Cadre de gestion de la protection des renseignements personnels

Table des matières

• Introduction
• Facteurs déterminants de l'approche de l'Agence en matière de protection des renseignements personnels
• Principes directeurs de la protection des renseignements personnels
• Notre engagement à l'égard de la protection des renseignements personnels
• Gouvernance
• Conclusion
• Ressources
• Annexe A: Principes de la protection des renseignements pesronnels dès la conception
• Annexe B: Mandat du chef de la protection des renseignements personnels
• Annexe C: Responsabilités des chefs et des cadres supérieurs de l'Agence relativement à la protection des renseignements personnels
• Annexe D: Responsabilités des employés de l'Agence relativement à la protection des renseignements personnels

Introduction

La protection de vos renseignements personnels est notre priorité

L’Agence du revenu du Canada est l’un des plus importants détenteurs de renseignements personnels au gouvernement du Canada. L’une de nos principales priorités consiste à veiller à ce que ces renseignements personnels soient gérés et protégés correctement.

Nous sommes engagés à protéger la confiance que les Canadiens accordent à notre organisation. Afin de répondre aux attentes des Canadiens, nous prenons les mesures nécessaires pour protéger les renseignements personnels, gérer correctement les données et assurer la responsabilité des employés à l’égard de la protection des renseignements personnels.^{Note de bas de page 1} La protection des renseignements personnels signifie la protection et la gestion efficaces des renseignements personnels par la détermination, l’évaluation, la surveillance et l’atténuation des risques pour la protection des renseignements personnels dans les programmes et les activités de l’Agence qui comportent la collecte, la conservation, l’utilisation, la divulgation et l’élimination de renseignements personnels.

Nous avons le pouvoir d’obtenir des contribuables des renseignements qui sont pertinents pour l’administration et l’application des lois propres aux programmes de l’Agence, et de la Loi de l’impôt sur le revenu et de la Loi sur la taxe d’accise. À l’Agence, la gestion et la protection des renseignements des Canadiens sont régies par différentes lois et politiques, comme la Loi sur la protection des renseignements personnels, les politiques et les directives connexes du Secrétariat du Conseil du Trésor (SCT), et les instruments de politique comme la politique sur la protection des renseignements personnels de l’Agence. Nous recueillons, utilisons et divulguons des renseignements personnels conformément à ces lois et règlements.

Bien que la responsabilité générale du programme de protection des renseignements personnels (CPRP) de l’Agence revient au chef de la protection des renseignements personnels, la responsabilité des divers mécanismes visant à appuyer la protection des renseignements personnels à l’Agence – énumérés dans la section « Notre engagement à l’égard de la protection des renseignements personnels » du présent document – est assumée conjointement par un certain nombre de cadres supérieurs.^{Note de bas de page 2}

Le cadre de gestion de la protection des renseignements personnels (ci-après appelé « le cadre ») a pour objet d’articuler notre vision, notre objectif et notre engagement à l’égard de la protection des renseignements personnels, y compris le traitement et la protection des renseignements personnels, afin que la vie privée de nos clients soit respectée. Le cadre est conçu comme document de référence pour les contribuables et les employés (« clients ») de l’Agence.

Nous définissons ces termes clés comme suit :

Gestion de la protection des renseignements personnels

Ensemble des activités d’une organisation pour :

• recueillir, utiliser et divulguer des renseignements personnels en conformité avec la loi et les directives réglementaires
• protéger les renseignements personnels
• gérer les risques liés au traitement de ces renseignements

Renseignements personnels

Les renseignements personnels sont les renseignements, quels que soient leur forme et leur support, concernant un particulier identifiable.^{Note de bas de page 3}

Facteurs déterminants de l’approche de l’Agence en matière de protection des renseignements personnels

Le paysage de la protection des renseignements personnels évolue rapidement : les attentes du public à l’égard de la gestion et de la protection des renseignements s’accentuent.^{Note de bas de page 4}

Bien qu’elle entraîne un renforcement des lois régissant la protection des renseignements personnels (p. ex., l’adoption du règlement général sur la protection des données par l’Union européenne et l’examen de la Loi sur la protection des renseignements personnels par le ministère de la Justice),^{Note de bas de page 5} cette évolution met en évidence la nécessité de renforcer les responsabilités relatives au traitement et à la protection des renseignements personnels. Afin de maintenir la confiance des citoyens, les organisations doivent être en mesure de démontrer qu’elles ont mis en place une quantité suffisante de pratiques appropriées pour le traitement et la protection des renseignements personnels.

Nous avons adopté un cadre de responsabilisation intégré qui prévoit divers mécanismes techniques et organisationnels pour traiter et protéger les renseignements personnels de façon appropriée, notamment :

• des rôles et des responsabilités clairs qui englobent tous les aspects du mandat de l’Agence en matière de protection des renseignements personnels
• des structures de gouvernance qui assurent l’efficacité de la surveillance, de la production de rapports et de la prise de décisions
• des politiques, des ressources et une formation internes et externes transparentes pour la protection des renseignements personnels
  

Les atteintes à la vie privée augmentent et constituent une priorité pour toutes les organisations.

Nous reconnaissons que pour prévenir les atteintes à la vie privée, il faut intégrer la protection des renseignements personnels à toutes les activités organisationnelles. Pour faciliter cette démarche, il faut mobiliser la totalité des directions générales et des régions, puisqu’elles partagent la responsabilité de traiter adéquatement les renseignements personnels qu’elles recueillent, conservent, utilisent, divulguent et éliminent.

L’Agence intègre les principes de la protection des renseignements personnels dès la conception dans l’élaboration et l’exploitation des systèmes informatiques, de l’infrastructure en réseau et des pratiques opérationnelles, de manière à atténuer les risques, à orienter les solutions dès le départ et à stimuler l’excellence opérationnelle.

L’Agence ajoute aussi à son effectif de nouveaux professionnels et spécialistes de la protection des renseignements personnels qui comprennent la façon de tirer parti d’une quantité sans cesse grandissante de données tout en assurant la protection des renseignements personnels.

La protection des renseignements personnels n’est plus perçue comme un obstacle à l’innovation et au service, mais plutôt comme un catalyseur stratégique qui favorise la prestation de services en privilégiant la protection des renseignements personnels.

Nous avons établi une structure de gouvernance complète et efficace pour la protection des renseignements personnels afin de favoriser une culture de protection des renseignements personnels avec des résultats mesurables, de manière à démontrer que le respect de la vie privée est une priorité absolue. La protection des renseignements personnels imprègne les discussions et les décisions d’ordre opérationnel puisqu’elle est considérée comme une mesure proactive qui ajoute à la valeur de l’organisation en stimulant l’innovation et l’élaboration de solutions créatives.

Le programme de la protection des renseignements personnels de l’Agence a aussi évolué en établissant des capacités stratégiques plutôt que seulement opérationnelles, compte tenu de la demande accrue du public et de l’ensemble de l’Agence à l’égard du soutien et de l’expertise consultatifs en matière de protection des renseignements personnels.

Principes directeurs de la protection des renseignements personnels

Afin de favoriser la confiance des clients envers l’Agence, nous croyons en l’élaboration d’un langage au sujet de la protection des renseignements personnels qui nous permettra de travailler à l’atteinte des mêmes objectifs.

Nos principes directeurs en matière de protection des renseignements personnels sont les suivants:

1. Nous valorisons et respectons les données des clients en notre possession et nous permettons à nos clients de bien comprendre comment elles sont utilisées et à quelles fins.
2. Nous appuyons nos employés afin qu’ils comprennent leurs responsabilités en matière de traitement des données et nous répondons aux demandes de nos clients en temps opportun et utile pour offrir une expérience transparente et efficace.
3. Nous plaçons nos clients au cœur de tous les changements et améliorations de la prestation de services en adoptant des pratiques innovantes et en intégrant les principes de protection des renseignements personnels dès la conception dans tout ce que nous accomplissons.
4. Nous collaborons avec les employés et nous assurons une gestion efficace et sécurisée des données des clients dans toutes les directions générales de l’Agence pour favoriser l’adoption d’une approche holistique visant à établir et à maintenir la confiance des clients.
5. Nous prenons des décisions sur la façon dont les données des clients sont traitées en conformité avec les obligations législatives, les pratiques exemplaires de confidentialité et fondées sur des normes éthiques.

Notre engagement à l’égard de la protection des renseignements personnels

Notre engagement à l’égard de la protection des renseignements personnels consiste à gérer et à protéger vos renseignements personnels de façon proactive grâce à la collaboration à l’échelle de l’Agence et à l’adoption des principes de protection des renseignements personnels dès la conception.^{Note de bas de page 6} Nous croyons que la gestion de la protection des renseignements personnels est une responsabilité que tous nos employés partagent, ce qui signifie que notre engagement à l’égard de cette protection s’étend à la totalité des directions générales et des régions de l’Agence et que chacun de nos quelque 46 000 employés doit l’honorer.

Afin de respecter notre engagement à l’égard de la protection des renseignements personnels, nous concentrons nos efforts sur la prise des mesures décrites ci-dessous, qui, lorsqu’elles sont combinées, offrent un ensemble complet de mécanismes permettant de protéger vos renseignements personnels. La responsabilité de ces mécanismes incombe à différents responsables de l’Agence, le chef de la protection des renseignements personnels ayant dans sa ligne de mire chaque capacité afin de s’acquitter de son mandat et d’aider l’Agence à respecter son engagement à l’égard de la protection des renseignements personnels.^{Note de bas de page 7}

1. Conception et exécution des programmes

Nous intégrons nos principes directeurs de la protection des renseignements personnels et les principes de la protection des renseignements personnels dès la conception^{Note de bas de page 8} dans l’élaboration, l’exploitation et la gestion de tous les programmes, processus, solutions et technologies qui comportent des renseignements personnels. Nous tenons compte de la nécessité d’assurer une prestation de services et une protection des renseignements personnels à la fois efficaces et opportunes de manière à assurer la protection de nos biens de nature délicate les plus vulnérables.

Les principales capacités en matière de protection des renseignements personnels sont les suivantes :

• Utilisateur au centre : Nous visons à établir pour les Canadiens une expérience de service positive qui est axée sur l’utilisateur, sécuritaire et transparente de bout en bout. Nous élaborons nos services afin qu’ils soient faciles à utiliser et intégrés, dans la mesure du possible, de façon à vous offrir une expérience client uniforme et transparente dans toutes vos interactions avec l’Agence, et la protection des renseignements personnels en est une composante fondamentale.
• Gouvernance et gérance^{Note de bas de page 9} : Nous disposons de solides mécanismes de gouvernance et de gérance pour assurer la surveillance et la responsabilisation de la protection des renseignements personnels à l’Agence, et pour orienter l’opérationnalisation efficace des exigences en matière de protection des renseignements personnels.
• Avis de confidentialité et communications sur la protection des renseignements personnels : Nous sommes réceptifs et transparents dans nos communications avec vous afin de nous assurer que vous connaissez vos droits en matière de vie privée et la manière dont l’Agence utilise et gère vos renseignements personnels (p. ex., le rapport annuel au Parlement concernant l’administration de la Loi sur la protection des renseignements personnels). Nous sommes également proactifs en avertissant le public au sujet de communications frauduleuses qui prétendent provenir de l’Agence.
• Authentification : Afin de protéger vos renseignements personnels, nous validons l’identité de nos clients à l’aide de :
  • portails ou de systèmes
  • consultations par téléphone ou en personne, notamment en leur demandant des justificatifs d’identité
  • processus d’ouverture de session ou d’authentification à deux facteurs auxquels nous exigeons que les clients se soumettent
• Nous gérons également les justificatifs d’identité des employés afin de nous assurer que seuls les employés autorisés ont accès à des renseignements personnels à des fins autorisées.
• Gestion de l’identité : Nous recueillons les renseignements nécessaires pour établir avec exactitude l’identité de nos clients lorsqu’ils utilisent nos services, de manière à protéger vos renseignements personnels.

2. Échange de renseignements

L’Agence doit à l’occasion communiquer des renseignements, notamment à des contribuables, des employés ou d’autres tiers. Lors de ces échanges de renseignements, nous intégrons les contrôles et les exigences en matière de protection des renseignements personnels dans toutes les communications afin de faciliter le traitement et la protection appropriés des renseignements personnels.

Les principales démarches de protection des renseignements personnels sont les suivantes :

• Échange de données à l’intérieur de l’Agence : Comme Agence, nous collaborons afin de respecter nos obligations et offrir à nos clients une expérience sans problèmes en échangeant leurs données avec les directions générales pertinentes, lorsque c’est pertinent et justifié.
• Communication de renseignements provinciaux, territoriaux et fédéraux : Dans le cadre du mandat de l’Agence qui consiste à assurer l’administration de l’impôt et des prestations au nom de nos partenaires provinciaux et territoriaux, nous communiquons les renseignements personnels des clients aux gouvernements provinciaux, territoriaux et fédéraux s’il y a lieu (et comme c’est énoncé dans la législation), tout en respectant la vie privée et la sécurité, de manière à assurer une prestation de services gouvernementaux efficace.
• Conventions avec des administrations internationales : Lorsque nous échangeons des renseignements avec des administrations internationales, nous prenons les précautions nécessaires en suivant les lignes directrices de l’Organisation de coopération et de développement économiques (OCDE) et en intégrant des clauses relatives à la protection des renseignements personnels dans nos conventions.
• Fournisseurs de services et partenaires tiers : Nous intégrons des contrôles et des exigences de sécurité et de protection des renseignements personnels dans toutes nos interactions avec des fournisseurs de services tiers, que ce soit pour l’acquisition de services ou la réalisation d’examens et de vérifications visant des fournisseurs de services tiers.
• Gestion des plaintes et des demandes de renseignements sur la protection des renseignements personnels : Nous cherchons à répondre aux plaintes et aux demandes de renseignements des clients au sujet de leurs renseignements personnels et de leur droit à la vie privée, et à les résoudre, de façon transparente et opportune.
• Données de source ouverte : Pour nous acquitter de notre mandat, nous utilisons des données de source ouverte accessibles au public conformément aux lois canadiennes qui régissent la protection des renseignements personnels, et aux procédures de l’Agence.
• Anonymisation des données : Nous prenons les mesures nécessaires pour anonymiser les ensembles de renseignements personnels avant la communicatoin des renseignements statistiques afin de respecter la vie privée des personnes.
• Échange de renseignements avec des tiers autorisés : Nous nous efforçons d’intégrer le niveau approprié de mesures de protection des renseignements personnels dans tous les échanges de renseignements avec des tiers autorisés, comme les préparateurs de déclarations de revenus, les institutions financières et les représentants autorisés.

3. Contrôles internes et externes

L’Agence prend les précautions et les mesures nécessaires pour protéger les renseignements personnels contre les menaces externes et internes.

Les principales démarches de protection des renseignements personnels sont les suivantes :

• Contrôles externes : Nous protégeons les renseignements personnels des clients contre les menaces externes, comme les attaques cybernétiques et l’hameçonnage, en utilisant des pare-feux et des logiciels de chiffrement, de détection des virus et de prévention des intrusions, en recueillant les renseignements sur les menaces pour surveiller et détecter les atteintes et en validant de multiples points de données, comme la mise en œuvre de l’authentification à plusieurs facteurs.
• Contrôles internes : nous protégeons les renseignements personnels contre les menaces internes en utilisant des solutions automatisées perfectionnées pour détecter, repérer et vérifier les transactions douteuses des utilisateurs dans les systèmes de l’Agence. Aux fins de sécurité de l’information, nous mettons également en œuvre les principes de l’accès minimal aux systèmes (les employés ont seulement accès aux renseignements dont ils ont besoin pour faire leur travail), du besoin de savoir (les renseignements sont seulement accessibles par ceux qui en ont besoin pour faire leur travail) et de la séparation des tâches (séparation des fonctions essentielles de l’emploi afin de réduire le risque de fraude, d’erreur et d’utilisation malveillante).

4. Sensibilisation des employés

L’Agence appuie ses employés dans leur compréhension des responsabilités à l’égard de la protection des renseignements personnels et des obligations en matière d’observation afin d’améliorer la culture de la protection des renseignements personnels à l’Agence.

Les principales démarches de protection des renseignements personnels et les personnes qui en sont responsables sont les suivantes :

• Code d’intégrité et de conduite professionnelle de l’employé^{Note de bas de page 10} : Nous décrivons explicitement la norme de conduite attendue, y compris l’exigence de protéger les renseignements personnels, dans notre Code d’intégrité et de conduite professionnelle de l’employé, et nous demandons chaque année à nos employés d’examiner et de confirmer leurs obligations en vertu de ce code.
• Formation, sensibilisation et mise à l’essai relatives à la protection des renseignements personnels : Nous offrons des séances de formation et de visibilité à nos employés afin de promouvoir la protection des renseignements personnels et de valider leur compréhension de leurs obligations en matière de protection des renseignements personnels, le but ultime étant de stimuler l’établissement d’une culture de protection des renseignements personnels à l’Agence.

5. Gestion des risques relatifs à la protection des renseignements personnels et observation

Nous nous engageons à gérer les risques existants et émergents liés aux données, ainsi qu’à surveiller et à résoudre les problèmes d’observation en matière de protection des renseignements personnels.

Les principales capacités liées à la protection des renseignements personnels sont les suivantes :

• Gestion des données, des renseignements et des dossiers : Nous prenons des mesures pour gérer efficacement les renseignements personnels en notre possession de manière à maintenir leur exactitude, à nous assurer que nous ne les utilisons que dans le cadre de notre mandat et à les conserver seulement aussi longtemps que nécessaire.
• Fichiers de renseignements personnels et évaluations des facteurs relatifs à la vie privée : Nous sommes proactifs dans l’évaluation de l’élaboration de tous les nouveaux services, et les nouvelles technologies ou initiatives prévoyant l’utilisation de renseignements personnels, afin de déterminer les mesures de protection des renseignements personnels qui sont requises, et nous conservons un registre de nos utilisations des renseignements personnels.
• Vérifications aux fins de protection des renseignements personnels, examens de la conformité et outils : Nous confirmons que les renseignements personnels sont traités conformément à nos obligations et exigences législatives en matière de protection des renseignements personnels en effectuant des vérifications et des auto-évaluations et en assurant une surveillance continue.
• Consentement : Nous respectons nos obligations législatives et les procédures de notre programme de protection des renseignements personnels au moment de recueillir, d’utiliser ou de divulguer des renseignements personnels. Étant donné que nous avons l’autorisation légale de recueillir et d’utiliser des renseignements personnels, selon les renseignements et l’utilisation prévue, votre consentement peut ou non être requis.
• Instruments de politique, processus, protocoles et lignes directrices sur la protection des renseignements personnels : Nous élaborons des politiques complètes en matière de protection des renseignements personnels ainsi que des documents d’orientation connexes. Tous ces documents définissent de façon claire les exigences en matière de protection des renseignements personnels à respecter pour assurer une gestion sécuritaire et respectueuse des renseignements personnels.
• Analyses : Nous intégrons les contrôles appropriés en matière de protection des données et des renseignements personnels dans l’utilisation des analyses aux fins du renseignement d’entreprise.
• Éthique de l’intelligence artificielle : Nous tirons parti de l’intelligence artificielle d’une manière respectueuse de l’éthique et avons mis sur pied un forum de cadres spécialisés en intelligence artificielle dans le but de cerner les enjeux et les possibilités en rapport avec l’intelligence artificielle et d’en discuter.

6. Gestion des risques pour la protection des renseignements personnels et observation

Nous évaluons les atteintes à protection des renseignements personnels conformément aux instruments de politique du SCT afin de consigner et d’évaluer et d’atténuer les risques qui menacent les personnes touchées.

Les principales démarches de protection des renseignements personnels sont les suivantes :

• Gestion des interventions en cas d’atteinte à la vie privée : Nous avons établi un plan d’intervention exhaustif en cas d’atteinte à la vie privée, que nous mettons à l’essai régulièrement. En cas d’atteinte à la vie privée, nous agissons pour résoudre tous les problèmes en suspens et offrons un soutien aux personnes touchées grâce à un représentant de l’Agence, afin que les clients aient la possibilité de poser des questions et d’en apprendre davantage sur les répercussions de l’atteinte. Au besoin, nous informons aussi le Commissariat à la protection de la vie privée du Canada ainsi que le Secrétariat du Conseil du Trésor du Canada.

Gouvernance

À l’Agence, nous croyons que la protection des renseignements personnels ne peut pas être perçue de façon isolée, mais qu’elle est plutôt un sujet qui recoupe les activités menées dans l’ensemble de nos directions générales et dans toutes les régions. Une solide structure de gouvernance de la protection des renseignements personnels favorise la collaboration entre les directions générales et la sensibilisation des employés à l’égard de leurs obligations en matière de protection des renseignements personnels.

Nous avons élaboré une structure de gouvernance de la protection des renseignements personnels qui comporte ce qui suit :

• Un comité de la protection des renseignements personnels à l’échelle de l’organisation, qui facilite la consultation stratégique et horizontale, la collaboration et la prise de décisions sur toutes les initiatives nouvelles ou modifiées au moyen de renseignements personnels, et offre une orientation stratégique pour établir les priorités et gérer les risques pour toutes les questions liées à la protection des renseignements personnels.
• Des comités des opérations, qui offrent des mises à jour et facilitent la collaboration et l’échange de renseignements sur les questions et les exigences opérationnelles en matière de protection des renseignements personnels.
• Des groupes de travail axés sur les initiatives, qui évaluent chaque initiative et sujet d’intérêt, recommandent une approche à adopter par l’Agence aux fins d’examen par la haute direction, et collaborent avec les intervenants compétents pour mettre en œuvre les recommandations, s’il y a lieu.

Cette structure nous permet d’intégrer la protection des renseignements personnels dans l’ensemble de nos initiatives et de nos services, de favoriser un dialogue sur la protection des renseignements personnels entre toutes les directions générales et les régions, et de renforcer la surveillance des conséquences pour la protection des renseignements personnels de tous nos programmes.

Cette structure de gouvernance est appliquée et mesurée au moyen de forums, d’instruments de politique et de mesures permettant de signaler et de régir l’engagement et l’obligation de rendre compte de toutes les directions générales à l’égard de la protection des renseignements personnels.

Conclusion 

L’Agence s’est engagée à protéger les renseignements personnels que lui confient les Canadiens et les employés en mettant en place une approche exhaustive à l’égard de la gestion de la protection des renseignements personnels fondée sur la collaboration à l’échelle de l’Agence et les principes de la protection des renseignements personnels dès la conception.

Ressources

Rapports annuels de l'ARC au Parlement concernant l'administration de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels

Fichiers de renseignements personnels

Sommaires d'évaluations des facteurs relatifs à la vie privée

Avis de confidentialité

Code d’intégrité et de conduite professionnelle de l’employé

Demander des renseignements à l'Agence du revenu du Canada

Communiquer avec la Direction de l'accès à l'information et de la protection des renseignements personnels

Suivez-nous:

• Facebook
• Twitter
• YouTube
• LinkedIn

Annexe A – Principes de la protection des renseignements personnels dès la conception

1.  Prendre des mesures proactives et non réactives, des mesures préventives et non correctives

Prévoir, repérer et prévenir les incidents d’atteinte à la vie privée avant qu’ils ne se produisent; autrement dit, agir avant et non après de tels incidents.

2.  Assurer la protection par défaut de la protection des renseignements personnels

Veiller à ce que les renseignements personnels soient systématiquement protégés dans les systèmes informatiques ou dans le cadre des pratiques internes, afin que les particuliers n’aient à poser aucun geste.

3.  Intégrer la protection des renseignements personnels dans la conception

Les mesures de protection des renseignements personnels ne doivent pas être greffées après coup, mais plutôt constituer des éléments pleinement intégrés du système.

4.  Assurer une fonctionnalité intégrale (selon un paradigme à somme positive et non à somme nulle)

La protection des renseignements personnels dès la conception se fonde sur une approche gagnante à l’égard de tous les objectifs légitimes de conception des systèmes; autrement dit, la protection des renseignements personnels et la sécurité sont deux objectifs importants, et aucun compromis inutile n’est nécessaire pour réaliser les deux.

5.  Assurer la sécurité du cycle de vie de bout en bout

La sécurité du cycle de vie des données signifie que toutes les données doivent être conservées de façon sécurisée, puis détruites quand elles ne sont plus utiles.

6.  Assurer la visibilité et la transparence, garder la porte ouverte

Assurer aux intervenants que les pratiques et les technologies fonctionnent conformément aux objectifs et sous réserve d’une vérification indépendante.

7.  Respecter les renseignements personnels des utilisateurs, garder le regard axé sur l’utilisateur

Adopter une approche axée sur l’utilisateur; les intérêts du droit individuel à la protection de ses renseignements personnels doivent être soutenus par des mesures strictes et implicites de protection des renseignements personnels, d’avis appropriés et des fonctions conviviales.

Annexe B – Mandat du chef de la protection des renseignements personnels

Le chef de la protection des renseignements personnels (CPRP) fait office de champion de la protection des renseignements personnels à l’Agence. Il est nommé par le commissaire de l’Agence et est responsable de la définition, de l’exécution et du maintien de l’engagement de l’Agence à l’égard de la protection des renseignements personnels. Le rôle du CPRP est de voir à ce que le respect de l’Agence envers la confidentialité des renseignements qu’elle détient soit renforcé.

Le mandat du CPRP des renseignements personnels est large en ce qui touche la surveillance de la protection des renseignements personnels à l’Agence. La création de ce poste renforce la culture d’intégrité et d’engagement de l’Agence à l’égard de l’excellence.

Le CPRP doit :

• surveiller les décisions en matière de protection des renseignements personnels, y compris l’évaluation des répercussions de nos programmes sur la protection des renseignements personnels
• se faire le champion des droits relatifs à la protection des renseignements personnels conformément aux lois et aux politiques, y compris la gestion des atteintes internes à la vie privée
• rendre compte à la haute direction, au moins deux fois par année, de l’état de la gestion de la protection des renseignements personnels à l’Agence

Le CPRP supervise le programme de la protection des renseignements personnels au sein de la Direction générale des affaires publiques, qui agit à titre de conseiller stratégique pour permettre aux directions générales et aux régions d’atteindre leurs objectifs tout en assurant la protection des renseignements personnels et fait progresser le mandat en matière de protection des renseignements personnels.

Le programme de la protection des renseignements personnels doit :

• élaborer des outils, des lignes directrices et des ressources qui permettent à toutes les directions générales d’appliquer les principes de la protection des renseignements personnels dès la conception
• examiner et mettre à jour les instruments de politique sur la protection des renseignements personnels
• élaborer de nouveaux instruments de politique, s’il y a lieu, en s’assurant qu’ils incarnent et reflètent la vision, le mandat et les objectifs de l’Agence en rapport avec la protection des renseignements personnels
• élaborer la stratégie annuelle de protection des renseignements personnels et réaliser des examens annuels de l’efficacité opérationnelle
• renseigner et conseiller les directions générales et les régions au sujet de leurs rôles et responsabilités en matière de protection des renseignements personnels et leur donner des conseils en cas de besoin
• intervenir face aux atteintes à la protection des renseignements personnels et gérer les demandes de renseignements et les plaintes liées à la protection des renseignements personnels
• traiter et évaluer les initiatives, les processus, les technologies et les nouvelles utilisations des données pour le compte de l’Agence, et conseiller celle-ci à cet égard, par l’intermédiaire d’évaluations des facteurs relatifs à la vie privée et d’évaluation du protocole de protection des renseignements personnels
• mener des activités de gestion des risques de tiers
• communiquer avec les intervenants internes et externes au sujet de la protection des renseignements personnels à l’Agence
• agir à titre de point de contact entre l’Agence et le Commissariat à la protection de la vie privée du Canada et d’autres organismes de réglementation, s’il y a lieu, en ce qui concerne les questions liées à la protection des renseignements personnels
• élaborer et tenir à jour du matériel de formation à l’intention des employés et offrir une formation générale et ciblée aux directions générales et aux régions
• stimuler la sensibilisation auprès des directions générales, des régions et des intervenants clés, ainsi que leur engagement, leur appui et leur adoption

Annexe C – Responsabilités des chefs et des cadres supérieurs de l’agence relativement à la protection des renseignements personnels

Dirigeant principal de l’information

Le dirigeant principal de l’information supervise l’infrastructure, les réseaux et les applications de la TI pour les systèmes fiscaux de l’Agence. En ce qui a trait à la protection des renseignements personnels, il veille à ce que les renseignements personnels soient protégés par la protection des systèmes de l’Agence et la saine gestion des menaces.

Dirigeant principal des données

Le dirigeant principal des données optimise la capacité de l’Agence à utiliser les données au profit des Canadiens et de l’Agence dans son ensemble, notamment en veillant à ce que les renseignements personnels soient gérés de façon appropriée dans tous les ensembles de données. Le dirigeant principal des données veille au traitement approprié des données qui permettraient d’identifier un particulier. De plus, il veille à ce que la stratégie relative aux données de l’Agence cadre avec les principes et les instruments de politique de l’Agence orientant la protection des renseignements personnels.

Dirigeant principal des services

Le dirigeant principal des services favorise l’excellence du service à l’Agence. Il intègre la protection des renseignements personnels dans la conception de tous les services de l’Agence en veillant à ce que le client soit au cœur de la solution, ce qui comprend la protection appropriée des renseignements personnels du client.

Agent de sécurité de l’Agence

L’agent de sécurité de l’Agence (ASA) offre un leadership stratégique, une coordination et une surveillance pour toutes les activités de gestion de la sécurité et les contrôles de sécurité de l’Agence, y compris ceux liés à la protection de l’information. Dans le cadre de ses responsabilités, l’ASA supervise l’établissement de politiques, de processus et de pratiques à l’échelle de l’Agence afin d’assurer une approche intégrée à l’égard de la gestion de la sécurité, en collaboration avec les partenaires et les autres intervenants.

Administrateur supérieur des affaires financières

L’administrateur supérieur des affaires financières supervise la gérance globale de la gestion financière et de l’administration financière de l’Agence, y compris les fonds pour appuyer la fonction de protection des renseignements personnels.

Agent principal de la gestion de l’information

L’agent principal de la gestion de l’information coordonne et met en œuvre la politique de gestion de l’information, une saine gestion des dossiers ainsi que les ententes externes de partage d’information qui comportent des renseignements personnels.

Conseiller juridique

Le conseiller juridique donne des conseils juridiques sur l’interprétation et l’application des lois et des exigences connexes auxquelles l’Agence est assujettie, et il donne des conseils sur l’élaboration de politiques en matière de protection des renseignements personnels et l’interprétation appropriée des exigences législatives en matière de protection des renseignements personnels.

Dirigeant principal des ressources humaines

Le dirigeant principal des ressources humaines supervise tous les besoins en ressources humaines de l’Agence. Il doit notamment s’assurer que les contrôles appropriés sont en place pour protéger les renseignements personnels des employés et tenir à jour les dossiers de formation des employés en lien avec la protection des renseignements personnels.

Dirigeant principal de la vérification

Le dirigeant principal de la vérification effectue des vérifications visant à évaluer l’efficacité et l’efficience des politiques, des pratiques et des contrôles en vue de conseiller les directions générales, le commissaire et premier dirigeant et les membres du conseil. Cela comprend la vérification des activités en rapport avec la protection des renseignements personnels afin de renforcer les contrôles et la protection des renseignements personnels.

Sous-commissaire de la Direction générale des affaires publiques

Le sous-commissaire de la Direction générale des affaires publiques élabore, publie et tient à jour des communications et des documents de sensibilisation sur la protection des renseignements personnels à l’intention de l’Agence et du public, de façon à ce que les pratiques de protection des renseignements personnels soient clairement communiquées et de façon à accroître la transparence dans le traitement des renseignements personnels par l’Agence.

Sous-commissaire de la Direction générale de cotisation‚ de prestation et de service

Le sous-commissaire de la Direction générale de cotisation‚ de prestation et de service administre les services essentiels au nom de l’Agence en vue de s’assurer que l’interface et les applications permettent aux clients d’accéder aux données.

Tous les secteurs de programme et les sous-commissaires des régions

Les sous-commissaires de tous les secteurs de programme et les régions sont responsables de la gestion des renseignements personnels dans leur direction générale et leur région, en veillant à ce que les mesures de protection des renseignements personnels appropriées soient appliquées. Cela comprend un échange de renseignements personnels réalisé de façon sécurisée et appropriée, à l’interne dans l’ensemble de l’Agence et à l’externe avec des tiers autorisés.

Annexe D – Responsabilités des employés de l’Agence relativement à la protection des renseignements personnels

Tous les employés des directions générales et des régions

Les employés de toutes les directions générales et régions jouent un rôle essentiel pour aider l’Agence à respecter son engagement à l’égard de la protection des renseignements personnels des clients. Les employés doivent comprendre leurs obligations pour être en mesure de traiter et de protéger les renseignements personnels de façon appropriée. Les employés sont tenus de s’assurer que les renseignements personnels qu’ils recueillent, utilisent ou divulguent dans le cadre de leurs fonctions sont traités, gérés et protégés conformément aux instruments de politique, aux processus et aux protocoles de l’Agence en matière de protection des renseignements personnels de l’Agence.