Revue et analyse comparative de la gestion de la protection des renseignements personnels : chapitre 1
Sommaire
La revue et l’analyse comparative de la gestion de la protection des renseignements personnels sont effectuées dans le cadre du Plan ministérielle de vérification et d’évaluation axé sur le risque de 2013 approuvé par le sous-ministre, d’après la recommandation du Comité consultatif externe de vérification.
En 2012, Environnement et Changement climatique Canada (ECCC) a élaboré et mis en œuvre un cadre stratégique pour la protection des renseignements personnels (CSPRP) doté d’éléments d’appui tel que les directives et de procédures. À la suite d’un cas d’atteinte à la vie privée, la direction a procédé en 2013 à une évaluation de certains processus opérationnels.
En 2013 également, la haute direction a demandé que la Direction générale de la vérification et de l’évaluation (DGVE) effectue une revue du cadre de gestion et des principaux processus de gestion relatifs à la protection des renseignements personnels que détient ECCC et compare ces processus à ceux de ministères fédéraux semblables.
Dans l’ensemble, la revue a confirmé que les politiques et les processus nécessaires pour la gestion de la protection des renseignements personnels sont en place et qu’ils sont essentiellement conformes à tous les éléments de la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor (SCT). Le Cadre stratégique de protection des renseignements personnels d’ECCC prévoit les rôles et les responsabilités ainsi que les processus, comme l’évaluation des facteurs relatifs à la vie privée (ÉFVP) et le protocole en cas d’atteinte à la vie privée. La revue a confirmé que les renseignements personnels des activités de dotation et d’approvisionnement ne sont recueillis que pour les besoins de programmes précis.
Depuis l’évaluation de la gestion, de nombreuses séances d’information ont été offertes aux employés s’occupant de dotation et d’approvisionnement, et presque tous les employés (plus de 6 000) ont suivi la séance obligatoire en ligne sur la sensibilisation à la sécurité, qui comprend un module sur la protection des renseignements personnels. Le Ministère a également installé un logiciel de chiffrement de disque sur plus de 1 900 ordinateurs portatifs pour assurer la sécurité de l’information. L’équipe de vérification a toutefois relevé les domaines suivants dans lesquels les pratiques et les processus pourraient être améliorés :
- les pratiques et la méthode de collecte des numéros d’assurance sociale (NAS) dans le contexte du Cadre stratégique de protection des renseignements personnels;
- la surveillance des mesures des évaluations des facteurs relatifs à la vie privée.
Recommandation 1 :
Le directeur général du Secrétariat ministériel devrait revoir le Cadre stratégique de protection des renseignements personnels d’ECCC pour mieux définir les exigences relatives à la collecte, à l’utilisation et à la communication des numéros d’assurance sociale.
Recommandation 2 :
Le directeur général du Secrétariat ministériel devrait améliorer sa méthode de surveillance des évaluations des facteurs relatifs à la vie privée qui sont exigées et effectuées.
Réponse de la direction
La direction accepte ces recommandations. La réponse détaillée de la direction se trouve à la section 3 du présent rapport.