Rapport annuel sur l’application de la Loi sur la protection des renseignements personnels
Sur cette page
- Examen de l’exercice 2022 à 2023 d’EDSC en ce qui concerne la protection des renseignements personnels
- 1. Introduction
- 2. Contexte organisationnel
- 3. Régime de protection des renseignements personnels d’EDSC
- 4. Politiques, procédures et initiatives
- 5. Aperçu du rendement
- 6. Plaintes, enquêtes et recours judiciaires
- 7. Divulgations d’intérêt public
- 8. Atteintes substantielles à la vie privée
- 9. Activités de formation et de sensibilisation
- Annexe A : Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels
- Annexe B : Sommaire des évaluations des facteurs relatifs à la vie privée qui ont été réalisées
- Annexe C : Rapport statistique d’EDSC sur la Loi sur la protection des renseignements personnels en 2022 à 2023
Liste des figures
- Figure 1 : Demandes en vertu de la Loi sur la protection des renseignements personnels – volume total reçu
- Figure 2 : Demandes de consultation en vertu de la Loi sur la protection des renseignements personnels – volume total reçu
- Figure 3 : Demandes reçues et traitées
- Figure 4 : Demandes en vertu de la Loi sur la protection des renseignements personnels par nombre de jours civils de traitement
- Figure 5 : Nombre de demandes en vertu de la Loi sur la protection des renseignements personnels traitées dans les délais prévus par la loi ou au-delà de ceux-ci
- Figure 6 : Nombre de pages traitées et divulguées, Loi sur la protection des renseignements personnels
Liste des tableaux
- Tableau 1 : Résumé des demandes en vertu de la Loi sur la protection des renseignements personnels
- Tableau 2 : Nombre de demandes en vertu de la Loi sur la protection des renseignements personnels pour lesquelles une prorogation a été accordée
- Tableau 3 : Nombre de demandes actives en suspens depuis une période de rapport précédente
- Tableau 4 : Nombre de demandes et pourcentage du total des exceptions
- Tableau 5 : Demandes de consultation reçues d’autres institutions du gouvernement du Canada et d’autres organismes – Loi sur la protection des renseignements personnels
- Tableau 6 : Plaintes, enquêtes et recours judiciaires, 2022 à 2023
- Tableau 7 : Nombre de divulgations selon le motif
- Tableau 8 : Description des atteintes substantielles à la vie privée et des plans d’action
Examen de la protection des renseignements personnels à Emploi et Développement social Canada, exercice 2022 à 2023
Emploi et Développement social Canada (EDSC) détient l’un des plus importants fonds de renseignements personnels du gouvernement du Canada, et la protection de ces renseignements est une priorité absolue. Le Ministère exécute bon nombre des programmes et services sociaux les plus cruciaux de l’administration fédérale, notamment le régime d’assurance-emploi, le numéro d’assurance sociale (NAS), le Registre d’assurance sociale, la Sécurité de la vieillesse (SV), le Supplément de revenu garanti (SRG), le Régime de pensions du Canada (RPC), le Programme canadien de prêts aux étudiants, et la formation axée sur les compétences et l’emploi. Ces programmes nécessitent la collecte, l’utilisation et la divulgation de grandes quantités de renseignements personnels détaillés et souvent de nature délicate.
Pour s’acquitter de son mandat, EDSC met régulièrement des renseignements personnels à la disposition d’un grand nombre de partenaires et d’intervenants, ce qui inclut d’autres ministères fédéraux ainsi que des gouvernements provinciaux, territoriaux et étrangers. Ces divulgations sont effectuées à de nombreuses fins : l’exécution des programmes, la détermination de l’admissibilité aux prestations et aux programmes fédéraux et provinciaux, l’authentification des personnes, la gestion de l’identité, la recherche et la production de statistiques, les opérations d’intégrité et les instances judiciaires. La gestion de ces relations se fait grâce à des centaines d’ententes d’échange de renseignements personnels.
EDSC est déterminé à garantir la protection des renseignements personnels dans le cadre de son engagement envers la population canadienne.
Protection des renseignements personnels et contexte opérationnel d’EDSC
Pendant la période visée par le rapport, 3 grands facteurs ont influé sur la gestion de la protection des renseignements personnels par EDSC :
- la transformation numérique entraîne une modification de la manière dont les renseignements personnels sont utilisés et gérés, ce qui inclut le secteur public fédéral. Les personnes s’attendent de plus en plus à interagir avec les institutions fédérales par voie numérique pour des raisons de commodité. Par conséquent, EDSC a poursuivi ses efforts afin de donner suite aux attentes des Canadiens et de moderniser les services qu’il offre ainsi que ses approches de prestation. Le recours accru à la gestion numérique des programmes et des données ainsi qu’aux fonctionnalités d’identification et d’authentification électroniques permet d’améliorer les services et de les rendre plus conviviaux pour les Canadiens. La gestion rigoureuse des renseignements personnels sous le contrôle d’EDSC exige une intendance diligente et une grande vigilance, ce qui inclut la lutte contre les menaces et les risques en matière de cybersécurité.
- vers la fin de 2023, le Ministère a entrepris l’instauration du modèle de travail hybride commun du Conseil du Trésor, qui permet aux employés de combiner le travail sur place et à distance. Grâce aux investissements dans l’infrastructure électronique et aux nouveaux processus élaborés, la transition a été harmonieuse, sans interruption des services de protection des renseignements personnels.
- EDSC a continué d’utiliser un modèle d’entreprise décentralisé pour le traitement des demandes de renseignements personnels. Les activités du Ministère s’étendent à l’échelle du pays : Service Canada opère près de 600 points de service en personne, sans compter les centres d’appels nationaux et régionaux ainsi que les options de services numériques disponibles en ligne sur le site Web Canada.ca. Par conséquent, les 4 régions du Ministère jouent un rôle clé pour aider EDSC à respecter ses obligations en matière de traitement des demandes présentées en vertu de la Loi sur la protection des renseignements personnels.
La protection des renseignements personnels dès la conception à EDSC
EDSC gère l’un des régimes de protection des renseignements personnels les plus robustes de toute l’administration fédérale, grâce à son code de protection des renseignements personnels, enchâssé dans sa loi habilitante et à des politiques ministérielles qui viennent s’ajouter aux exigences de la présidente du Conseil du Trésor et aux attentes du Commissariat à la protection de la vie privée (CPVP). L’un des éléments clés de ce régime est l’approche de « respect de la vie privée dès la conception » d’EDSC, qui intègre les considérations relatives à la protection des renseignements personnels à toutes ses activités de gestion de projet ainsi qu’à ses nouvelles propositions de financement.
Le processus d’évaluation des facteurs relatifs à la vie privée d’EDSC débute par une vérification dès les étapes initiales du cycle de vie du projet; il s’agit de déterminer le type d’examen de la protection des renseignements personnels à effectuer. Le Ministère dispose d’un ensemble d’outils d’évaluation adaptés pour s’assurer que le niveau d’attention approprié est accordé à chaque initiative, en tenant compte de la complexité de l’initiative et du degré de sensibilité des renseignements personnels utilisés. Des communications actives et régulières avec le Secrétariat du Conseil du Trésor (SCT) ainsi qu’avec le CPVP permettent de s’assurer que les organismes de surveillance sont informés comme il se doit des risques entourant la protection des renseignements personnels à EDSC et de la façon dont ces risques sont atténués dès le départ.
De plus, EDSC assure un suivi actif des incidents d’atteinte à la vie privée et les signale au CPVP et au SCT. Le nombre d’atteintes à la vie privée demeure bas en proportion du nombre élevé d’opérations exécutées chaque jour. Il est important de surveiller de près les liens entre la protection des renseignements personnels et la cybersécurité, afin que le Ministère soit prêt à parer aux menaces actuelles et futures dans ce domaine.
Traitement des demandes de renseignements personnels
Au cours de la période visée par le rapport, soit l’exercice 2022 à 2023, le nombre de demandes présentées à EDSC en vertu de la Loi sur la protection des renseignements personnels a augmenté de 18 % : près de 21 000 demandes ont été reçues, et plus de 1,8 million de pages ont été traitées. Des progrès ont été accomplis dans l’amélioration des taux de respect des délais visant le retour aux niveaux prépandémiques : de 58 % en 2021 à 2022 à 71 % au cours du dernier exercice. EDSC a pris des mesures pour continuer d’améliorer les résultats à ce chapitre.
Faits saillants et résultats pour 2022 à 2023
- Un nombre record de pages (1 837 744) ont été traitées pour les exceptions et les exclusions au cours du dernier exercice financier, ce qui représente une hausse de 19,6 % par rapport à l’exercice précédent. Au total, 1 738 097 pages ont été divulguées, ce qui représente une hausse de 25,6 % par rapport à l’exercice précédent.
- EDSC a reçu 20 964 demandes en vertu de la Loi sur la protection des renseignements personnels, une augmentation par rapport au total de 17 665 demandes de l’exercice précédent. Un nombre record de demandes ont été traitées, soit 21 321 en 2022 à 2023, par rapport à 17 577 en 2021 à 2022.
- EDSC a effectué ou révisé en profondeur 22 évaluations des facteurs relatifs à la vie privée (EFVP), ce qui représente environ un cinquième du nombre total d’EFVP effectuées par l’ensemble des institutions fédérales au cours du dernier exercice.
- Afin de protéger les renseignements personnels communiqués à d’autres institutions fédérales ou à d’autres administrations, 76 ententes d’échange de renseignements comportant des dispositions sur la protection de la vie privée fondées sur les obligations propres au Ministère ont été rédigées.
- 222 examens initiaux de la protection des renseignements personnels ont été effectués par EDSC à l’égard de programmes, de projets et de logiciels en 2022 à 2023, contre 199 en 2021 à 2022, ce qui représente une hausse de 11,5 %.
- Des examens de la protection des renseignements personnels visant les activités d’analyse des politiques, de recherche et d’évaluation du Ministère touchant des renseignements personnels ont aussi été effectués. Au cours du dernier exercice, 26 examens de ce genre ont été réalisés comparativement à 23 en 2021 à 2022.
Ces résultats ne sont que quelques exemples de la façon dont EDSC appuie de manière proactive l’utilisation et la protection judicieuses des renseignements personnels dans l’un des environnements soulevant le plus de défis à ce chapitre au sein du gouvernement. Les faits, les chiffres et les autres renseignements fournis dans le présent rapport démontrent que les employés d’EDSC déploient de grands efforts au quotidien et agissent de manière responsable et avec diligence afin de maintenir la confiance que les Canadiens leur accordent dans leur fonction d’intendance responsable.
1. Introduction
Présentation du présent rapport
L’article 72 de la Loi sur la protection des renseignements personnels oblige le responsable d’une institution fédérale à soumettre au Parlement un rapport annuel sur l’application de cette Loi à la fin de chaque exercice. Le présent document est le rapport annuel sur l’application de la Loi sur la protection des renseignements personnels au cours de l’exercice 2021 à 2022 déposé au Parlement par EDSC.
EDSC ne fait pas rapport au nom de filiales en propriété exclusive ni d’institutions non opérationnelles.
À propos d’EDSC
EDSC est le ministère fédéral responsable de l’élaboration, de la gestion et de la prestation des programmes et services sociaux. Il a pour mission de bâtir un Canada plus fort et plus inclusif, d’aider les Canadiens à avoir une vie productive et enrichissante, et d’améliorer leur qualité de vie. EDSC comprend 2 grandes entités : le Programme du travail, et Service Canada.
Le Ministère est responsable de l’exécution et de la prestation d’un large éventail de programmes et de services qui ont des retombées sur les Canadiens pendant toute leur vie. Il assure une sécurité du revenu de base aux aînés, fournit un soutien aux chômeurs, aide les étudiants à financer leurs études postsecondaires et appuie les parents qui élèvent de jeunes enfants. Le Programme du travail contribue au bien-être social et économique en favorisant la création de milieux de travail sûrs, sains, équitables et inclusifs et de relations de travail axées sur la coopération dans les industries et milieux de travail sous réglementation fédérale. Chaque année, Service Canada communique avec des millions de Canadiens pour leur offrir un éventail de services et de renseignements gouvernementaux en ligne, au téléphone et en personne.
EDSC est responsable de la conception et de l’exécution ou de la prestation de certains des programmes et services fédéraux les plus connus, notamment :
- la SV;
- le RPC;
- l’assurance-emploi;
- les bourses et prêts d’études canadiens et les prêts canadiens aux apprentis;
- le Programme canadien pour l’épargne-études;
- le Programme de protection des salariés;
- les services de passeport.
Pour l’exercice 2022 à 2023, les dépenses prévues d’EDSC au titre des programmes et des services ont totalisé 89,2 milliards de dollars. De cette somme, 87,6 milliards de dollars ont été affectés à des programmes législatifs de paiements, de subventions et de contributions profitant directement aux Canadiens.
2. Contexte organisationnel
Secrétariat ministériel et chef de la protection des renseignements personnels d’EDSC
Le Secrétariat ministériel est responsable de la publication et de la supervision de la politique de gestion de la protection des renseignements personnels du Ministère. Ses tâches consistent aussi à formuler des conseils et des directives en la matière, et à traiter les demandes de renseignements personnels reçues dans la région de la capitale nationale. Ces activités sont menées par la Division des opérations de l’accès à l’information et de la protection des renseignements personnels (AIPRP) de la Direction générale, avec le soutien fonctionnel des 4 directions générales régionales d’EDSC et de la Division de la gestion de la protection des renseignements personnels (DGPRP).
Le secrétaire ministériel dirige la Direction générale et est le chef de la protection des renseignements personnels (CPRP) désigné d’EDSC. Le CPRP est l’autorité fonctionnelle du Ministère sur toutes les questions de protection des renseignements personnels et dirige la gestion de la protection des renseignements personnels au Ministère. Les responsabilités du CPRP comprennent la formulation de conseils stratégiques sur la politique de protection des renseignements personnels et sur la bonne marche du programme de gestion de la protection des renseignements personnels d’EDSC, ce qui inclut la tenue d’évaluations des risques en matière de protection des renseignements personnels, la surveillance de la conformité aux obligations législatives, la publication de politiques et de normes, et la prestation de services de formation sur la protection des renseignements personnels, autant d’éléments essentiels à la mise en œuvre d’une approche fondée sur le respect de la vie privée dès la conception
Division des opérations de l’accès à l’information et de la protection des renseignements personnels
La Division des opérations de l’AIPRP applique la Loi sur l’accès à l’information et les éléments de la Loi sur la protection des renseignements personnels concernant les demandes reçues en vertu de cette loi pour EDSC. Elle dirige et conseille le traitement de toutes les demandes d’EDSC reçues en vertu de la Loi sur l’accès à l’information, procède à l’examen ligne par ligne des documents demandés en vertu des lois et fournit des séances de formation et de sensibilisation aux employés du Ministère sur l’application de ces lois. Le directeur de la Division est le coordonnateur désigné de l’AIPRP pour EDSC.
La responsabilité du traitement des demandes relatives à la Loi sur la protection des renseignements personnels au sein du ESDC est partagée entre la Division des opérations de l’AIPRP et les 4 directions régionales du Ministère : Atlantique, Ontario, Québec, et Ouest et Territoires. La Division des opérations de l’AIPRP a comme tâche de coordonner les activités d’AIPRP dans les directions générales et les bureaux régionaux d’EDSC, ce qui englobe les activités suivantes :
- répondre aux demandes reçues en vertu de la Loi sur l’accès à l’information;
- répondre à certaines demandes particulières reçues en vertu de la Loi sur la protection des renseignements personnels;
- fournir une orientation fonctionnelle aux régions en ce qui concerne les volets des opérations et de la présentation de rapports de la fonction de protection des renseignements personnels;
- offrir aux employés des séances de formation générale et personnalisée sur l’application des 2 lois.
La Division examine également les publications effectuées conformément au principe du gouvernement ouvert pour s’assurer qu’elles respectent la Loi sur la protection des renseignements personnels.
La Division des opérations de l’AIPRP est composée d’une unité de réception, de plusieurs équipes de traitement des demandes liées à l’AIPRP et d’une petite unité des opérations et des politiques en matière de divulgation proactive. En 2022 à 2023, la Division comptait environ 39 employés. Malgré des difficultés persistantes en matière de ressources, l’équipe a atteint un taux de conformité amélioré tout en assurant le traitement d’un volume record de demandes.
Opérations régionales de protection des renseignements personnels
Les directions générales régionales jouent un rôle clé à l’appui des responsabilités du Ministère en ce qui concerne l’application de la Loi sur la protection des renseignements personnels. Au cours de l’exercice 2022 à 2023, environ 61 employés des régions étaient chargés de traiter les dossiers d’AIPRP. Dans chaque région, un réseau d’agents de liaison et de gestionnaires appuie le traitement des demandes reçues en vertu de la Loi sur la protection des renseignements personnels, et fournit une orientation et des conseils spécialisés directement aux secteurs de programme tout en travaillant conformément à l’orientation de la Division des opérations de l’AIPRP.
Division de la gestion de la protection des renseignements personnels
La DGPRP est le centre d’expertise d’EDSC en matière de politiques de protection des renseignements personnels, et le centre de liaison du Ministère pour les conseils en matière de protection des renseignements personnels. Elle dirige les travaux de mise en œuvre horizontale des politiques et initiatives ministérielles en matière de protection des renseignements personnels, effectue des EFVP et d’autres analyses des risques, et fournit des consignes sur la conformité en matière de protection des renseignements personnels. Ce faisant, la Division adopte une approche de la protection de la vie privée dès la conception, qui intègre les considérations relatives à la protection de la vie privée dès les premiers stades des nouveaux programmes, projets et initiatives. Elle appuie également les travaux de préparation d’ententes et de contrats d’échange de renseignements. La Division répond aux demandes de documents provenant des tribunaux et des organismes d’application de la loi, gère les divulgations de renseignements dans l’intérêt public, joue un rôle clé dans la gestion et la prévention des atteintes à la vie privée, et appuie les activités de formation et de sensibilisation à la protection des renseignements personnels. De plus, la DGPRP fournit des conseils analytiques et stratégiques sur la politique de protection des renseignements personnels au chef désigné de la protection des renseignements personnels et aux cadres supérieurs d’EDSC.
La Division est organisée en 4 groupes fonctionnels, soit une unité de gestion des risques et de politique de protection des renseignements personnels, une unité de services consultatifs et de conformité en matière de protection des renseignements personnels, une unité de divulgations législatives et de gestion des incidents, et une petite équipe de planification et de conseils stratégiques. À la fin de l’exercice 2022 à 2023, la DGPRP comptait 39 employés.
On a aussi fait appel à des consultants au cours de la période visée par le rapport; les services de ces derniers ont représenté au total l’équivalent de 1,1 année‑personne.
Entente de services avec l’Organisation canadienne d’élaboration de normes d’accessibilité
EDSC a conclu un protocole d’entente pour la prestation de services d’accès à l’information et de protection des renseignements personnels avec l’Organisation canadienne d’élaboration de normes d’accessibilité, un organisme fédéral indépendant qui relève du portefeuille du Ministère. L’Organisation, qui a été mise sur pied en vertu de la Loi canadienne sur l’accessibilité, a pour mandat de créer un Canada sans obstacle au plus tard le 1er janvier 2040.
Les services incluent des services de traitement des demandes, des conseils et des statistiques en vue de la préparation des rapports annuels, des fonctions de liaison et des formations. Au besoin, le Ministère fournit des analyses et formule des conseils en ce qui touche les EFVP, les ententes d’échange de renseignements, les divulgations, la passation de marchés, la conformité aux lois et aux politiques, et la gestion des incidents de sécurité.
3. Régime de protection des renseignements personnels d’Emploi et Développement social Canada
Cadre juridique pour la protection des renseignements personnels
EDSC exerce ses activités dans un des régimes de protection des renseignements personnels les plus complexes du gouvernement. Ses obligations légales sont établies dans la Loi sur la protection des renseignements personnels et dans les dispositions sur la protection des renseignements personnels de la Loi sur le ministère de l’Emploi et du Développement social (LMEDS). De plus, étant donné les nombreux efforts de collaboration auxquels EDSC participe pour exécuter des programmes et offrir des services d’envergure nationale, l’interopérabilité juridique avec les organisations du gouvernement du Canada, les provinces et les territoires ainsi que les administrations municipales est toujours une exigence importante.
La Loi sur la protection des renseignements personnels est la loi fédérale qui protège les renseignements personnels des Canadiens, des résidents permanents et des personnes présentes au Canada et qui sont sous le contrôle des institutions du secteur public fédéral. Cette Loi, qui s’inscrit dans la foulée de la Charte des droits et libertés, est un élément fondamental en vue de préserver les intérêts des personnes au Canada au chapitre de la protection des renseignements personnels. Elle énonce un ensemble de règles applicables à la gestion des renseignements personnels par le gouvernement, établissant un cadre qui régit comment les institutions fédérales peuvent recueillir, utiliser, conserver et divulguer des renseignements personnels.
La collecte et l’utilisation de renseignements personnels par les institutions fédérales sont fondées sur une autorité ou une autorisation légale. Les institutions fédérales peuvent seulement recueillir ou utiliser des renseignements personnels ayant un lien suffisamment direct avec les activités et programmes autorisés par la loi.
Les renseignements personnels détenus par une institution fédérale ne peuvent pas être divulgués sans le consentement de la personne concernée, sauf dans des circonstances particulières. Cela comprend les utilisations conformes au but de la collecte initiale autorisée par la loi fédérale qui vise à assurer la conformité avec des instruments juridiques, comme les assignations à comparaître et les ordonnances judiciaires, dans les cas où il y a un avantage évident pour la personne et dans ceux où l’intérêt public l’emporte sur toute violation de la vie privée. Fait important, la Loi accorde aux personnes le droit de demander l’accès à leurs renseignements personnels détenus par une institution fédérale et celui de demander l’apport de corrections à leurs renseignements lorsque ceux‑ci sont inexacts.
La Loi sur la protection des renseignements personnels établit également le CPVP à titre d’agent indépendant du Parlement qui supervise la mise en œuvre de ladite loi. Le commissaire à la protection de la vie privée a le pouvoir de recevoir des plaintes et de faire enquête, y compris dans les cas où la demande d’accès aux renseignements personnels d’une personne a été refusée par une institution fédérale.
Il existe aussi des politiques et des directives qui sont établies par le président du Conseil du Trésor ou par un représentant autorisé et qui servent d’outils complémentaires pour assurer l’application de la Loi par les institutions fédérales, y compris EDSC.
En plus de respecter la Loi sur la protection des renseignements personnels, EDSC doit assurer la gestion des renseignements personnels conformément aux obligations énoncées dans sa loi habilitante. La LMEDS établit les règles applicables aux renseignements personnels détenus par EDSC, et elle est mise en application de concert avec la Loi sur la protection des renseignements personnels. La LMEDS énonce les exigences suivantes :
- rendre des renseignements personnels accessibles à d’autres institutions fédérales, à des autorités provinciales et territoriales ou à des partenaires internationaux à des fins d’application et d’intégrité;
- rendre des renseignements personnels accessibles dans l’intérêt public et à des fins d’exécution de la loi;
- rendre accessibles les renseignements contenus dans le Registre d’assurance sociale;
- utiliser les renseignements personnels à des fins d’analyse stratégique interne, de recherche et d’évaluation;
- rendre accessibles les renseignements personnels à des fins de recherche ou d’analyse statistique.
Lorsque le Ministère fournit des services au public au nom d’autres institutions et administrations fédérales, ou lorsqu’il offre certains services pour le gouvernement du Canada, c’est le régime de protection des renseignements personnels du partenaire—habituellement la Loi sur la protection des renseignements personnels—qui s’appliquera, plutôt que la LMEDS.
Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels
L’article 73 de la Loi sur la protection des renseignements personnels autorise le responsable d’une institution à déléguer à des employés de l’institution les pouvoirs, devoirs et fonctions que lui confère cette loi, généralement par arrêté. Cet instrument indique les pouvoirs, devoirs et fonctions d’application de la Loi qui ont été délégués par le responsable de l’institution et précise à qui ils ont été délégués.
L’Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels approuvé, en vigueur le 31 mars 2023, est présenté à l’annexe A. On s’attend à ce qu’un nouvel arrêté sur la délégation, qui intégrerait des changements organisationnels, soit établi au cours de l’exercice 2023 à 2024.
Politique ministérielle sur la gestion de la protection des renseignements personnels
La Politique ministérielle sur la gestion de la protection des renseignements personnels soutient un régime de protection des renseignements personnels solide aux fins de la protection et de l’utilisation judicieuse des renseignements personnels par EDSC. En complément des politiques, directives et normes du SCT, cette politique ministérielle codifie les exigences relatives à la gestion et à la protection des renseignements personnels, énonce des principes clairs et universels pour la politique de protection des renseignements personnels, et précise les rôles et les responsabilités en matière de gestion des renseignements personnels, notamment les obligations redditionnelles et les responsabilités fonctionnelles particulières en vigueur. Elle établit également le Cadre de gestion de la protection des renseignements personnels d’EDSC, décrit ci‑après, désigne le CPRP et établit les mécanismes de gouvernance de la protection des renseignements personnels du Ministère.
Parmi les résultats attendus de la Politique ministérielle sur la gestion de la protection des renseignements personnels figurent la saine gestion et la protection des renseignements personnels par le Ministère, l’adoption de pratiques rigoureuses de repérage, d’évaluation et de gestion des risques pesant sur les renseignements personnels, et l’établissement de responsabilités claires accompagnées de mécanismes et de structures de gouvernance efficaces pour protéger et gérer les renseignements personnels dont EDSC doit assurer l’intendance.
Cadre de gestion de la protection des renseignements personnels
Le Cadre de gestion de la protection des renseignements personnels d’EDSC reflète les principes de la protection de la vie privée dès la conception en promouvant une approche proactive dans ce domaine, en favorisant l’intégration des pratiques de protection des renseignements personnels à la conception des programmes, des systèmes et des processus opérationnels. Le Cadre comprend 5 éléments :
- Gouvernance et responsabilisation : Les rôles et responsabilités en matière de protection des renseignements personnels sont clairement définis;
- Intendance des renseignements personnels : Des mesures appropriées de protection des renseignements personnels sont mises en œuvre pour que les renseignements personnels soient bien gérés tout au long de leur cycle de vie;
- Assurance de la conformité : Des processus et des pratiques officiels sont en place afin d’assurer le respect des précisions, des politiques, des normes et des lois en matière de protection des renseignements personnels;
- Gestion efficace des risques : Des activités structurées et coordonnées d’identification et d’évaluation des risques sont menées pour réduire la probabilité que des incidents négatifs se produisent et limiter les répercussions de ces derniers, le cas échéant;
- Culture, formation et sensibilisation : Des activités de formation et de sensibilisation relatives à la protection des renseignements personnels soutiennent un organisme qui est conscient de cet enjeu et qui accorde de l’importance à la protection et à l’intendance des renseignements personnels.
Le Cadre est un élément de base à la fois clair et concis qui sert à établir et à exécuter un programme complet de protection des renseignements personnels au Ministère.
Gouvernance de la protection des renseignements personnels à EDSC
EDSC est composé de comités qui viennent appuyer la gouvernance de la protection des renseignements personnels, la surveillance des risques et la prise de décisions. Au cours de la période visée par le rapport, le principal organe de gouvernance du Ministère en matière de protection des renseignements personnels était le Comité des données et de la protection des renseignements personnels (CDPRP), qui était coprésidé par le CPRP et par le dirigeant principal des données. Le CDPRP a pour mandat d’assurer la surveillance de la gestion des renseignements personnels confiés au Ministère ainsi que de la gestion des ressources de données organisationnelles. Le CDPRP appuie la mise en œuvre et la tenue à jour de la stratégie en matière de données et des programmes de gestion de la protection des renseignements personnels d’EDSC, supervise les processus de gestion du risque au regard de la gestion des données et des renseignements personnels, et appuie l’instauration d’une culture ministérielle conformément à laquelle les données constituent un actif opérationnel qui devrait être maximisé dans le respect du droit à la vie privée des Canadiens.
Le CDPRP relève du Comité de gestion intégrée des sous-ministres adjoints. Le Comité agit à titre d’organe horizontal de surveillance et de prise de décisions du Ministère en ce qui touche la mise en œuvre des stratégies, des plans, des politiques et des lignes directrices organisationnelles reliées à la gestion du risque, des données, de l’information, de la technologie et de la sécurité, ainsi que des finances et des ressources organisationnelles.
4. Politiques, procédures et initiatives
En raison de l’ampleur et de l’étendue de ses activités, EDSC est responsable de la gestion d’un des plus importants fonds de renseignements personnels du gouvernement du Canada. Dans la plupart des cas, pour offrir ses programmes et services, EDSC doit collecter, utiliser et divulguer des renseignements personnels. Souvent, des renseignements personnels détaillés et de nature délicate sont nécessaires pour déterminer l’admissibilité à un programme ou offrir des prestations et des services. Outre son vaste mandat et ses responsabilités entourant la gestion d’immenses volumes de renseignements personnels, EDSC doit mener ses activités dans le cadre d’un régime juridique complexe en matière de protection des renseignements personnels, qui comprend la Loi sur la protection des renseignements personnels et la LMEDS, et il doit aussi respecter des exigences législatives particulières relativement à ses partenaires fédéraux et provinciaux.
EDSC collabore régulièrement avec des parties prenantes autochtones dans le cadre du traitement de demandes de renseignements personnels, afin de faire progresser la réconciliation et de faciliter l’accès à des services de protection des renseignements personnels adaptés à la culture pour les demandeurs autochtones.
Tout au long de l’exercice 2022 à 2023, EDSC a continué de mettre de l’avant une approche proactive et axée sur les risques pour la gestion de la protection des renseignements personnels, et a cherché à adapter ses activités et ses processus aux besoins de l’environnement changeant de la protection des renseignements personnels. Le Ministère a appliqué son optique de protection des renseignements personnels à ses nombreuses initiatives ministérielles qui, dans certains cas, comprenaient la collecte, l’utilisation et la divulgation de renseignements personnels à grande échelle.
Évaluations des facteurs relatifs à la vie privée et vérifications de conformité
Conformément à la Directive sur l’EFVP du Conseil du Trésor, EDSC est tenu d’effectuer une EFVP avant d’établir tout nouveau programme ou programme modifié de façon importante ou toute activité demandant l’utilisation administrative de renseignements personnels. Les EFVP servent à cerner et à évaluer les risques pour la protection des renseignements personnels et à élaborer des plans pour réduire ou éliminer ces risques. Parmi les institutions fédérales, EDSC est un innovateur pour ce qui est des méthodes utilisées pour mener les évaluations de la protection des renseignements personnels. Par exemple, la DGPRP a recours à une série d’approches qu’elle a élaborées, notamment des EFVP exhaustives, des analyses de la protection des renseignements personnels (un processus équivalant à une EFVP simplifiée pour les activités présentant peu de risque), des analyses de la protection des renseignements personnels pour les solutions de technologie de l’information (APRPSTI) et des protocoles de protection des renseignements personnels, afin d’adapter l’évaluation en fonction de chaque projet ou de chaque initiative d’EDSC. Au cours des derniers exercices, ces instruments ont permis à EDSC de demeurer à l’avant‑plan au chapitre des EFVP.
Ainsi, en 2022 à 2023, le Ministère a produit 15 EFVP et a apporté d’importantes mises à jour à 7 autres dans le cadre de son approche de la protection de la vie privée dès la conception. Des copies des rapports d’EFVP et des mises à jour ont été fournies au SCT et au CPVP. Des renseignements sur ces évaluations sont présentés à l’annexe B du présent rapport et sur le site Web consacré aux EFVP d’EDSC.
EDSC a également effectué des examens de la protection des renseignements personnels dans le contexte de ses activités d’analyse des politiques, de recherche et d’évaluation. Au cours du dernier exercice, 26 examens de ce genre ont été effectués relativement à des initiatives comportant l’utilisation de renseignements personnels à des fins autres qu’administratives, comparativement à 23 en 2021 à 2022.
La LMEDS et la réglementation connexe établissent des paramètres stricts régissant l’accessibilitéNote de bas de page * des renseignements personnels qui relèvent du Ministère. La politique de protection des renseignements personnels d’EDSC exige que la DGPRP vérifie toutes les dispositions prises pour rendre des renseignements personnels accessibles à d’autres institutions fédérales, à d’autres administrations ainsi qu’à des fournisseurs de services. La Division s’assure également que ces instruments sont assortis des modalités nécessaires en ce qui touche l’utilisation, la divulgation, la protection et l’élimination des renseignements personnels qu’EDSC rend accessibles. La mise en œuvre des ententes d’échange de renseignements nécessite l’approbation des personnes à qui sont délégués les pouvoirs appropriés en matière de protection des renseignements personnels aux termes de l’arrêté pris en vertu de la LMEDS; il s’agit habituellement du CPRP ou du directeur général de la DGPRP. Aux termes de la politique, tous les documents d’approvisionnement doivent également être vérifiés par la DGPRP afin de garantir le respect des exigences législatives et de la politique de protection des renseignements personnels. Au cours du dernier exercice, 76 ententes d’échange de renseignements et 74 instruments d’approvisionnement ont été examinés en détail.
La demande interne de services liés à la protection des renseignements personnels demeure élevée. Par exemple, le nombre d’examens initiaux de programmes, de projets et d’applications logicielles est une fonction relativement nouvelle de la DGPRP, et le volume de demandes de ces services a affiché une croissance rapide au cours des 3 derniers exercices. La Division a effectué 222 examens de ce genre en 2022 à 2023, soit une augmentation de 10 % par rapport à l’exercice précédent. Le nombre de demandes de renseignements généraux touchant les renseignements personnels ainsi que de demandes de service de clients internes s’est maintenu à des niveaux records, soit 221, au cours de la période visée par le rapport. De plus, la DGPRP a préparé 80 avis de confidentialité et formulaires de consentement.
Modernisation de l’AIPRP
EDSC a continué à progresser dans la modernisation de ses pratiques grâce à une initiative globale visant à normaliser les processus et à déterminer les gains d’efficacité dans le traitement des demandes. Il s’agit d’un exercice de renouvellement qui devrait améliorer l’efficacité opérationnelle une fois terminé. Ce travail continue de bénéficier d’une haute priorité, en vue de tirer parti des changements technologiques et des avantages d’un environnement de plus en plus numérique.
Modernisation du versement des prestations
L’équipe de gestion de la protection des renseignements personnels d’EDSC a participé étroitement aux projets de transformation des services du Ministère, entre autres le Programme de modernisation du versement des prestations (MVP), qui comporte la mise en application d’une stratégie en plusieurs volets. Le Programme de MVP a été conçu de manière à améliorer l’expérience client pour un grand nombre des plus importants programmes de prestations du Canada, grâce à une plateforme technologique moderne, à un traitement rationalisé, à de nouveaux services numériques et à des capacités améliorées de gestion des services.
EDSC met en œuvre les principes fondamentaux de son Cadre de gestion de la protection des renseignements personnels, à savoir la gestion efficace des risques et l’intendance des renseignements personnels, en utilisant son approche de protection des renseignements personnels dès la conception et en affectant des ressources dédiées au Programme. Des conseils en matière de protection des renseignements personnels sont intégrés à la conception du programme de MVP, tandis que des analyses détaillées de la protection des renseignements personnels et des évaluations du risque sont effectuées pour chaque composante de projet. Au cours du dernier exercice, la DGPRP a effectué des examens de conformité portant sur plusieurs éléments de la MVP, y compris les protocoles de protection des renseignements personnels et les documents d’approvisionnement. Des évaluations des facteurs relatifs à la vie privée étaient également en cours pour plusieurs composantes importantes du Programme.
Protocoles de gestion des atteintes à la vie privée
Par suite de la mise en application, par le SCT, d’exigences mises à jour en matière de gestion des atteintes à la vie privée, EDSC a lancé un examen de sa propre directive et de ses propres processus en la matière pour vérifier leur concordance. Des travaux sont effectués en collaboration avec la Sécurité ministérielle, la Cybersécurité et la Sécurité des TI pour réviser la directive d’EDSC, modifier les processus et réviser les rôles et les responsabilités. Le Ministère prévoit mettre la dernière main à ces éléments au cours du quatrième trimestre de 2023 à 2024.
Risques stratégiques
EDSC tient à jour un profil de risque stratégique en matière de protection des renseignements personnels afin de relever et de cibler les menaces les plus importantes au chapitre de la gestion et de la protection des renseignements personnels qu’il détient. Des efforts continus sont déployés pour mettre en œuvre des pratiques assurant une protection efficace des renseignements personnels dans le cadre de l’administration des programmes et des opérations ministérielles. La gestion du risque comprend la surveillance d’un environnement en rapide évolution et des menaces connexes. Elle inclut la cybersécurité, la gestion de l’information, les contrats, les ententes d’échange de renseignements, les évaluations et les mesures d’atténuation.
Feuille de route de la gestion de la protection des renseignements personnels
En 2018, EDSC a présenté un plan stratégique pluriannuel—une feuille de route pour la gestion de la protection des renseignements personnels—en raison de l’évolution rapide de l’environnement de protection des renseignements personnels et à l’appui de ses propres initiatives de modernisation et d’innovation. La mise en œuvre de la feuille de route a permis de renforcer les pratiques de gestion du risque, de réviser les mécanismes de gouvernance de la protection des renseignements personnels, d’optimiser les processus d’approbation, et de renforcer les activités de gestion des incidents et les processus de divulgation aux termes des instruments juridiques en vigueur.
Compte tenu des bons résultats de la première feuille de route triennale de la gestion de la protection des renseignements personnels, on a élaboré une nouvelle feuille de route pour les 3 prochaines années. Ce plan mis à jour établit des mesures visant à renforcer davantage les processus de gestion de la protection des renseignements personnels, à améliorer la collaboration avec les partenaires de la DGPRP pour la sécurité et la gestion de l’information, à appuyer les priorités stratégiques d’EDSC, et à moderniser les pratiques de protection des renseignements personnels du Ministère dans le contexte de sa quête d’innovations technologiques et méthodologiques touchant l’utilisation des renseignements personnels.
Nouveaux pouvoirs relatifs au NAS – Paiement ponctuel lié au SRG pour les aînés les plus âgés
Conformément à la Directive sur le numéro d’assurance sociale, la ministre des Aînés a demandé et obtenu les pouvoirs nécessaires afin d’utiliser le NAS en vue de procéder au versement ponctuel d’une subvention à des prestataires du SRG dans le contexte de la pandémie. Cette activité a eu lieu en avril 2022. Les NAS recueillis en vertu de la Loi de l’impôt sur le revenu par l’Agence du revenu du Canada et par EDSC aux fins du régime d’assurance‑emploi et du programme de la SV ont servi à déterminer l’admissibilité à cette initiative.
5. Aperçu du rendement
La présente section fournit des statistiques et des analyses clés sur les réalisations d’EDSC au cours de l’exercice 2022 à 2023, et elle décrit comment le Ministère a contribué à l’application par le gouvernement de la Loi sur la protection des renseignements personnels. La plupart des diagrammes et des tableaux ci-dessous présentent une comparaison sur 4 ans, mettant en évidence les tendances du rendement d’EDSC pour ce qui est de l’application de la Loi sur la protection des renseignements personnels. Le rapport statistique détaillé du Ministère sur son application de la Loi sur la protection des renseignements personnels se trouve à l’annexe C.
Au cours de la période de référence, soit l’exercice 2022 à 2023, il y a eu une augmentation importante des demandes d’accès à l’information et de protection des renseignements personnels : 20 964 demandes ont été reçues pendant l’exercice, ce qui constitue un nouveau record pour EDSC. Tout comme lors de l’exercice précédent, des progrès substantiels ont été réalisés pour améliorer les taux de conformité, mais ceux-ci sont demeurés sous les niveaux atteints habituellement par le Ministère pendant les années ayant précédé la pandémie.
Demandes et consultations : volume total
EDSC a reçu 20 964 demandes de renseignements personnels au cours de l’exercice 2022 à 2023, ce qui représente une hausse de 18 % par rapport aux 17 695 demandes reçues en 2021 à 2022. Au total, pendant la période visée par le rapport, 11 demandes de consultation liées à la Loi sur la protection des renseignements personnels ont été reçues.
Version textuelle de la figure 1
Année | Volume total de demandes par exercise |
---|---|
2019 à 2020 | 15 405 |
2020 à 2021 | 13 998 |
2021 à 2022 | 17 695 |
2022 à 2023 | 20 964 |
Version textuelle de la figure 2
Année | Nombres de demandes |
---|---|
2019 à 2020 | 23 |
2020 à 2021 | 11 |
2021 à 2022 | 3 |
2022 à 2023 | 11 |
Le tableau ci-dessous (Tableau 1) présente un résumé des paramètres d’EDSC relatifs aux demandes reçues en vertu de la Loi sur la protection des renseignements personnels, en les comparant sur les 4 derniers exercices.
Activités | 2019 à 2020 | 2020 à 2021 | 2021 à 2022 | 2022 à 2023 |
---|---|---|---|---|
Demandes officielles reçues en vertu de la Loi sur la protection des renseignements personnels | 15 405 | 13 998 | 17 695 | 20 964 |
Demandes traitées durant la période visée par le rapport | 15 004 | 12 883 | 17 577 | 21 321 |
Nombre de demandes traitées dans les délais prévus par la loi (incluant les prorogations) | 14 949 | 5 906 | 10 190 | 15 098 |
Nombre de demandes traitées au-delà des délais prévus par la loi | 55 | 6 977 | 7 387 | 6 223 |
Proportion des demandes auxquelles on a répondu dans les délais prévus par la loi | 99 % | 46 % | 58 % | 71 % |
Nombre total de demandes reçues et traitées
Pendant la période visée par le rapport, le nombre de demandes fermées est passé de 17 577 en 2021 à 2022 à 21 321 en 2022 à 2023. C’est aussi durant cette période que s’est amorcée la reprise au lendemain de la pandémie, ce qui a entraîné un grand nombre de réponses tardives lors de l’exercice précédent. Par conséquent, le Ministère a réussi à traiter un nombre record de demandes au cours de l’exercice, ce nombre étant en hausse de 21 % par rapport au précédent record établi en 2021 à 2022.
Version textuelle de la figure 3
Année | Total – Demandes reçues | Total – Demandes traitées |
---|---|---|
2019 à 2020 | 15 405 | 15 004 |
2020 à 2021 | 13 998 | 12 883 |
2021 à 2022 | 17 695 | 17 577 |
2022 à 2023 | 20 964 | 21 321 |
Demandes, en fonction du nombre de jours civils nécessaires pour le traitement
Tout comme lors de l’exercice précédent, EDSC a traité plus de demandes de renseignements personnels qu’il n’en a reçu au cours de la période visée par le rapport. Le taux de conformité des demandes de clôture dans les 30 jours (ou 60 jours après une prolongation) a continué à se redresser après l’impact de la pandémie, passant de 58 % en 2021 à 2022 à 71 % en 2022 à 2023. Cette augmentation a été obtenue malgré une augmentation de 18 % des demandes en vertu de la Loi sur la protection des renseignements personnels et des efforts importants déployés pour réduire les arriérés de traitement résiduels acquis pendant la pandémie de. Le 1er avril 2023, on comptait 1 631 demandes encore actives reportées à la période de déclaration suivante, dont 94 % étaient en voie d’être traitées dans les délais prévus par la loi.
Version textuelle de la figure 4
Année | 30 jours civils | 31 à 60 jours civils | 61 jours civils ou plus |
---|---|---|---|
2019 à 2020 | 14 613 (97 %) | 358 (2 %) | 33 (1 %) |
2020 à 2021 | 5 029 (39 %) | 2 459 (19 %) | 5 395 (42 %) |
2021 à 2022 | 8 130 (46 %) | 5 009 (29 %) | 4 438 (25 %) |
2022 à 2023 | 12 257 (58 %) | 5 694 (27 %) | 3 370 (15%) |
Version textuelle de la figure 5
Année | À l'intérieur | Au-delà |
---|---|---|
2019 à 2020 | 14 949 (99 %) | 55 |
2020 à 2021 | 5 906 (46 %) | 6 977 |
2021 à 2022 | 10 190 (58 %) | 7 387 |
2022 à 2023 | 15 098 (71 %) | 6 223 |
Raisons des prorogations
Les institutions peuvent demander une prorogation du délai initial de 30 jours prévu par la loi dans les cas où il est impossible de respecter la date prévue par la loi. En 2022 à 2023, on a compté 1 285 demandes portant sur un volume important de renseignements, 3 demandes nécessitant une traduction ou le transfert d’un document sur un support de substitution, et 16 consultations internes qui devaient être effectuées et ne pouvaient raisonnablement pas être menées à terme dans le délai initial de 30 jours. Ces demandes ont amené EDSC à demander 1 304 prorogations. Ce total a représenté une augmentation de 22 % par rapport à 2021 à 2022, où EDSC a présenté 1 069 demandes de prorogation.
Article de la Loi sur la protection des renseignements personnels | Raison de la prorogation | Nombre de demandes de prorogation |
---|---|---|
15a)(i) Entrave au fonctionnement de l’institution | Examen approfondi nécessaire pour déterminer les exceptions | 0 |
Grand nombre de pages | 0 | |
Grand volume de demandes | 1 285 | |
Documents trop difficiles à obtenir | 0 | |
15a)(ii) Consultation | Documents confidentiels du Cabinet (article 70) | 0 |
Externe | 0 | |
Interne | 16 | |
15b) Traduction ou transfert sur support de substitution | Traduction ou transfert sur support de substitution | 3 |
TOTAL | 1 304 |
Surveillance des délais
En raison de l’approche décentralisée du Ministère en matière de traitement des demandes de renseignements personnels, il n’y a actuellement aucune surveillance centralisée portant expressément sur le temps requis pour traiter les demandes de renseignements personnels, les limites associées aux consultations entre institutions ou les examens des types de renseignements fréquemment demandés. Les bureaux régionaux d’EDSC gèrent la majorité des demandes reçues en vertu de la Loi sur la protection des renseignements personnels (les demandes de renseignements personnels et les demandes de correction de renseignements personnels) pour le Ministère, et préparent des rapports périodiques sur les nouvelles demandes et la charge de travail ainsi que des mises à jour sur l’état du rendement en ce qui concerne le traitement dans les délais prévus des demandes reçues en vertu de la Loi sur la protection des renseignements personnels. Les bureaux régionaux produisent des rapports sur le rendement mensuels, trimestriels et annuels.
À mesure que le Ministère modernise la fonction de traitement des demandes de renseignements personnels, la normalisation et la surveillance de la conformité deviendront une priorité, de manière que les Canadiens puissent compter sur un traitement fiable et adapté de leurs demandes.
Nombre de demandes actives en suspens depuis un exercice précédent
Il arrive parfois que le temps de traitement de demandes reçues en vertu de la Loi sur la protection des renseignements personnels dépasse le délai de traitement prévu par la loi.
Exercice durant lequel les demandes ouvertes ont été reçues | Demandes ouvertes où les délais prévus par la loi n’étaient pas dépassés au 31 mars 2023 | Demandes ouvertes où les délais prévus par la loi étaient dépassés au 31 mars 2023 | Total |
---|---|---|---|
2022 à 2023 | 1 523 | 79 | 1 602 |
2021 à 2022 | 2 | 16 | 18 |
2020 à 2021 | 0 | 8 | 8 |
2019 à 2020 | 0 | 2 | 2 |
2018 à 2019 | 0 | 0 | 0 |
2017 à 2018 | 0 | 1 | 1 |
2016 à 2017 | 0 | 0 | 0 |
2015 à 2016 ou exercice antérieur | 0 | 0 | 0 |
Totaux | 1 525 | 106 | 1 631 |
Pages traitées et divulguées
Au cours de la période visée par le rapport, 1 837 744 pages ont été traitées pour les exceptions et les exclusions, ce qui représente une hausse de 24 % par rapport à l’exercice précédent, où 1 477 202 pages avaient été traitées. Au total, 1 738 097 pages ont été divulguées, ce qui représente également une hausse par rapport à l’exercice précédent, où 1 384 322 pages avaient été divulguées. Le nombre de pages traitées et divulguées au cours de la période visée par le rapport était beaucoup plus élevé qu’au cours de toute période de rapport précédente.
Version textuelle de la figure 6
Année | Pages traitées | Pages divulguées |
---|---|---|
2019 à 2020 | 1 259 755 | 1 208 351 |
2020 à 2021 | 1 164 618 | 1 084 070 |
2021 à 2022 | 1 477 202 | 1 384 322 |
2022 à 2023 | 1 837 774 | 1 738 097 |
Exceptions et exclusions
Comme EDSC détient un des plus importants fonds de renseignements personnels au gouvernement du Canada, l’application d’exceptions et d’exclusions en vertu de la Loi sur la protection des renseignements personnels y est généralement plus fréquente qu’à la plupart des autres institutions fédérales. En 2022 à 2023, le nombre total de demandes qui ont donné lieu à une divulgation complète s’est élevé à 2 969 (17 %). Le nombre de documents qui ont été divulgués en partie s’est élevé à 13 633 (77 %). Il y a eu 2 demandes qui ont fait l’objet d’une exception intégrale, et 1 178 demandes abandonnées.
Exceptions
Bien que la Loi sur la protection des renseignements personnels accorde aux personnes un droit d’accès exécutoire à leurs renseignements personnels, il existe des cas où certaines exceptions précises et limitées peuvent être appliquées. L’exception aux termes de la Loi sur la protection des renseignements personnels qui a été appliquée le plus fréquemment est celle prévue à l’article 26, qui a comme objet de protéger les renseignements personnels concernant un autre individu au sens de l’article 3 de la Loi. Cette exception a été invoquée dans 13 486 cas de demandes traitées au cours de l’exercice 2022 à 2023. Cela représente une augmentation de 1 500 comparativement à l’exercice précédent.
Article de la Loi sur la protection des renseignements personnels | 2019 à 2020 | 2020 à 2021 | 2021 à 2022 | 2022 à 2023 |
---|---|---|---|---|
Art. 22 – Enquêtes | 56 (0,6 %) | 63 (0,7 %) | 13 (0,1 %) | 65 (0,5 %) |
Art. 26 – Renseignements concernant un autre individu | 9 812 (98,7 %) | 8 628 (98,8 %) | 11 986 (99,3 %) | 13 486 (98,9 %) |
Art. 27 – Renseignements protégés : avocats et notaires | 63 (0,6 %) | 42 (0,5 %) | 48 (0,4 %) | 73 (0,5 %) |
Art. 28 – Dossiers médicaux | 0 | 0 | 0 | 2 (0,01 %) |
Exclusions
La Loi sur la protection des renseignements personnels permet d’exclure certains types de renseignements, tels que les documents qui sont déjà accessibles au public (article 69) et les documents confidentiels du Conseil privé du Roi pour le Canada (article 70). Il n’y a eu aucune exclusion au cours de l’exercice 2022 à 2023.
Demandes de consultation reçues d’autres institutions du gouvernement du Canada et d’autres organismes
EDSC a reçu 11 demandes de consultation externe en 2022 à 2023, ce qui a nécessité l’examen de 120 pages supplémentaires. Ces demandes provenaient d’institutions du gouvernement du Canada et d’autres organismes.
Le Ministère a clos 12 demandes de consultation; 8 d’entre elles ont été traitées dans un délai d’au plus 30 jours. Au total, 6 demandes de consultation ont donné lieu à une recommandation de divulgation complète des documents à l’institution ou à l’organisme ayant soumis la demande.
Type de consultation | 2019 à 2020 | 2020 à 2021 | 2021 à 2022 | 2022 à 2023 |
---|---|---|---|---|
Demandes de consultations reçues en vertu de la Loi sur la protection des renseignements personnels | 20 | 11 | 3 | 11 |
Pages supplémentaires revues en vertu de la Loi sur la protection des renseignements personnels | 3 137 | 388 | 127 | 215 |
Demandes de consultation en vertu de la Loi sur la protection des renseignements personnels qui ont été fermées | 21 | 9 | 5 | 12 |
Demandes de consultation en vertu de la Loi sur la protection des renseignements personnels qui ont été fermées dans les 30 jours | 18 | 3 | 1 | 8 |
Demandes de correction des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels
En vertu de la Loi sur la protection des renseignements personnels, toute personne a le droit de demander la correction de renseignements personnels erronés la concernant, qui sont conservés par une institution fédérale, à condition que la personne puisse adéquatement justifier sa demande. EDSC a accepté une demande de correction et a joint 4 notes à des dossiers en 2022 à 2023.
Répercussions opérationnelles de la pandémie de COVID-19
Les défis liés à la transition vers le télétravail au début de la pandémie de COVID‑19 ont entraîné un taux de conformité inférieur en matière d’AIPRP et la création d’un arriéré de demandes d’AIPRP au cours de l’exercice 2020 à 2021. En affectant des ressources supplémentaires aux opérations et en utilisant de nouveaux processus électroniques, le Ministère a réussi à réduire l’arriéré et à atteindre un taux de conformité nettement supérieur en 2022 à 2023.
6. Plaintes, enquêtes et recours judiciaires
En vertu de la Loi sur la protection des renseignements personnels, une personne peut déposer auprès du CPVP une plainte concernant le traitement d’une demande d’accès si l’accès lui a été refusé ou si elle estime qu’il y a eu un retard indu. Elle peut aussi déposer une plainte concernant les pratiques de traitement des renseignements personnels, ce qui inclut la collecte, l’utilisation ou la divulgation de leurs renseignements personnels.
Au cours de l’exercice 2022 à 2023, le CPVP a informé EDSC de 33 plaintes concernant la protection des renseignements personnels. À la fin de l’exercice, il y avait 25 plaintes ouvertes visant EDSC; 14 dataient d’avant 2022 à 2023, 9 remontaient à 2021 à 2022, 2 à 2020 à 2021, 2 également à 2016 à 2017 et une à 2013 à 2014 ou à un exercice antérieur.
Le processus de règlement rapide a permis de résoudre ou de rejeter 18 plaintes en 2022 à 2023. Il y avait 5 plaintes qui faisaient l’objet de ce processus de règlement rapide à la fin de la période visée par le rapport. Les enquêtes du CPVP ont permis de déterminer que 6 plaintes étaient fondées, mais qu’une autre ne l’était pas, et 2 enquêtes ont été interrompues. Il y avait 8 enquêtes ouvertes à la fin de l’exercice.
Au total, 4 des plaintes fondées concernaient des cas où EDSC n’avait pas respecté les délais prescrits par la loi pour donner suite aux demandes présentées en vertu de la Loi sur la protection des renseignements personnels. Le Ministère n’avait pas été en mesure de fournir les renseignements demandés avant la date d’échéance requise. Par conséquent, les directives et les procédures ministérielles relatives à la recherche et à la communication des documents pertinents ont été modifiées. L’une des 2 autres plaintes fondées avait trait à l’accès et découlait de problèmes particuliers liés à la conservation des documents. Les problèmes ont été réglés en apportant les ajustements appropriés aux processus et aux procédures d’EDSC. La dernière plainte fondée concernait la divulgation de renseignements personnels par EDSC à une autre institution fédérale, où l’on ne se conformait pas aux lois applicables en matière de protection des renseignements personnels. Conformément aux recommandations du CPVP, le Ministère a pris des mesures pour faire mieux connaître les rôles et les responsabilités en matière de protection des renseignements personnels. Dans les 6 cas, le CPVP a déterminé que les plaintes avaient été résolues, ou résolues sous condition.
Pendant la période visée par le rapport, aucune plainte relative à la protection des renseignements personnels n’a été entendue par les tribunaux.
Le tableau qui suit fournit des renseignements additionnels sur les plaintes, l’état de leur traitement et les résultats.
Plaintes reçues | Total |
---|---|
Accès | 4 |
Délais | 11 |
Avis de prorogation | 1 |
Utilisation et divulgation | 14 |
Types multiples | 3 |
Nombre total de plaintes reçues | 33 |
Processus de règlement rapide | |
Règlement rapide – Résolution | 18 |
Règlement rapide – Rejet | 1 |
Règlement rapide – En cours | 5 |
Enquêtes | Total |
Fondées | 6 |
Non fondées | 1 |
Ouvertes | 8 |
Abandonnées | 2 |
Nombre total de conclusions reçues | 6 |
Recours judiciaires | Total |
Nombre de recours judiciaires | 0 |
Note : Le nombre total d’avis de plaintes et le nombre total de cas ayant fait l’objet d’un processus de règlement rapide ou d’enquête ne seront pas nécessairement les mêmes au cours d’un exercice donné. Bien souvent, les processus de règlement rapide et les enquêtes porteront sur des plaintes reçues par le CPVP au cours d’un exercice antérieur à la période de rapport, c’est‑à‑dire 2022 à 2023 dans le cas présent.
7. Divulgations d’intérêt public
Les divulgations d’intérêt public sont effectuées par EDSC en application du paragraphe 37(1) de la LMEDS plutôt que de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels. Toutes ces divulgations sont signalées au CPVP.
Au cours de l’exercice 2022 à 2023, le Ministère a fait 509 divulgations d’intérêt public. Sur ce nombre, 458 ont été traitées dans les directions générales régionales du Ministère; la plupart concernaient des incidents impliquant des personnes qui menaçaient de se faire du mal ou de faire du mal à autrui. Dans les cas où il existe une menace imminente pour la sûreté et la sécurité de personnes, les employés sont autorisés à effectuer la divulgation. Compte tenu de l’urgence associée à ces incidents, le CPVP n’a été avisé des divulgations qu’après leur réalisation.
La DGPRP a approuvé la divulgation de renseignements personnels dans 51 autres cas (divulgations faites par l’administration centrale). Dans la plupart de ces cas, les renseignements personnels ont été rendus accessibles pour aider à trouver une personne, comme une personne disparue, ou aux fins d’une enquête policière.
Les motifs de ces divulgations et le nombre total pour chaque type de divulgation sont présentés dans le tableau qui suit.
Motif des divulgations | Nombre de divulgations |
---|---|
Divulgations faites par les régions (menaces imminentes) | 458 |
Divulgations faites par l’administration centrale | |
Trouver une personne (plus proche parent, en rapport avec la succession, trouver un héritier, personne disparue) | 28 |
Enquête policière/Personne recherchée | 19 |
Admissibilité aux prestations | 4 |
TOTAL | 509 |
8. Atteintes substantielles à la vie privée
La Politique sur la protection de la vie privée du SCT définit l’atteinte à la vie privée de la manière suivante : « Création, collecte, usage, communication, conservation ou retrait inappropriée ou non autorisée de renseignements personnels ou accès inapproprié ou non autorisé aux renseignements personnels. » Une atteinte à la vie privée est « substantielle » lorsqu’elle « pourrait vraisemblablement entraîner un risque réel de préjudice grave pour une personne ».
Au cours de l’exercice 2022 à 2023, le Ministère a signalé 193 atteintes substantielles à la vie privée au CPVP et au SCT, soit une baisse de 45 % par rapport à l’exercice précédent (346). Ces atteintes ont été causées dans la majorité des cas par des erreurs opérationnelles entraînant la perte de renseignements personnels pendant le transit dans le système postal ou par l’envoi de renseignements au mauvais destinataire. La plupart de ces incidents (136 cas) concernaient des passeports ou des documents de demande de passeport perdus, mal acheminés ou volés, pour lesquels la Société canadienne des postes a assumé la responsabilité de 91 de ces incidents (voir le tableau ci-dessous). EDSC était responsable des 45 autres incidents.
La baisse du nombre d’atteintes substantielles en 2022 à 2023 par rapport à l’exercice précédent est attribuable pour une part à l’application de la nouvelle définition du concept d‘ « atteinte substantielle à la vie privée » du SCT. De plus, EDSC, en coordination avec ses partenaires fédéraux pour la délivrance des passeports, a jugé que les atteintes à la vie privée à la suite du retour de passeports mal acheminés et de documents relatifs aux demandes de passeport n’étaient pas substantielles, contrairement à ce qui était le cas lors des exercices précédents. On a déterminé qu’il était peu probable que les passeports mal acheminés et les documents justificatifs retournés rapidement aient été utilisés de façon malveillante, et donc que ces situations soulevaient un faible risque de préjudice grave.
Il y a eu 42 incidents reliés à des accès non autorisés à des renseignements personnels stockés dans les systèmes d’EDSC. Ces cas ont été détectés dans le cadre des activités élargies de surveillance du journal d’audit d’EDSC, qui sert à faire le suivi de l’accès par des employés aux renseignements personnels détenus dans les fonds de données électroniques d’EDSC.
Le Ministère met continuellement en œuvre des mesures administratives, techniques et physiques pour réduire les atteintes à la vie privée. Fait important, grâce aux activités de formation et de sensibilisation à la protection des renseignements personnels d’EDSC, les employés sont renseignés et formés sur le traitement des renseignements personnels, y compris leur utilisation appropriée et les protocoles de protection.
Le tableau 8 indique le nombre d’atteintes substantielles à la vie privée selon la cause et une brève description des mesures prises en réponse aux atteintes.
Nombre d’atteintes substantielles | Nature des renseignements compromis | Communication et notification | Mesures prises en réponse aux atteintes |
---|---|---|---|
15 | Des renseignements personnels communiqués incorrectement à des tiers par téléphone, par courriel ou par la poste. et/ou Des documents contenant des renseignements personnels sur des clients ont été perdus ou volés. | Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte |
|
42 | Des employés ont accédé sans autorisation aux données des clients dans les systèmes du Ministère (ces intrusions ont été découvertes, la plupart du temps, dans le cadre d’audits internes de ces systèmes). | Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte. |
|
91 | Passeports, demandes de passeport et documents joints à des demandes de passeport perdus, volés ou mal acheminés, dont la Société canadienne des postes était responsable. | Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte |
|
45 | Passeports, demandes de passeport et documents joints à des demandes de passeport perdus, volés ou mal acheminés en raison d’une erreur interne d’EDSC. | Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte. |
|
Nombre total d’atteintes substantielles : 193 |
9. Activités de formation et de sensibilisation
Formation en ligne sur la protection des renseignements personnels
EDSC dispose d’un programme de formation complet pour accroître la connaissance des pratiques appropriées de gestion des renseignements personnels et la sensibilisation à ces dernières. Tous les employés doivent maintenir une certification valide en Gérance de l’information et comportements en milieu de travail (GICMT) (cette certification doit être renouvelée tous les 2 ans); le cours porte sur la protection et le traitement des renseignements personnels, la sécurité, l’accès à l’information, la gestion de l’information ainsi que les valeurs et l’éthique. Ce cours fait partie du programme de formation essentielle du Ministère et est offert en ligne. À la fin de la période visée par le rapport, 9 503 employés avaient obtenu la certification GICMT au cours de l’exercice. Au total, 33 453 employés détenaient la certification en 2021 à 2022.
Mis à part la certification GICMT, EDSC propose d’autres cours en ligne sur la protection des renseignements personnels dans son catalogue de formation. Le cours « Protection des renseignements personnels et accès à l’information : c’est l’affaire de tous » permet aux employés d’acquérir les connaissances nécessaires pour bien protéger, utiliser et divulguer les renseignements personnels quotidiennement, et leur apprend à prévenir les atteintes à la vie privée, en demandant conseil ou en faisant preuve de bon jugement en temps opportun. Au cours du dernier exercice, 8 829 employés ont suivi le cours.
Les nouveaux employés doivent suivre le cours « Bien faire les choses et faire la bonne chose : mettre en action le Code de conduite ministériel » qui comporte une composante importante sur la protection des renseignements personnels. Le cours aide les participants à comprendre comment adopter des comportements éthiques en milieu de travail et utiliser ces connaissances pour les guider dans leur travail et prise de décisions quotidiens, y compris leurs interactions avec les clients et les collègues. Au cours de l’exercice 2022 à 2023, le nombre d’employés qui ont suivi ce cours s’est élevé à 7 137.
Formation et sensibilisation en personne et par voie virtuelle
Tout au long de la période visée par le rapport, le Ministère a fourni aux employés des renseignements et des consignes pratiques, faciles à comprendre et facilement accessibles sur la protection des renseignements personnels, afin d’appuyer la mise en application de pratiques appropriées de traitement et de protection des renseignements personnels, et de transmettre des connaissances générales sur les fondements à la fois philosophiques et législatifs de la protection des renseignements personnels. Le point culminant de ces activités a consisté en une série d’événements d’information sur la protection des renseignements personnels et d’activités reposant sur l’approche Savoir actif dans le cadre de la Semaine de sensibilisation à la protection de la vie privée en janvier 2023.
Au total, 1 757 employés d’EDSC ont assisté, soit en personne ou par vidéo, à l’une ou l’autre des 24 séances de formation et de sensibilisation sur la protection des renseignements personnels offertes en 2022 à 2023, comparativement à 1 127 au cours de l’exercice précédent, ce qui constitue une hausse de 56 %.
Annexe A : Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels
Loi sur la protection des renseignements personnels : Délégation de pouvoirs
En vertu de l'article 73 de la Loi sur la protection des renseignements personnels (la Loi), la ministère de l'Emploi et du Développement social délègue aux titulaires des postes mentionnés à l’annexe ci-après, ainsi qu’aux personnes occupant à titre intérimaire lesdits postes, les attributions dont elle, est, en qualité de responsable d’une institution fédérale, investie par les dispositions de la Loi et du Règlement sur la protection des renseignements personnels (le Règlement) mentionnées à l’annexe en regard de chaque poste.
Signée en date du 12 mars 2020 par la Ministre de l'Emploi et du Développement social.
Description | Article | Pouvoir délégué |
---|---|---|
Conservation d’une copie des demandes reçues et d’une mention des renseignements communiqués aux organismes d’enquête en ayant fait la demande aux termes de l’alinéa 8 (2)e) de la Loi sur la protection des renseignements personnels | 8(4) |
|
Conservation des relevés des cas d’usage de renseignements personnels | 9(1) |
|
Aviser le commissaire à la protection de la vie privée de tous les nouveaux cas compatibles d’usage de renseignements personnels et veiller à ce que ces cas soient recensés dans le prochain relevé des cas compatibles d’usage compris dans le répertoire | 9(4) |
|
Inscrire les renseignements personnels dans des fichiers de renseignements personnels | 10 |
|
Répondre aux demandes de communication dans les 30 jours suivant leur réception, puis aviser par écrit. Communiquer les renseignements advenant une réponse positive. | 14 |
|
Prorogation du délai prévu de 30 jours pour répondre à une demande de renseignements personnels | 15 |
|
Décision de faire traduire ou non une réponse à une demande de renseignements personnels vers l’une des 2 langues officielles | 17(2)b) |
|
Décision de transférer ou non les renseignements personnels sur un support de substitution | 17(3)b) |
|
Décision de refuser la communication des renseignements personnels contenus dans des fichiers inconsultables | 18(2) |
|
Décision de refuser la communication des renseignements personnels qui ont été obtenus à titre confidentiel des gouvernements des États étrangers ou de leurs organismes; des organisations internationales d’États ou de leurs organismes; des gouvernements provinciaux ou de leurs organismes; des administrations municipales ou régionales constituées en vertu de lois provinciales ou de leurs organismes; du conseil, au sens de l’Accord d’autonomie gouvernementale de la première nation de Westbank mis en vigueur par la Loi sur l’autonomie gouvernementale de la première nation de Westbank et du conseil de la première nation participante selon la Loi sur la compétence des premières nations en matière d’éducation en Colombie-Britannique | 19(1) |
|
Pouvoir de communiquer les renseignements personnels visés au paragraphe 19(1) si le gouvernement, l’organisation ou l’institution décrits dans ce paragraphe consentent à la communication ou rendent les renseignements publics | 19(2) |
|
Refuser la communication de renseignements personnels dont la divulgation risquerait de porter préjudice à la conduite des affaires fédéro-provinciales | 20 |
|
Refuser la communication de renseignements personnels dont la divulgation risquerait de porter préjudice à la conduite des affaires internationales ou à la défense du Canada ou d’États alliés | 21 |
|
Refuser la communication de renseignements personnels préparés par un organisme d’enquête, de renseignements dont la divulgation risquerait de nuire aux activités destinées à faire respecter une loi, ou de renseignements dont la divulgation risquerait de nuire à la sécurité des établissements pénitentiaires | 22 |
|
Refuser de divulguer des renseignements personnels préparés pour la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles | 22,3 |
|
Refuser de divulguer des renseignements personnels préparés par un organisme d’enquête lors des enquêtes de sécurité | 23 |
|
Refuser à un individu de lui communiquer des renseignements personnels qui ont été recueillis par le Service correctionnel du Canada ou la Commission des libérations conditionnelles du Canada pendant qu’il était sous le coup d’une condamnation si les conditions énoncées dans l’article sont respectées | 24 |
|
Refuser de communiquer des renseignements personnels qui risqueraient de nuire à la sécurité des individus | 25 |
|
Refuser de communiquer des renseignements personnels qui portent sur un autre individu et refuser obligatoirement la communication des renseignements dans les cas où elle est interdite aux termes de l’article 8 | 26 |
|
Refuser de communiquer des renseignements personnels qui sont protégés par le secret professionnel | 27 |
|
Refuser la communication de renseignements personnels portant sur l’état physique ou mental de l’individu, dans les cas où la prise de connaissance par l’individu concerné de ces renseignements desservirait celui-ci | 28 |
|
Recevoir un avis d’enquête du commissaire à la protection de la vie privée | 31 |
|
Avoir droit de présenter des observations au commissaire à la protection de la vie privée au cours d’une enquête | 33(2) |
|
Recevoir du commissaire à la protection de la vie privée un rapport des conclusions de son enquête et signaler les mesures prises | 35(1) |
|
Communication de renseignements personnels supplémentaires à un plaignant après la réception d’un avis aux termes de l’alinéa 35 (1)b) | 35(4) |
|
Recevoir le rapport du Commissaire à la protection de la vie privée concernant son enquête sur le contenu du fichier inconsultable | 36(3) |
|
Recevoir le rapport du Commissaire à la protection de la vie privée concernant son enquête sur la conformité | 37(3) |
|
Demander qu’une audience commencée conformément à certaines dispositions de la Loi soit tenue dans la région de la capitale nationale | 51(2)b) |
|
Demander et recevoir le droit de présenter des observations au cours des audiences tenues conformément à l’article 51 | 51(3) |
|
Préparer les rapports annuels à l’intention du Parlement | 72(1) |
|
Description | Article | Pouvoir délégué |
---|---|---|
Autorisation de consulter des documents (salle de lecture) | 9 |
|
Avis de corrections | 11(2) |
|
Correction refusée, mention du dossier | 11(4) |
|
Divulgation de renseignements personnels à un praticien médical ou à un psychologue | 13(1) |
|
Divulgation de renseignements personnels en présence d’un praticien médical ou d’un psychologue | 14 |
|
Annexe B : Sommaire des évaluations des facteurs relatifs à la vie privée qui ont été réalisées
Au cours de l’exercice 2022 à 2023, EDSC a effectué 15 EFVP ainsi que 7 mises à jour portant sur des évaluations déjà effectuées. Il y a 6 de ces mises à jour qui ont consisté en évaluations de suivi détaillées de la conformité en matière de protection des renseignements personnels aux termes de la Directive intérimaire sur l’évaluation des facteurs relatifs à la vie privée en vigueur au cours des premières années de la pandémie de COVID‑19. Des renseignements sur les EFVP d’EDSC sont présentés sur le site Web ministériel consacré aux EFVP.
Service hébergé de gestion des comptes des médias sociaux – Hootsuite
À titre d’éditeur principal, la Direction générale des services aux citoyens (DGSC) est responsable de la gestion de services numériques clés, notamment le soutien des comptes de médias sociaux officiels du gouvernement du Canada. En 2016, la DGSC a effectué une EFVP portant sur Hootsuite Enterprise dans le contexte d’une vaste initiative de mise en œuvre de la solution Hootsuite Enterprise dans les organismes fédéraux. Depuis 2016, plusieurs changements ont été apportés au processus administratif qui sous‑tend la gestion des comptes, et ces changements sont examinés dans le cadre de la présente EFVP. Toutefois, ces changements ne sont pas rattachés à des activités de collecte de renseignements personnels, de sorte que les travaux actuels se limitent à une mise à jour de l’EFVP initiale.
Cette mise à jour a été effectuée dans le but de déterminer s’il y avait des risques liés à la protection des renseignements personnels qui étaient soulevés par les activités de création et de gestion des comptes de l’éditeur principal, ainsi que d’identifier les répercussions de la mise en œuvre de nouveaux modules sur la protection des renseignements personnels. L’EFVP n’a mis en lumière aucun risque d’atteinte à la vie privée ni aucun problème de conformité.
Mise en œuvre de l’exigence de validation de l’attestation de vaccination aux termes de la Politique sur la vaccination contre la COVID-19
Pendant la pandémie de COVID-19, les employés du secteur public ont versé leur attestation de vaccination dans le Système de suivi des attestations de vaccination du gouvernement du Canada. EDSC a préparé et mené un audit qui a englobé tous les cadres supérieurs ainsi qu’un échantillon aléatoire d’autres employés afin de vérifier l’efficacité des attestations versées au Système de suivi des attestations de vaccination du gouvernement du Canada.
Une EFVP a été effectuée pour cerner les éventuels risques d’atteinte à la vie privée associés à la collecte et à l’utilisation de renseignements personnels, afin de vérifier que les renseignements versés au Système de suivi des attestations de vaccination du gouvernement du Canada étaient exacts et véridiques. Cette EFVP portait sur l’élaboration du processus de sélection de l’échantillon aléatoire, les outils utilisés pour vérifier l’information et les activités de couplage des données, de façon à s’assurer que le droit à la vie privée était protégé. L’EFVP n’a mis en lumière aucun risque d’atteinte à la vie privée ni aucun problème de conformité.
Échange de renseignements – NAS-Registre d’assurance social
La Commission de l’assurance-emploi du Canada (CAEC) tient le Registre d’assurance sociale. Ce dernier contient le NAS et les autres renseignements que la Commission juge nécessaires pour pouvoir identifier les personnes avec exactitude. En juin 2014, le ministre de l’Emploi et du Développement social a fait part d’un engagement consistant à améliorer l’échange de renseignements avec l’Agence des services frontaliers du Canada afin d’améliorer l’application et l’exécution des programmes d’immigration du Canada.
Une EFVP a été effectuée pour évaluer les risques d’atteinte à la vie privée et les problèmes de conformité pouvant être soulevés par les échanges de renseignements personnels entre la CAEC et l’Agence des services frontaliers du Canada. L’EFVP a permis de cerner un risque moyen ainsi que quelques risques de faible niveau. On a aussi relevé un problème de conformité.
Subvention unique pour les bénéficiaires du Supplément de revenu garanti qui ont reçu des prestations liées à la pandémie en 2020
La subvention unique reliée au SRG est accordée aux pensionnés de la SV à faible revenu qui avaient eu à composer avec la perte ou une réduction de leur SRG parce qu’ils avaient reçu des prestations liées à la pandémie en date de juillet 2021.
On a effectué une EFVP afin de cerner les risques reliés à la protection des renseignements personnels pouvant découler de la collecte, de l’utilisation et du traitement des renseignements personnels des clients recevant cette subvention. L’EFVP a permis de cerner certains risques moyens, mais aucun risque faible ni aucun problème de non‑conformité n’ont été relevés.
Programme de prestations d’invalidité du Régime de pensions du Canada et activités professionnelles/occupation véritablement rémunératrice
EDSC a mis en œuvre une politique révisée sur les prestations d’invalidité du RPC pour évaluer les activités professionnelles et les occupations véritablement rémunératrices, dans le cadre d’un processus de renouvellement pluriannuel. L’objectif de la phase de collecte de données sur les activités professionnelles et les occupations véritablement rémunératrices dans le contexte du programme de prestations d’invalidité du RPC est de recueillir des renseignements sur les prestataires qui déclarent des activités de bénévolat ou de formation d’une durée de 15 heures ou plus par semaine pendant une période continue de 4 mois ou plus.
Une analyse de la protection des renseignements personnels a été effectuée pour cerner les possibles risques d’atteinte à la vie privée ou les problèmes de conformité associés au traitement des renseignements personnels, car la nouvelle politique du programme de prestations d’invalidité du PRC entraînera une révision des procédures de traitement des renseignements personnels qui aura une incidence directe sur les personnes dans cette situation. Cette analyse a mis en lumière un risque faible et un risque moyen. Il y avait également 2 problèmes de conformité connexes. Les mesures prises pour résoudre ces problèmes sont documentées dans l’EFVP.
Migration et conservation des données dans le cadre de la campagne de conformité aux exigences de quarantaine en cas de COVID‑19 de l’Agence de la santé publique du Canada
EDSC a aidé l’Agence de la santé publique du Canada (ASPC) à mettre en place un centre d’appels à des fins de suivi et de conformité dans le cadre de la campagne de conformité aux exigences de quarantaine pendant la pandémie. Pour ce faire, EDSC a tiré parti d’un contrat existant avec un organisme tiers pour fournir les services de centre d’appels. La date d’expiration de l’arrêté était le 30 septembre 2022, ce qui signifie que toutes les données recueillies par l’organisme tiers dans le cadre des services de centre d’appels doivent être transférées à EDSC et être conservées par ce dernier.
Une analyse de la protection des renseignements personnels a été effectuée pour cerner les risques d’atteinte à la vie privée que pourraient soulever la migration et la conservation de renseignements personnels. Cette analyse a mis en lumière un risque faible, mais aucun problème de conformité.
Rachat de prêts d’études auprès d’institutions financières dans le cadre du Programme canadien d’aide financière aux étudiants
Le Programme canadien d’aide financière aux étudiants procède au rachat de prêts d’études admissibles auprès d’institutions financières. Cela entraînera le transfert des renseignements personnels sur les emprunteurs au tiers fournisseur de services du Programme canadien d’aide financière aux étudiants, c’est‑à‑dire le Centre de service national de prêts aux étudiants.
Une analyse de la protection des renseignements personnels a été effectuée pour cerner les risques d’atteinte à la vie privée associés au transfert de renseignements personnels dans le cadre du rachat de prêts en cours à des institutions financières par EDSC. L’EFVP a permis de cerner un risque moyen et un problème de conformité. Les stratégies d’atténuation de ce risque et de résolution de ce problème devraient être en œuvre d’ici août 2024.
Centre du savoir sur les prestations
L’entrepôt de données du Centre du savoir sur les prestations (CSP) est un ensemble de données fusionnées provenant de multiples sources. Il comble un besoin du Ministère, c’est‑à‑dire trouver, utiliser et comprendre des données lui permettant de répondre à des questions clés et de prendre des décisions fondées sur des données probantes. Le CSP génère des rapports et des analyses portant sur les résultats rattachés aux programmes et aux services, notamment à l’égard de prestations qui ont été mises en place rapidement.
Une APRPSTI a été menée dans le but d’examiner les risques d’atteinte à la vie privée et les mesures d’atténuation connexes en ce qui touche à la gestion et à la protection des renseignements personnels qui entrent dans le CSP, y circulent et en sortent. Plusieurs risques moyens ainsi que 2 risques non significatifs ont été relevés. Les stratégies d’atténuation de ces risques devraient être en œuvre d’ici la fin de l’exercice 2023 à 2024.
Solution de suivi des dossiers de la Division de l’expertise médicale du Programme de prestations d’invalidité du Régime de pensions du Canada
Lorsqu’une demande de prestations d’invalidité du RPC est rejetée à l’étape initiale et lors du réexamen par Service Canada, le demandeur peut interjeter appel de cette décision auprès du Tribunal de la sécurité sociale. Une nouvelle solution de gestion des cas sera utilisée pour que les demandeurs fournissent des renseignements additionnels aux fins d’interjeter appel dans ces dossiers.
Une APRPSTI a été effectuée afin de cerner les risques d’atteinte à la vie privée pouvant être associés au traitement des renseignements personnels dans le cadre de la gestion des cas. L’APRPSTI n’a relevé aucun risque à atténuer ni aucun problème à résoudre. Il est recommandé aux responsables du Programme de consulter la DGPRP pour évaluer toute nouvelle composante ou amélioration de la solution de gestion des dossiers.
Projet d’interface de programmation d’applications – Partie II de la Loi sur l’assurance‑emploi
Le projet d’interface de programmation d’applications (IPA) rattaché à la partie II de la Loi sur l’assurance‑emploi donnera lieu au transfert de renseignements existants rattachés au régime d’assurance-emploi et conservés dans le Système d’information sur les prestations d’assurance‑emploi aux provinces et aux territoires (PT), au moyen de connexions de serveur à serveur. Cette IPA automatisera l’échange sécurisé de données avec les PT, en commençant par la Colombie‑Britannique et l’Ontario. D’autres PT s’ajouteront au fil de 5 vagues.
Une APRPSTI a été effectuée pour cerner les risques d’atteinte à la vie privée que peut soulever la solution d’IPA, celle‑ci se limitant à l’automatisation des échanges de données avec les PT. Cette analyse a mis en lumière 2 risques de faible niveau.
Addenda à l’analyse de la protection des renseignements personnels pour les solutions de TI concernant le processus de notification poussée pour les demandes de numéro d’assurance sociale électronique
En raison de la pandémie de COVID-19, le programme du NAS de la Direction générale des services d’intégrité d’EDSC a mis en œuvre un formulaire électronique libre‑service pour remplacer les services en personne. Le présent addenda à l’APRPSTI concernant le numéro d’assurance sociale électronique (NASe) traite de la collecte et de l’utilisation optionnelles des adresses de courriel des demandeurs pour l’activation du processus de notification poussée par courriel.
L’addenda à l’EFVP initiale a pour but de cerner les risques d’atteinte à la vie privée associés à la collecte de renseignements personnels auprès des clients qui soumettent les divers documents requis sur la plateforme de demande de NASe. L’analyse de la protection des renseignements personnels n’a révélé aucun risque nouveau ou additionnel associé à la nouvelle collecte d’adresses de courriel ou aux activités entourant les notifications poussées.
Plateforme de qualité intégrée
La Plateforme de qualité intégrée combine 3 programmes d’assurance de la qualité d’EDSC. Le programme Vérification de l’exactitude du paiement, le programme d’excellence du traitement au chapitre de l’exactitude et de la qualité, et le programme de rétroaction individuelle, qui fait partie du Programme d’assurance de la qualité des évaluations médicales, ont été intégrés en un seul système afin d’améliorer la qualité et la rapidité des services aux clients grâce à une exactitude accrue des paiements et du traitement.
Une APRPSTI a été effectuée pour déterminer les possibles risques d’atteinte à la vie privée associés au programme de rétroaction individuelle, en raison du traitement de renseignements personnels de nature délicate à des fins d’assurance de la qualité. L’APRPSTI a permis de cerner un risque moyen et un problème de conformité.
Système de téléversement de documents d’enquête d’intégrité
Le Système de téléversement de documents d’enquête d’intégrité a été mis au point par EDSC par suite de la fermeture des centres Service Canada et des restrictions instaurées en raison de la COVID‑19. Grâce à ce système, les clients ont accès à un portail Web public et peuvent téléverser des documents en toute sécurité.
Une APRPSTI a été effectuée pour déterminer les risques d’atteinte à la vie privée associés à la nouvelle méthode de collecte de renseignements personnels par l’entremise du Système. Cette analyse a révélé certains risques moyens et un risque faible.
Analyse de la protection des renseignements personnels pour les solutions de TI portant sur l’Outil de vérification de l’état des demandes de passeport
L’Outil de vérification de l’état des demandes de passeport a été lancé par Service Canada (qui fait partie d’EDSC), en collaboration avec Immigration, Réfugiés et Citoyenneté Canada. Ce projet, réalisé dans le cadre du Programme de passeport, permet aux personnes qui soumettent une demande de passeport d’obtenir leur numéro de dossier et de vérifier l’état de leur demande de passeport en ligne.
La Division de la gestion de la protection des renseignements personnels d’EDSC et les responsables de la protection des renseignements personnels à Immigration, Réfugiés et Citoyenneté Canada ont aidé à effectuer cette APRPSTI afin de cerner les risques pour la protection des renseignements personnels pouvant être associés à l’Outil. L’analyse a mis en lumière certains risques faibles et un risque moyen. De plus, 2 problèmes de conformité ont été relevés. Les stratégies d’atténuation de ces risques et de résolution de ces problèmes devraient être en œuvre d’ici la fin du mois de mars 2024.
Addenda à l’analyse de la protection des renseignements personnels pour les solutions de TI concernant l’automatisation de processus liés aux pensions – Utilisation du logiciel Automation Anywhere, automatisation des processus par la robotique aux fins du projet d’automatisation des processus liés aux pensions
Une nouvelle solution d’automatisation est mise en œuvre à l’appui du projet d’automatisation des processus liés aux pensions. Il s’agit du logiciel infonuagique commercial Automation Anywhere. Les clients fournissent des renseignements personnels aux fins de leurs demandes liées au RPC et à la SV. Les renseignements reçus seront traités au moyen d’un logiciel d’automatisation des processus par la robotique, qui remplacera le traitement manuel par un agent.
La raison de cet addenda à l’APRPSTI initiale est qu’un nombre important de dossiers seront traités au moyen de cette solution d’automatisation des processus par la robotique, ce qui supposera la prise de décisions administratives qui touchent directement des personnes. L’analyse n’a révélé aucun risque à atténuer ni aucun problème à résoudre.
Centre de contact virtuel de Rogers
Service Canada (qui fait partie d’EDSC) a incorporé une solution d’enregistrement d’appels et d’écrans au système du Centre de contact virtuel de Rogers à l’intention des centres de contact du Programme canadien d’aide financière aux étudiants et du Programme canadien pour l’épargne‑études. Cette solution offre des capacités comme l’acheminement des appels, la réponse vocale interactive, le traitement des appels, la gestion de l’effectif, la gestion de la qualité et la production de rapports.
Une APRPSTI a été effectuée pour cerner les risques liés à la protection des renseignements personnels pouvant découler de la mise en œuvre des fonctionnalités d’enregistrement d’appels et d’écrans au Centre de contact virtuel de Rogers à des fins de formation et d’assurance de la qualité. On a ainsi pu cerner des risques moyens et un problème de conformité. Les stratégies d’atténuation sont en cours de mise en œuvre.
Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant le Service de vérification de la conformité de Service Canada pour l’Agence de la santé publique du Canada pendant la pandémie de COVID‑19 (ASPC 4.0)
Pendant la pandémie de COVID-19, on a modifié le Service de vérification de la conformité de Service Canada pour l’ASPC afin d’aider l’Agence à communiquer avec un plus grand nombre de voyageurs. EDSC et Service Canada continuent de fournir des services dans le cadre de la campagne de conformité aux exigences de quarantaine en cas de COVID‑19 menée par l’ASPC, apportant des modifications à leurs services aux fins de déterminer si les voyageurs respectent les lignes directrices relatives aux voyages. On a effectué une évaluation de la conformité en matière de protection des renseignements personnels (ECPRP) afin de cerner et d’évaluer les risques pour la protection des renseignements personnels pouvant découler de la collecte et du traitement de renseignements personnels sur les voyageurs.
Une mise à jour de l’ECPRP initiale a été effectuée pour combler les lacunes relevées par le SCT en novembre 2021, ce qui comprend l’apport de modifications au fichier de renseignements personnels. On n’a relevé aucun nouveau risque d’atteinte à la vie privée ni aucune situation de non‑conformité.
Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant la Prestation d’assurance-emploi d’urgence – Phase 1 – Exécution du programme de la Prestation d’assurance-emploi d’urgence
À la suite de l’adoption de la Loi sur les mesures d’urgence visant la COVID-19 par le gouvernement du Canada, on a conçu des mesures pour fournir un soutien du revenu immédiat aux Canadiens et aider à protéger l’économie des répercussions de la pandémie de COVID-19. EDSC est responsable de la gestion et du traitement des paiements dans le cadre du programme de la Prestation d’assurance-emploi d’urgence.
Une mise à jour de l’ECPRP initiale a été effectuée pour cerner les risques et les situations de non-conformité liés à la protection des renseignements personnels qui pourraient être associés à l’exécution du programme de la Prestation d’assurance-emploi d’urgence. Aucun nouveau risque d’atteinte à la vie privée ni aucun problème de conformité n’ont été relevés.
Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant l’échange de renseignements personnels sur les délinquants entre Emploi et Développement social Canada/Commission de l’assurance‑emploi du Canada et le Service correctionnel du Canada aux fins de l’exécution du programme de la Prestation d’assurance-emploi d’urgence
Dans la foulée de la Loi sur la Prestation canadienne d’urgence, des personnes ont présenté des demandes de soutien du revenu dans le cadre du programme de la Prestation d’assurance-emploi d’urgence, qui relève d’EDSC, ou du programme de la Prestation canadienne d’urgence, qui est exécuté par l’Agence du revenu du Canada. Étant donné que certaines personnes incarcérées étaient admissibles à des prestations tandis que d’autres ne l’étaient pas, un transfert unidirectionnel de données du Service correctionnel du Canada à EDSC/CAEC a été jugé nécessaire pour déterminer si des personnes étaient admissibles ou non. Une entente d’échange de renseignements a été conclue en janvier 2021.
On a donc effectué une mise à jour de l’ECPRP initiale pour déterminer s’il y avait de nouveaux risques liés à la protection des renseignements personnels ou de nouveaux problèmes de conformité découlant de l’échange de renseignements personnels entre EDSC, la CAEC et le Service correctionnel du Canada. L’analyse n’a révélé aucun nouveau risque d’atteinte à la vie privée ou problème de conformité à intégrer à l’évaluation initiale.
Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant le centre d’appels de la quarantaine
Dans le but d’appuyer l’ASPC de Santé Canada, les agents de contrôle désignés téléphonent aux voyageurs qui rentrent au Canada afin de recueillir des renseignements et de vérifier le respect des nouvelles mesures annoncées par le gouvernement du Canada.
Une mise à jour de l’ECPRP initiale a été effectuée pour combler certaines lacunes relevées par le SCT en novembre 2021. L’analyse n’a révélé aucun nouveau risque d’atteinte à la vie privée ni aucune situation de non‑conformité se rapportant à la collecte, à l’utilisation ou à la divulgation des renseignements personnels de clients.
Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant le Service de vérification de la conformité de Service Canada pour l’Agence de la santé publique du Canada pendant la pandémie de COVID‑19 (ASPC 2.0 et 3.0)
Les campagnes 2.0 et 3.0 de l’ASPC ont été lancées en juillet 2020, et Service Canada a fait appel à un entrepreneur pour fournir des services de centre d’appels, notamment des services de réponse vocale interactive, des fonctionnalités de composition robotisée à des fins de promotion et les appels sortants d’agents en direct. Les agents de Service Canada ne font plus d’appels sortants. Service Canada est maintenant l’autorité contractante et fournit les services de gestion des fournisseurs.
Une mise à jour de l’ECPRP initiale permet de combler les lacunes relevées par le SCT en novembre 2021. On n’a relevé aucun autre risque d’atteinte à la vie privée ni aucune situation de non‑conformité.
Mises à jour de l’évaluation de la conformité en matière de protection des renseignements personnels concernant la solution de validation simplifiée de l’identité numérique
La solution de validation simplifiée de l’identité numérique offrira une fonctionnalité d’authentification multifacteur en temps réel qui permettra d’améliorer le service reposant sur la Solution de cyber‑authentification d’entreprise d’EDSC. La validation simplifiée de l’identité numérique représentera une autre solution pour les utilisateurs qui ont oublié les réponses à leurs questions de sécurité et dont le compte se retrouve verrouillé.
Une mise à jour de l’ECPRP a été effectuée pour combler les lacunes de l’ECPRP initiale qui avaient été relevées par le SCT. Cette mise à jour de l’ECPRP n’a mis en lumière aucun autre risque lié à la protection des renseignements personnels ni aucun problème de conformité.
Annexe C : Rapport statistique d’EDSC sur la Loi sur la protection des renseignements personnels, 2022 à 2023
Rapport statistique d’EDSC sur la Loi sur la protection des renseignements personnels, 2022 à 2023
Nom de l’institution : Emploi et Développement social Canada
Période de rapport : De 2022-04-01 à 2023-03-31
Section 1 Demandes présentées au titre de la Loi sur la protection des renseignements personnels
Détails | Nombre de demandes | ||
---|---|---|---|
Reçues pendant la période d’établissement de rapport | 20 964 | ||
En suspens à la fin de la période d’établissement de rapport précédente En suspens à la fin de la période d’établissement de rapport précédente (1 974) En suspens pour plus d’une période d’établissement de rapport (14) |
1 988 | ||
Total | 22 952 | ||
Fermées pendant la période d’établissement de rapport | 21 321 | ||
Reportées à la prochaine période d’établissement de rapport Reportées à la prochaine période d’établissement de rapport dans les délais prévus par la Loi (1 525) Reportées à la prochaine période d’établissement de rapport au-delà des délais prévus par la Loi (106) |
1 631 |
Mode | Nombre de demandes |
---|---|
En ligne | 7 371 |
Courriel | 2 570 |
Poste | 5 415 |
En personne | 16 |
Téléphone | 16 |
Télécopieur | 5 576 |
Total | 20 964 |
Section 2 Demandes informelles
Détail | Nombre de demandes | |
---|---|---|
Reçues pendant la période d’établissement de rapport | 6 729 | |
En suspens à la fin de la période d’établissement de rapport précédente En suspens à la fin de la période d’établissement de rapport précédente (0) En suspens pour plus d’une période d’établissement de rapport (1 493) |
1 493 | |
Total | 8 222 | |
Fermées pendant la période d’établissement de rapport | 6 425 | |
Reportées à la prochaine période d’établissement de rapport | 1 797 |
Mode | Nombre de demandes |
---|---|
En ligne | 898 |
Courriel | 193 |
Poste | 3 902 |
En personne | 3 |
Téléphone | 21 |
Télécopieur | 1 712 |
Total | 6 729 |
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total |
---|---|---|---|---|---|---|---|
1 941 | 1 368 | 189 | 690 | 1 033 | 1 191 | 13 | 6 425 |
Moins de 100 pages communiquées | De 100 à 500 pages communiquées | De 501 à 1 000 pages communiquées | De 1 001 à 5 000 pages communiquées | Plus de 5 000 pages communiquées | |||||
---|---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées |
4 731 | 96 702 | 1 514 | 307 694 | 110 | 75 485 | 70 | 124 628 | 0 | 0 |
Section 3 Demandes fermées pendant la période d’établissement de rapport
demandes | Délai de traitement | |||||||
---|---|---|---|---|---|---|---|---|
Disposition des demandes | 1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total |
Communication totale | 537 | 1,476 | 604 | 345 | 6 | 0 | 1 | 2 969 |
Communication partielle | 1 859 | 4 447 | 4 460 | 2 830 | 21 | 13 | 3 | 13 633 |
Exception totale | 0 | 2 | 0 | 0 | 0 | 13 | 0 | 2 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Aucun document n’existe | 1 389 | 1 481 | 542 | 122 | 4 | 1 | 0 | 3 539 |
Demande abandonnée | 737 | 329 | 88 | 18 | 4 | 2 | 0 | 1 178 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 4 522 | 7 735 | 5 694 | 3 315 | 35 | 16 | 4 | 21 321 |
Article | Nombre de demandes |
---|---|
18(2) | 0 |
19(1)(a) | 0 |
19(1)(b) | 0 |
19(1)(c) | 0 |
19(1)(d) | 0 |
19(1)(e) | 0 |
19(1)(f) | 0 |
20 | 0 |
21 | 0 |
22(1)(a)(i) | 1 |
22(1)(a)(ii) | 0 |
22(1)(a)(iii) | 0 |
22(1)(b) | 64 |
22(1)(c) | 0 |
22(2) | 0 |
22.1 | 0 |
22.2 | 0 |
22.3 | 0 |
22.4 | 0 |
23(a) | 0 |
23(b) | 0 |
24(a) | 0 |
24(b) | 0 |
25 | 9 |
26 | 13 486 |
27 | 73 |
27.1 | 0 |
28 | 2 |
Article | Nombre de demandes |
---|---|
69(1)(a) | 0 |
69(1)(b) | 0 |
69.1 | 0 |
70(1) | 0 |
70(1)(a) | 0 |
70(1)(b) | 0 |
70(1)(c) | 0 |
70(1)(d) | 0 |
70(1)(e) | 0 |
70(1)(f) | 0 |
70.1 | 0 |
Papier | Électronique | Autres | |||
---|---|---|---|---|---|
Document électronique | Ensemble de données | Vidéo | Audio | ||
8,900 | 7 768 | 0 | 0 | 5 | 0 |
3.5 Complexité
Nombre de pages traitées | Nombre de pages communiquées | Nombre de demandes |
---|---|---|
1 837 744 | 1 738 097 | 17 782 |
Disposition | Moins de 100 pages traitées | 100 à 500 pages traitées | 501 à 1 000 pages traitées | 1 001 à 5 000 pages traitées | Plus de 5 000 pages traitées | |||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | |
Communication totale | 2 863 | 29 168 | 102 | 17 655 | 2 | 1 136 | 2 | 3 741 | 0 | 0 |
Communication partielle | 8 518 | 339 574 | 4 669 | 924 870 | 297 | 202 414 | 141 | 251 070 | 8 | 63 442 |
Exception totale | 0 | 0 | 0 | 0 | 2 | 1,163 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 1 166 | 1 123 | 12 | 2 388 | 0 | 0 | 0 | 0 | 0 | 0 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 12 547 | 369 865 | 4 783 | 944 913 | 301 | 204 713 | 143 | 254 811 | 8 | 63 442 |
Nombre de minutes traitées | Nombre de minutes communiquées | Nombre de demandes |
---|---|---|
265 | 0 | 5 |
Disposition | Moins de 60 minutes traitées | 60à120 minutes traitées | Plus de 120 minutes traitées | |||
---|---|---|---|---|---|---|
Nombre de demandes | Minutes traitées | Nombre de demandes | Minutes traitées | Nombre de demandes | Minutes traitées | |
Communication totale | 1 | 74 | 0 | 0 | 0 | 0 |
Communication partielle | 4 | 191 | 0 | 0 | 0 | 0 |
Exception totale | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 0 | 0 | 0 | 0 | 0 | 0 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 5 | 265 | 0 | 0 | 0 | 0 |
Nombre de minutes traitées | Nombre de minutes communiquées | Nombre de demandes |
---|---|---|
0 | 0 | 0 |
Disposition | Moins de 60 minutes traitées | 60 à 120 minutes traitées | Plus de 120 minutes traitées | |||
---|---|---|---|---|---|---|
Nombre de demandes | Minutes traitées | Nombre de demandes | Minutes traitées | Nombre de demandes | Minutes traitées | |
Communication totale | 0 | 0 | 0 | 0 | 0 | 0 |
Communication partielle | 0 | 0 | 0 | 0 | 0 | 0 |
Exception totale | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 0 | 0 | 0 | 0 | 0 | 0 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 |
Disposition | Consultation requise | Avis juridique | Renseignements entremêlés | Autres | Total |
---|---|---|---|---|---|
Communication totale | 0 | 0 | 0 | 0 | 0 |
Communication partielle | 0 | 0 | 0 | 0 | 0 |
Exception totale | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 0 | 0 | 0 | 0 | 0 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 |
3.6 Demandes fermées
Détail | Nombre de demandes fermées dans les délais prévus par la Loi |
---|---|
Nombre de demandes fermées dans les délais prévus par la Loi | 15 098 |
Pourcentage des demandes fermées dans les délais prévus par la Loi (%) | 70,8 |
3.7 Présomptions de refus
Nombre de demandes fermées au-delà des délais prévus par la Loi | Motif principal | |||
---|---|---|---|---|
Entrave au fonctionnement / Charge de travail | Consultation externe | Consultation interne consultation | Autres | |
6 223 | 6 205 | 1 | 1 | 16 |
Nombre de jours au-delà des délais prévus par la Loi | Nombre de demandes fermées au-delà des délais prévus par la Loi où aucune prolongation n’a été prise | Nombre de demandes fermées au-delà des délais prévus par la Loi où une prolongation a été prise | Total |
---|---|---|---|
1 à 15 jours | 1 937 | 44 | 1 981 |
16 à 30 jours | 1,219 | 9 | 1 228 |
31 à 60 jours | 2 846 | 3 | 2 849 |
61 à 120 jours | 131 | 4 | 135 |
121 à 180 jours | 14 | 1 | 15 |
181 à 365 jours | 7 | 4 | 11 |
Plus de 365 jours | 4 | 0 | 4 |
Total | 6 158 | 65 | 6 223 |
Demandes de traduction | Acceptées | Refusées | Total |
---|---|---|---|
De l’anglais au français | 0 | 0 | 0 |
Du français à l’anglais | 0 | 0 | 0 |
Total | 0 | 0 | 0 |
Alinéa 8(2)e) | Alinéa 8(2)m) | Paragraphe 8(5) | Total |
---|---|---|---|
0 | 0 | 0 | 0 |
Disposition des demandes de correction reçues | Nombre |
---|---|
Mentions annexées | 4 |
Demandes de correction acceptées | 1 |
Total | 5 |
Section 6 Prorogations
Nombre de demandes pour lesquelles une prorogation a été prise | 15(a)(i) Entrave au fonctionnement de l’institution | 15 (a)(ii) Consultation | 15(b) Traduction ou cas de transfert sur support de substitution | |||||
---|---|---|---|---|---|---|---|---|
Examen approfondi nécessaire pour déterminer les exceptions | Grand nombre de pages | Grand volume de demandes | Les documents sont difficiles à obtenir | Document confidentiel du Cabinet (article 70) | Externe | Interne | ||
1 304 | 0 | 0 | 1 285 | 0 | 0 | 0 | 16 | 3 |
Durée des prorogations | 15(a)(i) Entrave au fonctionnement de l’institution | 15 (a)(ii) Consultation | 15(b) Traduction ou cas de transfert sur support de substitution | |||||
---|---|---|---|---|---|---|---|---|
Examen approfondi nécessaire pour déterminer les exceptions | Grand nombre de pages | Grand volume de demandes | Les documents sont difficiles à obtenir | Documents confidentiels du Cabinet (article 70) | Externe | Interne | ||
1 à 15 jours | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 |
16 à 30 jours | 0 | 0 | 1 285 | 0 | 1 | 0 | 16 | 3 |
Plus de 31 jours | ||||||||
Total | 0 | 0 | 1 285 | 0 | 1 | 0 | 19 | 1 |
Section 7 Demandes de consultation reçues d’autres institutions et organisations
Consultations | Autres institutions du gouvernement du Canada | Nombre de pages à traiter | Autres organisations | Nombre de pages à traiter |
---|---|---|---|---|
Reçues pendant la période d’établissement de rapport | 11 | 120 | 0 | 0 |
En suspens à la fin de la période d’établissement de rapport précédente | 1 | 95 | 0 | 0 |
Total | 12 | 215 | 0 | 0 |
Fermées pendant la période d’établissement de rapport | 12 | 215 | 0 | 0 |
Reportées à l’intérieur des délais négociés à la prochaine période d’établissement de rapport | 0 | 0 | 0 | 0 |
Reportées au-delà des délais négociés à la prochaine période d’établissement de rapport | 0 | 0 | 0 | 0 |
Recommandation | Nombre de jours requis pour traiter les demandes de consultation | |||||||
---|---|---|---|---|---|---|---|---|
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
Communiquer en entier | 3 | 1 | 2 | 0 | 0 | 0 | 0 | 6 |
Communiquer en partie | 0 | 0 | 2 | 0 | 0 | 0 | 0 | 2 |
Exempter en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclure en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Consulter une autre institution | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Autre | 2 | 2 | 0 | 0 | 0 | 0 | 0 | 4 |
Total | 5 | 3 | 4 | 0 | 0 | 0 | 0 | 12 |
Recommandation | Nombre de jours requis pour traiter les demandes de consultation | |||||||
---|---|---|---|---|---|---|---|---|
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
Communiquer en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Communiquer en partie | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exempter en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclure en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Consulter une autre institution | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Autre | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Section 8 Délais de traitement des demandes de consultation sur les documents confidentiels du Cabinet
Nombre de jours | Moins de 100 pages traitées | De 100 à 500 pages traitées | De 501 à 1 000 pages traitées | De 1 001 à 5 000 pages traitées | Plus de 5 000 pages traitées | |||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | |
1 à 15 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
16 à 30 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
31 à 60 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
61 à 120 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
121 à 180 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
181 à 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Plus de 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Nombre de jours | Moins de 100 pages traitées | De 100 à 500 pages traitées | De 501 à 1 000 pages traitées | De 1 001 à 5 000 pages traitées | Plus de 5 000 pages traitées | |||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | |
1 à 15 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
16 à 30 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
31 à 60 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
61 à 120 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
121 à 180 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
181 à 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Plus de 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Article 31 | Article 33 | Article 35 | Recours judiciaire | Total |
---|---|---|---|---|
27 | 21 | 26 | 0 | 74 |
Section 10 Évaluations des facteurs relatifs à la vie privée et des Fichiers de renseignements personnels
Nombre d’ÉFVP terminées | 19 |
---|---|
Nombre d’ÉFVP modifiées | 3 |
Fichiers de renseignements personnels | Actifs | Créés | Supprimés | Modifiés |
---|---|---|---|---|
Spécifiques à l’institution | 65 | 0 | 0 | 5 |
Centraux | 0 | 0 | 0 | 0 |
Total | 65 | 0 | 0 | 5 |
Section 11 Atteintes à la vie privée
Nombre d’atteintes substantielles à la vie privée signalées au SCT | 193 |
---|---|
Nombre d’atteintes substantielles à la vie privée signalées au CPVP | 193 |
Nombre d’atteintes à la vie privée non-substantielles | 1 140 |
---|
Section 12 Ressources liées à la Loi sur la protection des renseignements personnels
Dépenses | Montant | |
---|---|---|
Salaires | 7 296 084 $ | |
Heures supplémentaires | 272 979 $ | |
Biens et services Contrats de services professionnels (286 383 $) Autres (18 187 $) |
304 570 $ | |
Total | 7 878 533 $ |
Ressources | Années-personnes consacrées aux activités liées à la protection des renseignements personnels |
---|---|
Employés à temps plein | 34,246 |
Employés à temps partiel et occasionnels | 0,000 |
Employés régionaux | 61,210 |
Experts-conseils et personnel d’agence | 1,100 |
Étudiants | 1,972 |
Total | 98,493 |
Rapport statistique supplémentaire sur la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels
Nom de l’institution : Emploi et Développement social Canada
Période de rapport : De 2022-04-01 à 2023-03-31
Capacité | Nombre de semaines |
---|---|
Capacité de recevoir des demandes par la poste | 52 |
Capacité de recevoir des demandes par courriel | 52 |
Capacité de recevoir des demandes au moyen du service de demande numérique | 52 |
Section 2 Capacité de traiter les dossiers sous la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels
traiter | Ne peut pas traiter | Peut traiter en partie | Peut traiter en totalité | Total |
---|---|---|---|---|
Documents papiers non classifiés | 0 | 0 | 52 | 52 |
Documents papiers Protégé B | 0 | 0 | 52 | 52 |
Documents papiers Secret et Très secret | 0 | 0 | 52 | 52 |
traiter | Ne peut pas traiter | Peut traiter en partie | Peut traiter en totalité | Total |
---|---|---|---|---|
Documents électroniques non classifiés | 0 | 0 | 52 | 52 |
Documents électroniques Protégé B | 0 | 0 | 52 | 52 |
Documents électroniques Secret et Très secret | 0 | 0 | 52 | 52 |
Section 3 Demandes ouvertes et plaintes en vertu de la Loi sur l’accès à l’information
Exercice financier au cours duquel les demandes ouvertes ont été reçues | Demandes ouvertes dans les délais prescrits par la Loi en date du 31 mars 2022 | Demandes ouvertes dépassant les délais prescrits par la Loi en date du 31 mars 2022 | Total |
---|---|---|---|
Reçues en 2022 à 2023 | 189 | 115 | 304 |
Reçues en 202 à 2022 | 7 | 70 | 77 |
Reçues en 2020 à 2021 | 4 | 55 | 59 |
Reçues en 2019 à 2020 | 5 | 33 | 38 |
Reçues en 2018 à 2019 | 0 | 8 | 8 |
Reçues en 2017 à 2018 | 0 | 4 | 4 |
Reçues en 2016 à 2017 | 0 | 1 | 1 |
Reçues en 2015 à 2016 ou plus tôt | 0 | 0 | 0 |
Total | 205 | 286 | 491 |
Exercice financier au cours duquel les plaintes ouvertes ont été reçues par institution | Nombre de plaintes ouvertes |
---|---|
Reçues en 2022 à 2023 | 0 |
Reçues en 2021 à 2022 | 10 |
Reçues en 2020 à 2021 | 0 |
Reçues en 2019 à 2020 | 0 |
Reçues en 2018 à 2019 | 0 |
Reçues en 2017 à 2018 | 0 |
Reçues en 2016 à 2017 | 0 |
Reçues en 2015 à 2016 | 0 |
Reçues en 2014 à 2015 | 0 |
Reçues en 2013 à 2014 ou plus tôt | 0 |
Total | 10 |
Section 4: Demandes ouvertes et plaintes en vertu de la Loi sur la protection des renseignements personnels
Exercice financier au cours duquel les demandes ouvertes ont été reçues | Demandes ouvertes dans les délais prescrits par la Loi en date du 31 mars 2023 | Demandes ouvertes dépassant les délais prescrits par la Loi en date du 31 mars 2023 | Total |
---|---|---|---|
Reçues en 2022 à 2023 | 1 523 | 79 | 1 602 |
Reçues en 2021 à 2022 | 2 | 16 | 18 |
Reçues en 2020 à 2021 | 0 | 8 | 8 |
Reçues en 2019 à 2020 | 0 | 2 | 2 |
Reçues en 2018 à 2019 | 0 | 0 | 0 |
Reçues en 2017 à 2018 | 0 | 1 | 1 |
Reçues en 2016 à 2017 | 0 | 0 | 0 |
Reçues en 2015 à 2016 | 0 | 0 | 0 |
Reçues en 2014 à 2015 | 0 | 0 | 0 |
Reçues en 2013 à 2014 ou plus tôt | 0 | 0 | 0 |
Total | 1 525 | 106 | 1 631 |
Exercice financier au cours duquel les plaintes ouvertes ont été reçues par institution | Nombre de plaintes ouvertes |
---|---|
Reçues en 2022 à 2023 | 11 |
Reçues en 2021 à 2022 | 9 |
Reçues en 2020 à 2021 | 2 |
Reçues en 2019 à 2020 | 0 |
Reçues en 2018 à 2019 | 0 |
Reçues en 2017 à 2018 | 0 |
Reçues en 2016 à 2017 | 2 |
Reçues en 2015 à 2016 | 0 |
Reçues en 2014 à 2015 | 0 |
Reçues en 2013 à 2014 ou plus tôt | 1 |
Total | 25 |
Votre institution a-t-elle reçu l’autorisation de procéder à une nouvelle collecte ou à une nouvelle utilisation cohérente du NAS en 2021 à -2022? | Oui |
---|
Combien de demandes ont été reçues de la part de ressortissants étrangers confirmés en dehors du Canada en 2022 à 2023? | 0 |
---|
Détails de la page
- Date de modification :