Vérification interne de la gestion des renseignements personnels

Table des matières

Sommaire

La présente vérification vise à évaluer si le cadre de contrôle de la gestion à la Commission de la fonction publique (CFP) permet de respecter la Loi sur la protection des renseignements personnels, y compris les mécanismes de contrôle visant la protection, la collecte, l’exactitude, l’utilisation, la divulgation, la conservation et la destruction des renseignements personnels.

Bien-fondé

Les Canadiens fournissent des renseignements personnels aux organisations fédérales pour bénéficier de certains services, toucher des prestations ou participer à des programmes. Les organisations se doivent de protéger ces renseignements contre l’utilisation et la divulgation non autorisées. La CFP gère d’importants fonds de renseignements personnels dans ses différents secteurs. En outre, la gestion de l’information en général est un élément important qui a été cerné par la CFP.

Principales constatations

La CFP a conçu un cadre de contrôle efficace pour gérer les renseignements personnels au sein de l’organisation. Les rôles et responsabilités sont définis, mais gagneraient à être mieux communiqués. Les principaux systèmes et programmes de l’organisation ont été évalués au regard des risques et des mécanismes de contrôle requis. Il y aurait lieu d’évaluer également certains programmes secondaires.

La CFP a instauré des mécanismes de contrôle efficaces pour recueillir les renseignements personnels. La collecte se fait dans le cadre des pouvoirs appropriés, après la communication d’une notification et l’obtention du consentement. La teneur des fonds de renseignements personnels est rendue publique.

Des mesures sont prises pour la protection des renseignements personnels, notamment pour ce qui est de l’accès aux systèmes. De plus, la plupart des appareils électroniques mobiles de stockage sont protégés par un système de chiffrement pour éviter les pertes d’information. Les mesures de sécurité doivent encore être améliorées dans certains secteurs. Par ailleurs, il y aurait lieu d’atténuer davantage le risque de perte d’information. L’accès aux renseignements personnels devrait être limité en fonction du besoin de savoir.

La CFP n’a pas établi de lignes directrices pour la conservation et la destruction des renseignements personnels stockés dans la plupart de ses fonds. En général, les renseignements personnels sont conservés indéfiniment. Cette pratique est légitime dans certains cas. Cependant, les risques pourraient être atténués grâce à une gestion efficace de ces fonds de données.

Les pratiques de surveillance en vigueur permettent d’assurer l’exactitude des données et le signalement des atteintes à la vie privée et des fuites d’information. La surveillance est limitée pour ce qui est de la mise en œuvre des évaluations des facteurs relatifs à la vie privée à l’échelle de l’organisation. Un processus renforcé de surveillance et de production de rapports à l’intention de la haute direction favoriserait la responsabilisation des gestionnaires pour l’instauration de mécanismes de contrôle.

Conclusion

Bien que la vérification interne ait permis de cerner des possibilités d’atténuer davantage les risques liés à la gestion des renseignements personnels et d’augmenter l’efficacité des mécanismes de contrôle, il n’en ressort pas moins que la CFP dispose d’un cadre de contrôle bien conçu et bien implanté.

Énoncé d'assurance

 

La présente vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme l’exigent les résultats de l’assurance de la qualité et le programme d’amélioration.

Greg Nesbitt, CPA, CMA, CIA
Dirigeant principal de la vérification
Commission de la fonction publique

Contexte

La Commission de la fonction publique (CFP) recueille et gère des renseignements personnels pour réaliser son mandat, soit promouvoir et protéger les nominations fondées sur le mérite, préserver l’impartialité politique de la fonction publique, et fournir des services de dotation et d’évaluation. La CFP gère d’importants fonds de renseignements personnels qui lui servent à de nombreuses fins liées directement à son mandat.

La Direction générale de la vérification et des services de données recueille et utilise des renseignements personnels pour produire des rapports et des analyses sur le système de dotation de la fonction publique et mener des vérifications en matière de dotation.

La Direction générale des services de dotation et d’évaluation recueille les renseignements personnels des personnes qui postulent des emplois à la fonction publique, qui passent des tests d’aptitude, de leadership, de psychologie, de compétence ou d’évaluation de la langue seconde, ou qui font appel à des services de counselling.

La Direction générale des enquêtes recueille les renseignements personnels des personnes qui soumettent des demandes d’enquête et des personnes touchées par l’information compilée à l’occasion d’enquêtes.

La Direction générale des politiques recueille des renseignements personnels pour l’administration des priorités et des demandes relatives à une candidature politique.

La Direction générale de la gestion ministérielle recueille les renseignements personnels des employés de la CFP pour les dossiers de ressources humaines.

Selon le programme, le type de renseignements personnels peut varier : numéros d’assurance sociale, codes d’identification de dossier personnel, données relatives à l’équité en matière d’emploi, informations sur l’état de santé, adresses personnelles, historiques d’emploi, demandes d’enquête, droits de priorité, résultats d’examen, etc.

Au sein du gouvernement canadien et à la CFP, la protection et le traitement des renseignements personnels sont régis par la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information, ainsi que par la Politique sur la protection de la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée du Conseil du Trésor (CT). Ce cadre exige des organisations fédérales qu’elles contribuent aux résultats suivants : saines pratiques de gestion (politiques et protocoles), responsabilités clairement établies (responsabilisation), sensibilisation à la protection de la vie privée (formation, sensibilisation et communication), surveillance de la conformité et présentation de rapports destinés au public.

À la CFP, outre les exigences législatives et les politiques et directives du CT, la protection et le traitement des renseignements personnels sont en régis par le Cadre de gestion de la protection des renseignements personnels (CGPRP), instauré en 2011. Les politiques, les procédures et l’orientation entourant le CGPRP confèrent à la CFP, le pouvoir de recueillir et d’utiliser des renseignements personnels aux fins de réalisation de son mandat, comme le prescrit la Loi sur l’emploi dans la fonction publique et la législation connexe.

Objectif

Évaluer si le cadre de contrôle de la gestion à la CFP permet de respecter la Loi sur la protection des renseignements personnels, y compris les mécanismes de contrôle visant la protection, la collecte, l’exactitude, l’utilisation, la divulgation, la conservation et la destruction des renseignements personnels.

Portée

La vérification porte sur les pratiques de traitement des renseignements personnels, électroniques et imprimés, relatifs aux activités réalisées en 2012-2013 et en 2013-2014, notamment :

  • Les pratiques liées aux demandes sur les fonds de renseignements personnels présentées en vertu de la Loi sur la protection des renseignements personnels ou de la Loi sur l’accès à l’information;
  • Les pratiques de traitement et de stockage des renseignements personnels;
  • Les pratiques de communication des données à l’interne et à l’externe;
  • Les pratiques de conservation et de destruction des renseignements personnels;
  • Les pratiques de formation qui visent à favoriser une culture de gestion efficace des renseignements personnels.

La vérification ne porte pas sur les pratiques d’accès à l’information qui ne touchent pas les renseignements personnels ni sur certains aspects de la gestion de l’information déjà abordés dans le rapport de vérification sur la gestion de l’information.

En plus des activités du Bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP), la présente vérification porte surtout sur les procédures et les activités des directions générales suivantes, qui sont responsables d’importants fonds de renseignements personnels provenant de l’extérieur de la CFP :

  • Direction générale de la vérification et des services de données, chargée de l’environnement analytique de la CFP et des vérifications en matière de dotation.
  • Direction générale des services de dotation et d’évaluation, chargée du système de dotation en ligne et des tests. Plusieurs de ses dossiers contiennent des renseignements d’ordre médical ou psychologique, en format électronique ou papier.
  • Direction générale des politiques, chargée des renseignements de nature délicate dont : les exemptions accordées en vertu du Décret d’exemption concernant les langues officielles dans la fonction publique, les exemptions liées à l’évaluation des cadres, les dossiers de l’administration des priorités, les dossiers d’activités politiques liées ou non à une candidature, et l’information sur la mobilité d’anciens membres du personnel des cabinets de ministres et des personnes ayant occupé un poste exclu au Bureau du secrétaire du gouverneur général.

En marge du Bureau de l’AIPRP, la vérification de la Direction générale de la gestion ministérielle porte seulement sur la gestion de système et le rôle consultatif assumé par la Direction des services de technologie de l’information.

À la Direction générale des enquêtes, la vérification porte sur les pratiques de gestion des renseignements personnels, toujours en vue d’établir si un cadre de contrôle efficace est en place. L’évaluation préliminaire n’a fait ressortir aucun secteur à risque élevé qui aurait nécessité un examen approfondi des pratiques en vigueur à la direction généraleFootnote1.

Aperçu

La vérification a été menée suivant la Politique, la Directive et les Normes relatives à la vérification interne au sein du gouvernement du Canada établies par le CTFootnote2.

Pour évaluer les mécanismes de contrôle visant la gestion des fonds de renseignements personnels, l’équipe de vérification a employé les méthodes de collecte de données suivantes :

  • Entrevues avec des membres de la direction et du personnel;
  • Examen et analyse de documents, y compris les rapports générés par les systèmes;
  • Étude des principaux processus;
  • Inspection des fonds de données;
  • Contrôle d’autres sources d’information électroniques ou imprimées.

L’équipe de vérification a analysé les données en septembre 2014 afin d’évaluer si elles étaient suffisantes, fiables, pertinentes et utiles. Elle a évalué les systèmes et les pratiques de la CFP selon les critères préétablis qui figurent à l’annexe A.

Constatations et recommandations

 

Un cadre de contrôle efficace est en place pour l’administration des principaux programmes requérant la gestion des renseignements personnels à la Commission de la fonction publique.

Constatation no 1 : Cadre de contrôle de la gestion régissant la protection des renseignements personnels

D’abord, nous avons examiné l’ensemble du cadre de contrôle de la gestion régissant la protection des renseignements personnels à la Commission de la fonction publique (CFP) pour établir si les employés connaissent et assument efficacement leurs rôles et responsabilités. Ensuite, nous avons évalué les pratiques de gestion des risques afin de déterminer si elles étaient adéquates. Enfin, nous avons vérifié si des politiques et procédures efficaces encadraient la gestion des renseignements personnels à la CFP.

La CFP recueille, gère et stocke des renseignements personnels dans toutes ses directions générales et à tous les niveaux. La gestion de ces renseignements est donc une responsabilité individuelle et organisationnelle. Les politiques et procédures doivent être bien définies et communiquées pour que les employés aient les moyens de gérer efficacement les renseignements personnels. Il faut en outre bien cerner les risques connexes pour que la direction puisse déterminer judicieusement le niveau de contrôle requis dans un secteur.

Les attentes en matière de gestion des renseignements personnels sont énoncées dans le Cadre de gestion de la protection des renseignements personnels

À la CFP, les politiques, les procédures et les pratiques relatives aux renseignements personnels sont définies dans un cadre de gestion de la protection des renseignements personnels (CGPRP). Instauré en 2011, ce dernier est conforme aux politiques du CT. Il est publié sur l’intranet de la CFP.

Les gestionnaires des différentes directions générales ne possèdent pas tous le même degré de connaissance du CGPRP. En effet, la formation – par ailleurs non obligatoire – fournie par le Bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP) porte bien sur certains aspects de la Loi sur la protection des renseignements personnels,mais effleure à peine le CGPRP. Pour compenser cette lacune, les directions générales ont mis en place leurs propres procédures. L’existence de pratiques communes bien communiquées permet à la direction de favoriser une culture de responsabilité et de responsabilisation à tous les niveaux de l’organisation.

Les rôles et responsabilités en matière de gestion des renseignements personnels sont précisés dans le cadre de gestion de la protection des renseignements personnels

Selon le CGPRP, les renseignements personnels sont surtout gérés par les directions générales. Il revient donc à chacune d’elles de gérer les risques associés, d’établir ce qui est attendu du personnel et d’instaurer les mécanismes de contrôle au niveau approprié pour atténuer les risques.

Pour sa part, le Bureau de l’AIPRP joue un rôle consultatif central qui consiste notamment à fournir avis et conseils, et à élaborer des politiques. Il doit aussi s’assurer que la CFP respecte la Loi sur la protection des renseignements personnels.

L'équipe de la haute direction assure la gouvernance des renseignements personnels. Ainsi, les comités de la haute direction, y compris le Comité exécutif de gestion et le Comité de la gestion de l’information/technologie de l’information (GI/TI), examinent les résultats des évaluations des facteurs relatifs à la vie privée (EFVP) et les plans d’action connexes.

La Direction des services de technologie de l’information (DSTI) joue également un rôle important en ce qui a trait à la gestion des renseignements personnels. Elle conseille la clientèle sur la prise de mesures de sécurité, gère les réseaux et systèmes où sont stockées des données, et assume des responsabilités relatives à la GI par l’intermédiaire du Bureau de gestion de l’information (BGI).

Les principaux programmes ont fait l’objet d’une évaluation des facteurs relatifs à la vie privée

Toujours d’après le CGPRP, l’EFVP vise à cerner, à évaluer et à atténuer les risques. Autrement dit, elle permet de déterminer les problèmes possibles, de prévoir les conséquences et d’établir des stratégies et des plans d’action pour atténuer, voire éliminer les risques. Conformément à la politique du CT, l’EFVP est obligatoire  pour tous les programmes nouveaux ou modifiés qui utilisent des renseignements personnels, et ce, depuis 2002. L’instauration du CGPRP en 2011 a mis ce processus davantage en avant-plan.

La CFP a procédé à l’EFVP de ses principaux programmes et systèmes, y compris : l’environnement analytique à la Direction générale de la vérification et des services de données, le système de ressourcement de la fonction publique (SRFP) à la Direction générale des services de dotation et d’évaluation et le système de gestion de l’information sur les priorités (SGIP) à la Direction générale des politiques. Les plans d’action de l’EFVP en sont à diverses étapes de mise en œuvre.

L’évaluation des facteurs relatifs à la vie privée n’a pas été entreprise pour d’anciens systèmes et programmes secondaires

Un certain nombre d’anciens systèmes et processus permettant de recueillir des renseignements personnels n’ont pas fait l’objet d’une EFVP (voir annexe B). Il est vrai que la Directive sur l’évaluation des facteurs relatifs à la vie privéemet l’accent sur les programmes nouveaux ou considérablement modifiés. Néanmoins, sans évaluation ni plan d’action, la direction ne peut avoir l’assurance que les risques ont été cernés et efficacement atténués.

Recommandations

  1. Le Bureau de l’AIPRP de la CFP devrait concevoir et donner une formation obligatoire sur le CGPRP.
  2. Toutes les directions générales de la CFP devraient déterminer s’il y a lieu de procéder à une EFVP d’anciens systèmes et processus utilisant des renseignements personnels.

Constatation no 2 : Contrôles internes relatifs à la gestion des renseignements personnels

 

La plupart des contrôles internes relatifs à la gestion des renseignements personnels sont en place; les risques d’atteinte à la vie privée pourraient être réduits davantage.

Nous avons vérifié si les renseignements personnels étaient recueillis après l’obtention d’une autorisation et d’un consentement, et s’ils étaient utilisés et divulgués conformément aux pouvoirs accordés. Nous avons vérifié si des mesures étaient prises pour protéger les renseignements personnels et si des processus assuraient l’accès à ces renseignements et leur exactitude. Nous avons aussi vérifié si les renseignements personnels étaient détruits lorsqu’ils n’étaient plus utiles afin de réduire les risques d’atteinte à la vie privée, et si la CFP communiquait les raisons pour lesquelles elle recueillait ce genre d’information.

Les particuliers sont en droit de savoir quand et comment les renseignements personnels les concernant seront recueillis et utilisés, afin qu’ils puissent prendre des décisions éclairées avant de les communiquer à une organisation. Une fois ces renseignements recueillis, l’organisation doit s’assurer qu’ils sont exacts, qu’ils ne sont pas accessibles sans autorisation, et qu’ils sont utilisés seulement aux fins prévues. Les documents qui sont recueillis mais qui ne sont pas nécessaires à des fins opérationnelles représentent des risques additionnels pour une organisation.

Communication et transparence

Avant la collecte de renseignements personnels, les intéressés sont avisés et leur consentement obtenu

Avant de recueillir des renseignements personnels, les organisations doivent communiquer aux intéressés les raisons pour lesquelles ces renseignements seront recueillis et utilisés, et obtenir leur consentement. Pour ce faire, les organisations utilisent généralement des formulaires d’avis qui sont transmis aux particuliers à propos desquels des renseignements personnels sont recueillis.

Pour tous les systèmes examinés, les intéressés sont dûment avisés et leur consentement obtenu avant la collecte des renseignements personnels. La création et la gestion des formulaires d’avis et de consentement s’effectuent au niveau des directions générales. Dans le cadre de son rôle consultatif, le Bureau de l’AIPRP a créé un modèle pour faciliter l’élaboration des formulaires d’avis et de consentement, et revoit ces documents sur demande.

Les fichiers de renseignements personnels sont mis à jour et bien documentés

Le chapitre d’Info Source sur le fonds de renseignements personnels de la CFP est affiché sur le site Web externe. Il s’agit du principal moyen utilisé pour informer la population sur la nature de la collecte de renseignements personnels et veiller à ce que la CFP respecte le principe de transparence figurant dans la Loi sur la protection des renseignements personnels. Cette information est mise à jour et présentée annuellement au SCT.

Collecte, utilisation et divulgation de renseignements personnels

Les renseignements personnels sont recueillis en vertu du pouvoir conféré par la Loi sur la protection des renseignements personnels

La Loi sur la protection des renseignements personnels, la Loi sur l’emploi dans la fonction publique et la Loi sur les enquêtes (Direction générale des enquêtes) confèrent à la CFP le pouvoir de recueillir des données pour réaliser son mandat. Tous les renseignements personnels recueillis et utilisés par la CFP le sont à ce titre.

Il est possible de limiter les renseignements personnels reçus et utilisés par la Commission de la fonction publique

La DSTI reçoit chaque mois des données extraites du fichier central (FC) de Travaux publics et Services gouvernementaux Canada. Ce fichier contient des renseignements personnels concernant tous les employés du gouvernement fédéral (actuels et anciens), y compris leur numéro d’assurance sociale et leur code d’identification de dossier personnel, et est utilisé par la CFP à des fins de recherche et d’analyse. Or, la CFP n’a pas besoin de tous les renseignements personnels provenant du FC. Le fait de limiter la quantité d’information reçue et utilisée par la CFP réduirait les risques d’atteinte à la vie privée.

L’accès aux renseignements personnels du Système de gestion de l’information sur les priorités est accordé selon le groupe

Les conseillers en ressources humaines (RH) de la fonction publique fédérale ont accès au Système de gestion de l’information sur les priorités (SGIP). Ils peuvent accéder aux renseignements personnels de tous les bénéficiaires de priorité. Toutefois, la plupart des conseillers en RH ont seulement besoin d’accéder aux renseignements sur les personnes dans leur secteur de responsabilité. La situation actuelle repose sur un système qui a été conçu en fonction de droits d’accès accordés selon le groupe. Les renseignements personnels devraient être communiqués selon le besoin de connaître, de manière à réduire les risques d’atteinte à la vie privée.

Des ententes internes d’échange de renseignements sont en cours

Il peut y avoir des échanges internes de renseignements personnels entre les directions générales, et des échanges externes de tels renseignements avec d’autres organisations d’ordre fédéral, provincial, municipal ou international, lorsqu’une entente a été établie pour des usages compatibles à des fins de collecte de renseignements, et lorsque les intéressés ont été avisés. Ces ententes précisent les modalités régissant la communication de renseignements personnels entre les parties.

Des ententes internes de partage de renseignements n’ont pas été établies entre les directions générales pour tous les processus, mais de telles ententes faisaient partie des mesures mentionnées dans certaines EFVP qui ont été examinées. Ces ententes permettent de s’assurer que le niveau de risque et de contrôle que gère une direction générale relativement aux renseignements personnels est respecté et compris, tant par les autres directions générales que par les utilisateurs des renseignements.

En ce qui concerne les échanges externes, pour tous les systèmes que nous avons examinés, la transmission de renseignements personnels à d’autres ministères fédéraux est régie par un protocole d’entente ou une entente sur l’utilisation applicable aux employés des autres organisations du gouvernement.

Protection des renseignements personnels

Des mécanismes de contrôle d’accès aux systèmes de renseignements personnels sont en place/h5>

Pour protéger les renseignements personnels contre un accès non autorisé, on peut utiliser des contrôles de prévention, visant notamment à limiter l’accès physique ou électronique, ou encore des contrôles de détection, qui consistent par exemple à vérifier qui a accédé à des systèmes et à des documents ou les a modifiés. L’accès aux systèmes est généralement bien contrôlé à la CFP. Des listes d’accès sont tenues à jour et des mots de passe uniques sont actualisés régulièrement. Pour la plupart des systèmes, une piste de vérification ou un registre des opérations effectuées par les utilisateurs est disponible. L’accès physique aux installations ne faisait pas l’objet de la présente vérification.

Le réseau de la Commission de la fonction publique n’a pas la certification nécessaire pour le traitement de certains renseignements personnels

Certains renseignements personnels sont considérés « Protégé B » selon le système de classification du gouvernement fédéral. Le réseau de la CFP n’a pas la certification « Protégé B ». Ce problème a été soulevé dans la vérification relative à la gestion de l’information qui a été effectuée récemment, et la CFP s’efforce de le régler.

Le niveau de sécurité des postes d’employés qui utilisent des renseignements personnels n’a pas été évalué

La plupart des renseignements personnels à la CFP sont cotés « Protégé A » ou « Protégé B ». Les employés qui utilisent ces renseignements doivent au moins posséder la cote de fiabilité approfondie.

Certains employés de la CFP doivent se servir de nombreux documents contenant des renseignements personnels, de dossiers personnels de nature délicate ou de renseignements personnels concernant des particuliers ne faisant pas partie de la CFP. Ce genre de situation pourrait avoir une incidence sur le niveau de classification de sécurité de l’information, et donc sur les exigences en matière de sécurité auxquelles doivent satisfaire les employés qui y ont accès.

a plupart des contrôles nécessaires ont été établis pour les appareils et dispositifs électroniques mobiles

L’un des plus grands risques d’atteinte à la vie privée est la perte d’appareils ou de dispositifs électroniques qui contiennent des renseignements personnels. Ces appareils et dispositifs comprennent les téléphones cellulaires, les clés de stockage USB et les ordinateurs portables. Pour prévenir ces risques, les renseignements personnels devraient être stockés sur le réseau, et non localement sur des appareils ou dispositifs électroniques. Cependant, il est parfois nécessaire de disposer de cette information pour travailler à partir de lieux où il est impossible d’avoir accès au réseau, ou de transmettre l’information à d’autres organisations du gouvernement. Dans ces cas, il faut chiffrer l’information dans les appareils ou dispositifs électroniques. La CFP utilise le chiffrement pour tous ses téléphones et ordinateurs portables.

La CFP compte un certain nombre de clés USB chiffrées, mais n’a pas fourni de telles clés à toutes les directions générales. De plus, la CFP ne restreint pas l’utilisation de clés USB non approuvées et les employés peuvent conserver des renseignements personnels sur ces clés, même si c’est une pratique interdite selon ses politiques. Ce risque est relativement atténué par une sensibilisation générale à la nécessité de sauvegarder l’information sur des clés sécurisées, mais il pourrait être réduit davantage si les employés recevaient plus de formation à ce sujet.

À la Direction générale des politiques (DGP), les formulaires relatifs aux activités politiques peuvent être reçus au moyen d’un télécopieur non sécurisé plutôt que par un télécopieur protégé par un mot de passe qui en assure la confidentialité. Bien que l’accès soit limité aux employés, des mesures de protection devraient être prises pour tout dispositif électronique spécialisé pouvant recevoir des renseignements personnels, de manière à éviter les cas de divulgation non autorisée.

Exactitude et accès

Les particuliers peuvent accéder à leurs dossiers pour vérifier l’exactitude des renseignements personnels

La plus grande partie des renseignements personnels que recueille la CFP provient de particuliers qui présentent une demande d’emploi ou une demande relative à une candidature électorale. C’est donc aux particuliers qu’il incombe de s’assurer que les renseignements sont exacts. Le rôle de la CFP consiste à fournir un accès contrôlé aux systèmes et à effectuer des vérifications par rapport à l’information. L’accès est contrôlé et l’information est vérifiée périodiquement pour tous les systèmes testés.

Destruction et conservation

La plupart des renseignements électroniques sont conservés pour une période indéterminée

Bibliothèque et Archives Canada (BAC) assume la responsabilité du calendrier de conservation et de destruction applicables à tous les renseignements personnels sur support électronique ou papier. Le fait de conserver des renseignements personnels alors qu’ils n’ont plus d’utilité opérationnelle crée un risque indu en matière d’accès et de divulgation, requiert de l’espace pour le stockage et engendre du travail additionnel lorsque des demandes d’AIPRP sont soumises.

À la CFP, les documents imprimés sont généralement conservés et détruits selon le calendrier de BAC. Toutefois, la plupart des renseignements personnels sur support électronique sont conservés pour une période indéterminée.

À cet égard, il faudrait notamment déterminer :

  • Si les documents électroniques ont une valeur historique, auquel cas ils doivent être conservés pour une période indéterminée;
  • Si les documents électroniques sont uniques au point où aucun calendrier de BAC ne peut s’appliquer, auquel cas il faudrait en établir un;
  • Si les documents électroniques ont été transférés au SGDDI sans qu’un délai de conservation n’ait été établi.

Anonymiser des documents (supprimer les données d’identification personnelle) au lieu de les détruire est une autre façon de réduire les risques associés au stockage à long terme de données électroniques. Cette solution peut être envisagée pour les fonds de renseignements qui ont de la valeur à des fins de recherche seulement.

Recommandations

  1. La Direction générale de la vérification et des services de données devrait, en collaboration avec la Direction des services de technologie de l’information (DSTI), limiter la réception de renseignements personnels du FC aux données et aux champs dont les employés ont besoin pour accomplir leur travail.
  2. La DGP devrait, en collaboration avec la DSTI, limiter l’accès aux renseignements personnels dans le SGIP en fonction du besoin de connaître.
  3. La DSTI devrait déterminer les niveaux de sécurité nécessaires relativement au FC, veiller à l’utilisation de clés USB sécurisées et fournir des télécopieurs sécurisés aux secteurs qui reçoivent et utilisent des renseignements personnels.
  4. Toutes les directions générales de la CFP devraient revoir leurs procédures de conservation et établir un calendrier pour la destruction ou l’anonymisation des renseignements personnels.

Constatation no 3 : Surveillance des pratiques de gestion des renseignements personnels

 

L’amélioration des pratiques de surveillance permettra à la haute direction de mieux comprendre les risques et les mécanismes de contrôle.

Nous avons évalué les processus en place pour surveiller les pratiques de gestion des renseignements personnels à la CFP. Nous avons aussi cherché à déterminer si les politiques et les processus de la CFP étaient mis à jour régulièrement selon les exigences du gouvernement fédéral. Enfin, nous nous sommes penchés sur les pratiques appliquées par la CFP en cas d’atteinte à la vie privée, et les mécanismes prévus pour cerner, signaler et prévenir ces atteintes.

La surveillance des pratiques permet de rendre les gestionnaires responsables de la façon dont ils gèrent les renseignements personnels, et donne à la haute direction l’assurance que les risques sont atténués conformément à leurs attentes. Les changements aux politiques et pratiques applicables au gouvernement fédéral doivent être surveillés de manière à ce qu’il soit plus facile pour la CFP de faire face aux préoccupations et aux risques nouveaux. La gestion efficace des atteintes à la vie privée permet de combler les lacunes éventuelles et de veiller à l’amélioration continue des pratiques de gestion des renseignements personnels à la CFP.

Il faut globalement renforcer les processus de surveillance et de production de rapports

Des processus ont été établis pour surveiller les pratiques de gestion des renseignements personnels à la CFP et en rendre compte à la haute direction. L’approbation écrite des cadres supérieurs est nécessaire pour les fichiers de renseignements personnels. Les cadres supérieurs doivent aussi veiller à ce qu’une EFVP soit effectuée pour les nouveaux fonds de renseignements personnels et les fonds existants qui ont subi des modifications considérables. Des renseignements sur les pratiques de gestion de la protection de la vie privée sont présentés à la haute direction dans le rapport annuel sur l’AIPRP.

Des améliorations sont nécessaires dans plusieurs secteurs. Le Bureau de l’AIPRP fournit aux deux ans de l’information sur le suivi des EFVP et des plans d’action connexes. Plusieurs plans d’action en sont à différents stades d’avancement.

Les EFVP et les plans d’action produits sont envoyés au Commissariat à la protection de la vie privée et au SCT pour obtenir une rétroaction et des conseils, et sont surveillés par le Bureau de l’AIPRP. Lorsque ces documents ne sont ni finalisés ni approuvés, il ne peut y avoir de rétroaction ou de surveillance.

De plus, il n’existe aucun répertoire ou rapport détaillé portant sur l’ensemble des fonds de renseignements personnels et leur degré de conformité aux exigences du CGPRP et de la directive du SCT sur la protection de la vie privée; ce type de document permettrait à la direction de surveiller la gestion des renseignements personnels à la CFP.

Le Bureau de l’AIPRP n’a qu’une visibilité limitée dans le Plan intégré des activités de la CFP. Étant donné la nature des activités de la CFP, le fait de porter une plus grande attention à la gestion des renseignements personnels permettrait à la direction de cerner les lacunes en matière de surveillance et de rapports. Sans processus de surveillance efficace, la haute direction ne peut garantir que les directions générales ont pris les mesures nécessaires pour gérer les risques d’atteinte à la vie privée.

’exactitude des données est surveillée

Les directions générales surveillent l’exactitude des renseignements personnels recueillis en examinant les données saisies dans des gabarits en ligne. De plus, lorsqu’un processus de collecte de renseignements comprend plusieurs étapes, il est d’usage de recourir à des listes de vérification et à des bordereaux d’acheminement pour s’assurer que le processus a été mené à bien.

Une surveillance est exercée et des rapports sont produits relativement aux atteintes à la vie privée

Il est rare que des atteintes à la vie privée se produisent à la CFP. La plupart des atteintes sont portées à l’attention du Bureau de l’AIPRP lorsque la personne concernée par la divulgation de détails personnels porte plainte. La majorité des plaintes sont infondées. Celles qui le sont font l’objet d’un suivi par le Bureau de l’AIPRP de manière à réduire les risques que la situation se reproduise. Les directions générales de la CFP sont tenues de signaler les atteintes à la vie privée au Bureau de l’AIPRP. Ces cas peuvent aussi être déclarés au Bureau de l’AIPRP par l’intermédiaire d’une plainte au commissaire à la vie privée. Toutes les atteintes sont déclarées au Commissariat à la protection de la vie privée.

Recommandation

  1. Le Bureau de l’AIPRP de la CFP devrait renforcer ses pratiques de surveillance et de production de rapports et veiller à ce que les activités résultant de plans d’action au chapitre de la protection des renseignements personnels soient incluses dans les processus de planification de la CFP.

Annexe A – Critères de vérification

Secteur d’intérêt Critères Renvois aux contrôles de gestion fondamentaux
Gouvernance et gestion des risques
1. L’organisation dispose d’un cadre de contrôle de gestion efficace pour régir la gestion des renseignements personnels 1.1 Les rôles, les responsabilités et les obligations concernant la collecte, la divulgation, l’utilisation et la conservation des renseignements personnels sont clairs et bien communiqués. AC-1, AC-2
G-1, G-3
PP-2, PP-4
PPL-4
1.2 Des plans d’action, processus et politiques ont été mis en place pour la collecte, la divulgation, l’utilisation et la conservation des renseignements personnels. G-4
PP-4
1.3 La CFP dispose d’un processus efficace pour gérer les risques relatifs à la collecte, à la divulgation, à l’utilisation et à la conservation de renseignements personnels. G-6
PP-3
PPL-8
RM-3
RP-2
ST-18
Contrôles internes pour la gestion des renseignements personnels
2. La CFP s’est dotée de contrôles efficaces en matière de gestion des renseignements personnels. 2.1 Des mesures appropriées ont été prises pour protéger les renseignements personnels conformément à la Politique sur la sécurité du gouvernement et à la Directive sur les pratiques relatives à la protection de la vie privée. ST-11, ST-12
2.2 Des processus efficaces de gestion de l’information assurent l’exactitude des renseignements personnels et l’accès à ces renseignements. PPL-4
ST-12
2.3 La collecte de renseignements personnels est limitée, et ces renseignements sont utilisés et divulgués uniquement selon les politiques et règlements (limiter la collecte et la divulgation). PP-4
ST-12, ST-22
2.4 Les renseignements personnels sont détruits ou conservés conformément aux politiques, lignes directrices et calendriers (limiter la conservation). PP-4
ST-12
2.5 Les raisons de la collecte des renseignements personnels sont communiquées (transparence). ST-12, ST-16
Surveillance des pratiques relatives aux renseignements personnels
3. Les pratiques relatives aux renseignements personnels sont surveillées efficacement. 3.1 L’organisation a établi un processus pour surveiller la collecte, la conservation, la divulgation et l’utilisation des renseignements personnels. PP-3
RP-3
3.2 La conformité aux politiques et directives est surveillée régulièrement et l’on rend compte à la fonction de gouvernance à ce sujet. CFS-1,G-6
LICM-1
PP-3
PPL-8
3.3 Un système fiable et exhaustif est en place pour gérer les atteintes à la vie privée, de sorte que ces atteintes sont détectées et déclarées, et que les mesures nécessaires sont prises. ST-14, ST-16,
ST-23

Annexe B – Types de fonds de données

Processus électroniques
  Fonds Système EFVP
Direction générale No de FRP Nom du fichier Nom Acronyme État
DGVSD CFP PPU 080 Vérifications de la CFP en vertu de la LEFP Outil de vérification de dotation OVD Aucune
DGVSD CFP PCE 761 Environnement analytique Extraits d’autres systèmes dont le SGIP, le SRFP et le SIAEFootnote3 EA Presque terminée
DGSDE CFP PCU 202 Mesures d’adaptation en matière d’évaluation pour les personnes ayant des besoins particuliers Obligation de prendre des mesures d’adaptation OPMA Aucune information à ce sujet
DGSDE CFP PCU 025 Évaluation par le Centre de psychologie du personnel Système d’information intégré des centres d’évaluation SIICE Aucune
DGSDE CFP PCU 025 Évaluation par le Centre de psychologie du personnel Système de correction des examens et de production de rapports SCEPR Aucune
DGSDE CFP PPU 015 Profils de candidats, candidatures et présentations de candidatures Système de ressourcement de la fonction publique SRFP Dernière mise à jour du plan d’action en juin 2013
DGP CFP PCE 801 Droits de priorité d’origine législative et réglementaire Système de gestion de l’information sur les priorités SGIP Dernière mise à jour du plan d’action en juillet 2014

 

Autres processus
Direction générale No de FRP Nom du fichier Nom
DGP CFP PCE 763 Administration des demandes relatives à une candidature électorale Aucun
DGSDE CFP PCE 744 Services de counselling aux cadres Aucun
DGP CFP PCU 747 Dispositions concernant la mobilité d’anciens membres du personnel des cabinets de ministres et des personnes ayant occupé certains postes au Bureau du secrétaire du gouverneur général Aucun

Annexe C – Plan d’action de la gestion

Recommandations Réponse de la gestion et mesures proposées Responsabilité de la gestion Date de fin
1. Le Bureau de l’AIPRP de la CFP devrait concevoir et donner une formation obligatoire sur le Cadre de gestion de la protection des renseignements personnels (CGPRP). Le Bureau de l’AIPRP élaborera et offrira un programme de formation obligatoire sur l’AIPRP pour les gestionnaires de la CFP. Ce programme obligatoire englobera le CGBRP.

Une formation facultative et sur demande continuera d’être offerte à tous les employés de la CFP.
AIPRP AIPRP – Contenu du programme : décembre 2014.

Formation suivie par tous les gestionnaires : juin 2015
2. Toutes les directions générales de la CFP devraient déterminer s’il y a lieu de procéder à l’évaluation des facteurs relatifs à la vie privée (EFVP) d’anciens systèmes et processus utilisant des renseignements personnels. Le Bureau de l’AIPRP présentera chaque année, au Comité exécutif de gestion (CEG), un rapport de situation sur l’EFVP aux fins d’examen et de discussion.

Le CEG déterminera pour quels programmes ou activités une EFVP ou revue de l’EFVP devra être effectuée selon le rapport de situation annuel.

Toutes les directions générales effectueront un examen pour déterminer la nécessité d’une EFVP.
Toutes les directions générales de la CFP AIPRP – Présentation du premier rapport de situation annuel : février 2015

Toutes les directions générales :
juin 2015
3. La Direction générale de la vérification et des services de données (DVSD) devrait, en collaboration avec la Direction des services de technologie de l’information (DSTI), limiter la réception de renseignements personnels du fichier central (FC) aux données et aux champs dont les employés ont besoin pour accomplir leur travail. La DVSD collaborera avec la DSTI pour revoir le processus de réception des données du FC et déterminer s’il est possible de recevoir uniquement les données et les champs qui sont nécessaires. DGVSD et DSTI Examen des processus par la DGVSD : mars 2016
4. La Direction générale des politiques (DGP) devrait, en collaboration avec la DSTI, limiter l’accès aux renseignements personnels dans le Système de gestion de l’information sur les priorités en fonction du besoin de connaître. La DGP collaborera avec la DSTI pour revoir les processus de manière à ce que l’accès aux renseignements personnels ne soit accordé qu’aux employés qui en ont besoin pour s’acquitter de leurs fonctions et de leurs tâches. DSTI Examen stratégique des processus : juin 2015
5. La DSTI devrait déterminer les niveaux de sécurité nécessaires relativement au FC, veiller à l’utilisation de clés USB sécurisées et fournir des télécopieurs sécurisés aux secteurs qui reçoivent et utilisent des renseignements personnels. La DSTI a défini les exigences en matière de sécurité pour les employés qui utilisent le FC. Les employés doivent maintenant posséder la cote « secret ».

Des clés USB sécurisées seront fournies au quatrième trimestre de 2015 et les clés USB non approuvées ne pourront plus être utilisées dans le réseau.

La DSTI collaborera avec la Direction générale des politiques afin d’installer un télécopieur sécurisé pour les demandes relatives à une candidature électorale.
DSTI Mars 2015
6. Toutes les directions générales de la CFP devraient revoir leurs procédures de conservation et établir un calendrier pour la destruction ou l’anonymisation des renseignements personnels. Les directions générales de la CFP collaboreront avec la Gestion de l’information afin d’établir un calendrier et des procédures de conservation et de destruction des renseignements personnels.

Le Bureau de l’AIPRP ajoutera, dans le chapitre d’Info Source portant sur la CFP, l’information manquante sur les normes de conservation et d’élimination.
Toutes les directions générales de la CFP AIPRP – Calendrier et procédures : juin 2015

Révision du chapitre d’Info Source sur la CFP : octobre  2015
7. Le Bureau de l’AIPRP de la CFP devrait renforcer ses pratiques de surveillance et de production de rapports et veiller à ce que les activités résultant de plans d’action au chapitre de la protection des renseignements personnels soient incluses dans les processus de planification de la CFP. Le Bureau de l’AIPRP présentera chaque année au CEG un rapport de situation sur les EFVP. Ce rapport fera le point sur les plans d’action et les ajustements requis en matière de protection des renseignements personnels.

Le Bureau de l’AIPRP fournira une liste des mesures proposées relativement à la protection des renseignements personnels pour qu’elles soient incluses dans le Plan intégré des activités de la CFP.
AIPRP AIPRP – Rapport annuel de situation sur les EFVP : février 2015 et de façon continue.

Inclusion des mesures proposées relativement à la protection des renseignements personnels dans le Plan intégré des activités de 2015-2016 : mars 2015

Notes de bas de page

Détails de la page

Date de modification :