à l’équipe d’enquête des instructions au sujet des exigences en matière de protection de la vie privée énoncées dans la LAIPVP et leur résumera la présente politique.

29. La responsable de la protection de la vie privée s’assure, au moyen de contrôles et de comptes rendus réguliers, que la présente politique est respectée, et ce, afin de garantir que les mesures de protection de la vie privée sont mises à exécution et que l’obligation de diligence raisonnable en matière de protection de la vie privée est respectée d’un bout à l’autre de l’enquête sur le SPT.

g. Déclaration

30. Avant d’être autorisés à consulter les renseignements personnels obtenus dans le cadre de l’enquête sur le SPT, tous les membres de l’équipe d’enquête, qu’ils soient ou non rattachés à la CODP, doivent signer, de leur plein gré, la déclaration figurant à l’annexe A jointe au présent document et qui leur fait obligation de :

  • lire la présente politique et de prendre connaissance des exigences en matière de protection de la vie privée qui y sont décrites;
  • conserver en permanence tout renseignement personnel dans un endroit sûr;
  • veiller à ce qu’aucun renseignement personnel ne soit utilisé ou divulgué, à moins que cela s’avère nécessaire à l’exécution en bonne et due forme de la mission de la CODP;
  • veiller à ce que les modalités d’utilisation et de divulgation des renseignements personnels ne permettent pas d’identifier la personne à laquelle ils se rapportent, à moins que celle-ci n’y ait préalablement consenti de manière éclairée.
h. L’expert retenu

31. Le professeur Scot Wortley (l’expert retenu) et Erik Laming, étudiant diplômé (l’étudiant), ont été recrutés pour aider à analyser les données recueillies dans le cadre de l’enquête sur le SPT. Tous deux ont signé un accord de confidentialité.

32. L’expert retenu et l’étudiant auront accès à des renseignements personnels, qu’ils ne doivent en aucun cas divulguer à une personne extérieure à l’équipe d’enquête.

33. L’expert retenu et l’étudiant ne doivent divulguer aucun renseignement et aucune donnée à caractère non personnel obtenus dans le cadre de l’enquête sur le SPT. En outre, ils ne doivent pas permettre l’accès à ces renseignements et données, hors du cadre défini de l’activité de recherche.

34. L’expert retenu et l’étudiant instaureront des mesures de protection et des protocoles conformes à la présente politique, et s’adresseront à l’équipe d’enquête s’ils estiment qu’il est nécessaire de mettre en place des mesures de protection supplémentaires.

II. Protection d’ordre matériel

a. Carte d’accès

35. Une carte d’accès est nécessaire pour accéder aux locaux de la CODP.

36. Le personnel ne doit pas permettre aux personnes non autorisées ou non sollicitées d’entrer au sein des bureaux de la CODP.

37. Le personnel signalera au service de sécurité toute activité suspecte constatée dans les locaux de la CODP.

b. Bureaux

38. Les membres de l’équipe d’enquête tâcheront, aussi souvent que possible, d’éteindre l’écran de leur ordinateur, de mettre leur ordinateur en veille ou de dissimuler leur fenêtre de travail afin d’éviter que d’autres personnes ne puissent consulter les renseignements personnels affichés à l’écran.

39. Les exemplaires imprimés des documents ou les dossiers contenant des renseignements personnels doivent être entreposés dans un seul bureau ou une seule pièce qui peuvent être fermés à clé lorsqu’ils ne sont pas utilisés. Les membres de l’équipe d’enquête s’efforceront, dans la mesure du possible, d’adopter la « politique de la table nette », à savoir de placer les documents contenant des renseignements personnels à l’abri des regards, de préférence dans un tiroir, ou une armoire, fermé à clé.

40. Les membres de l’équipe d’enquête doivent, lors des discussions portant sur l’enquête sur le SPT, fermer la porte de la salle de réunion afin de garantir que les échanges portant sur les renseignements personnels demeurent inaudibles pour toute personne extérieure.

41. Les membres de l’équipe d’enquête prendront toutes les mesures raisonnables nécessaires pour empêcher l’accès aux renseignements personnels aux personnes tierces susceptibles de se trouver dans les locaux de la CODP (invités, personnel chargé de l’entretien ou personnel chargé du nettoyage).

c. Exemplaires imprimés

42. Les exemplaires imprimés des documents obtenus dans le cadre de l’enquête sur le SPT, y compris les documents contenant des renseignements personnels, doivent être entreposés dans un endroit sûr, de préférence en hauteur afin d’éviter tout dégât matériel en cas de fuite d’eau et dans un espace ignifugé.

43. Les exemplaires imprimés des documents obtenus dans le cadre de l’enquête sur le SPT, y compris les documents contenant des renseignements personnels, doivent être entreposés dans des meubles fermés à clé.

d. Impression

44. Les membres de l’équipe d’enquête doivent s’abstenir d’imprimer et de photocopier tout document contenant des renseignements personnels.

45. Les membres de l’équipe d’enquête ne doivent pas laisser de documents contenant des renseignements personnels dans le bac de sortie de l’imprimante. Si l’impression de documents contenant des renseignements personnels est nécessaire, les membres du personnel doivent utiliser la fonction « Secure Print » (impression sécurisée) pour mettre la tâche en attente jusqu’à ce qu’ils se rendent à l’imprimante.

III. Protection d’ordre informatique

a. Ordinateurs fournis par la CODP

46. Les ordinateurs fournis par la CODP sont protégés par mot de passe. Les mots de passe expirent automatiquement tous les 45 jours.

47. Le pare-feu Windows est activé sur tous les ordinateurs fournis par la CODP. La protection des ordinateurs contre les virus et les menaces de logiciels malveillants est assurée par un logiciel publié par l’éditeur McAfee.

48. Dans le cadre de leur travail sur des documents qui concernent l’enquête sur le SPT, les membres du personnel ne doivent pas utiliser leur ordinateur personnel ou tout autre ordinateur qui n’aura pas été fourni par la CODP.

b. Ordinateurs portatifs fournis par la CODP

49. Les ordinateurs portatifs fournis par la CODP sont protégés par mot de passe. Les mots de passe expirent automatiquement tous les 45 jours.

50. Le pare-feu Windows est activé sur tous les ordinateurs portatifs fournis par la CODP. La protection des ordinateurs portatifs contre les virus et les menaces de logiciels malveillants est assurée par un logiciel publié par l’éditeur McAfee.

51. Les données figurant sur chaque ordinateur portatif fourni par la CODP sont protégées au moyen d’un système de chiffrement. Si un ordinateur portatif venait à être perdu ou égaré, les renseignements qui y figurent seraient protégés et ne pourraient pas être consultés par une personne tierce.

52. La CODP fournira à l’expert retenu et à l’étudiant un ordinateur portatif aux fins de garantir la protection des données conservées sous forme électronique.

c. Courriel

53. Les membres de l’équipe d’enquête n’utiliseront pas leur adresse électronique personnelle pour communiquer dans le cadre de l’enquête sur le SPT.

54. Il est interdit de communiquer ou de transmettre des renseignements personnels par courriel.

d. Télécopie

55. Il est interdit de communiquer des renseignements personnels par télécopie.

e. Accès hors site

56. Les membres de l’équipe d’enquête qui doivent travailler hors des locaux de la CODP sont tenus d’utiliser un réseau privé virtuel (RPV).

57. Il est interdit aux membres de l’équipe d’enquête d’emporter hors des locaux de la CODP des documents contenant des renseignements personnels obtenus dans le cadre de l’enquête sur le SPT.

f. Entreposage des données

58. Les renseignements obtenus sous forme électronique dans le cadre de l’enquête sur le SPT seront conservés dans un dossier partagé, que seuls les membres de l’équipe d’enquête pourront consulter.

g. Envoi de messages textes

59. Les membres de l’équipe d’enquête n’auront pas recours aux services de messagerie texte pour communiquer dans le cadre de l’enquête sur le SPT.

Conclusion

La protection des renseignements personnels est une responsabilité de chaque instant. La présente politique a été adoptée durant la phase d’amorçage de l’enquête sur le SPT et fera l’objet d’une révision ultérieure.

 

[1] L.R.O. 1990, chap. F.31, paragr. 2 (1) [LAIPVP];
Loi sur l’accès à l’information et la protection de la vie privée, R.R.O. 1990, Règl. 460 : Dispositions générales, par. 1 (1), et numéro 110 de l’annexe [LAIPVP Règl. gén.].

[2] LAIPVP, voir supra, note 1, article 10.1; LAIPVP Règl. gén., voir supra, note 1, par. 3 (1) et 4 (3).

[3] Voir à titre d’exemple le document du commissaire à l’information et à la protection de la vie privée de l’Ontario, Le gouvernement ouvert et la protection de la vie privée, Toronto, CIPVP, 15 mars 2017, p. 8.