Recherche

Le Centre de notification des pourriels

Table des matières

RÉFÉRENCES

Terminologie

Terme Définition
Entente administrative Entente conclue entre le CRTC et Industrie Canada pour la création, 'exploitation et le financement d'un Centre de notification des pourriels (12 mars 2012).
AIPRP Accès à 'information et protection des renseignements personnels.
MEC Message électronique commercial — terme défini dans la LCAP et qui renvoie aux messages électroniques de nature commerciale.
Plainte Formulaires électroniques présentés par des membres du public et qui décrivent des incidents ayant trait à des infractions éventuelles à la LCAP.
Rapport lié à une plainte MEC ou autre menace électronique transmis au CNP en conjonction avec une plainte par 'entremise du site Web grand public et de ses méthodes connexes de communication avec le public.
CRTC Conseil de la radiodiffusion et des télécommunications canadiennes.
Source de données Signalements de pourriels et d'autres menaces électroniques que reçoit le CNP par d'autres moyens que le site Web grand public et ses méthodes connexes de communication avec le public. Ces signalements peuvent comprendre ou non une description ou une explication supplémentaire.
Industrie Canada Ministère de 'Industrie.
Organismes d'application de la loi Ce terme englobe le CRTC, le Bureau de la concurrence et le CPVP.
Faux positif Un courriel qui n'est pas un pourriel, mais qui est intercepté par inadvertance par un filtre antipourriel.
Pot de miel Système informatique conçu et utilisé pour intercepter des pourriels et d'autres menaces électroniques.
CPVP Commissariat à la protection de la vie privée du Canada.
Partenaires Le Bureau de la concurrence, le CRTC, Industrie Canada et le CPVP.
RP Renseignements personnels, selon la définition figurant dans la Loi sur la protection des renseignements personnels.
EFVP Évaluation des facteurs relatifs à la vie privée.
Site Web grand public Site Web ou pages Web et méthodes connexes de communication avec le public mis au point et exploités par Industrie Canada afin de recevoir des plaintes et des rapports concernant des MEC et d'autres menaces électroniques de la part de membres du public.
Rapports Signalements de pourriels et d'autres menaces électroniques sans description ou explication supplémentaire, conformément à la définition figurant dans 'entente administrative.
Pourriels et autres menaces électroniques Description de divers types d'infractions à la LCAP, y compris 'envoi de MEC non sollicités (art. 6), la modification non autorisée de données de transmission (art. 7), 'installation non autorisée d'un programme d'ordinateur (art. 8), les déclarations fausses ou trompeuses (art. 75 et 77), la collecte non autorisée d'adresses électroniques (par. 82(2)) et la collecte de RP en utilisant un ordinateur en contravention d'une loi fédérale (par. 82(3)). En d'autres mots, cette description comprend les pourriels, les maliciels, les logiciels espions, la collecte d'adresses et les déclarations fausses ou trompeuses recourant à tout moyen de télécommunication, comme les services de messagerie texto (SMS), les réseaux sociaux, les sites Web, les adresses URL ou autres, les applications, les blogues, le protocole de voix sur IP (VoIP), ainsi que toute autre menace par Internet ou par voie de télécommunication sans fil, actuelle ou éventuelle, ou autre interdite en vertu de la LCAP.
CNP Centre de notification des pourriels — exploité par le CRTC.
Intervenants Le Bureau de la concurrence, le CRTC, Industrie Canada, le CPVP, Bibliothèque et Archives Canada, d'autres organismes d'application de la loi, le public et des organismes tiers.
SCT Secrétariat du Conseil du Trésor du Canada.
Organismes tiers Organismes du secteur privé, organismes parapublics et organismes du secteur public autres que le CRTC.
EMR Évaluation de la menace et des risques.
URL Localisateur de ressources uniforme, qui est en fait une adresse Web.

Textes de loi et lignes directrices

Titre abrégé Référence
Loi sur 'accès à 'information Loi sur 'accès à 'information, L.R.C. 1985, ch. A-1.
Loi sur la protection des renseignements personnels dans le secteur privé Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q., ch. P-39.1.
Loi de crédits Loi de crédits no 3 pour 2012-2013, L.C. C-11.
Loi sur la radiodiffusion Loi sur la radiodiffusion, L.C. 1991, ch. 11.
Charte Loi constitutionnelle de 1982, 1982, ch. 11 (R.-U.), annexe B, partie I, Charte canadienne des droits et libertés.
LCAP Loi visant à promouvoir 'efficacité et la capacité d'adaptation de 'économie canadienne par la réglementation de certaines pratiques qui découragent 'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, L.C. 2010, ch. 23, art. 21. À 'heure actuelle, cette loi n'a pas de titre abrégé officiel; elle est donc communément appelée « Loi canadienne anti-pourriel », ou « LCAP ».
Loi sur la concurrence Loi sur la concurrence, L.R.C. 1985, ch. C-34.
Personal Information Protection Act de 'Alberta Personal Information Protection Act, L.A. 2003, ch. P-6.5.
Personal Information Protection Act de la C.-B. Personal Information Protection Act, L.C.-B. 2003.
LPRPDE Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5.
Loi sur la protection des renseignements personnels Loi sur la protection des renseignements personnels, L.R.C. 1985, ch. P-21.
Lignes directrices du SCT Lignes directrices sur 'évaluation des facteurs relatifs à la vie privée – Cadre de gestion des risques d'entrave à la vie privée (Secrétariat du Conseil du Trésor du Canada).
Loi sur les télécommunications Loi sur les télécommunications, L.C. 1993, ch. 38.

Aperçu et mise en œuvre de 'EFVP

Introduction

La Loi canadienne anti-pourriel (LCAP) a reçu la sanction royale le 15 décembre 2010 et est entrée en vigueure le 1er juillet 2014. La LCAP a pour objet de promouvoir 'efficacité et la capacité d'adaptation de 'économie canadienne par la réglementation des pratiques commerciales qui découragent 'exercice des activités commerciales par voie électronique.

Plusieurs organismes fédéraux sont chargés de 'application de la LCAP, notamment le Conseil canadien de la radiodiffusion et des télécommunications canadiennes (CRTC), le Bureau de la concurrence et le Commissariat à la protection de la vie privée du Canada (CPVP). Par souci de commodité, ces trois organismes sont regroupés dans la catégorie des « organismes d'application de la loi ».

La LCAP accorde au CRTC le pouvoir de réglementer certaines formes d'échanges électroniques, soit 'envoi de messages électroniques commerciaux (MEC), la modification des données de transmission dans les messages électroniques et 'installation de programmes informatiques dans 'ordinateur d'une autre personne, dans le cadre d'une activité commerciale. La LCAP accorde aussi aux organismes d'application de la loi le pouvoir légal d'échanger entre eux des renseignements et des éléments de preuve et de les communiquer à des partenaires et à des organismes étrangers.

Conformément à la LCAP, le ministère de 'Industrie (Industrie Canada) agit à titre d'organisme de coordination national, est responsable de la surveillance et de la coordination des politiques et des activités d'information et de sensibilisation du public. Industrie Canada fournit également un soutien aux organismes d'application de la loi.

Le Centre de notification des pourriels (CNP) jouera un rôle crucial dans la mise en application de la LCAP, notamment en recueillant des données brutesNote de bas de page 1. Le ministère de 'Industrie (Industrie Canada) a demandé que le CRTC mette sur pied et exploite le CNP, avec 'apport financier du Conseil du Trésor. Le 12 mars 2012, le CRTC et Industrie Canada ont signé un protocole d'entente à cet égard.

Le présent document constitue une évaluation des facteurs relatifs à la vie privée (EFVP) en ce qui a trait au CNP. Il s'applique au CRTC, en tant qu'exploitant du CNP, et à Industrie Canada, en tant qu'exploitant du site Web grand public et usager des méthodes de communication avec le public. Le CNP est un répertoire de divers types de renseignements, lesquels sont décrits de façon plus approfondie ci-dessous. Le site Web grand public est un site Web ou une ou plusieurs pages Web gérés et exploités par Industrie Canada dans le but de recevoir des rapports et des plaintes de membres du public. Il est aussi décrit plus en détail ci-dessous.

Outre les EFVP existantes qui devront être modifiées, il faudra produire de nouvelles EFVP qui s'appliqueront à la LCAP, dont une importante EFVP touchant les organismes d'application de la loi et Industrie Canada. La présente EFVP concernant le CNP est soumise séparément et à 'avance, car il est nécessaire d'effectuer des tests et d'établir des repères avant 'entrée en vigueur de la LCAP.

Objectifs, justification et portée

La présente EFVP a pour objet d'évaluer les répercussions sur la vie privée pouvant découler de la collecte, de 'utilisation et de la divulgation de renseignements personnels (RP) liés à 'exploitation du CNP par le CRTC et à celle du site Web grand public par Industrie Canada.

Toutefois, cette EFVP ne porte pas sur les questions concernant la protection de la vie privée découlant de la collecte, de 'utilisation ou de la divulgation de RP par les organismes d'application de la loi dans le cadre de leurs rôles respectifs en matière d'enquête et d'application de la loi en vertu de la LCAP, dont 'échange de renseignements se produisant à cet égard.

La mise en œuvre des mesures et des mécanismes de protection prévus dans la LCAP permettront au CRTC et à Industrie Canada de remplir leurs obligations en vertu de la Loi sur la protection des renseignements personnels et de la Directive sur 'évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor du Canada (SCT) en ce qui concerne le CNP.

Tel que mentionné ci-dessus, on effectuera une importante EFVP touchant les organismes d'application de la loi et Industrie Canada. Il appartiendra à chacun des ministères et organismes de mettre à jour son EFVP ou à en produire une nouvelle, selon le cas. Ces EFPV porteront sur les questions relatives à la vie privée qui pourraient découler des rôles respectifs des ministères et organismes en matière d'enquête et d'application de la loi en vertu de la LCAP.

La présente EFVP  couvre le volet du programme de la LCAP qui touche le CNP.

Le CNP joue un rôle crucial dans la mise en application de la LCAP et des dispositions connexes de la Loi sur la concurrence et de la LPRPDENote de bas de page 2. Comme mentionné précédemment, la fonction fondamentale du CNP consiste à recueillir et à entreposer des données brutes à 'usage des organismes d'application de la loi. Les membres du public pourront transmettre au CNP des plaintes et des rapports (p. ex., transférer des courriels) au sujet d'infractions éventuelles à la LCAP au moyen des méthodes de communications se trouvant sur le site Web grand public exploité par Industrie Canada. Le CNP utilisera aussi ces renseignements pour envoyer à Industrie Canada et aux organismes d'application de la loi des statistiques mensuelles cumulatives et anonymes, ainsi que des rapports trimestriels sur les tendances. Le but est de permettre aux organismes d'application de la loi et à Industrie Canada d'être informés des plus récentes macro-tendances dans un milieu en perpétuelle évolution.

Les organismes d'application de la loi pourront aussi avoir accès à des renseignements conservés par le CNP et en faire des copies en vue de procéder à des analyses auxquelles s'appliqueront leurs EFVP respectives. Si les organismes d'application de la loi souhaitent utiliser les données au cours d'une enquête, ils devront copier les renseignements pertinents dans leur système de gestion à des fins d'analyse. Par exemple, le CRTC copiera des données émanant du CNP et les versera dans un système de gestion des cas, auquel une EFVP différente s'appliquera.

Partenaires

Aux fins de la présente EFVP, les partenaires sont Industrie Canada et les organismes d'application de la loi (le CRTC, le Bureau de la concurrence et le CPVP).

Le CRTC assumera deux fonctions : il exploitera le CNP et, entre autres choses, il enquêtera sur des infractions éventuelles, conformément au mandat qui lui est confié en vertu de la LCAP. Pour ce qui est de ce dernier rôle, tel que mentionné plus haut, le CRTC pourra verser des renseignements recueillis par le CNP dans un système d'enquête et d'application de la loi à des fins d'analyse.

Le Bureau de la concurrence et le CPVP pourront assumer les mêmes fonctions au titre de leur mandat respectif en vertu de la LCAP et seront chargés de veiller à ce que les répercussions sur la vie privée soient examinées convenablement dans leurs EFVP modifiées ou nouvelles.

Industrie Canada finance le CNP. De plus, il s'occupera de la gestion et de 'exploitation du site Web grand public, y compris les mécanismes et les moyens appropriés utilisés pour recevoir des renseignements du public sous forme de plaintes et de rapports. Il supervisera également les activités d'information et de sensibilisation du public.

De nouveau, aux fins de la présente EFVP, les partenaires sont aussi considérés comme des intervenants. Les deux concepts ne s'excluent pas. Cependant, il est important de préciser que, contrairement aux partenaires, les intervenants non-partenaires n'ont pas de rôle actif à jouer dans la mise en œuvre du programme de la LCAP.

Intervenants

Les parties figurant dans le tableau ci-dessous sont des intervenants dans le cadre du programme de la LCAP :

Intervenant Fonctions à 'égard de la LCAP
Bureau de la concurrence Le Bureau de la concurrence peut verser des renseignements obtenus du CNP dans ses systèmes dans la cadre du mandat qui lui est confié en vertu de la Loi sur la concurrence et de la LCAP.
CRTC Le CRTC assume deux fonctions : il exploitera le CNP et, entre autres choses, il enquêtera sur des infractions éventuelles, conformément au mandat qui lui est confié en vertu de la LCAP. Pour ce qui est de ce dernier rôle, le CRTC pourra verser des renseignements recueillis par le CNP dans un système d'enquête et d'application de la loi.
Organismes étrangers 'article 60 de la LCAP indique que des renseignements peuvent être communiqués aux termes d'accords ou d'ententes conclus d'une part entre les organismes d'application de la loi et, d'autre part, le gouvernement d'un État étranger, une organisation internationale d'États ou de gouvernements ou 'un de leurs organismes.
Industrie Canada Industrie Canada s'occupera de la gestion et de 'exploitation du site Web grand public, y compris les mécanismes et les moyens appropriés utilisés pour recevoir des renseignements du public sous forme de plaintes et de rapports. Il supervisera également les activités d'information et de sensibilisation du public.
Bibliothèque et Archives Canada Toute information réputée avoir une valeur historique ou archivistique peut être envoyée à Bibliothèque et Archives Canada à la fin de la période de conservation prévue dans la politique de gestion de 'information du ministère compétent. Il se peut que certains rapports mensuels sur les statistiques et les tendances soient considérés comme ayant une valeur historique ou archivistique.
CPVP Le CPVP peut verser des renseignements obtenus du CNP dans ses systèmes dans le cadre du mandat qui lui est confié en vertu de la LPRPDE et de la LCAP.
Autres organismes d'application de la loi D'autres textes de loi pertinents peuvent permettre aux organismes d'application de la loi de divulguer des renseignements à d'autres organismes d'application de la loi à des fins d'enquête en vertu de ces lois.
Public Les membres du public peuvent présenter des plaintes ou des rapports au CNP par 'entremise du site Web grand public.
Organismes tiers Des organismes tiers peuvent fournir des sources de données au CNP.

Autorisation et structure de gouvernance

'autorisation juridique accordée au CRTC pour recueillir des RP découle, par voie de conséquence nécessaire, du régime et des objectifs de la LCAP et de 'autorisation particulière d'utiliser des renseignements et de les divulguer à certaines entités, dont le Bureau de la concurrence et le CPVP. L'autorisation légale accordée au CNP pour recueillir et conserver des RP avant 'entrée en vigueur de la LCAP découle de 'article 2 de la Loi de crédits no 3 pour 2012-2013 (Loi de crédits).

Le CNP est régi par une entente concernant les responsabilités pertinentes du CRTC et d'Industrie Canada. Le CRTC pourra aussi conclure d'autres ententes avec le Bureau de la concurrence et le CPVP au sujet de 'accès aux renseignements détenus par le CNP et de 'échange de renseignements. Il pourra également signer des ententes sur la contribution de ressources au CRTC aux fins de 'exploitation du CNP. De même, d'autres personnes ou entités pourront fournir des ressources au CNP, notamment d'autres organismes d'application de la loi.

Le CRTC veillera à ce que les activités du CNP soient conformes aux politiques et procédures existantes du CRTC concernant la protection de la vie privée et les renseignements conservés par le CNP. Ces politiques et procédures comprennent la Politique du CRTC sur 'identification, la divulgation et la protection des renseignements et des biens et la Politique sur la gestion de 'information du CRTC.

Les personnes qui occupent des fonctions relatives aux articles 4 et 10 de la Loi sur la protection des renseignements personnels approuvent officiellement cette EFVP, conformément aux détails présentés ci-dessous.

Dispositions législatives pertinentes

Les dispositions législatives liées à la protection de la vie privée qui s'appliquent à cette EFVP sont celles de la Loi sur la protection des renseignements personnels et de la LPRPDE.

Le CNP est assujetti à la Loi sur la protection des renseignements personnels, puisqu'il est exploité par le CRTC, une institution gouvernementale. Tel que mentionné précédemment, il est habilité à recueillir, à utiliser et à divulguer des RP aux fins de la LCAP. Le CNP doit également respecter les dispositions de la Loi sur 'accès à 'information.

Les organismes du secteur privé qui fournissent des sources de données au CNP peuvent être assujettis à la LPRPDE ou à des lois provinciales très semblables à celle-ciNote de bas de page 3. 'alinéa 7(3)d) de la LPRPDE permet à une organisation de divulguer un RP à une institution gouvernementale si cette organisation a des motifs raisonnables de croire que le renseignement est afférent à une violation d'un accord ou à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de 'être. Les organismes du secteur privé peuvent fournir des sources de données au CNP à condition que les renseignements aient trait à une infraction éventuelle à la LCAP et/ou aux dispositions connexes de la Loi sur la concurrence et de la LPRPDE. En outre, 'article 56 de la LCAP prévoit qu'une organisation peut communiquer un RP au CRTC, au commissaire de la concurrence ou au commissaire à la protection de la vie privée si elle croit que ce renseignement est lié à une infraction éventuelle à la LCAP ou aux dispositions connexes de la Loi sur la concurrence et de la LPRPDE.

Tel que décrit précédemment, la présente EFVP ne porte pas sur les questions concernant la protection de la vie privée qui découlent de la collecte, de 'utilisation ou de la divulgation de RP par les organismes d'application de la loi dans le cadre de leurs rôles respectifs en matière d'enquête et d'application de la loi en vertu de la LCAP, dont 'échange de renseignements se produisant à cet égard. Ces questions sont traitées en vertu des EFVP respectives des organismes d'application de la loi.

Détermination et catégorisation des secteurs de risque

'analyse de la présente EFVP est fondée sur 'approche décrite dans la Directive sur 'évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor du Canada (SCT). 'échelle de risque chiffrée est présentée en ordre croissant : le premier niveau représente le niveau de risque le plus bas pour le secteur; le quatrième niveau représente le niveau de risque le plus haut pour le secteur. Chaque niveau possible est décrit dans 'échelle de risque applicable à chacune des catégories.

Les cotes de risque concernant le CNP figurent dans les tableaux ci-dessous. On trouve également une description de la façon dont les cotes de risque en caractères gras s'appliquent au CNP dans la première rangée, sous le titre de la catégorie.

a) Type de programme ou d'activité
Le but du CNP est de recueillir et de conserver des données concernant des infractions éventuelles à la LCAP ou aux dispositions connexes de la Loi sur la concurrence et de la LPRPDE.
Description Niveau de risque Cote
  • Programme ou activité qui NE nécessitent PAS la prise d'une décision concernant un individu identifiable
 1
  • Administration des programmes, des activités et des services
 2
  • Enquêtes en matière de conformité ou réglementation et exécution de la réglementation
 3
  • Enquête criminelle et application de la loi ou sécurité nationale
 4 4
b) Type de RP recueillis et contexte
Les RP recueillis, utilisés et divulgués par le CNP ne sont généralement pas de nature délicate. Les RP sont recueillis avec le consentement des personnes visées dans la plupart des situations (c.-à-d. plaintes et rapports).
Description Niveau de risque Cote
  • Seules les données fournies directement par 'individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de 'individu ou avec son consentement pour la communication pour autant que les données ne soient pas de nature délicate dans le contexte
 1
  • Données personnelles fournies par 'individu avec le consentement d'utiliser des données détenues par une autre source pour autant que les données ne soient pas de nature délicate après la collecte
 2 2
  • Le numéro d'assurance sociale, les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou encore le contexte de ceux-ci est de nature délicate. Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de 'individu concerné
 3
  • Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate
 4
c) Participation des partenaires et du secteur privé au programme ou à 'activité
Aux fins du CNP, le Bureau de la concurrence, le CRTC, le CPVP et Industrie Canada sont les partenaires. La participation du secteur privé se limitera à la communication de sources de données au CNP.
Description Niveau de risque Cote
  • Au sein de 'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution)
 1
  • Avec d'autres institutions fédérales
 2 2
  • Avec d'autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et municipaux
 3
  • Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé
 4
d) Durée du programme ou de 'activité
Le CNP sera un programme ou une activité à long terme.
Description Niveau de risque Cote
  • Programme ou activité ponctuel
 1
  • Programme ou activité à court terme
 2
  • Programme ou activité à long terme
 3 3
e) Personnes concernées par le programme
Les RP recueillis dans le cadre du programme de la LCAP serviront pour des enquêtes pouvant toucher certaines personnes.
Description Niveau de risque Cote
  • Le programme touche certains employés à des fins administratives internes
 1
  • Le programme touche tous les employés à des fins administratives internes
 2
  • Le programme touche certains individus à des fins administratives externes
 3 3
  • Le programme touche tous les individus à des fins administratives externes
 4
f) Technologie et vie privée
Le programme de la LCAP, qui comprend le CNP, est un nouveau programme.
Description Oui/Non
  • Est-ce que le programme ou 'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, collecter ou traiter les renseignements personnels dans le but de soutenir le programme ou 'activité?
 Oui
  • 'activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des TI?
 Non
  • Indiquer si le programme ou 'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes :
    • Méthodes d'identification améliorées;
    • Recours à la surveillance;
    • Recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances.
 Non
g) Transmission des RP
Les RP seront utilisés dans un système qui est branché à d'autres systèmes. Par exemple, le CNP recevra des transmissions électroniques du site Web grand public, et les organismes d'application de la loi auront accès aux RP.
Description Niveau de risque Cote
  • Les RP sont utilisés au sein d'un système fermé (aucune connexion à Internet, à 'intranet ou à tout autre système. La distribution des documents papier est surveillée.)
 1
  • Les RP sont utilisés au sein d'un système qui est branché à au moins un autre système.
 2 2
  • Les RP sont transférés à des dispositifs portatifs ou sont imprimés (clé USB, disquette, ordinateur portatif, ou tout transfert de renseignements personnels à un support de données différent).
 3
  • Les RP sont transmis à 'aide de technologies sans fil.
 4
h) Atteinte à la vie privée
Répercussions sur des personnes
Description Oui/Non
Les répercussions sont minimes. Les RP recueillis auprès des plaignants sont facultatifs et fournis volontairement. Ils sont aussi de nature non délicate. Oui
Date de modification :