Rapport annuel sur l’application de la Loi sur la protection des renseignements personnels

Sur cette page

Liste des figures

Liste des tableaux

Examen de la protection des renseignements personnels à Emploi et Développement social Canada, exercice 2022 à 2023

Emploi et Développement social Canada (EDSC) détient l’un des plus importants fonds de renseignements personnels du gouvernement du Canada, et la protection de ces renseignements est une priorité absolue. Le Ministère exécute bon nombre des programmes et services sociaux les plus cruciaux de l’administration fédérale, notamment le régime d’assurance-emploi, le numéro d’assurance sociale (NAS), le Registre d’assurance sociale, la Sécurité de la vieillesse (SV), le Supplément de revenu garanti (SRG), le Régime de pensions du Canada (RPC), le Programme canadien de prêts aux étudiants, et la formation axée sur les compétences et l’emploi. Ces programmes nécessitent la collecte, l’utilisation et la divulgation de grandes quantités de renseignements personnels détaillés et souvent de nature délicate.

Pour s’acquitter de son mandat, EDSC met régulièrement des renseignements personnels à la disposition d’un grand nombre de partenaires et d’intervenants, ce qui inclut d’autres ministères fédéraux ainsi que des gouvernements provinciaux, territoriaux et étrangers. Ces divulgations sont effectuées à de nombreuses fins : l’exécution des programmes, la détermination de l’admissibilité aux prestations et aux programmes fédéraux et provinciaux, l’authentification des personnes, la gestion de l’identité, la recherche et la production de statistiques, les opérations d’intégrité et les instances judiciaires. La gestion de ces relations se fait grâce à des centaines d’ententes d’échange de renseignements personnels.

EDSC est déterminé à garantir la protection des renseignements personnels dans le cadre de son engagement envers la population canadienne.

Protection des renseignements personnels et contexte opérationnel d’EDSC

Pendant la période visée par le rapport, 3 grands facteurs ont influé sur la gestion de la protection des renseignements personnels par EDSC :

  • la transformation numérique entraîne une modification de la manière dont les renseignements personnels sont utilisés et gérés, ce qui inclut le secteur public fédéral. Les personnes s’attendent de plus en plus à interagir avec les institutions fédérales par voie numérique pour des raisons de commodité. Par conséquent, EDSC a poursuivi ses efforts afin de donner suite aux attentes des Canadiens et de moderniser les services qu’il offre ainsi que ses approches de prestation. Le recours accru à la gestion numérique des programmes et des données ainsi qu’aux fonctionnalités d’identification et d’authentification électroniques permet d’améliorer les services et de les rendre plus conviviaux pour les Canadiens. La gestion rigoureuse des renseignements personnels sous le contrôle d’EDSC exige une intendance diligente et une grande vigilance, ce qui inclut la lutte contre les menaces et les risques en matière de cybersécurité.
  • vers la fin de 2023, le Ministère a entrepris l’instauration du modèle de travail hybride commun du Conseil du Trésor, qui permet aux employés de combiner le travail sur place et à distance. Grâce aux investissements dans l’infrastructure électronique et aux nouveaux processus élaborés, la transition a été harmonieuse, sans interruption des services de protection des renseignements personnels.
  • EDSC a continué d’utiliser un modèle d’entreprise décentralisé pour le traitement des demandes de renseignements personnels. Les activités du Ministère s’étendent à l’échelle du pays : Service Canada opère près de 600 points de service en personne, sans compter les centres d’appels nationaux et régionaux ainsi que les options de services numériques disponibles en ligne sur le site Web Canada.ca. Par conséquent, les 4 régions du Ministère jouent un rôle clé pour aider EDSC à respecter ses obligations en matière de traitement des demandes présentées en vertu de la Loi sur la protection des renseignements personnels.

La protection des renseignements personnels dès la conception à EDSC

EDSC gère l’un des régimes de protection des renseignements personnels les plus robustes de toute l’administration fédérale, grâce à son code de protection des renseignements personnels, enchâssé dans sa loi habilitante et à des politiques ministérielles qui viennent s’ajouter aux exigences de la présidente du Conseil du Trésor et aux attentes du Commissariat à la protection de la vie privée (CPVP). L’un des éléments clés de ce régime est l’approche de « respect de la vie privée dès la conception » d’EDSC, qui intègre les considérations relatives à la protection des renseignements personnels à toutes ses activités de gestion de projet ainsi qu’à ses nouvelles propositions de financement.

Le processus d’évaluation des facteurs relatifs à la vie privée d’EDSC débute par une vérification dès les étapes initiales du cycle de vie du projet; il s’agit de déterminer le type d’examen de la protection des renseignements personnels à effectuer. Le Ministère dispose d’un ensemble d’outils d’évaluation adaptés pour s’assurer que le niveau d’attention approprié est accordé à chaque initiative, en tenant compte de la complexité de l’initiative et du degré de sensibilité des renseignements personnels utilisés. Des communications actives et régulières avec le Secrétariat du Conseil du Trésor (SCT) ainsi qu’avec le CPVP permettent de s’assurer que les organismes de surveillance sont informés comme il se doit des risques entourant la protection des renseignements personnels à EDSC et de la façon dont ces risques sont atténués dès le départ.

De plus, EDSC assure un suivi actif des incidents d’atteinte à la vie privée et les signale au CPVP et au SCT. Le nombre d’atteintes à la vie privée demeure bas en proportion du nombre élevé d’opérations exécutées chaque jour. Il est important de surveiller de près les liens entre la protection des renseignements personnels et la cybersécurité, afin que le Ministère soit prêt à parer aux menaces actuelles et futures dans ce domaine.

Traitement des demandes de renseignements personnels

Au cours de la période visée par le rapport, soit l’exercice 2022 à 2023, le nombre de demandes présentées à EDSC en vertu de la Loi sur la protection des renseignements personnels a augmenté de 18 % : près de 21 000 demandes ont été reçues, et plus de 1,8 million de pages ont été traitées. Des progrès ont été accomplis dans l’amélioration des taux de respect des délais visant le retour aux niveaux prépandémiques : de 58 % en 2021 à 2022 à 71 % au cours du dernier exercice. EDSC a pris des mesures pour continuer d’améliorer les résultats à ce chapitre.

Faits saillants et résultats pour 2022 à 2023

  • Un nombre record de pages (1 837 744) ont été traitées pour les exceptions et les exclusions au cours du dernier exercice financier, ce qui représente une hausse de 19,6 % par rapport à l’exercice précédent. Au total, 1 738 097 pages ont été divulguées, ce qui représente une hausse de 25,6 % par rapport à l’exercice précédent.
  • EDSC a reçu 20 964 demandes en vertu de la Loi sur la protection des renseignements personnels, une augmentation par rapport au total de 17 665 demandes de l’exercice précédent. Un nombre record de demandes ont été traitées, soit 21 321 en 2022 à 2023, par rapport à 17 577 en 2021 à 2022.
  • EDSC a effectué ou révisé en profondeur 22 évaluations des facteurs relatifs à la vie privée (EFVP), ce qui représente environ un cinquième du nombre total d’EFVP effectuées par l’ensemble des institutions fédérales au cours du dernier exercice.
  • Afin de protéger les renseignements personnels communiqués à d’autres institutions fédérales ou à d’autres administrations, 76 ententes d’échange de renseignements comportant des dispositions sur la protection de la vie privée fondées sur les obligations propres au Ministère ont été rédigées.
  • 222 examens initiaux de la protection des renseignements personnels ont été effectués par EDSC à l’égard de programmes, de projets et de logiciels en 2022 à 2023, contre 199 en 2021 à 2022, ce qui représente une hausse de 11,5 %.
  • Des examens de la protection des renseignements personnels visant les activités d’analyse des politiques, de recherche et d’évaluation du Ministère touchant des renseignements personnels ont aussi été effectués. Au cours du dernier exercice, 26 examens de ce genre ont été réalisés comparativement à 23 en 2021 à 2022.

Ces résultats ne sont que quelques exemples de la façon dont EDSC appuie de manière proactive l’utilisation et la protection judicieuses des renseignements personnels dans l’un des environnements soulevant le plus de défis à ce chapitre au sein du gouvernement. Les faits, les chiffres et les autres renseignements fournis dans le présent rapport démontrent que les employés d’EDSC déploient de grands efforts au quotidien et agissent de manière responsable et avec diligence afin de maintenir la confiance que les Canadiens leur accordent dans leur fonction d’intendance responsable.

1. Introduction

Présentation du présent rapport

L’article 72 de la Loi sur la protection des renseignements personnels oblige le responsable d’une institution fédérale à soumettre au Parlement un rapport annuel sur l’application de cette Loi à la fin de chaque exercice. Le présent document est le rapport annuel sur l’application de la Loi sur la protection des renseignements personnels au cours de l’exercice 2021 à 2022 déposé au Parlement par EDSC.

EDSC ne fait pas rapport au nom de filiales en propriété exclusive ni d’institutions non opérationnelles.

À propos d’EDSC

EDSC est le ministère fédéral responsable de l’élaboration, de la gestion et de la prestation des programmes et services sociaux. Il a pour mission de bâtir un Canada plus fort et plus inclusif, d’aider les Canadiens à avoir une vie productive et enrichissante, et d’améliorer leur qualité de vie. EDSC comprend 2 grandes entités : le Programme du travail, et Service Canada.

Le Ministère est responsable de l’exécution et de la prestation d’un large éventail de programmes et de services qui ont des retombées sur les Canadiens pendant toute leur vie. Il assure une sécurité du revenu de base aux aînés, fournit un soutien aux chômeurs, aide les étudiants à financer leurs études postsecondaires et appuie les parents qui élèvent de jeunes enfants. Le Programme du travail contribue au bien-être social et économique en favorisant la création de milieux de travail sûrs, sains, équitables et inclusifs et de relations de travail axées sur la coopération dans les industries et milieux de travail sous réglementation fédérale. Chaque année, Service Canada communique avec des millions de Canadiens pour leur offrir un éventail de services et de renseignements gouvernementaux en ligne, au téléphone et en personne.

EDSC est responsable de la conception et de l’exécution ou de la prestation de certains des programmes et services fédéraux les plus connus, notamment :

  • la SV;
  • le RPC;
  • l’assurance-emploi;
  • les bourses et prêts d’études canadiens et les prêts canadiens aux apprentis;
  • le Programme canadien pour l’épargne-études;
  • le Programme de protection des salariés;
  • les services de passeport.

Pour l’exercice 2022 à 2023, les dépenses prévues d’EDSC au titre des programmes et des services ont totalisé 89,2 milliards de dollars. De cette somme, 87,6 milliards de dollars ont été affectés à des programmes législatifs de paiements, de subventions et de contributions profitant directement aux Canadiens.

2. Contexte organisationnel

Secrétariat ministériel et chef de la protection des renseignements personnels d’EDSC

Le Secrétariat ministériel est responsable de la publication et de la supervision de la politique de gestion de la protection des renseignements personnels du Ministère. Ses tâches consistent aussi à formuler des conseils et des directives en la matière, et à traiter les demandes de renseignements personnels reçues dans la région de la capitale nationale. Ces activités sont menées par la Division des opérations de l’accès à l’information et de la protection des renseignements personnels (AIPRP) de la Direction générale, avec le soutien fonctionnel des 4 directions générales régionales d’EDSC et de la Division de la gestion de la protection des renseignements personnels (DGPRP).

Le secrétaire ministériel dirige la Direction générale et est le chef de la protection des renseignements personnels (CPRP) désigné d’EDSC. Le CPRP est l’autorité fonctionnelle du Ministère sur toutes les questions de protection des renseignements personnels et dirige la gestion de la protection des renseignements personnels au Ministère. Les responsabilités du CPRP comprennent la formulation de conseils stratégiques sur la politique de protection des renseignements personnels et sur la bonne marche du programme de gestion de la protection des renseignements personnels d’EDSC, ce qui inclut la tenue d’évaluations des risques en matière de protection des renseignements personnels, la surveillance de la conformité aux obligations législatives, la publication de politiques et de normes, et la prestation de services de formation sur la protection des renseignements personnels, autant d’éléments essentiels à la mise en œuvre d’une approche fondée sur le respect de la vie privée dès la conception

Division des opérations de l’accès à l’information et de la protection des renseignements personnels

La Division des opérations de l’AIPRP applique la Loi sur l’accès à l’information et les éléments de la Loi sur la protection des renseignements personnels concernant les demandes reçues en vertu de cette loi pour EDSC. Elle dirige et conseille le traitement de toutes les demandes d’EDSC reçues en vertu de la Loi sur l’accès à l’information, procède à l’examen ligne par ligne des documents demandés en vertu des lois et fournit des séances de formation et de sensibilisation aux employés du Ministère sur l’application de ces lois. Le directeur de la Division est le coordonnateur désigné de l’AIPRP pour EDSC.

La responsabilité du traitement des demandes relatives à la Loi sur la protection des renseignements personnels au sein du ESDC est partagée entre la Division des opérations de l’AIPRP et les 4 directions régionales du Ministère : Atlantique, Ontario, Québec, et Ouest et Territoires. La Division des opérations de l’AIPRP a comme tâche de coordonner les activités d’AIPRP dans les directions générales et les bureaux régionaux d’EDSC, ce qui englobe les activités suivantes :

  • répondre aux demandes reçues en vertu de la Loi sur l’accès à l’information;
  • répondre à certaines demandes particulières reçues en vertu de la Loi sur la protection des renseignements personnels;
  • fournir une orientation fonctionnelle aux régions en ce qui concerne les volets des opérations et de la présentation de rapports de la fonction de protection des renseignements personnels;
  • offrir aux employés des séances de formation générale et personnalisée sur l’application des 2 lois.

La Division examine également les publications effectuées conformément au principe du gouvernement ouvert pour s’assurer qu’elles respectent la Loi sur la protection des renseignements personnels.

La Division des opérations de l’AIPRP est composée d’une unité de réception, de plusieurs équipes de traitement des demandes liées à l’AIPRP et d’une petite unité des opérations et des politiques en matière de divulgation proactive. En 2022 à 2023, la Division comptait environ 39 employés. Malgré des difficultés persistantes en matière de ressources, l’équipe a atteint un taux de conformité amélioré tout en assurant le traitement d’un volume record de demandes.

Opérations régionales de protection des renseignements personnels

Les directions générales régionales jouent un rôle clé à l’appui des responsabilités du Ministère en ce qui concerne l’application de la Loi sur la protection des renseignements personnels. Au cours de l’exercice 2022 à 2023, environ 61 employés des régions étaient chargés de traiter les dossiers d’AIPRP. Dans chaque région, un réseau d’agents de liaison et de gestionnaires appuie le traitement des demandes reçues en vertu de la Loi sur la protection des renseignements personnels, et fournit une orientation et des conseils spécialisés directement aux secteurs de programme tout en travaillant conformément à l’orientation de la Division des opérations de l’AIPRP.

Division de la gestion de la protection des renseignements personnels

La DGPRP est le centre d’expertise d’EDSC en matière de politiques de protection des renseignements personnels, et le centre de liaison du Ministère pour les conseils en matière de protection des renseignements personnels. Elle dirige les travaux de mise en œuvre horizontale des politiques et initiatives ministérielles en matière de protection des renseignements personnels, effectue des EFVP et d’autres analyses des risques, et fournit des consignes sur la conformité en matière de protection des renseignements personnels. Ce faisant, la Division adopte une approche de la protection de la vie privée dès la conception, qui intègre les considérations relatives à la protection de la vie privée dès les premiers stades des nouveaux programmes, projets et initiatives. Elle appuie également les travaux de préparation d’ententes et de contrats d’échange de renseignements. La Division répond aux demandes de documents provenant des tribunaux et des organismes d’application de la loi, gère les divulgations de renseignements dans l’intérêt public, joue un rôle clé dans la gestion et la prévention des atteintes à la vie privée, et appuie les activités de formation et de sensibilisation à la protection des renseignements personnels. De plus, la DGPRP fournit des conseils analytiques et stratégiques sur la politique de protection des renseignements personnels au chef désigné de la protection des renseignements personnels et aux cadres supérieurs d’EDSC.

La Division est organisée en 4 groupes fonctionnels, soit une unité de gestion des risques et de politique de protection des renseignements personnels, une unité de services consultatifs et de conformité en matière de protection des renseignements personnels, une unité de divulgations législatives et de gestion des incidents, et une petite équipe de planification et de conseils stratégiques. À la fin de l’exercice 2022 à 2023, la DGPRP comptait 39 employés.

On a aussi fait appel à des consultants au cours de la période visée par le rapport; les services de ces derniers ont représenté au total l’équivalent de 1,1 année‑personne.

Entente de services avec l’Organisation canadienne d’élaboration de normes d’accessibilité

EDSC a conclu un protocole d’entente pour la prestation de services d’accès à l’information et de protection des renseignements personnels avec l’Organisation canadienne d’élaboration de normes d’accessibilité, un organisme fédéral indépendant qui relève du portefeuille du Ministère. L’Organisation, qui a été mise sur pied en vertu de la Loi canadienne sur l’accessibilité, a pour mandat de créer un Canada sans obstacle au plus tard le 1er janvier 2040.

Les services incluent des services de traitement des demandes, des conseils et des statistiques en vue de la préparation des rapports annuels, des fonctions de liaison et des formations. Au besoin, le Ministère fournit des analyses et formule des conseils en ce qui touche les EFVP, les ententes d’échange de renseignements, les divulgations, la passation de marchés, la conformité aux lois et aux politiques, et la gestion des incidents de sécurité.

3. Régime de protection des renseignements personnels d’Emploi et Développement social Canada

Cadre juridique pour la protection des renseignements personnels

EDSC exerce ses activités dans un des régimes de protection des renseignements personnels les plus complexes du gouvernement. Ses obligations légales sont établies dans la Loi sur la protection des renseignements personnels et dans les dispositions sur la protection des renseignements personnels de la Loi sur le ministère de l’Emploi et du Développement social (LMEDS). De plus, étant donné les nombreux efforts de collaboration auxquels EDSC participe pour exécuter des programmes et offrir des services d’envergure nationale, l’interopérabilité juridique avec les organisations du gouvernement du Canada, les provinces et les territoires ainsi que les administrations municipales est toujours une exigence importante.

La Loi sur la protection des renseignements personnels est la loi fédérale qui protège les renseignements personnels des Canadiens, des résidents permanents et des personnes présentes au Canada et qui sont sous le contrôle des institutions du secteur public fédéral. Cette Loi, qui s’inscrit dans la foulée de la Charte des droits et libertés, est un élément fondamental en vue de préserver les intérêts des personnes au Canada au chapitre de la protection des renseignements personnels. Elle énonce un ensemble de règles applicables à la gestion des renseignements personnels par le gouvernement, établissant un cadre qui régit comment les institutions fédérales peuvent recueillir, utiliser, conserver et divulguer des renseignements personnels.

La collecte et l’utilisation de renseignements personnels par les institutions fédérales sont fondées sur une autorité ou une autorisation légale. Les institutions fédérales peuvent seulement recueillir ou utiliser des renseignements personnels ayant un lien suffisamment direct avec les activités et programmes autorisés par la loi.

Les renseignements personnels détenus par une institution fédérale ne peuvent pas être divulgués sans le consentement de la personne concernée, sauf dans des circonstances particulières. Cela comprend les utilisations conformes au but de la collecte initiale autorisée par la loi fédérale qui vise à assurer la conformité avec des instruments juridiques, comme les assignations à comparaître et les ordonnances judiciaires, dans les cas où il y a un avantage évident pour la personne et dans ceux où l’intérêt public l’emporte sur toute violation de la vie privée. Fait important, la Loi accorde aux personnes le droit de demander l’accès à leurs renseignements personnels détenus par une institution fédérale et celui de demander l’apport de corrections à leurs renseignements lorsque ceux‑ci sont inexacts.

La Loi sur la protection des renseignements personnels établit également le CPVP à titre d’agent indépendant du Parlement qui supervise la mise en œuvre de ladite loi. Le commissaire à la protection de la vie privée a le pouvoir de recevoir des plaintes et de faire enquête, y compris dans les cas où la demande d’accès aux renseignements personnels d’une personne a été refusée par une institution fédérale.

Il existe aussi des politiques et des directives qui sont établies par le président du Conseil du Trésor ou par un représentant autorisé et qui servent d’outils complémentaires pour assurer l’application de la Loi par les institutions fédérales, y compris EDSC.

En plus de respecter la Loi sur la protection des renseignements personnels, EDSC doit assurer la gestion des renseignements personnels conformément aux obligations énoncées dans sa loi habilitante. La LMEDS établit les règles applicables aux renseignements personnels détenus par EDSC, et elle est mise en application de concert avec la Loi sur la protection des renseignements personnels. La LMEDS énonce les exigences suivantes :

  • rendre des renseignements personnels accessibles à d’autres institutions fédérales, à des autorités provinciales et territoriales ou à des partenaires internationaux à des fins d’application et d’intégrité;
  • rendre des renseignements personnels accessibles dans l’intérêt public et à des fins d’exécution de la loi;
  • rendre accessibles les renseignements contenus dans le Registre d’assurance sociale;
  • utiliser les renseignements personnels à des fins d’analyse stratégique interne, de recherche et d’évaluation;
  • rendre accessibles les renseignements personnels à des fins de recherche ou d’analyse statistique.

Lorsque le Ministère fournit des services au public au nom d’autres institutions et administrations fédérales, ou lorsqu’il offre certains services pour le gouvernement du Canada, c’est le régime de protection des renseignements personnels du partenaire—habituellement la Loi sur la protection des renseignements personnels—qui s’appliquera, plutôt que la LMEDS.

Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels

L’article 73 de la Loi sur la protection des renseignements personnels autorise le responsable d’une institution à déléguer à des employés de l’institution les pouvoirs, devoirs et fonctions que lui confère cette loi, généralement par arrêté. Cet instrument indique les pouvoirs, devoirs et fonctions d’application de la Loi qui ont été délégués par le responsable de l’institution et précise à qui ils ont été délégués.

L’Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels approuvé, en vigueur le 31 mars 2023, est présenté à l’annexe A. On s’attend à ce qu’un nouvel arrêté sur la délégation, qui intégrerait des changements organisationnels, soit établi au cours de l’exercice 2023 à 2024.

Politique ministérielle sur la gestion de la protection des renseignements personnels

La Politique ministérielle sur la gestion de la protection des renseignements personnels soutient un régime de protection des renseignements personnels solide aux fins de la protection et de l’utilisation judicieuse des renseignements personnels par EDSC. En complément des politiques, directives et normes du SCT, cette politique ministérielle codifie les exigences relatives à la gestion et à la protection des renseignements personnels, énonce des principes clairs et universels pour la politique de protection des renseignements personnels, et précise les rôles et les responsabilités en matière de gestion des renseignements personnels, notamment les obligations redditionnelles et les responsabilités fonctionnelles particulières en vigueur. Elle établit également le Cadre de gestion de la protection des renseignements personnels d’EDSC, décrit ci‑après, désigne le CPRP et établit les mécanismes de gouvernance de la protection des renseignements personnels du Ministère.

Parmi les résultats attendus de la Politique ministérielle sur la gestion de la protection des renseignements personnels figurent la saine gestion et la protection des renseignements personnels par le Ministère, l’adoption de pratiques rigoureuses de repérage, d’évaluation et de gestion des risques pesant sur les renseignements personnels, et l’établissement de responsabilités claires accompagnées de mécanismes et de structures de gouvernance efficaces pour protéger et gérer les renseignements personnels dont EDSC doit assurer l’intendance.

Cadre de gestion de la protection des renseignements personnels

Le Cadre de gestion de la protection des renseignements personnels d’EDSC reflète les principes de la protection de la vie privée dès la conception en promouvant une approche proactive dans ce domaine, en favorisant l’intégration des pratiques de protection des renseignements personnels à la conception des programmes, des systèmes et des processus opérationnels. Le Cadre comprend 5 éléments :

  • Gouvernance et responsabilisation : Les rôles et responsabilités en matière de protection des renseignements personnels sont clairement définis;
  • Intendance des renseignements personnels : Des mesures appropriées de protection des renseignements personnels sont mises en œuvre pour que les renseignements personnels soient bien gérés tout au long de leur cycle de vie;
  • Assurance de la conformité : Des processus et des pratiques officiels sont en place afin d’assurer le respect des précisions, des politiques, des normes et des lois en matière de protection des renseignements personnels;
  • Gestion efficace des risques : Des activités structurées et coordonnées d’identification et d’évaluation des risques sont menées pour réduire la probabilité que des incidents négatifs se produisent et limiter les répercussions de ces derniers, le cas échéant;
  • Culture, formation et sensibilisation : Des activités de formation et de sensibilisation relatives à la protection des renseignements personnels soutiennent un organisme qui est conscient de cet enjeu et qui accorde de l’importance à la protection et à l’intendance des renseignements personnels.

Le Cadre est un élément de base à la fois clair et concis qui sert à établir et à exécuter un programme complet de protection des renseignements personnels au Ministère.

Gouvernance de la protection des renseignements personnels à EDSC

EDSC est composé de comités qui viennent appuyer la gouvernance de la protection des renseignements personnels, la surveillance des risques et la prise de décisions. Au cours de la période visée par le rapport, le principal organe de gouvernance du Ministère en matière de protection des renseignements personnels était le Comité des données et de la protection des renseignements personnels (CDPRP), qui était coprésidé par le CPRP et par le dirigeant principal des données. Le CDPRP a pour mandat d’assurer la surveillance de la gestion des renseignements personnels confiés au Ministère ainsi que de la gestion des ressources de données organisationnelles. Le CDPRP appuie la mise en œuvre et la tenue à jour de la stratégie en matière de données et des programmes de gestion de la protection des renseignements personnels d’EDSC, supervise les processus de gestion du risque au regard de la gestion des données et des renseignements personnels, et appuie l’instauration d’une culture ministérielle conformément à laquelle les données constituent un actif opérationnel qui devrait être maximisé dans le respect du droit à la vie privée des Canadiens.

Le CDPRP relève du Comité de gestion intégrée des sous-ministres adjoints. Le Comité agit à titre d’organe horizontal de surveillance et de prise de décisions du Ministère en ce qui touche la mise en œuvre des stratégies, des plans, des politiques et des lignes directrices organisationnelles reliées à la gestion du risque, des données, de l’information, de la technologie et de la sécurité, ainsi que des finances et des ressources organisationnelles.

4. Politiques, procédures et initiatives

En raison de l’ampleur et de l’étendue de ses activités, EDSC est responsable de la gestion d’un des plus importants fonds de renseignements personnels du gouvernement du Canada. Dans la plupart des cas, pour offrir ses programmes et services, EDSC doit collecter, utiliser et divulguer des renseignements personnels. Souvent, des renseignements personnels détaillés et de nature délicate sont nécessaires pour déterminer l’admissibilité à un programme ou offrir des prestations et des services. Outre son vaste mandat et ses responsabilités entourant la gestion d’immenses volumes de renseignements personnels, EDSC doit mener ses activités dans le cadre d’un régime juridique complexe en matière de protection des renseignements personnels, qui comprend la Loi sur la protection des renseignements personnels et la LMEDS, et il doit aussi respecter des exigences législatives particulières relativement à ses partenaires fédéraux et provinciaux.

EDSC collabore régulièrement avec des parties prenantes autochtones dans le cadre du traitement de demandes de renseignements personnels, afin de faire progresser la réconciliation et de faciliter l’accès à des services de protection des renseignements personnels adaptés à la culture pour les demandeurs autochtones.

Tout au long de l’exercice 2022 à 2023, EDSC a continué de mettre de l’avant une approche proactive et axée sur les risques pour la gestion de la protection des renseignements personnels, et a cherché à adapter ses activités et ses processus aux besoins de l’environnement changeant de la protection des renseignements personnels. Le Ministère a appliqué son optique de protection des renseignements personnels à ses nombreuses initiatives ministérielles qui, dans certains cas, comprenaient la collecte, l’utilisation et la divulgation de renseignements personnels à grande échelle.

Évaluations des facteurs relatifs à la vie privée et vérifications de conformité

Conformément à la Directive sur l’EFVP du Conseil du Trésor, EDSC est tenu d’effectuer une EFVP avant d’établir tout nouveau programme ou programme modifié de façon importante ou toute activité demandant l’utilisation administrative de renseignements personnels. Les EFVP servent à cerner et à évaluer les risques pour la protection des renseignements personnels et à élaborer des plans pour réduire ou éliminer ces risques. Parmi les institutions fédérales, EDSC est un innovateur pour ce qui est des méthodes utilisées pour mener les évaluations de la protection des renseignements personnels. Par exemple, la DGPRP a recours à une série d’approches qu’elle a élaborées, notamment des EFVP exhaustives, des analyses de la protection des renseignements personnels (un processus équivalant à une EFVP simplifiée pour les activités présentant peu de risque), des analyses de la protection des renseignements personnels pour les solutions de technologie de l’information (APRPSTI) et des protocoles de protection des renseignements personnels, afin d’adapter l’évaluation en fonction de chaque projet ou de chaque initiative d’EDSC. Au cours des derniers exercices, ces instruments ont permis à EDSC de demeurer à l’avant‑plan au chapitre des EFVP.

Ainsi, en 2022 à 2023, le Ministère a produit 15 EFVP et a apporté d’importantes mises à jour à 7 autres dans le cadre de son approche de la protection de la vie privée dès la conception. Des copies des rapports d’EFVP et des mises à jour ont été fournies au SCT et au CPVP. Des renseignements sur ces évaluations sont présentés à l’annexe B du présent rapport et sur le site Web consacré aux EFVP d’EDSC.

EDSC a également effectué des examens de la protection des renseignements personnels dans le contexte de ses activités d’analyse des politiques, de recherche et d’évaluation. Au cours du dernier exercice, 26 examens de ce genre ont été effectués relativement à des initiatives comportant l’utilisation de renseignements personnels à des fins autres qu’administratives, comparativement à 23 en 2021 à 2022.

La LMEDS et la réglementation connexe établissent des paramètres stricts régissant l’accessibilitéNote de bas de page * des renseignements personnels qui relèvent du Ministère. La politique de protection des renseignements personnels d’EDSC exige que la DGPRP vérifie toutes les dispositions prises pour rendre des renseignements personnels accessibles à d’autres institutions fédérales, à d’autres administrations ainsi qu’à des fournisseurs de services. La Division s’assure également que ces instruments sont assortis des modalités nécessaires en ce qui touche l’utilisation, la divulgation, la protection et l’élimination des renseignements personnels qu’EDSC rend accessibles. La mise en œuvre des ententes d’échange de renseignements nécessite l’approbation des personnes à qui sont délégués les pouvoirs appropriés en matière de protection des renseignements personnels aux termes de l’arrêté pris en vertu de la LMEDS; il s’agit habituellement du CPRP ou du directeur général de la DGPRP. Aux termes de la politique, tous les documents d’approvisionnement doivent également être vérifiés par la DGPRP afin de garantir le respect des exigences législatives et de la politique de protection des renseignements personnels. Au cours du dernier exercice, 76 ententes d’échange de renseignements et 74 instruments d’approvisionnement ont été examinés en détail.

La demande interne de services liés à la protection des renseignements personnels demeure élevée. Par exemple, le nombre d’examens initiaux de programmes, de projets et d’applications logicielles est une fonction relativement nouvelle de la DGPRP, et le volume de demandes de ces services a affiché une croissance rapide au cours des 3 derniers exercices. La Division a effectué 222 examens de ce genre en 2022 à 2023, soit une augmentation de 10 % par rapport à l’exercice précédent. Le nombre de demandes de renseignements généraux touchant les renseignements personnels ainsi que de demandes de service de clients internes s’est maintenu à des niveaux records, soit 221, au cours de la période visée par le rapport. De plus, la DGPRP a préparé 80 avis de confidentialité et formulaires de consentement.

Modernisation de l’AIPRP

EDSC a continué à progresser dans la modernisation de ses pratiques grâce à une initiative globale visant à normaliser les processus et à déterminer les gains d’efficacité dans le traitement des demandes. Il s’agit d’un exercice de renouvellement qui devrait améliorer l’efficacité opérationnelle une fois terminé. Ce travail continue de bénéficier d’une haute priorité, en vue de tirer parti des changements technologiques et des avantages d’un environnement de plus en plus numérique.

Modernisation du versement des prestations

L’équipe de gestion de la protection des renseignements personnels d’EDSC a participé étroitement aux projets de transformation des services du Ministère, entre autres le Programme de modernisation du versement des prestations (MVP), qui comporte la mise en application d’une stratégie en plusieurs volets. Le Programme de MVP a été conçu de manière à améliorer l’expérience client pour un grand nombre des plus importants programmes de prestations du Canada, grâce à une plateforme technologique moderne, à un traitement rationalisé, à de nouveaux services numériques et à des capacités améliorées de gestion des services.

EDSC met en œuvre les principes fondamentaux de son Cadre de gestion de la protection des renseignements personnels, à savoir la gestion efficace des risques et l’intendance des renseignements personnels, en utilisant son approche de protection des renseignements personnels dès la conception et en affectant des ressources dédiées au Programme. Des conseils en matière de protection des renseignements personnels sont intégrés à la conception du programme de MVP, tandis que des analyses détaillées de la protection des renseignements personnels et des évaluations du risque sont effectuées pour chaque composante de projet. Au cours du dernier exercice, la DGPRP a effectué des examens de conformité portant sur plusieurs éléments de la MVP, y compris les protocoles de protection des renseignements personnels et les documents d’approvisionnement. Des évaluations des facteurs relatifs à la vie privée étaient également en cours pour plusieurs composantes importantes du Programme.

Protocoles de gestion des atteintes à la vie privée

Par suite de la mise en application, par le SCT, d’exigences mises à jour en matière de gestion des atteintes à la vie privée, EDSC a lancé un examen de sa propre directive et de ses propres processus en la matière pour vérifier leur concordance. Des travaux sont effectués en collaboration avec la Sécurité ministérielle, la Cybersécurité et la Sécurité des TI pour réviser la directive d’EDSC, modifier les processus et réviser les rôles et les responsabilités. Le Ministère prévoit mettre la dernière main à ces éléments au cours du quatrième trimestre de 2023 à 2024.

Risques stratégiques

EDSC tient à jour un profil de risque stratégique en matière de protection des renseignements personnels afin de relever et de cibler les menaces les plus importantes au chapitre de la gestion et de la protection des renseignements personnels qu’il détient. Des efforts continus sont déployés pour mettre en œuvre des pratiques assurant une protection efficace des renseignements personnels dans le cadre de l’administration des programmes et des opérations ministérielles. La gestion du risque comprend la surveillance d’un environnement en rapide évolution et des menaces connexes. Elle inclut la cybersécurité, la gestion de l’information, les contrats, les ententes d’échange de renseignements, les évaluations et les mesures d’atténuation.

Feuille de route de la gestion de la protection des renseignements personnels

En 2018, EDSC a présenté un plan stratégique pluriannuel—une feuille de route pour la gestion de la protection des renseignements personnels—en raison de l’évolution rapide de l’environnement de protection des renseignements personnels et à l’appui de ses propres initiatives de modernisation et d’innovation. La mise en œuvre de la feuille de route a permis de renforcer les pratiques de gestion du risque, de réviser les mécanismes de gouvernance de la protection des renseignements personnels, d’optimiser les processus d’approbation, et de renforcer les activités de gestion des incidents et les processus de divulgation aux termes des instruments juridiques en vigueur.

Compte tenu des bons résultats de la première feuille de route triennale de la gestion de la protection des renseignements personnels, on a élaboré une nouvelle feuille de route pour les 3 prochaines années. Ce plan mis à jour établit des mesures visant à renforcer davantage les processus de gestion de la protection des renseignements personnels, à améliorer la collaboration avec les partenaires de la DGPRP pour la sécurité et la gestion de l’information, à appuyer les priorités stratégiques d’EDSC, et à moderniser les pratiques de protection des renseignements personnels du Ministère dans le contexte de sa quête d’innovations technologiques et méthodologiques touchant l’utilisation des renseignements personnels.

Nouveaux pouvoirs relatifs au NAS – Paiement ponctuel lié au SRG pour les aînés les plus âgés

Conformément à la Directive sur le numéro d’assurance sociale, la ministre des Aînés a demandé et obtenu les pouvoirs nécessaires afin d’utiliser le NAS en vue de procéder au versement ponctuel d’une subvention à des prestataires du SRG dans le contexte de la pandémie. Cette activité a eu lieu en avril 2022. Les NAS recueillis en vertu de la Loi de l’impôt sur le revenu par l’Agence du revenu du Canada et par EDSC aux fins du régime d’assurance‑emploi et du programme de la SV ont servi à déterminer l’admissibilité à cette initiative.

5. Aperçu du rendement

La présente section fournit des statistiques et des analyses clés sur les réalisations d’EDSC au cours de l’exercice 2022 à 2023, et elle décrit comment le Ministère a contribué à l’application par le gouvernement de la Loi sur la protection des renseignements personnels. La plupart des diagrammes et des tableaux ci-dessous présentent une comparaison sur 4 ans, mettant en évidence les tendances du rendement d’EDSC pour ce qui est de l’application de la Loi sur la protection des renseignements personnels. Le rapport statistique détaillé du Ministère sur son application de la Loi sur la protection des renseignements personnels se trouve à l’annexe C.

Au cours de la période de référence, soit l’exercice 2022 à 2023, il y a eu une augmentation importante des demandes d’accès à l’information et de protection des renseignements personnels : 20 964 demandes ont été reçues pendant l’exercice, ce qui constitue un nouveau record pour EDSC. Tout comme lors de l’exercice précédent, des progrès substantiels ont été réalisés pour améliorer les taux de conformité, mais ceux-ci sont demeurés sous les niveaux atteints habituellement par le Ministère pendant les années ayant précédé la pandémie.

Demandes et consultations : volume total

EDSC a reçu 20 964 demandes de renseignements personnels au cours de l’exercice 2022 à 2023, ce qui représente une hausse de 18 % par rapport aux 17 695 demandes reçues en 2021 à 2022. Au total, pendant la période visée par le rapport, 11 demandes de consultation liées à la Loi sur la protection des renseignements personnels ont été reçues.

Figure 1 : Demandes en vertu de la Loi sur la protection des renseignements personnels – volume total reçu
Figure 1 : la description suit
Version textuelle de la figure 1
Année Volume total de demandes par exercise
2019 à 2020 15 405
2020 à 2021 13 998
2021 à 2022 17 695
2022 à 2023 20 964
Figure 2 : Demandes de consultation en vertu de la Loi sur la protection des renseignements personnels – volume total reçu
Figure 2 : la description suit
Version textuelle de la figure 2
Année Nombres de demandes
2019 à 2020 23
2020 à 2021 11
2021 à 2022 3
2022 à 2023 11

Le tableau ci-dessous (Tableau 1) présente un résumé des paramètres d’EDSC relatifs aux demandes reçues en vertu de la Loi sur la protection des renseignements personnels, en les comparant sur les 4 derniers exercices.

Tableau 1 : Résumé des demandes en vertu de la Loi sur la protection des renseignements personnels
Activités 2019 à 2020 2020 à 2021 2021 à 2022 2022 à 2023
Demandes officielles reçues en vertu de la Loi sur la protection des renseignements personnels 15 405 13 998 17 695 20 964
Demandes traitées durant la période visée par le rapport 15 004 12 883 17 577 21 321
Nombre de demandes traitées dans les délais prévus par la loi (incluant les prorogations) 14 949 5 906 10 190 15 098
Nombre de demandes traitées au-delà des délais prévus par la loi 55 6 977 7 387 6 223
Proportion des demandes auxquelles on a répondu dans les délais prévus par la loi 99 % 46 % 58 % 71 %

Nombre total de demandes reçues et traitées

Pendant la période visée par le rapport, le nombre de demandes fermées est passé de 17 577 en 2021 à 2022 à 21 321 en 2022 à 2023. C’est aussi durant cette période que s’est amorcée la reprise au lendemain de la pandémie, ce qui a entraîné un grand nombre de réponses tardives lors de l’exercice précédent. Par conséquent, le Ministère a réussi à traiter un nombre record de demandes au cours de l’exercice, ce nombre étant en hausse de 21 % par rapport au précédent record établi en 2021 à 2022.

Figure 3 : Demandes reçues et traitées
Figure 3 : la description suit
Version textuelle de la figure 3
Année Total – Demandes reçues Total – Demandes traitées
2019 à 2020 15 405 15 004
2020 à 2021 13 998 12 883
2021 à 2022 17 695 17 577
2022 à 2023 20 964 21 321

Demandes, en fonction du nombre de jours civils nécessaires pour le traitement

Tout comme lors de l’exercice précédent, EDSC a traité plus de demandes de renseignements personnels qu’il n’en a reçu au cours de la période visée par le rapport. Le taux de conformité des demandes de clôture dans les 30 jours (ou 60 jours après une prolongation) a continué à se redresser après l’impact de la pandémie, passant de 58 % en 2021 à 2022 à 71 % en 2022 à 2023. Cette augmentation a été obtenue malgré une augmentation de 18 % des demandes en vertu de la Loi sur la protection des renseignements personnels et des efforts importants déployés pour réduire les arriérés de traitement résiduels acquis pendant la pandémie de. Le 1er avril 2023, on comptait 1 631 demandes encore actives reportées à la période de déclaration suivante, dont 94 % étaient en voie d’être traitées dans les délais prévus par la loi.

Figure 4 : Demandes en vertu de la Loi sur la protection des renseignements personnels par nombre de jours civils de traitement
Figure 4 : la description suit
Version textuelle de la figure 4
Année 30 jours civils 31 à 60 jours civils 61 jours civils ou plus
2019 à 2020 14 613 (97 %) 358 (2 %) 33 (1 %)
2020 à 2021 5 029 (39 %) 2 459 (19 %) 5 395 (42 %)
2021 à 2022 8 130 (46 %) 5 009 (29 %) 4 438 (25 %)
2022 à 2023 12 257 (58 %) 5 694 (27 %) 3 370 (15%)
Figure 5 : Nombre de demandes en vertu de la Loi sur la protection des renseignements personnels traitées dans les délais prévus par la loi ou au-delà de ceux-ci
Figure 5: la description suit
Version textuelle de la figure 5
Année À l'intérieur Au-delà
2019 à 2020 14 949 (99 %) 55
2020 à 2021 5 906 (46 %) 6 977
2021 à 2022 10 190 (58 %) 7 387
2022 à 2023 15 098 (71 %) 6 223

Raisons des prorogations

Les institutions peuvent demander une prorogation du délai initial de 30 jours prévu par la loi dans les cas où il est impossible de respecter la date prévue par la loi. En 2022 à 2023, on a compté 1 285 demandes portant sur un volume important de renseignements, 3 demandes nécessitant une traduction ou le transfert d’un document sur un support de substitution, et 16 consultations internes qui devaient être effectuées et ne pouvaient raisonnablement pas être menées à terme dans le délai initial de 30 jours. Ces demandes ont amené EDSC à demander 1 304 prorogations. Ce total a représenté une augmentation de 22 % par rapport à 2021 à 2022, où EDSC a présenté 1 069 demandes de prorogation.

Tableau 2 : Nombre de demandes en vertu de la Loi sur la protection des renseignements personnels pour lesquelles une prorogation a été accordée
Article de la Loi sur la protection des renseignements personnels Raison de la prorogation Nombre de demandes de prorogation
15a)(i) Entrave au fonctionnement de l’institution Examen approfondi nécessaire pour déterminer les exceptions 0
Grand nombre de pages 0
Grand volume de demandes 1 285
Documents trop difficiles à obtenir 0
15a)(ii) Consultation Documents confidentiels du Cabinet (article 70) 0
Externe 0
Interne 16
15b) Traduction ou transfert sur support de substitution Traduction ou transfert sur support de substitution 3
TOTAL 1 304

Surveillance des délais

En raison de l’approche décentralisée du Ministère en matière de traitement des demandes de renseignements personnels, il n’y a actuellement aucune surveillance centralisée portant expressément sur le temps requis pour traiter les demandes de renseignements personnels, les limites associées aux consultations entre institutions ou les examens des types de renseignements fréquemment demandés. Les bureaux régionaux d’EDSC gèrent la majorité des demandes reçues en vertu de la Loi sur la protection des renseignements personnels (les demandes de renseignements personnels et les demandes de correction de renseignements personnels) pour le Ministère, et préparent des rapports périodiques sur les nouvelles demandes et la charge de travail ainsi que des mises à jour sur l’état du rendement en ce qui concerne le traitement dans les délais prévus des demandes reçues en vertu de la Loi sur la protection des renseignements personnels. Les bureaux régionaux produisent des rapports sur le rendement mensuels, trimestriels et annuels.

À mesure que le Ministère modernise la fonction de traitement des demandes de renseignements personnels, la normalisation et la surveillance de la conformité deviendront une priorité, de manière que les Canadiens puissent compter sur un traitement fiable et adapté de leurs demandes.

Nombre de demandes actives en suspens depuis un exercice précédent

Il arrive parfois que le temps de traitement de demandes reçues en vertu de la Loi sur la protection des renseignements personnels dépasse le délai de traitement prévu par la loi.

Tableau 3 : Nombre de demandes actives en suspens depuis une période de rapport précédente
Exercice durant lequel les demandes ouvertes ont été reçues Demandes ouvertes où les délais prévus par la loi n’étaient pas dépassés au 31 mars 2023 Demandes ouvertes où les délais prévus par la loi étaient dépassés au 31 mars 2023 Total
2022 à 2023 1 523 79 1 602
2021 à 2022 2 16 18
2020 à 2021 0 8 8
2019 à 2020 0 2 2
2018 à 2019 0 0 0
2017 à 2018 0 1 1
2016 à 2017 0 0 0
2015 à 2016 ou exercice antérieur 0 0 0
Totaux 1 525 106 1 631

Pages traitées et divulguées

Au cours de la période visée par le rapport, 1 837 744 pages ont été traitées pour les exceptions et les exclusions, ce qui représente une hausse de 24 % par rapport à l’exercice précédent, où 1 477 202 pages avaient été traitées. Au total, 1 738 097 pages ont été divulguées, ce qui représente également une hausse par rapport à l’exercice précédent, où 1 384 322 pages avaient été divulguées. Le nombre de pages traitées et divulguées au cours de la période visée par le rapport était beaucoup plus élevé qu’au cours de toute période de rapport précédente.

Figure 6 : Nombre de pages traitées et divulguées, Loi sur la protection des renseignements personnels
Figure 6 : la description suit
Version textuelle de la figure 6
Année Pages traitées Pages divulguées
2019 à 2020 1 259 755 1 208 351
2020 à 2021 1 164 618 1 084 070
2021 à 2022 1 477 202 1 384 322
2022 à 2023 1 837 774 1 738 097

Exceptions et exclusions

Comme EDSC détient un des plus importants fonds de renseignements personnels au gouvernement du Canada, l’application d’exceptions et d’exclusions en vertu de la Loi sur la protection des renseignements personnels y est généralement plus fréquente qu’à la plupart des autres institutions fédérales. En 2022 à 2023, le nombre total de demandes qui ont donné lieu à une divulgation complète s’est élevé à 2 969 (17 %). Le nombre de documents qui ont été divulgués en partie s’est élevé à 13 633 (77 %). Il y a eu 2 demandes qui ont fait l’objet d’une exception intégrale, et 1 178 demandes abandonnées.

Exceptions

Bien que la Loi sur la protection des renseignements personnels accorde aux personnes un droit d’accès exécutoire à leurs renseignements personnels, il existe des cas où certaines exceptions précises et limitées peuvent être appliquées. L’exception aux termes de la Loi sur la protection des renseignements personnels qui a été appliquée le plus fréquemment est celle prévue à l’article 26, qui a comme objet de protéger les renseignements personnels concernant un autre individu au sens de l’article 3 de la Loi. Cette exception a été invoquée dans 13 486 cas de demandes traitées au cours de l’exercice 2022 à 2023. Cela représente une augmentation de 1 500 comparativement à l’exercice précédent.

Tableau 4 : Nombre de demandes et pourcentage du total des exceptions
Article de la Loi sur la protection des renseignements personnels 2019 à 2020 2020 à 2021 2021 à 2022 2022 à 2023
Art. 22 – Enquêtes 56 (0,6 %) 63 (0,7 %) 13 (0,1 %) 65 (0,5 %)
Art. 26 – Renseignements concernant un autre individu 9 812 (98,7 %) 8 628 (98,8 %) 11 986 (99,3 %) 13 486 (98,9 %)
Art. 27 – Renseignements protégés : avocats et notaires 63 (0,6 %) 42 (0,5 %) 48 (0,4 %) 73 (0,5 %)
Art. 28 – Dossiers médicaux 0 0 0 2 (0,01 %)

Exclusions

La Loi sur la protection des renseignements personnels permet d’exclure certains types de renseignements, tels que les documents qui sont déjà accessibles au public (article 69) et les documents confidentiels du Conseil privé du Roi pour le Canada (article 70). Il n’y a eu aucune exclusion au cours de l’exercice 2022 à 2023.

Demandes de consultation reçues d’autres institutions du gouvernement du Canada et d’autres organismes

EDSC a reçu 11 demandes de consultation externe en 2022 à 2023, ce qui a nécessité l’examen de 120 pages supplémentaires. Ces demandes provenaient d’institutions du gouvernement du Canada et d’autres organismes.

Le Ministère a clos 12 demandes de consultation; 8 d’entre elles ont été traitées dans un délai d’au plus 30 jours. Au total, 6 demandes de consultation ont donné lieu à une recommandation de divulgation complète des documents à l’institution ou à l’organisme ayant soumis la demande.

Tableau 5 : Demandes de consultation reçues d’autres institutions du gouvernement du Canada et d’autres organismes – Loi sur la protection des renseignements personnels
Type de consultation 2019 à 2020 2020 à 2021 2021 à 2022 2022 à 2023
Demandes de consultations reçues en vertu de la Loi sur la protection des renseignements personnels 20 11 3 11
Pages supplémentaires revues en vertu de la Loi sur la protection des renseignements personnels 3 137 388 127 215
Demandes de consultation en vertu de la Loi sur la protection des renseignements personnels qui ont été fermées 21 9 5 12
Demandes de consultation en vertu de la Loi sur la protection des renseignements personnels qui ont été fermées dans les 30 jours 18 3 1 8

Demandes de correction des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels

En vertu de la Loi sur la protection des renseignements personnels, toute personne a le droit de demander la correction de renseignements personnels erronés la concernant, qui sont conservés par une institution fédérale, à condition que la personne puisse adéquatement justifier sa demande. EDSC a accepté une demande de correction et a joint 4 notes à des dossiers en 2022 à 2023.

Répercussions opérationnelles de la pandémie de COVID-19

Les défis liés à la transition vers le télétravail au début de la pandémie de COVID‑19 ont entraîné un taux de conformité inférieur en matière d’AIPRP et la création d’un arriéré de demandes d’AIPRP au cours de l’exercice 2020 à 2021. En affectant des ressources supplémentaires aux opérations et en utilisant de nouveaux processus électroniques, le Ministère a réussi à réduire l’arriéré et à atteindre un taux de conformité nettement supérieur en 2022 à 2023.

6. Plaintes, enquêtes et recours judiciaires

En vertu de la Loi sur la protection des renseignements personnels, une personne peut déposer auprès du CPVP une plainte concernant le traitement d’une demande d’accès si l’accès lui a été refusé ou si elle estime qu’il y a eu un retard indu. Elle peut aussi déposer une plainte concernant les pratiques de traitement des renseignements personnels, ce qui inclut la collecte, l’utilisation ou la divulgation de leurs renseignements personnels.

Au cours de l’exercice 2022 à 2023, le CPVP a informé EDSC de 33 plaintes concernant la protection des renseignements personnels. À la fin de l’exercice, il y avait 25 plaintes ouvertes visant EDSC; 14 dataient d’avant 2022 à 2023, 9 remontaient à 2021 à 2022, 2 à 2020 à 2021, 2 également à 2016 à 2017 et une à 2013 à 2014 ou à un exercice antérieur.

Le processus de règlement rapide a permis de résoudre ou de rejeter 18 plaintes en 2022 à 2023. Il y avait 5 plaintes qui faisaient l’objet de ce processus de règlement rapide à la fin de la période visée par le rapport. Les enquêtes du CPVP ont permis de déterminer que 6 plaintes étaient fondées, mais qu’une autre ne l’était pas, et 2 enquêtes ont été interrompues. Il y avait 8 enquêtes ouvertes à la fin de l’exercice.

Au total, 4 des plaintes fondées concernaient des cas où EDSC n’avait pas respecté les délais prescrits par la loi pour donner suite aux demandes présentées en vertu de la Loi sur la protection des renseignements personnels. Le Ministère n’avait pas été en mesure de fournir les renseignements demandés avant la date d’échéance requise. Par conséquent, les directives et les procédures ministérielles relatives à la recherche et à la communication des documents pertinents ont été modifiées. L’une des 2 autres plaintes fondées avait trait à l’accès et découlait de problèmes particuliers liés à la conservation des documents. Les problèmes ont été réglés en apportant les ajustements appropriés aux processus et aux procédures d’EDSC. La dernière plainte fondée concernait la divulgation de renseignements personnels par EDSC à une autre institution fédérale, où l’on ne se conformait pas aux lois applicables en matière de protection des renseignements personnels. Conformément aux recommandations du CPVP, le Ministère a pris des mesures pour faire mieux connaître les rôles et les responsabilités en matière de protection des renseignements personnels. Dans les 6 cas, le CPVP a déterminé que les plaintes avaient été résolues, ou résolues sous condition.

Pendant la période visée par le rapport, aucune plainte relative à la protection des renseignements personnels n’a été entendue par les tribunaux.

Le tableau qui suit fournit des renseignements additionnels sur les plaintes, l’état de leur traitement et les résultats.

Tableau 6 : Plaintes, enquêtes et recours judiciaires, 2022 à 2023
Plaintes reçues Total
Accès 4
Délais 11
Avis de prorogation 1
Utilisation et divulgation 14
Types multiples 3
Nombre total de plaintes reçues 33
Processus de règlement rapide  
Règlement rapide – Résolution 18
Règlement rapide – Rejet 1
Règlement rapide – En cours 5
Enquêtes Total
Fondées 6
Non fondées 1
Ouvertes 8
Abandonnées 2
Nombre total de conclusions reçues 6
Recours judiciaires Total
Nombre de recours judiciaires 0

Note : Le nombre total d’avis de plaintes et le nombre total de cas ayant fait l’objet d’un processus de règlement rapide ou d’enquête ne seront pas nécessairement les mêmes au cours d’un exercice donné. Bien souvent, les processus de règlement rapide et les enquêtes porteront sur des plaintes reçues par le CPVP au cours d’un exercice antérieur à la période de rapport, c’est‑à‑dire 2022 à 2023 dans le cas présent.

7. Divulgations d’intérêt public

Les divulgations d’intérêt public sont effectuées par EDSC en application du paragraphe 37(1) de la LMEDS plutôt que de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels. Toutes ces divulgations sont signalées au CPVP.

Au cours de l’exercice 2022 à 2023, le Ministère a fait 509 divulgations d’intérêt public. Sur ce nombre, 458 ont été traitées dans les directions générales régionales du Ministère; la plupart concernaient des incidents impliquant des personnes qui menaçaient de se faire du mal ou de faire du mal à autrui. Dans les cas où il existe une menace imminente pour la sûreté et la sécurité de personnes, les employés sont autorisés à effectuer la divulgation. Compte tenu de l’urgence associée à ces incidents, le CPVP n’a été avisé des divulgations qu’après leur réalisation.

La DGPRP a approuvé la divulgation de renseignements personnels dans 51 autres cas (divulgations faites par l’administration centrale). Dans la plupart de ces cas, les renseignements personnels ont été rendus accessibles pour aider à trouver une personne, comme une personne disparue, ou aux fins d’une enquête policière.

Les motifs de ces divulgations et le nombre total pour chaque type de divulgation sont présentés dans le tableau qui suit.

Tableau 7 : Nombre de divulgations selon le motif
Motif des divulgations Nombre de divulgations
Divulgations faites par les régions (menaces imminentes) 458
Divulgations faites par l’administration centrale
Trouver une personne (plus proche parent, en rapport avec la succession, trouver un héritier, personne disparue) 28
Enquête policière/Personne recherchée 19
Admissibilité aux prestations 4
TOTAL 509

8. Atteintes substantielles à la vie privée

La Politique sur la protection de la vie privée du SCT définit l’atteinte à la vie privée de la manière suivante : « Création, collecte, usage, communication, conservation ou retrait inappropriée ou non autorisée de renseignements personnels ou accès inapproprié ou non autorisé aux renseignements personnels. » Une atteinte à la vie privée est « substantielle » lorsqu’elle « pourrait vraisemblablement entraîner un risque réel de préjudice grave pour une personne ».

Au cours de l’exercice 2022 à 2023, le Ministère a signalé 193 atteintes substantielles à la vie privée au CPVP et au SCT, soit une baisse de 45 % par rapport à l’exercice précédent (346). Ces atteintes ont été causées dans la majorité des cas par des erreurs opérationnelles entraînant la perte de renseignements personnels pendant le transit dans le système postal ou par l’envoi de renseignements au mauvais destinataire. La plupart de ces incidents (136 cas) concernaient des passeports ou des documents de demande de passeport perdus, mal acheminés ou volés, pour lesquels la Société canadienne des postes a assumé la responsabilité de 91 de ces incidents (voir le tableau ci-dessous). EDSC était responsable des 45 autres incidents.

La baisse du nombre d’atteintes substantielles en 2022 à 2023 par rapport à l’exercice précédent est attribuable pour une part à l’application de la nouvelle définition du concept d‘ « atteinte substantielle à la vie privée » du SCT. De plus, EDSC, en coordination avec ses partenaires fédéraux pour la délivrance des passeports, a jugé que les atteintes à la vie privée à la suite du retour de passeports mal acheminés et de documents relatifs aux demandes de passeport n’étaient pas substantielles, contrairement à ce qui était le cas lors des exercices précédents. On a déterminé qu’il était peu probable que les passeports mal acheminés et les documents justificatifs retournés rapidement aient été utilisés de façon malveillante, et donc que ces situations soulevaient un faible risque de préjudice grave.

Il y a eu 42 incidents reliés à des accès non autorisés à des renseignements personnels stockés dans les systèmes d’EDSC. Ces cas ont été détectés dans le cadre des activités élargies de surveillance du journal d’audit d’EDSC, qui sert à faire le suivi de l’accès par des employés aux renseignements personnels détenus dans les fonds de données électroniques d’EDSC.

Le Ministère met continuellement en œuvre des mesures administratives, techniques et physiques pour réduire les atteintes à la vie privée. Fait important, grâce aux activités de formation et de sensibilisation à la protection des renseignements personnels d’EDSC, les employés sont renseignés et formés sur le traitement des renseignements personnels, y compris leur utilisation appropriée et les protocoles de protection.

Le tableau 8 indique le nombre d’atteintes substantielles à la vie privée selon la cause et une brève description des mesures prises en réponse aux atteintes.

Tableau 8 : Description des atteintes substantielles à la vie privée et des plans d’action
Nombre d’atteintes substantielles Nature des renseignements compromis Communication et notification Mesures prises en réponse aux atteintes
15 Des renseignements personnels communiqués incorrectement à des tiers par téléphone, par courriel ou par la poste. et/ou Des documents contenant des renseignements personnels sur des clients ont été perdus ou volés. Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte
  • Les employés ont suivi une formation sur les procédures appropriées et les pratiques exemplaires de traitement des renseignements personnels, et plus particulièrement sur :
    • les procédures d’envoi postal;
    • les procédures d’indexation;
    • le processus d’authentification lors d’un appel avec un client.
  • On a rappelé aux employés l’importance et la nature délicate du traitement des renseignements personnels.
  • On a rappelé aux employés les exigences en matière de sécurité applicables à l’envoi ou au transport de renseignements personnels.
  • On a modifié les procédures au besoin.
  • On a offert un service de surveillance du crédit à certaines personnes touchées qu’on jugeait plus vulnérables.
42 Des employés ont accédé sans autorisation aux données des clients dans les systèmes du Ministère (ces intrusions ont été découvertes, la plupart du temps, dans le cadre d’audits internes de ces systèmes). Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte.
  • On a révoqué la cote de fiabilité dans certains cas, ce qui a entraîné le congédiement de l’employé, car la détention de cette cote est une condition d’emploi.
  • On a rappelé aux employés qu’ils ne devaient pas accéder aux renseignements pour lesquels ils n’ont pas d’autorisation d’accès.
  • On a rappelé aux employés de relire le Code de conduite d’EDSC.
  • On a demandé à certains employés de suivre de nouveau des cours de formation.
91 Passeports, demandes de passeport et documents joints à des demandes de passeport perdus, volés ou mal acheminés, dont la Société canadienne des postes était responsable. Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte
  • On a demandé aux personnes de soumettre leurs demandes de nouveau et, dans quelques cas, on a remboursé les coûts liés aux nouveaux documents, aux photos et à l’affranchissement.
  • Conformément aux procédures habituelles, les passeports ont été annulés et de nouveaux passeports ont été délivrés sans frais.
  • La Société canadienne des postes a effectué des recherches pour retrouver les documents.
45 Passeports, demandes de passeport et documents joints à des demandes de passeport perdus, volés ou mal acheminés en raison d’une erreur interne d’EDSC. Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte.
  • On a demandé aux personnes de soumettre leurs demandes de nouveau et, dans quelques cas, on a remboursé les coûts liés aux nouveaux documents, aux photos et à l’affranchissement.
  • On a annulé les passeports et a délivré de nouveaux passeports conformément aux procédures habituelles.
  • On a pris des mesures correctives à l’interne, y compris le rappel aux employés de l’importance de la protection des renseignements personnels et les procédures de traitement du courrier.
  • On a effectué des recherches approfondies dans les bureaux et la salle de courrier pour retrouver les documents.
Nombre total d’atteintes substantielles : 193

9. Activités de formation et de sensibilisation

Formation en ligne sur la protection des renseignements personnels

EDSC dispose d’un programme de formation complet pour accroître la connaissance des pratiques appropriées de gestion des renseignements personnels et la sensibilisation à ces dernières. Tous les employés doivent maintenir une certification valide en Gérance de l’information et comportements en milieu de travail (GICMT) (cette certification doit être renouvelée tous les 2 ans); le cours porte sur la protection et le traitement des renseignements personnels, la sécurité, l’accès à l’information, la gestion de l’information ainsi que les valeurs et l’éthique. Ce cours fait partie du programme de formation essentielle du Ministère et est offert en ligne. À la fin de la période visée par le rapport, 9 503 employés avaient obtenu la certification GICMT au cours de l’exercice. Au total, 33 453 employés détenaient la certification en 2021 à 2022.

Mis à part la certification GICMT, EDSC propose d’autres cours en ligne sur la protection des renseignements personnels dans son catalogue de formation. Le cours « Protection des renseignements personnels et accès à l’information : c’est l’affaire de tous » permet aux employés d’acquérir les connaissances nécessaires pour bien protéger, utiliser et divulguer les renseignements personnels quotidiennement, et leur apprend à prévenir les atteintes à la vie privée, en demandant conseil ou en faisant preuve de bon jugement en temps opportun. Au cours du dernier exercice, 8 829 employés ont suivi le cours.

Les nouveaux employés doivent suivre le cours « Bien faire les choses et faire la bonne chose : mettre en action le Code de conduite ministériel » qui comporte une composante importante sur la protection des renseignements personnels. Le cours aide les participants à comprendre comment adopter des comportements éthiques en milieu de travail et utiliser ces connaissances pour les guider dans leur travail et prise de décisions quotidiens, y compris leurs interactions avec les clients et les collègues. Au cours de l’exercice 2022 à 2023, le nombre d’employés qui ont suivi ce cours s’est élevé à 7 137.

Formation et sensibilisation en personne et par voie virtuelle

Tout au long de la période visée par le rapport, le Ministère a fourni aux employés des renseignements et des consignes pratiques, faciles à comprendre et facilement accessibles sur la protection des renseignements personnels, afin d’appuyer la mise en application de pratiques appropriées de traitement et de protection des renseignements personnels, et de transmettre des connaissances générales sur les fondements à la fois philosophiques et législatifs de la protection des renseignements personnels. Le point culminant de ces activités a consisté en une série d’événements d’information sur la protection des renseignements personnels et d’activités reposant sur l’approche Savoir actif dans le cadre de la Semaine de sensibilisation à la protection de la vie privée en janvier 2023.

Au total, 1 757 employés d’EDSC ont assisté, soit en personne ou par vidéo, à l’une ou l’autre des 24 séances de formation et de sensibilisation sur la protection des renseignements personnels offertes en 2022 à 2023, comparativement à 1 127 au cours de l’exercice précédent, ce qui constitue une hausse de 56 %.

Annexe A : Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels

Loi sur la protection des renseignements personnels : Délégation de pouvoirs

En vertu de l'article 73 de la Loi sur la protection des renseignements personnels (la Loi), la ministère de l'Emploi et du Développement social délègue aux titulaires des postes mentionnés à l’annexe ci-après, ainsi qu’aux personnes occupant à titre intérimaire lesdits postes, les attributions dont elle, est, en qualité de responsable d’une institution fédérale, investie par les dispositions de la Loi et du Règlement sur la protection des renseignements personnels (le Règlement) mentionnées à l’annexe en regard de chaque poste.

Signée en date du 12 mars 2020 par la Ministre de l'Emploi et du Développement social.

Loi sur la protection des renseignements personnels : Délégation de pouvoirs
Description Article Pouvoir délégué
Conservation d’une copie des demandes reçues et d’une mention des renseignements communiqués aux organismes d’enquête en ayant fait la demande aux termes de l’alinéa 8 (2)e) de la Loi sur la protection des renseignements personnels 8(4)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Gestionnaire, Gestion d’incidents liés à l’AIPRP et divulgations aux termes de la loi, Opérations de l’AIPRP, AC
Conservation des relevés des cas d’usage de renseignements personnels 9(1)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Gestion de la protection des renseignements personnels
Aviser le commissaire à la protection de la vie privée de tous les nouveaux cas compatibles d’usage de renseignements personnels et veiller à ce que ces cas soient recensés dans le prochain relevé des cas compatibles d’usage compris dans le répertoire 9(4)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Gestion de la protection des renseignements personnels, AC
Inscrire les renseignements personnels dans des fichiers de renseignements personnels 10
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Gestion de la protection des renseignements personnels, AC
Répondre aux demandes de communication dans les 30 jours suivant leur réception, puis aviser par écrit. Communiquer les renseignements advenant une réponse positive. 14
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Prorogation du délai prévu de 30 jours pour répondre à une demande de renseignements personnels 15
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Décision de faire traduire ou non une réponse à une demande de renseignements personnels vers l’une des 2 langues officielles 17(2)b)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Décision de transférer ou non les renseignements personnels sur un support de substitution 17(3)b)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Décision de refuser la communication des renseignements personnels contenus dans des fichiers inconsultables 18(2)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
Décision de refuser la communication des renseignements personnels qui ont été obtenus à titre confidentiel des gouvernements des États étrangers ou de leurs organismes; des organisations internationales d’États ou de leurs organismes; des gouvernements provinciaux ou de leurs organismes; des administrations municipales ou régionales constituées en vertu de lois provinciales ou de leurs organismes; du conseil, au sens de l’Accord d’autonomie gouvernementale de la première nation de Westbank mis en vigueur par la Loi sur l’autonomie gouvernementale de la première nation de Westbank et du conseil de la première nation participante selon la Loi sur la compétence des premières nations en matière d’éducation en Colombie-Britannique 19(1)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Pouvoir de communiquer les renseignements personnels visés au paragraphe 19(1) si le gouvernement, l’organisation ou l’institution décrits dans ce paragraphe consentent à la communication ou rendent les renseignements publics 19(2)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Refuser la communication de renseignements personnels dont la divulgation risquerait de porter préjudice à la conduite des affaires fédéro-provinciales 20
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
Refuser la communication de renseignements personnels dont la divulgation risquerait de porter préjudice à la conduite des affaires internationales ou à la défense du Canada ou d’États alliés 21
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
Refuser la communication de renseignements personnels préparés par un organisme d’enquête, de renseignements dont la divulgation risquerait de nuire aux activités destinées à faire respecter une loi, ou de renseignements dont la divulgation risquerait de nuire à la sécurité des établissements pénitentiaires 22
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Refuser de divulguer des renseignements personnels préparés pour la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles 22,3
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
Refuser de divulguer des renseignements personnels préparés par un organisme d’enquête lors des enquêtes de sécurité 23
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Refuser à un individu de lui communiquer des renseignements personnels qui ont été recueillis par le Service correctionnel du Canada ou la Commission des libérations conditionnelles du Canada pendant qu’il était sous le coup d’une condamnation si les conditions énoncées dans l’article sont respectées 24
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Refuser de communiquer des renseignements personnels qui risqueraient de nuire à la sécurité des individus 25
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
Refuser de communiquer des renseignements personnels qui portent sur un autre individu et refuser obligatoirement la communication des renseignements dans les cas où elle est interdite aux termes de l’article 8 26
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Traitement des demandes d’AIPRP, Opérations de l’AIPRP, AC AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Refuser de communiquer des renseignements personnels qui sont protégés par le secret professionnel 27
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Consultant régional (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Refuser la communication de renseignements personnels portant sur l’état physique ou mental de l’individu, dans les cas où la prise de connaissance par l’individu concerné de ces renseignements desservirait celui-ci 28
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Recevoir un avis d’enquête du commissaire à la protection de la vie privée 31
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
Avoir droit de présenter des observations au commissaire à la protection de la vie privée au cours d’une enquête 33(2)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Directeur, Gestion de la protection des renseignements personnels, AC
  • Gestionnaire, Traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Recevoir du commissaire à la protection de la vie privée un rapport des conclusions de son enquête et signaler les mesures prises 35(1)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Communication de renseignements personnels supplémentaires à un plaignant après la réception d’un avis aux termes de l’alinéa 35 (1)b) 35(4)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseillers régionaux, AIPRP
  • Agents de l’AIPRP (AIPRP des régions)
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Recevoir le rapport du Commissaire à la protection de la vie privée concernant son enquête sur le contenu du fichier inconsultable 36(3)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Directeur, Gestion de la protection des renseignements personnels, AC
Recevoir le rapport du Commissaire à la protection de la vie privée concernant son enquête sur la conformité 37(3)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Directeur, Gestion de la protection des renseignements personnels, AC
Demander qu’une audience commencée conformément à certaines dispositions de la Loi soit tenue dans la région de la capitale nationale 51(2)b)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
Demander et recevoir le droit de présenter des observations au cours des audiences tenues conformément à l’article 51 51(3)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
Préparer les rapports annuels à l’intention du Parlement 72(1)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Directeur, Gestion de la protection des renseignements personnels
Règlement sur la protection des renseignements personnels : Pouvoirs délégués
Description Article Pouvoir délégué
Autorisation de consulter des documents (salle de lecture) 9
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseiller régional, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Avis de corrections 11(2)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseiller régional, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Correction refusée, mention du dossier 11(4)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseiller régional, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Divulgation de renseignements personnels à un praticien médical ou à un psychologue 13(1)
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseiller régional, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)
Divulgation de renseignements personnels en présence d’un praticien médical ou d’un psychologue 14
  • Sous-ministre, EDSC
  • Sous-ministre, Travail
  • Sous-ministre délégué principal d’EDSC et chef de l’exploitation pour Service Canada
  • Sous-ministre délégué, EDSC
  • Secrétaire ministériel et chef de la protection des renseignements personnels
  • Directeur, Opérations à l’AIPRP, AC
  • Gestionnaire, Unité de traitement des demandes d’AIPRP, Opérations à l’AIPRP, AC
  • Chefs d’équipe, AC
  • Gestionnaire de service (AIPRP des régions)
  • Chefs d’équipe (AIPRP des régions)
  • Conseiller régional, AIPRP
  • Consultant régional en expertise opérationnelle (AIPRP QC)
  • Consultant principal (AIPRP QC)
  • Consultant principal en expertise opérationnelle (AIPRP QC)

Annexe B : Sommaire des évaluations des facteurs relatifs à la vie privée qui ont été réalisées

Au cours de l’exercice 2022 à 2023, EDSC a effectué 15 EFVP ainsi que 7 mises à jour portant sur des évaluations déjà effectuées. Il y a 6 de ces mises à jour qui ont consisté en évaluations de suivi détaillées de la conformité en matière de protection des renseignements personnels aux termes de la Directive intérimaire sur l’évaluation des facteurs relatifs à la vie privée en vigueur au cours des premières années de la pandémie de COVID‑19. Des renseignements sur les EFVP d’EDSC sont présentés sur le site Web ministériel consacré aux EFVP.

Service hébergé de gestion des comptes des médias sociaux – Hootsuite

À titre d’éditeur principal, la Direction générale des services aux citoyens (DGSC) est responsable de la gestion de services numériques clés, notamment le soutien des comptes de médias sociaux officiels du gouvernement du Canada. En 2016, la DGSC a effectué une EFVP portant sur Hootsuite Enterprise dans le contexte d’une vaste initiative de mise en œuvre de la solution Hootsuite Enterprise dans les organismes fédéraux. Depuis 2016, plusieurs changements ont été apportés au processus administratif qui sous‑tend la gestion des comptes, et ces changements sont examinés dans le cadre de la présente EFVP. Toutefois, ces changements ne sont pas rattachés à des activités de collecte de renseignements personnels, de sorte que les travaux actuels se limitent à une mise à jour de l’EFVP initiale.

Cette mise à jour a été effectuée dans le but de déterminer s’il y avait des risques liés à la protection des renseignements personnels qui étaient soulevés par les activités de création et de gestion des comptes de l’éditeur principal, ainsi que d’identifier les répercussions de la mise en œuvre de nouveaux modules sur la protection des renseignements personnels. L’EFVP n’a mis en lumière aucun risque d’atteinte à la vie privée ni aucun problème de conformité.

Mise en œuvre de l’exigence de validation de l’attestation de vaccination aux termes de la Politique sur la vaccination contre la COVID-19

Pendant la pandémie de COVID-19, les employés du secteur public ont versé leur attestation de vaccination dans le Système de suivi des attestations de vaccination du gouvernement du Canada. EDSC a préparé et mené un audit qui a englobé tous les cadres supérieurs ainsi qu’un échantillon aléatoire d’autres employés afin de vérifier l’efficacité des attestations versées au Système de suivi des attestations de vaccination du gouvernement du Canada.

Une EFVP a été effectuée pour cerner les éventuels risques d’atteinte à la vie privée associés à la collecte et à l’utilisation de renseignements personnels, afin de vérifier que les renseignements versés au Système de suivi des attestations de vaccination du gouvernement du Canada étaient exacts et véridiques. Cette EFVP portait sur l’élaboration du processus de sélection de l’échantillon aléatoire, les outils utilisés pour vérifier l’information et les activités de couplage des données, de façon à s’assurer que le droit à la vie privée était protégé. L’EFVP n’a mis en lumière aucun risque d’atteinte à la vie privée ni aucun problème de conformité.

Échange de renseignements – NAS-Registre d’assurance social

La Commission de l’assurance-emploi du Canada (CAEC) tient le Registre d’assurance sociale. Ce dernier contient le NAS et les autres renseignements que la Commission juge nécessaires pour pouvoir identifier les personnes avec exactitude. En juin 2014, le ministre de l’Emploi et du Développement social a fait part d’un engagement consistant à améliorer l’échange de renseignements avec l’Agence des services frontaliers du Canada afin d’améliorer l’application et l’exécution des programmes d’immigration du Canada.

Une EFVP a été effectuée pour évaluer les risques d’atteinte à la vie privée et les problèmes de conformité pouvant être soulevés par les échanges de renseignements personnels entre la CAEC et l’Agence des services frontaliers du Canada. L’EFVP a permis de cerner un risque moyen ainsi que quelques risques de faible niveau. On a aussi relevé un problème de conformité.

Subvention unique pour les bénéficiaires du Supplément de revenu garanti qui ont reçu des prestations liées à la pandémie en 2020

La subvention unique reliée au SRG est accordée aux pensionnés de la SV à faible revenu qui avaient eu à composer avec la perte ou une réduction de leur SRG parce qu’ils avaient reçu des prestations liées à la pandémie en date de juillet 2021.

On a effectué une EFVP afin de cerner les risques reliés à la protection des renseignements personnels pouvant découler de la collecte, de l’utilisation et du traitement des renseignements personnels des clients recevant cette subvention. L’EFVP a permis de cerner certains risques moyens, mais aucun risque faible ni aucun problème de non‑conformité n’ont été relevés.

Programme de prestations d’invalidité du Régime de pensions du Canada et activités professionnelles/occupation véritablement rémunératrice

EDSC a mis en œuvre une politique révisée sur les prestations d’invalidité du RPC pour évaluer les activités professionnelles et les occupations véritablement rémunératrices, dans le cadre d’un processus de renouvellement pluriannuel. L’objectif de la phase de collecte de données sur les activités professionnelles et les occupations véritablement rémunératrices dans le contexte du programme de prestations d’invalidité du RPC est de recueillir des renseignements sur les prestataires qui déclarent des activités de bénévolat ou de formation d’une durée de 15 heures ou plus par semaine pendant une période continue de 4 mois ou plus.

Une analyse de la protection des renseignements personnels a été effectuée pour cerner les possibles risques d’atteinte à la vie privée ou les problèmes de conformité associés au traitement des renseignements personnels, car la nouvelle politique du programme de prestations d’invalidité du PRC entraînera une révision des procédures de traitement des renseignements personnels qui aura une incidence directe sur les personnes dans cette situation. Cette analyse a mis en lumière un risque faible et un risque moyen. Il y avait également 2 problèmes de conformité connexes. Les mesures prises pour résoudre ces problèmes sont documentées dans l’EFVP.

Migration et conservation des données dans le cadre de la campagne de conformité aux exigences de quarantaine en cas de COVID‑19 de l’Agence de la santé publique du Canada

EDSC a aidé l’Agence de la santé publique du Canada (ASPC) à mettre en place un centre d’appels à des fins de suivi et de conformité dans le cadre de la campagne de conformité aux exigences de quarantaine pendant la pandémie. Pour ce faire, EDSC a tiré parti d’un contrat existant avec un organisme tiers pour fournir les services de centre d’appels. La date d’expiration de l’arrêté était le 30 septembre 2022, ce qui signifie que toutes les données recueillies par l’organisme tiers dans le cadre des services de centre d’appels doivent être transférées à EDSC et être conservées par ce dernier.

Une analyse de la protection des renseignements personnels a été effectuée pour cerner les risques d’atteinte à la vie privée que pourraient soulever la migration et la conservation de renseignements personnels. Cette analyse a mis en lumière un risque faible, mais aucun problème de conformité.

Rachat de prêts d’études auprès d’institutions financières dans le cadre du Programme canadien d’aide financière aux étudiants

Le Programme canadien d’aide financière aux étudiants procède au rachat de prêts d’études admissibles auprès d’institutions financières. Cela entraînera le transfert des renseignements personnels sur les emprunteurs au tiers fournisseur de services du Programme canadien d’aide financière aux étudiants, c’est‑à‑dire le Centre de service national de prêts aux étudiants.

Une analyse de la protection des renseignements personnels a été effectuée pour cerner les risques d’atteinte à la vie privée associés au transfert de renseignements personnels dans le cadre du rachat de prêts en cours à des institutions financières par EDSC. L’EFVP a permis de cerner un risque moyen et un problème de conformité. Les stratégies d’atténuation de ce risque et de résolution de ce problème devraient être en œuvre d’ici août 2024.

Centre du savoir sur les prestations

L’entrepôt de données du Centre du savoir sur les prestations (CSP) est un ensemble de données fusionnées provenant de multiples sources. Il comble un besoin du Ministère, c’est‑à‑dire trouver, utiliser et comprendre des données lui permettant de répondre à des questions clés et de prendre des décisions fondées sur des données probantes. Le CSP génère des rapports et des analyses portant sur les résultats rattachés aux programmes et aux services, notamment à l’égard de prestations qui ont été mises en place rapidement.

Une APRPSTI a été menée dans le but d’examiner les risques d’atteinte à la vie privée et les mesures d’atténuation connexes en ce qui touche à la gestion et à la protection des renseignements personnels qui entrent dans le CSP, y circulent et en sortent. Plusieurs risques moyens ainsi que 2 risques non significatifs ont été relevés. Les stratégies d’atténuation de ces risques devraient être en œuvre d’ici la fin de l’exercice 2023 à 2024.

Solution de suivi des dossiers de la Division de l’expertise médicale du Programme de prestations d’invalidité du Régime de pensions du Canada

Lorsqu’une demande de prestations d’invalidité du RPC est rejetée à l’étape initiale et lors du réexamen par Service Canada, le demandeur peut interjeter appel de cette décision auprès du Tribunal de la sécurité sociale. Une nouvelle solution de gestion des cas sera utilisée pour que les demandeurs fournissent des renseignements additionnels aux fins d’interjeter appel dans ces dossiers.

Une APRPSTI a été effectuée afin de cerner les risques d’atteinte à la vie privée pouvant être associés au traitement des renseignements personnels dans le cadre de la gestion des cas. L’APRPSTI n’a relevé aucun risque à atténuer ni aucun problème à résoudre. Il est recommandé aux responsables du Programme de consulter la DGPRP pour évaluer toute nouvelle composante ou amélioration de la solution de gestion des dossiers.

Projet d’interface de programmation d’applications – Partie II de la Loi sur l’assurance‑emploi

Le projet d’interface de programmation d’applications (IPA) rattaché à la partie II de la Loi sur l’assurance‑emploi donnera lieu au transfert de renseignements existants rattachés au régime d’assurance-emploi et conservés dans le Système d’information sur les prestations d’assurance‑emploi aux provinces et aux territoires (PT), au moyen de connexions de serveur à serveur. Cette IPA automatisera l’échange sécurisé de données avec les PT, en commençant par la Colombie‑Britannique et l’Ontario. D’autres PT s’ajouteront au fil de 5 vagues.

Une APRPSTI a été effectuée pour cerner les risques d’atteinte à la vie privée que peut soulever la solution d’IPA, celle‑ci se limitant à l’automatisation des échanges de données avec les PT. Cette analyse a mis en lumière 2 risques de faible niveau.

Addenda à l’analyse de la protection des renseignements personnels pour les solutions de TI concernant le processus de notification poussée pour les demandes de numéro d’assurance sociale électronique

En raison de la pandémie de COVID-19, le programme du NAS de la Direction générale des services d’intégrité d’EDSC a mis en œuvre un formulaire électronique libre‑service pour remplacer les services en personne. Le présent addenda à l’APRPSTI concernant le numéro d’assurance sociale électronique (NASe) traite de la collecte et de l’utilisation optionnelles des adresses de courriel des demandeurs pour l’activation du processus de notification poussée par courriel.

L’addenda à l’EFVP initiale a pour but de cerner les risques d’atteinte à la vie privée associés à la collecte de renseignements personnels auprès des clients qui soumettent les divers documents requis sur la plateforme de demande de NASe. L’analyse de la protection des renseignements personnels n’a révélé aucun risque nouveau ou additionnel associé à la nouvelle collecte d’adresses de courriel ou aux activités entourant les notifications poussées.

Plateforme de qualité intégrée

La Plateforme de qualité intégrée combine 3 programmes d’assurance de la qualité d’EDSC. Le programme Vérification de l’exactitude du paiement, le programme d’excellence du traitement au chapitre de l’exactitude et de la qualité, et le programme de rétroaction individuelle, qui fait partie du Programme d’assurance de la qualité des évaluations médicales, ont été intégrés en un seul système afin d’améliorer la qualité et la rapidité des services aux clients grâce à une exactitude accrue des paiements et du traitement.

Une APRPSTI a été effectuée pour déterminer les possibles risques d’atteinte à la vie privée associés au programme de rétroaction individuelle, en raison du traitement de renseignements personnels de nature délicate à des fins d’assurance de la qualité. L’APRPSTI a permis de cerner un risque moyen et un problème de conformité.

Système de téléversement de documents d’enquête d’intégrité

Le Système de téléversement de documents d’enquête d’intégrité a été mis au point par EDSC par suite de la fermeture des centres Service Canada et des restrictions instaurées en raison de la COVID‑19. Grâce à ce système, les clients ont accès à un portail Web public et peuvent téléverser des documents en toute sécurité.

Une APRPSTI a été effectuée pour déterminer les risques d’atteinte à la vie privée associés à la nouvelle méthode de collecte de renseignements personnels par l’entremise du Système. Cette analyse a révélé certains risques moyens et un risque faible.

Analyse de la protection des renseignements personnels pour les solutions de TI portant sur l’Outil de vérification de l’état des demandes de passeport

L’Outil de vérification de l’état des demandes de passeport a été lancé par Service Canada (qui fait partie d’EDSC), en collaboration avec Immigration, Réfugiés et Citoyenneté Canada. Ce projet, réalisé dans le cadre du Programme de passeport, permet aux personnes qui soumettent une demande de passeport d’obtenir leur numéro de dossier et de vérifier l’état de leur demande de passeport en ligne.

La Division de la gestion de la protection des renseignements personnels d’EDSC et les responsables de la protection des renseignements personnels à Immigration, Réfugiés et Citoyenneté Canada ont aidé à effectuer cette APRPSTI afin de cerner les risques pour la protection des renseignements personnels pouvant être associés à l’Outil. L’analyse a mis en lumière certains risques faibles et un risque moyen. De plus, 2 problèmes de conformité ont été relevés. Les stratégies d’atténuation de ces risques et de résolution de ces problèmes devraient être en œuvre d’ici la fin du mois de mars 2024.

Addenda à l’analyse de la protection des renseignements personnels pour les solutions de TI concernant l’automatisation de processus liés aux pensions – Utilisation du logiciel Automation Anywhere, automatisation des processus par la robotique aux fins du projet d’automatisation des processus liés aux pensions

Une nouvelle solution d’automatisation est mise en œuvre à l’appui du projet d’automatisation des processus liés aux pensions. Il s’agit du logiciel infonuagique commercial Automation Anywhere. Les clients fournissent des renseignements personnels aux fins de leurs demandes liées au RPC et à la SV. Les renseignements reçus seront traités au moyen d’un logiciel d’automatisation des processus par la robotique, qui remplacera le traitement manuel par un agent.

La raison de cet addenda à l’APRPSTI initiale est qu’un nombre important de dossiers seront traités au moyen de cette solution d’automatisation des processus par la robotique, ce qui supposera la prise de décisions administratives qui touchent directement des personnes. L’analyse n’a révélé aucun risque à atténuer ni aucun problème à résoudre.

Centre de contact virtuel de Rogers

Service Canada (qui fait partie d’EDSC) a incorporé une solution d’enregistrement d’appels et d’écrans au système du Centre de contact virtuel de Rogers à l’intention des centres de contact du Programme canadien d’aide financière aux étudiants et du Programme canadien pour l’épargne‑études. Cette solution offre des capacités comme l’acheminement des appels, la réponse vocale interactive, le traitement des appels, la gestion de l’effectif, la gestion de la qualité et la production de rapports.

Une APRPSTI a été effectuée pour cerner les risques liés à la protection des renseignements personnels pouvant découler de la mise en œuvre des fonctionnalités d’enregistrement d’appels et d’écrans au Centre de contact virtuel de Rogers à des fins de formation et d’assurance de la qualité. On a ainsi pu cerner des risques moyens et un problème de conformité. Les stratégies d’atténuation sont en cours de mise en œuvre.

Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant le Service de vérification de la conformité de Service Canada pour l’Agence de la santé publique du Canada pendant la pandémie de COVID‑19 (ASPC 4.0)

Pendant la pandémie de COVID-19, on a modifié le Service de vérification de la conformité de Service Canada pour l’ASPC afin d’aider l’Agence à communiquer avec un plus grand nombre de voyageurs. EDSC et Service Canada continuent de fournir des services dans le cadre de la campagne de conformité aux exigences de quarantaine en cas de COVID‑19 menée par l’ASPC, apportant des modifications à leurs services aux fins de déterminer si les voyageurs respectent les lignes directrices relatives aux voyages. On a effectué une évaluation de la conformité en matière de protection des renseignements personnels (ECPRP) afin de cerner et d’évaluer les risques pour la protection des renseignements personnels pouvant découler de la collecte et du traitement de renseignements personnels sur les voyageurs.

Une mise à jour de l’ECPRP initiale a été effectuée pour combler les lacunes relevées par le SCT en novembre 2021, ce qui comprend l’apport de modifications au fichier de renseignements personnels. On n’a relevé aucun nouveau risque d’atteinte à la vie privée ni aucune situation de non‑conformité.

Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant la Prestation d’assurance-emploi d’urgence – Phase 1 – Exécution du programme de la Prestation d’assurance-emploi d’urgence

À la suite de l’adoption de la Loi sur les mesures d’urgence visant la COVID-19 par le gouvernement du Canada, on a conçu des mesures pour fournir un soutien du revenu immédiat aux Canadiens et aider à protéger l’économie des répercussions de la pandémie de COVID-19. EDSC est responsable de la gestion et du traitement des paiements dans le cadre du programme de la Prestation d’assurance-emploi d’urgence.

Une mise à jour de l’ECPRP initiale a été effectuée pour cerner les risques et les situations de non-conformité liés à la protection des renseignements personnels qui pourraient être associés à l’exécution du programme de la Prestation d’assurance-emploi d’urgence. Aucun nouveau risque d’atteinte à la vie privée ni aucun problème de conformité n’ont été relevés.

Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant l’échange de renseignements personnels sur les délinquants entre Emploi et Développement social Canada/Commission de l’assurance‑emploi du Canada et le Service correctionnel du Canada aux fins de l’exécution du programme de la Prestation d’assurance-emploi d’urgence

Dans la foulée de la Loi sur la Prestation canadienne d’urgence, des personnes ont présenté des demandes de soutien du revenu dans le cadre du programme de la Prestation d’assurance-emploi d’urgence, qui relève d’EDSC, ou du programme de la Prestation canadienne d’urgence, qui est exécuté par l’Agence du revenu du Canada. Étant donné que certaines personnes incarcérées étaient admissibles à des prestations tandis que d’autres ne l’étaient pas, un transfert unidirectionnel de données du Service correctionnel du Canada à EDSC/CAEC a été jugé nécessaire pour déterminer si des personnes étaient admissibles ou non. Une entente d’échange de renseignements a été conclue en janvier 2021.

On a donc effectué une mise à jour de l’ECPRP initiale pour déterminer s’il y avait de nouveaux risques liés à la protection des renseignements personnels ou de nouveaux problèmes de conformité découlant de l’échange de renseignements personnels entre EDSC, la CAEC et le Service correctionnel du Canada. L’analyse n’a révélé aucun nouveau risque d’atteinte à la vie privée ou problème de conformité à intégrer à l’évaluation initiale.

Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant le centre d’appels de la quarantaine

Dans le but d’appuyer l’ASPC de Santé Canada, les agents de contrôle désignés téléphonent aux voyageurs qui rentrent au Canada afin de recueillir des renseignements et de vérifier le respect des nouvelles mesures annoncées par le gouvernement du Canada.

Une mise à jour de l’ECPRP initiale a été effectuée pour combler certaines lacunes relevées par le SCT en novembre 2021. L’analyse n’a révélé aucun nouveau risque d’atteinte à la vie privée ni aucune situation de non‑conformité se rapportant à la collecte, à l’utilisation ou à la divulgation des renseignements personnels de clients.

Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant le Service de vérification de la conformité de Service Canada pour l’Agence de la santé publique du Canada pendant la pandémie de COVID‑19 (ASPC 2.0 et 3.0)

Les campagnes 2.0 et 3.0 de l’ASPC ont été lancées en juillet 2020, et Service Canada a fait appel à un entrepreneur pour fournir des services de centre d’appels, notamment des services de réponse vocale interactive, des fonctionnalités de composition robotisée à des fins de promotion et les appels sortants d’agents en direct. Les agents de Service Canada ne font plus d’appels sortants. Service Canada est maintenant l’autorité contractante et fournit les services de gestion des fournisseurs.

Une mise à jour de l’ECPRP initiale permet de combler les lacunes relevées par le SCT en novembre 2021. On n’a relevé aucun autre risque d’atteinte à la vie privée ni aucune situation de non‑conformité.

Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant la solution de validation simplifiée de l’identité numérique

La solution de validation simplifiée de l’identité numérique offrira une fonctionnalité d’authentification multifacteur en temps réel qui permettra d’améliorer le service reposant sur la Solution de cyber‑authentification d’entreprise d’EDSC. La validation simplifiée de l’identité numérique représentera une autre solution pour les utilisateurs qui ont oublié les réponses à leurs questions de sécurité et dont le compte se retrouve verrouillé.

Une mise à jour de l’ECPRP a été effectuée pour combler les lacunes de l’ECPRP initiale qui avaient été relevées par le SCT. Cette mise à jour de l’ECPRP n’a mis en lumière aucun autre risque lié à la protection des renseignements personnels ni aucun problème de conformité.

Annexe C : Rapport statistique d’EDSC sur la Loi sur la protection des renseignements personnels, 2022 à 2023

Rapport statistique d’EDSC sur la Loi sur la protection des renseignements personnels, 2022 à 2023

Nom de l’institution : Emploi et Développement social Canada

Période de rapport : De 2022-04-01 à 2023-03-31

Section 1 Demandes présentées au titre de la Loi sur la protection des renseignements personnels

1.1 Nombre de demandes reçues
Détails Nombre de demandes
Reçues pendant la période d’établissement de rapport 20 964
En suspens à la fin de la période d’établissement de rapport précédente
En suspens à la fin de la période d’établissement de rapport précédente (1 974)
En suspens pour plus d’une période d’établissement de rapport (14)
1 988
Total 22 952
Fermées pendant la période d’établissement de rapport 21 321
Reportées à la prochaine période d’établissement de rapport
Reportées à la prochaine période d’établissement de rapport dans les délais prévus par la Loi (1 525)
Reportées à la prochaine période d’établissement de rapport au-delà des délais prévus par la Loi (106)
1 631
1.2 Mode des demandes
Mode Nombre de demandes
En ligne 7 371
Courriel 2 570
Poste 5 415
En personne 16
Téléphone 16
Télécopieur 5 576
Total 20 964

Section 2 Demandes informelles

2.1 Nombre de demandes informelles
Détail Nombre de demandes
Reçues pendant la période d’établissement de rapport 6 729
En suspens à la fin de la période d’établissement de rapport précédente
En suspens à la fin de la période d’établissement de rapport précédente (0)
En suspens pour plus d’une période d’établissement de rapport (1 493)
1 493
Total 8 222
Fermées pendant la période d’établissement de rapport 6 425
Reportées à la prochaine période d’établissement de rapport 1 797
2.2 Mode des demandes informelles
Mode Nombre de demandes
En ligne 898
Courriel 193
Poste 3 902
En personne 3
Téléphone 21
Télécopieur 1 712
Total 6 729
2.3 Délai de traitement pour les demandes informelles
1 à 15 jours 16 à 30 jours 31 à 60 jours 61 à 120 jours 121 à 180 jours 181 à 365 jours Plus de 365 jours Total
1 941 1 368 189 690 1 033 1 191 13 6 425
2.4 Pages communiquées informellement
Moins de 100 pages communiquées De 100 à 500 pages communiquées De 501 à 1 000 pages communiquées De 1 001 à 5 000 pages communiquées Plus de 5 000 pages communiquées
Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées
4 731 96 702 1 514 307 694 110 75 485 70 124 628 0 0

Section 3 Demandes fermées pendant la période d’établissement de rapport

3.1 Disposition et délai de traitement
demandes Délai de traitement
Disposition des demandes 1 à 15 jours 16 à 30 jours 31 à 60 jours 61 à 120 jours 121 à 180 jours 181 à 365 jours Plus de 365 jours Total
Communication totale 537 1,476 604 345 6 0 1 2 969
Communication partielle 1 859 4 447 4 460 2 830 21 13 3 13 633
Exception totale 0 2 0 0 0 13 0 2
Exclusion totale 0 0 0 0 0 0 0 0
Aucun document n’existe 1 389 1 481 542 122 4 1 0 3 539
Demande abandonnée 737 329 88 18 4 2 0 1 178
Ni confirmée ni infirmée 0 0 0 0 0 0 0 0
Total 4 522 7 735 5 694 3 315 35 16 4 21 321
3.2 Exceptions
Article Nombre de demandes
18(2) 0
19(1)(a) 0
19(1)(b) 0
19(1)(c) 0
19(1)(d) 0
19(1)(e) 0
19(1)(f) 0
20 0
21 0
22(1)(a)(i) 1
22(1)(a)(ii) 0
22(1)(a)(iii) 0
22(1)(b) 64
22(1)(c) 0
22(2) 0
22.1 0
22.2 0
22.3 0
22.4 0
23(a) 0
23(b) 0
24(a) 0
24(b) 0
25 9
26 13 486
27 73
27.1 0
28 2
3.3 Exclusions
Article Nombre de demandes
69(1)(a) 0
69(1)(b) 0
69.1 0
70(1) 0
70(1)(a) 0
70(1)(b) 0
70(1)(c) 0
70(1)(d) 0
70(1)(e) 0
70(1)(f) 0
70.1 0
3.4 Format des documents communiqués
Papier Électronique Autres
Document électronique Ensemble de données Vidéo Audio
8,900 7 768 0 0 5 0

3.5 Complexité

3.5.1 Pages pertinentes traitées et communiquées en formats papier et document électronique
Nombre de pages traitées Nombre de pages communiquées Nombre de demandes
1 837 744 1 738 097 17 782
3.5.2 Pages pertinentes traitées en fonction de l’ampleur des demandes en formats papier et document électronique par disposition des demandes
Disposition Moins de 100 pages traitées 100 à 500 pages traitées 501 à 1 000 pages traitées 1 001 à 5 000 pages traitées Plus de 5 000 pages traitées
Nombre de demandes Pages traitées Nombre de demandes Pages traitées Nombre de demandes Pages traitées Nombre de demandes Pages traitées Nombre de demandes Pages traitées
Communication totale 2 863 29 168 102 17 655 2 1 136 2 3 741 0 0
Communication partielle 8 518 339 574 4 669 924 870 297 202 414 141 251 070 8 63 442
Exception totale 0 0 0 0 2 1,163 0 0 0 0
Exclusion totale 0 0 0 0 0 0 0 0 0 0
Demande abandonnée 1 166 1 123 12 2 388 0 0 0 0 0 0
Ni confirmée ni infirmée 0 0 0 0 0 0 0 0 0 0
Total 12 547 369 865 4 783 944 913 301 204 713 143 254 811 8 63 442
3.5.3 Minutes pertinentes traitées et communiquées en format audio
Nombre de minutes traitées Nombre de minutes communiquées Nombre de demandes
265 0 5
3.5.4 Minutes pertinentes traitées en fonction de l’ampleur des demandes en format audio par dispositions des demandes
Disposition Moins de 60 minutes traitées 60à120 minutes traitées Plus de 120 minutes traitées
Nombre de demandes Minutes traitées Nombre de demandes Minutes traitées Nombre de demandes Minutes traitées
Communication totale 1 74 0 0 0 0
Communication partielle 4 191 0 0 0 0
Exception totale 0 0 0 0 0 0
Exclusion totale 0 0 0 0 0 0
Demande abandonnée 0 0 0 0 0 0
Ni confirmée ni infirmée 0 0 0 0 0 0
Total 5 265 0 0 0 0
3.5.5 Minutes pertinentes traitées et communiquées en format vidéo
Nombre de minutes traitées Nombre de minutes communiquées Nombre de demandes
0 0 0
3.5.6 Minutes pertinentes traitées en fonction de l’ampleur des demandes en format vidéo par dispositions des demandes
Disposition Moins de 60 minutes traitées 60 à 120 minutes traitées Plus de 120 minutes traitées
Nombre de demandes Minutes traitées Nombre de demandes Minutes traitées Nombre de demandes Minutes traitées
Communication totale 0 0 0 0 0 0
Communication partielle 0 0 0 0 0 0
Exception totale 0 0 0 0 0 0
Exclusion totale 0 0 0 0 0 0
Demande abandonnée 0 0 0 0 0 0
Ni confirmée ni infirmée 0 0 0 0 0 0
Total 0 0 0 0 0 0
3.5.7 Autres complexités
Disposition Consultation requise Avis juridique Renseignements entremêlés Autres Total
Communication totale 0 0 0 0 0
Communication partielle 0 0 0 0 0
Exception totale 0 0 0 0 0
Exclusion totale 0 0 0 0 0
Demande abandonnée 0 0 0 0 0
Ni confirmée ni infirmée 0 0 0 0 0
Total 0 0 0 0 0

3.6 Demandes fermées

3.6.1 Nombre de demandes fermées dans les délais prévus par la Loi
Détail Nombre de demandes fermées dans les délais prévus par la Loi
Nombre de demandes fermées dans les délais prévus par la Loi 15 098
Pourcentage des demandes fermées dans les délais prévus par la Loi (%) 70,8

3.7 Présomptions de refus

3.7.1 Motifs du non-respect des délais prévus par la Loi
Nombre de demandes fermées au-delà des délais prévus par la Loi Motif principal
Entrave au fonctionnement / Charge de travail Consultation externe Consultation interne consultation Autres
6 223 6 205 1 1 16
3.7.2 Demandes fermées au-delà des délais prévus par la Loi (y compris toute prolongation prise)
Nombre de jours au-delà des délais prévus par la Loi Nombre de demandes fermées au-delà des délais prévus par la Loi où aucune prolongation n’a été prise Nombre de demandes fermées au-delà des délais prévus par la Loi où une prolongation a été prise Total
1 à 15 jours 1 937 44 1 981
16 à 30 jours 1,219 9 1 228
31 à 60 jours 2 846 3 2 849
61 à 120 jours 131 4 135
121 à 180 jours 14 1 15
181 à 365 jours 7 4 11
Plus de 365 jours 4 0 4
Total 6 158 65 6 223
3.8 Demandes de traduction
Demandes de traduction Acceptées Refusées Total
De l’anglais au français 0 0 0
Du français à l’anglais 0 0 0
Total 0 0 0
Section 4 Communications en vertu des paragraphes 8(2) et 8(5)
Alinéa 8(2)e) Alinéa 8(2)m) Paragraphe 8(5) Total
0 0 0 0
Section 5 Demandes de correction de renseignements personnels et mentions
Disposition des demandes de correction reçues Nombre
Mentions annexées 4
Demandes de correction acceptées 1
Total 5

Section 6 Prorogations

6.1 Motifs des prorogations
Nombre de demandes pour lesquelles une prorogation a été prise 15(a)(i) Entrave au fonctionnement de l’institution 15 (a)(ii) Consultation 15(b) Traduction ou cas de transfert sur support de substitution
Examen approfondi nécessaire pour déterminer les exceptions Grand nombre de pages Grand volume de demandes Les documents sont difficiles à obtenir Document confidentiel du Cabinet (article 70) Externe Interne
1 304 0 0 1 285 0 0 0 16 3
6.2 Durée des prorogations
Durée des prorogations 15(a)(i) Entrave au fonctionnement de l’institution 15 (a)(ii) Consultation 15(b) Traduction ou cas de transfert sur support de substitution
Examen approfondi nécessaire pour déterminer les exceptions Grand nombre de pages Grand volume de demandes Les documents sont difficiles à obtenir Documents confidentiels du Cabinet (article 70) Externe Interne
1 à 15 jours 0 0 0 0 0 0 1 0
16 à 30 jours 0 0 1 285 0 1 0 16 3
Plus de 31 jours
Total 0 0 1 285 0 1 0 19 1

Section 7 Demandes de consultation reçues d’autres institutions et organisations

7.1 Demandes de consultation reçues d’autres institutions du gouvernement du Canada et autres organisations
Consultations Autres institutions du gouvernement du Canada Nombre de pages à traiter Autres organisations Nombre de pages à traiter
Reçues pendant la période d’établissement de rapport 11 120 0 0
En suspens à la fin de la période d’établissement de rapport précédente 1 95 0 0
Total 12 215 0 0
Fermées pendant la période d’établissement de rapport 12 215 0 0
Reportées à l’intérieur des délais négociés à la prochaine période d’établissement de rapport 0 0 0 0
Reportées au-delà des délais négociés à la prochaine période d’établissement de rapport 0 0 0 0
7.2 Recommandations et délai de traitement pour les demandes de consultation reçues d’autres institutions du gouvernement du Canada
Recommandation Nombre de jours requis pour traiter les demandes de consultation
1 à 15 jours 16 à 30 jours 31 à 60 jours 61 à 120 jours 121 à 180 jours 181 à 365 jours Plus de 365 jours Total
Communiquer en entier 3 1 2 0 0 0 0 6
Communiquer en partie 0 0 2 0 0 0 0 2
Exempter en entier 0 0 0 0 0 0 0 0
Exclure en entier 0 0 0 0 0 0 0 0
Consulter une autre institution 0 0 0 0 0 0 0 0
Autre 2 2 0 0 0 0 0 4
Total 5 3 4 0 0 0 0 12
7.3 Recommandations et délai de traitement pour les demandes de consultation reçues d’autres organisations
Recommandation Nombre de jours requis pour traiter les demandes de consultation
1 à 15 jours 16 à 30 jours 31 à 60 jours 61 à 120 jours 121 à 180 jours 181 à 365 jours Plus de 365 jours Total
Communiquer en entier 0 0 0 0 0 0 0 0
Communiquer en partie 0 0 0 0 0 0 0 0
Exempter en entier 0 0 0 0 0 0 0 0
Exclure en entier 0 0 0 0 0 0 0 0
Consulter une autre institution 0 0 0 0 0 0 0 0
Autre 0 0 0 0 0 0 0 0
Total 0 0 0 0 0 0 0 0

Section 8 Délais de traitement des demandes de consultation sur les documents confidentiels du Cabinet

8.1 Demandes auprès des services juridiques
Nombre de jours Moins de 100 pages traitées De 100 à 500 pages traitées De 501 à 1 000 pages traitées De 1 001 à 5 000 pages traitées Plus de 5 000 pages traitées
Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées
1 à 15 0 0 0 0 0 0 0 0 0 0
16 à 30 0 0 0 0 0 0 0 0 0 0
31 à 60 0 0 0 0 0 0 0 0 0 0
61 à 120 0 0 0 0 0 0 0 0 0 0
121 à 180 0 0 0 0 0 0 0 0 0 0
181 à 365 0 0 0 0 0 0 0 0 0 0
Plus de 365 0 0 0 0 0 0 0 0 0 0
Total 0 0 0 0 0 0 0 0 0 0
8.2 Demandes auprès du Bureau du Conseil privé
Nombre de jours Moins de 100 pages traitées De 100 à 500 pages traitées De 501 à 1 000 pages traitées De 1 001 à 5 000 pages traitées Plus de 5 000 pages traitées
Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées Nombre de demandes Pages communiquées
1 à 15 0 0 0 0 0 0 0 0 0 0
16 à 30 0 0 0 0 0 0 0 0 0 0
31 à 60 0 0 0 0 0 0 0 0 0 0
61 à 120 0 0 0 0 0 0 0 0 0 0
121 à 180 0 0 0 0 0 0 0 0 0 0
181 à 365 0 0 0 0 0 0 0 0 0 0
Plus de 365 0 0 0 0 0 0 0 0 0 0
Total 0 0 0 0 0 0 0 0 0 0
Section 9 Avis de plaintes et d’enquêtes reçus
Article 31 Article 33 Article 35 Recours judiciaire Total
27 21 26 0 74

Section 10 Évaluations des facteurs relatifs à la vie privée et des Fichiers de renseignements personnels

10.1 Évaluations des facteurs relatifs à la vie privée (ÉFVP)
Nombre d’ÉFVP terminées 19
Nombre d’ÉFVP modifiées 3
10.2 Fichiers de renseignements personnels spécifiques à l’institution et centraux
Fichiers de renseignements personnels Actifs Créés Supprimés Modifiés
Spécifiques à l’institution 65 0 0 5
Centraux 0 0 0 0
Total 65 0 0 5

Section 11 Atteintes à la vie privée

11.1 Atteintes substantielles à la vie privée signalée
Nombre d’atteintes substantielles à la vie privée signalées au SCT 193
Nombre d’atteintes substantielles à la vie privée signalées au CPVP 193
11.2 Atteintes à la vie privée signalée non-substantielles
Nombre d’atteintes à la vie privée non-substantielles 1 140

Section 12 Ressources liées à la Loi sur la protection des renseignements personnels

12.1 Coûts répartis
Dépenses Montant
Salaires 7 296 084 $
Heures supplémentaires 272 979 $
Biens et services
Contrats de services professionnels (286 383 $)
Autres (18 187 $)
304 570 $
Total 7 878 533 $
12.2 Ressources humaines
Ressources Années-personnes consacrées aux activités liées à la protection des renseignements personnels
Employés à temps plein 34,246
Employés à temps partiel et occasionnels 0,000
Employés régionaux 61,210
Experts-conseils et personnel d’agence 1,100
Étudiants 1,972
Total 98,493

Rapport statistique supplémentaire sur la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels

Nom de l’institution : Emploi et Développement social Canada

Période de rapport : De 2022-04-01 à 2023-03-31

Section 1 Capacité de recevoir des demandes sous la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels
Capacité Nombre de semaines
Capacité de recevoir des demandes par la poste 52
Capacité de recevoir des demandes par courriel 52
Capacité de recevoir des demandes au moyen du service de demande numérique 52

Section 2 Capacité de traiter les dossiers sous la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels

2.1 Le nombre de semaines pendant lesquelles votre institution a pu traiter des documents papiers à différents niveaux de classification
traiter Ne peut pas traiter Peut traiter en partie Peut traiter en totalité Total
Documents papiers non classifiés 0 0 52 52
Documents papiers Protégé B 0 0 52 52
Documents papiers Secret et Très secret 0 0 52 52
2.2 Le nombre de semaines pendant lesquelles votre institution a pu traiter des documents électroniques à différents niveaux de classification
traiter Ne peut pas traiter Peut traiter en partie Peut traiter en totalité Total
Documents électroniques non classifiés 0 0 52 52
Documents électroniques Protégé B 0 0 52 52
Documents électroniques Secret et Très secret 0 0 52 52

Section 3 Demandes ouvertes et plaintes en vertu de la Loi sur l’accès à l’information

3.1 Le nombre de demandes ouvertes qui sont en suspens depuis des périodes de rapport précédentes
Exercice financier au cours duquel les demandes ouvertes ont été reçues Demandes ouvertes dans les délais prescrits par la Loi en date du 31 mars 2022 Demandes ouvertes dépassant les délais prescrits par la Loi en date du 31 mars 2022 Total
Reçues en 2022 à 2023 189 115 304
Reçues en 202 à 2022 7 70 77
Reçues en 2020 à 2021 4 55 59
Reçues en 2019 à 2020 5 33 38
Reçues en 2018 à 2019 0 8 8
Reçues en 2017 à 2018 0 4 4
Reçues en 2016 à 2017 0 1 1
Reçues en 2015 à 2016 ou plus tôt 0 0 0
Total 205 286 491
3.2 Le nombre de plaintes ouvertes auprès du Commissaire à l’information du Canada qui sont en suspens depuis des périodes de rapport précédentes.
Exercice financier au cours duquel les plaintes ouvertes ont été reçues par institution Nombre de plaintes ouvertes
Reçues en 2022 à 2023 0
Reçues en 2021 à 2022 10
Reçues en 2020 à 2021 0
Reçues en 2019 à 2020 0
Reçues en 2018 à 2019 0
Reçues en 2017 à 2018 0
Reçues en 2016 à 2017 0
Reçues en 2015 à 2016 0
Reçues en 2014 à 2015 0
Reçues en 2013 à 2014 ou plus tôt 0
Total 10

Section 4: Demandes ouvertes et plaintes en vertu de la Loi sur la protection des renseignements personnels

4.1 Le nombre de demandes ouvertes qui sont en suspens depuis des périodes de rapport précédentes
Exercice financier au cours duquel les demandes ouvertes ont été reçues Demandes ouvertes dans les délais prescrits par la Loi en date du 31 mars 2023 Demandes ouvertes dépassant les délais prescrits par la Loi en date du 31 mars 2023 Total
Reçues en 2022 à 2023 1 523 79 1 602
Reçues en 2021 à 2022 2 16 18
Reçues en 2020 à 2021 0 8 8
Reçues en 2019 à 2020 0 2 2
Reçues en 2018 à 2019 0 0 0
Reçues en 2017 à 2018 0 1 1
Reçues en 2016 à 2017 0 0 0
Reçues en 2015 à 2016 0 0 0
Reçues en 2014 à 2015 0 0 0
Reçues en 2013 à 2014 ou plus tôt 0 0 0
Total 1 525 106 1 631
4.2 Le nombre de plaintes ouvertes auprès du Commissaire à la protection de la vie privée du Canada qui sont en suspens depuis des périodes de rapport précédentes
Exercice financier au cours duquel les plaintes ouvertes ont été reçues par institution Nombre de plaintes ouvertes
Reçues en 2022 à 2023 11
Reçues en 2021 à 2022 9
Reçues en 2020 à 2021 2
Reçues en 2019 à 2020 0
Reçues en 2018 à 2019 0
Reçues en 2017 à 2018 0
Reçues en 2016 à 2017 2
Reçues en 2015 à 2016 0
Reçues en 2014 à 2015 0
Reçues en 2013 à 2014 ou plus tôt 1
Total 25
Section 5 : Numéro d’assurance social (NAS)
Votre institution a-t-elle reçu l’autorisation de procéder à une nouvelle collecte ou à une nouvelle utilisation cohérente du NAS en 2021 à -2022? Oui
Section 6 : Accès universel sous la Loi sur la protection des renseignements personnels
Combien de demandes ont été reçues de la part de ressortissants étrangers confirmés en dehors du Canada en 2022 à 2023? 0

Détails de la page

Date de modification :