Résumé de l’évaluation des facteurs relatifs à la vie privée (ÉFVP) – Enquêtes de sécurité sur le personnel – Cote de fiabilité +

La Direction de la sécurité et des affaires internes de la Direction générale des finances et de l’administration

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Roch Huppé

Administrateur supérieur des affaires financières et sous‑commissaire

Direction générale des finances et de l’administration

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Service de voyage et autres services administratifs

Description de l’initiative :

Les enquêtes de sécurité sur le personnel jouent un rôle essentiel au sein du programme de sécurité de l’Agence du revenu du Canada (ARC) en s’assurant que tous les employés ont fait l’objet d’enquêtes appropriées fondées sur l’accès aux renseignements et aux locaux de l’ARC requises pour l’accomplissement de leurs fonctions. Tous les employés de l’ARC doivent subir une enquête de sécurité et ils doivent respecter les exigences en matière de sécurité de leur poste avant d’être embauchés. À l’heure actuelle, il existe deux types d’enquête de sécurité sur le personnel : une évaluation de la fiabilité (qui entraîne une cote de fiabilité) et une évaluation de la loyauté envers le Canada (qui entraîne une autorisation de sécurité de niveau « Secret » ou « Très secret »).

Même si le programme sur les enquêtes de sécurité de l’ARC est excellent et conforme à toutes les lois applicables et aux politiques et aux normes du gouvernement du Canada, une possibilité d’amélioration du programme a été déterminée. À ce titre, en plus de la cote de fiabilité actuelle, la Direction de la sécurité et des affaires internes de l’ARC met en œuvre des améliorations au moyen de l’élaboration d’un nouveau niveau d’enquête de sécurité, la cote de fiabilité+.

La cote de fiabilité+ s’appliquerait à des postes désignés, approuvés par le commissaire, exigeant un niveau élevé de confiance du public ou une autorité considérable pour prendre des décisions qui pourraient avoir une incidence sur l’efficience ou l’intégrité des opérations et de la réglementation de l’Agence, comme celles qui concernent l’accomplissement des tâches liées à l’administration ou à l’exécution des lois fiscales (p. ex. la Loi de l’impôt sur le revenu) et pour les contrats qui nécessitent un accès à des renseignements liés à l’administration ou à l’exécution des lois fiscales.

Une cote de fiabilité valide serait une condition préalable à la cote de fiabilité+. Les vérifications supplémentaires sont les suivantes :

• Prise d’empreintes digitales
• Vérification de la solvabilité
• Vérifications des records d’information policière
• Vérifications de l’observation fiscale
• Entrevue avec l’individu, « pour un motif valable » dans les cas où les vérifications ont permis de révéler des renseignements défavorables

Conformément aux instruments de politique du Secrétariat du Conseil du Trésor, l’ARC a entrepris la présente évaluation des facteurs relatifs à la vie privée (ÉFVP) pour l’enquête de sécurité sur la cote de fiabilité+ puisque sa mise en œuvre entraînera une modification considérable du processus actuel d’enquête de sécurité de l’ARC.

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents ordinaires: Sécurité (site Web Info Source)
Proposition pour un nouveau fichier de renseignements personnels : Enquêtes de sécurité sur le personnel - ARC

Autorisation légale pour le programme ou l’activité

L’Agence du revenu du Canada est désignée comme un organisme distinct en vertu de l’annexe II de la Loi sur la gestion des finances publiques et, à ce titre, elle a la responsabilité globale de son administration, de ses contrats et de la gestion de ses ressources humaines. L’ARC s’est vu accorder la responsabilité de « ses grandes orientations administratives » en vertu de l’alinéa 30(1)a) de la Loi sur l’Agence du revenu du Canada. Cela comprend la responsabilité de déterminer les conditions d’emploi et par la suite les exigences en matière de sécurité en ce qui concerne les enquêtes de sécurité sur le personnel.

L’Agence est responsable de la protection de ses renseignements et de ses biens conformément à la Politique sur la sécurité du gouvernement (PSG) du Secrétariat du Conseil du Trésor (SCT) et à ses normes connexes. À cette fin, un PE a été conclu entre l’ARC et le SCT, fournissant à l’Agence un niveau de souplesse afin de mettre en œuvre ses propres normes relatives à des enquêtes de sécurité sur le personnel lorsque cela est justifié.

Détermination et classement du risque

1) Type de programme ou d’activité

Administration des programmes, des activités et des services

Niveau de risque pour la vie privée : 2

2) Type de renseignements personnels en jeu et contexte

Renseignements personnels de nature délicate dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles et/ou le contexte des renseignements personnels de nature particulièrement délicate.

Niveau de risque pour la vie privée : 4

3) Partenaires de programme ou d’activité et participation du secteur privé

Avec des gouvernements étrangers, des organisations internationales ou des organisations du secteur privé

Niveau de risque pour la vie privée : 4

4) Durée du programme ou de l’activité

Programme à long terme

Niveau de risque pour la vie privée : 3

5) Population du programme

Le programme touche certains employés à des fins administratives internes.

Niveau de risque pour la vie privée : 1

6) Technologie et vie privée

Est-ce que le programme ou l’activité, étant nouveau ou ayant subi des modifications, comprend la mise en œuvre d’un nouveau système électronique, logiciel ou programme d’application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pied afin de créer, collecter ou traiter les renseignements personnels dans le but de soutenir le programme ou l’activité?

Risque pour la vie privée : Non

Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

Risque pour la vie privée : Non

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée : Oui

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Indiquer la ou les catégories en question :

Risque pour la vie privée : Non

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

Une réponse affirmative à l’une des questions ci-dessus indique qu’il pourrait y avoir des préoccupations et des risques pour la vie privée qui devront être évalués et atténués le cas échéant.

7) Transmission des renseignements personnels

Les renseignements personnels sont utilisés au sein d’un système qui est branché à au moins un autre système.

Niveau de risque pour la vie privée : 2

8) Risque possible pour l’institution

Atteinte à la réputation, gêne et perte de crédibilité

9) Risque possible pour le particulier ou l’employé

Risque financier