Les partis fédéraux n’assurent pas la confidentialité de leurs données

Chacun parti a indiqué que des employés seront formés à la gestion des données personnelles.
Photo: iStock Chacun parti a indiqué que des employés seront formés à la gestion des données personnelles.

Les principaux partis politiques fédéraux échouent à demander à leurs membres un consentement éclairé à la collecte, à l’utilisation et à la divulgation de leurs renseignements personnels, conclut une analyse du commissariat à la protection de la vie privée.

Selon ce rapport interne obtenu par La Presse canadienne grâce à la Loi sur l’accès à l’information, les partis n’ont pas établi des limites précises quant à l’utilisation et à la conservation des données. Ils ne donnent pas assez de renseignements sur les mesures de sécurité pour les protéger ni sur la façon dont les gens peuvent vérifier si elles sont exactes. Ce rapport a été rédigé à la fin du mois d’août.

Les informations sur les électeurs potentiels peuvent être extrêmement précieuses pour les partis politiques. Elles leur permettent de mieux repérer les sympathisants ou de rédiger leur programme.

Cependant, l’inquiétude grandit depuis longtemps quant à la façon dont les partis utilisent les données personnelles, d’autant plus que les principales lois fédérales sur la confidentialité ne s’appliquent pas à eux.

Le bureau du commissaire a évalué les politiques de confidentialité des libéraux, des conservateurs, des néodémocrates, des verts et des bloquistes à la suite de l’entrée en vigueur des modifications à la Loi électorale du Canada, le 1er avril.

La loi oblige désormais les partis à rédiger des politiques de confidentialité pour protéger les renseignements personnels, à les soumettre à Élections Canada et à les publier en ligne.

Le commissaire à la protection de la vie privée, Daniel Therrien, avait critiqué les nouvelles dispositions, notamment le fait que son bureau ou tout autre organisme indépendant ne soit pas obligé de superviser les enquêtes et de statuer sur les plaintes relatives aux atteintes à la vie privée.

M. Therrien et le directeur général des élections, Stéphane Perrault, avaient conseillé aux partis de se conformer à la nouvelle loi. Dans un document d’orientation, ils avaient publié des lignes directrices pour aider les partis à se conformer aux dispositions et à suivre les meilleures pratiques en matière de protection des renseignements personnels fondées sur les normes du droit international. Les principes relatifs à l’équité dans le traitement de l’information abordaient les mesures de base qu’un parti devrait appliquer lors de la collecte, de l’utilisation et du stockage de données personnelles.

« Aucun des cinq partis analysés n’a respecté les 10 principes », indique le nouveau rapport.

Selon le rapport, même si les partis ont établi un cadre pour obtenir le consentement des individus quant à l’utilisation et la collecte de données personnelles, ils n’ont pas fourni de preuves suffisantes que celui-ci est valide et informé.

Pour l’auteur du rapport, les termes employés par les partis ne semblent pas indiquer que le consentement est demandé clairement. Il semble plutôt être établi de façon implicite.

La plupart des partis ont reconnu avoir collecté le plus d’informations publiquement disponibles possible, notamment les réseaux sociaux dont font partie un individu et ses contacts.

Le commissaire à la protection de la vie privée conseille aux partis de ne conserver les informations personnelles que le temps nécessaire pour satisfaire des fins légitimes, puis de les détruire de façon sécuritaire.

Chaque parti a fixé une limite à l’utilisation et à la divulgation des données personnelles, mais aucun d’entre eux ne parle de la durée de leur conservation, note le rapport.

La plupart des partis n’ont pas fourni « une explication adéquate » des mesures de sécurité utilisées pour protéger les informations personnelles contre la perte ou l’utilisation abusive, ajoute l’auteur du rapport. Tous les partis ont affirmé qu’un certain type de sécurité générale était en place. Mais seuls le Parti libéral et le Parti vert ont mentionné des systèmes de sécurité spécifiques, comme le chiffrement ou les classeurs verrouillés.

Chacun parti a indiqué que des employés seront formés à la gestion des données personnelles.

Le commissaire à la protection de la vie privée affirme que les partis politiques devraient donner aux individus l’accès à leurs informations sur demande, y compris toutes les inférences ou prédictions faites à leur sujet et un compte rendu de la façon dont les données ont été utilisées.

Ils devraient également permettre aux gens de corriger ou de modifier tout renseignement personnel si son exactitude ou son exhaustivité est contestée et jugée dépassée, conseille le commissaire.