Immigration, Réfugiés et Citoyenneté Canada
Résumé de l’évaluation des facteurs relatifs à la vie privée (EFVP) : Projet pilote de demande de passeport en ligne
Description du programme ou de l’activité
En décembre 2020, Immigration, Réfugiés et Citoyenneté Canada (IRCC) a lancé un processus concurrentiel et a attribué un contrat à IBM. L’objectif était de développer et de mettre à l’essai une application de formulaires Web basée sur le nuage Amazon Web Services (AWS), la « Solution », afin de faciliter la présentation de demandes de passeport en ligne. Alors que la Solution a été conçue pour tous les types de demande de document de voyage (DV) canadien, son déploiement initial a été limité aux demandes de renouvellement simplifié présentées au Canada. Ces demandes de renouvellement comptent moins d’étapes de traitement et sont simples.
Une évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisée pour évaluer les risques en matière de protection des renseignements personnels de la Solution développée par IBM et du projet pilote de déploiement par IRCC de l’outil de demande de passeport en ligne. Le groupe pilote pour cette initiative était composé de clients ayant des antécédents établis en matière de passeport et des données biométriques vérifiables (photos) dans le système de délivrance des passeports.
Le projet pilote a permis aux participants de présenter une demande accompagnée de photos numériques dans un environnement réel contrôlé. Les demandeurs pouvaient interagir avec la Solution, ce qui permettait aux responsables du programme d’étudier le comportement des clients dans un contexte numérique. Il leur permettait également d’établir une base de référence initiale pour les exigences et de la perfectionner au besoin pour appuyer l’élaboration future de services en ligne à l’intention de tous les clients du Programme de passeport.
À la suite de l’achèvement du projet pilote, il a été déterminé que le projet serait abandonné et, par conséquent, il n’a pas été mis en œuvre pour le grand public.
Raison pour laquelle une évaluation des facteurs relatifs à la vie privée a été effectuée
L'évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisée conformément à la section C.2.2.9.2.1 de la Directive sur les pratiques en matière de protection de la vie privée, qui exige qu'une EFVP soit effectuée lorsque des modifications substantielles sont apportées à un programme ou une activité existante utilisant des renseignements personnels à des fins administratives et impliquant l'utilisation de nouvelles technologies. Cette évaluation a été déclenchée par l'introduction d'une application de formulaires Web basée sur AWS, développée par IBM, représentant une transition technologique majeure par rapport aux demandes de renouvellement traditionnelles envoyées par la poste.
Fichiers de renseignements personnels
Résumé des risques et des stratégies d’atténuation
L’EFVP avait identifié quatre risques faibles et proposé des stratégies d'atténuation en conséquence.
Risque 1
Il y avait un risque que le déploiement futur d’une solution de passeport en ligne ait augmenté la présence sur le Web d’entreprises ayant fait de fausses déclarations ou ayant ciblé les données des requérants à des fins de vol d’identité ou d’autres activités criminelles.
Stratégie d’atténuation
Dans le cadre de l’élaboration des futures procédures, des activités d’intégration et de la solution en ligne elle-même, il avait été recommandé qu’IRCC envisage les ramifications potentielles des sites Web ayant fait de fausses déclarations ou ayant cherché à tromper le public canadien. Lorsque cela était possible, IRCC devait envisager des processus et des activités visant à protéger l’intégrité du Programme de passeport et les renseignements personnels des Canadiens soumettant une demande de passeport en ligne. La mesure d’atténuation n’a pas été mise en œuvre, car la solution a été abandonnée et n’a jamais été déployée auprès du grand public.
Risque 2
Il y avait un risque que les données des participants au projet pilote aient été entreposées sur le serveur AWS plus longtemps que nécessaire. Au moment de la rédaction de l’EFVP, aucun calendrier de conservation et d’élimination n’avait été prévu pour les données stockées sur le serveur AWS. Ce risque concernait également la feuille de calcul MS Excel créée pour suivre les participants tout au long du cycle de vie de leur participation au projet pilote. Les données sur la feuille de calcul étaient minimes et considérées comme présentant un très faible risque.
Stratégie d’atténuation
Il avait été recommandé qu’un calendrier de conservation et d’élimination soit assigné pour AWS et l’emplacement sur GCdocs où étaient entreposées les données des participants au projet pilote. De plus, il avait été recommandé que les activités d’élimination aient lieu conformément à ce calendrier. La mesure d’atténuation n’a pas été mise en œuvre, car la solution a été abandonnée et n’a jamais été déployée auprès du grand public.
Risque 3
Il y avait un risque que l’EFVP n’ait pas évalué les clauses du contrat général de service de stockage en nuage de données Protégé B du gouvernement du Canada en fonction des exigences en matière de renseignements personnels de la Directive sur les pratiques relatives à la protection de la vie privée du SCT.
Stratégie d’atténuation
Il avait été recommandé qu’IRCC envisage d’examiner le contrat afin de déterminer s’il existait des risques liés au contrat général qui auraient pu avoir des répercussions sur la solution des Services numériques de passeport (SNP). IRCC avait accepté ce risque pour le projet pilote et avait prévu d’examiner le contrat avant un éventuel déploiement plus vaste auprès du public. La mesure d’atténuation n’a pas été mise en œuvre, car la solution a été abandonnée et n’a jamais été déployée auprès du grand public.
Risque 4
Il y avait un risque que le Programme de passeport ait enregistré l’utilisation de l’outil de demande en ligne par le participant sans avis approprié à la personne. De plus, l’enregistrement était distinct de celui des renseignements du requérant stockés sur le serveur AWS.
Stratégie d’atténuation
Si le projet pilote des SNP avait choisi d’enregistrer l’utilisation de l’application en ligne par les utilisateurs, il avait été recommandé qu’un avis soit publié dans l’outil (avant l’enregistrement). La mesure d’atténuation n’a pas été mise en œuvre, car la solution a été abandonnée et n’a jamais été déployée auprès du grand public.
Détails de la page
- Date de modification :