Cadre de gestion de la protection des renseignements personnels

Table des matières

Introduction

La protection de vos renseignements personnels est notre priorité

L’Agence du revenu du Canada est l’un des plus importants détenteurs de renseignements personnels au gouvernement du Canada. L’une de nos principales priorités consiste à veiller à ce que ces renseignements personnels soient gérés et protégés correctement.

Nous sommes engagés à protéger la confiance que les Canadiens accordent à notre organisation. Afin de répondre aux attentes des Canadiens, nous prenons les mesures nécessaires pour protéger les renseignements personnels, gérer correctement les données et assurer la responsabilité des employés à l’égard de la protection des renseignements personnels.Note de bas de page 1 La protection des renseignements personnels signifie la protection et la gestion efficaces des renseignements personnels par la détermination, l’évaluation, la surveillance et l’atténuation des risques pour la protection des renseignements personnels dans les programmes et les activités de l’Agence qui comportent la collecte, la conservation, l’utilisation, la divulgation et l’élimination de renseignements personnels.

Nous avons le pouvoir d’obtenir des contribuables des renseignements qui sont pertinents pour l’administration et l’application des lois propres aux programmes de l’Agence, et de la Loi de l’impôt sur le revenu et de la Loi sur la taxe d’accise. À l’Agence, la gestion et la protection des renseignements des Canadiens sont régies par différentes lois et politiques, comme la Loi sur la protection des renseignements personnels, les politiques et les directives connexes du Secrétariat du Conseil du Trésor (SCT), et les instruments de politique comme la politique sur la protection des renseignements personnels de l’Agence. Nous recueillons, utilisons et divulguons des renseignements personnels conformément à ces lois et règlements.

Bien que la responsabilité générale du programme de protection des renseignements personnels (CPRP) de l’Agence revient au chef de la protection des renseignements personnels, la responsabilité des divers mécanismes visant à appuyer la protection des renseignements personnels à l’Agence – énumérés dans la section « Notre engagement à l’égard de la protection des renseignements personnels » du présent document – est assumée conjointement par un certain nombre de cadres supérieurs.Note de bas de page 2

Le cadre de gestion de la protection des renseignements personnels (ci-après appelé « le cadre ») a pour objet d’articuler notre vision, notre objectif et notre engagement à l’égard de la protection des renseignements personnels, y compris le traitement et la protection des renseignements personnels, afin que la vie privée de nos clients soit respectée. Le cadre est conçu comme document de référence pour les contribuables et les employés (« clients ») de l’Agence.

Nous définissons ces termes clés comme suit :

Gestion de la protection des renseignements personnels

Ensemble des activités d’une organisation pour :

Renseignements personnels

Les renseignements personnels sont les renseignements, quels que soient leur forme et leur support, concernant un particulier identifiable.Note de bas de page 3

Facteurs déterminants de l’approche de l’Agence en matière de protection des renseignements personnels

Le paysage de la protection des renseignements personnels évolue rapidement : les attentes du public à l’égard de la gestion et de la protection des renseignements s’accentuent.Note de bas de page 4

Bien qu’elle entraîne un renforcement des lois régissant la protection des renseignements personnels (p. ex., l’adoption du règlement général sur la protection des données par l’Union européenne et l’examen de la Loi sur la protection des renseignements personnels par le ministère de la Justice),Note de bas de page 5 cette évolution met en évidence la nécessité de renforcer les responsabilités relatives au traitement et à la protection des renseignements personnels. Afin de maintenir la confiance des citoyens, les organisations doivent être en mesure de démontrer qu’elles ont mis en place une quantité suffisante de pratiques appropriées pour le traitement et la protection des renseignements personnels.

Nous avons adopté un cadre de responsabilisation intégré qui prévoit divers mécanismes techniques et organisationnels pour traiter et protéger les renseignements personnels de façon appropriée, notamment :

Les atteintes à la vie privée augmentent et constituent une priorité pour toutes les organisations.

Nous reconnaissons que pour prévenir les atteintes à la vie privée, il faut intégrer la protection des renseignements personnels à toutes les activités organisationnelles. Pour faciliter cette démarche, il faut mobiliser la totalité des directions générales et des régions, puisqu’elles partagent la responsabilité de traiter adéquatement les renseignements personnels qu’elles recueillent, conservent, utilisent, divulguent et éliminent.

L’Agence intègre les principes de la protection des renseignements personnels dès la conception dans l’élaboration et l’exploitation des systèmes informatiques, de l’infrastructure en réseau et des pratiques opérationnelles, de manière à atténuer les risques, à orienter les solutions dès le départ et à stimuler l’excellence opérationnelle.

L’Agence ajoute aussi à son effectif de nouveaux professionnels et spécialistes de la protection des renseignements personnels qui comprennent la façon de tirer parti d’une quantité sans cesse grandissante de données tout en assurant la protection des renseignements personnels.

La protection des renseignements personnels n’est plus perçue comme un obstacle à l’innovation et au service, mais plutôt comme un catalyseur stratégique qui favorise la prestation de services en privilégiant la protection des renseignements personnels.

Nous avons établi une structure de gouvernance complète et efficace pour la protection des renseignements personnels afin de favoriser une culture de protection des renseignements personnels avec des résultats mesurables, de manière à démontrer que le respect de la vie privée est une priorité absolue. La protection des renseignements personnels imprègne les discussions et les décisions d’ordre opérationnel puisqu’elle est considérée comme une mesure proactive qui ajoute à la valeur de l’organisation en stimulant l’innovation et l’élaboration de solutions créatives.

Le programme de la protection des renseignements personnels de l’Agence a aussi évolué en établissant des capacités stratégiques plutôt que seulement opérationnelles, compte tenu de la demande accrue du public et de l’ensemble de l’Agence à l’égard du soutien et de l’expertise consultatifs en matière de protection des renseignements personnels.

Principes directeurs de la protection des renseignements personnels

Afin de favoriser la confiance des clients envers l’Agence, nous croyons en l’élaboration d’un langage au sujet de la protection des renseignements personnels qui nous permettra de travailler à l’atteinte des mêmes objectifs.

Nos principes directeurs en matière de protection des renseignements personnels sont les suivants:

  1. Nous valorisons et respectons les données des clients en notre possession et nous permettons à nos clients de bien comprendre comment elles sont utilisées et à quelles fins.
  2. Nous appuyons nos employés afin qu’ils comprennent leurs responsabilités en matière de traitement des données et nous répondons aux demandes de nos clients en temps opportun et utile pour offrir une expérience transparente et efficace.
  3. Nous plaçons nos clients au cœur de tous les changements et améliorations de la prestation de services en adoptant des pratiques innovantes et en intégrant les principes de protection des renseignements personnels dès la conception dans tout ce que nous accomplissons.
  4. Nous collaborons avec les employés et nous assurons une gestion efficace et sécurisée des données des clients dans toutes les directions générales de l’Agence pour favoriser l’adoption d’une approche holistique visant à établir et à maintenir la confiance des clients.
  5. Nous prenons des décisions sur la façon dont les données des clients sont traitées en conformité avec les obligations législatives, les pratiques exemplaires de confidentialité et fondées sur des normes éthiques.

Notre engagement à l’égard de la protection des renseignements personnels

Notre engagement à l’égard de la protection des renseignements personnels consiste à gérer et à protéger vos renseignements personnels de façon proactive grâce à la collaboration à l’échelle de l’Agence et à l’adoption des principes de protection des renseignements personnels dès la conception.Note de bas de page 6 Nous croyons que la gestion de la protection des renseignements personnels est une responsabilité que tous nos employés partagent, ce qui signifie que notre engagement à l’égard de cette protection s’étend à la totalité des directions générales et des régions de l’Agence et que chacun de nos quelque 46 000 employés doit l’honorer.

Afin de respecter notre engagement à l’égard de la protection des renseignements personnels, nous concentrons nos efforts sur la prise des mesures décrites ci-dessous, qui, lorsqu’elles sont combinées, offrent un ensemble complet de mécanismes permettant de protéger vos renseignements personnels. La responsabilité de ces mécanismes incombe à différents responsables de l’Agence, le chef de la protection des renseignements personnels ayant dans sa ligne de mire chaque capacité afin de s’acquitter de son mandat et d’aider l’Agence à respecter son engagement à l’égard de la protection des renseignements personnels.Note de bas de page 7

1. Conception et exécution des programmes

Nous intégrons nos principes directeurs de la protection des renseignements personnels et les principes de la protection des renseignements personnels dès la conceptionNote de bas de page 8 dans l’élaboration, l’exploitation et la gestion de tous les programmes, processus, solutions et technologies qui comportent des renseignements personnels. Nous tenons compte de la nécessité d’assurer une prestation de services et une protection des renseignements personnels à la fois efficaces et opportunes de manière à assurer la protection de nos biens de nature délicate les plus vulnérables.

Les principales capacités en matière de protection des renseignements personnels sont les suivantes :

2. Échange de renseignements

L’Agence doit à l’occasion communiquer des renseignements, notamment à des contribuables, des employés ou d’autres tiers. Lors de ces échanges de renseignements, nous intégrons les contrôles et les exigences en matière de protection des renseignements personnels dans toutes les communications afin de faciliter le traitement et la protection appropriés des renseignements personnels.

Les principales démarches de protection des renseignements personnels sont les suivantes :

3. Contrôles internes et externes

L’Agence prend les précautions et les mesures nécessaires pour protéger les renseignements personnels contre les menaces externes et internes.

Les principales démarches de protection des renseignements personnels sont les suivantes :

4. Sensibilisation des employés

L’Agence appuie ses employés dans leur compréhension des responsabilités à l’égard de la protection des renseignements personnels et des obligations en matière d’observation afin d’améliorer la culture de la protection des renseignements personnels à l’Agence.

Les principales démarches de protection des renseignements personnels et les personnes qui en sont responsables sont les suivantes :

5. Gestion des risques relatifs à la protection des renseignements personnels et observation

Nous nous engageons à gérer les risques existants et émergents liés aux données, ainsi qu’à surveiller et à résoudre les problèmes d’observation en matière de protection des renseignements personnels.

Les principales capacités liées à la protection des renseignements personnels sont les suivantes :

6. Gestion des risques pour la protection des renseignements personnels et observation

Nous évaluons les atteintes à protection des renseignements personnels conformément aux instruments de politique du SCT afin de consigner et d’évaluer et d’atténuer les risques qui menacent les personnes touchées.

Les principales démarches de protection des renseignements personnels sont les suivantes :

Gouvernance

À l’Agence, nous croyons que la protection des renseignements personnels ne peut pas être perçue de façon isolée, mais qu’elle est plutôt un sujet qui recoupe les activités menées dans l’ensemble de nos directions générales et dans toutes les régions. Une solide structure de gouvernance de la protection des renseignements personnels favorise la collaboration entre les directions générales et la sensibilisation des employés à l’égard de leurs obligations en matière de protection des renseignements personnels.

Nous avons élaboré une structure de gouvernance de la protection des renseignements personnels qui comporte ce qui suit :

Cette structure nous permet d’intégrer la protection des renseignements personnels dans l’ensemble de nos initiatives et de nos services, de favoriser un dialogue sur la protection des renseignements personnels entre toutes les directions générales et les régions, et de renforcer la surveillance des conséquences pour la protection des renseignements personnels de tous nos programmes.

Cette structure de gouvernance est appliquée et mesurée au moyen de forums, d’instruments de politique et de mesures permettant de signaler et de régir l’engagement et l’obligation de rendre compte de toutes les directions générales à l’égard de la protection des renseignements personnels.

Conclusion 

L’Agence s’est engagée à protéger les renseignements personnels que lui confient les Canadiens et les employés en mettant en place une approche exhaustive à l’égard de la gestion de la protection des renseignements personnels fondée sur la collaboration à l’échelle de l’Agence et les principes de la protection des renseignements personnels dès la conception.

Ressources

Rapports annuels de l'ARC au Parlement concernant l'administration de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels

Fichiers de renseignements personnels

Sommaires d'évaluations des facteurs relatifs à la vie privée

Avis de confidentialité

Code d’intégrité et de conduite professionnelle de l’employé

Demander des renseignements à l'Agence du revenu du Canada

Communiquer avec la Direction de l'accès à l'information et de la protection des renseignements personnels

Suivez-nous:

Annexe A – Principes de la protection des renseignements personnels dès la conception

1.  Prendre des mesures proactives et non réactives, des mesures préventives et non correctives

Prévoir, repérer et prévenir les incidents d’atteinte à la vie privée avant qu’ils ne se produisent; autrement dit, agir avant et non après de tels incidents.

2.  Assurer la protection par défaut de la protection des renseignements personnels

Veiller à ce que les renseignements personnels soient systématiquement protégés dans les systèmes informatiques ou dans le cadre des pratiques internes, afin que les particuliers n’aient à poser aucun geste.

3.  Intégrer la protection des renseignements personnels dans la conception

Les mesures de protection des renseignements personnels ne doivent pas être greffées après coup, mais plutôt constituer des éléments pleinement intégrés du système.

4.  Assurer une fonctionnalité intégrale (selon un paradigme à somme positive et non à somme nulle)

La protection des renseignements personnels dès la conception se fonde sur une approche gagnante à l’égard de tous les objectifs légitimes de conception des systèmes; autrement dit, la protection des renseignements personnels et la sécurité sont deux objectifs importants, et aucun compromis inutile n’est nécessaire pour réaliser les deux.

5.  Assurer la sécurité du cycle de vie de bout en bout

La sécurité du cycle de vie des données signifie que toutes les données doivent être conservées de façon sécurisée, puis détruites quand elles ne sont plus utiles.

6.  Assurer la visibilité et la transparence, garder la porte ouverte

Assurer aux intervenants que les pratiques et les technologies fonctionnent conformément aux objectifs et sous réserve d’une vérification indépendante.

7.  Respecter les renseignements personnels des utilisateurs, garder le regard axé sur l’utilisateur

Adopter une approche axée sur l’utilisateur; les intérêts du droit individuel à la protection de ses renseignements personnels doivent être soutenus par des mesures strictes et implicites de protection des renseignements personnels, d’avis appropriés et des fonctions conviviales.

Annexe B – Mandat du chef de la protection des renseignements personnels

Le chef de la protection des renseignements personnels (CPRP) fait office de champion de la protection des renseignements personnels à l’Agence. Il est nommé par le commissaire de l’Agence et est responsable de la définition, de l’exécution et du maintien de l’engagement de l’Agence à l’égard de la protection des renseignements personnels. Le rôle du CPRP est de voir à ce que le respect de l’Agence envers la confidentialité des renseignements qu’elle détient soit renforcé.

Le mandat du CPRP des renseignements personnels est large en ce qui touche la surveillance de la protection des renseignements personnels à l’Agence. La création de ce poste renforce la culture d’intégrité et d’engagement de l’Agence à l’égard de l’excellence.

Le CPRP doit :

Le CPRP supervise le programme de la protection des renseignements personnels au sein de la Direction générale des affaires publiques, qui agit à titre de conseiller stratégique pour permettre aux directions générales et aux régions d’atteindre leurs objectifs tout en assurant la protection des renseignements personnels et fait progresser le mandat en matière de protection des renseignements personnels.

Le programme de la protection des renseignements personnels doit :

Annexe C – Responsabilités des chefs et des cadres supérieurs de l’agence relativement à la protection des renseignements personnels

Dirigeant principal de l’information

Le dirigeant principal de l’information supervise l’infrastructure, les réseaux et les applications de la TI pour les systèmes fiscaux de l’Agence. En ce qui a trait à la protection des renseignements personnels, il veille à ce que les renseignements personnels soient protégés par la protection des systèmes de l’Agence et la saine gestion des menaces.

Dirigeant principal des données

Le dirigeant principal des données optimise la capacité de l’Agence à utiliser les données au profit des Canadiens et de l’Agence dans son ensemble, notamment en veillant à ce que les renseignements personnels soient gérés de façon appropriée dans tous les ensembles de données. Le dirigeant principal des données veille au traitement approprié des données qui permettraient d’identifier un particulier. De plus, il veille à ce que la stratégie relative aux données de l’Agence cadre avec les principes et les instruments de politique de l’Agence orientant la protection des renseignements personnels.

Dirigeant principal des services

Le dirigeant principal des services favorise l’excellence du service à l’Agence. Il intègre la protection des renseignements personnels dans la conception de tous les services de l’Agence en veillant à ce que le client soit au cœur de la solution, ce qui comprend la protection appropriée des renseignements personnels du client.

Agent de sécurité de l’Agence

L’agent de sécurité de l’Agence (ASA) offre un leadership stratégique, une coordination et une surveillance pour toutes les activités de gestion de la sécurité et les contrôles de sécurité de l’Agence, y compris ceux liés à la protection de l’information. Dans le cadre de ses responsabilités, l’ASA supervise l’établissement de politiques, de processus et de pratiques à l’échelle de l’Agence afin d’assurer une approche intégrée à l’égard de la gestion de la sécurité, en collaboration avec les partenaires et les autres intervenants.

Administrateur supérieur des affaires financières

L’administrateur supérieur des affaires financières supervise la gérance globale de la gestion financière et de l’administration financière de l’Agence, y compris les fonds pour appuyer la fonction de protection des renseignements personnels.

Agent principal de la gestion de l’information

L’agent principal de la gestion de l’information coordonne et met en œuvre la politique de gestion de l’information, une saine gestion des dossiers ainsi que les ententes externes de partage d’information qui comportent des renseignements personnels.

Conseiller juridique

Le conseiller juridique donne des conseils juridiques sur l’interprétation et l’application des lois et des exigences connexes auxquelles l’Agence est assujettie, et il donne des conseils sur l’élaboration de politiques en matière de protection des renseignements personnels et l’interprétation appropriée des exigences législatives en matière de protection des renseignements personnels.

Dirigeant principal des ressources humaines

Le dirigeant principal des ressources humaines supervise tous les besoins en ressources humaines de l’Agence. Il doit notamment s’assurer que les contrôles appropriés sont en place pour protéger les renseignements personnels des employés et tenir à jour les dossiers de formation des employés en lien avec la protection des renseignements personnels.

Dirigeant principal de la vérification

Le dirigeant principal de la vérification effectue des vérifications visant à évaluer l’efficacité et l’efficience des politiques, des pratiques et des contrôles en vue de conseiller les directions générales, le commissaire et premier dirigeant et les membres du conseil. Cela comprend la vérification des activités en rapport avec la protection des renseignements personnels afin de renforcer les contrôles et la protection des renseignements personnels.

Sous-commissaire de la Direction générale des affaires publiques

Le sous-commissaire de la Direction générale des affaires publiques élabore, publie et tient à jour des communications et des documents de sensibilisation sur la protection des renseignements personnels à l’intention de l’Agence et du public, de façon à ce que les pratiques de protection des renseignements personnels soient clairement communiquées et de façon à accroître la transparence dans le traitement des renseignements personnels par l’Agence.

Sous-commissaire de la Direction générale de cotisation‚ de prestation et de service

Le sous-commissaire de la Direction générale de cotisation‚ de prestation et de service administre les services essentiels au nom de l’Agence en vue de s’assurer que l’interface et les applications permettent aux clients d’accéder aux données.

Tous les secteurs de programme et les sous-commissaires des régions

Les sous-commissaires de tous les secteurs de programme et les régions sont responsables de la gestion des renseignements personnels dans leur direction générale et leur région, en veillant à ce que les mesures de protection des renseignements personnels appropriées soient appliquées. Cela comprend un échange de renseignements personnels réalisé de façon sécurisée et appropriée, à l’interne dans l’ensemble de l’Agence et à l’externe avec des tiers autorisés.

Annexe D – Responsabilités des employés de l’Agence relativement à la protection des renseignements personnels

Tous les employés des directions générales et des régions

Les employés de toutes les directions générales et régions jouent un rôle essentiel pour aider l’Agence à respecter son engagement à l’égard de la protection des renseignements personnels des clients. Les employés doivent comprendre leurs obligations pour être en mesure de traiter et de protéger les renseignements personnels de façon appropriée. Les employés sont tenus de s’assurer que les renseignements personnels qu’ils recueillent, utilisent ou divulguent dans le cadre de leurs fonctions sont traités, gérés et protégés conformément aux instruments de politique, aux processus et aux protocoles de l’Agence en matière de protection des renseignements personnels de l’Agence.

Détails de la page

Date de modification :