Résumé de l’évaluation des facteurs relatifs à la vie privée (EFVP) : Programme des étudiants étrangers – outil de vérification des lettres d’acceptation (LA)
Institution fédérale responsable
Immigration, Réfugiés et Citoyenneté Canada
Nom du programme/de l’activité
Programme des étudiants étrangers – outil de vérification des lettres d’acceptation (LA)
Autorisation légale
Le fondement juridique du Programme des étudiants étrangers (PEE) se trouve à l’article 30 de la Loi sur l’immigration et la protection des réfugiés (LIPR), dans lequel l’on peut lire :
- 30(1) L’étranger ne peut exercer un emploi au Canada ou y étudier que sous le régime de la présente loi.
- L’agent peut, sur demande, autoriser l’étranger qui satisfait aux conditions réglementaires à exercer un emploi au Canada ou à y étudier.
Les activités de vérification à mener pour les besoins du PEE sont établies aux articles 15 et 16, à l’alinéa 32(d) et aux sous-alinéas 32(d.1) à 32(d.3) de la LIPR.
- Les articles 15 et 16 autorisent IRCC à collecter des informations personnelles auprès d’un ressortissant étranger qui introduit une demande de permis d’études.
- L’article 30, l’alinéa 32(d) et les sous-alinéas 32(d.1) à (d.3) définissent les pouvoirs dans le cadre du Programme des étudiants étrangers, les conditions qui peuvent être imposées aux fins de mener des études au pays et la vérification des documents.
Divers articles du Règlement sur l’immigration et la protection des réfugiés (RIPR) appuient les activités d’IRCC dans le cadre du traitement des demandes de permis d’études et du processus décisionnel ─ voir les articles 210 à 216, 219 ainsi que le paragraphe 220.1 et l’alinéa 220.1(4).
- Les articles 210 à 216 définissent les conditions de délivrance des permis d’études, qui prévoient notamment que le ressortissant étranger doit être accepté dans un établissement d’enseignement désigné (216(1)(e)), pour lequel la preuve documentaire est une lettre d’acceptation valide.
- L’article 219 et le paragraphe 220.1 énoncent les exigences particulières liées à la fréquentation d’un établissement d’enseignement désigné, notamment qu’un « permis d’études ne peut être délivré à l’étranger que si celui-ci produit une attestation écrite de son acceptation émanant de l’établissement d’enseignement désigné où il a l’intention d’étudier » (219(1)).
- L’alinéa 220.1(4) donne également pouvoir à l’agent de demander une preuve que le titulaire de permis d’études va s’inscrire à un établissement d’enseignement désigné parce qu’il a des motifs de croire que celui-ci ne respecte pas ou n’a pas respecté l’une ou plusieurs des conditions du permis, dans le cadre d’une évaluation, faite au hasard, quant au degré de conformité global aux conditions des titulaires de permis d’études.
La communication de renseignements personnels contenus dans des lettres d’acceptation aux établissements d’enseignement désignés à des fins de vérification est autorisée en vertu de l’alinéa 8(1) et du sous‑alinéa 8(2)(a) de la Loi sur la protection des renseignements personnels.
- L’alinéa 8(1) et le sous-alinéa 8(2)(a) stipulent respectivement que des renseignements personnels qui relèvent d’une institution fédérale peuvent uniquement être communiqués avec le consentement de la personne qu’ils concernent et uniquement aux fins auxquelles ils ont été recueillis ou pour les usages qui sont compatibles avec ces fins.
Description du programme ou de l’activité
La présente évaluation des facteurs relatifs à la vie privée (EFVP) fait suite à l’EFVP de 2014 sur le Programme des étudiants étrangers (PEE) et se concentre sur le passage d’une diffusion au cas par cas à une diffusion systématique des renseignements personnels à tous les établissements d’enseignement désignés (EED) postsecondaires, y compris par l’intermédiaire du portail ainsi que pour les demandes soumises en ligne et sur papier.
Le Canada devenant un choix de plus en plus populaire pour les étudiants étrangers, la fréquence des arnaques perfectionnées impliquant des documents frauduleux est manifeste. Le PEE est devenu une cible de ces cas de fraude, IRCC, les médias et d’autres organisations ayant constaté une tendance en matière de lettres d’acceptation (LA) frauduleuses.
La fraude liée aux LA constitue un problème important qui accroît la complexité des demandes, s’ajoute aux ressources qui doivent être investies dans la prise de décision et mène dans certains cas à ce que des étudiants non authentiques obtiennent des permis d’études sur le fondement de documents frauduleux. Elle a également conduit de véritables étudiants, cibles d’acteurs peu scrupuleux à l’étranger, à venir au Canada au moyen d’une LA frauduleuse à leur insu et à se retrouver exposés à des difficultés, en situation de vulnérabilité et avec un statut d’immigration incertain.
Afin d’éviter les demandes frauduleuses, la vérification initiale obligatoire de la LA contribuera à renforcer le PEE du Canada et à mieux protéger les véritables étudiants contre les fraudes. La vérification de la LA n’est qu’un exemple des vérifications que le Ministère fait régulièrement dans le cadre du traitement de l’ensemble des demandes d’immigration, peu importe le secteur d’activité. Afin de garantir l’intégrité du système d’immigration du Canada, les fonctionnaires valident régulièrement divers documents fournis par les demandeurs à des tiers, par exemple des documents bancaires, des résultats de tests linguistiques et des preuves d’emploi.
Depuis le 1er décembre 2023, tous les EED postsecondaires seront tenus de vérifier les LA associées aux demandes de permis d’études provenant de l’étranger. IRCC a envoyé des courriels directement aux « utilisateurs principaux » de chaque EED, qui ont été ciblés à l’aide d’une liste actuelle d’utilisateurs principaux des EED pour les besoins des rapports de conformité d’IRCC, ainsi qu’aux nouveaux utilisateurs. L’utilisateur principal de l’outil de validation est le « super-utilisateur » de l’EED. Cette liste d’utilisateurs principaux est mise à jour par IRCC en fonction des renseignements fournis de façon ponctuelle par les provinces et les territoires. Une nouvelle procédure a également été mise en place pour les demandes en ligne et sur papier. Cette initiative déclenche la nécessité d’une EFVP nouvelle ou modifiée, car le programme passe de la diffusion au cas par cas à la diffusion systématique de renseignements aux EED afin de vérifier les LA associées aux demandes de permis d’étude venant de l’étranger. Il s’agit de modifier la technologie actuelle pour permettre aux EED de vérifier les LA par l’intermédiaire du portail actuel. L’échange d’informations est utilisé pour appuyer la décision administrative d’accepter ou de rejeter des candidats étudiants étrangers.
Fichiers de renseignements personnels
Résumé de la détermination et de la catégorisation des risques
Vous trouverez ci-dessous le tableau de détermination et de catégorisation des risques correspondant à cette initiative.
| a) Type de programme ou d’activité | Échelle de risque |
|---|---|
| Programme ou activité qui ne nécessite pas la prise d’une décision concernant une personne identifiable | Case à cocher : décoché ☐ 1 |
| Administration des programmes, des activités et des services | Case à cocher : décoché ☐ 2 |
| Conformité ou enquêtes réglementaires et exécution de la réglementation | Case à cocher : coché ☒ 3 |
| Programme ou activité qui nécessite la prise d’une décision concernant une personne identifiable | Case à cocher : décoché ☐ 4 |
| Enquête criminelle et application de la loi, ou sécurité nationale | Case à cocher : décoché ☐ 5 |
| b) Type de renseignements personnels recueillis et contexte | Échelle de risque |
|---|---|
| Seuls les renseignements personnels, qui ne sont pas de nature délicate selon le contexte, recueillis directement auprès de la personne ou fournis avec son consentement aux fins de divulgation en vertu d’un programme autorisé. | Case à cocher : décoché ☐ 1 |
| Renseignements personnels fournis par la personne avec le consentement d’utiliser des renseignements détenus par une autre source pour autant que les renseignements ne soient pas de nature délicate après la collecte. | Case à cocher : décoché ☐ 2 |
| Renseignements personnels sur les mineurs, les personnes incapables ou mettant en cause un représentant agissant au nom de la personne concernée. | Case à cocher : décoché ☐ 3 |
| Le numéro d’assurance sociale, les renseignements médicaux et financiers ou d’autres renseignements personnels de nature délicate, ou encore le contexte de ceux-ci est de nature délicate. | Case à cocher : coché ☒ 4 |
| Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate. | Case à cocher : décoché ☐ 5 |
| c) Participation des partenaires et du secteur privé au programme ou à l’activité | Échelle de risque |
|---|---|
| Au sein de l’institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d’une même institution) | Case à cocher : décoché ☐ 1 |
| Avec d’autres institutions fédérales | Case à cocher : décoché ☐ 2 |
| Avec d’autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et municipaux | Case à cocher : décoché ☐ 3 |
| Avec des organisations du secteur privé | Case à cocher : coché ☒ 4 |
| Avec des organisations internationales ou des gouvernements étrangers | Case à cocher : décoché ☐ 5 |
| d) Durée du programme ou de l’activité | Échelle de risque |
|---|---|
| Programme ou activité ponctuelle | Case à cocher : décoché ☐ 1 |
| Programme ou activité à court terme | Case à cocher : décoché ☐ 2 |
| Programme ou activité à long terme | Case à cocher : coché ☒ 5 |
| e) Personnes concernées par le programme | Échelle de risque |
|---|---|
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent certains employés. | Case à cocher : décoché ☐ 1 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés. | Case à cocher : décoché ☐ 2 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent certaines personnes. | Case à cocher : coché ☒ 4 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent toutes les personnes. | Case à cocher : décoché ☐ 5 |
| f) Technologie et vie privée (Une réponse affirmative indique la présence possible de risques et d’atteintes à la vie privée qui devront être évalués et, si requis, atténués). | Échelle de risque |
|---|---|
| L’activité ou le programme, nouveau ou ayant subi des modifications importantes, comprend-il la mise en œuvre d’un nouveau système électronique ou l’utilisation d’une technologie émergente afin de créer, de collecter ou de traiter des renseignements personnels dans le but de soutenir le programme ou l’activité? | Case à cocher : décoché ☐ Oui Case à cocher : coché ☒ Non |
L’activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux anciens systèmes informatiques? Cette activité modifiée entraîne des changements dans les anciens systèmes suivants : Modes de réception des demandes de permis d’étude
Processus de traitement du SMGC.
Portail d’IRCC – mode pour l’établissement d’enseignement désigné aux fins de validation de la lettre d’acceptation
|
Case à cocher : coché ☒ Oui Case à cocher : décoché ☐ Non |
Questions propres aux technologies et à la protection de la vie privée L’activité ou le programme, nouveau ou ayant subi des modifications importantes, comprend-il la mise en œuvre de nouvelles technologies ou l’une ou plusieurs des activités suivantes : Le portail des lettres d’acceptation (LA) a été mis en œuvre en décembre 2023 pour les demandes de permis d’études (PE) provenant de l’étranger, ainsi que pour les demandes de prolongation de PE au Canada en janvier 2024. Les établissements d’enseignement désignés (EED) reçoivent une notification qu’une LA est en attente de vérification. L’EED doit se connecter au portail de LA et télécharger une feuille de calcul Excel contenant une liste d’étudiants à valider. Les renseignements figurant sur le document révèlent le prénom, le nom, la date de naissance et le numéro d’identification de l’étudiant (le cas échéant). Ces détails sont communiqués par l’EED lorsqu’il émet une LA. En outre, ces informations sont fournies par l’étudiant lorsqu’il demande un permis d’études. L’EED vérifie l’authenticité de la LA en sélectionnant un état de la validation sur la feuille de calcul Excel. L’EED télécharge ensuite le document avec le nouvel état de validation dans le portail de LA. Les renseignements sont ensuite transférés au système de traitement d’IRCC. |
Case à cocher : coché ☒ Oui Case à cocher : décoché ☐ Non |
| g) Transmission des renseignements personnels | Échelle de risque |
|---|---|
| Les renseignements personnels sont utilisés dans un système fermé (c.-à-d. qu’il n’y a pas de connexion à Internet, à l’intranet ou à tout autre système et que la circulation des documents papier est contrôlée). | Case à cocher : décoché ☐ 1 |
| Les renseignements personnels sont utilisés au sein d’un système qui est branché à au moins un autre système. | Case à cocher : décoché ☐ 2 |
| Les renseignements personnels sont transférés sur un dispositif portable (c.-à-d. clé USB, disquette, ordinateur portable), transférés sur un autre support ou imprimés. | Case à cocher : coché ☒ 3 |
| Les renseignements personnels sont transmis à l’aide de technologies sans fil. | Case à cocher : décoché ☐ 4 |
| Les renseignements personnels sont transmis par l’intermédiaire d’un service infonuagique. | Case à cocher : décoché ☐ 5 |
Résumé des risques et des stratégies d’atténuation
La présente EFVP a révélé plusieurs risques : l’obsolescence du fichier de renseignements personnels (FRP), le manque de clarté du langage et l’absence d’exigences du gouvernement du Canada relativement à la déclaration de consentement, le respect des règles de conservation et d’élimination de la part d’IRCC et des EED, la communication accidentelle de renseignements au mauvais EED, l’accès non autorisé aux renseignements personnels des clients, l’absence d’entente sur l’échange de renseignements (EER) entre l’EED et IRCC, et l’accès non autorisé au portail d’IRCC. Les stratégies d’atténuation comprennent ce qui suit : la mise à jour du FRP pour y inclure les IUC et l’information des utilisateurs des EED, l’examen des formulaires et leur mise à jour pour satisfaire aux exigences, la réalisation de tests d’utilisation et d’enquêtes auprès des clients afin de s’assurer que le produit répond à leurs besoins, la mise en œuvre d’orientations détaillées sur les règles de conservation et d’élimination en fonction du type d’information, l’assurance que l’EED dispose d’un stockage sécurisé de l’information à caractère personnel grâce à des mesures de protection, la communication sécurisée de renseignements personnels à l’EED au moyen du portail d’IRCC, l’examen régulier de l’accès des employés pour déterminer ce qui est nécessaire, la détermination des conditions d’utilisation avec l’EED couvrant les EER habituelles, le suivi des listes d’utilisateurs afin de les nettoyer, au besoin, et la vérification des informations maintenant la responsabilité des EED pour le contrôle de l’accès.
Conclusion
La majorité des stratégies d’atténuation déterminées à la lumière de l’EFVP sont actuellement appliquées et font l’objet d’un suivi en réponse aux risques associés au programme. La mise en œuvre des stratégies d’atténuation restantes est prévue pour le deuxième trimestre de 2024-2025.