Agence des services frontaliers du Canada (Re), 2026 CI 46

Date : 2026-05-28
Numéro de dossier du Commissariat : 5823-04465
Numéro de la demande d’accès : S.O.

Sommaire

En février 2024, la Commissaire à l’information a entrepris une enquête systémique sur le traitement, par l’Agence des services frontaliers du Canada (ASFC), des demandes d’accès à l’information relatives à ArriveCAN. L’enquête avait pour mandat d’examiner l’exhaustivité des réponses à ces demandes et la question de savoir si l’ASFC avait fourni un accès à l’information demandée en temps opportun.

Selon les allégations publiques rapportées, un haut responsable de l’ASFC aurait détruit de façon permanente des courriels et d’autres documents qui auraient pu être pertinents dans le cadre de demandes d’accès. L’enquête n’a révélé aucune preuve permettant de corroborer ces allégations.

Toutefois, l’enquête a permis de conclure que l’équipe du projet ArriveCAN utilisait la plateforme de communication et de collaboration Slack entre 2020 et 2023 pour communiquer au sujet du développement, des tests et de la maintenance de l’application ArriveCAN. L’espace de travail Slack a été supprimé de façon permanente en mai 2023 sans consultation du bureau de l’accès à l’information et de la protection des renseignements personnels de l’ASFC et sans examen documenté de son contenu.

La plainte est fondée. Étant donné que Slack n’avait pas fait l’objet d’une recherche, et ce, malgré le fait qu’il contenait probablement des documents pertinents, la Commissaire a conclu que l’ASFC n’avait pas effectué de recherches raisonnables en réponse à six demandes d’accès relatives à ArriveCAN. De plus, l’enquête a révélé des lacunes dans les pratiques de gestion de l’information, notamment l’utilisation de comptes de courriel non gouvernementaux, le recours à des dispositifs de stockage informels et un manque de gouvernance à l’égard d’outils de collaboration de tiers.

En ce qui concerne le respect des délais, l’enquête a confirmé que l’ASFC n’avait pas répondu à un certain nombre de demandes d’accès relatives à ArriveCAN dans les délais prescrits par la loi. Cela dit, elle n’a pas révélé de préoccupations particulières concernant la rapidité des réponses de l’ASFC aux demandes d’accès relatives à l’initiative ArriveCAN.

La Commissaire a formulé plusieurs recommandations, qui ont toutes été acceptées par l’ASFC. Cette dernière s’est engagée à mettre en œuvre des mesures correctives, notamment en adoptant de nouvelles politiques de gouvernance, en renforçant la formation et en améliorant les contrôles de gestion de l’information.

En juin 2026, la Commissaire a déposé son rapport annuel au Parlement, lequel inclut un rapport spécial sur l’enquête.

Plainte

À la suite d’allégations concernant la destruction de documents qui étaient visés par des demandes d’accès présentées à l’Agence des services frontaliers du Canada (ASFC) en vertu de la Loi sur l’accès à l’information, j’ai entrepris une enquête concernant les questions relatives à la demande ou à l’obtention d’information concernant ArriveCAN.

L’ASFC a commencé à recevoir des demandes d’accès concernant ArriveCAN en avril 2021 et, à la fin de cette enquête, elle en avait reçu 189. Ces chiffres comprennent les demandes visant des documents propres à l’application ArriveCAN, l’étude parlementaire à son sujet ainsi que les tiers et les personnes qui ont participé au développement de l’application. D’autres demandes portaient sur des documents relatifs aux questions plus générales soulevées lors de la discussion publique concernant ArriveCAN, une entreprise impliquée dans le projet (GC Strategies), les pratiques en matière d’appel d’offres et les allégations d’inconduite à l’égard de membres du personnel de l’ASFC.

La portée de mon enquête englobe les allégations publiques de destruction de documents, les demandes d’accès reçues par l’ASFC et les plaintes déposées auprès du Commissariat à l’information ainsi que les questions soulevées au cours de l’enquête. L’enquête ne porte pas sur des questions telles que l’attribution ou l’administration des contrats, les pratiques en matière d’approvisionnement ni les allégations de violation du Code de valeurs et d’éthique du secteur public. Il ne s’agit pas non plus d’une vérification. Cette enquête ne vise pas non plus à établir si des documents ont été créés ou auraient dû l’être sur certains sujets, étant donné que la Loi sur l’accès à l’information ne s’applique qu’aux documents qui existent au moment où une demande d’accès est présentée. Le mandat de cette enquête était limité à évaluer si les documents existants ont été conservés, repérés et cherchés de manière adéquate en réponse aux demandes d’accès et si l’ASFC a fourni des réponses en temps opportun aux demandes relatives à ArriveCAN. L’enquête est guidée par les principes d’équité procédurale, mon mandat ainsi que par les responsabilités et les obligations prévues dans la Loi.

Contexte

En mars 2020, le premier ministre a annoncé diverses mesures en réaction à la pandémie de COVID-19, notamment des restrictions de voyage et un dépistage renforcé aux aéroports.

L’ASFC joue un rôle essentiel dans la protection des Canadiens et des Canadiennes ainsi que dans le maintien de la sécurité nationale et de la sûreté publique en assurant des services frontaliers intégrés. L’Agence de la santé publique du Canada (ASPC) s’est appuyée sur l’ASFC pour recueillir des renseignements auprès des voyageurs, y compris leurs coordonnées et les renseignements relatifs à leur état de santé, afin de donner suite aux ordonnances d’urgence émises par le gouvernement et en vertu de la Loi sur la mise en quarantaine.

En raison des diverses limites du formulaire papier existant, l’ASPC a demandé à l’ASFC d’élaborer un formulaire numérique pour recueillir les renseignements des voyageurs. Le formulaire numérique est devenu les applications mobile et Web ArriveCAN, qui ont été lancées le 29 avril 2020 et ont évolué au fil du temps pour s’adapter aux nouvelles ordonnances d’urgence et aux exigences techniques.

La gestion d’ArriveCAN par l’ASFC a fait l’objet d’un examen attentif en raison des coûts de développement élevés allégués, du fait que le projet ne soit pas bien documenté et d’allégations d’inconduite à l’égard de membres du personnel de l’ASFC.

Le 23 février 2024, j’ai avisé l’ASFC de mon intention d’entreprendre cette enquête.

Enquête

Au cours de l’enquête, le Commissariat à l’information a examiné un nombre important de rapports et une grande quantité de documents sources afin de recueillir des renseignements pertinents. Il a également posé de nombreuses questions aux fonctionnaires de l’ASFC et a mené des entrevues. De plus, le Commissariat a analysé la liste des demandes d’accès présentées à l’ASFC concernant ArriveCAN et a examiné les plaintes qu’il a lui-même reçues au sujet de certaines de ces demandes.

L’ASFC, et en particulier son bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP), a pleinement collaboré avec le Commissariat lors de son enquête et a répondu à toutes les questions, demandes de documents et demandes de précisions.

Un thème récurrent tout au long de l’enquête a été la pression importante exercée sur l’ASFC pour qu’elle livre rapidement l’application ArriveCAN. Quand l’ASPC lui a initialement demandé de développer l’application, le changement d’un formulaire papier à une version numérique a été présenté comme étant rapide, simple et peu coûteux. Les observations présentées au cours de l’enquête faisaient valoir que les premières étapes du développement étaient essentiellement informelles, et que les décisions ou les processus étaient peu documentés. À mesure que le projet et ses exigences devenaient plus complexes, l’équipe a adopté des procédures plus structurées.

D’autres organismes de surveillance ont soulevé des préoccupations concernant la tenue de documents dans le cadre du projet. Les examens et les vérifications liés à ArriveCAN ont révélé que la documentation concernant les activités d’approvisionnement et les coûts du projet était incomplète. Le Bureau de l’ombud de l’approvisionnement a signalé la disparition de documents liés à la passation des marchés, tandis que le Bureau du vérificateur général a constaté que la documentation financière n’avait pas été bien tenue, et que des aspects clés du développement de l’application et de la passation de marchés n’étaient pas appuyés par une documentation adéquate.

Il ne fait aucun doute que l’urgence de la pandémie et la pression pour agir rapidement ont grandement contribué à l’utilisation d’outils et de processus informels par l’équipe du projet. Selon l’une des personnes interrogées, la haute direction avait indiqué qu’elle accordait la priorité à une livraison rapide.

Compte tenu de ce qui précède, le Commissariat a axé son enquête sur deux domaines particulièrement pertinents en ce qui a trait à l’accès à l’information : l’exhaustivité des documents fournis en réponse aux demandes d’accès et le respect des délais par l’ASFC.

Exhaustivité des réponses aux demandes d’accès relatives à ArriveCAN

1. Les courriels et autres documents ont-ils été détruits de façon permanente, tel qu’allégué?
2. L’ASFC a-t-elle effectué une recherche raisonnable de documents en réponse aux demandes d’accès relatives à ArriveCAN?
3. D’autres facteurs ont-ils eu une incidence sur la capacité de l’ASFC à fournir des réponses complètes aux demandes de documents relatifs à ArriveCAN?

Respect des délais de réponse aux demandes d’accès relatives à ArriveCAN

4. L’ASFC a-t-elle répondu aux demandes d’accès relatives à ArriveCAN dans un délai similaire à celui des autres demandes d’accès?

Exhaustivité des réponses aux demandes d’accès relatives à ArriveCAN

Plusieurs règles importantes guident la création et la conservation des documents au sein du gouvernement du Canada, ainsi que les pratiques de gestion de l’information à l’ASFC et en lien avec ArriveCAN.

Cadre juridique et stratégique de gestion de l’information

La création et la conservation des documents au sein du gouvernement du Canada sont régies par la Loi sur la Bibliothèque et les Archives du Canada et la Politique sur les services et le numérique du Secrétariat du Conseil du Trésor (SCT), et non par la Loi sur l’accès à l’information.

Le paragraphe 12(1) de la Loi sur la Bibliothèque et les Archives du Canada exige que les institutions fédérales obtiennent l’autorisation écrite de l’administrateur général avant d’aliéner tout document fédéral ou de l’éliminer :

L’élimination ou l’aliénation des documents fédéraux ou ministériels, qu’il s’agisse ou non de biens de surplus, est subordonnée à l’autorisation écrite de l’administrateur général ou de la personne à qui il a délégué, par écrit, ce pouvoir.

La bibliothécaire et archiviste du Canada fournit aux institutions fédérales des autorisations de disposition de documents, ce qui comprend les documents éphémères. Ainsi, les institutions peuvent éliminer les documents qu’elles jugent éphémères sans devoir se référer à Bibliothèque et Archives Canada. L’autorisation de disposition de documents prévoit ce qui suit :

Les documents éphémères ne sont pas des documents à valeur opérationnelle. Ils peuvent inclure des copies ou des exemplaires de documents conservés dans le dépôt d’une institution gouvernementale, mais ne comprennent pas les documents requis pour surveiller, soutenir ou documenter l’exécution des programmes, mener à bien les opérations, prendre des décisions, ou fournir des preuves à l’appui de la reddition de comptes et du rapport sur les activités du gouvernement. [Mise en évidence dans l’original.]

La Loi sur l’accès à l’information prévoit un droit d’accès aux documents relevant d’une institution fédérale lorsqu’une demande d’accès est faite [voir les paragraphes 2(2) et 4(1)]. Ce droit s’applique à la fois aux documents à valeur opérationnelle et aux documents éphémères qui n’ont pas encore été supprimés.

Le document Orientation à l’intention des employés fédéraux : rudiments de la gestion de l’information du SCT, prévoit que les employés doivent consigner les activités et les décisions opérationnelles. Il contient aussi une mise en garde concernant l’élimination des renseignements éphémères s’ils font l’objet d’une demande d’accès à l’information.

Mise en garde!

Les documents éphémères, comme toute autre ressource documentaire sous la responsabilité et la garde du ministère, sont visés par la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels.

Par conséquent, lorsqu’une demande d’accès à l’information (AI) ou de renseignements personnels est attribuée à un employé, il doit fournir tous les documents correspondant à la demande, même s’ils sont éphémères ou qu’il s’agit d’information ayant une valeur opérationnelle. [mise en évidence ajoutée]

Enfin, le Manuel de l’accès à l’information du SCT prévoit que « les institutions ne peuvent détruire aucun document, peu importe qu’il s’agisse de documents éphémères ou qu’ils remplissent les conditions requises pour être détruits selon un calendrier d’élimination, si elles savent qu’une demande d’accès concernant ces documents a été reçue ou est attendue. » [Mise en évidence ajoutée]

Pratiques de gestion de l’information à l’ASFC et relatives à ArriveCAN

L’information fournie par l’ASFC montre qu’elle dispose de politiques, de procédures et d’outils exhaustifs de gestion de l’information, et qu’elle suit également ceux publiés par le SCT ainsi que les politiques internes de gestion des courriels. L’ASFC a mis différents outils à la disposition de son personnel pour favoriser sa compréhension des politiques de gestion de l’information et la conformité à celles-ci. De plus, l’ASFC a expliqué que tous les nouveaux membres du personnel doivent suivre le cours obligatoire de l’École de la fonction publique du Canada sur la gestion de l’information (COR501). En août 2024, elle a ordonné une remise à niveau de la formation dans l’ensemble de l’institution, avec un taux d’achèvement de 88 % entre août et novembre 2024.

L’ASFC a également indiqué qu’elle utilise le système officiel de gestion électronique des documents et des dossiers du gouvernement du Canada (GCDocs), qu’elle appelle Apollo, comme dépôt organisationnel central. Dans le cadre d’entrevues menées durant l’enquête, les fonctionnaires de l’ASFC ont expliqué que cette infrastructure électronique était en place au début de la pandémie de COVID-19 et a facilité la transition vers le télétravail pour de nombreux employés de l’organisation. L’ASFC a déclaré que des rappels réguliers sur la gestion de l’information étaient fournis aux employés dans son infolettre quotidienne, qui était transmise à tout le personnel durant la période de télétravail. De plus, l’ASFC a signalé qu’entre avril 2020 et mars 2023, elle avait produit 173 documents d’information pour le personnel sur des sujets liés à la sauvegarde et à la gestion de l’information, et qu’elle avait publié du contenu sur la gestion de l’information sur son site intranet.

En ce qui concerne la gestion des renseignements relatifs à ArriveCAN, les personnes interrogées ont affirmé que l’ASFC avait mis en place un système de structure de fichiers dans Apollo pour conserver et gérer les documents relatifs à ArriveCAN; il comprenait des dossiers distincts pour divers aspects du projet, tels que les tests, les exigences opérationnelles et la sécurité. Les membres du personnel qui participaient au projet devaient enregistrer les données à valeur opérationnelle sur Apollo, dans le dossier approprié. Ce processus était supervisé par un chef de projet qui avait été engagé à contrat pour l'initiative ArriveCAN.

1. Les courriels et autres documents ont-ils été détruits de façon permanente, tel qu’allégué?

Selon les allégations rapportées (en anglais seulement) par le Globe and Mail, Minh Doan, vice-président et chef de l’information de l’ASFC au moment du lancement d’ArriveCAN, avait géré les courriels d’une manière ayant entraîné la destruction permanente de courriels et d’autres documents qui auraient pu être pertinents pour une demande d’accès à l’information concernant les interactions de l’agence avec GC Strategies. Ces allégations ont été largement discutées dans les médias et lors de réunions de comités parlementaires. Dans ce contexte, il était essentiellement question de la destruction ou de la suppression de courriels couvrant une période de quatre ans, soit de 2018 à 2022, et concernant des sujets tels que la pandémie de COVID-19, ArriveCAN, GC Strategies et les allégations d’inconduite soulevées par une autre entreprise avec laquelle l’ASFC avait des contrats, Botler AI.

L’enquête du Commissariat a permis de faire la lumière sur les événements liés à la destruction et à la suppression alléguées de courriels. Le Commissariat a appris que les allégations décrites par le Globe and Mail avaient d’abord été soulevées par un employé des TI auprès de l’Unité d’intégrité professionnelle (UIP) de l’ASFC. Les allégations portaient sur des documents qui avaient été demandés dans le cadre de la demande d’accès A-2023-04588, laquelle visait les communications entre l’ASFC et GC Strategies concernant Botler AI, du 1^er octobre 2019 au 27 janvier 2023.

Bien que la demande d’accès ne concerne pas directement ArriveCAN, la période durant laquelle les courriels auraient été détruits comprenait la période durant laquelle l’application ArriveCAN était en développement. Des reportages (en anglais seulement) ont également fait état du fait que GC Strategies était le plus important entrepreneur ayant travaillé sur ArriveCAN. Compte tenu du rôle de M. Doan au sein de l’ASFC, de la mention de GC Strategies dans le texte de la demande d’accès et du délai précisé dans celle-ci, le Commissariat a examiné les circonstances ayant mené à la destruction alléguée des documents afin d’établir si elles avaient entravé l’accès à l’information relative à ArriveCAN.

Entrave au droit d’accès

L’alinéa 67.1(1) prévoit que nul ne peut, dans l’intention d’entraver le droit d’accès :

1. détruire, tronquer ou modifier un document;
2. falsifier un document ou faire un faux document;
3. cacher un document;
4. ordonner, proposer, conseiller ou amener de n’importe quelle façon une autre personne à commettre un acte visé à l’un des alinéas a) à c).

Je n’ai pas le pouvoir de mener des enquêtes criminelles ni de déterminer la responsabilité civile ou pénale. Bien que je puisse tirer des conclusions quant à la destruction de documents sur la base des faits qui se présentent à moi, je ne suis pas habilitée à enquêter sur le fait que ces actions ont été entreprises dans l’intention de refuser un droit d’accès en vertu de la Loi sur l’accès à l’information.

Si, au cours de l’enquête, je suis d’avis qu’il existe des éléments de preuve touchant la perpétration d’une infraction fédérale ou provinciale par un administrateur, un dirigeant ou un employé d’une institution fédérale, je peux faire part au procureur général du Canada des renseignements que je détiens à cet égard, comme le prévoit le paragraphe 63(2).

Circonstances ayant mené à la destruction alléguée de documents

La demande d’accès A-2023-04588 visait des documents datant du 1^er octobre 2019 au 27 janvier 2023. L’enquête a révélé que M. Doan a reçu un nouvel ordinateur portable le 19 janvier 2023, en raison d’un problème avec la batterie de son ancien, qui avait été signalé par un collègue. Quand il a essayé de transférer des données vers son nouvel ordinateur portable, M. Doan a découvert qu’un fichier PST Outlook (un format de fichier utilisé pour archiver les données Outlook, notamment les courriels, les contacts, les calendriers, les tâches et les notes) ne s’ouvrait pas. Lorsqu’il a été interrogé par le Commissariat, M. Doan a expliqué qu’il conservait un fichier PST par commodité, notamment en raison de son utilité pendant la pandémie, et que celui-ci n’était pas destiné à être un dépôt principal de documents. Il a confirmé que les documents à valeur opérationnelle étaient sauvegardés dans les dépôts organisationnels de l’ASFC (dont Apollo) par les bureaux de première responsabilité (BPR) relevant de lui ou par son chef de cabinet, qui recevait une copie conforme de la plupart des communications. De plus, les documents reçus ont été soit envoyés, soit reçus par d’autres membres du personnel de l’ASFC; ils auraient donc également été conservés par d’autres personnes.

La documentation examinée par le Commissariat indique que M. Doan avait demandé du soutien aux TI pour accéder au fichier PST le 14 février 2023 ou avant. La demande d’accès A-2023-04588 a été attribuée à M. Doan le 23 février 2023 et, deux heures plus tard, il a de nouveau demandé de l’aide, puisqu’il estimait que le fichier PST pouvait contenir des documents pertinents dans le cadre de la demande.

Les courriels de l’ASFC démontrent qu’en février et en mars 2023, M. Doan a informé plusieurs employés des TI au sujet du fichier PST corrompu et a demandé de l’aide pour récupérer l’information qu’il contenait. Plusieurs personnes à l’ASFC et à Services partagés Canada ont tenté de récupérer les données avec les outils relatifs aux données qu’ils avaient à leur disposition. L’enquête a révélé que le personnel des TI avait manqué certaines occasions durant le processus de récupération. Par exemple, les efforts de récupération se sont limités au nouvel ordinateur portable de M. Doan et ils n’ont pas tenté de récupérer son ancien, qui contenait le fichier PST avant qu’il ne soit corrompu. Au moment où cette omission a été constatée, les deux ordinateurs portables (l’original avec la batterie défectueuse et le nouveau) avaient été effacés à la suite du départ de M. Doan et conformément aux procédures établies. Les efforts de récupération ont finalement permis de récupérer certains fichiers Outlook de M. Doan, mais le fichier PST d’origine n’a jamais été récupéré intégralement.

Le 20 avril 2023, M. Doan a reçu un résumé par courriel des résultats des démarches de récupération. Le lendemain, il a signé une note de service à l’intention du bureau de l’AIPRP indiquant que des efforts raisonnables avaient été faits pour repérer et localiser tous les documents liés à la demande à partir d’un fichier PST corrompu. Le bureau de l’AIPRP estimait que M. Doan avait fourni des efforts raisonnables pour localiser les documents et que les documents contenus dans le fichier PST auraient également été sauvegardés dans d’autres dépôts et qu’il serait possible de les récupérer dans ceux-ci.

Les documents qui avaient été récupérés et sauvegardés sur une clé USB (un petit dispositif de stockage portable) ont été remis au bureau de la vice-présidence en mai 2023. L’ASFC indique que des membres du personnel ont examiné les documents et n’en ont pas trouvé qui répondaient à la demande d’accès.

L’ASFC a répondu à la demande d’accès A-2023-04588 le 18 août 2023. Bien que le Commissariat ait enquêté sur une plainte concernant une recherche raisonnable liée à cette demande, les allégations portaient sur des documents manquants provenant d’autres personnes, et non de M. Doan.

L’enquête a révélé qu’il n’existe aucune politique, directive ou ligne directrice interdisant l’utilisation de fichiers PST à l’ASFC. De plus, je n’ai trouvé aucune raison de douter des explications de M. Doan quant aux motifs pour lesquelles il conservait un fichier PST et aux efforts qu’il a déployés pour récupérer les renseignements.

Conclusion

Bien qu’il soit possible que les documents soient définitivement perdus et que le personnel ait manqué des occasions de récupérer le fichier PST corrompu, je suis d’avis que M. Doan a lui-même fait des efforts raisonnables pour récupérer les documents corrompus.

Rien de ce que j’ai appris au cours de l’enquête sur la destruction alléguée de documents ne me porte à croire qu’une infraction aurait pu être commise aux termes du paragraphe 67.1(1) de la Loi sur l’accès à l’information, et je n’ai divulgué aucun renseignement à ce sujet au procureur général du Canada.

Je conclus en outre que les documents visés par la demande d’accès A-2023-04588 ont finalement été trouvés et que le droit d’accès n’a pas été entravé.

Cette enquête a mis en lumière le fait que, bien que l’utilisation de fichiers PST puisse être pratique, elle compromet la gouvernance, la conformité et la traçabilité. Les fichiers PST étant souvent conservés localement sur des ordinateurs individuels ou sur des lecteurs partagés avec un accès restreint, les renseignements ne sont pas conservés dans des systèmes centralisés de gestion de l’information. Il est donc possible qu’une recherche de documents en réponse à une demande d’accès ne permette pas de trouver de l’information importante parce qu’une seule personne ou très peu de personnes savent que ces documents existent. De plus, les organisations n’ont généralement pas de registre des fichiers PST, ce qui rend difficile l’application des politiques de conservation et d’élimination.

2. L’ASFC a-t-elle effectué une recherche raisonnable de documents en réponse aux demandes d’accès relatives à ArriveCAN?

Recherche raisonnable

L’ASFC était tenue d’effectuer une recherche raisonnable pour les documents visés par les demandes d’accès qu’elle a reçues, c’est-à-dire qu’un ou des employés expérimentés de l’institution ayant une connaissance du sujet des demandes d’accès doivent avoir fourni des efforts raisonnables pour repérer et localiser tous les documents raisonnablement liés aux demandes.

Une recherche raisonnable correspond au niveau d’effort attendu de toute personne sensée et juste à qui l’on demande de chercher les documents pertinents à l’endroit où ils sont susceptibles d’être conservés.

Il n’est pas nécessaire que cette recherche soit parfaite. Une institution n’est donc pas tenue de prouver hors de tout doute qu’il n’existe pas d’autres documents. Les institutions doivent toutefois être en mesure de démontrer qu’elles ont fait des démarches raisonnables pour repérer et localiser les documents pertinents.

Demandes d’accès relatives à ArriveCAN

L’examen des renseignements fournis par l’ASFC au Commissariat a permis de conclure que l’ASFC a reçu 189 demandes d’accès visant des documents relatifs à ArriveCAN depuis avril 2021. L’ASFC a indiqué que deux de ces demandes étaient toujours actives en date du 18 mars 2026.

Les demandes d’accès visant des renseignements liés à ArriveCAN ont été traitées conformément aux procédures existantes, comme toutes les autres demandes reçues qui visaient la même période.

L’ASFC a déclaré que certaines mesures ont été mises en place lorsque les BPR ont reçu un certain nombre de demandes d’accès relatives à ArriveCAN. Par exemple, le bureau de l’AIPRP a créé un rapport pour assurer le suivi de toutes les demandes relatives à ArriveCAN afin de s’assurer que les BPR concernés étaient au courant de l’état des demandes. De plus, le bureau de l’AIPRP exigeait que tous les documents liés à ArriveCAN soient soumis au directeur général et au chef de la protection des renseignements personnels pour approbation. L’ASFC a déclaré que ce processus visait à assurer l’uniformité des réponses et à minimiser le nombre d’exceptions appliquées aux documents.

Plaintes déposées auprès du Commissariat concernant les réponses aux demandes relatives à ArriveCAN

Le Commissariat a reçu 21 plaintes concernant les réponses de l’ASFC à 189 demandes d’accès relatives à ArriveCAN. Parmi ces plaintes, 14 contenaient des allégations relatives au caractère raisonnable de la recherche et/ou à des documents manquants.

À l’issue des enquêtes du Commissariat concernant 5 des 14 plaintes, l’ASFC a récupéré des documents qui n’étaient pas inclus dans ses réponses initiales. Cependant, les circonstances ayant permis de repérer des documents supplémentaires étaient propres à chaque plainte. Dans l’un des cas, aucun BPR n’a été chargé de chercher des documents. Dans un autre, les pièces jointes à un courriel n’étaient pas incluses dans la réponse initiale du BPR et il a été jugé que c’était attribuable au fait qu’une personne n’avait pas fourni tous les documents pertinents lorsqu’on le lui a demandé. Pour deux plaintes, des documents ont été localisés après avoir utilisé des renseignements et des mots-clés supplémentaires lors des recherches subséquentes demandées par le Commissariat.

Au cours de l’enquête sur les allégations concernant des documents manquants dans le cadre de la demande d’accès A-2023-04588 (la demande en cause dans les allégations de destruction de documents à l’encontre de M. Doan), des documents supplémentaires ont été récupérés du compte de courriel d’une personne qui n’était plus à l’emploi de l’ASFC au moment de la demande. Ces documents ont été fournis à la partie plaignante, qui a par la suite confirmé qu’elle était satisfaite de cette communication et que la plainte était close sans qu’aucune autre mesure ne soit nécessaire.

L’une des 14 plaintes concernant la recherche raisonnable était encore ouverte à la fin de la présente enquête.

Dans les huit autres dossiers de recherche raisonnable, les enquêtes ont soit fait l’objet d’un désistement par la partie plaignante, soit d’une cessation d’enquête par le Commissariat après que les questions sur lesquelles porte l’enquête aient été réglées, ou que les plaintes ont été jugées non fondées.

Conclusion

Le Commissariat a reçu 14 plaintes concernant la question de savoir si l’ASFC a effectué ou non une recherche raisonnable de documents en réponse à 189 demandes d’accès visant des renseignements sur ArriveCAN. Parmi celles-ci, cinq enquêtes ont permis de récupérer des documents supplémentaires. Dans chaque cas, les mesures prises par l’ASFC ont corrigé les lacunes constatées avant que le Commissariat ne conclue ses enquêtes.

Mes enquêtes susmentionnées n’ont pas révélé de problème systémique lié à la façon dont l’ASFC a effectué des recherches de documents relatifs à ArriveCAN qui aurait pu avoir une incidence sur les réponses aux demandes d’accès.

3. D’autres facteurs ont-ils eu une incidence sur la capacité de l’ASFC à fournir des réponses complètes aux demandes de documents relatifs à ArriveCAN?

Utilisation de Slack par l’équipe d’ArriveCAN

L’enquête a révélé que l’équipe d’ArriveCAN utilisait Slack afin de favoriser la collaboration entre ses membres en centralisant les conversations, les applications et les données dans des canaux dédiés pour une communication organisée. Slack est une plateforme de messagerie et de collaboration axée sur les activités professionnelles, propriété de Salesforce Inc. Elle permet le clavardage en temps réel, le partage de fichiers de même que les appels audio et vidéo, et elle est intégrée à d’autres outils. La Direction générale de l’information, des sciences et de la technologie (DGIDT) de l’ASFC a mis en œuvre Slack au début de 2019, avant la pandémie, alors qu’elle explorait de nouvelles façons de communiquer et de collaborer. À cette époque, les employés de l’ASFC n’avaient pas accès à MS Teams, qui n’a été disponible qu’en 2020.

Un nouveau canal Slack a été créé pour l’équipe travaillant sur ArriveCAN en avril 2020, lorsque de nombreux employés sont passés au télétravail. Selon l’ASFC, Slack a offert à l’équipe technique d’ArriveCAN un moyen de rester connectée, de coordonner le travail et de partager de l’information et des mises à jour.

Les déclarations des employés de l’ASFC et les courriels indiquent que l’utilisation de Slack pour le développement d’ArriveCAN a été approuvée par des personnes occupant les postes de directeur et de directeur général au sein de la DGIDT, et que d’autres cadres supérieurs de l’ASFC étaient également au courant de son utilisation. Les gestionnaires, les professionnels de la sécurité et les utilisateurs techniques qui participaient directement au développement, aux tests et à la coordination du lancement d’ArriveCAN connaissaient Slack et l’utilisaient. Selon l’ASFC, Slack était principalement utilisé à l’interne par des personnes occupant des postes de directeur, de gestionnaire, de développeur de logiciel, d’analyste de l’assurance de la qualité, d’analyste d’expérience utilisateur ainsi que des développeurs et consultants contractuels. Certains intervenants externes utilisaient également Slack, comme les représentants techniques de sociétés spécialisées dans les logiciels et les applications mobiles. Bien que l’ASFC ait déclaré qu’elle ne disposait pas des renseignements ou des documents nécessaires pour déterminer la fréquence d’utilisation ou le nombre d’utilisateurs actifs à un moment donné, elle a indiqué qu’elle comptait environ 180 utilisateurs inscrits au total, y compris les utilisateurs qui n’étaient pas associés à ArriveCAN.

En juin 2022, la Direction de la cybersécurité de l’ASFC a soulevé des préoccupations concernant l’utilisation d’outils de collaboration non standard, comme Slack, par l’équipe de projet ArriveCAN lors d’une évaluation de sécurité en lien avec une nouvelle version de l’application. Parallèlement, une ébauche de plan d’action en matière de gestion de la sécurité indiquait que l’équipe de projet abandonnerait Slack et utiliserait plutôt MS Teams, conformément aux recommandations découlant de l’évaluation.

Les communications par courriel examinées par le Commissariat indiquent que Slack était toujours utilisé par l’ASFC en 2022 et au début de 2023. Un courriel daté de février 2023 précisait que l’ASFC prévoyait devoir ajouter un nouvel utilisateur Slack dans les prochaines semaines, soit dans un délai d’un à deux mois.

Dans ses observations au Commissariat, l’ASFC a déclaré que le plan d’action en matière de gestion de la sécurité a été approuvé en mars 2023 et que Slack a été officiellement abandonné dans le cadre d’efforts plus larges visant à utiliser des plateformes de communication approuvées et sécurisées.

En avril 2023, une personne occupant le poste de directeur par intérim de la DGIDT a demandé à un chef d’équipe de supprimer l’espace de travail Slack au plus tard le 12 mai 2023. Le 21 avril 2023, un courriel a été envoyé aux utilisateurs de Slack à l’ASFC pour les aviser que l’application cesserait d’être utilisée. Le 12 mai 2023, le même chef d’équipe a envoyé un courriel au directeur par intérim indiquant que les messages Slack avaient été supprimés.

La décision de supprimer Slack a été prise par l’ASFC en tenant compte de plusieurs facteurs, entre autres le fait que la Direction de la cybersécurité avait soulevé des préoccupations au sujet de son utilisation; l’ASFC s’est donc engagée à cesser de l’utiliser. De plus, l’ASFC estimait qu’il ne serait plus financièrement viable de maintenir la plateforme, ce qui engendrait des coûts continus, quand le financement d’ArriveCAN prendrait fin en mai 2023. L’ASFC a également expliqué que, étant donné l’utilisation de Microsoft Teams, la duplication des outils de collaboration et les coûts associés n’étaient pas nécessaires. L’ASFC a par ailleurs expliqué qu’elle avait tenu compte de la nature des données conservées sur Slack lorsqu’elle a pris sa décision de supprimer la plateforme, en indiquant que cet espace ne contenait que des documents éphémères et que tous les documents à valeur opérationnelle, tels que les documents relatifs aux décisions, avaient été sauvegardés dans les dépôts ministériels et non dans Slack.

Renseignements sur Slack et son importance eu égard au droit d’accès du public

Étant donné que Slack a été supprimé plusieurs mois avant le lancement de l’enquête, le Commissariat n’a pas pu examiner le contenu de l’espace de travail Slack ni confirmer la nature et la valeur des renseignements qui y ont été créés, partagés et conservés. De plus, l’ASFC n’a pas pu fournir de sauvegardes ou de copies d’archives de cet espace de travail. Le Commissariat a donc examiné les éléments de preuve et les déclarations recueillies par l’UIP, mené ses propres entrevues avec des utilisateurs de Slack et sollicité des observations auprès de l’ASFC afin de mieux comprendre la nature des documents conservés sur Slack et leur pertinence possible dans le cadre des demandes d’accès relatives à ArriveCAN.

Selon l’ASFC, Slack était utilisé pour la messagerie, le partage limité de fichiers contenant des renseignements relatifs aux tâches, la coordination avec les partenaires externes, le suivi des tâches et les flux automatisés (p. ex. information provenant des boutiques Apple et Google Play). Au cours des entrevues avec l’UIP et le Commissariat, les utilisateurs ont décrit les renseignements sur Slack comme étant de nature technique et ont affirmé ne pas être au courant de renseignements protégés ou autrement sensibles qui auraient été conservés sur la plateforme. Ils ont expliqué que Slack était utilisé pour les communications entre les développeurs de l’ASFC et ses partenaires externes, principalement pour discuter et attribuer des tâches. Le Commissariat a reçu un exemple de message Slack qui avait été copié dans le cadre d’une discussion par courriel concernant les tests des notifications poussées. Le message Slack contenait des mises à jour sur les tests et le dépannage en cours concernant l’application.

L’examen de la liste des canaux créés pour l’espace de travail révèle que Slack a été utilisé pour la communication et la coordination de nombreux aspects du développement et de la maintenance d’ArriveCAN. L’espace de travail comprenait un canal pour l’ensemble de l’équipe, ainsi qu’un canal réservé aux développeurs. On y trouvait également des canaux pour des équipes ou des activités précises (bogues et tests, tests de mise en production, tests de régression, exigences, soutien, traduction, accessibilité, commentaires sur l’App Store [flux automatique], développement Web) ainsi qu’un canal pour un partenaire externe.

Je conclus que Slack a été utilisé entre avril 2020 et mai 2023 pour l’échange de renseignements entre les membres du personnel de l’ASFC, les fournisseurs et les sous-traitants liés au développement, aux tests et aux exigences d’ArriveCAN, et que ces renseignements étaient pertinents en ce qui a trait au droit d’accès du public.

Consignes concernant l’utilisation de Slack et la gestion de l’information

Dans ses observations, l’ASFC a souligné que les renseignements créés sur Slack étaient de nature éphémère et que Slack n’était pas considéré comme un dépôt officiel. Les employés avaient pour consigne de sauvegarder tous les renseignements à valeur opérationnelle, y compris les décisions et les documents opérationnels, ailleurs que dans Slack. Les observations de l’ASFC, ainsi que les déclarations faites lors d’entrevues avec les membres de l’équipe de projet ArriveCAN, décrivaient de nombreux dépôts organisationnels où les renseignements partagés ou créés sur Slack auraient été sauvegardés, notamment Apollo et d’autres outils utilisés pour la gestion des défauts et la gestion des tâches. Le Commissariat a également examiné un échange de courriels entre des membres du personnel de l’ASFC entre avril 2020 et mai 2021, dans lequel la personne agissant à titre de gestionnaire du projet ArriveCAN précisait que les renseignements à valeur opérationnelle ne devaient pas être communiqués au moyen de Slack.

L'ASFC a fourni des principes directeurs sur l’utilisation de Slack, créés en février 2021, qui indiquaient notamment la façon dont Slack devait être utilisé, par exemple pour les questions-réponses courtes, les mises à jour et les rappels. Les principes indiquaient également aux utilisateurs d’effectuer leurs communications dans le canal approprié. Toutefois, l’ASFC n’a fourni aucun document prouvant qu’elle avait communiqué les principes directeurs à qui que ce soit ou qu’une autre formation avait été offerte au personnel pour s’assurer que les documents étaient sauvegardés dans les dépôts organisationnels. L’ASFC a déclaré qu’une formation individuelle sur Slack avait été offerte aux membres de l’équipe lors de leur intégration. De plus, il n’existe aucune preuve qu’une orientation a été fournie aux membres de l’équipe ArriveCAN entre l’adoption de Slack pour le projet ArriveCAN en avril 2020 et la création des principes directeurs en février 2021.

Concernant la conservation des renseignements avant la suppression de l’espace de travail Slack, l’ASFC a déclaré qu’elle avait évalué s’il était nécessaire de conserver les renseignements sur Slack avant sa suppression et a conclu que cet espace de travail ne contenait pas de renseignements à valeur opérationnelle. Plus précisément, l’ASFC a indiqué que les personnes qui ont facilité la suppression de l’espace de travail Slack ont examiné les renseignements qui s’y trouvaient avant sa suppression afin de s’assurer que tous ceux ayant une valeur opérationnelle étaient sauvegardés.

Les courriels révèlent que la personne occupant le poste de directeur par intérim, qui a ordonné la suppression de l’espace de travail Slack, a demandé à un chef d’équipe de collaborer avec la personne agissant à titre de gestionnaire de projet ArriveCAN pour s’assurer que tous les fichiers susceptibles d’être nécessaires étaient téléchargés. Ce courriel, ainsi que les déclarations recueillies lors des entrevues, confirment qu’il a été envisagé de conserver les renseignements sur Slack. Cependant, dans leurs déclarations au Commissariat, toutes les personnes concernées ont reconnu qu’aucune vérification des renseignements figurant sur Slack n’avait été effectuée et qu’aucune mesure n’avait été prise pour sauvegarder des documents précis se trouvant dans cet espace de travail avant sa suppression. Elles ont affirmé qu’il n’était pas nécessaire d’examiner ou de conserver les renseignements sur Slack, puisque, selon elles, les renseignements figurant dans l’espace de travail étaient éphémères ou étaient des copies de documents sauvegardés dans d’autres dépôts, et que les documents à valeur opérationnelle avaient également été sauvegardés dans ces dépôts officiels.

Le Commissariat a examiné le courriel envoyé aux utilisateurs de Slack au sein de l’ASFC pour les aviser que l’espace de travail allait être supprimé. Ce courriel ne contenait ni instruction ni orientation pour les utilisateurs concernant l’examen ou la conservation des documents conservés sur Slack avant sa suppression.

Documents visés par des demandes d’accès présentées avant la suppression de Slack

Le Commissariat a examiné si l’utilisation de Slack et sa suppression subséquente avaient pu affecter l’exhaustivité des réponses de l’ASFC aux demandes d’accès. L’ASFC a initialement déclaré qu’il n’y avait aucun renseignement pertinent dans Slack au moment de sa suppression; cependant, elle n’a fourni aucune information sur la recherche de renseignements visés par des demandes dans l’espace de travail ou qui en était responsable. La personne occupant le poste de directeur intérimaire à l’époque a déclaré qu’avant la suppression de Slack, la pertinence des documents se trouvant dans Slack en lien avec les demandes avait été prise en considération, mais il avait été conclu qu’il n’y avait pas de demande active à ce moment-là. Cependant, selon cette personne, le bureau de l’AIPRP de l’ASFC n’a pas été consulté sur ce point.

Le Commissariat a examiné les demandes d’accès relatives à ArriveCAN pour établir si des renseignements se trouvant sur Slack auraient pu être pertinents dans le cadre de l’une ou l’autre d’entre elles, en effectuant une recherche dans les textes de demandes visant des références aux communications telles que les messages instantanés en général et Slack en particulier. Le Commissariat a également cherché des sujets et des mots-clés liés au développement et à la conception de l’application ainsi qu’au contenu susceptible de se trouver sur Slack, en fonction de la liste des canaux Slack, des observations de l’ASFC et des déclarations des témoins.

Le Commissariat a relevé des demandes d’accès qui faisaient référence à des renseignements qui auraient pu être créés, être partagés ou qui auraient autrement existé dans l’espace de travail Slack. Parmi celles-ci, 16 ont été présentées à l’ASFC avant la suppression de Slack. Le Commissariat a demandé à l’ASFC des observations concernant les recherches effectuées pour ces demandes afin d’établir si Slack aurait pu contenir des documents pertinents et si une recherche y avait été effectuée.

L’ASFC a affirmé que tous les membres du personnel ayant participé au projet ArriveCAN auraient été chargés de récupérer les documents visés par les demandes relatives au projet et que les demandes auraient été attribuées à la DGIDT dans le cadre des activités normales de l’AIPRP.

Dans le cadre d’une recherche raisonnable, les institutions doivent être en mesure de démontrer qu’elles ont fait des démarches raisonnables pour repérer et localiser les documents pertinents dans les emplacements où ils sont susceptibles de se trouver.

L’ASFC a affirmé que Slack n’était pas utilisé pour créer ou stocker des documents et elle a indiqué que tous les documents ou dossiers auraient été sauvegardés sur Apollo. L’ASFC a déclaré que les documents conservés sur Slack seraient temporaires et seraient des copies de documents conservés dans les systèmes officiels.

Bien qu’il soit pertinent de classer les documents comme éphémères ou ayant une valeur opérationnelle au titre des politiques de conservation et d’élimination des documents, ce ne l’est pas aux fins de la recherche de documents en réponse à des demandes d’accès. Lorsqu’une institution reçoit une demande faite en vertu de la Loi sur l’accès à l’information, tous les documents pertinents, y compris les documents éphémères, doivent être récupérés et fournis au bureau de l’AIPRP.

L’ASFC a effectué une recherche dans Slack en réponse à une seule demande d’accès

Malgré l’utilisation de Slack comme outil de collaboration et de communication dans le cadre du développement de l'application ArriveCAN, l’ASFC a seulement identifié une demande d’accès pour laquelle une recherche de documents a été effectuée dans Slack, soit la demande A-2022-16871, déposée en août 2022 :

[Traduction]

Toutes les communications, y compris les courriels, les textos, les messages instantanés, les messages Slack, les messages WhatsApp, les notes de breffage, les notes de service, les infocapsules, etc. envoyés/reçus par des fonctionnaires du ministère responsables du dossier eu égard aux paiements ou aux consignes données par le ministère concernant les évaluations en ligne de l’application ArriveCAN.

Selon l’ASFC, le BPR concerné a cherché des documents pertinents dans le cadre de la demande dans Slack, mais, comme, à ce moment-là, il n’avait ni donné de consignes ni effectué de paiement à une partie concernant les commentaires en ligne liés à ArriveCAN, aucun document pertinent n’avait été créé ou n’existait dans Slack ou un autre dépôt. Après avoir pris en considération les renseignements pertinents, je suis d’avis que la réponse de l’ASFC selon laquelle il n’y avait pas de document était raisonnable, dans les circonstances.

Une deuxième demande d’accès visant expressément les messages Slack, ZA-2023-13742, a été présentée après la suppression de Slack. La personne qui a fait la demande a abandonné cette dernière avant que l’ASFC ne communique une réponse.

Autres demandes d’accès visant des documents qui auraient pu se trouver sur Slack

Le texte d’autres demandes examinées par le Commissariat ne mentionnait pas expressément Slack. Toutefois, compte tenu des renseignements dont la présence sur Slack a été révélée dans le cadre de l’enquête, je conclus que les personnes qui ont fait les demandes cherchaient des renseignements qui auraient pu être discutés ou partagés sur la plateforme.

L’ASFC a confirmé que Slack aurait pu contenir des documents relatifs aux discussions en lien avec le sujet de quatre demandes d’accès reçues avant la suppression de Slack. L’ASFC a reconnu qu’une recherche dans Slack aurait dû être effectuée pour trouver les documents pertinents et a indiqué qu’elle n’a pas été faite.

Deux autres demandes d’accès portaient sur la correspondance ou les autres communications avec des organismes externes, tels que des fournisseurs, concernant des sujets liés à la création de l’application et aux données recueillies au moyen de celle-ci. L’ASFC a fait valoir qu’aucune recherche n’avait été faite dans Slack dans ces cas, parce qu’il était utilisé uniquement pour les communications entre les membres du personnel et les représentants des entrepreneurs, qui pourraient être considérés comme des membres du personnel temporaires. L’ASFC a déclaré que les entrepreneurs n’étaient pas considérés comme des organisations ou des entités distinctes, comme le précise le texte des demandes.

D’autres observations et éléments de preuve fournis par l’ASFC indiquent que Slack était utilisé pour communiquer avec des représentants d’organisations externes, notamment des fournisseurs, des entrepreneurs et/ou des sous-traitants. Par exemple, plusieurs représentants commerciaux externes sont répertoriés dans les documents comme des utilisateurs enregistrés de Slack.

Je suis d’avis que l’ASFC semble avoir interprété le texte de la demande d’accès et la terminologie utilisée par les personnes qui ont fait les demandes d’une manière restrictive, ce qui ne constitue pas une justification suffisante pour ne pas avoir fait de recherche dans Slack, qui aurait pu contenir des communications pertinentes au sujet du contenu de ces deux demandes. Pour que les recherches soient considérées comme raisonnables, il aurait fallu prendre des mesures pour effectuer une recherche dans Slack.

Puisque Slack était toujours utilisé et accessible avant la date de sa suppression (le 12 mai 2023) et qu’il pouvait vraisemblablement détenir des documents en lien avec le sujet de six demandes d’accès, les BPR avaient l’obligation de rechercher des documents pertinents dans Slack. Puisque Slack n’a pas fait l’objet d’une recherche, je conclus que l’ASFC n’a pas effectué une recherche raisonnable de documents en réponse à ces six demandes d’accès. Je note qu’aucune plainte n’a été déposée au Commissariat concernant ces demandes.

Dans des circonstances normales, le Commissariat demanderait à l’ASFC d’effectuer des recherches supplémentaires et d’examiner les documents pertinents en vue de les communiquer aux personnes qui ont fait des demandes. Bien sûr, ce n’est plus possible, puisque Slack a été supprimé.

Utilisation de comptes de courriel non gouvernementaux

L’enquête a révélé que certains employés de l’ASFC affectés à l’équipe ArriveCAN, dont ceux qui mettaient à jour l'application ArriveCAN dans la boutique Google Play, ont reçu l’instruction de créer un compte Google (p. ex. prénom.nomASFC​@​gmail​.​com) pour effectuer ce travail. Les adresses personnelles/de l’ASFC ont été créées dans le seul but d’accéder aux plateformes de distribution d’applications pour effectuer des tâches comme la publication et la mise à jour de l’application, car les boutiques d’applications exigent qu’une adresse de courriel provenant de leurs services soit utilisée (p. ex. Google Play Store exige une adresse de courriel @gmail.com). L’ASFC soutient que ces comptes étaient utilisés seulement pour les interactions techniques et administratives avec les boutiques d’applications et que les documents qui s’y trouveraient consisteraient en des notifications des plateformes et d’autres renseignements administratifs éphémères liés à la gestion des boutiques. L’ASFC a déclaré que tous les documents à valeur opérationnelle, y compris les communications organisationnelles, auraient été sauvegardés dans ses dépôts organisationnels.

L’examen des informations d’identification des utilisateurs pour l’espace de travail Slack de l’ASFC a révélé que certains employés utilisaient aussi des adresses de courriel non gouvernementales pour accéder à cette plateforme. L’ASFC a confirmé qu’aucune politique ou directive formelle n’ayant été émise concernant le compte de courriel que les employés devaient utiliser pour accéder à Slack, ils choisissaient d’utiliser leur compte de courriel de l’ASFC, personnel/de l’ASFC ou personnel. L’ASFC a expliqué que les adresses de courriel étaient requises à des fins d’authentification et que seules des notifications Slack auraient été envoyées à ces adresses. Selon l’ASFC, aucun document relatif aux activités n’aurait donc été communiqué ou conservé dans ces comptes et aucune recherche n’y aurait été effectuée lors du traitement des demandes d’accès.

La création ou l’utilisation des comptes de courriel non gouvernementaux pour accéder à des plateformes tierces et exercer des activités pour le compte de l’ASFC, y compris le travail relatif à ArriveCAN, soulève d’importantes préoccupations. La gestion des affaires gouvernementales au moyen d’appareils personnels, d’adresses électroniques non gouvernementales ou de plateformes externes pose des défis continus en matière de gestion des archives et de respect des obligations en matière d’accès. De telles pratiques risquent notamment de disperser les documents relatifs aux activités gouvernementales dans plusieurs endroits et d’accroître le risque de réponses incomplètes ou inadéquates aux demandes d’accès. Ces risques soulignent l’importance pour l’institution d’adopter des pratiques et des directives claires concernant la création, la conservation et l’accessibilité des documents relatifs aux activités gouvernementales.

Je signale une décision rendue récemment en Ontario (en anglais seulement), dans laquelle la Cour a refusé d’intervenir dans les conclusions de la commissaire à l’accès à l’information et à la protection des renseignements personnels, selon lesquelles les entrées dans les journaux des appels liés à des activités gouvernementales ou ministérielles effectuées sur le téléphone cellulaire personnel d’un fonctionnaire ayant trait à des affaires gouvernementales ou ministérielles relèvent de l’institution et qu’il est raisonnable de s’attendre à ce qu’un fonctionnaire produise de l’information relative à des affaires gouvernementales provenant de son journal des appels personnel sur demande. La Cour a confirmé que de tels documents peuvent relever du champ d’application de la législation en matière d’accès à l’information, sous réserve d’exceptions précises et limitées. Il a également été conclu que la commissaire de l’Ontario avait appliqué raisonnablement le critère de contrôle prévu dans la loi provinciale et qu'elle avait dûment tenu compte des objectifs de la législation en matière d'accès à l'information ainsi que de l'incidence qu’un refus de communication pouvait avoir sur le droit d’un citoyen ou d’une citoyenne de participer pleinement à la démocratie.

Cette décision rappelle que la portée des obligations en matière d’accès qui incombent à une institution découle de la nature de l’activité consignée, et non du choix de la plateforme ou de l’appareil. Les documents relatifs aux activités ministérielles peuvent donc être communiqués dans le cadre d’une demande d’accès, même s’ils sont conservés sur des systèmes autres que ceux approuvés par le gouvernement, et les institutions peuvent être tenues de prendre des mesures raisonnables pour repérer et récupérer ces documents.

Enfin, même si ce n’est pas intentionnel, l’utilisation de comptes de messagerie non officiels pour exercer des activités gouvernementales importantes donne l’impression que les fonctionnaires se soustraient aux règles relatives à la tenue de documents et qu’ils pourraient tenter d’échapper à leurs responsabilités.

Rôle du bureau de l’AIPRP

Le Manuel de l’AIPRP du SCT prévoit que le bureau de l’AIPRP doit notamment « établir une méthode de travail permettant de fournir des réponses exactes et rapides aux demandes d’accès à l’information ». Je m’attends à ce que les méthodes de travail d’un bureau de l’AIPRP fonctionnel incluent une fonction de contrôle, c’est-à-dire qu’elle examine systématiquement la réponse du BPR aux tâches qui lui sont attribuées. Cet examen est essentiel pour s’assurer que le BPR a bien compris la portée de la demande d’accès et que tous les renseignements pertinents ont été récupérés.

Il est impossible pour un bureau de l’AIPRP d’avoir des méthodes de travail adéquates en place pour fournir des réponses précises aux demandes d’accès s’il n’est pas mis au courant des fonds de renseignements de l’institution. Mon enquête a révélé que le bureau de l’AIPRP n’a jamais été informé que l’espace de travail Slack était utilisé pour exercer des activités relatives à ArriveCAN. En fait, le bureau de l’AIPRP de l’ASFC a été informé de l’utilisation de Slack plus d’un an après sa suppression. Le bureau de l’AIPRP n’a donc pas pu jouer son rôle essentiel d’examen critique lorsque les BPR ont répondu aux demandes d’accès relatives à ArriveCAN.

Conclusion

Je conclus que l’ASFC n’a pas effectué de recherche raisonnable en réponse à six demandes d’accès relatives à ArriveCAN.

• L’ASFC a reconnu que, bien qu’il soit possible que des documents pertinents dans le cadre de quatre demandes d’accès aient été conservés dans Slack, aucune recherche n’y a été effectuée.
• Slack aurait pu contenir des documents pertinents dans le cadre de deux autres demandes et l’ASFC n’a pas fourni de justification suffisante quant à la décision de ne pas effectuer une recherche sur Slack.
• Il n’existe aucune preuve de directives ou de politiques documentées concernant l’utilisation de Slack et la gestion des renseignements créés et enregistrés sur Slack entre avril 2020 et la création des principes directeurs en février 2021.
• L’ASFC n’a pas été en mesure de fournir de documents permettant de vérifier comment et quand les principes directeurs ont été communiqués aux membres du personnel, ni comment le respect de ces principes et des pratiques de gestion de l’information était surveillé.
• Le bureau de l’AIPRP n’était pas au courant de l’existence de Slack et n’a donc pas pu vérifier l’exhaustivité des documents qu’il a reçus.

Respect des délais de réponse aux demandes d’accès relatives à ArriveCAN

4. L’ASFC a-t-elle répondu aux demandes d’accès relatives à ArriveCAN dans un délai comparable à celui des autres demandes?

L’article 7 exige que les institutions répondent aux demandes d’accès dans un délai de 30 jours, à moins qu’elles aient transmis la demande à une autre institution ou pris une prorogation de délai valide parce qu’elle satisfait aux critères de l’article 9. Lorsqu’une institution ne répond pas à une demande dans le délai de 30 jours ou dans le délai prorogé, elle est réputée avoir refusé de communiquer les documents en vertu du paragraphe 10(3).

Plaintes déposées auprès du Commissariat concernant le respect des délais

À la conclusion de l'enquête, le Commissariat avait reçu 20 plaintes concernant des retards et des prolongations de délai découlant des 189 demandes d’accès relatives à ArriveCAN présentées à l’ASFC.

Les enquêtes concernant ces plaintes sont terminées et elles ont toutes mené à la conclusion que l’ASFC n’a pas répondu aux demandes d’accès dans les délais prévus par la Loi sur l’accès à l’information. À la conclusion de l’enquête portant sur deux des plaintes, j’ai ordonné à l’ASFC de répondre à la demande. Elle avait déjà répondu aux autres demandes avant qu’une ordonnance ne soit nécessaire.

Délais de réponse moyens de l’ASFC

En réponse aux questions du Commissariat, l’ASFC a fourni des données indiquant que le délai moyen de réponse aux demandes relatives à ArriveCAN était de 224 jours civils au cours de l’exercice 2024-2025, comparativement à 101 jours pour les demandes liées aux documents organisationnels de l’ASFC (à l’exclusion des renseignements sur l’immigration).

L’ASFC a expliqué que les délais de réponse peuvent varier en fonction de divers facteurs, tels que la complexité du dossier et le nombre de documents, et qu’ils ne sont donc pas directement comparables. Par exemple, l’ASFC a précisé que les demandes concernant les documents organisationnels ont généré un nombre moyen de 80 pages, tandis que les demandes relatives à ArriveCAN ont généré un nombre moyen de 661 pages. Pour répondre aux demandes relatives à ArriveCAN, l’ASFC a traité plus de 320 000 pages et en a communiqué près de 125 000. Le Commissariat a examiné l’information obtenue de l’ASFC afin d’établir les facteurs supplémentaires, le cas échéant, qui auraient pu avoir une incidence sur la capacité de l’ASFC à répondre aux demandes d’accès dans les délais prévus par la Loi sur l’accès à l’information.

Incidence de la préparation de réponses aux comités parlementaires

Le Commissariat a noté que l’ASFC devait également préparer de la documentation à communiquer aux comités parlementaires examinant l'initiative ArriveCAN. L’ASFC a expliqué que la préparation de cette documentation avait une incidence sur la capacité de certains BPR à répondre aux demandes d’accès dans les délais prescrits. Plus précisément, certains experts au sein de la DGIDT et de la Direction générale des finances et de la gestion organisationnelle étaient chargés, simultanément, de fournir des réponses aux questions du Parlement et aux demandes d’accès relatives à ArriveCAN. Les réponses destinées au Parlement avaient priorité, ce qui a retardé la récupération de documents en réponse à certaines demandes d’accès.

L’ASFC soutenait que la préparation de la documentation à communiquer au Parlement avait une incidence moins importante sur le bureau de l’AIPRP que sur les BPR, étant donné qu’il était géré par du personnel des bureaux du directeur de la gestion de cas d’AIPRP et du directeur général et chef de la protection des renseignements personnels. Par conséquent, l’incidence sur les ressources participant au traitement des demandes d’accès était minime.

Incidence de l’interruption des serveurs

L’ASFC a expliqué qu’une panne de serveur qui a touché le système de gestion des dossiers du bureau de l'AIPRP, en 2024, avait eu une incidence sur les délais de réponse moyens durant la période allant de 2021 à 2024. Le Commissariat a examiné l’information disponible concernant cette panne et son incidence sur les réponses de l’ASFC aux demandes d’accès à l’information.

Le 20 février 2024, l’ASFC a informé le Commissariat d’une panne touchant 40 de ses serveurs, survenue pendant des opérations de maintenance des infrastructures menées par Services partagés Canada. Certains des serveurs touchés contenaient des renseignements relatifs aux demandes d’accès, aux documents pertinents dans le cadre de demandes en cours et aux documents liés aux enquêtes sur les plaintes.

Bien que les renseignements inaccessibles n’aient pas été supprimés et qu’aucune atteinte à la sécurité n’ait été détectée, l’ASFC n’a pas été en mesure d’accéder aux renseignements hébergés sur les serveurs de manière à assurer la continuité des activités. La panne a obligé l’ASFC à revenir au traitement manuel pendant les deux semaines où elle a été privée de son système de gestion de dossiers. Il a fallu deux mois pour que toutes les fonctionnalités du système de gestion de dossiers soient rétablies.

L’ASFC a confirmé que la panne de serveurs a limité sa capacité à répondre aux demandes d’accès, y compris celles relatives à ArriveCAN, reçues au moyen du système Demande d’AIPRP en ligne entre septembre 2021 et novembre 2023, ainsi qu’aux demandes reçues par d’autres moyens jusqu’en février 2024. Globalement, environ 16 000 demandes d’AIPRP actives ont été bloquées par la panne. Services partagés Canada et l’ASFC ont réussi à récupérer 5 200 demandes, mais les 10 800 autres étaient inaccessibles.

Concrètement, l’ASFC devait donc reconstruire, dans certains cas avec l’aide du Commissariat, des centaines de demandes. De plus, les personnes qui avaient fait des demandes d’accès étaient invitées à les présenter de nouveau. Le bureau de l’AIPRP de l’ASFC a embauché 12 employés temporaires pour participer aux efforts de récupération, lesquels ont été achevés en août 2024. L’ASFC a déclaré avoir récupéré quelque 4 000 demandes et qu’environ 1 200 avaient été présentées de nouveau. La panne s’est traduite par une augmentation considérable de la charge de travail du bureau de l’AIPRP et a entraîné des retards dans le traitement des demandes par l’ASFC.

En ce qui concerne l’incidence sur les demandes d’accès relatives à ArriveCAN, l’ASFC a expliqué qu’elle assurait le suivi de ces demandes dans une feuille de calcul Microsoft Excel distincte, qui était mise à jour chaque semaine avant la panne des serveurs. L’ASFC a donc pu cibler plus facilement les demandes touchées. En fin de compte, l’ASFC n’a pas été en mesure d’établir si une réponse avait été fournie à 9 des 189 demandes relatives à ArriveCAN. Elle n’a pas non plus pu retracer l’origine de ces demandes afin d’y donner suite. Par conséquent, neuf personnes auraient dû présenter de nouveau leur demande restée sans réponse.

L’ASFC a indiqué qu’au 29 septembre 2025, elle avait retrouvé sa capacité de réponse antérieure à la panne, à savoir qu’elle était capable de répondre à entre 1 000 et 1 200 demandes d’accès par semaine. Elle avait alors un inventaire de 316 demandes en cours qui ne portaient pas sur ArriveCAN, dont l’échéance était dépassée, et elle s’efforçait de réduire cet arriéré.

Par ailleurs, même si la maintenance et la gestion des serveurs relèvent de Services partagés Canada, l’ASFC a informé le Commissariat que ces deux institutions ont depuis mis en place des mesures visant à prévenir de nouvelles pannes. Plus précisément, Services partagés Canada a révisé ses protocoles de sauvegarde pour toutes ses organisations partenaires et l’ASFC a créé un calendrier d’évaluation du fonctionnement de toutes les sauvegardes.

Conclusion

Selon les délais de réponse moyens communiqués par l’ASFC, les personnes qui ont demandé des documents concernant ArriveCAN ont attendu un peu plus longtemps pour recevoir une réponse que celles qui demandaient communication de documents organisationnels. Je conviens que la complexité des demandes relatives à ArriveCAN et la quantité de documents connexe sont probablement des facteurs contribuant aux différences dans les délais de réponse. De plus, la charge de travail des BPR auxquels ont été attribuées les demandes concernant ArriveCAN avait augmenté en raison de la nécessité de préparer de la documentation pour les comités parlementaires. Le tout a eu une incidence sur leur capacité à récupérer rapidement les documents.

La panne de serveurs survenue en février 2024 a eu des répercussions importantes sur les activités du bureau de l’AIPRP de l’ASFC et une incidence négative sur sa capacité à répondre rapidement à toutes les demandes d’accès, y compris celles relatives à ArriveCAN. Selon les renseignements fournis par l’ASFC, les demandes relatives à ArriveCAN représentaient une faible proportion des demandes touchées par la panne. De plus, étant donné que l’ASFC a enregistré ces demandes séparément, l’incidence de la panne a été moins importante pour celles-ci que pour les autres demandes.

Je conclus donc que l’ASFC a pris des mesures raisonnables pour réagir à cet incident et pour récupérer les renseignements touchés.

L’enquête n’a pas révélé de préoccupations particulières concernant la rapidité des réponses de l’ASFC aux demandes d’accès relatives à l’initiative ArriveCAN. Bien que les explications fournies par l’ASFC pour justifier les retards soient pertinentes pour comprendre pourquoi il a fallu plus de temps pour répondre aux demandes relatives à ArriveCAN, elles ne constituent pas une justification valable du retard selon de la Loi sur l’accès à l’information.

Résultat

Il ne fait aucun doute que les fonctionnaires de l’ASFC ont subi une pression importante pour livrer ArriveCAN, et je n’ai aucune raison de douter que la santé et la sécurité des Canadiens et Canadiennes ont été la préoccupation principale de l’ASFC lors de la création de cette application.

L’enquête a permis d’établir que l’équipe responsable d’ArriveCAN utilisait Slack pour communiquer au sujet du développement, de la conception et de la maintenance d’ArriveCAN. L’enquête a confirmé que l’ASFC avait reçu des demandes d’accès de personnes recherchant des renseignements liés aux sujets et aux activités qui auraient été gérés sur Slack; cependant, aucun document provenant de Slack n’a été récupéré ou fourni en réponse à ces demandes avant que Slack ne soit définitivement supprimé.

Il n’est pas pertinent d’établir si je crois ou non les affirmations des fonctionnaires de l’ASFC selon lesquelles tous les renseignements sur Slack étaient éphémères. Les membres du personnel des institutions assujetties à la Loi sur l’accès à l’information ne doivent ni supprimer ni détruire de documents, y compris les documents éphémères, lorsqu’ils ont reçu une demande d’accès visant ces documents. Les mauvaises pratiques en matière de gestion de l’information nuisent au droit d’accès et aux mécanismes mis en place par le Parlement pour s’assurer qu’il est respecté.

Depuis l’entrée en vigueur de la Loi sur l’accès à l’information en 1983, les technologies numériques ont transformé la façon dont l’information est créée, conservée et communiquée, et tant le volume que la complexité des documents gouvernementaux ont augmenté. Je soutiens les institutions qui souhaitent adopter des façons novatrices d’améliorer les services offerts à la population canadienne, mais pas lorsque c’est au détriment des principes fondamentaux de la Loi en matière d’ouverture, de transparence et de responsabilité, qui sont essentiels à une saine démocratie.

La plainte est fondée.

• L’ASFC n’a pas effectué de recherche de documents dans Slack en réponse à six demandes d’accès, alors qu’il aurait été raisonnable de le faire.

Recommandations

Je recommande au ministre de la Sécurité publique et de la Protection civile ce qui suit :

1. Mettre en œuvre des politiques formelles et documentées gouvernant l’utilisation d’outils de collaboration de tiers

L’ASFC n’a pas été en mesure de fournir de directives documentées sur l’utilisation de Slack entre avril 2020 et février 2021, d’éléments de preuve selon lesquels les principes directeurs créés en février 2021 ont été diffusés, ni d’orientation formelle sur la conservation de l’information créée dans Slack, ou de démontrer comment la conformité à ces principes et aux pratiques de gestion de l’information était surveillée.

L’ASFC devrait imposer des politiques exhaustives régissant l’utilisation d’outils de collaboration de tiers comme Slack. Ces politiques devraient :

• définir clairement les types de renseignements qui peuvent être créés, partagés ou stockés sur ces plateformes;
• exiger que tous les documents à valeur opérationnelle soient transférés vers des dépôts officiels (p. ex. Apollo);
• interdire la suppression ou la mise hors service des plateformes sans vérification préalable auprès du bureau de l’AIPRP.

2. Renforcer la surveillance de la tenue de documents relative aux projets majeurs de même qu’exiger des procédures documentées d’examen et de conservation avant de mettre les systèmes hors service

La suppression de Slack sans examen formel, sans mesures documentées de conservation et sans consultation du bureau de l’AIPRP constituait une grave lacune en matière de gouvernance.

Avant de supprimer un système ou un espace de travail, l’ASFC doit mettre en œuvre des procédures obligatoires qui comprennent les éléments suivants :

• un examen documenté du contenu par des fonctionnaires désignés;
• la confirmation que tous les documents à valeur opérationnelle ont été sauvegardés dans les dépôts ministériels officiels;
• une consultation auprès du bureau de l’AIPRP pour établir si le système contient des renseignements pertinents dans le cadre de demandes d’accès existantes;
• l’approbation écrite d’une autorité compétente confirmant que la suppression peut être effectuée.

3. Interdire ou réglementer strictement l’utilisation de comptes de courriel non gouvernementaux pour les activités de l’ASFC

L’utilisation de comptes de courriels personnels ou personnels/de l’ASFC pour accéder à Slack et aux boutiques d’applications a entraîné des risques en ce qui a trait à la récupération de documents aux fins d’accès et de transparence (p. ex. les documents opérationnels stockés dans des systèmes externes ne sont pas indexés, consultables ou connus des bureaux de l’AIPRP, la fragmentation entraîne un plus grand risque de produire des réponses incomplètes aux demandes d’accès et donne l’impression que les fonctionnaires se soustraient aux règles de tenue de documents et pourraient essayer d’éviter de rendre des comptes).

L’ASFC devrait interdire l’utilisation de comptes de courriel non gouvernementaux à des fins professionnelles, sauf s’ils sont expressément autorisés par une politique formelle (p. ex. directive concernant l’utilisation des comptes de courriel non gouvernementaux à des fins professionnelles [en anglais seulement]). Lorsque des exceptions s’avèrent nécessaires, l’ASFC devrait :

• documenter la justification;
• s’assurer que tous les documents à valeur opérationnelle créés au moyen de ces comptes sont transférés dans les dépôts officiels;
• veiller à ce que tous les documents dans ces comptes fassent l’objet d’une recherche lorsqu’une demande d’accès les visant est reçue;
• assurer la surveillance afin de garantir le respect de la politique énoncée.

4. Réduire le recours aux dispositifs de stockage personnel

L’utilisation de fichiers PST peut nuire à la gouvernance, au respect des exigences et à la traçabilité, car ces fichiers ne sont pas conservés dans les dépôts ministériels.

L’ASFC devrait dissuader son personnel d’utiliser des fichiers PST, des lecteurs locaux et des plateformes de communication informelles comme lieux de stockage principaux. Des directives claires devraient être émises pour s’assurer que tous les documents à valeur opérationnelle sont rapidement transférés vers Apollo ou d’autres dépôts approuvés.

5. Procéder à des vérifications périodiques des pratiques de gestion de l’information

Pour les initiatives d’envergure telles qu’ArriveCAN, l’ASFC devrait procéder à des vérifications périodiques afin de s’assurer de ce qui suit :

• les documents à valeur opérationnelle sont conservés et sauvegardés dans les dépôts ministériels appropriés;
• l’élimination ou la mise hors service des systèmes se font uniquement dans le cadre des processus habituels de conservation et d’élimination;
• les responsabilités en matière de gestion de l’information sont clairement attribuées et surveillées.

De telles vérifications permettraient de cerner les problèmes dès le début et d’éviter que les lacunes constatées dans cette enquête se reproduisent.

6. Renforcer la fonction d’analyse critique du bureau de l’AIPRP

L’enquête a révélé que le bureau de l’AIPRP n’avait pas une connaissance complète de toutes les plateformes de communication et de tous les dépôts d’information utilisés par le secteur de programme pendant la période faisant l’objet de l’enquête. La capacité du bureau de l’AIPRP à exercer efficacement son rôle d’analyse critique et à évaluer si les recherches effectuées par les BPR étaient complètes a donc été entravée, comme en témoigne le fait que l’ASFC n’a pas fait de recherche sur Slack pour six demandes d’accès. Pour renforcer ce rôle d’analyse critique, il faut que le bureau de l’AIPRP soit en mesure de cerner les lacunes potentielles et de remettre en question les recherches lorsque c’est nécessaire.

Pour favoriser une fonction d’examen critique plus efficace, l’ASFC devrait :

• s’assurer que le bureau de l’AIPRP est informé de tous les dépôts d’information et outils de communication utilisés dans l’ensemble de l’organisation;
• exiger que les BPR fournissent une justification claire lorsqu’ils excluent certains dépôts de leurs recherches;
• formaliser les attentes concernant la façon dont le bureau de l’AIPRP assume son rôle d’analyse critique lors de l’examen des recherches;
• fournir au bureau de l’AIPRP une formation et des outils pour l’aider à cerner les lacunes potentielles dans les recherches.

Rapport et avis de l’institution

Le 31 mars 2026, j’ai transmis au ministre de la Sécurité publique et de la Protection civile mon rapport dans lequel je présentais mes recommandations.

Le 30 avril 2026, la présidente de l’ASFC m’a avisée qu’elle donnerait suite à mes recommandations.

Plus précisément, l’ASFC a déjà commencé à renforcer ses pratiques de gestion de l’information suite à une vérification interne de la gestion de l’information effectuée en juin 2025. La présidente a confirmé que 20 % de la réponse et du plan d’action de la direction découlant de la vérification interne avaient déjà été mis en œuvre et le reste des mesures devrait être achevé d’ici la fin de 2026.

L’ASFC s’engage également à :

• Établir des politiques documentées formelles régissant l’utilisation des outils de collaboration tiers et les comptes de courriel non gouvernementaux;
• Intégrer des points de contrôle de la gestion de l’information à chaque étape des projets :
  • La documentation, y compris les décisions et tous les produits découlant du projet, est désormais requise avant toute approbation de projet;
• Établir une politique formelle concernant l’utilisation de comptes de courriel non gouvernementaux à des fins professionnelles;
• Mettre en œuvre une stratégie progressive visant à réduire l’utilisation de dispositifs de stockage personnel d’ici 2027, afin de garantir que l’information de l’ASFC est stockée dans des dépôts approuvés;
• Effectuer des vérifications continues de la conformité en matière de gestion de l’information par l’entremise de la Direction générale des recours, des normes et de l’intégrité des programmes établie en 2025;
• Renforcer la fonction d’analyse critique du bureau de l’AIPRP au moyen de directives plus claires quant à la recherche et d’une formation ciblée à l’intention des analystes avant la fin de l’exercice en cours.

Les problèmes sous-jacents révélés au cours de cette enquête ne lui sont pas propres et ne se limitent pas au contexte précis de la pandémie de COVID-19. Ils témoignent de vulnérabilités structurelles plus larges qui touchent le droit d’accès et qui existent chaque fois que des outils de collaboration numériques sont utilisés sans être encadrés par des mécanismes appropriés de gouvernance, de surveillance ou de gestion de l’information.

Pour que l’accès à l’information continue d’être significatif à l’ère numérique, il faut que les institutions, les décideurs politiques et le Parlement lui accordent une attention soutenue, établissent des responsabilités claires et prennent des mesures décisives. Par conséquent, j’ai l’intention de publier un rapport spécial dans mon rapport annuel 2025-2026 afin d’attirer l’attention sur trois des difficultés auxquelles fait face le système d’accès à l’information du Canada dans son ensemble.