Évaluation des facteurs relatifs à la vie privée : Système de lecture de cartes d’accès, bureau de l’ACFC à Ottawa

Les évaluations des facteurs relatifs à la vie privée (EFVP) sont menées pour assurer la mise en place de saines pratiques en matière de gestion et de prise de décision et la réalisation d’un examen minutieux des risques liés à la protection des renseignements personnels en ce qui concerne la création, la collecte et le traitement de renseignements personnels dans le cadre des programmes ou des activités du gouvernement.

La présente EFVP a été élaborée en rapport avec le système de lecteur de cartes d’accès utilisé au bureau de l’ACFC à Ottawa.

Elle tient compte des commentaires des équipes des RH, de la TI et de l’AIPRP de l’ACFC et montre que l’ACFC a pris en compte les préoccupations en matière de protection de la vie privée et y a répondu.

En indiquant les informations demandées dans les sections ci-dessous, vous répondez aux exigences minimales en matière de contenu d’EFVP de base.

Section I : Aperçu et lancement de l’EFVP

1. Agence de la consommation en matière financière du Canada
2. Judith Robertson, commissaire – chef de l’institution
3. Werner Liedtke, sous-commissaire adjoint, Services intégrés – cadre supérieur responsable d’activités nouvelles ou modifiées de manière importante.
4. Système de lecture de cartes d’accès
   • Le système de lecture de cartes d’accès est utilisé pour assurer la sécurité physique de notre lieu de travail. Le système attribue des identifiants aux employés et aux entrepreneurs et leur permet de déverrouiller certaines portes pour accéder au lieu de travail.
5. Autorisation légale relative au programme ou à l’activité.
   • Article 11 de la Loi sur l’Agence de la consommation en matière financière du Canada.
6. Détermination de si la proposition s’applique à un nouveau fichier de renseignements personnels (FRP). Les FRP existants doivent être désignés par leur titre, leur numéro d’enregistrement et leur numéro de fichier.
   • Contrôles d’accès physique (objet : cartes d’identité)
   • Numéro ADD : 98/001
   • méro de renvoi du document : NDP 931
   • Numéro du fichier : POU 907
   • Dossier personnel d’un employé (objet : nom; numéro d’identification d’employé)
   • Numéro ADD : 98/005 et 98/018
   • Numéro de renvoi du document : NDP 920
   • Numéro du fichier : POU 901
7. Brève description du projet, de l’initiative ou du changement
   • Bien qu’un système similaire ait existé auparavant, il s’agit d’un nouvel ensemble de logiciels qui offre davantage de fonctionnalités, notamment la création d’identifiants mobiles (par exemple, l’authentification à deux facteurs) et l’établissement de rapports précis en temps réel. Le système permet à l’équipe de sécurité de l’ACFC de préciser les locaux auxquels des employés particuliers ont accès.

Section II : Identification et catégorisation des secteurs de risque

L’EFVP de base doit inclure l’identification et la catégorisation préliminaire de risques comme présenté ci-dessous. Afin d’établir une approche uniforme en ce qui concerne les catégories de risques et les échelles de risques pangouvernementale, les secteurs normalisés de risque ainsi que les échelles de risque présentées doivent être maintenus comme base pour une analyse préliminaire de risque.

L’échelle de risque chiffrée est présentée en ordre croissant : Le premier niveau représente le niveau de risque le plus bas pour le secteur; le quatrième niveau représente le niveau de risque le plus haut pour le secteur.

Dans un premier temps, il faut évaluer chaque secteur indépendamment des autres. Dans un deuxième temps, il faut effectuer une synthèse des résultats individuels afin de déterminer si une analyse plus exhaustive est requise. Plus il y a de niveaux de risque 3 et 4, plus la pertinence d’effectuer une analyse approfondie des secteurs de risque concernés sera grande.

a) Type de programme ou d’activité

Administration des programmes, des activités et des services.

Échelle de risque : 2

b) Type de renseignements personnels recueillis et contexte

Seules les données fournies directement par l’individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l’individu ou avec son consentement pour la communication pour autant que les données ne soient pas de nature délicate dans le contexte.

Échelle de risque : 1

c) Participation des partenaires et du secteur privé au programme ou à l’activité

Au sein de l’institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d’une même institution)

Échelle de risque : 1

d) Durée du programme ou de l’activité

Programme à long terme.

Échelle de risque : 3

e) Personnes concernées par le programme

Le programme touche tous les employés à des fins administratives internes.

Échelle de risque : 2

f) Technologie et vie privée

Est-ce que le programme ou l’activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d’un nouveau système électronique, logiciel ou programme d’application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, collecter ou traiter les renseignements personnels dans le but de soutenir le programme ou l’activité? Oui : Genetec

L’activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des TI? Non

Questions spécifiques aux technologies et à la protection de la vie privée

Indiquer si le programme ou l’activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

• Méthodes d’identification améliorées; Non
• Recours à la surveillance; Non
• Recours à des techniques d’analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances. Non

Une réponse affirmative à l’une ou l’autre des questions ci-haut indique la présence possible de risques et d’atteinte à la vie privée qui devront être évalués et, si requis, atténués.

g) Transmission des renseignements personnels

Les renseignements personnels sont utilisés au sein d’un système qui est branché à au moins un autre système.

Échelle de risque : 2

h) Le risque possible à l’individu ou à l’employé lors d’atteinte à la vie privée.

Faible / Moyen / Élevé - Cette initiative porte sur la collecte de renseignements relatifs à l’accès : qui a utilisé sa carte d’accès (quelles données sont transférées ?) et à quel moment.

• Perte financière - s.o.
• Santé - répercussions psychologiques - s.o.
• Réputation - préjudice, humiliation ou embarras - s.o.
• Aspects juridiques - s.o.

i) Le risque possible à l’institution lors d’atteinte à la vie privée.

Faible / Moyen / Élevé - L’ACFC a fait preuve de transparence en ce qui concerne l’initiative et son objectif.

• Réputation - perte de confiance du public - s.o.
• Aspects juridiques - s.o.
• Intérêt national - s.o.
• Opérations - s.o.
• Finances - s.o.

En ce qui concerne les parties h) et i), l’Instrument d’évaluation de l’incidence des risques d’atteinte à la vie privée en matière d’AIPRP a été consulté.

En raison d’un profil de risque FAIBLE (selon les réponses ci-dessus), une EFVP de base peut être réalisée - les renseignements requis sont énumérés ci-dessous.

Section III : Analyse des éléments de renseignements personnels du programme ou de l’activité

1. Indiquer chaque élément des renseignements personnels collectés (par exemple :1) nom, 2) adresse).
   • Prénom, nom
   • Numéro d’identification de la carte
   • Numéro de téléphone
2. Indiquer chaque sous-élément des renseignements personnels associé à l’élément des renseignements personnels.
   1. s.o.
3. Identifier sous quelle forme les renseignements personnels seront consignés.
   • Électroniquement.

Section IV : Flux des renseignements personnels du programme ou de l’activité

1. Nommer la ou les sources des renseignements personnels recueillis et la manière, s’il y a lieu, dont les renseignements personnels seront créés.
   • L’équipe des services administratifs créera un compte d’identification mobile au nom de chaque employé de l’ACFC, qui comprendra le nom de l’employé, son numéro de téléphone et le numéro d’identification de sa carte (et non son CIDP).
2. Nommer les utilisations et les communications internes et externes. Plus précisément, nommer les secteurs, les groupes et les personnes qui auront accès aux renseignements personnels et les personnes auxquelles ces renseignements seront transmis ou communiqués.
   • Utilisations : les renseignements recueillis ne seront consultés qu’en cas de besoin (raisons de sécurité ou de santé et de sûreté) et utilisés par des sources internes à l’ACFC.
     • Équipe des services administratifs (membres de l’équipe chargée de la sécurité et de la santé et de la sûreté)
   • Communication
     • Interne
       1. Possiblement RH
     • Externe : il est peu probable qu’il soit nécessaire de présenter des rapports à l’extérieur; si des rapports doivent être présentés aux groupes suivants, les renseignements seront transmis au niveau de l’agence ou sous forme regroupée.
       1. Organismes centraux (p. ex., SPAC, SCT)
3. Nommer l’endroit où circuleront les renseignements personnels et où ils seront entreposés et détenus.
   • Il n’y aura aucune circulation de données à l’extérieur de l’ACFC.
4. Indiquer les endroits où les secteurs, les groupes et les personnes qui auront accès aux renseignements personnels.
   • Les employés pourront accéder à leurs propres renseignements personnels en présentant une demande d’accès aux renseignements personnels au coordonnateur de l’AIPRP de l’ACFC.
   • Les administrateurs du réseau informatique de l’ACFC pourront accéder aux renseignements personnels puisqu’ils gèrent le réseau, mais il leur sera conseillé de ne pas accéder à ces renseignements.
   • Les employés de la division de gestion de l’information de l’ACFC pourra accéder aux renseignements personnels puisqu’ils peuvent accéder à tous les documents de l’Agence sur le réseau; mais il leur sera conseillé de ne pas accéder à ces renseignements.
   • Les membres de l’équipe de la division des services administratifs de l’ACFC ayant accès au système de lecture de cartes d’accès pourront voir les renseignements initiaux (nom de l’employé, numéro de téléphone et numéro d’identification de la carte) ainsi que les renseignements relatifs à l’entrée (qui a tapé sa carte d’accès sur le lecteur et quand).

Section V : Analyse de la conformité relative à la protection de la vie privée

Au minimum, l’analyse de la conformité relative à la protection de la vie privée doit couvrir les secteurs suivants et doit indiquer les mesures précises de conformité prises ou à prendre en ce qui concerne chacun des secteurs nommés ci-dessus.

1. Autorisation pour procéder à la collecte (article 4 de la Loi sur la protection des renseignements personnels)
   • L’ACFC recueille des renseignements personnels directement liés à l’article 11 de la Loi sur l’Agence de la consommation en matière financière du Canada.
2. Collecte directe, avis, consentement (le cas échéant) (article 5 de la Loi sur la protection des renseignements personnels)
   • L’ACFC recueillera des renseignements personnels dans le but de les utiliser à des fins administratives (liées à la sécurité, à la santé et à la sûreté).
3. Conservation (article 6 de la Loi sur la protection des renseignements personnels)
   • Les renseignements personnels qui ont été utilisés par l’ACFC à des fins administratives sont conservés par l’ACFC pendant la période qui suit leur utilisation et qui est fixée par voie réglementaire, afin de garantir que la personne à laquelle ils se rapportent ait une possibilité raisonnable d’y avoir accès.
   • L’ACFC éliminera les renseignements personnels dont elle a la charge conformément aux règlements et à toute directive ou ligne directrice émise par l’administrateur général concernant l’élimination de ces renseignements.
4. Exactitude (paragraphe 6(2) de la Loi sur la protection des renseignements personnels)
   • L’ACFC prendra toutes les mesures raisonnables pour s’assurer que les informations personnelles utilisées à des fins administratives sont aussi exactes, à jour et complètes que possible.
5. Usage (article 7 de la Loi sur la protection des renseignements personnels)
   • Les renseignements personnels dont dispose l’ACFC ne seront utilisés qu’aux fins pour lesquelles ils ont été obtenus ou pour en faire un usage compatible avec ces fins.
6. Divulgation (article 8 de la Loi sur la protection des renseignements personnels)
   • Les renseignements personnels relevant de l’ACFC ne seront pas divulgués par l’ACFC sans le consentement de la personne concernée, à l’exception des raisons énumérées au paragraphe 8(2) de la Loi sur la protection des renseignements personnels.
   • Il est prévu que des rapports pourraient être exigés par le Secrétariat du Conseil du Trésor ou d’autres ministères, mais ces rapports devraient être établis à un niveau global (c’est-à-dire qu’ils ne devraient pas révéler de renseignements personnels).
7. Mesures de protection administratives, physiques et techniques
   • Seuls les membres de l’équipe des services administratifs qui ont accès au système de lecture de cartes d’accès auront accès aux renseignements personnels dans le détail.
   • Le service informatique veille à ce que le réseau informatique soit protégé (Protected B) et à ce que l’accès soit limité aux seules personnes qui en ont besoin à des fins administratives.
   • Il sera déconseillé au personnel des TI et de la GI d’accéder à tout renseignement personnel connexe.
8. Technologie et protection de la vie privée
   • Indiquez tous les changements aux exigences d’affaires qui ont une incidence sur le système ou logiciel ou programme et qui peuvent avoir un effet sur les contrôles d’accès courants et les pratiques de protection de la vie privée en ce qui concerne la création, la collection, la conservation, l’utilisation ou la divulgation ainsi que la destruction des renseignements personnels
     • Le système de lecteur de cartes d’accès est utilisé pour permettre aux employés de l’ACFC d’accéder à l’espace de travail de l’ACFC; les services informatiques mettront en place des garanties pour protéger les contrôles d’accès et les pratiques en matière de confidentialité liées à la création, à la collecte, à la conservation, à l’utilisation, à la divulgation et à l’élimination des renseignements personnels.
   • Déterminer si les anciens systèmes ou les services existants qui doivent être maintenus ou modifiés sont actuellement conformes avec les obligations en ce qui concerne la protection de la vie privée
     • S/O
   • Indiquer toutes activités de sensibilisation en ce qui concerne les obligations de protection de la vie privée dans le nouvel environnement électronique.
     • S/O

Section VI : Sommaire de l’analyse et les recommandations

Documenter l’analyse découlant de l’identification et de la catégorisation préliminaire des risques. Cette analyse doit être proportionnée aux secteurs de risque découverts.

1. Il s’agit d’une exigence à faible risque au vu de l’analyse et des renseignements susmentionnés. Les questions relatives à la protection de la vie privée ont été prises en compte et traitées dans la structure du projet.

Section VII : Liste des documents complémentaires

Énumérer tous les autres documents qui ont servi ou qui ont rapport à l’EFVP de base – ceux-ci n’ont pas à être annexés à l’EFVP de base.

1. Loi sur l’Agence de la consommation en matière financière du Canada
2. Loi sur la protection des renseignements personnels
3. Instrument d’évaluation de l’incidence des risques d’atteinte à la vie privée en matière d’AIPRP
4. Lignes directrices sur les atteintes à la vie privée
5. Fichiers de renseignements personnels ordinaires

Section VIII : Approbation officielle

La signature ci-dessous indique que la présente EFVP a été officiellement approuvée conformément à la procédure d’approbation de l’ACFC.

Werner Liedtke, sous-commissaire adjoint, Services intégrés

Date