Revue et analyse comparative de la gestion de la protection des renseignements personnels : chapitre 2
1. Introduction et contexte
La revue et l’analyse comparative de la gestion de la protection des renseignements personnels faisaient partie du Plan intégré de vérification et d’évaluation axé sur le risque de 2013 qui a été approuvé par le sous-ministre, sur recommandation du Comité consultatif externe de vérification (CCEV).
Exigences de gouvernement en matière de protection des renseignements personnels
On entend par renseignements personnels les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable. Le gouvernement du Canada s’est engagé à respecter la vie privée des personnes en ce qui a trait aux renseignements personnels relevant des institutions fédérales.
La Loi sur la protection des renseignements personnels, le Règlement sur la protection des renseignements personnels et la série de politiques du Secrétariat du Conseil du Trésor (SCT) sur la protection des renseignements personnels appuient l’engagement du gouvernement d’établir des normes claires pour la collecte, l’utilisation, la communication et la conservation des renseignements personnels, ainsi que des pratiques exemplaires ou des mesures de contrôle efficaces pour la promotion de la protection des renseignements personnels et l’application de la législation et de la réglementation qui s’y rattachent.
Gestion de la protection des renseignements personnels à Environnement et Changement climatique Canada
Le coordonnateur de l’Accès à l’information et de la protection des renseignements personnels (AIPRP) qui, à ECCC, est le directeur général du Secrétariat ministériel, est chargé :
- de veiller à ce que des mesures et des processus adéquats soient mis en vigueur pour la création, la collecte, la conservation, l’exactitude, l’utilisation, la communication ou la destruction des renseignements personnels;
- d’élaborer un plan en cas d’atteintes à la vie privée;
- d’établir des procédures pour le maintien d’un registre des nouvelles utilisations et communications afin que les fichiers de renseignements personnels (FRP) restent à jour;
- d’informer les employés de leurs responsabilités en matière de gestion des renseignements personnels;
- de déléguer l’autorisation de recueillir et de créer des renseignements personnels.
Il incombe aux gestionnaires de programme :
- d’informer la Division de l’AIPRP lorsqu’un programme ou activité est créé ou a subi des modifications importantes;
- de limiter la collecte de renseignements personnels à ce qui est directement lié à des programmes ou à des activités;
- de lancer une nouvelle évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsqu’un programme ou une activité est créé ou a subi des modifications importantes.
Enfin, tous les employés ont le devoir de protéger la confidentialité des renseignements personnels qu’ils gèrent.
Tout au long de l’exécution de son programme, ECCC recueille différents types de renseignements personnelsNote 1, comme l’âge, la situation de famille, la race, l’origine nationale ou ethnique, le dossier médical, le casier judiciaire, les antécédents de travail et les numéros d’identification (p. ex. le numéro d’assurance sociale, le code d’identification de dossier personnel).
Conformément aux exigences du gouvernement en matière de protection des renseignements personnels, ECCC a produit en 2012 un cadre stratégique de protection des renseignements personnels (CSPRP) qui inclut des directives internes sur l’évaluation des facteurs relatifs à la vie privée, les pratiques relatives à la protection de la vie privée et le protocole en cas d’atteinte à la vie privée.
Évaluation de la gestion de la protection des renseignements personnels
En réponse à un cas d’atteinte à la vie privée, la Direction générale des services ministériels (DGSM) d’ECCC, en collaboration avec le Secrétariat ministériel, a en 2013 évalué les pratiques relatives au traitement des renseignements personnels ou de nature délicate. Cette évaluation a porté sur les activités de dotation, financières et d’approvisionnement.
L’évaluation a cerné 124 recommandations qui pourraient être mises en œuvre rapidement, et ont été suivies par plusieurs mesures de gestion. Au moment où s’effectue la présente revue, 90 de ces 124 recommandations ont été mises en œuvre et 34 ont été reportées en attendant la mise en œuvre d’initiatives de plus grande ampleur, comme le système financier SAP et la réorganisation des processus opérationnels des RH. En réponse à l’évaluation, ECCC a mis en place de nombreuses mesures de contrôle qui contribueront à protéger davantage les renseignements personnels, comme l’installation d’un logiciel de chiffrement sur les ordinateurs portatifs.
Les résultats de l’évaluation susmentionnée ont été examinés pendant la planification et l’établissement de la portée de la présente revue.