Si les hacktivistes décident de s’attaquer aux partis politiques lors de la prochaine élection fédérale (et le Centre de la sécurité des télécommunications Canada est tout à fait certain que ce sera le cas) ils pourraient facilement récupérer les renseignements personnels des électeurs détenus par ces partis sans que ces derniers ne soient obligés de signaler cette atteinte.
« Le signalement obligatoire des atteintes à la sécurité est un principe de base reconnu en protection des renseignements personnels, comme en témoignent les modifications de la LPRPDE entrées en vigueur le 1er novembre 2018 », a écrit la Section du droit de la vie privée et de l'accès à l'information de l’ABC dans un mémoire adressé au gouvernement portant sur les propositions de modifications de la Loi électorale. « Or, le projet de loi C-76 n’exige pas d’avis dans le cas d’une atteinte à la sécurité. Cette norme fondamentale devrait s’appliquer aux partis politiques. »
Ce n’est pas le seul domaine où les partis politiques ne sont pas assujettis aux normes de base s’agissant de l’accès aux renseignements personnels et de leur protection, malgré les protections par ailleurs relativement complètes des renseignements personnels en vigueur au Canada. Par conséquent, alors que la section est ravie de constater les tentatives faites dans le projet de loi C-76 pour accroître les obligations des partis politiques dans ce domaine, elle pense que la Loi sur la modernisation des élections ne va pas tout à fait assez loin.
« [N]’étant assujettis à aucune loi dans ce domaine [la protection de la vie privée], les partis n’ont pas d’obligation, et les citoyens n’ont aucun recours à cet égard », écrit la section. « Du point de vue légal et éthique, il est de moins en moins admissible que les partis puissent recueillir des renseignements personnels sans le consentement éclairé des citoyens et sans que la loi permette à ceux-ci de les consulter, d’en contrôler la diffusion, de corriger les erreurs ou de les faire retirer des bases de données du parti. »
Le projet de loi C-76 propose de modifier la Loi électorale du Canada de façon à exiger des partis politiques qu’ils possèdent une politique sur la protection des renseignements personnels. La section souligne que c’est la seule chose qui est exigée des partis. « Cette modification semble n’exiger rien de plus qu’une déclaration générale sans aucune directive ni norme objective qui permettrait de déterminer la portée suffisante de la déclaration. C’est insuffisant. »
Les politiques sur la vie privée devraient satisfaire aux normes minimum énoncées dans l’annexe 1 de la LPRPDE, affirme la section.
Notamment, il faudrait exiger que la politique s’engage à fournir des détails au sujet des données recueillies, ainsi que de la source et des coordonnées du fournisseur si elles proviennent d’un courtier en données, et qu’elle explique clairement l’utilisation prévue de ces données. Elle devrait, en outre, indiquer la formation devant être dispensée en matière de protection des renseignements personnels non seulement aux employés, mais aussi aux bénévoles qui pourraient y avoir accès.
Les plaintes au sujet des atteintes aux politiques sur la protection des renseignements personnels devraient être adressées au Commissariat à la protection de la vie privée ou, à défaut, le directeur général des élections devrait être tenu de consulter le commissaire à la protection de la vie privée si une atteinte ou une plainte lui est signalée.