Directive de l'ARC sur l'évaluation des facteurs relatifs à la vie privée (ÉFVP)

The English version of this document is called CRA Privacy Impact Assessment (PIA) Directive.

Ces directives sont offertes sur demande en différents formats. Pour les obtenir dans un autre format, veuillez en faire la demande par courriel à Alternate-media/Format substitut.

Date d'entrée en vigueur

Ces directives entrent en vigueur le 11 juin 2007.

Politique connexe

Ces directives découlent de la Politique d'évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor (SCT) et des 10 principes relatifs à la protection de la vie privée contenus dans la Loi sur la protection des renseignements personnels et les documents électroniques.

Les procédures de l'ARC liées à l'évaluation des facteurs relatifs à la vie privée (ÉFVP) de l'ARC complètent ces directives.

Introduction

L'ARC s'engage à protéger la vie privée et la confidentialité des renseignements personnels en sa possession.

Pour cela, elle a recours au processus d'ÉFVP. L'ÉFVP est une initiative du gouvernement du Canada qui exige que les questions relatives à la protection de la vie privée soient prises en compte lorsqu'on prévoit la mise en oeuvre de nouvelles activités ou d'importantes modifications aux activités existantes. On l'applique à la technologie, aux systèmes informatiques, aux initiatives, aux politiques, aux programmes et aux services.

Lorsqu'ils mènent une ÉFVP, les gestionnaires doivent consulter les autorités fonctionnelles appropriées au sujet des processus similaires qu'il faut aussi entreprendre, y compris :

• les évaluations de la menace (Direction de la sécurité, Direction générale des finances et de l'administration);
• les énoncés de sensibilité (Direction de la sécurité, Direction générale des finances et de l'administration); et
• les évaluations des risques de la gestion de l'information (Direction générale de statistique et gestion de l'information, Direction générale des stratégies d'entreprise et de la croissance des marchés).

Application

Ces directives s'appliquent à tous les employés de l'ARC.

Définitions

• Comité d'examen et de surveillance de l'AIPRP (antérieurement le Comité d'examen des ÉFVP) : entre autres fonctions, ce comité examine les ÉFVP et les rapports d'évaluation préliminaire des facteurs relatifs à la vie privée. Le Comité est formé de représentants du niveau de DG de chacune des directions générales à l'Administration centrale et il est présidé par le directeur de la Direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP).
• Renseignements personnels : toute information consignée au sujet d'un particulier identifiable (voir la définition intégrale à l'article 3 de la Loi sur la protection des renseignements personnels).
• Évaluation des facteurs relatifs à la vie privée (ÉFVP) : processus qui permet de déterminer si les nouvelles activités, ou celles qui ont subi d'importants changements, respectent les exigences élémentaires de la protection des renseignements personnels définies dans la Loi sur la protection des renseignements personnels.
• Rapport d'ÉFVP : document d'évaluation d'une nouvelle activité ou d'une activité qui a subi des changements importants, en ce qui a trait aux risques d'entrave à la vie privée et à leur incidence, ainsi qu'aux options et recommandations possibles afin d'éviter ou d'atténuer les risques.
• Sommaire d'ÉFVP : courte description non technique qui est disponible dans le site Web de l'ARC et qui résume les résultats d'une ÉFVP pour une activité donnée.
• Rapport d'évaluation préliminaire des facteurs relatifs à la vie privée (ÉPFVP) : lorsque les renseignements détaillés nécessaires au rapport complet sur les ÉFVP ne sont pas encore disponibles, un rapport d'ÉPFVP peut être rédigé afin d'aider le Comité d'examen et de surveillance de l'AIPRP à décider si une ÉFVP complète est nécessaire.

Objectif

S'assurer que les questions touchant la protection de la vie privée sont prises en compte lors de l'élaboration, de la refonte, de l'exécution et de l'évaluation de toutes les activités de l'ARC qui touchent la collecte, la conservation, l'utilisation, la communication ou le retrait des renseignements personnels.

Exigences

Ces directives doivent être appliquées de concert avec les lois et les documents mentionnés dans la section Documents de référence.

• Analyse et documentation : Avant leur mise en œuvre, les nouvelles activités, ou celles qui ont subi des changements importants, seront étudiées en ce qui a trait à la protection des renseignements personnels. Le personnel des directions générales et des régions rédigera un rapport d'ÉFVP, et parfois un rapport d'ÉPFVP, afin de cerner les risques possibles d'entrave à la protection des renseignements personnels, ainsi que les moyens d'éviter ou d'atténuer ces risques.
• Examen des documents : Le Comité d'examen et de surveillance de l'AIPRP examinera les rapports d'ÉFVP et d'ÉPFVP. En fonction de l'expertise des membres, le Comité fournira une orientation sur la façon dont la direction générale ou la région concernée doit procéder en ce qui a trait aux aspects relatifs à la vie privée de la nouvelle activité ou de l'activité qui a subi des changements importants.
• Échange d'information : Un court sommaire non technique de chacun des rapports d'ÉFVP sera publié dans le site Web de l'ARC.
• Commissariat à la protection de la vie privée : L'ARC fournira les rapports finaux d'ÉFVP au Commissariat à la protection de la vie privée et répondra à tous les conseils offerts par le Commissariat.

Rôles et responsabilités

Commissaire

Le commissaire est responsable de mieux faire connaître la Politique d'évaluation des facteurs relatifs à la vie privée du SCT et les présentes directives de l'ARC.

Le commissaire doit intégrer les intérêts défendus par cette politique à d'autres exigences législatives et de la politique, en visant un juste équilibre.

Le commissaire a la responsabilité ultime de décider si une initiative de l'ARC a une incidence possible sur la protection de la vie privée des particuliers, suffisante pour justifier la rédaction d'un rapport d'ÉFVP.

Sous-commissaires

Les sous-commissaires sont chargés d'aider le commissaire à s'acquitter des responsabilités relatives aux ÉFVP décrites ci-dessus. Les sous-commissaires doivent s'assurer que leurs cadres supérieurs connaissent la politique du SCT et les présentes directives de l'ARC.

Le sous-commissaire de chaque direction générale à l'Administration centrale (AC) nomme un directeur général qui siégera au Comité d'examen et de surveillance de l'AIPRP.

Les sous-commissaires régionaux communiquent avec leurs homologues de l'AC afin de cerner les questions de protection de la vie privée liées aux activités autorisées par l'AC mais qui sont administrées et supervisées par le personnel régional.

Comité d'examen et de surveillance de l'AIPRP

Le Comité d'examen et de surveillance de l'AIPRP contrôle les nouvelles questions d'accès et de protection des renseignements personnels importantes qui touchent l'ARC et il assure la supervision générale de celles-ci. Le Comité assure une expertise horizontale objective qui porte sur tous les rapports d'ÉFVP ou d'ÉPFVP examinés par ses membres, ainsi que sur des questions clés de protection de la vie privée liées aux politiques et aux initiatives nouvelles et existantes du gouvernement fédéral.

Le Comité encourage l'échange de renseignements et de pratiques exemplaires sur la gestion des questions de protection de la vie privée, y compris les répercussions de ces questions sur les programmes et les services connexes.

Directeur, Direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP), Direction générale des affaires publiques

• Par l'intermédiaire du Groupe chargé du soutien des programmes et de la formation, le directeur, Direction de l'AIPRP, fournit une orientation en matière de vie privée aux fonctionnaires des directions générales et des régions, tout au long du processus d'ÉFVP.
  

Le directeur s'assure de ce qui suit :

• le contenu technique et le format des ÉFVP sont confirmés;
• des copies des ÉFVP approuvées et des ÉPFVP qui n'ont pas résulté en ÉFVP complètes sont envoyées au bureau du commissaire;
• les ÉFVP approuvées sont acheminées au Commissariat à la protection de la vie privé; et
• des sommaires des ÉFVP approuvées sont affichés dans le site Web de l'ARC.

Le directeur préside le Comité d'examen et de surveillance de l'AIPRP.

Gestionnaires de l'Administration centrale

Les gestionnaires à l'AC sont responsables de cerner les activités qui ont des incidences sur la protection de la vie privée et, lorsqu'ils considèrent que c'est approprié, ils doivent soulever les questions d'ÉFVP possibles avec l'équipe de gestion de leur direction générale et avec le représentant de leur direction générale qui siège au Comité d'examen et de surveillance de l'AIPRP.

Les gestionnaires sont responsables de rédiger les rapports d'ÉPFVP ou d'ÉFVP pour les activités déterminées, ainsi que d'assurer la liaison avec le représentant de leur direction générale au Comité d'examen et de surveillance de l'AIPRP et avec les gestionnaires régionaux concernés.

Gestionnaires régionaux

Dans les régions, les gestionnaires sont responsables de déterminer les activités qui ont des incidences sur la protection de la vie privée et de signaler les questions d'ÉFVP possibles à l'équipe de gestion de leur région et à la direction générale du programme concerné (lorsque l'autorité fonctionnelle à l'AC n'est pas certaine, les gestionnaires doivent communiquer avec l'AIPRP pour obtenir de l'aide).

S'il y a lieu, les gestionnaires régionaux sont chargés de rédiger un rapport d'ÉPFVP en collaboration avec la direction générale du programme touché.

Contrôle et évaluation

La Direction générale des affaires publiques (DGAP) est responsable de contrôler l'observation des présentes directives et d'en évaluer l'efficacité et le respect quant aux politiques pertinentes du Conseil du Trésor (CT), avec le soutien de la Direction générale de la vérification et de l'évaluation de l'entreprise (DGVEE) et conformément aux politiques de l'ARC.

Examen

La Direction générale des affaires publiques a la responsabilité de mener l'examen prévu de ces directives tous les cinq ans. Elle est également chargée de tout examen et révision ponctuels des directives requis avant l'examen prévu.

Documents de référence

Les directives de l'ARC sur l'ÉFVP découlent de la Politique d'évaluation des facteurs relatifs à la vie privée du SCT et sont complétées par les procédures de l'ARC liées à ÉFVP.

La page Politiques et documents connexes de la DGAP présente une liste complète des lois, des politiques du Conseil du Trésor ainsi que des politiques et lignes directrices de l'ARC liées aux communications et aux affaires publiques.

Les présentes directives sur l'ÉFVP doivent être appliquées de concert avec les documents suivants, qui traitent des sujets particulièrement pertinents à la protection de la vie privée et aux ÉFVP :

Législation

• Loi sur la protection des renseignements personnels et les documents électroniques
• Loi sur la protection des renseignements personnels

Politiques et lignes directrices de la Direction générale des affaires publiques

• Procédures liées à l' ÉFVP

Autres politiques et lignes directrices de l'ARC

• Politique de gestion de l'information
• Politique en matière de sécurité

Politiques et lignes directrices du gouvernement du Canada

• Gestion du risque – Politiques et publications
• Évaluation des facteurs relatifs à la vie privée – Grilles d'évaluation du guide de vérification
• Politique d'évaluation des facteurs relatifs à la vie privée
• Politique sur l'approbation des projets
• Politiques sur la protection des renseignements personnels

Demandes de renseignements

Les questions relatives aux présentes directives doivent être présentées au directeur, Direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP), Direction Générale des affaires publiques.