Résumé de l’évaluation des facteurs relatifs à la vie privée : Service de recrutement pour les examens en ligne - VidCruiter
Autorisation légale
- Loi sur l’emploi dans la fonction publique - articles et paragraphes 15(1), 16, 24(2), 30, 36 et 51(4)
- Loi sur la gestion des finances publiques (pour les Services internes) - Articles 7 et 11.1, Politique sur la gestion des personnes
- Loi sur l’équité en matière d’emploi
- Loi canadienne sur les droits de la personne – Article 16
Description du programme/de l’activité
Un processus de dotation comporte normalement quatre étapes : la planification, la présélection selon les conditions préalables, l’évaluation et la nomination. L’étape de l’évaluation d’un processus de dotation permet aux gestionnaires d’évaluer les candidats en fonction des besoins en matière de dotation. Immigration, Réfugiés et Citoyenneté Canada (IRCC) est à la recherche d’un fournisseur de services de recrutement en ligne, y compris tous les services de formation et de soutien technique connexes, pour rationaliser les processus de dotation d’IRCC. L’entrepreneur fournira un accès à ses services de recrutement en ligne, y compris un système de suivi des candidats, des entrevues vidéo asynchrones, des services d’examen en ligne et des vérifications des références.
L’EFVP détermine et évalue les risques pour la protection des renseignements personnels à l’étape de l’évaluation du processus de dotation. L’EFVP couvre l’information recueillie, stockée, tenue à jour et gérée dans le système de suivi des candidats, la solution d’entrevue vidéo asynchrone, la solution d’examen de compétences en ligne et la solution de vérification des références. Toutes les activités de dotation qui se déroulent normalement après l’évaluation dans le processus de dotation sont hors de la portée.
Fichiers de renseignements personnels
Les fichiers de renseignements personnels suivants s’appliquent à cette initiative et ne nécessitent aucune modification :
- Demandes en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels (POU 901)
- Demandes d’emploi (POU 911)
- Équité en matière d’emploi et diversité (POE 918)
- Langues officielles (POE 906)
- Dotation (POE 902)
Résumé de l’identification et de la catégorisation des risques
Vous trouverez ci-dessous le tableau d’identification et de catégorisation des risques correspondant à cette initiative.
| a) Type de programme ou d’activité | Échelle de risque |
|---|---|
| Programme ou activité qui n’exige PAS la prise d’une décision concernant une personne identifiable | Case à cocher : décoché ☐ 1 |
| Administration des programmes, des activités et des services | Case à cocher : décoché ☐ 2 |
| Conformité/Enquêtes réglementaires et exécution de la réglementation | Case à cocher : décoché ☐ 3 |
| Programme ou activité qui exige la prise d’une décision concernant une personne identifiable | Case à cocher : coché ☒ 4 |
| Enquête criminelle et application de la loi, ou sécurité nationale | Case à cocher : décoché ☐ 5 |
| b) Type de renseignements personnels recueillis et contexte | Échelle de risque |
|---|---|
| Seules les données fournies directement par l’individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l’individu ou avec son consentement pour la communication pour autant que les données ne soient pas de nature délicate dans le contexte. | Case à cocher : décoché ☐ 1 |
| Données personnelles fournies par l’individu avec le consentement d’utiliser des données détenues par une autre source pour autant que les données ne soient pas de nature délicate après la collecte. | Case à cocher : décoché ☐ 2 |
| Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l’individu concerné. | Case à cocher : décoché ☐ 3 |
| Le numéro d’assurance sociale, les renseignements médicaux et financiers ou d’autres renseignements personnels de nature délicate, ou encore le contexte de ceux-ci est de nature délicate. | Case à cocher : coché ☒ 4 |
| Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate. | Case à cocher : décoché ☐ 5 |
| c) Participation des partenaires et du secteur privé au programme ou à l’activité | Échelle de risque |
|---|---|
| Au sein de l’institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d’une même institution) | Case à cocher : décoché ☐ 1 |
| Avec d’autres institutions fédérales | Case à cocher : décoché ☐ 2 |
| Avec d’autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et municipaux | Case à cocher : décoché ☐ 3 |
| Avec des organisations du secteur privé | Case à cocher : coché ☒ 4 |
| Avec des organisations internationales ou gouvernements étrangers | Case à cocher : décoché ☐ 5 |
| d) Durée du programme ou de l’activité | Échelle de risque |
|---|---|
| Programme ponctuel ou activité ponctuelle | Case à cocher : décoché ☐ 1 |
| Programme ou activité à court terme | Case à cocher : décoché ☐ 2 |
| Programme ou activité à long terme | Case à cocher : coché ☒ 5 |
| e) Personnes concernées par le programme | Échelle de risque |
|---|---|
| Le programme touche certains employés à des fins administratives internes. | Case à cocher : décoché ☐ 1 |
| Le programme touche tous les employés à des fins administratives interne. | Case à cocher : décoché ☐ 2 |
| Le programme touche certains individus à des fins administratives externes. | Case à cocher : coché ☒ 4 |
| Le programme touche tous les individus à des fins administratives externes. | Case à cocher : décoché ☐ 5 |
| f) Technologie et vie privée (Une réponse affirmative indique la présence possible de risques et d’atteintes à la vie privée qui devront être évalués et, si requis, atténués). | Échelle de risque |
|---|---|
| Est-ce que le programme ou l’activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d’un nouveau système électronique, logiciel ou programme d’application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, collecter ou traiter les renseignements personnels dans le but de soutenir le programme ou l’activité? | Case à cocher : décoché ☐ Oui Case à cocher : coché ☒ Non |
| L’activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des TI? | Case à cocher : décoché ☐ Oui Case à cocher : coché ☒ Non |
Questions spécifiques aux technologies et à la protection de la vie privée Le programme ou l’activité, nouveau ou modifié de façon notable, comporte-t-il la mise en œuvre de nouvelles technologies ou l’une ou plusieurs des activités suivantes, soit l’amélioration des méthodes d’identification et de jumelage, l’amélioration des méthodes de collecte de données, l’utilisation ou la divulgation de renseignements personnels, la surveillance interjuridictionnelle ou l’échange transfrontalier de renseignements personnels ou l’utilisation de la technologie de l’intelligence artificielle pour l’analyse automatisée des renseignements personnels, la comparaison des renseignements personnels et des techniques de découverte des connaissances. Une réponse affirmative à l’une des questions ci-dessus indique la présence possible de risques et, la vie privée qui devront être évalués et, si requis, atténués. |
Case à cocher : décoché ☐ Oui Case à cocher : coché ☒ Non |
| g) Transmission des renseignements personnels | Échelle de risque |
|---|---|
| Les renseignements personnels sont utilisés dans un système fermé (c.-à-d. qu’il n’y a pas de connexion à Internet, à l’intranet ou à tout autre système et que la circulation des documents papier est contrôlée). | Case à cocher : décoché ☐ 1 |
| Les renseignements personnels sont utilisés au sein d’un système qui est branché à au moins un autre système. | Case à cocher : décoché ☐ 2 |
| Les renseignements personnels sont transférés sur un dispositif portable (clé USB, disquette, ordinateur portable), transférés sur un autre support ou imprimés. | Case à cocher : décoché ☐ 3 |
| Les renseignements personnels sont transmis à l’aide de technologies sans fil. | Case à cocher : décoché ☐ 4 |
| Les renseignements personnels sont transmis par l’intermédiaire d’un service en nuage. | Case à cocher : coché ☒ 5 |
Stratégies d’atténuation des risques
L’EFVP a cerné quatre risques clés associés à la mise en œuvre de VidCruiter.
Un risque initial établi était la possibilité pour les employés d’IRCC de recueillir, d’utiliser et de divulguer des renseignements personnels à des fins personnelles, au-delà de ce qui est nécessaire et proportionnel à l’autorité légale. Afin de faire face à ce risque, des procédures énonçant clairement la collecte, l’utilisation et la divulgation appropriées des renseignements personnels ont été élaborées. Dans le cadre de ces procédures, les employés d’IRCC sont informés qu’ils ne doivent ni utiliser ni divulguer de renseignements personnels sans obtenir une autorisation écrite préalable. De plus, les employés d’IRCC ont signé le code de conduite, et l’accès inapproprié est assujetti à des mesures disciplinaires pouvant aller jusqu’au congédiement. Un protocole de vérification et de limitation de l’accès à l’information a été établi.
Le deuxième risque, c’est que les renseignements personnels des candidats soient compromis lorsqu’ils sont transférés du fournisseur de services à IRCC. Afin d’atténuer le risque, la transmission est chiffrée et assurée par une ligne sécurisée. Le protocole nécessite le stockage de données dans le nuage du réseau Amazon Web Services (AWS), avec des serveurs situés au Canada. AWS est approuvé par le gouvernement fédéral et considéré comme la solution d’hébergement de données infonuagique la plus sécurisée au monde.
Le troisième risque était lié à la possibilité d’atteintes à la vie privée dans les questionnaires d’évaluation, les réponses des demandeurs et les notes des membres du comité. Ce risque a été jugé faible. Il a été décidé qu’en cas d’atteinte, de nouveaux outils d’évaluation pourraient être créés.
Enfin, il y avait le risque de collecte accidentelle de renseignements personnels (contexte dans les vidéos). À titre de mesure d’atténuation des risques, les candidats ont été informés que leurs antécédents sont consignés.
Dans l’ensemble, en mettant en œuvre ces stratégies d’atténuation, les risques associés à la mise à l’essai de services de recrutement en ligne pour les processus de dotation peuvent être réduits au minimum, assurant ainsi la protection des renseignements personnels et le respect des règlements sur la protection des renseignements personnels.
Détails de la page
- Date de modification :