Rapport annuel sur l’application de la Loi sur la protection des renseignements personnels 2023 à 2024
Sur cette page
- Survol de l’exercice 2023 à 2024 d’Emploi et Développement social Canada en ce qui concerne la protection des renseignements personnels
- 1. Introduction
- 2. Contexte organisationnel
- 3. Régime de protection des renseignements personnels d’Emploi et Développement social Canada
- 4. Politiques, procédures et initiatives
- 5. Aperçu du rendement
- 6. Plaintes, enquêtes et recours judiciaires
- 7. Divulgations d’intérêt public
- 8. Atteintes substantielles à la vie privée
- 9. Activités de formation et de sensibilisation
- Annexe A : Arrêté sur la délégation
- Annexe B : Sommaire des évaluations des facteurs relatifs à la vie privée qui ont été réalisées
- Annexe C : Rapport statistique
Liste des figures
- Figure 1 : Structure organisationnelle de la fonction de protection des renseignements personnels d’EDSC
- Figure 2 : Nombre de demandes en vertu de la Loi sur la protection des renseignements personnels traitées dans les délais prévus par la loi ou au-delà de ceux-ci
- Figure 3 : Demandes en vertu de la Loi sur la protection des renseignements personnels par nombre de jours civils de traitement
Liste des tableaux
- Tableau 1 : Nombre de demandes actives en suspens depuis un exercice précédent
- Tableau 2 : Nombre de demandes en vertu de la Loi sur la protection des renseignements personnels pour lesquelles une prorogation a été accordée
- Tableau 3 : Demandes de consultation reçues d’autres institutions du gouvernement du Canada et d’autres organismes
- Tableau 4 : Pourcentage de demandes traitées pour lesquelles des documents ont fait l’objet d’une « communication totale » et pourcentage pour lesquelles des documents ont fait l’objet d’une « communication partielle »
- Tableau 5 : Nombre de divulgations selon le motif
- Tableau 6 : Description des atteintes substantielles à la vie privée et des plans d’action
Survol de l’exercice 2023 à 2024 d’Emploi et Développement social Canada en ce qui concerne la protection des renseignements personnels
Emploi et Développement social Canada (EDSC) est responsable de l’élaboration, de la gestion et de la prestation de programmes et de services sociaux, y compris certains des plus importants programmes du pays comme l’assurance-emploi, le Régime de pensions du Canada (RPC) et le Programme de passeport. Dans le cadre de son mandat, EDSC recueille et contrôle un nombre important de renseignements personnels. Il exécute à cette fin diverses activités de collecte, d’utilisation, de conservation et de divulgation de renseignements, et travaille en coordination avec un éventail de partenaires et d’intervenants. La gestion de la protection des renseignements personnels continue d’être une composante essentielle de l’offre des programmes et de la réalisation des priorités d’EDSC, que ce soit dans le cadre de l’exécution des programmes, de la validation de l’identité des personnes, de la réalisation de recherches et d’analyses ou de l’exécution d’opérations d’intégrité.
Au cours de l’exercice 2023 à 2024, EDSC a reçu 21 722 demandes, soit une augmentation de 4,3 % par rapport à l’exercice précédent, et a atteint un taux de conformité de 73,5 % en tant que mesure du pourcentage de tous les dossiers qui ont été fermés dans le délai initial de 30 jours ou pendant une période de prorogation. En outre, le Ministère a traité un nombre record de 1,91 million de pages pour déterminer les exemptions et les exclusions, dont 1,77 million ont été divulguées.
Tandis que le nombre de demandes présentées en vertu de la Loi sur la protection des renseignements personnels continue d’augmenter, le Ministère demeure déterminé à fournir efficacement et rapidement aux Canadiens leurs renseignements personnels lorsqu’ils en font la demande. Au cours de la période visée par le rapport, EDSC a réalisé d’importants progrès dans l’amélioration des renseignements accessibles au public au moyen d’une orientation, d’une navigation et de résultats de recherche à jour sur le site Canada.ca afin d’aider les Canadiens à obtenir de l’information aussi efficacement que possible. Lorsque les renseignements personnels sont facilement accessibles et qu’une demande d’accès en vertu de la Loi sur la protection des renseignements personnels n’est pas requise, les personnes sont invitées à utiliser Mon dossier Service Canada (MDSC) et Mon dossier pour les particuliers (Agence du revenu du Canada (ARC)). Elles peuvent également obtenir du soutien lorsqu’elles présentent une demande en ligne. Ces solutions devraient permettre de rediriger vers des ressources facilement accessibles des milliers de demandes qui seraient autrement soumises par voie du processus de la Loi sur la protection des renseignements personnels, qui nécessite davantage de temps.
La préparation organisationnelle à une fonction d’AIPRP numérique est tout aussi importante pour l’engagement d’EDSC envers un service axé sur le client. Au cours de la période visée par le rapport, le Ministère a poursuivi les préparatifs en vue de la mise en œuvre de nouvelles technologies d’AIPRP ainsi que de normes et de procédures mises à jour qui devraient améliorer l’expérience client et les normes de service.
À plus grande échelle, des projets de modernisation de la technologie de l’information du Ministère ont été évalués pour s’assurer que les moyens techniques et administratifs appropriés pour protéger les renseignements personnels sont intégrés aux nouveaux systèmes avant leur mise en œuvre. Par exemple, EDSC a adopté une approche de protection des renseignements personnels dès la conception pour son programme de Modernisation du versement des prestations, une initiative de transformation à grande échelle pour le versement des prestations de l’assurance-emploi, du RPC et de la Sécurité de la vieillesse (SV). Le programme est géré par une équipe spécialisée en protection des renseignements personnels pour intégrer la gestion de la protection des renseignements personnels tout au long de son développement. Pour ce qui est des systèmes en place et fonctionnels, les liens entre la protection des renseignements personnels et la cybersécurité font l’objet d’une surveillance étroite pour aider à défendre le Ministère contre les menaces actuelles et futures qui pèsent sur les données qu’il contrôle. Chaque nouvelle initiative ou activité est examinée afin de s’assurer que les intérêts des Canadiens au chapitre de la protection des renseignements personnels sont respectés et protégés.
EDSC est fier d’offrir des programmes et des services aux Canadiens à des étapes clés de leur vie. Comme le montre le rapport, on continue d’accorder la priorité à la gérance responsable des renseignements personnels, à la transparence et au service à la clientèle en tant que parties intégrantes de l’exécution du mandat d’EDSC.
1. Introduction
Présentation du présent rapport
L’article 72 de la Loi sur la protection des renseignements personnels oblige le responsable d’une institution fédérale à soumettre au Parlement un rapport annuel sur l’application de cette Loi à la fin de chaque exercice. Le présent document est le rapport annuel sur l’application de la Loi sur la protection des renseignements personnels au cours de l’exercice 2023 à 2024 déposé au Parlement par EDSC.
EDSC ne fait pas rapport au nom de filiales en propriété exclusive ni d’institutions non opérationnelles.
À propos d’EDSC
Le ministère de l’Emploi et du Développement social, qu’on appelle communément EDSC, est le ministère du gouvernement du Canada responsable de l’élaboration, de la gestion et de la prestation des programmes et services sociaux. Il a pour mission de bâtir un Canada plus fort et plus inclusif, d’aider les Canadiens à faire les bons choix afin que leur vie soit productive et gratifiante, et d’améliorer leur qualité de vie. Les principales responsabilités d’EDSC sont les suivantes :
- Développement social : Améliorer l’inclusion et les possibilités de participation des Canadiens dans leurs collectivités;
- Régimes de pensions et prestations : Aider les Canadiens à conserver un revenu à la retraite et verser une aide financière aux conjoints survivants, aux personnes en situation de handicap et à leur famille`;
- Apprentissage, développement des compétences et emploi : Aider les Canadiens à accéder aux études postsecondaires, à obtenir les compétences et la formation nécessaires pour participer à un marché du travail en évolution et offrir un soutien aux personnes qui sont temporairement sans emploi;
- Conditions et relations de travail : Promouvoir des conditions de travail sûres, saines, équitables et inclusives ainsi que des relations de travail axées sur la collaboration;
- Diffusion d’information et prestation de services au nom d’autres ministères : Fournir de l’information au public sur les programmes du gouvernement du Canada et offrir des services au nom d’autres ministères et partenaires.
La structure organisationnelle d’EDSC compte 3 grandes entités:
- Emploi et Développement social Canada conçoit et gère des programmes à l’intention de Canadiens de tous âges comme les aînés qui ont une sécurité du revenu de base, fournit un soutien aux chômeurs, aide les étudiants à financer leurs études postsecondaires et appuie les parents qui élèvent de jeunes enfants;
- Le Programme du travail contribue au bien-être social et économique en favorisant des environnements de travail sûrs, sains, équitables et inclusifs et des milieux de travail axés sur la collaboration qui relèvent de la compétence fédérale. Il fournit également des services de médiation en relations de travail, établit des conditions de travail minimales, fait la promotion du travail décent et favorise le respect des normes internationales du travail;
- Service Canada offre aux Canadiens un point d’accès unique à une vaste gamme de services et de prestations du gouvernement. En octobre 2022, il avait un réseau de 598 points de service en personne partout au pays, y compris 318 Centres Service Canada, 247 sites de services mobiles et 17 bureaux de passeport autonomes. Il exploitait 28 centres d’appels et 47 autres centres des opérations dans 5 régions canadiennes. En plus d’offrir des services en personne, Service Canada répond aux besoins des Canadiens en ligne sur le site Canada.ca et par l’entremise de MDSC, de la ligne téléphonique « 1 800 O-Canada » et de son réseau de centres d’appels.
Le Ministère est responsable de la conception et de la prestation de nombreux importants programmes et services fédéraux, dont les suivants :
- Programme de la Sécurité de la vieillesse;
- Régime de pensions du Canada;
- Assurance-emploi;
- Programme du numéro d’assurance sociale;
- Programme canadien pour l’épargne-invalidité;
- Programme canadien d’aide financière aux étudiants;
- Prêt canadien aux apprentis;
- Programme canadien pour l’épargne-études;
- Programme de protection des salariés;
- Services de passeport.
Ces programmes et services, ainsi que bien d’autres, comptent parmi les plus importants et les plus connus offerts par le gouvernement du Canada.
EDSC est dirigé par 5 ministres, appuyés par 5 sous-ministres responsables de ses activités quotidiennes, de son budget et de l’élaboration de ses programmes.
Comptant plus de 41 000 employés, EDSC est l’un des plus importants ministères du gouvernement fédéral. Il dessert l’ensemble du pays, et 73 % de ses employés travaillent à l’extérieur de la région de la capitale nationale.
Structure organisationnelle d’Emploi et Développement social Canada
Mission :
The mission of Employment and Social Development Canada, including the Labour Program and Service Canada, is to build a strong and more inclusive Canada, to support Canadians in helping them live productive and rewarding lives and to improve Canadians' quality of life.
Ministers
- Ministre de l’Emploi, du Développement de la main‑d’œuvre et des Langues officielles
- Ministre de la Famille, des Enfants et du Développement social
- Ministre du Travail et des Aînés
- Ministre de la Diversité, de l’Inclusion et des Personnes en situation de handicap
- Ministre des Services aux citoyens
Sous-ministres :
- Sous-ministre de l’Emploi et du Développement social
- Sous-ministre délégué de l’Emploi et du Développement social et chef de l’exploitation pour Service Canada
- Sous-ministre du Travail et sous-ministre déléguée de l’Emploi et du Développement social
- Sous-ministre déléguée principale de l’Emploi et du Développement social
- Dirigeant principal des activités, Modernisation du versement des prestations, Emploi et Développement social
Emploi et Développement social
Responsable de l’élaboration de politiques et de la conception et de la gestion de programmes :
- Programme de Sécurité de la vieillesse
- Régime de pensions du Canada
- Programme canadien d’aide financière aux étudiants
- Programme canadien pour l’épargne-études
- Service jeunesse Canada
- Stratégie canadienne de formation en apprentissage
- Régime d’assurance-emploi
- Fonds d’habilitation pour les communautés de langue officielle en situation minoritaire
- Programme de reconnaissance des titres de compétences étrangers
- Programme de formation pour les compétences et l’emploi destiné aux Autochtones
- Ententes de transfert relatives au marché du travail
- Fonds d’intégration pour les personnes handicapées
- Fonds pour les compétences et les partenariats
- Programme de la Stratégie emploi et compétences jeunesse
Directions générales :
- Direction générale de la sécurité du revenu et du développement social
- Direction générale de l’apprentissage
- Direction générale des compétences et de l’emploi
- Direction générale des politiques stratégiques et de service
Programme du travail
Responsable de résoudre les problèmes de main-d’œuvre qui touchent les industries sous réglementation fédérale au Canada :
- Gestion des relations du gouvernement du Canada avec ses partenaires internationaux, fédéraux, provinciaux et territoriaux, ainsi qu’avec les syndicats et les employeurs
- Prestation de services de médiation et de conciliation à l’intention des syndicats et des employeurs du secteur privé sous réglementation fédérale
- Promotion du respect des normes internationales du travail auprès des partenaires internationaux du Canada
- Administration des règlements et des lois sur le travail dans les domaines de la sécurité au travail, des normes du travail, de l’équité en matière d’emploi et de l’indemnisation des employés de l’État
Directions générales :
- Direction générale de la conformité, des opérations et du développement du programme
- Direction générale de la politique, du règlement des différends et des affaires internationales
Service Canada
Responsable de fournir aux Canadiens des services et de l’information en personne, en ligne, par téléphone et par la poste, et constitue un point d’accès unique aux programmes d’EDSC et à d’autres programmes du gouvernement du Canada :
- Prestation de programme et versement de prestations
- Centres Service Canada (CSC)
- Sites de services mobiles réguliers
- Sites des CSC – Services de passeport
- Mon dossier Service Canada
- Services de liaison aux communautés
- Opérations téléphoniques
- Présence numérique (numéro d’assurance sociale électronique et Canada.ca)
- Gestion de l’identité
- Activités d’intégrité des programmes
- Programme des travailleurs étrangers temporaires
Directions générales :
- Direction générale des prestations et des services intégrés
- Service numérique canadien
- Direction générale des services aux citoyens
- Direction générale des services d’intégrité
- Direction générale des opérations de programmes
- Direction générale des politiques stratégiques et de service
- Direction générale du Programme des travailleurs étrangers temporaires
- Région de l’Atlantique
- Région du Québec
- Région de l’Ontario
- Région de l’Ouest et des Territoires
Facilitateurs internes :
- Direction générale de la dirigeante principale des données
- Direction générale du dirigeant principal des finances
- Secrétariat ministériel
- Direction générale des services de ressources humaines
- Direction générale de l’innovation, de l’information et de la technologie ;
- Innovation, Information et Technologie
- Direction générale d’audit interne et gestion des risques d’entreprise
- Direction des services juridiques
- Direction générale des affaires publiques et des relations avec les intervenants
2. Contexte organisationnel
Secrétariat ministériel et chef de la protection des renseignements personnels d’EDSC
La Direction générale du Secrétariat ministériel est responsable de la publication et de la supervision de la politique de gestion de la protection des renseignements personnels du Ministère. Ses tâches consistent aussi à formuler des conseils et des directives en la matière, et à traiter les demandes de renseignements personnels reçues par EDSC dans la région de la capitale nationale. Ces activités sont menées par la Division des opérations de l’AIPRP de la Direction générale, avec le soutien fonctionnel des 4 directions générales régionales d’EDSC et de la Division de la gestion de la protection des renseignements personnels (DGPRP) (voir la figure 1).
La secrétaire ministérielle dirige la Direction générale et est la chef de la protection des renseignements personnels (CPRP) désignée d’EDSC. La CPRP est l’autorité fonctionnelle du Ministère pour toutes les questions relatives à la protection des renseignements personnels, y compris le traitement des demandes reçues à cet égard et la gestion des renseignements personnels. La CPRP formule des conseils stratégiques sur la politique de protection des renseignements personnels et assure la prestation du programme de gestion de la protection des renseignements personnels d’EDSC, ce qui inclut la détermination de la conformité aux obligations législatives, aux politiques et aux normes, ainsi que la tenue de formations sur la protection des renseignements personnels et d’évaluations des risques en la matière. Tous ces éléments sont essentiels à la mise en œuvre d’une approche fondée sur le respect de la vie privée dès la conception.
Division des opérations de l’accès à l’information et de la protection des renseignements personnels
La Division des opérations de l’AIPRP applique la Loi sur l’accès à l’information et les éléments de la Loi sur la protection des renseignements personnels concernant les demandes reçues en vertu de cette loi pour EDSC. Elle dirige et conseille le traitement de toutes les demandes d’EDSC reçues en vertu de la Loi sur l’accès à l’information, procède à l’examen ligne par ligne des documents demandés en vertu des lois, et fournit des séances de formation et de sensibilisation aux employés du Ministère sur l’application de ces lois. Le directeur de la Division est le coordonnateur désigné de l’AIPRP pour EDSC.
La responsabilité du traitement des demandes relatives à la Loi sur la protection des renseignements personnels au sein d’EDSC est partagée entre la Division des opérations de l’AIPRP et les 4 directions régionales du Ministère : Atlantique, Ontario, Québec, et Ouest et Territoires. La Division des opérations de l’AIPRP a comme tâche de coordonner les activités d’AIPRP dans les directions générales et les bureaux régionaux d’EDSC, ce qui englobe les activités suivantes :
- répondre aux demandes reçues en vertu de la Loi sur l’accès à l’information;
- répondre à certaines demandes reçues en vertu de la Loi sur la protection des renseignements personnels;
- fournir une orientation fonctionnelle aux régions en ce qui concerne les volets des opérations et de la présentation de rapports de la fonction de protection des renseignements personnels;
- offrir aux employés des séances de formation générale et personnalisée sur l’application des 2 lois.
La Division examine également les publications effectuées conformément au principe du gouvernement ouvert pour s’assurer qu’elles respectent la Loi sur la protection des renseignements personnels.
La Division des opérations de l’AIPRP est composée d’une unité de réception des demandes d’accès à l’information et de protection des renseignements personnels et d’équipes chargées du traitement de ces demandes. À la fin de l’exercice 2023 à 2024, la Division des opérations de l’AIPRP comptait environ 28 employés.
Opérations régionales de protection des renseignements personnels
Les directions générales régionales jouent un rôle clé à l’appui des responsabilités du Ministère en ce qui concerne l’application de la Loi sur la protection des renseignements personnels. Au cours de l’exercice 2023 à 2024, environ 65 employés des régions étaient chargés de traiter les dossiers d’AIPRP. Dans chaque région, un réseau d’agents de liaison et de gestionnaires appuie le traitement des demandes reçues en vertu de la Loi sur la protection des renseignements personnels, et fournit une orientation et des conseils directement aux secteurs de programme tout en assurant la coordination avec la Division des opérations de l’AIPRP.
Division de la gestion de la protection des renseignements personnels (DGPRP)
La DGPRP est le centre d’expertise d’EDSC en matière de politiques de protection des renseignements personnels, et le centre de liaison du Ministère pour les conseils d’expert en matière de protection des renseignements personnels. Elle dirige les travaux de mise en œuvre horizontale des politiques et initiatives ministérielles en matière de protection des renseignements personnels, effectue des évaluations des risques et fournit des consignes sur la conformité en matière de protection des renseignements personnels. Ce faisant, la Division adopte des approches axées sur la protection de la vie privée dès la conception qui intègrent les considérations relatives à la protection des renseignements personnels dès les premiers stades des nouveaux programmes et projets et des nouvelles initiatives. La DGPRP examine également les ententes d’échange de renseignements proposées et les ébauches de contrats. La Division répond aux demandes de documents provenant des tribunaux et des organismes d’application de la loi, gère les divulgations de renseignements dans l’intérêt public, joue un rôle clé dans la gestion et la prévention des atteintes à la vie privée, et appuie les activités de formation et de sensibilisation à la protection des renseignements personnels. En tant que
centre d’expertise du Ministère en matière de protection des renseignements personnels, la DGPRP fournit des conseils analytiques et stratégiques sur la politique de protection des renseignements personnels au CPRP et aux cadres supérieurs d’EDSC.
La Division est organisée en 4 groupes fonctionnels, soit une unité d’évaluation des risques et de politique de protection des renseignements personnels, une unité de services consultatifs et de conformité en matière de protection des renseignements personnels, une unité de divulgations législatives et de gestion des incidents, et une très petite équipe de planification et de conseils stratégiques. À la fin de l’exercice 2023 à 2024, la DGPRP comptait 37 employés. De plus, 3 consultants ont été embauchés pour occuper des postes à temps partiel au cours de la période visée par le rapport.
Convention de services avec Normes d’accessibilité Canada (NAC)
EDSC a conclu un protocole d’entente pour la prestation de services d’AIPRP avec NAC, un organisme ministériel indépendant faisant partie du portefeuille du Ministère. NAC, qui a été mis sur pied en vertu de la Loi canadienne sur l’accessibilité, a pour mandat de créer un Canada sans obstacle au plus tard le 1er janvier 2040. Les services de protection des renseignements personnels fournis comprennent des services de traitement des demandes, des conseils et des statistiques en vue de la préparation des rapports annuels, des fonctions de liaison et de la formation. Au besoin, le Ministère fournit des analyses et formule des conseils en ce qui touche les évaluations des facteurs relatifs à la vie privée (EFVP), les ententes d’échange de renseignements, les divulgations, la passation de marchés, la conformité aux lois et aux politiques, et assure la gestion des incidents de sécurité relatifs à des renseignements personnels.
3. Régime de protection des renseignements personnels d’Emploi et Développement social Canada
Cadre juridique pour la protection des renseignements personnels
EDSC exerce ses activités dans l’un des régimes de protection des renseignements personnels les plus complexes du gouvernement fédéral. Par conséquent, il doit appliquer efficacement une myriade de lois et de politiques sur la protection des renseignements personnels et doit pouvoir s’y retrouver dans celles-ci. Ses obligations légales sont établies dans la Loi sur la protection des renseignements personnels et dans les dispositions sur la protection des renseignements personnels de la Loi sur le ministère de l’Emploi et du Développement social (LMEDS). De plus, étant donné les nombreux efforts de collaboration auxquels EDSC participe pour exécuter des programmes et offrir des services d’envergure nationale, l’interopérabilité juridique avec les organisations du gouvernement du Canada, les provinces et les territoires ainsi que les administrations municipales est toujours une exigence importante.
La Loi sur la protection des renseignements personnels est la loi fédérale qui protège les renseignements personnels relevant des institutions du secteur public fédéral. Cette Loi, qui s’inscrit dans la foulée de la Charte canadienne des droits et libertés, est un élément fondamental en vue de préserver les intérêts des personnes au Canada au chapitre de la protection des renseignements personnels. Elle énonce les règles applicables à la gestion des renseignements personnels par le gouvernement en fournissant un cadre qui établit les exigences que doivent respecter les institutions fédérales quant à la façon dont elles peuvent recueillir, utiliser, conserver et divulguer des renseignements personnels.
La collecte et l’utilisation de renseignements personnels par les institutions fédérales sont fondées sur une autorité ou une autorisation légale. Les institutions fédérales peuvent seulement recueillir ou utiliser des renseignements personnels ayant un lien suffisamment direct avec les activités et programmes autorisés par la loi.
Les renseignements personnels détenus par une institution fédérale ne peuvent pas être divulgués sans le consentement de la personne concernée, sauf dans des circonstances particulières. Cela comprend les utilisations conformes au but de la collecte initiale autorisée par la loi fédérale qui vise à assurer la conformité avec des instruments juridiques, comme les assignations à comparaître et les ordonnances judiciaires, dans les cas où il y a un avantage évident pour la personne et dans ceux où l’intérêt public l’emporte sur toute violation de la vie privée. Fait important, la Loi accorde aux personnes le droit de demander l’accès à leurs renseignements personnels détenus par une institution fédérale et celui de demander l’apport de corrections à leurs renseignements lorsque ceux-ci sont inexacts. En outre, la Loi sur la protection des renseignements personnels confère au commissaire à la protection de la vie privée le titre d’agent indépendant du Parlement dont la responsabilité consiste à superviser la mise en œuvre de la Loi et qui a le pouvoir de recevoir les plaintes et d’enquêter sur celles-ci.
Il existe aussi des politiques et des directives qui sont établies par le président du Conseil du Trésor ou par un représentant autorisé et qui servent d’outils complémentaires pour assurer l’application de la Loi par les institutions fédérales, dont EDSC.
En plus de respecter la Loi sur la protection des renseignements personnels, EDSC doit assurer la gestion des renseignements personnels conformément aux obligations énoncées dans sa loi habilitante. La LMEDS établit les règles applicables aux renseignements personnels détenus par EDSC, et elle est mise en application de concert avec la Loi sur la protection des renseignements personnels. La LMEDS énonce les exigences suivantes :
- rendre des renseignements personnels accessibles à d’autres institutions fédérales, à des autorités provinciales et territoriales ou à des partenaires internationaux à des fins d’application et d’intégrité;
- rendre des renseignements personnels accessibles dans l’intérêt public et à des fins d’exécution de la loi;
- rendre accessibles les renseignements contenus dans le Registre d’assurance sociale;
- utiliser les renseignements personnels à des fins d’analyse stratégique interne, de recherche et d’évaluation;
- rendre accessibles les renseignements personnels à des fins de recherche ou d’analyse statistique.
Lorsque le Ministère fournit des services au public au nom d’autres institutions et administrations fédérales, ou lorsqu’il offre certains services pour le gouvernement du Canada, c’est le régime de protection des renseignements personnels du partenaire – habituellement la Loi sur la protection des renseignements personnels, qui s’appliquera, plutôt que la LMEDS.
Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels
L’article 73 de la Loi sur la protection des renseignements personnels autorise le responsable d’une institution à déléguer à des employés de l’institution les pouvoirs, devoirs et fonctions que lui confère cette loi, généralement par arrêté. Cet instrument attribue les pouvoirs, devoirs et fonctions d’application de la Loi qui ont été délégués par le responsable de l’institution et précise à qui ils ont été délégués.
L’arrêté actuel sur la délégation en vertu de la Loi sur la protection des renseignements personnels, qui a été approuvé par le ministre de l’Emploi, du Développement de la main‑d’œuvre et des Langues officielles en mars 2024, est présenté à l’annexe A.
Politique ministérielle sur la gestion de la protection des renseignements personnels
La Politique ministérielle sur la gestion de la protection des renseignements personnels soutient un régime de protection des renseignements personnels solide aux fins de la protection et de l’utilisation judicieuse des renseignements personnels par EDSC. En complément des politiques, des directives et des normes du SCT, la politique d’EDSC situe ces obligations en matière de protection des renseignements personnels dans le contexte opérationnel du Ministère. Elle codifie les exigences relatives à la gestion et à la protection des renseignements personnels, énonce des principes clairs et universels pour la politique de protection des renseignements personnels, et précise les rôles et les responsabilités en matière de gestion des renseignements personnels, notamment les obligations redditionnelles et les responsabilités fonctionnelles particulières en vigueur. Elle établit également le Cadre de gestion de la protection des renseignements personnels d’EDSC, décrit ci-après, désigne le CPRP et établit les mécanismes de gouvernance de la protection des renseignements personnels du Ministère.
Parmi les résultats attendus de la Politique ministérielle sur la gestion de la protection des renseignements personnels figurent :
- la saine gestion et la protection des renseignements personnels par le Ministère;
- l’adoption de pratiques rigoureuses de repérage, d’évaluation et de gestion des risques pesant sur les renseignements personnels;
- l’établissement de responsabilités claires accompagnées de mécanismes et de structures de gouvernance efficaces pour protéger et gérer les renseignements personnels dont EDSC doit assurer l’intendance.
Cadre de gestion de la protection des renseignements personnels
Le Cadre de gestion de la protection des renseignements personnels d’EDSC promeut une approche proactive concernant la gestion des renseignements personnels, en favorisant l’intégration des pratiques de protection des renseignements personnels à l’ensemble des fonctions ministérielles ainsi que la protection des renseignements personnels dès la conception à l’architecture des programmes, des systèmes et des processus opérationnels. Le Cadre comprend 5 éléments :
- Gouvernance et responsabilisation : Les rôles et responsabilités en matière de protection des renseignements personnels sont clairement définis;
- Intendance des renseignements personnels : Des mesures appropriées de protection des renseignements personnels sont mises en œuvre pour que les renseignements personnels soient bien gérés tout au long de leur cycle de vie;
- Assurance de la conformité : Des pratiques et des processus officiels sont en place afin d’assurer le respect des précisions, des politiques, des normes et des lois en matière de protection des renseignements personnels;
- Gestion efficace des risques : Des activités structurées et coordonnées d’identification et d’évaluation des risques sont menées pour réduire la probabilité que des incidents négatifs se produisent et limiter les répercussions de ces derniers, le cas échéant;
- Culture, formation et sensibilisation : Des activités de formation et de sensibilisation relatives à la protection des renseignements personnels soutiennent un organisme qui est conscient de cet enjeu et qui accorde de l’importance à la protection et à l’intendance des renseignements personnels.
Le Cadre est un élément de base à la fois clair et concis qui sert à établir et à exécuter un programme complet de protection des renseignements personnels au Ministère.
Gouvernance de la protection des renseignements personnels à EDSC
EDSC utilise une structure de comité pour soutenir la gouvernance de la protection de la vie privée, la surveillance des risques et la prise de décisions. Le principal organe de gouvernance du Ministère en matière de protection des renseignements personnels est le Comité des données et de la protection des renseignements personnels (CDPRP), qui est coprésidé par le CPRP et par un directeur général de la Direction générale de la dirigeante principale des données. Le CDPRP a pour mandat d’assurer la surveillance de la gestion des renseignements personnels confiés au Ministère ainsi que de la gestion des ressources de données organisationnelles. Le CDPRP appuie la mise en œuvre et la tenue à jour de la stratégie en matière de données et des programmes de gestion de la protection des renseignements personnels d’EDSC, supervise les processus de gestion du risque au regard de la gestion des données et des renseignements personnels, et appuie l’instauration d’une culture ministérielle conformément à laquelle les données constituent un actif opérationnel qui devrait être maximisé dans le respect du droit à la vie privée des Canadiens.
Le CDPRP relève du Comité de gestion d’entreprise (CGE) des sous-ministres adjoints. Le CGE agit à titre d’organe horizontal de surveillance et de prise de décisions du Ministère en ce qui touche la mise en œuvre des stratégies, des politiques et des lignes directrices et des plans organisationnels liés à la gestion du risque, des données, de l’information, de la technologie et de la sécurité, ainsi que des finances et des ressources organisationnelles.
4. Politiques, procédures et initiatives
En raison de l’ampleur et de l’étendue de ses activités, EDSC est responsable de la gestion d’un des plus importants fonds de renseignements personnels du gouvernement du Canada. Pour offrir ses programmes et services, le Ministère doit recueillir, utiliser et divulguer de grandes quantités de données. Souvent, des renseignements personnels détaillés et de nature délicate sont nécessaires pour déterminer l’admissibilité à un programme ou fournir des prestations et des services. Outre son vaste mandat et ses responsabilités entourant la gestion d’immenses volumes de renseignements personnels, EDSC doit mener ses activités dans le cadre d’un régime juridique complexe en matière de protection des renseignements personnels qui, en plus d’inclure la Loi sur la protection des renseignements personnels et la LMEDS, comprend également des exigences législatives particulières relativement à ses partenaires fédéraux et provinciaux.
Tout au long de l’exercice 2023 à 2024, EDSC a continué d’employer et de promouvoir une approche proactive et axée sur les risques pour la gestion de la protection des renseignements personnels, et a cherché à adapter ses activités et ses processus en fonction des besoins du paysage en évolution de la protection des renseignements personnels. Le Ministère a appliqué son optique de protection des renseignements personnels à ses nombreuses initiatives ministérielles, dont certaines nécessitent la collecte, l’utilisation et la divulgation de renseignements personnels à grande échelle.
Évaluations des facteurs relatifs à la vie privée (EFVP) et vérifications de conformité
Conformément à la Directive sur l’EFVP du SCT, EDSC est tenu d’effectuer une EFVP avant d’établir tout nouveau programme ou programme modifié de façon importante ou toute activité demandant l’utilisation administrative de renseignements personnels. Les EFVP servent à cerner et à évaluer les risques pour la protection des renseignements personnels et à élaborer des plans pour réduire ou éliminer ces risques. Parmi les institutions fédérales, EDSC est un innovateur pour ce qui est des méthodes utilisées pour mener les évaluations de la protection des renseignements personnels. Par exemple, pour soutenir son approche de protection des renseignements personnels dès la conception, la DGPRP s’appuie sur un ensemble d’outils qu’elle a mis au point et qui comprend des EFVP exhaustives, des analyses de la protection des renseignements personnels pour les solutions de TI (APRPSTI) et des protocoles de protection des renseignements personnels lorsque ces renseignements sont utilisés à des fins autres qu’administratives. L’APRPSTI est une méthode d’évaluation qui porte sur une solution ou un système de TI et qui sert à cerner les risques liés à la protection des renseignements personnels ainsi qu’à évaluer les répercussions sur la protection des renseignements personnels aux étapes de conception, d’approvisionnement ou d’acquisition de la solution. L’APRPSTI satisfait aux exigences du Ministère et du SCT en ce qui concerne l’exécution des EFVP.
En 2023 à 2024, EDSC a réalisé 16 EFVP et préparé d’importantes mises à jour pour 2 autres. Des copies des rapports d’EFVP ont été fournies au SCT et au Commissariat à la protection de la vie privée du Canada (CPVP). Des renseignements sur ces évaluations sont présentés à l’annexe B du présent rapport et sur la page Web de renseignements organisationnels d’EDSC Évaluation des facteurs relatifs à la vie privée.
EDSC a également effectué plusieurs examens des protocoles de protection des renseignements personnels dans le contexte de ses activités d’analyse des politiques, de recherche et d’évaluation. Au cours du dernier exercice, 10 examens de ce genre ont été effectués relativement à des initiatives comportant l’utilisation de renseignements personnels à des fins autres qu’administratives, comparativement à 26 en 2022 à 2023.
La LMEDS et la réglementation connexe établissent des paramètres stricts lorsqu’il s’agit de rendre accessibles des renseignements personnels qui relèvent du MinistèreNote de bas de page *. La politique de protection des renseignements personnels d’EDSC exige que toutes les ententes de ce genre conclues avec des institutions fédérales, d’autres paliers de gouvernement et des fournisseurs de services soient vérifiées par la DGPRP. La Division s’assure également que ces instruments sont assortis des modalités nécessaires en ce qui touche l’utilisation, la divulgation, la protection et l’élimination des renseignements personnels. En outre, la mise en œuvre des ententes d’échange de renseignements nécessite l’approbation de la personne à qui sont délégués les pouvoirs appropriés en matière de protection des renseignements personnels aux termes de l’arrêté pris en vertu de la LMEDS, qui est habituellement le CPRP ou le directeur général de la DGPRP. De même, tous les documents d’approvisionnement doivent être examinés par la DGPRP afin de vérifier le respect des exigences législatives et de la politique de protection des renseignements personnels. Au cours du dernier exercice, 61 ententes d’échange de renseignements et 60 instruments d’approvisionnement ont été examinés en détail.
La demande interne pour d’autres types de services liés à la protection des renseignements personnels demeure élevée. Par exemple, les examens initiaux des programmes et des projets, ainsi que l’analyse de la protection des renseignements personnels des applications logicielles, ont généré un volume important de demandes de service. La Division a effectué 206 examens de ce genre en 2023 à 2024. Le nombre de demandes de renseignements généraux touchant les renseignements personnels ainsi que de demandes de service de clients internes a été de 248 au cours de la période visée par le rapport. La DGPRP a également préparé 62 avis de confidentialité et formulaires de consentement.
Modernisation de l’AIPRP
EDSC a préparé le terrain pour moderniser son infrastructure et ses processus d’AIPRP afin de créer un programme d’AIPRP moderne, adapté au numérique et axé sur le client qui peut répondre aux besoins de l’environnement des opérations de protection des renseignements personnels en évolution. Le Ministère a lancé ce programme pour remplacer les anciens systèmes d’AIPRP qui approchent la fin de leur cycle de vie et améliorer le service à la clientèle, le recrutement, la capacité et le maintien en poste du personnel.
Le projet de modernisation comprend 4 volets de programme qui ont pris de l’ampleur en 2023 à 2024 : le renouvellement de la technologie, l’amélioration du service à la clientèle, l’examen et la normalisation des processus, et le renforcement des mesures de transparence. Il est prévu que les avantages de la modernisation seront réalisés au cours des prochains exercices et achevés d’ici 2026.
Au cours de l’exercice 2023 à 2024, des progrès ont été accomplis dans l’établissement de nouvelles procédures qui devraient :
- accroître la clarté et la pertinence de l’information concernant l’AIPRP sur le site Canada.ca afin d’orienter les Canadiens vers les ressources qui leur permettront de trouver leurs renseignements personnels ou d’obtenir de l’assistance pour ce faire;
- aider les clients à soumettre des demandes numériques;
- aider les clients à trouver un moyen efficace d’obtenir leurs renseignements par l’entremise de Mon dossier Service Canada, ce qui réduit le temps et le fardeau requis pour traiter une demande facultative en vertu de la Loi sur la protection des renseignements personnels; et
- ouvrir la voie au renouvellement et aux avancées technologiques grâce à l’instauration, en 2024 à 2025, de la plateforme d’AIPRP en ligne du SCT et du nouveau système de traitement des demandes ATIPXpress.
Programme de Modernisation du versement des prestations (MVP)
Le programme de MVP des prestations transforme la façon dont le gouvernement du Canada verse les prestations en veillant à ce que les Canadiens soient au cœur de ses services. Il offrira une expérience de service de calibre mondial en modernisant la façon dont le gouvernement sert les Canadiens, soit des personnes âgées aux jeunes, des personnes à la recherche d’un emploi aux personnes en situation de handicap.
Dans le cadre du programme de MVP, les Canadiens peuvent compter sur :
- une interface numérique simple et conviviale;
- une authentification unique et une approche « une fois suffit »;
- un accès accru au libre-service;
- une réduction des temps d’attente;
- des applications simplifiées;
- un versement plus rapide des prestations.
De plus, le programme de MVP mettra à niveau la technologie, atténuera sensiblement le risque de cybermenaces et de sécurité et réduira la fraude, les erreurs et les retards.
Pour faire en sorte que les principes de la protection des renseignements personnels dès la conception soient présents dans l’élaboration et la mise en œuvre de la MVP, EDSC a affecté d’importantes ressources en matière de protection des renseignements personnels dans le cadre d’une étroite collaboration avec l’équipe de projet. Des conseils en matière de protection des renseignements personnels sont intégrés à la conception de la MVP, tandis que des analyses détaillées de la protection des renseignements personnels et des évaluations du risque sont effectuées pour chaque composante de projet. Les résultats de ces travaux sont compilés dans un « cahier de la protection des renseignements personnels », qui est continuellement mis à jour à mesure que de nouvelles capacités et d’autres programmes sont intégrés.
Nouvelle Directive sur la gestion des atteintes à la vie privée
En octobre 2022, le SCT a publié sa Politique sur la protection de la vie privée et sa Directive sur les pratiques relatives à la protection de la vie privée révisées, qui ont apporté d’importants changements aux exigences en matière de planification d’urgence et d’intervention en cas d’atteinte à la vie privée pour les institutions fédérales. Ces changements comprennent ce qui suit : des procédures obligatoires lorsqu’il y a atteinte à la vie privée; un nouveau seuil et un nouveau délai pour aviser le SCT et le CPVP des atteintes substantielles à la vie privée; le fait que les cadres supérieurs responsables de la protection de la vie privée doivent collaborer aux enquêtes de sécurité; l’établissement du rôle consultatif du SCT dans les cas d’atteinte substantielle à plusieurs institutions; le fait que les ententes d’échange de renseignements et les contrats doivent comprendre une disposition selon laquelle toutes les parties seront avisées en cas d’atteinte à la vie privée; une formation obligatoire sur la gestion des atteintes à la vie privée pour tous les employés.
EDSC a lancé un examen de ses propres politiques et procédures en matière d’atteinte à la vie privée pour s’assurer qu’elles étaient harmonisées et qu’elles comprenaient un effort de collaboration entre la Division de la gestion de la protection des renseignements personnels, la Sécurité ministérielle, la cybersécurité et la sécurité de la TI en vue de réviser les processus et de modifier les rôles et les responsabilités. La Directive sur la gestion des atteintes à la vie privée qui en découle a codifié la mise en œuvre par le Ministère des exigences stratégiques du SCT. La Directive a établi la gouvernance et la responsabilité d’EDSC en matière de gestion des atteintes à la vie privée à l’échelle du Ministère, que l’atteinte découle d’une activité d’EDSC ou d’un service imparti à une autre organisation. Elle stipule également que les atteintes à la vie privée doivent être maîtrisées et atténuées en temps opportun, que les personnes touchées et les organismes de surveillance appropriés sont rapidement avisés, et que les pratiques d’EDSC concernant le traitement des renseignements personnels sont examinées et modifiées pour corriger les vulnérabilités qui sont révélées lorsque des incidents se produisent.
Pouvoirs liés au numéro d’assurance sociale (NAS)
La LMEDS a été modifiée en 2023 à 2024 par l’ajout de l’article 8.1, qui confère au ministre de l’Emploi et du Développement social le pouvoir de recueillir et d’utiliser des NAS aux fins de l’application ou de l’exécution d’une loi, d’un programme ou d’une activité qui relève du ministre. Le NAS est un renseignement personnel de nature délicate – sa collecte et son utilisation sont considérées comme particulièrement intrusives pour la vie privée des personnes et nécessitent une attention particulière. Il s’agit d’un identificateur unique qui est géré conformément à la LMEDS et à la Loi sur la protection des renseignements personnels, ainsi qu’aux politiques et directives en matière de protection des renseignements personnels du SCT et d’EDSC.
Pour chaque nouvelle collecte ou utilisation de renseignements sur le NAS effectuée dans le cadre d’une activité ou d’un programme ministériel, une évaluation spéciale de la protection des renseignements personnels sera effectuée afin d’examiner, entre autres facteurs :
- le caractère raisonnable de l’utilisation et de la collecte proposées en s’attardant à la nécessité, à l’efficacité, à la proportionnalité et à la minimisation de l’intrusion;
- sa gestion et son utilisation, y compris les divulgations;
- les rôles et les responsabilités.
Le CPVP sera consulté pendant ce processus. L’évaluation pourrait déterminer des conditions particulières relatives à l’utilisation proposée des renseignements sur le NAS dans le cadre d’une activité d’EDSC, ou déclencher une évaluation plus vaste des facteurs relatifs à la vie privée.
Arrêtés sur la délégation mis à jour
EDSC a pour pratique de modifier les arrêtés sur la délégation en vertu de la Loi sur la protection des renseignements personnels et de la partie 4 de la LMEDS lorsque les circonstances exigent l’apport de changements à une ou plusieurs délégations. Le ministre a approuvé des arrêtés sur la délégation actualisés pour ces 2 lois au cours de l’exercice. Les modifications ont mis à jour des titres de postes et établi les pouvoirs associés aux responsabilités attribuées aux nouveaux fonctionnaires désignés pour l’application de la Loi sur la protection des renseignements personnels et la partie 4 de la LMEDS. De plus, la mise en œuvre de la modernisation des systèmes et processus d’AIPRP d’EDSC a nécessité des ajustements aux arrêtés sur la délégation en vertu de la Loi sur la protection des renseignements personnels. En ce qui concerne la LMEDS, l’arrêté mis à jour a désigné des fonctionnaires des unités des demandes régionales d’EDSC qui sont chargés de rendre accessibles des renseignements personnels aux députés fédéraux qui, en vertu du paragraphe 33(2) de la Loi, font des demandes de renseignements au nom de particuliers au sujet de demandes, de prestations ou d’autres formes d’aide dans le cadre d’un programme.
Modernisation de la Loi sur la protection des renseignements personnels
EDSC a collaboré activement avec des fonctionnaires du ministère de la Justice à son initiative de modernisation de la Loi sur la protection des renseignements personnels dans le cadre d’un effort interministériel plus vaste. Ce processus de réforme de la Loi offre à EDSC une occasion unique de communiquer les enjeux et d’échanger des idées en matière d’options. Au cours de l’exercice 2023 à 2024, EDSC a mené, à la demande du ministère de la Justice, une consultation ministérielle interne au sujet de sa vision et de ses propositions pour une Loi sur la protection des renseignements personnels modernisée, dont les résultats seront utilisés aux prochaines étapes du processus.
Surveillance des délais
Étant donné que le Ministère recourt à une approche décentralisée en matière de traitement des demandes de renseignements personnels, il n’effectue actuellement pas de surveillance centralisée du temps requis pour traiter les demandes de renseignements personnels, des limites associées aux consultations entre institutions ou des examens des types de renseignements fréquemment demandés. Les bureaux régionaux d’EDSC gèrent la majorité des demandes reçues en vertu de la Loi sur la protection des renseignements personnels (les demandes de renseignements personnels et les demandes de correction de renseignements personnels) pour le Ministère, et préparent des rapports périodiques sur les nouvelles demandes et la charge de travail ainsi que des mises à jour sur l’état du rendement en ce qui concerne le traitement dans les délais prévus des demandes reçues en vertu de la Loi sur la protection des renseignements personnels. Les bureaux régionaux produisent des rapports sur les rendements mensuels, trimestriels et annuels.
À mesure que le Ministère modernise la fonction de traitement des demandes de renseignements personnels, la normalisation et la surveillance de la conformité deviendront une priorité, de manière que les Canadiens puissent compter sur un traitement fiable et adapté de leurs demandes.
5. Aperçu du rendement
La présente section fournit des statistiques et des analyses clés sur le rendement d’EDSC au cours de l’exercice 2023 à 2024 en ce qui concerne le traitement des demandes. La plupart des diagrammes et des tableaux ci-dessous présentent des comparaisons sur 4 ans qui montrent les tendances du rendement du Ministère par rapport à un paramètre donné dans l’administration des demandes en vertu de la Loi sur la protection des renseignements personnels. Le rapport statistique détaillé du Ministère sur son application de la Loi sur la protection des renseignements personnels se trouve à l’annexe C. Veuillez noter que certains totaux peuvent dépasser 100 % en raison de l’arrondissement.
Demandes, en fonction du nombre de jours civils nécessaires pour le traitement
Le taux de respect des délais correspond au pourcentage de demandes traitées dans les délais prévus par la loi, y compris les demandes pour lesquelles le Ministère s’est prévalu d’une prorogation prévue par la loi. Au cours du dernier exercice, le taux de conformité d’EDSC concernant le traitement des demandes dans un délai de 30 jours (ou de 60 jours après une prorogation) a continué de s’améliorer, passant de 71 % en 2022 à 2023 à 74 % en 2023 à 2024.
Délais de traitement
Le taux de traitement des demandes dans un délai de 30 jours d’EDSC continue de s’améliorer, atteignant 60 % en 2023 à 2024.
Demandes actives
Le 1er avril 2024, on comptait 2 623 demandes actives reportées des périodes de déclaration précédentes, dont 1 788 (68 %) étaient en voie d’être traitées dans les délais prévus par la loi.
Exercice durant lequel les demandes ouvertes ont été reçues | Demandes ouvertes pour lesquelles les délais prévus par la loi n’étaient pas dépassés au 31 mars 2024 | Demandes ouvertes pour lesquelles les délais prévus par la loi étaient dépassés au 31 mars 2024 | Total |
---|---|---|---|
2023 à 2024 | 1 786 | 790 | 2 576 |
2022 à 2023 | 0 | 20 | 20 |
2021 à 2022 | 2 | 15 | 17 |
2020 à 2021 | 0 | 8 | 8 |
2019 à 2020 | 0 | 2 | 2 |
Totaux | 1 788 | 835 | 2 623 |
Motifs des prorogations
Les institutions peuvent demander une prorogation du délai initial de 30 jours prévu par la loi dans les cas où il est impossible de respecter la date prévue par la loi. La Loi sur la protection des renseignements personnels prévoit des délais pour répondre aux demandes de renseignements personnels et permet des prorogations, jusqu’à concurrence de 30 jours, dans l’un ou l’autre des cas suivants :
- l’observation des délais entraverait de façon sérieuse le fonctionnement de l’institution pour l’une des raisons suivantes :
- un examen est nécessaire pour déterminer les exemptions ou les exclusions;
- un grand nombre de pages nécessitent un examen;
- un grand nombre de demandes;
- les documents sont difficiles à obtenir;
- il faut procéder à une consultation;
- il faut effectuer une traduction des documents.
En 2023 à 2024, il y a eu 1 302 demandes comportant un grand nombre de pages et 18 demandes nécessitant des consultations internes qui ne pouvaient raisonnablement être traitées dans le délai initial de 30 jours. Ces demandes ont amené EDSC à demander 1 323 prorogations. Ce total est semblable à celui de l’exercice précédent, lorsque le Ministère a demandé 1 304 prorogations.
Disposition de la Loi sur la protection des renseignements personnels | Raison de la prorogation | Nombre de demandes de prorogation |
---|---|---|
15a)(i) Entrave au fonctionnement de l’institution | Examen approfondi nécessaire pour déterminer les exceptions | 0 |
Grand nombre de pages | 0 | |
Grand volume de demandes | 1 302 | |
Documents trop difficiles à obtenir | 0 | |
15a)(ii) Consultation | Documents confidentiels du Cabinet (article 70) | 0 |
Externe | 0 | |
Interne | 18 | |
15b) Traduction ou transfert | Traduction ou transfert sur support de substitution | 3 |
Total | 1 323 |
Demandes de consultation reçues d’autres institutions du gouvernement du Canada et d’autres organismes
EDSC a reçu 3 demandes de consultation externe au cours de l’exercice 2023 à 2024, ce qui a nécessité l’examen de 25 pages. Ces demandes provenaient d’institutions du gouvernement du Canada et d’autres organismes. Le ministère a clos 2 demandes de consultation, chacune ayant été traitée dans un délai de plus de 30 jours. Pour une demande, il a été recommandé de divulguer les documents dans leur intégralité et, pour l’autre, d’effectuer une divulgation partielle. Une demande a été reportée.
Types of consultation | 2020 à 2021 | 2021 à 2022 | 2022 à 2023 | 2023 à 2024 |
---|---|---|---|---|
Demandes de consultations reçues en vertu de la Loi sur la protection des renseignements personnels | 11 | 3 | 11 | 3 |
Pages supplémentaires revues en vertu de la Loi sur la protection des renseignements personnels | 388 | 127 | 215 | 25 |
Demandes de consultation en vertu de la Loi sur la protection des renseignements personnels qui ont été fermées | 9 | 5 | 12 | 2 |
Demandes de consultation en vertu de la Loi sur la protection des renseignements personnels qui ont été fermées dans les 30 jours | 3 | 1 | 8 | 0 |
Mesures prises à l’égard des demandes traitées
En 2023 à 2024, le nombre de demandes ayant fait l’objet d’une « communication totale » s’est élevé à 4 035, ce qui représente 19,4 % des demandes traitées, comparativement à 2 969 (13,9 %) au cours de l’exercice précédent. Sur les 20 773 demandes traitées au cours du dernier exercice, seulement 5 dossiers ont fait l’objet d’une exception totale, et aucun n’a été exclu.
Disposition | 2020 à 2021 | 2021 à 2022 | 2022 à 2023 | 2023 to 24 | ||||
---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pourcentage des demandes totales | Nombre de demandes | Pourcentage des demandes totales | Nombre de demandes | Pourcentage des demandes totales | Nombre de demandes | Pourcentage des demandes totales | |
Communication totale | 1 355 | 10,5 % | 1 880 | 10,7 % | 2 969 | 13,9 % | 4 035 | 19,4 % |
Communication partielle | 9 256 | 71,8 % | 12 058 | 68,6 % | 13 633 | 63,9 % | 11 157 | 53,7 % |
Exception totale | 1 | 0,0 % | 4 | 0,0 % | 2 | 0,0 % | 5 | 0,0 % |
Exclusion totale | 0 | 0,0 % | 0 | 0,0 % | 0 | 0,0 % | 0 | 0,0 % |
Aucun document n’existe | 1 960 | 15,2 % | 3 235 | 18,4 % | 3 539 | 16,6 % | 4 313 | 20,8 % |
Demande abandonnée | 311 | 2,4 % | 400 | 2,3 % | 1 178 | 5,5 % | 1 262 | 6,1 % |
Ni confirmée ni infirmée | 0 | 0,0 % | 0 | 0,0 % | 0 | 0,0 % | 1 | 0,0 % |
Totaux | 12 883 | 100,0 % | 17 577 | 100,0 % | 21 321 | 100,0 % | 20 773 | 100,0 % |
6. Plaintes, enquêtes et recours judiciaires
En vertu de la Loi sur la protection des renseignements personnels, une personne peut déposer auprès du CPVP une plainte concernant le traitement d’une demande si l’accès à ses renseignements personnels lui a été refusé ou si elle estime qu’il y a eu un retard indu. Elle peut aussi déposer une plainte concernant les pratiques de traitement des renseignements personnels, ce qui inclut la collecte, l’utilisation ou la divulgation de ses renseignements personnels.
Au cours du dernier exercice, le CPVP a accepté 32 plaintes concernant le Ministère. Il s’agissait de 6 plaintes relatives à l’accès, de 2 plaintes relatives à la collecte, de 15 plaintes relatives aux délais de traitement des demandes et de 9 plaintes relatives à l’utilisation et à la divulgation. Parmi les plaintes déposées en 2023 à 2024 et au cours des exercices précédents, le processus de règlement rapide a permis de régler 40 plaintes et d’en rejeter une. À la fin de la période visée par le rapport, EDSC comptait 12 plaintes ouvertes : 6 de 2023 à 2024, 4 de 2022 à 2023, une de 2021 à 2022 et une de 2020 à 2021. Il y avait 4 plaintes qui faisaient l’objet du processus de règlement rapide à la fin de la période visée par le rapport.
Les enquêtes du CPVP ont déterminé que 15 plaintes n’étaient pas fondées ou que la plainte avait été retirée au cours de l’enquête. En tout, 7 plaintes ont été jugées fondées : 2 ont été réglées sous conditions, 2 n’ont pas pu être réglées et 3 ont été considérées comme en « présomption de refus » et non réglées.
Au cours de la période visée par le rapport, aucune plainte relative à la protection des renseignements personnels n’a été entendue par les tribunaux.
7. Divulgations d’intérêt public
Les divulgations d’intérêt public sont effectuées par EDSC en application du paragraphe 37(1) de la LMEDS plutôt que de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels. Toutes ces divulgations sont signalées au CPVP.
Au cours de l’exercice 2023 à 2024, le Ministère a fait 482 divulgations d’intérêt public. Sur ce nombre, 382 demandes ont été traitées dans les directions générales régionales du Ministère; la plupart concernaient des incidents impliquant des personnes qui menaçaient de se faire du mal ou de faire du mal à autrui, y compris à des employés de Service Canada. Dans les cas où il existe une menace imminente pour la sûreté et la sécurité de personnes, les employés de Service Canada sont autorisés à effectuer la divulgation. Compte tenu de l’urgence associée à ces incidents, le CPVP n’a été avisé des divulgations qu’après leur réalisation.
La DGPRP a approuvé la divulgation de renseignements personnels dans 100 autres cas (divulgations faites par la DGPRP). Dans la plupart de ces cas, les renseignements personnels ont été rendus accessibles pour aider à trouver une personne, comme une personne disparue, ou aux fins d’une enquête policière.
Les motifs de ces divulgations et le nombre total pour chaque type de divulgation sont présentés dans le tableau qui suit.
Motif des divulgations | Nombre de divulgations |
---|---|
Divulgations faites par les régions (menaces imminentes) | 382 |
Divulgations faites par la DGPRP | |
|
74 |
|
22 |
|
4 |
Total | 482 |
8. Atteintes substantielles à la vie privée
La Politique sur la protection de la vie privée du SCT définit l’atteinte à la vie privée de la manière suivante : « création, collecte, usage, communication, conservation ou retrait inappropriés ou non autorisés de renseignements personnels ou accès inapproprié ou non autorisé aux renseignements personnels ». Une atteinte à la vie privée est « substantielle » lorsqu’elle « pourrait vraisemblablement entraîner un risque réel de préjudice grave pour une personne ». Le préjudice grave comprend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, et le dommage aux biens ou leur perte.
Au cours de l’exercice 2023 à 2024, le Ministère a signalé 364 atteintes substantielles à la vie privée au CPVP et au SCT, soit une hausse de 87 % par rapport à l’exercice précédent (193). Dans 346 cas, l’atteinte à la vie privée concernait des passeports ou des documents de demande de passeport perdus, mal acheminés ou volés, et la Société canadienne des postes a assumé la responsabilité pour 308 de ces incidents. EDSC était responsable des 38 autres incidents.
Il y a eu 4 cas d’atteintes substantielles reliés à des accès non autorisés à des renseignements personnels stockés dans les systèmes d’EDSC, ce qui représente une diminution de 91 %. Ces cas ont été détectés dans le cadre des activités de surveillance du journal d’audit d’EDSC, qui sert à faire le suivi de l’accès par des employés aux renseignements personnels détenus dans les fonds de données électroniques d’EDSC.
Le Ministère met continuellement en œuvre des mesures administratives, techniques et physiques pour réduire les atteintes à la vie privée. Fait important, grâce aux activités de formation et de sensibilisation à la protection des renseignements personnels d’EDSC, les employés sont renseignés et formés sur le traitement des renseignements personnels, y compris leur utilisation appropriée et les protocoles de protection.
Le tableau 6 indique le nombre d’atteintes substantielles à la vie privée selon la cause et fournit une brève description des mesures prises en réponse aux atteintes.
Nombre d’atteintes substantielles | Nature des renseignements compromis | Communication et notification | Mesures prises en réponse aux atteintes |
---|---|---|---|
14 | Des renseignements personnels communiqués incorrectement à des tiers par téléphone, par courriel ou par la poste. et/ou Des documents contenant des renseignements personnels sur des clients ont été perdus ou volés. |
Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte. |
|
4 | Des employés ont accédé sans autorisation aux données des clients dans les systèmes du Ministère (ces intrusions ont été découvertes, la plupart du temps, dans le cadre d’audits internes de ces systèmes). | Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte. |
|
308 | Passeports, demandes de passeport et documents joints à des demandes de passeport perdus, volés ou mal acheminés, dont la Société canadienne des postes était responsable. | Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte. |
|
38 | Passeports, demandes de passeport et documents joints à des demandes de passeport perdus, volés ou mal acheminés en raison d’une erreur interne d’EDSC. | Dans la mesure du possible, des lettres personnelles ont été envoyées aux personnes concernées pour les informer de l’atteinte. |
|
Nombre total d’atteintes substantielles : 364 |
9. Activités de formation et de sensibilisation
Formation en ligne sur la protection des renseignements personnels
EDSC dispose d’un programme de formation complet pour accroître la connaissance des pratiques appropriées de gestion des renseignements personnels et la sensibilisation à ces dernières à l’échelle du Ministère. Tous les employés doivent maintenir une certification valide en Gérance de l’information et comportements en milieu de travail (GICMT) (cette certification doit être renouvelée tous les 2 ans); le cours porte sur la protection et le traitement des renseignements personnels, la sécurité, l’accès à l’information, la gestion de l’information ainsi que les valeurs et l’éthique. Ce cours fait partie du programme de formation essentielle du Ministère et est offert en ligne. À la fin de la période visée par le rapport, 19 828 employés avaient obtenu la certification GICMT au cours de l’exercice.
Mis à part la certification GICMT, EDSC propose d’autres cours en ligne sur la protection des renseignements personnels dans son catalogue de formation. Le cours « La protection des renseignements personnels et l’accès à l’information : c’est l’affaire de tous » permet aux employés d’acquérir les connaissances nécessaires pour bien protéger, utiliser et divulguer les renseignements personnels quotidiennement, et leur apprend à prévenir les atteintes à la vie privée, en demandant conseil ou en faisant preuve de bon jugement en temps opportun. Au cours du dernier exercice, 15 586 employés ont suivi le cours.
Les nouveaux employés doivent suivre le cours « Bien faire les choses et faire la bonne chose : mettre en action le Code de conduite ministériel » qui comporte une composante importante sur la protection des renseignements personnels. Le cours aide les participants à comprendre comment adopter des comportements éthiques en milieu de travail et utiliser ces connaissances pour les guider dans leur travail et prise de décisions quotidiens. Au cours de l’exercice 2023 à 2024, le nombre d’employés qui ont suivi ce cours s’est élevé à 16 302.
Formation et sensibilisation en personne et par voie virtuelle
Tout au long de la période visée par le rapport, le Ministère a fourni aux employés des renseignements et des consignes pratiques, faciles à comprendre et facilement accessibles sur la protection des renseignements personnels, afin d’appuyer la mise en application de pratiques appropriées de traitement et de protection des renseignements personnels, et de transmettre des connaissances générales sur les fondements à la fois philosophiques et législatifs de la protection des renseignements personnels. Le point culminant de ces activités a consisté en une série d’événements d’information sur la protection des renseignements personnels et d’activités reposant sur l’approche Savoir actif dans le cadre de la Semaine de sensibilisation à la protection de la vie privée en janvier 2024. À l’appui du traitement des demandes en vertu de la Loi sur la protection des renseignements personnels, une formation spécialisée a été offerte aux principaux intervenants ministériels et au personnel des Opérations de l’AIPRP. Au total, 1 135 employés d’EDSC ont assisté, en personne ou par vidéo, à l’une ou l’autre des 20 séances de formation et de sensibilisation sur la protection des renseignements personnels offertes en 2023 à 2024.
Annexe A : Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels
En vertu de l’article 11 de la Loi sur le ministère de l’Emploi et du Développement social, le ministre de l’Emploi et du Développement social délègue, par les présentes, aux personnes, cadres ou employés qui occupent les postes mentionnés en annexe au ministère de l’Emploi et du Développement social, ou aux personnes, cadres ou employés occupant ces postes à titre intérimaire, les pouvoirs, attributions et fonctions de ministre ou de responsable de l’institution, comme il est indiqué en annexe.
Partie 4 de la Loi sur le ministère de l’Emploi et du Développement social
Original signé le 6 mars 2024 par le très Honorable Randy Boissonnault, Ministre de l'Emploi, du Développement de la main d'œuvre et des Langues officielles
Le ministère d’Emploi et du Développement social
Ministère de l’Emploi et du Développement social
Description | Article | Pouvoir délégué |
---|---|---|
Conservation d’une copie des demandes reçues et d’une mention des renseignements communiqués aux organismes d’enquête en ayant fait la demande aux termes de l’alinéa 8 (2)e) de la Loi sur la protection des renseignements personnels |
8(4) |
|
Conservation des relevés des cas d’usage de renseignements personnels |
9(1) |
|
Aviser le commissaire à la protection de la vie privée de tous les nouveaux cas compatibles d’usage de renseignements personnels et veiller à ce que ces cas soient recensés dans le prochain relevé des cas compatibles d’usage compris dans le répertoire |
9(4) |
|
Inscrire les renseignements personnels dans des fichiers de renseignements personnels |
10 |
|
Répondre aux demandes de communication dans les 30 jours suivant leur réception, puis aviser par écrit. Communiquer les renseignements advenant une réponse positive. |
14 |
|
Prorogation du délai prévu de 30 jours pour répondre à une demande de renseignements personnels |
15 |
|
Décision de faire traduire ou non une réponse à une demande de renseignements personnels vers l’une des 2 langues officielles |
17(2)b) |
|
Décision de transférer ou non les renseignements personnels sur un support de substitution |
17(3)b) |
|
Décision de refuser la communication des renseignements personnels contenus dans des fichiers inconsultables |
18(2) |
|
Décision de refuser la communication des renseignements personnels qui ont été obtenus à titre confidentiel des gouvernements des États étrangers ou de leurs organismes; des organisations internationales d’États ou de leurs organismes; des gouvernements provinciaux ou de leurs organismes; des administrations municipales ou régionales constituées en vertu de lois provinciales ou de leurs organismes; du conseil, au sens de l’Accord d’autonomie gouvernementale de la première nation de Westbank mis en vigueur par la Loi sur l’autonomie gouvernementale de la première nation de Westbank et du conseil de la première nation participante selon la Loi sur la compétence des premières nations en matière d’éducation en Colombie-Britannique |
19(1) |
|
Pouvoir de communiquer les renseignements personnels visés au paragraphe 19(1) si le gouvernement, l’organisation ou l’institution décrits dans ce paragraphe consentent à la communication ou rendent les renseignements publics |
19(2) |
|
Refuser la communication de renseignements personnels dont la divulgation risquerait de porter préjudice à la conduite des affaires fédérales-provinciales |
20 |
|
Refuser la communication de renseignements personnels dont la divulgation risquerait de porter préjudice à la conduite des affaires internationales ou à la défense du Canada ou d’États alliés |
21 |
|
Refuser la communication de renseignements personnels préparés par un organisme d’enquête, de renseignements dont la divulgation risquerait de nuire aux activités destinées à faire respecter une loi, ou de renseignements dont la divulgation risquerait de nuire à la sécurité des établissements pénitentiaires |
22 |
|
Refuser de divulguer des renseignements personnels préparés pour la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles |
22,3 |
|
Refuser de divulguer des renseignements personnels préparés par un organisme d’enquête lors des enquêtes de sécurité |
23 |
|
Refuser à un individu de lui communiquer des renseignements personnels qui ont été recueillis par le Service correctionnel du Canada ou la Commission des libérations conditionnelles du Canada pendant qu’il était sous le coup d’une condamnation si les conditions énoncées dans l’article sont respectées |
24 |
|
Refuser de communiquer des renseignements personnels qui risqueraient de nuire à la sécurité des individus |
25 |
|
Refuser de communiquer des renseignements personnels qui portent sur un autre individu et refuser obligatoirement la communication des renseignements dans les cas où elle est interdite aux termes de l’article 8 |
26 |
|
Refuser de communiquer des renseignements personnels qui sont protégés par le secret professionnel |
27 |
|
Refuser la communication de renseignements personnels portant sur l’état physique ou mental de l’individu, dans les cas où la prise de connaissance par l’individu concerné de ces renseignements desservirait celui-ci |
28 |
|
Recevoir un avis d’enquête du commissaire à la protection de la vie privée |
31 |
|
Avoir droit de présenter des observations au commissaire à la protection de la vie privée au cours d’une enquête |
33(2) |
|
Recevoir du commissaire à la protection de la vie privée un rapport des conclusions de son enquête et signaler les mesures prises |
35(1) |
|
Communication de renseignements personnels supplémentaires à un plaignant après la réception d’un avis aux termes de l’alinéa 35 (1)b) |
35(4) |
|
Recevoir le rapport du Commissaire à la protection de la vie privée concernant son enquête sur le contenu du fichier inconsultable |
36(3) |
|
Recevoir le rapport du Commissaire à la protection de la vie privée concernant son enquête sur la conformité |
37(3) |
|
Demander qu’une audience commencée conformément à certaines dispositions de la Loi soit tenue dans la région de la capitale nationale |
51(2)b) |
|
Demander et recevoir le droit de présenter des observations au cours des audiences tenues conformément à l’article 51 |
51(3) |
|
Préparer les rapports annuels à l’intention du Parlement | 72(1) |
|
Description | Article | Pouvoir délégué |
---|---|---|
Autorisation de consulter des documents (salle de lecture) | 9 |
|
Avis de corrections | 11(2) |
|
Correction refusée, mention du dossier | 11(4) |
|
Divulgation de renseignements personnels à un praticien médical ou à un psychologue | 13(1) |
|
Divulgation de renseignements personnels en présence d’un praticien médical ou d’un psychologue | 14 |
|
Annexe B : Sommaire des évaluations des facteurs relatifs à la vie privée qui ont été réalisées
Au cours de l’exercice 2023 à 2024, EDSC a exécuté 16 évaluations personnalisées des facteurs relatifs à la vie privée (EFVP) et a procédé à une mise à jour importante de 2 évaluations déjà effectuées. En plus des EFVP standard, EDSC utilise l’analyse de la protection des renseignements personnels pour les solutions de TI (APRPSTI), qui est une EFVP axée sur une solution ou un système de TI. L’APRPSTI vise à cerner les risques liés à la protection des renseignements personnels et à évaluer leurs répercussions à l’étape de la conception, de l’approvisionnement ou de l’acquisition de la solution. Ses conclusions donnent l’assurance à la haute direction que la protection des renseignements personnels a été prise en compte avant la mise en œuvre, et fournissent un plan d’atténuation pour résoudre les risques cernés. L’APRPSTI satisfait aux exigences du Ministère et du SCT en ce qui concerne l’exécution des EFVP. Parmi les EFVP terminées, 9 consistaient en des APRPSTI.
Des renseignements sur les EFVP d’EDSC sont présentés sur la page WEB de renseignements organisationnels d’EDSC consacrée aux Évaluation des facteurs relatifs à la vie privée.
Addenda à l’évaluation des facteurs relatifs à la vie privée pour « maSGE (PeopleSoft) » du Programme de renouvellement des services habilitants
PeopleSoft est le système principal qui permet aux services numériques de ressources humaines d’EDSC de fournir aux employés et aux gestionnaires divers outils libre-service. Une EFVP a été entreprise lors de la mise en œuvre du système en 2015. En mai 2021, un addenda qui évaluait une mise à niveau du système principal PeopleSoft a été ajouté à l’EFVP. Cette mise à niveau normalise les processus de gestion des cas et tire parti des renseignements personnels dans le système principal. Un risque moyen et un risque faible ont été cernés. Un plan d’action a été élaboré pour faire face à ces risques en 2024.
Programme canadien d’aide financière aux étudiants – Programme d’aide au remboursement – Modèle de vérification amélioré (PCAFE PAR – MVA)
Le Programme canadien d’aide financière aux étudiants (PCAFE) (anciennement le Programme canadien de prêts aux étudiants) apporte des modifications au Programme d’aide au remboursement – Modèle de vérification amélioré, qui vérifiera les renseignements déclarés par les emprunteurs pendant le processus de demande par rapport aux renseignements sur les contribuables fournis par l’ARC. L’EFVP a permis d’évaluer la collecte, la gestion, l’utilisation et l’échange de renseignements personnels par le PCAFE dans le cadre du PAR-MVA et l’échange de données proposé avec l’ARC. Au total, 2 risques liés à la protection des renseignements personnels, un faible et un moyen, ont été cernés. Le PCAFE d’EDSC a préparé un plan d’action pour donner suite aux recommandations en 2024.
Programmes de dépistage rapide de la COVID-19 (dépistage obligatoire et volontaire)
La fonction publique fédérale a mis en œuvre un programme de dépistage rapide à titre de mesure d’adaptation pour les employés qui doivent se présenter régulièrement sur place et qui ne peuvent recevoir le vaccin contre la COVID-19 en raison d’une exemption relative à l’obligation de prendre des mesures d’adaptation, ainsi qu’à titre de mesure temporaire pour les employés partiellement vaccinés. Un programme de dépistage rapide est également offert aux employés entièrement vaccinés. Le Programme de dépistage rapide d’EDSC a été divisé en 2 programmes distincts : le Programme de dépistage rapide obligatoire et le Programme de dépistage rapide volontaire. La participation au Programme de dépistage rapide obligatoire était requise pour les employés d’EDSC qui bénéficiaient d’une exemption approuvée relative à l’obligation de prendre des mesures d’adaptation et qui se présentaient régulièrement à un lieu de travail d’EDSC, tandis que la participation au Programme de dépistage rapide volontaire était facultative pour les employés entièrement vaccinés qui se présentaient régulièrement au lieu de travail. L’EFVP a permis de cerner 2 risques moyens liés à la protection des renseignements personnels, qui ont été atténués. Les programmes de dépistage ne sont plus actifs.
Initiative d’aiguillage vers les services (IAS), qui fait partie du portefeuille du programme Servir tous les Canadiens
Le projet de Formulaire de demande de service eServiceCanada dans le cadre de IAS, qui fait partie du portefeuille Servir tous les Canadiens, comprend la mise en œuvre d’une nouvelle application dans la solution eServiceCanada existante qui améliorera la prestation de services et le versement de prestations pour mieux soutenir les populations vulnérables. Les activités de sensibilisation de Service Canada se traduiront par la mobilisation d’organismes communautaires en vue d’aiguiller un client qui a besoin de services améliorés au moyen de la nouvelle solution pour faire en sorte qu’un spécialiste de Service Canada rappelle le client. La solution améliorera également le suivi et la gestion des cas. L’IAS nécessite la collecte et l’utilisation limitées de renseignements personnels lorsque des clients sont contactés. L’EFVP a permis de cerner 3 risques faibles liés à la protection des renseignements personnels. La prise de mesures d’atténuation des risques est prévue en 2024.
Première phase du Régime canadien de soins dentaires
Le Régime canadien de soins dentaires offrira une assurance dentaire aux Canadiens non assurés dont le revenu familial annuel est inférieur à 90 000 $, sans quote-part pour ceux dont le revenu familial est inférieur à 70 000 $. Il sera exécuté par un entrepreneur tiers, la Sun Life. EDSC fournira des services au nom de Santé Canada, ce qui comprend la réception des demandes et la validation de l’admissibilité à l’inscription des demandeurs. Ces activités consisteront à recueillir des renseignements personnels auprès de l’ARC pour aider à valider l’admissibilité. L’EFVP a permis de cerner 3 risques moyens. La mise en œuvre des mesures visant à remédier à ces risques et problèmes devrait être achevée en 2024.
Projet 1 de surveillance de l’activité interne et des accès : Demandes d’assurance-emploi
Le projet de surveillance de l’activité interne et des accès comprend la mise en œuvre d’une solution de surveillance à l’échelle de l’organisation qui améliorera la capacité du Ministère de repérer les menaces internes et de fournir des preuves numériques d’accès non autorisé ou d’utilisation abusive des renseignements personnels conservés dans les principales applications d’EDSC. Il s’agit d’une mise en œuvre pluriannuelle comportant plusieurs phases, qui commence par la SAIA pour les systèmes d’assurance-emploi. La solution automatise les processus manuels existants et assure une surveillance en temps quasi réel pour de meilleurs résultats en matière de détection et de prévention des menaces et des vulnérabilités concernant les renseignements personnels. La solution reposera sur l’utilisation de renseignements personnels conservés dans diverses bases de données et divers systèmes d’EDSC. L’EFVP a permis de cerner 2 risques moyens. La mise en œuvre des mesures visant à remédier à ces risques devrait être achevée en 2024.
Prestations étrangères (PE) et agents de liaison à l’étranger – Version 1 de la Sécurité de la vieillesse (SV)
EDSC a créé le programme de Modernisation du versement des prestations (MVP) pour transformer et moderniser la prestation des services et le versement des prestations aux Canadiens. Les renseignements personnels sont échangés entre le Programme de PE de la SV et 60 pays en vertu d’accords de sécurité sociale. Dans le cadre de ces accords, les personnes qui ont vécu ou travaillé à l’extérieur du Canada peuvent être admissibles à une prestation versée par un autre pays. PE et agents de liaison à l’étranger – Version 1 de la SV sont les premières prestations à fonctionner sur la plateforme Cúram de la MVP et serviront à transférer des renseignements sur les clients entre le Canada et le pays étranger. Ces renseignements sont utilisés pour déterminer l’admissibilité du client à des prestations lorsque les preuves sont insuffisantes pour approuver le versement de celles-ci. L’EFVP a permis de cerner 6 risques liés à la protection des renseignements personnels, dont 4 étaient de niveau élevé et 2 de niveau moyen. La mise en œuvre des mesures d’atténuation de ces risques devrait être achevée en 2024.
PeopleSoft – Départ : Addenda à l’EFVP pour le Programme de renouvellement des services habilitants – maSGE (PeopleSoft)
PeopleSoft est le principal système d’EDSC pour les services numériques de ressources humaines. Le Ministère adopte un nouveau module dans PeopleSoft qui centralisera les processus de départ d’employés dans le système. Le projet Départ remplace un processus manuel par un système automatisé simplifié pour les gestionnaires qui amorcent un processus de départ d’employés. Plusieurs tâches manuelles ont été automatisées selon un flux de travail logique pour s’assurer que les processus de départ sont effectués de manière uniforme par les gestionnaires ou les délégués. Deux risques faibles liés à la protection des renseignements personnels ont été cernés. Un plan d’action est en place pour remédier à ces risques en 2024.
Programme de protection des salariés (PPS)
Le PPS est un programme du gouvernement du Canada qui verse en temps opportun les salaires admissibles dus aux travailleurs dont l’employeur a fait faillite ou fait l’objet d’une mise sous séquestre. Les montants admissibles dans le cadre du Programme comprennent les salaires, les commissions, les paies de vacances ainsi que les indemnités de départ et de préavis. Le gouvernement fédéral tente de recouvrer les montants à titre de créancier de l’employeur et paie le travailleur. Les demandeurs peuvent demander une révision en cas de désaccords ou d’appel. Les types de renseignements personnels recueillis et utilisés par le PPS comprennent les NAS et des renseignements financiers comme les données bancaires et fiscales. L’évaluation a permis de cerner 2 risques moyens. Des mesures d’atténuation devraient être en place en 2024.
Renseignements opérationnels pour la sensibilisation active (ROSA)
Le gouvernement du Canada verse des fonds aux provinces et aux territoires dans le cadre des ententes sur le développement du marché du travail pour offrir aux Canadiens une formation axée sur les compétences et des mesures de soutien à l’emploi financées par l’assurance-emploi. Le projet des ROSA s’accompagne de l’élaboration d’un tableau de bord interactif de renseignements opérationnels pour faciliter le partage des données entre EDSC et ses homologues provinciaux et territoriaux aux fins des programmes des ententes sur le développement du marché du travail. Le tableau de bord des ROSA fournit des filtres et des tableaux des chiffres sommaires (agrégés) pour diverses variables démographiques de la population active des prestataires d’assurance-emploi d’une province ou d’un territoire. Le tableau de bord comprend une fonctionnalité permettant aux provinces et aux territoires de demander des données sur des prestataires d’assurance-emploi individuels, y compris leurs coordonnées, afin de les jumeler aux possibilités sur leur marché du travail. L’APRPSTI a permis de cerner un risque moyen. La mise en œuvre de la stratégie d’atténuation du risque devrait être achevée en avril 2024.
Utilisation de la Solution de Cyber-Authentification d’Entreprise (SCE) par le Prêt canadien aux apprentis (PCA)
Le Programme canadien d’aide financière aux étudiants a modernisé le processus de vérification électronique de l’identité du PCA au moyen de la SCE, la solution normalisée d’inscription et d’authentification du Ministère. Par conséquent, le portail Mon dossier Service Canada (MDSC) servira de point d’entrée unique pour l’inscription et l’authentification des clients afin d’accéder au Centre de service du PCA. Les clients du PCA bénéficieront également de mesures de sécurité robustes qui tirent parti du processus de MDSC. L’APRPSTI a examiné les risques et les stratégies liés à la gestion et à la protection des renseignements personnels qui sont traités par le système de la SCE. L’APRPSTI a permis de cerner 4 risques moyens. La mise en œuvre des mesures d’atténuation de ces risques devrait être achevée en 2025.
Outil de correspondance ministérielle (OCM)
L’OCM est une solution de TI utilisée pour produire, livrer et archiver la correspondance imprimée et électronique pour plusieurs programmes d’EDSC. Il a été déployé en 2012 pour réduire le nombre d’outils de création de modèles distincts utilisés à l’échelle du Ministère, dans le but de disposer d’un dépôt électronique central de la correspondance envoyée aux clients. Le Programme de MVP d’EDSC utilisera l’OCM pour répondre aux besoins liés à la correspondance sortante. L’APRPSTI a examiné les processus de production, de livraison et d’archivage de la correspondance. Un risque moyen a été cerné. Les activités visant à remédier au risque devraient être achevées en 2024.
Direction intégrée de la responsabilité et de la comptabilité ministérielles – Outil destiné aux clients internes
Les services financiers fournis par la Direction intégrée de la responsabilité et de la comptabilité ministérielles d’EDSC comprennent la réponse aux questions financières générales, la réception des factures et le remboursement des employés relativement à des paiements. L’outil destiné aux clients est hébergé dans Microsoft Dynamics. L’APRPSTI a examiné le portail client interne servant à soumettre des demandes ainsi que le système dorsal de gestion des cas utilisé par les employés d’EDSC pour traiter les demandes. Aucun risque lié à la protection des renseignements personnels n’a été relevé.
Analyse de la protection des renseignements personnels pour les solutions de TI portant sur le Vérificateur de l’état d’une demande de passeport (modifiée)
EDSC, en collaboration avec Immigration, Réfugiés et Citoyenneté Canada, a lancé le Vérificateur de l’état d’une demande de passeport afin d’améliorer le niveau de service fourni aux clients sans compromettre la protection des renseignements personnels ou l’intégrité des programmes. Ce projet, réalisé dans le cadre du Programme de passeport, permet aux personnes qui soumettent une demande de passeport d’obtenir leur numéro de dossier et de vérifier l’état de leur demande de passeport en ligne. L’évaluation a porté sur le Vérificateur de l’état d’une demande de passeport, la demande du Fichier électronique de demande de service et les diverses composantes du système au moyen desquelles des données sont communiquées entre Immigration, Réfugiés et Citoyenneté Canada et le Vérificateur de l’état d’une demande de passeport. L’APRPSTI a permis de cerner 3 risques faibles et un risque moyen. Des stratégies d’atténuation seront mises en œuvre d’ici la fin de 2025 pour le risque moyen et un risque faible. EDSC a accepté les 2 autres risques faibles.
Projet 2.0 de simplification de filtrage de sécurité lors du processus d’embauche (SFSPE) – Mise à jour du produit minimum viable (PMV) 2
La SFSPE utilise la plateforme de Transports Canada pour traiter électroniquement les cotes de sécurité des employés. Ce travail vise à améliorer l’expérience des utilisateurs aux fins de l’obtention d’un filtrage de sécurité en numérisant et en simplifiant la procédure grâce à l’utilisation d’un portail en ligne pour la soumission sécurisée de documents et de renseignements personnels et d’un dépôt pour leur conservation sécurisée. Le PMV 2 instaure la SFSPE et la plateforme de Transports Canada pour administrer les mises à niveau et les renouvellements des cotes de sécurité pour les employés disposant déjà d’une telle cote. L’APRPSTI a permis de cerner 2 risques faibles liés à la protection des renseignements personnels. La mise en œuvre des stratégies d’atténuation de ces risques devrait être achevée d’ici mars 2025.
Numéro d’assurance sociale (NAS) dans Mon dossier Service Canada (NASDM) – Produit minimum viable (PMV 1)
Le projet NASDM vise à fournir aux clients une confirmation du NAS en temps réel en tirant parti de la plateforme existante de service à la clientèle, MDSC, une fois que leur demande de NAS en ligne (NAS électronique) a été traitée. NASDM élargira les exigences actuelles en matière d’inscription fondée sur le NAS pour permettre aux clients qui n’ont pas de NAS de s’inscrire à MDSC en utilisant leur numéro d’enregistrement de naissance ou leur identifiant unique de client en combinaison avec leur numéro de demande de NAS émis au moment de la demande de NAS électronique. NASDM sera lancé en 2 phases selon l’approche du PMV. Le PMV 1 est prévu pour août 2023. À ce moment, un affichage numérique du NAS sera disponible dans MDSC, tandis que la lettre de confirmation du NAS continuera d’être envoyée par la poste. L’APRPSTI a examiné les modifications apportées à MDSC, aux processus d’inscription, d’authentification et de NAS électronique, ainsi que les renseignements personnels recueillis et utilisés dans le déroulement du processus NASDM. Trois risques moyens ont été cernés. Les stratégies de gestion des risques devraient être entièrement mises en œuvre d’ici le milieu de 2025.
Analyse de la protection des renseignements personnels pour les solutions de TI – Mises à jour du processus d’approbation des décaissements fédéraux (ADF) du Programme canadien d’aide financière aux étudiants (PCAFE)
Avant que les prêts et bourses fédéraux puissent être envoyés aux étudiants et aux établissements d’enseignement, le financement doit être approuvé dans le cadre du processus d’approbation des décaissements fédéraux. Il s’agit d’une procédure en plusieurs étapes qui comprend l’envoi, le traitement et l’examen de l’information à différents niveaux. Le PCAFE modernise la procédure et utilisera de nouveaux outils. Cette APRPSTI portait sur le traitement des renseignements personnels par les nouveaux systèmes touchés par les mises à jour du processus d’ADF du PCAFE. Le processus d’ADF a lieu après que l’emprunteur a présenté une demande de financement et que celui-ci a été approuvé. L’APRPSTI a permis de cerner un risque moyen. La mise en œuvre des stratégies visant à remédier à ces risques et problèmes devrait être achevée en 2024.
Solution de migration des données (SMD) pour la Sécurité de la vieillesse (SV) /Modernisation du versement des prestations
EDSC a créé le programme de MVP pour transformer et moderniser la prestation des services et le versement des prestations aux Canadiens. La SMD pour la SV est un environnement temporaire qui sera utilisé pour préparer, tester et peaufiner les données des systèmes et bases de données existants d’EDSC et les copier vers la nouvelle plateforme Cúram. Une APRPSTI a été effectuée parce que la solution modifie la façon dont les renseignements personnels des clients sont gérés pendant le transfert vers la nouvelle plateforme. Une fois que les données existantes de la SV auront migré avec succès vers Cúram, la SMD ne sera plus nécessaire. Un risque moyen et 2 risques faibles ont été cernés.
Annexe C : Rapport statistique
Rapport statistique d’EDSC sur la Loi sur la protection des renseignements personnels
Nom de l’institution : Emploi et Développement social Canada
Période de rapport : Du 1 avril 2023 au 31 mars 2024
Section 1 Demandes présentées au titre de la Loi sur la protection des renseignements personnels
Detail | Nombre de demandes | ||
---|---|---|---|
Reçues pendant la période d’établissement de rapport | 21 722 | ||
En suspens à la fin de la période d’établissement de rapport précédente | 1 674 | ||
|
1 644 | N/A | |
|
30 | ||
Total | 23 396 | ||
Fermées pendant la période d’établissement de rapport | 20 773 | ||
Reportées à la prochaine période d’établissement de rapport | 2 623 | ||
|
1 788 | N/A | |
|
835 |
Mode | Nombre de demandes |
---|---|
En ligne | 7 606 |
Courriel | 3 302 |
Poste | 5 124 |
En personne | 30 |
Téléphone | 22 |
Télécopieur | 5 638 |
Total | 21 722 |
Section 2 Demandes informelles
Détail | Nombre de demandes | |
---|---|---|
Reçues pendant la période d’établissement de rapport | 4 885 | |
En suspens à la fin de la période d’établissement de rapport précédente | 2 294 | |
|
62 | N/A |
|
2 232 | |
Total | 7 179 | |
Fermées pendant la période d’établissement de rapport | 6 113 | |
Reportées à la prochaine période d’établissement de rapport | 1 066 |
Mode | Nombre de demandes |
---|---|
En ligne | 607 |
Courriel | 234 |
Poste | 2 934 |
En personne | 4 |
Téléphone | 55 |
Télécopieur | 1 051 |
Total | 4 885 |
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total |
---|---|---|---|---|---|---|---|
1 261 | 657 | 491 | 962 | 268 | 1 069 | 1 405 | 6 113 |
Moins de 100 pages communiquées | De 100 à 500 pages communiquées | De 501 à 1 000 pages communiquées | De 1 001 à 5 000 pages communiquées | Plus de 5 000 pages communiquées | |||||
---|---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées |
4 323 | 114 099 | 1 634 | 318 528 | 114 | 76 064 | 41 | 67 392 | 1 | 6 087 |
Section 3 Demandes fermées pendant la période d’établissement de rapport
Disposition des demandes | Délai de traitement | |||||||
---|---|---|---|---|---|---|---|---|
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
Communication totale | 1 061 | 1 577 | 768 | 568 | 24 | 36 | 1 | 4 035 |
Communication partielle | 1 614 | 3 274 | 3 115 | 3 048 | 51 | 40 | 15 | 11 157 |
Exception totale | 0 | 3 | 2 | 0 | 0 | 0 | 0 | 5 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Aucun document n’existe | 2 162 | 1 594 | 433 | 112 | 2 | 10 | 0 | 4 313 |
Demande abandonnée | 835 | 289 | 103 | 24 | 6 | 2 | 3 | 1 262 |
Ni confirmée ni infirmée | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 1 |
Total | 5 673 | 6 737 | 4 421 | 3 752 | 83 | 88 | 19 | 20 773 |
Article | Nombre de demandes |
---|---|
18(2) | 0 |
19(1)(a) | 0 |
19(1)(b) | 0 |
19(1)(c) | 0 |
19(1)(d) | 0 |
19(1)(e) | 0 |
19(1)(f) | 0 |
20 | 0 |
21 | 0 |
22(1)(a)(i) | 3 |
22(1)(a)(ii) | 1 |
22(1)(a)(iii) | 1 |
22(1)(b) | 35 |
22(1)(c) | 0 |
22(2) | 0 |
22.1 | 0 |
22.2 | 0 |
22.3 | 0 |
22.4 | 0 |
23(a) | 0 |
23(b) | 0 |
24(a) | 0 |
24(b) | 0 |
25 | 3 |
26 | 11 327 |
27 | 84 |
27.1 | 0 |
28 | 2 |
Article | Nombre de demandes |
---|---|
69(1)(a) | 0 |
69(1)(b) | 0 |
69.1 | 0 |
70(1) | 0 |
70(1)(a) | 0 |
70(1)(b) | 0 |
70(1)(c) | 0 |
70(1)(d) | 0 |
70(1)(e) | 0 |
70(1)(f) | 0 |
70.1 | 0 |
Papier | Électronique | Autres | |||
---|---|---|---|---|---|
Document électronique | Ensemble de données | Vidéo | Audio | ||
3 885 | 11 310 | 11 | 0 | 17 | 4 |
3.5 Complexité
Nombre de pages traitées | Nombre de pages communiquées | Nombre de demandes |
---|---|---|
1 917 178 | 1 766 175 | 16 460 |
Disposition | Moins de 100 pages traitées | 101 à 500 pages traitées | 501 à 1 000 pages traitées | 1 001 à 5 000 pages traitées | Plus de 5 000 pages traitées | |||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | |
Communication totale | 3 656 | 78 439 | 377 | 65 442 | 2 | 1 241 | 0 | 0 | 0 | 0 |
Communication partielle | 6 470 | 267 290 | 4 174 | 834 834 | 325 | 217 613 | 169 | 306 159 | 19 | 136 124 |
Exception totale | 5 | 91 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 1 245 | 1 208 | 15 | 2 989 | 0 | 0 | 2 | 5 874 | 0 | 0 |
Ni confirmée ni infirmée | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 11 377 | 347 028 | 4 566 | 903 139 | 327 | 218 854 | 171 | 312 033 | 19 | 136 124 |
Nombre de minutes traitées | Nombre de minutes communiquées | Nombre de demandes |
---|---|---|
1 486 | 1 319 | 17 |
Disposition | Moins de 60 minutes traitées |
60-120 minutes traitées |
Plus de 120 minutes traitées |
|||
---|---|---|---|---|---|---|
Nombre de demandes | Minutes traitées | Nombre de demandes | Minutes traitées | Nombre de demandes | Minutes traitées | |
Communication totale | 4 | 132 | 3 | 222 | 1 | 196 |
Communication partielle | 3 | 110 | 3 | 303 | 3 | 523 |
Exception totale | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 0 | 0 | 0 | 0 | 0 | 0 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 7 | 242 | 6 | 525 | 4 | 719 |
Nombre de Minutes traitées | Nombre de minutes communiquées | Nombre de demandes |
0 | 0 | 0 |
Disposition | Less than 60 Minutes traitées |
60- 120 Minutes traitées |
More than 120 Minutes traitées |
|||
---|---|---|---|---|---|---|
Nombre de demandes | Minutes traitées | Nombre de demandes | Minutes traitées | Nombre de demandes | Minutes traitées | |
Communication totale | 0 | 0 | 0 | 0 | 0 | 0 |
Communication partielle | 0 | 0 | 0 | 0 | 0 | 0 |
Exception totale | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 0 | 0 | 0 | 0 | 0 | 0 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 |
Disposition | Consultation requise | Avis juridique | Renseignements entremêlés | Autres | Total |
---|---|---|---|---|---|
Communication totale | 3 | 0 | 0 | 0 | 3 |
Communication partielle | 203 | 0 | 0 | 0 | 203 |
Exception totale | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 1 | 0 | 0 | 0 | 1 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 |
Total | 207 | 0 | 0 | 0 | 207 |
3.6 Demandes fermées
Détail | Nombre de demandes fermées dans les délais prévus par la Loi |
---|---|
Nombre de demandes fermées dans les délais prévus par la Loi | 15 269 |
Pourcentage des demandes fermées dans les délais prévus par la Loi (%) | 73.5 |
3.7 Présomptions de refus
Nombre de demandes fermées au-delà des délais prévus par la Loi | Motif principal | |||
---|---|---|---|---|
Entrave au fonctionnement / Charge de travail | Consultation externe | Consultation interne consultation | Autres | |
5 504 | 5 495 | 0 | 0 | 9 |
Nombre de jours au-delà des délais prévus par la Loi | Nombre de demandes fermées au-delà des délais prévus par la Loi où aucune prolongation n’a été prise | Nombre de demandes fermées au-delà des délais prévus par la Loi où une prolongation a été prise | Total |
---|---|---|---|
1 à 15 jours | 879 | 25 | 904 |
16 à 30 jours | 944 | 12 | 956 |
31 à 60 jours | 2 111 | 7 | 2 118 |
61 à 120 jours | 1 393 | 4 | 1 397 |
121 à 180 jours | 58 | 5 | 63 |
181 à 365 jours | 45 | 8 | 53 |
Plus de 365 jours | 4 | 9 | 13 |
Total | 5 434 | 70 | 5 504 |
Demandes de traduction | Acceptées | Refusées | Total |
---|---|---|---|
De l’anglais au français | 0 | 0 | 0 |
Du français à l’anglais | 0 | 0 | 0 |
Total | 0 | 0 | 0 |
Section 4 Disclosures under subsections 8(2) and 8(5)
Paragraph 8(2)(e) | Paragraph 8(2)(m) | Subsection 8(5) | Total |
---|---|---|---|
0 | 0 | 0 | 0 |
Section 5 Demandes de correction de renseignements personnels et mentions
Disposition des demandes de correction reçues | Nombre |
---|---|
Mentions annexées | 9 |
Demandes de correction acceptées | 2 |
Total | 11 |
Section 6 Prorogations
Nombre de demandes pour lesquelles une prorogation a été prise | 15(a)(i) Entrave au fonctionnement de l’institution | 15 (a)(ii) Consultation | 15(b) Traduction ou cas de transfert sur support de substitution | |||||
---|---|---|---|---|---|---|---|---|
Examen approfondi nécessaire pour déterminer les exceptions | Grand nombre de pages | Grand volume de demandes | Les documents sont difficiles à obtenir | Document confidentiel du Cabinet (article 70) | Externe | Interne | ||
1 323 | 0 | 0 | 1 302 | 0 | 0 | 0 | 18 | 3 |
Durée des prorogations | 15(a)(i) Entrave au fonctionnement de l’institution | 15 (a)(ii) Consultation | 15(b) Traduction ou cas de transfert sur support de substitu-tion | |||||
---|---|---|---|---|---|---|---|---|
Examen approfondi nécessaire pour déterminer les exceptions | Grand nombre de pages | Grand volume de demandes | Les documents sont difficiles à obtenir | Documents confidentiels du Cabinet (article 70) | Externe | Interne | ||
1 à 15 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
16 à 30 jours | 0 | 0 | 1 302 | 0 | 0 | 0 | 18 | 3 |
Plus de 31 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 1 302 | 0 | 0 | 0 | 18 | 3 |
Section 7 Demandes de consultation reçues d’autres institutions et organisations
Consultations | Autres institutions du gouvernement du Canada | Nombre de pages à traiter | Autres organisationss | Nombre de pages à traiter |
---|---|---|---|---|
Reçues pendant la période d’établissement de rapport | 3 | 25 | 0 | 0 |
En suspens à la fin de la période d’établissement de rapport précédente | 0 | 0 | 0 | 0 |
Total | 3 | 25 | 0 | 0 |
Fermées pendant la période d’établissement de rapport | 2 | 21 | 0 | 0 |
Reportées à l’intérieur des délais négociés à la prochaine période d’établissement de rapport | 1 | 4 | 0 | 0 |
Reportées au-delà des délais négociés à la prochaine période d’établissement de rapport | 0 | 0 | 0 | 0 |
Recommendation | Nombre de jours requis pour traiter les demandes de consultation | |||||||
---|---|---|---|---|---|---|---|---|
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
Communiquer en entier | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 1 |
Communiquer en partie | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 1 |
Exempter en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclure en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Consulter une autre institution | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Autre | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 1 | 1 | 0 | 0 | 0 | 2 |
Recommendation | Nombre de jours requis pour traiter les demandes de consultation | |||||||
---|---|---|---|---|---|---|---|---|
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
Communiquer en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Communiquer en partie | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exempter en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclure en entier | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Consulter une autre institution | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Autre | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Section 8 Délais de traitement des demandes de consultation sur les documents confidentiels du Cabinet
Nombre de jours | Moins de 100 pages traitées | De 100 à 500 pages traitées | De 501 à 1 000 pages traitées | De 1 001 à 5 000 pages traitées | Plus de 5 000 pages traitées | |||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | |
1 à 15 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
16 à 30 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
31 à 60 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
61 à 120 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
121 à 180 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
181 à 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Plus de 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Nombre de jours | Moins de 100 pages traitées | De 100 à 500 pages traitées | De 501 à 1 000 pages traitées | 1,001 to 5,000 pages processed | Plus de 5 000 pages traitées | |||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | Nombre de demandes | Pages traitées | |
1 à 15 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
16 à 30 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
31 à 60 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
61 à 120 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
121 à 180 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
181 à 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Plus de 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Section 9 Avis de plaintes et d’enquêtes reçus
Article 31 | Article 33 | Article 35 | Recours judiciaire | Total |
---|---|---|---|---|
37 | 0 | 41 | 0 | 78 |
Section 10 Évaluations des facteurs relatifs à la vie privée et des Fichiers de renseignements personnels
Nombre d’ÉFVP terminées | 16 |
---|---|
Nombre d’ÉFVP modifiées | 2 |
Fichiers de renseignements personnels | Actifs | Créés | Supprimés | Modifiés |
---|---|---|---|---|
Spécifiques à l’institution | 63 | 0 | 2 | 35 |
Centraux | 0 | 0 | 0 | 0 |
Total | 63 | 0 | 2 | 35 |
Section 11 Atteintes à la vie privée
Nombre d’atteintes substantielles à la vie privée signalées au SCT | 364 |
---|---|
Nombre d’atteintes substantielles à la vie privée signalées au CPVP | 364 |
Nombre d’atteintes à la vie privée non-substantielles | 1 228 |
---|
Section 12 Ressources liées à la Loi sur la protection des renseignements personnels
Dépenses | Montant | |
---|---|---|
Salaires | 9 198 000 $ | |
Heures supplémentaires | 488 353 $ | |
Biens et services | 225 523 $ | |
|
203 440 $ | Sans objet |
|
22 083 $ | |
Total | 9 911 844 $ |
Ressources | Années-personnes consacrées aux activités liées à la protection des renseignements personnels |
---|---|
Employés à temps plein | 34,876 |
Employés à temps partiel et occasionnels | 0,192 |
Employés régionaux | 64,743 |
Experts-conseils et personnel d’agence | 0,706 |
Étudiants | 1,277 |
Total | 101,793 |
Rapport statistique supplémentaire sur la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels
Nom de l’institution : Emploi et Développement social Canada
Période de rapport : Du 1 avril 2023 au 31 mars 2024
Section 1 Demandes ouvertes et plaintes en vertu de la Loi sur l’accès à l’information
Exercice financier au cours duquel les demandes ouvertes ont été reçues | Demandes ouvertes dans les délais prescrits par la Loi en date du 31 mars 2024 | Demandes ouvertes dépassant les délais prescrits par la Loi en date du 31 mars 2024 | Total |
---|---|---|---|
Reçues en 2023 à 2024 | 176 | 81 | 257 |
Reçues en 2022 à 2023 | 5 | 95 | 100 |
Reçues en 2021 à 2022 | 7 | 54 | 61 |
Reçues en 2020 à 2021 | 4 | 49 | 53 |
Reçues en 2019 à 2020 | 5 | 31 | 36 |
Reçues en 2018 à 2019 | 0 | 6 | 6 |
Reçues en 2017 à 2018 | 0 | 2 | 2 |
Reçues en 2016 à 2017 | 0 | 1 | 1 |
Reçues en 2015 à 2016 | 0 | 0 | 0 |
Reçues en 2014 à 2015 ou plus tôt | 0 | 0 | 0 |
Total | 197 | 319 | 516 |
Exercice financier au cours duquel les plaintes ouvertes ont été reçues par institution | Nombre de plaintes ouvertes |
---|---|
Reçues en 2023 à 2024 | 32 |
Reçues en 2022 à 2023 | 8 |
Reçues en 2021 à 2022 | 4 |
Reçues en 2020 à 2021 | 0 |
Reçues en 2019 à 2020 | 2 |
Reçues en 2018 à 2019 | 0 |
Reçues en 2017 à 2018 | 0 |
Reçues en 2016 à 2017 | 0 |
Reçues en 2015 à 2016 | 0 |
Reçues en 2014 à 2015 ou plus tôt | 0 |
Total | 46 |
Section 2: Demandes ouvertes et plaintes en vertu de la Loi sur la protection des renseignements personnels
Exercice financier au cours duquel les demandes ouvertes ont été reçues | Demandes ouvertes dans les délais prescrits par la Loi en date du 31 mars 2024 | Demandes ouvertes dépassant les délais prescrits par la Loi en date du 31 mars 2024 | Total |
---|---|---|---|
Reçues en 2023 à 2024 | 1 786 | 790 | 2 576 |
Reçues en 2022 à 2023 | 0 | 20 | 20 |
Reçues en 2021 à 2022 | 2 | 15 | 17 |
Reçues en 2020 à 2021 | 0 | 8 | 8 |
Reçues en 2019 à 2020 | 0 | 2 | 2 |
Reçues en 2018 à 2019 | 0 | 0 | 0 |
Reçues en 2017 à 2018 | 0 | 0 | 0 |
Reçues en 2016 à 2017 | 0 | 0 | 0 |
Reçues en 2015 à 2016 | 0 | 0 | 0 |
Reçues en 2014 à 2015 ou plus tôt | 0 | 0 | 0 |
Total | 1 788 | 835 | 2 623 |
Exercice financier au cours duquel les plaintes ouvertes ont été reçues par institution | Nombre de plaintes ouvertes |
---|---|
Reçues en 2023 à 2024 | 6 |
Reçues en 2022 à 2023 | 4 |
Reçues en 2021 à 2022 | 1 |
Reçues en 2020 à 2021 | 1 |
Reçues en 2019 à 2020 | 0 |
Reçues en 2018 à 2019 | 0 |
Reçues en 2017 à 2018 | 0 |
Reçues en 2016 à 2017 | 0 |
Reçues en 2015 à 2016 | 0 |
Reçues en 2014 à 2015 ou plus tôt | 0 |
Total | 12 |
Section 3 : Numéro d’assurance social (NAS)
Votre institution a-t-elle reçu l’autorisation de procéder à une nouvelle collecte ou à une nouvelle utilisation cohérente du NAS en 2023 à 2024? | Oui |
---|
Section 4: Accès universel sous la Loi sur la protection des renseignements personnels
Combien de demandes ont été reçues de la part de ressortissants étrangers confirmés en dehors du Canada en 2023 à 2024? | 51 |
---|
Détails de la page
- Date de modification :