Sommaire de l’évaluation des facteurs relatifs à la vie privée : Programme pilote d’immigration dans les communautés rurales et du Nord (PPICRN)
Institution fédérale responsable
Immigration, Réfugiés et Citoyenneté Canada (IRCC)
Autorisation légale
L’autorisation légale d’établir le PPICRN est indiquée dans les directives ministérielles, qui peuvent être créées conformément à l’article 14.1 de la Loi sur l’immigration et la protection des réfugiés (LIPR), laquelle énonce ce qui suit :
- Afin de favoriser l’atteinte d’objectifs économiques fixés par le gouvernement fédéral, le ministre peut donner des instructions établissant des catégories de résidents permanents au sein de la catégorie « immigration économique » visée au paragraphe 12(2) et, à l’égard des catégories ainsi établies, régissant les éléments visés aux alinéas 14(2)a) à g), 26a), b), d) et e) ainsi que 32d) et les frais d’examen de la demande de visa ou de statut de résident permanent, et prévoyant les cas de dispense de paiement de ces frais.
Les directives ministérielles précisent que la « catégorie de l’immigration dans les communautés rurales et du Nord » fait partie de la catégorie de l’immigration économique visée dans la LIPR au paragraphe 12(2).
Divers articles de la LIPR et du Règlement sur l’immigration et la protection des réfugiés (RIPR) appuient les activités d’IRCC dans le traitement des demandes de résidents permanents et le processus décisionnel; voir la partie 5 du RIPR (Résident permanent) et la partie 6 (Immigration économique).
Description du programme ou de l’activité
Le Programme pilote d’immigration dans les communautés rurales et du Nord (PPICRN) a été créé le 1er septembre 2019 pour fournir une voie vers la résidence permanente aux travailleurs étrangers qualifiés qui veulent travailler et vivre dans l’une des 11 communautés canadiennes participantes.
Les étrangers doivent obtenir une recommandation d’une organisation de développement économique (ODE) dans l’une des communautés pour participer au PPICRN. Chaque ODE a sa propre procédure de demande, régie par les lois et les politiques locales. Les ODE collaborent avec des organisations communautaires pour évaluer les étrangers en fonction des critères de sélection de la communauté afin de déterminer s’ils sont des candidats appropriés justifiant les recommandations de l’ODE.
Après avoir évalué un demandeur, l’ODE fournit des renseignements sur l’étranger à IRCC, qui demeure l’autorité décisionnelle finale pour la demande de résidence permanente. Bien qu’une recommandation d’ODE soit une exigence pour que les candidats présentent une demande de résidence permanente, IRCC demeure l’autorité décisionnelle finale en ce qui a trait aux critères d’admissibilité pour les demandes de résidence permanente.
Fichiers de renseignements personnels
Résumé de la détermination et de la catégorisation des risques
Dans sa Directive sur l’évaluation des facteurs relatifs à la vie privée, le Conseil du Trésor a indiqué que l’EFVP doit comprendre une section remplie sur la détermination et la catégorisation des risques, et que ces cotes de risque doivent être rendues publiques. Une cote de risque doit être attribuée à chaque secteur de risque indiqué et décrit à l’annexe C de la Directive sur l’évaluation des facteurs relatifs à la vie privée. L’échelle de risque numérotée est présentée dans un ordre croissant : le premier niveau (1) représente le niveau de risque potentiel le plus faible pour le domaine de risque; le quatrième niveau (4) représente le niveau de risque potentiel le plus élevé pour le domaine de risque donné. Pour la présente EFVP, les secteurs de risque et les niveaux de risque connexes sont les suivants :
| a) Type de programme ou d’activité | Échelle de risque |
|---|---|
| Programme ou activité qui ne nécessite pas la prise d’une décision concernant une personne identifiable | Case à cocher : décoché ☐ 1 |
| Administration des programmes, des activités et des services | Case à cocher : décoché ☐ 2 |
| Conformité ou enquêtes réglementaires et exécution de la réglementation | Case à cocher : coché ☒ 3 |
| Programme ou activité qui nécessite la prise d’une décision concernant une personne identifiable | Case à cocher : décoché ☐ 4 |
| Enquête criminelle et application de la loi, ou sécurité nationale | Case à cocher : décoché ☐ 5 |
| b) Type de renseignements personnels recueillis et contexte | Échelle de risque |
|---|---|
| Seuls les renseignements personnels, qui ne sont pas de nature délicate selon le contexte, recueillis directement auprès de la personne ou fournis avec son consentement aux fins de divulgation en vertu d’un programme autorisé. | Case à cocher : décoché ☐ 1 |
| Renseignements personnels fournis par la personne avec le consentement d’utiliser des renseignements détenus par une autre source pour autant que les renseignements ne soient pas de nature délicate après la collecte. | Case à cocher : décoché ☐ 2 |
| Renseignements personnels sur les mineurs, les personnes incapables ou mettant en cause un représentant agissant au nom de la personne concernée. | Case à cocher : décoché ☐ 3 |
| Le numéro d’assurance sociale, les renseignements médicaux et financiers ou d’autres renseignements personnels de nature délicate, ou encore le contexte de ceux-ci est de nature délicate. | Case à cocher : décoché ☐ 4 |
| Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate. | Case à cocher : coché ☒ 5 |
| c) Participation des partenaires et du secteur privé au programme ou à l’activité | Échelle de risque |
|---|---|
| Au sein de l’institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d’une même institution) | Case à cocher : décoché ☐ 1 |
| Avec d’autres institutions fédérales | Case à cocher : décoché ☐ 2 |
| Avec d’autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et municipaux | Case à cocher : coché ☒ 3 |
| Avec des organisations du secteur privé | Case à cocher : décoché ☐ 4 |
| Avec des organisations internationales ou des gouvernements étrangers | Case à cocher : décoché ☐ 5 |
| d) Durée du programme ou de l’activité | Échelle de risque |
|---|---|
| Programme ou activité ponctuelle | Case à cocher : décoché ☐ 1 |
| Programme ou activité à court terme | Case à cocher : coché ☒ 2 |
| Programme ou activité à long terme | Case à cocher : décoché ☐ 5 |
| e) Personnes concernées par le programme | Échelle de risque |
|---|---|
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent certains employés. | Case à cocher : décoché ☐ 1 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés. | Case à cocher : décoché ☐ 2 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent certaines personnes. | Case à cocher : coché ☒ 4 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent toutes les personnes. | Case à cocher : décoché ☐ 5 |
| f) Technologie et vie privée (Une réponse affirmative indique la présence possible de risques et d’atteintes à la vie privée qui devront être évalués et, si requis, atténués). | Échelle de risque |
|---|---|
| Est-ce que le programme ou l’activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d’un nouveau système électronique ou l’utilisation d’une technologie émergente afin de créer, de collecter ou de traiter les renseignements personnels dans le but de soutenir le programme ou l’activité? | Case à cocher : décoché ☐ Oui Case à cocher : coché ☒ Non |
| L’activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des technologies de l’information (TI)? | Case à cocher : coché ☒ Oui Case à cocher : décoché ☐ Non |
Questions propres aux technologies et à la protection de la vie privée Est-ce que le programme ou l’activité, nouveau ou nouvelle ou ayant subi des modifications importantes, implique la mise en œuvre de nouvelles technologies ou d’une ou plusieurs des activités suivantes : amélioration des méthodes d’identification et de comparaison, amélioration des méthodes de collecte de données, usage ou divulgation de renseignements personnels, surveillance, échange entre les gouvernements ou échange transfrontalier de renseignements personnels ou utilisation de la technologie de l’intelligence artificielle pour l’analyse automatisée des renseignements personnels, la comparaison des renseignements personnels et les techniques de découverte des connaissances. Une réponse affirmative à l’une des questions ci-dessus indique la présence possible de risques d’atteinte à la vie privée qui devront être évalués et, si requis, atténués. |
Case à cocher : décoché ☐ Oui Case à cocher : coché ☒ Non |
| g) Transmission des renseignements personnels | Échelle de risque |
|---|---|
| Les renseignements personnels sont utilisés dans un système fermé (c.-à-d. qu’il n’y a pas de connexion à Internet, à l’intranet ou à tout autre système et que la circulation des documents papier est contrôlée). | Case à cocher : décoché ☐ 1 |
| Les renseignements personnels sont utilisés au sein d’un système qui est branché à au moins un autre système. | Case à cocher : coché ☒ 2 |
| Les renseignements personnels sont transférés sur un dispositif portable (c.-à-d. clé USB, disquette, ordinateur portable), transférés sur un autre support ou imprimés. | Case à cocher : décoché ☐ 3 |
| Les renseignements personnels sont transmis à l’aide de technologies sans fil. | Case à cocher : décoché ☐ 4 |
| Les renseignements personnels sont transmis par l’intermédiaire d’un service infonuagique. | Case à cocher : décoché ☐ 5 |
Résumé des risques et des stratégies d’atténuation
La présente EFVP porte sur les quatre risques qui suivent et offre des stratégies d’atténuation.
Risque 1
Il existe un risque moyen que les ODE ne traitent pas les données des demandeurs du PPICRN de façon sécuritaire ni axée sur la protection des renseignements personnels.
Atténuation
Bien qu’IRCC ne soit pas responsable du respect par chaque ODE des lois et politiques locales en matière de protection des renseignements personnels, il a le pouvoir, au titre des PE et des EER, de procéder à un examen de programme et à un audit de chaque ODE afin de recueillir des renseignements en matière de vérification au sujet des pratiques opérationnelles de ces dernières. Si des lacunes dans les pratiques de protection des renseignements personnels des ODE sont décelées, IRCC prévoit demander conseil aux Services juridiques et à la DGPPRP afin de trouver la façon la plus efficace de corriger ces problèmes.
Risque 2
Il y a un faible risque que des données transmises par les ODE à IRCC soient consultées par les employés d’IRCC qui ne participent pas directement au PPICRN. Cela s’explique par le fait que les données sont envoyées à une boîte de courriels commune (MS Outlook) et que les feuilles de calcul déchiffrées sont stockées dans le répertoire organisationnel (GCDOCS).
Atténuation
IRCC prévoit évaluer de nouveau ses procédures actuelles pour garantir la sécurité des données. Le Ministère continuera d’examiner périodiquement le processus de protection de l’information dans GCDOCS et MS Outlook afin de maintenir la sécurité et surveillera les contrôles d’accès pour garantir le respect des procédures.
Risque 3
Il y a un risque moyen que des inexactitudes surviennent en raison d’erreurs humaines pendant la saisie des données.
Atténuation
Dans le cadre du fonctionnement du programme, IRCC vérifie chaque demande de RP avec les dossiers fournis par les ODE. Si des écarts sont détectés, IRCC demande la validation de l’ODE afin de confirmer l’exactitude des données. Du côté du traitement, IRCC mène des vérifications de l’assurance de la qualité des demandes pour s’assurer que le taux d’erreurs demeure dans la fourchette acceptable.
Risque 4
Il y a un faible risque que les ODE fournissent plus de renseignements sur la fraude présumée ou confirmée dans le formulaire de soumission électronique que ce qu’IRCC n’exige.
Atténuation
Un examen des formulaires de soumission électronique reçus des ODE a révélé qu’ils ne contenaient pas de renseignements non pertinents par rapport à la question à l’étude. La procédure interne d’IRCC veille également à ce que toute information potentiellement non pertinente soit traitée avant que le formulaire soit stocké et diffusé.
Conclusion
Les quatre risques susmentionnés liés à la protection des renseignements personnels ont été cernés dans la fourchette de risque faible à moyen, et des stratégies d’atténuation sont en cours pour y remédier.