Système de ressourcement de la fonction publique, addendum sur l'évaluation des facteurs relatifs à la vie privée

Résumé

Le présent rapport vise la réalisation d’une évaluation des facteurs relatifs à la vie privée (EFVP) quant aux changements apportés au Système de ressourcement de la fonction publique (SRFP) à la suite de l’adoption de la Loi sur l’embauche des anciens combattants (LEAC). Le rapport servira d’addendum à l’EFVP existante liée au SRFP. L’évaluation cible et définit les renseignements personnels supplémentaires recueillis conformément à la LEAC, la méthode de collecte, l’utilisation prévue, ainsi que tout ce qui concerne la conservation, la divulgation et la protection. En outre, le rapport cible et évalue les risques éventuels relatifs à la vie privée que représente la mise en œuvre du SRFP, ainsi que les mesures d’atténuation des risques connexes.

La Commission de la fonction publique (CFP) exerce ses pouvoirs en vertu de la Loi sur l’emploi dans la fonction publique (LEFP). Le mandat de la CFP consiste à promouvoir et à protéger les nominations fondées sur le mérite et, de concert avec les autres intervenants, à préserver l’impartialité politique de la fonction publique. Dans le cadre de ce mandat, la CFP offre des services de dotation et d’évaluation pour appuyer la dotation dans la fonction publique. De plus, dans l’exercice de sa fonction de surveillance de l’intégrité du système de dotation, la CFP conserve et analyse des données sur la fonction publique, effectue des vérifications et réalise des enquêtes.

L’article 11 de la LEFP permet à la CFP d’offrir des services de soutien à la fonction publique fédérale. Le SRFP est un système en ligne offrant aux professionnels en ressources humaines et aux gestionnaires d’embauche des renseignements et des outils qui leur permet, au moyen du recrutement électronique, de doter des postes dans le cadre de processus de nomination annoncés. Le but principal du SRFP est de faciliter le processus de recrutement des postes annoncés au sein de la fonction publique.

Le gouvernement du Canada propose d’apporter des changements à la LEFP par l’introduction de la Loi sur l’embauche des anciens combattants, afin d’améliorer les possibilités d’emploi des anciens combattants et des membres libérés des Forces armées canadiennes (FAC) au sein de la fonction publique fédérale :

1. Nouveau droit de priorité statutaire – Tous les militaires des FAC, y compris les réservistes, qui sont libérés pour des raisons médicales attribuables au service, se verront accorder un droit de priorité de premier niveau aux fins de nomination à la fonction publique. Cela signifie que si ces personnes possèdent les qualifications essentielles liées au poste, elles devront être nommées avant toute autre personne, et avant que l’organisation n’entame un processus de nomination interne ou externe. C’est la CFP qui énoncera les conditions liées à cette nouvelle priorité statutaire, dont une période d’admissibilité de cinq ans, suivie d’une période de droit de priorité de cinq ans.
2. Préférence aux fins de nomination – Pour une période maximale de cinq ans suivant leur libération, les anciens combattants libérés honorablement ayant au moins trois années de service militaire, qui participent à un processus de nomination externe annoncé, auront une préférence aux fins de nomination. Une telle préférence signifie que, dans le cadre d’un processus de nomination externe annoncé, ces personnes doivent être nommées avant tout autre candidat, pourvu qu’elles possèdent les qualifications essentielles requises.
3. Dispositions sur la mobilité – Pour une période maximale de cinq ans suivant leur libération, tous les militaires des FAC et anciens combattants libérés honorablement, qui ont au moins trois années de service militaire, pourront participer à l’ensemble des processus de nomination internes annoncés. Ces personnes devront satisfaire aux critères d’équité en matière d’emploi établis, dans la zone de sélection, pour le poste à doter. Actuellement, les militaires des FAC n’ont accès aux processus de nomination que lorsqu’ils sont inclus, de façon explicite, dans la zone de sélection.

De façon à se préparer à l’entrée en vigueur des nouvelles dispositions, la CFP a regroupé le système de recrutement interne (Annonces et notifications de dotation de la fonction publique) et le système de recrutement externe (SRFP), lequel a été amélioré de façon à permettre ce qui suit :

• Le traitement des notifications et des processus internes annoncés ainsi que des processus externes annoncés. De nouvelles fonctionnalités ont été intégrées (p. ex. la possibilité, pour les personnes autorisées, comme les anciens combattants, de consulter les offres d’emploi affichées à l’interne et de poser leur candidature) de même que la saisie de nouveaux renseignements (information sur les employés);
• La collecte de la préférence de nomination des anciens combattants (pour les processus externes) et de l’admissibilité aux processus internes annoncés;
• La collecte du droit de priorité à la nomination des personnes admissibles;
• L’établissement d’un mécanisme d’autorisation pour les utilisateurs du Système de gestion de l’information sur les priorités (SGIP).

Les renseignements fournis par les candidats conformément à la Loi sur l’embauche des anciens combattants seront communiqués aux organisations fédérales en vertu de la Loi sur la protection des renseignements personnels et utilisés pour cibler des candidats éventuels aux fins de présentation de candidatures et de nomination à des postes de la fonction publique, tout comme sont utilisés les renseignements des candidats à l’heure actuelle. Les renseignements seront également utilisés à des fins d’études, d’analyses statistiques, de vérification et d’enquête, comme c’est déjà le cas. Tous les renseignements personnels recueillis par l’intermédiaire du SRFP visent à ce que la CFP puisse assumer ses responsabilités en vertu des dispositions de la LEFP.

Section I ̶ Aperçu et mise en œuvre de l’évaluation des facteurs relatifs à la vie privée

a) L’institution fédérale, ou l’institution fédérale responsable dans le cas d’une EFVP pluri-institutionnelle.

Il s’agit d’une EFVP propre à l’organisation, réalisée pour le compte de la CFP.

b) Le responsable de l’institution fédérale ou son représentant désigné au titre de l’article 10 de la Loi sur la protection des renseignements personnels ou, dans le cas d’une EFVP pluri-institutionnelle, le responsable ou son représentant désigné pour chacune des institutions fédérales concernées par le programme ou l’activité.

Le directeur, Accès à l’information et protection des renseignements personnels et projets de transition au sein de la CFP, exerce des pouvoirs délégués en vertu de l’article 10 de la Loi sur la protection des renseignements personnels.

c) Le cadre supérieur ou le gestionnaire approprié dans le cadre de l’activité ou du programme, nouveau ou ayant subi des modifications importantes.

Le vice-président, Direction générale des services de dotation et d’évaluation.

d) Le nom et la description du programme ou de l’activité de l’institution fédérale, ou de l’institution fédérale responsable dans le cas d’une EFVP pluri-institutionnelle.

Le mandat de la CFP consiste, en partie, à offrir des services de dotation et d’évaluation novateurs, y compris une infrastructure habilitante. Le SRFP est une application en ligne conçue pour offrir aux professionnels en ressources humaines et aux gestionnaires d’embauche des renseignements et des outils qui leur permet de doter des postes dans le cadre de processus de nomination annoncés. Le but principal du SRFP est de faciliter le processus de recrutement externe pour les postes annoncés. Par suite de l’adoption de la Loi sur l’embauche des anciens combattants, le SRFP a été amélioré de façon à permettre la gestion des annonces et des demandes d’emploi relatives à des postes internes annoncés, ainsi que la publication de notifications.

e) L’autorisation légale relative au programme ou à l’activité, ou l’autorisation légale relative à chacune des institutions fédérales concernées par le programme ou l’activité dans le cas d’une EFVP pluri-institutionnelle.

La CFP a pour mandat d’effectuer des nominations de personnes, appartenant ou non à la fonction publique, qui sont basées sur le mérite et exemptes de toute influence politique. La CFP rend compte de l’exercice de son mandat directement au Parlement.

La CFP est autorisée à recueillir des renseignements personnels par l’intermédiaire du SRFP en vertu de l’alinéa 11a) de la LEFP dans le but d’effectuer des nominations internes et externes à la fonction publique. En outre, l’autorisation légale découle de la Loi sur l’embauche des anciens combattants, dont l’entrée en vigueur a pour effet de modifier la LEFP quant aux droits des membres et anciens membres des FAC en matière de préférence, de priorité et de mobilité.

f) Si la proposition s’applique à un nouveau fichier de renseignements personnels (FRP) ou si elle aura pour effet de modifier considérablement un FRP existant. Les FRP existants doivent être désignés par leur titre, leur numéro d’enregistrement et leur numéro de fichier.

Le SRFP est lié à un FRP existant (CFP PPU 015). La proposition nécessite que des modifications soient apportées à ce FRP puisqu’il vise à cibler des candidats aux fins de présentation de candidatures et de nomination à des postes de la fonction publique. La description du FRP contenue dans Info Source sera mise à jour durant le prochain cycle annuel, prévu pour le début de l’automne 2015, de façon à ce qu’il y soit indiqué que les renseignements sont destinés aux processus de dotation tant internes qu’externes.

Les renseignements personnels recueillis dans le cadre du programme de l’administration des priorités sont compris dans le FRP suivant : CFP PCE 801. Des travaux sont en cours pour élaborer une EFVP relative au SGIP.

g) Une brève description du projet, de l’initiative ou du changement.

• Utilisation du SRFP pour les processus de dotation internes :
  • Les fonctions existantes du SRFP ont été adaptées pour les processus de dotation internes (p. ex. annonces et demandes d’emploi, outils de présélection et de communication, présentation de candidatures [extraction de fichiers]).
  • L’accès aux fonctions de recherche, de consultation et de mise en candidature pour les offres d’emploi annoncées à l’interne est limité aux personnes bénéficiant d’un accès autorisé.
  • Le profil du candidat contient des champs supplémentaires où indiquer son statut d’emploi au sein de la fonction publique, y compris l’organisation pour laquelle il travaille et son lieu de travail actuel de même que la classification de son poste d’attache. Bien que ces champs soient nouveaux, ces renseignements étaient auparavant indiqués dans le curriculum vitæ ou la lettre de présentation.
  • Une nouvelle fonction a été conçue pour la publication de notifications (Notification de candidature retenue, Notification de nomination ou proposition de nomination et Avis d’information concernant une nomination intérimaire). Cette fonction ne nécessite pas la collecte de nouveaux renseignements personnels; cependant, nous pouvons maintenant associer les candidats visés par les notifications à un code d’identification de dossier personnel ou à un numéro matricule des FAC aux fins d’établissement de rapports (ces renseignements ne sont pas visibles par les chercheurs d’emploi).
• Collecte, utilisation et divulgation du numéro matricule des FAC et des renseignements connexes :
  • Ces renseignements sont utilisés pour cibler les candidats auxquels est accordée la préférence de nomination au sein de la fonction publique et qui sont admissibles à poser leur candidature à l’égard de postes internes annoncés, ainsi que pour l’établissement de rapports visant la mise en œuvre de la Loi sur l’embauche des anciens combattants.
• Collecte, utilisation et divulgation du numéro séquentiel de priorité et des renseignements connexes :
  • Le SRFP saisit des renseignements limités sur tous les types de priorité. Ces renseignements sont utilisés pour cibler les candidats bénéficiaires d’un droit de priorité de nomination au sein de la fonction publique.

h) Dans les cas d’une EFVP pluri-institutionnelle, l’institution fédérale responsable doit décrire la démarche retenue afin de compléter et d’approuver l’EFVP qui appuie le programme ou l’activité. Une EFVP pluri-institutionnelle devra à tout le moins déterminer les institutions fédérales responsables concernées et veillera à ce que le rôle de chacune des institutions à l’égard du programme ou de l’activité soit suffisamment documenté dans l’EFVP pluri‑institutionnelle ou autrement selon la démarche retenue.

La CFP remplira et approuvera l’addendum de l’EFVP.

Section II – Détermination et catégorisation des secteurs de risque

a) Type de programme ou d’activité

Administration des programmes, des activités et des services

Le SRFP est une application conçue pour faciliter le processus de recrutement à l’égard des postes annoncés à la fonction publique. Il permet aux candidats de chercher des offres d’emploi et de poser leur candidature, et permet aux organisations d’annoncer des offres d’emploi, d’effectuer une présélection, de faire des recherches et de présenter des candidatures. Le SRFP a été amélioré de manière à pouvoir traiter les notifications et les processus internes annoncés. Bien que les renseignements soient saisis dans le SRFP, il ne s’agit pas d’un système faisant autorité et d’autres sources doivent être utilisées pour vérifier les renseignements fournis.

Échelle de risque : 2

b) Type de renseignements personnels en cause et contexte

Numéro d’assurance sociale, renseignements médicaux et financiers ou autres renseignements personnels de nature délicate, ou encore contexte délicat entourant ces renseignements; renseignements personnels sur des mineurs ou des personnes légalement incapables, ou mettant en cause un représentant agissant au nom de la personne

Le SRFP recueille des renseignements personnels directement auprès de la personne, y compris son nom, sa date de naissance partielle, sa citoyenneté, son adresse, ses études et ses antécédents professionnels. Il s’agit là d’une collecte volontaire directe de renseignements aux fins de l’obtention d’un emploi au sein de la fonction publique, et la personne consent à l’utilisation de ses renseignements personnels en ouvrant une session dans son compte (Énoncé de confidentialité).

Le SRFP a été amélioré afin d’ajouter la collecte volontaire directe du numéro matricule des FAC et du numéro séquentiel de priorité, à des fins de vérification. Une fois l’identité de la personne vérifiée, des renseignements supplémentaires connexes sont obtenus de la part de la source de validation (un fichier sécurisé du ministère de la Défense nationale (MDN) ou les fichiers de données du SGIP) afin de déterminer l’admissibilité à la préférence de nomination à un poste interne, ou à un droit de priorité pour les nominations au sein de la fonction publique. Certains types de priorité tirés du SGIP, visibles par les administrateurs du SRFP, comprennent la mention « libéré pour raisons médicales », faisant ainsi passer le niveau de risque à 3.

Échelle de risque : 3

c) Les partenaires du programme ou de l’activité et la participation du secteur privé

Participation d’autres institutions fédérales

Les partenaires internes comprennent les suivants : la Direction générale de la vérification et services de données, qui utilise les renseignements pour réaliser des analyses statistiques de candidatures (voir le FRP pour l’environnement analytique de la CFP : CFP PCE 761); la Direction générale des enquêtes, qui utilise les renseignements pour mener des enquêtes en vertu des articles 66, 68 et 69 de la LEFP; et le Centre de psychologie du personnel, qui effectue des analyses, des études et des sondages dans le SRFP.

Les partenaires externes comprennent les organisations fédérales qui peuvent ou non être régies par la LEFP, et qui peuvent ou non accéder directement au SRFP. Les bureaux régionaux de la CFP offrent des services de diffusion aux organisations fédérales qui ne disposent pas d’un accès direct au SRFP.

Échelle de risque : 2

d) Durée du programme ou de l’activité

Programme ou activité de longue durée

Le SRFP existe depuis 2003 et certaines données remontent à 2001. L’intégration d’une fonctionnalité pour la dotation interne est considérée comme une solution à long terme pour l’embauche au sein du gouvernement.

Échelle de risque : 3

e) Personnes visées par le programme

Échelle de risque :

L’utilisation, dans le cadre du programme, de renseignements personnels à des fins administratives externes a des répercussions sur certaines personnes.

Les organisations d’embauche utilisent les renseignements personnels recueillis dans le SRFP pour effectuer une présélection (manuelle ou automatisée selon les critères établis), pour chercher ou présenter des candidats au regard d’offres d’emploi annoncées. Les renseignements sont utilisés pour cibler les candidats convenables en vue de nominations au sein de la fonction publique. Le SRFP a été amélioré pour permettre le traitement des offres d’emploi affichées à l’interne dans le cadre desquelles certains non-fonctionnaires (p. ex. les anciens combattants) seront autorisés à poser leur candidature.

Échelle de risque : 3

f) Technologie et vie privée

Est-ce que l’activité ou le programme, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d’un nouveau système électronique ou l’utilisation d’un nouveau logiciel ou d’une nouvelle application, y compris d’un collecticiel (ou logiciel de groupe), pour appuyer la création, la collecte ou le traitement des renseignements personnels?

Non.

L’activité ou le programme, nouveau ou ayant subi des changements importants, nécessite-t-il que des modifications soient apportées aux systèmes hérités des TI?

Oui, le SRFP a été modifié tel qu’il est expliqué au point g) de la section I.

Questions propres aux technologies et à la protection des renseignements personnels :

L’activité ou le programme, nouveau ou ayant subi des modifications importantes, comprend-il la mise en œuvre de nouvelles technologies ou d’au moins une des activités suivantes?

• amélioration des méthodes d’identification;
• surveillance;
• utilisation des techniques d’analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances.

Oui, le numéro matricule des FAC et le nom du candidat fourni par celui-ci dans son profil du SRFP sont utilisés aux fins de comparaison avec les mêmes renseignements contenus dans un fichier sécurisé fourni par le MDN. Cette comparaison permet de confirmer que le candidat est admissible à poser sa candidature à un poste interne et qu’il est admissible à la préférence de nomination au sein de la fonction publique. De même, le numéro séquentiel de priorité et le nom fournis par le candidat dans son profil du SRFP sont utilisés aux fins de comparaison avec les mêmes renseignements contenus dans les fichiers de données du SGIP. Cela permet de vérifier si le candidat dispose d’un droit de priorité de nomination au sein de la fonction publique.

Une réponse affirmative (oui) à l’une ou l’autre des questions précédentes signifie qu’il pourrait exister des préoccupations ou des risques relativement à la protection des renseignements personnels, préoccupations et risques qui devront être pris en considération et, au besoin, atténués.

g) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans le cadre d’un système qui est lié à au moins un autre système.

Le numéro matricule des FAC et le nom fournis par le candidat dans son profil du SRFP sont utilisés aux fins de comparaison avec les mêmes renseignements contenus dans un fichier fourni par le MDN, transféré de façon sécuritaire à la CFP au moyen d’un service Web sécurisé et sauvegardé dans une zone sécurisée à accès restreint de la base de données. Une fois les renseignements vérifiés, le SRFP détermine, en fonction du fichier sécurisé, l’admissibilité à la préférence et à l’application de la disposition relative à la mobilité, de même que la date de fin de la période d’admissibilité.

Le numéro séquentiel de priorité et le nom fournis par le candidat dans son profil du SRFP sont utilisés aux fins de comparaison avec les mêmes renseignements contenus dans les fichiers de données du SGIP. Une fois les renseignements vérifiés, le SRFP détermine, en fonction du SGIP, le type de droit de priorité et la date de fin de celui-ci.

L’admissibilité à la préférence et à la disposition relative à la mobilité, la date de fin de la période d’admissibilité, ainsi que le type de droit de priorité et la date de fin de celui-ci sont par la suite ajoutés aux renseignements de candidature du candidat, lesquels peuvent être transmis à l’organisation d’embauche au moyen d’un compte sécurisé.

Échelle de risque : 2

h) La personne ou l’employé risque de subir des répercussions dans l’éventualité d’une atteinte à la vie privée

S’ils étaient compromis, les renseignements contenus dans le système ne causeraient pas de tort grave aux intérêts non nationaux.

Une Évaluation et autorisation de sécurité (EAS) du SRFP a été réalisée par suite des changements apportés en vertu de la Loi sur l’embauche des anciens combattants. Pour cette EAS, les exigences en matière de sécurité ont été revues et consignées. Les contrôles de sécurité à l’égard des profils Protégé B/Intégrité moyenne/Disponibilité élevée ont été sélectionnés. Le niveau acceptable de risque résiduel pour le client a été établi à « faible ». Les contrôles de sécurité appliqués ont été revus et certains ont été mis à l’essai. Les domaines suivants ont été mis à l’essai au moyen de tests de pénétration indépendants : authentification, détournement ou manipulation de session, vol de données et vulnérabilités en matière d’injection entraînant l’exécution de code. Ont également été revus le nouveau transfert de données du MDN et le nouveau mécanisme d’autorisation des utilisateurs du SGIP. Selon les résultats de l’évaluation et sur recommandation de l’évaluateur, une autorisation d’exploitation complète a été signée par le gestionnaire de la prestation des programmes et services ainsi que par le dirigeant principal de l’information le 17 mars 2015.

i) L’institution risque de subir des répercussions dans l’éventualité d’une atteinte à la vie privée

La divulgation inappropriée, en totalité ou en partie, de la base de données du SRFP pourrait avoir de graves répercussions sur la CFP et sur les candidats ayant un profil dans le SRFP. Cependant, les renseignements personnels supplémentaires recueillis dans le cadre de l’adoption de la Loi sur l’embauche des anciens combattants n’ont pas pour effet d’aggraver les risques ou les répercussions possibles de façon considérable. De plus, l’intégration des offres d’emploi et des notifications affichées à l’interne n’a pas non plus pour effet d’aggraver les risques ou les répercussions possibles de façon considérable, puisque les processus internes utilisent les fonctions existantes du système et que l’accès est réservé uniquement aux personnes autorisées.

En résumé, les fonctions ajoutées et les renseignements personnels supplémentaires recueillis par suite de l’adoption de la Loi sur l’embauche des anciens combattants n’ont pas, sur le SRFP, de répercussions importantes qui nécessiteraient des modifications quant à l’infrastructure ou au flux de données. Par exemple, les données du SRFP sont déjà sauvegardées dans un environnement Protégé B à accès limité. Cependant, la saisie du type de droit de priorité (plus particulièrement « libéré pour des raisons médicales ») et la vérification du numéro matricule des FAC et du numéro séquentiel de priorité auprès d’autres sources de données entraînent certains risques. Des stratégies d’atténuation associées à chaque risque ciblé sont décrites dans le plan d’action en matière de protection des renseignements personnels.