Revue et analyse comparative de la gestion de la protection des renseignements personnels : chapitre 4

3. Constatations et recommandations

Dans l’ensemble, le cadre stratégique et les principaux processus de gestion de la protection des renseignements personnels nécessaires sont en place. Par exemple, ECCC a un Cadre stratégique de protection des renseignements personnels (CSPRP) en bon état qu’il a fait connaître dans tout le Ministère. Depuis que la direction a procédé à sa propre évaluation en 2013, un certain nombre de mesures de protection et de contrôle connexes ont été mises en œuvre ou améliorées.

De plus, l’analyse de comparaison a établi qu’ECCC est le seul ministère qui ait pleinement mis en œuvre son CSPRP, qui couvre les principales lignes directrices du SCT. ECCC a également établi la gouvernance nécessaire et communiqué les rôles et les responsabilités aux employés par de la sensibilisation et de la formation.

L’analyse comparative a toutefois également montré qu’il pourrait être bon de procéder à une analyse plus approfondie des renseignements personnels recueillis dans le cadre des processus de dotation et d’approvisionnement, puisqu’il s’est avéré qu’ECCC recueille le plus d’information. La revue a également cerné deux domaines dans lesquels des améliorations sont possibles : les directives sur les processus associés à la collecte des numéros d’assurance sociale (NAS) et la surveillance des évaluations des facteurs relatifs à la vie privée (ÉFVP).

3.1 Cadre stratégique de protection des renseignements personnels

La Politique du SCT sur la protection de la vie privée exige que les responsables des institutions établissent des pratiques de gestion pour assurer une application uniforme de la Loi sur la protection des renseignements personnels. Pour s’acquitter de cette obligation, ECCC a élaboré et mis en œuvre CSPRP, qui présente les processus en détail, y compris les rôles et les responsabilités de tous ceux qui participent à la gestion des renseignements personnels. Le CSPRP a été mis en œuvre en novembre 2012, le dernier document du CSPRP mis en œuvre étant le protocole en cas d’atteinte à la vie privée, en septembre 2013.

L’analyse comparative a montré qu’ECCC est un des six ministères (sur sept) qui ont élaboré un CSPRP, appuyé par l’ensemble suivant de directives internes et d’un protocole :

• directive interne sur les ÉFVP;
• processus interne d’approbation des ÉFVP;
• directive interne sur les pratiques relatives à la protection de la vie privée;
• protocole en cas d’atteinte à la vie privée.

La Politique du SCT sur la protection de la vie privée exige aussi que les ministères respectent les conditions particulières relatives à l’utilisation des NAS ainsi que les restrictions imposées à leur collecte, à leur utilisation et leur communication. Bien qu’ECCC ait mis en œuvre un CSPRP qui inclut la plupart des exigences de la Loi sur la protection des renseignements personnels et des politiques du SCT, les processus de collecte, d’utilisation et de communication des NAS ne sont pas définis.

Une des recommandations de l’évaluation de la gestion était de modifier le processus de collecte et de transmission des renseignements personnels (comme les NAS). En réponse à cette recommandation, la DGRH a modifié ses processus de collecte et de transmission de l’information délicate et demande maintenant ce genre de renseignement au téléphone, ce qui élimine les traces écrites éventuelles. Cependant, il n’est pas question de ce nouveau processus dans le CSPRP; les employés qui ne sont pas au courant peuvent par conséquent procéder de manière inappropriée pour recueillir des renseignements personnels. Cela peut aussi accroître le risque de diffusion délibérée ou même accidentelle de NAS.

3.2 Gouvernance, rôles et responsabilités

Selon la Loi sur la protection des renseignements personnels, les responsables des institutions peuvent choisir de déléguer leurs pouvoirs, attributions ou fonctions. De plus, s’ils décident de le faire, une ordonnance de délégation de pouvoirs doit être signée et les cadres ou les employés à qui les attributions sont déléguées doivent être d’un niveau hiérarchique approprié à la tâche.

L’analyse comparative a démontré que les sept ministères ont tous une ordonnance de délégation de pouvoirs officielle. À ECCC, cette ordonnance a été approuvé en septembre 2013; il délègue tous les pouvoirs au sous-ministre, au sous-ministre délégué, au directeur général du Secrétariat ministériel, au directeur de l’AIPRP et au gestionnaire de l’AIPRP pour toutes les responsabilités pouvant être attribuées en matière de protection des renseignements personnels. Il existe aussi une structure organisationnelle plus précise pour le groupe de l’AIPRP et une équipe distincte se consacre maintenant aux atteintes à la vie privée.

Le SCT a de plus affecté une série de responsabilités aux cadres de direction et aux cadres supérieurs qui gèrent des programmes ou des activités exigeant la création et le traitement de renseignements personnels. Ces responsabilités sont énoncées à la fois dans la Politique du CT sur la protection de la vie privée et dans la Directive sur les pratiques relatives à la protection de la vie privée.

Bien qu’ECCC n’ait pas établi d’organisme de supervision particulier, comme le recommandent l’orientation et les critères connexes du Cadre de responsabilisation de gestion (CRG), dans l’ensemble, le Ministère a établi les principaux éléments de la gouvernance qui définissent les rôles et les responsabilités, ainsi que des directives et des processus plus détaillés. Ceux-ci se trouvent dans le Cadre stratégique de protection des renseignements personnels et sont communiqués par différentes méthodes, comme les séances de formation et de sensibilisation, le site intranet de l’AIPRP, ECollab et Nouvelles@ECCC.

3.3 Collecte de renseignements personnels et information à fournir

Conformément à l’article 4 de la Loi sur la protection des renseignements personnels, une institution ne peut recueillir de renseignements personnels que s’ils sont directement liés à une activité ou à un programme. De plus, lorsque l’information est recueillie en vertu du paragraphe 5(2) de la Loi, la personne qu’elle concerne doit aussi être informée des fins auxquelles elle est destinée. La Politique du CT sur la protection de la vie privée prévoit en outre que les ministères doivent veiller à ce que des dispositions appropriées pour la protection des renseignements personnels soient incluses dans les contrats ou les ententes pouvant donner lieu à la circulation intergouvernementale ou transfrontalière de renseignements personnels.

La revue a confirmé que les renseignements personnels recueillis pour les activités de dotation et d’approvisionnement ne le sont que pour les besoins de programmes opérationnels. De plus, ECCC a adopté pour les activités de dotation et d’approvisionnement un avis de non-responsabilité qui informe aussi les gestionnaires de leurs obligations en matière de protection des renseignements personnels.

À la suite de l’évaluation de la gestion, les mesures de contrôle supplémentaires suivantes ont été mises en œuvre pour la collecte et la transmission de renseignements personnels pour les besoins de la dotation et de l’approvisionnement :

• plutôt que de recueillir des copies des données d’identification personnelle, ECCC exige que les gestionnaires d’embauche signent une lettre attestant qu’ils ont vu ces données (fait surtout pour la dotation accélérée [DA]);
• les employés de la DA et de l’approvisionnement utilisent l’impression sécurisée lorsqu’ils traitent des renseignements personnels;
• les employés fournissent le NAS par téléphone (seulement pendant le processus de DA);
• les renseignements personnels inutiles ont été enlevés du système de DA et des communications de l’approvisionnement;
• l’accès des employés de la DA et de l’approvisionnement aux renseignements personnels est limité à ceux qui en ont besoin pour s’acquitter de leurs tâches.

Les résultats de l’analyse comparative montrent que la plupart des ministères informent les gens que leurs renseignements personnels seront protégés au moyen d’une clause de protection des renseignements personnels incluse dans les formulaires et contrats utilisés. Bien qu’ECCC informe habituellement les gens par téléphone ou par courriel pour les activités de dotation et les activités d’approvisionnement, cette pratique est conforme aux exigences de la Politique et de la Loi sur la protection des renseignements personnels.

3.4 Évaluations des facteurs relatifs à la vie privée

Selon la Directive du SCT sur l’évaluation des facteurs relatifs à la vie privée (ÉFVP), les responsables des institutions doivent établir un processus d’ÉFVP et d’approbation :

• qui correspond au niveau de risque d’atteinte à la vie privée des programmes ou activités de l’institution;
• grâce auquel l’ÉFVP est effectuée par le haut fonctionnaire ou le cadre responsable dans l’institution des nouveaux programmes, des nouvelles activités, ou des programmes ou activités qui ont subi des modifications importantes.

Les ÉFVP aident les gestionnaires de programme à s’acquitter de leurs responsabilités en matière de gestion des renseignements personnels. Les ÉFVP sont essentiellement un outil de gestion des risques permettant d’évaluer si les exigences de la Loi sur la protection des renseignements personnels sont respectées. Les ÉFVP aident aussi les décideurs à éviter les risques d’atteinte à la vie privée et leur apportent l’information dont ils ont besoin pour prendre des décisions éclairées. En veillant à ce que les ÉFVP soient effectuées, ECCC peut prévoir la réaction du public aux incidences sur la protection de la vie privée et donc éviter des refontes coûteuses de programmes, de services ou de processus.

En 2012, ECCC a élaboré une directive interne sur les ÉFVP ainsi que le processus interne d’approbation des ÉFVP. Ces documents ont été communiqués aux employés par le truchement d’ECCCollab et du site Web interne d’ECCC. Cette directive exige qu’il y ait un processus par lequel les ÉFVP sont :

• lancées ou mises à jour par les chefs des directions générales;
• approuvées à la fois par le coordonnateur de l’AIPRP et les chefs des directions générales;
• suivies par le gestionnaire de l’AIPRP.

La directive exige aussi que l’information suivante soit tenue à jour :

• le nombre d’ÉFVP entreprises;
• le nombre d’ÉFVP modifiées;
• le nombre d’ÉFVP présentées pour approbation au SCT;
• le nombre d’ÉFVP présentées pour approbation au Commissariat à la protection de la vie privée;
• le nombre d’ÉFVP approuvées par le SCT;
• le nombre d’ÉFVP approuvées par le Commissariat à la protection de la vie privée.

>Bien que les processus et les pratiques aient été mis par écrit et communiqués aux employés, la DGEV n’a pu établir si l’information ci-dessus est suivie. Il est par conséquent difficile de déterminer si toutes les ÉFVP nécessaires sont dûment entreprises et terminées.

3.5 Sensibilisation et formation

Conformément aux politiques et aux directives du Conseil du Trésor, tous les employés qui traitent des renseignements personnels ou participent à la conception et à la mise en œuvre de systèmes qui traitent des renseignements personnels doivent être pleinement conscients de leurs obligations.

L’analyse comparative a montré que les sept ministères tiennent des séances de formation et de sensibilisation. Dans certains ministères, cette formation est obligatoire pour tous les nouveaux employés et fait partie de leur orientation. Voici certaines des pratiques exemplaires d’autres ministères en ce qui concerne la formation des employés :

• Fait partie du programme intensif pour les nouveaux inspecteurs (école préparatoire).
• Sur demande et adaptée (division).
• Séances de sensibilisation aux tables de gouvernance et de direction.
• Parallèlement à la formation sur la sensibilisation à la GI.
• Réunions mensuelles avec des agents de liaison de l’AIPRP qui répondent aux questions.
• Tutoriel fourni avec la déclaration et affichage sur la page Web interne.

Quatre ministères, dont ECCC, envoient des rappels aux employés à propos des atteintes à la vie privée. À ECCC, tous les nouveaux employés doivent suivre la séance d’information obligatoire en ligne sur la sécurité, qui explique les responsabilités des employés, entre autres les contrôles de l’accès et le traitement de l’information. Plus de 90 % des employés d’ECCC ont suivi cette formation obligatoire.

Des séances de formation ciblées ont de plus été tenues avec les employés des Ressources humaines, des Finances (y compris ceux de l’Approvisionnement) et de la Sécurité de la GI/TI. D’autres séances de formation ciblées sont également données à divers employés du Ministère qui doivent traiter des renseignements personnels. Différents documents de communication permettent aussi aux employés de prendre davantage conscience des questions de sécurité et de protection de la vie privée.

3.6 Fonds de renseignements

Conformément à la Directive du SCT sur les pratiques relatives à la protection de la vie privée, les ministères doivent limiter l’accès aux renseignements personnels et l’utilisation de ces renseignements par des moyens administratifs, techniques et matériels visant à protéger les renseignements personnels et la vie privée. Les politiques du SCT et d’ECCC exigent aussi que les ministères produisent chaque année de l’information détaillée sur l’organisation, les programmes, les fonctions et les fonds de renseignements du Ministère.

L’analyse comparative a montré qu’ECCC suit de nombreuses pratiques exemplaires, comme le chiffrement du disque sur les ordinateurs portatifs et les lecteurs portables et clés USB pour atténuer le risque de compromission de renseignements personnels, cela en réponse aux recommandations découlant de l’évaluation de la gestion dont il a déjà été question. Jusqu’à maintenant, le chiffrement de tout le disque de plus de 3 900 ordinateurs portatifs a été configuré, et d’autres sont prévus.

Comme ils y sont tenus, tous les ministères, y compris ECCC, identifient et décrivent chaque année les renseignements personnels contenus dans les fichiers de renseignements personnels (FRP).