Revue et analyse comparative de la gestion de la protection des renseignements personnels : chapitre 6
Annexe 1 Méthodologie et critères
Méthodologie
Une évaluation des risques a permis de confirmer, pendant la phase de planification de cette revue, l’objectif de la vérification et les domaines qui méritaient d’être examinés davantage. Les critères utilisés dans le contexte de cette revue ont été élaborés à partir d’une combinaison de normes et de modèles, comme le Global Technology Audit Guide − Practice Guide on Managing and Auditing Privacy Risks, la Loi sur la protection des renseignements personnels et les directives internes et politiques connexes du SCT et d’ECCC. Un mélange d’entrevues et d’une revue de la documentation a été utilisé.
L’évaluation de la gestion qui a été faite en 2013 par le personnel de l’AIPRP et de la Sécurité de la GI/TI, et l’analyse comparative menée par la DGEV ont également été examinées, et leurs résultats ont été pris en compte.
Critères
| 1. | Le cadre de gestion et les principaux processus de gestion des renseignements personnels d’ECCC sont en place. | Respecté/ pas respecté |
|---|---|---|
| 1.1 | Cadre stratégique de protection des renseignements personnels (CSPRP) - Le CSPRP a été élaboré et mis en œuvre pour appuyer la gestion et la surveillance des pratiques relatives à la protection de la vie privée. | En partie respecté |
| 1.2 | Gouvernance et supervision - Il existe des structures officielles de gouvernance qui aident à surveiller les pratiques relatives à la protection de la vie privée. | Respecté |
| 1.3 | Rôles et responsabilités -Lesrôles et les responsabilités sont clairement définis et communiqués à tous les employés d’ECCC. | Respecté |
| 1.4 | Collecte de renseignements personnels et information à fournir -Les renseignements personnels qui sont recueillis sont directement liés à une activité ou à un programme. La personne qu’ils concernent est de plus avisée, au moment de la collecte, de la raison de celle-ci. | Respecté |
| 1.5 | Évaluations des facteurs relatifs à la vie privée (ÉFVP) -DesÉFVP sont effectuées pour les programmes et les activités qui ont subi des modifications importantes et pour lesquels des renseignements personnels sont recueillis. | En partie respecté |
| 1.6 | Sensibilisation et formation - Des séances de formation et de sensibilisation qui transmettent aux employés l’information dont ils ont besoin pour s’acquitter de leurs rôles et de leurs responsabilités sont tenues. | Respecté |
| 1.7 | Fonds de renseignements -Chaque année, les renseignements personnels relevant d’ECCC sont identifiés et décrits dans des catégories de fichiers de renseignements personnels (FRP). | Respecté |
Dates importantes
Première rencontre (note de lancement)
novembre 2013
Plan de la revue envoyé à la direction
avril 2014
Rapport de l’analyse comparative envoyé au Comité consultatif externe de vérification à titre d’information
juin 2015
Recommandation du Comité consultatif externe de vérification
juin 2015
Approbation du sous-ministre
décembre 2015
Cadre stratégique de protection des renseignements personnels d’ECCC
2 novembre 2012.