WxT Language switcher

Agence des services frontaliers du Canada (Re), 2025 CI 16

Date : 2025-03-10
Numéro de dossier du Commissariat : 5822-05416
Numéro de demande d’accès : ZA-2023-11566 (A-2022-15630)

Sommaire

La partie plaignante allègue que l’Agence des services frontaliers du Canada (ASFC), en réponse à une demande d’accès, a erronément refusé de communiquer des renseignements en vertu du paragraphe 16(2) (faciliter la perpétration d’une infraction) et de l’alinéa 20(1)d) (négociations de tiers) de la Loi sur l’accès à l’information. La demande vise à obtenir les évaluations de risques en matière de cybersécurité et de violation des données en lien avec l’application ArriveCAN. L’allégation s’inscrit dans le cadre de l’alinéa 30(1)a) de la Loi.

Au cours de l’enquête, l’ASFC a divulgué des parties des évaluations dont elle avait refusé la communication en vertu du paragraphe 16(2) et de l’alinéa 20(1)d). L’ASFC a continué de refuser la communication d’autres renseignements en vertu du paragraphe 16(2) et a aussi décidé de refuser de communiquer des renseignements en vertu du paragraphe 19(1) (renseignements personnels).

La Commissaire à l’information a conclu que certains des renseignements dont l’ASFC continuait de refuser la communication ne satisfaisaient pas aux critères du paragraphe 16(2). Elle également conclu que l’ASFC n’a pas établi, comme elle est tenue de le faire lorsque les renseignements satisfont aux critères du paragraphe 19(1), si les circonstances faisant en sorte qu’elle doive exercer son pouvoir discrétionnaire pour décider de communiquer ou non ces renseignements existaient.

La plainte est fondée.

La Commissaire a transmis un rapport présentant les ordonnances qu’elle avait l’intention de rendre. En réponse, l’ASFC a fourni des observations supplémentaires pour étayer son application du paragraphe 16(2) et a communiqué davantage de documents. La partie plaignante a indiqué qu’elle était satisfaite de ces renseignements. Par conséquent, aucune ordonnance n’était nécessaire.

La Commissaire a rappelé à l’ASFC que la réception d’un rapport n’est pas une occasion de présenter de nouveaux renseignements ou de nouvelles observations au sujet du résultat de la plainte. Les institutions sont tenues de présenter des observations aussi complètes que possible au cours de l’enquête. Quand le rapport est transmis, l’enquête est terminée et la Commissaire a pris sa décision quant au résultat de la plainte.

Plainte

[1]        La partie plaignante allègue que l’Agence des services frontaliers du Canada (ASFC), en réponse à une demande d’accès, a erronément refusé de communiquer des renseignements en vertu du paragraphe 16(2) (faciliter la perpétration d’une infraction) et de l’alinéa 20(1)d) (négociations de tiers) de la Loi sur l’accès à l’information. La demande vise à obtenir les évaluations de risques en matière de cybersécurité et de violation des données en lien avec l’application ArriveCAN. L’allégation s’inscrit dans le cadre de l’alinéa 30(1)a) de la Loi.

Enquête

[2]        Lorsqu’une institution refuse de communiquer les renseignements d’un ou des tiers, il incombe à ces tiers et/ou à l’institution de démontrer que ce refus est justifié.

[3]        Le Commissariat à l’information a donné au tiers, KPMG, la possibilité, en vertu de l’alinéa 35(2)c), de présenter des observations montrant pourquoi les renseignements ne devraient pas être divulgués. KPMG a indiqué qu’il lui était contractuellement et professionnellement interdit de consentir à la divulgation des renseignements, mais il n’a pas présenté d’observation pour étayer l’application de l’alinéa 20(1)d) aux renseignements dont la communication a été refusée.

[4]        Le 13 septembre 2024, l’ASFC a communiqué des parties des évaluations de sécurité dont elle avait refusé la communication en vertu du paragraphe 16(2) et de l’alinéa 20(1)d) quand elle avait répondu à la demande d’accès. L’ASFC maintient son refus de communiquer les autres renseignements en vertu du paragraphe 16(2). L’ASFC a décidé d’invoquer aussi le paragraphe 19(1) pour refuser de communiquer des renseignements.

[5]        L’analyse suivante s’applique aux autres renseignements en cause.

 Paragraphe 16(2) : faciliter la perpétration d’une infraction

[6]        Le paragraphe 16(2) permet aux institutions de refuser de communiquer des renseignements dont la divulgation risquerait vraisemblablement de faciliter la perpétration d’une infraction.

[7]        Pour invoquer cette exception, les institutions doivent démontrer ce qui suit :

  • la divulgation des renseignements (par exemple, des renseignements sur les méthodes ou les techniques criminelles, ou des détails techniques sur les armes, comme le prévoient les alinéas 16(2)a) à c)), pourrait faciliter la perpétration d’une infraction;
  • il y a une attente raisonnable que ce préjudice puisse être causé; l’attente doit être bien au-delà d’une simple possibilité.

[8]        Lorsque ces critères sont satisfaits, les institutions doivent alors exercer raisonnablement leur pouvoir discrétionnaire pour décider de communiquer ou non les renseignements.

L’information satisfait-elle aux critères de l’exception?

[9]        L’ASFC a refusé de communiquer des parties d’examens de cybersécurité visant différents éléments de l’application ArriveCAN, dont des adresses intranet et de réseau interne. L’ASFC a également refusé de communiquer les niveaux de risque de sécurité dans différentes versions de l’autorisation de sécurité pour le suivi des contacts relativement à la COVID-19.

[10]      Au cours de l’enquête, l’ASFC a expliqué qu’elle avait refusé de communiquer les adresses intranet et de réseau interne parce qu’elles révélaient le plan et la structure de son réseau interne. Si un acteur malveillant accédait au réseau, les adresses en cause lui fourniraient une carte routière qui réduirait le temps nécessaire pour obtenir de l’information sensible. Bien que les systèmes de l’ASFC soit conçus pour détecter et bloquer les intrusions externes, pour les protéger, il est tout aussi important de veiller à ce qu’une personne qui accède au système, même brièvement, soit incapable d’y naviguer rapidement grâce à une connaissance préexistante de la structure interne. Par conséquent, l’ASFC affirme que la divulgation de ces renseignements risquerait vraisemblablement de faciliter la perpétration d’une infraction, à savoir le piratage informatique.

[11]      Compte tenu de ce qui précède, je conviens que la communication de ces renseignements risquerait vraisemblablement de faciliter la perpétration d’une infraction.

[12]      En ce qui concerne les renseignements non communiqués dans les examens de cybersécurité et les autorisations de sécurité, durant l’enquête, l’ASFC a indiqué que d’importantes parties des documents en question se rapportaient aux évaluations de sécurité de la technologie de l’information (TI) concernant l’application  ArriveCAN et son cadre d’exploitation. L’ASFC soutient que les renseignements visés par une exception divulguent des vulnérabilités précises ciblées durant ces évaluations. S’ils étaient communiqués, ces renseignements pourraient être utilisés par des acteurs malveillants comme une carte routière indiquant les vulnérabilités du système afin de pénétrer dans l’application. Par conséquent, l’ASFC croit que si elle communiquait ces renseignements, il est raisonnable de croire que ceux-ci pourraient être utilisés pour faciliter la perpétration d’une infraction, à savoir le piratage informatique, et, le cas échéant, les renseignements personnels de millions de personnes seraient vulnérables.  

[13]      Je conviens que la divulgation des parties de documents qui pourraient indiquer des vulnérabilités précises en matière de sécurité risquerait vraisemblablement de faciliter la perpétration d’une infraction.

[14]      Cela étant dit, d’autres renseignements dont la communication a été refusée dans les documents ne semblent pas s’inscrire dans l’une ou l’autre des catégories de renseignements susmentionnées. Ces renseignements comprennent, sans toutefois s’y limiter, des déclarations relatives à l’identification et à l’estimation des biens, des listes de composantes visées dans les évaluations du risque et les sommaires des changements apportés, les noms de documents de référence et des parties des sommaires. L’ASFC n’a pas fourni d’observation durant l’enquête pour démontrer que le paragraphe 16(2) s’applique à ces renseignements en particulier.

[15]      Je ne suis donc pas convaincue que la divulgation de l’ensemble des renseignements non communiqués pourrait vraisemblablement faciliter la perpétration d’une infraction ni que l’attente de préjudice est bien au-delà d’une simple possibilité. Par conséquent, je conclus que certaines parties des renseignements ne satisfont pas aux critères de l’exception.

L’institution a-t-elle exercé raisonnablement son pouvoir discrétionnaire quant à sa décision de communiquer ou non l’information?

[16]      Étant donné que des parties des renseignements satisfaisaient aux critères du paragraphe 16(2), l’ASFC était tenue d’exercer raisonnablement son pouvoir discrétionnaire afin de décider de communiquer ou non les renseignements. Pour ce faire, l’ASFC devait prendre en considération tous les facteurs pertinents pour ou contre la communication.

[17]      L’ASFC n’a pas à fournir une analyse détaillée de chaque facteur considéré ni expliquer comment ils ont été mesurés les uns par rapport aux autres. Cependant, une déclaration générale selon laquelle l’institution a exercé son pouvoir discrétionnaire et tenu compte de tous les facteurs pertinents ne suffit pas.

[18]      Les observations de l’ASFC démontrent que celle-ci a pris en considération tous les facteurs pertinents, notamment l’objet de la Loi, l’intérêt public dans la communication, l’intérêt public à l’égard de la préservation de l’intégrité des systèmes informatiques du gouvernement et le fait que les renseignements sont accessibles au public.

[19]      Compte tenu de ce qui précède, je conclus que l’ASFC a exercé raisonnablement son pouvoir discrétionnaire lorsqu’elle a décidé de ne pas communiquer les renseignements qui satisfont aux critères du paragraphe 16(2).

Paragraphe 19(1) : renseignements personnels

[20]      Le paragraphe 19(1) exige que les institutions refusent de communiquer des renseignements personnels.

[21]      Pour invoquer cette exception, les institutions doivent démontrer ce qui suit :

  • les renseignements concernent une personne, c’est-à-dire un être humain, et non une société;
  • il y a de fortes possibilités que la divulgation de ces renseignements permette d’identifier cette personne;
  • les renseignements ne sont pas assujettis à une des exceptions prévues aux alinéas 3j) à 3m) de la Loi sur la protection des renseignements personnels applicables à la définition de « renseignements personnels » (p. ex. les coordonnées professionnelles des fonctionnaires).

[22]      Lorsque ces critères sont satisfaits, les institutions doivent alors se demander si les circonstances suivantes (énumérées au paragraphe 19(2)) existent :

  • la personne concernée par les renseignements consent à leur divulgation;
  • les renseignements sont accessibles au public;
  • la communication des renseignements serait conforme à l’article 8 de la Loi sur la protection des renseignements personnels.

[23]      Lorsqu’une ou plusieurs de ces circonstances existent, le paragraphe 19(2) de la Loi sur l’accès à l’information exige que les institutions exercent raisonnablement leur pouvoir discrétionnaire pour décider si elles doivent communiquer ou non les renseignements.

L’information satisfait-elle aux critères de l’exception?

[24]      L’ASFC a appliqué le paragraphe 19(1) pour refuser de communiquer les photos et les coordonnées de deux membres du personnel de KPMG à la page 50 des documents.

[25]      J’estime que les renseignements concernent des personnes, que leur divulgation pourrait permettre d’identifier ces personnes et qu’ils ne sont pas assujettis à l’une des exceptions prévues par la Loi sur la protection des renseignements personnels.

[26]      Compte tenu de ce qui précède, je conclus que les renseignements satisfont aux critères du paragraphe 19(1).

L’institution a-t-elle exercé raisonnablement son pouvoir discrétionnaire quant à sa décision de communiquer ou non l’information?

[27]      Étant donné que les renseignements satisfont aux critères du paragraphe 19(1), l’ASFC devait exercer raisonnablement son pouvoir discrétionnaire en vertu du paragraphe 19(2) afin de décider de communiquer ou non les renseignements lorsqu’au moins l’une des circonstances décrites au paragraphe 19(2) existait au moment de la réponse.

[28]      En vertu de l’alinéa 19(2)a), l’ASFC était tenue de voir si les personnes dont les renseignements figurent dans les documents fournis consentent à la communication [Fontaine c. Canada (Gendarmerie royale), 2009 CAF 150, au para 26]. Dans cette décision, la Cour a reconnu que, bien qu’il puisse être difficile sur le plan pratique d’obtenir le consentement des personnes, l’institution est obligée de « faire des efforts raisonnables » pour tenter de l’obtenir.

[29]      L’ASFC n’a pas fourni d’observation durant l’enquête indiquant si elle avait fait des efforts raisonnables pour demander le consentement des personnes. Je dois donc conclure que l’ASFC n’a pas montré qu’elle avait établi si les circonstances prévues à l’alinéa 19(2)a) existaient, ce qui l’a empêché d’exercer son pouvoir discrétionnaire lorsqu’il y avait lieu de le faire.  

[30]      En vertu de l’alinéa 19(2)b), l’ASFC aurait été tenue d’exercer son pouvoir discrétionnaire si certains des renseignements personnels étaient accessibles au public.

[31]      L’ASFC n’a pas fourni d’observation durant l’enquête pour démontrer qu’elle avait évalué quelles parties des renseignements personnels dans les documents étaient accessibles au public. Par conséquent, je dois conclure que l’ASFC n’a pas démontré qu’elle avait exercé raisonnablement son pouvoir discrétionnaire conformément à l’alinéa 19(2)b).

[32]      Finalement, le pouvoir discrétionnaire est aussi déclenché au titre de l’alinéa 19(2)c) lorsque la communication est conforme à l’article 8 de la Loi sur la protection des renseignements personnels. En l’espèce, je conclus que les circonstances énoncées à l’alinéa 19(2)c) n’existaient pas lorsque l’ASFC a répondu à la demande d’accès. Par conséquent, il n’est pas nécessaire d’examiner la question du pouvoir discrétionnaire en vertu de l’alinéa 19(2)c).

Résultat

[33]      La plainte est fondée.

Rapport et avis de l’institution 

Le 17 janvier 2025, j’ai transmis au ministre de la Sécurité publique et de la Protection civile mon rapport dans lequel je présentais mes ordonnances :

  1. Communiquer tous les renseignements caviardés qui ne satisfont pas aux critères du paragraphe 16(2), comme décrit dans mon rapport. Les renseignements qui doivent être communiqués se trouvent aux pages 59, 70, 73, 92, 104, 105, 113, 176, 187, 195, 265, 282, 302, 451, 454, 456, 465, 466, 470, 471, 472, 479, 480, 566, 664, 679, 760, 764, 771, 779, 818 et 831-832.
  2. Établir si les circonstances prévues aux alinéas 19(2)a) et b) existent et, le cas échéant, exercer raisonnablement le pouvoir discrétionnaire pour décider de communiquer ou non les renseignements.

Le 13 février 2025, l’ASFC a communiqué à la partie plaignante des renseignements supplémentaires qu’elle avait précédemment refusé de communiquer.

Le 20 février 2025, le directeur général et chef de la protection des renseignements personnels de l’ASFC m’a avisée qu’une communication supplémentaire de renseignements avait été faite à la partie plaignante. L’ASFC a également fourni des observations supplémentaires expliquant en quoi les renseignements restants satisfaisaient aux critères du paragraphe 16(2), même si j’avais clairement indiqué que mon rapport ne visait pas à recueillir d’autres observations et qu’aucune nouvelle observation ne serait considérée, car mon enquête était terminée et j’avais formulé mes conclusions au sujet de la plainte.

Le 1er mars 2025, la partie plaignante, qui avait été informée du contenu de mon ordonnance le 29 octobre 2024, a indiqué qu’elle était maintenant satisfaite des renseignements qui avaient été communiqués.

Une ordonnance n’est donc plus nécessaire.

Je tiens néanmoins à rappeler que la transmission de mon rapport, en vertu du paragraphe 37(1), ne constitue pas pour les institutions une autre possibilité de fournir de nouvelles observations ou des observations supplémentaires. Dans tous mes rapports, il est clairement indiqué qu’il ne s’agit pas d’une possibilité de fournir des observations supplémentaires. Ces rapports expliquent par ailleurs qu’au moment de leur transmission, l’enquête est terminée et que j’ai pris ma décision quant au résultat de la plainte.

Les institutions sont tenues de présenter des observations aussi complètes que possible au cours de l’enquête et non après la transmission de mon rapport. L’alinéa 35(2)b) précise que la possibilité de présenter des observations doit être donnée aux institutions au cours d’une enquête sur une plainte menée par le Commissariat. La Loi ne prévoit pas que les institutions puissent fournir des observations supplémentaires et/ou invoquer des motifs supplémentaires pour refuser l’accès à la suite de la présentation de mon rapport.

L’alinéa 37(1)c) prévoit expressément qu’à la réception de mon rapport, l’institution doit m’aviser soit des mesures prises ou envisagées pour donner suite à mon ordonnance ou à ma recommandation, soit des motifs invoqués pour ne pas y donner suite. L’avis n’est pas non plus une possibilité de présenter des arguments nouveaux ou supplémentaires à l’appui du refus de communiquer les renseignements en cause. L’objectif de l’avis est seulement d’informer la partie plaignante des intentions de l’institution à l’égard de mes ordonnances, car je suis tenue par l’alinéa 37(3)a) d’inclure dans mon compte rendu un sommaire de tout avis qui m’est donné.

Quoi qu’il en soit, l’article 34 me confère le pouvoir de déterminer la procédure à suivre dans l’exercice de mes pouvoirs et fonctions dans le cadre de mes enquêtes, dans les limites des paramètres établis par la Loi. Cette procédure ne peut pas inclure la réouverture de mon enquête à la suite d’observations présentées par une institution après que mon compte rendu a été transmis.

Comme l’a souligné la Cour fédérale dans la décision Commissaire à l’information du Canada c. Administration portuaire de Toronto et Canadian Press Enterprises Inc., 2016 CF 683 (para 72), le fait de m’imposer l’obligation de reprendre l’enquête lorsque celle-ci est terminée aurait pour effet :

1) de faire obstacle au processus d’enquête; (2) de s’opposer aux obligations que le gouvernement impose aux institutions fédérales, prévues au paragraphe 4(2.1) et à l’alinéa 10(1)b) de la LAI, à savoir de faire tous les efforts raisonnables pour prêter assistance à l’auteur des demandes et de mentionner la disposition précise de la LAI sur laquelle se fonde le refus; (3) de miner le rôle du commissaire à l’information en tant que maître de sa procédure; (4) de nuire potentiellement au droit quasi constitutionnel de l’accès en temps utile.

Je compte sur l’ASFC et sur les autres institutions assujetties à la Loi pour se conformer à la décision susmentionnée lorsqu’elles fourniront des observations au cours d’une enquête du Commissariat. Elles feront ainsi en sorte que le processus d’enquête demeure le plus efficace possible et que les règles de l’équité procédurale sont respectées.

Révision devant la Cour fédérale

Lorsqu’une allégation dans une plainte s’inscrit dans le cadre de l’alinéa 30(1)a), b), c), d), d.1) ou e) de la Loi, la partie plaignante a le droit d’exercer un recours en révision devant la Cour fédérale. Lorsque la Commissaire à l’information rend une ordonnance, l’institution a également le droit d’exercer un recours en révision. La partie plaignante et/ou l’institution doivent exercer un recours en révision dans un délai de 35 jours ouvrables suivant la date du présent compte rendu. Si elles n’exercent pas de recours, les tiers peuvent exercer un recours en révision dans les 10 jours ouvrables suivants. Quiconque exerce un recours en révision doit signifier une copie de sa demande de révision aux parties intéressées, conformément à l’article 43. Si personne n’exerce de recours en révision dans ces délais, toute ordonnance rendue prend effet le 46e jour ouvrable suivant la date du présent compte rendu.

Autre destinataire du compte rendu

Conformément au paragraphe 37(2), le présent compte rendu a été envoyé à KPMG.

Date de modification :
Déposer une plainte