Rapport public de l’évaluation des facteurs relatifs à la vie privée : Demande simplifiée de renouvellement de passeport dans la nouvelle version du Portail d’IRCC (Plateforme d’expérience client – PEC projet 1, version 2)
Institution fédérale responsable
Immigration, Réfugiés et Citoyenneté Canada (IRCC)
Nom du programme/de l’activité
Demande simplifiée de renouvellement de passeport dans la nouvelle version du Portail d’IRCC (Plateforme d’expérience client - PEC projet 1, version 2)
Autorisation légale
Les autorisations pertinentes comprennent ce qui suit :
- le Décret sur les passeports canadiens :
- le Règlement sur les droits pour les services de passeports et autres documents de voyage :
Description du programme ou de l’activité
Immigration, Réfugiés et Citoyenneté Canada (IRCC) facilite les déplacements des Canadiens et favorise un régime de déplacements sûr en protégeant l’intégrité des systèmes et processus de délivrance des passeports canadiens afin que les Canadiens et certains non-Canadiens reçoivent des documents de voyage reconnus et respectés à l’échelle internationale. Le Programme de passeport veille à ce que les voyageurs légitimes détiennent des titres de voyage canadiens, à ce que les demandeurs soient informés de leurs responsabilités et les comprennent, et à ce que les besoins des titulaires de documents soient satisfaits.
Dans le cadre de son Programme de modernisation des plateformes numériques, IRCC intègre maintenant graduellement des programmes existants, dont le Programme de passeport, à une nouvelle plateforme numérique. L’initiative comprend le Portail de l’expérience client, lequel sera le nouveau portail public pour la présentation des demandes, et la Plateforme de gestion de cas, qui remplacera le Système mondial de gestion des cas (SMGC). Dans le cadre du Portail de l’expérience client (projet 1, version 2), le Programme de passeport a mis à l’essai, à titre limité, une demande simplifiée de renouvellement de passeport par l’intermédiaire d’une nouvelle voie de service en ligne appelée Passeport en direct. Au titre de cette nouvelle voie, le traitement initial est effectué à l’interne par la Direction générale des programmes de citoyenneté et de passeport, soit l’autorité responsable de l’exécution des programmes. La présente évaluation des facteurs relatifs à la vie privée (EFVP) a été élaborée afin de déterminer, d’évaluer et d’atténuer les risques liés à la protection des renseignements personnels associés à la mise en œuvre du Passeport en ligne.
Fichiers de renseignements personnels
Résumé de la détermination et de la catégorisation des risques
| a) Type de programme ou d’activité | Échelle de risque |
|---|---|
| Programme ou activité qui ne nécessite pas la prise d’une décision concernant une personne identifiable | Case à cocher : décoché☐ 1 |
| Administration des programmes, des activités ou des services | Case à cocher : décoché☐ 2 |
| Conformité ou enquêtes réglementaires et exécution de la réglementation | Case à cocher : décoché☐ 3 |
| Enquête criminelle et application de la loi ou sécurité nationale | Case à cocher : coché☒ 4 |
| Enquête criminelle et application de la loi ou sécurité nationale | Case à cocher : décoché☐ 5 |
| b) Type de renseignements personnels recueillis et contexte | Échelle de risque |
|---|---|
| Seulement des renseignements personnels, qui ne sont pas de nature délicate selon le contexte, recueillis directement auprès de la personne ou fournis avec son consentement aux fins de divulgation dans le cadre d’un programme autorisé | Case à cocher : décoché☐ 1 |
| Renseignements personnels transmis par la personne avec le consentement lié à l’utilisation de renseignements détenus par une autre source pour autant que les renseignements ne soient pas de nature délicate après la collecte | Case à cocher : coché☒ 2 |
| Des renseignements personnels sur des mineurs, des personnes juridiquement incapables ou un représentant agissant au nom de la personne concernée | Case à cocher : décoché☐ 3 |
| Le numéro d’assurance sociale, des renseignements médicaux et financiers ou d’autres renseignements personnels qui sont de nature délicate ou dont le contexte les entourant est de nature délicate. | Case à cocher : décoché☐ 4 |
| Des renseignements personnels de nature délicate, y compris des profils détaillés, des allégations ou des soupçons, des échantillons de substances corporelles, ou encore le contexte des renseignements personnels, sont de nature particulièrement délicate | Case à cocher : décoché☐ 5 |
| c) Participation de partenaires et du secteur privé au programme ou à l’activité | Échelle de risque |
|---|---|
| Au sein de l’institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d’une même institution) | Case à cocher : décoché☐ 1 |
| Avec d’autres institutions fédérales | Case à cocher : décoché☐ 2 |
| Avec d’autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux, territoriaux et municipaux | Case à cocher : décoché☐ 3 |
| Avec des organisations du secteur privé | Case à cocher : coché☒ 4 |
| Avec des organisations internationales ou des gouvernements étrangers | Case à cocher : décoché☐ 5 |
| d) Durée du programme ou de l’activité | Échelle de risque |
|---|---|
| Programme ponctuel ou activité ponctuelle | Case à cocher : décoché☐ 1 |
| Programme ou activité à court terme | Case à cocher : décoché☐ 2 |
| Programme ou activité à long terme | Case à cocher : coché☒ 5 |
| e) Personnes visées par le programme | Échelle de risque |
|---|---|
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent certains employés | Case à cocher : décoché☐ 1 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés | Case à cocher : décoché☐ 2 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent certaines personnes en particulier | Case à cocher : coché☒ 4 |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent toutes les personnes | Case à cocher : décoché☐ 5 |
| f) Technologie et vie privée (une réponse affirmative indique la présence possible de préoccupations et de risques relatifs à la vie privée qui devront être évalués et, au besoin, atténués). | Échelle de risque |
|---|---|
L’activité ou le programme, nouveau ou ayant subi des modifications importantes, comprend-il la mise en œuvre d’un nouveau système électronique ou l’utilisation d’une technologie émergente afin de créer, de collecter ou de traiter des renseignements personnels dans le but de soutenir le programme ou l’activité? Dans le cadre de son initiative de Modernisation de la plateforme numérique (MPN), IRCC intégrera graduellement ses programmes existants (y compris le Programme de passeport [PPT]) à la nouvelle plateforme numérique. La MPN est une initiative pluriannuelle qui s’échelonnera sur trois phases consécutives qui se chevauchent. Le projet 1 de la phase 3 de la MPN (MPN3) vise à offrir une expérience client en ligne harmonieuse. Une fois pleinement fonctionnel, le Portail de l’expérience client (CXP) sera le nouveau portail destiné au public qui permettra aux clients de présenter des demandes d’immigration, de citoyenneté et de passeport. À l’avenir, la Plateforme de gestion des cas (PGC) remplacera le Système mondial de gestion des cas (SMGC), le système actuel d’IRCC. |
Case à cocher : coché☒ Oui Case à cocher : décoché☐ Non |
| L’activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications à d’anciens systèmes de TI? | Case à cocher : décoché☐ Oui Case à cocher : coché☒ Non |
Questions propres aux technologies et à la protection de la vie privée Indiquer si le programme ou l’activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :
|
Case à cocher : décoché☐ Oui Case à cocher : coché☒ Non |
| g) Transmission de renseignements personnels | Échelle de risque |
|---|---|
Les renseignements personnels sont utilisés dans un système fermé (c.-à-d. qu’il n’y a pas de connexion à Internet, à l’intranet ou à tout autre système, et que la circulation des documents papier est contrôlée) |
Case à cocher : décoché☐ 1 |
| Les renseignements personnels sont utilisés au sein d’un système connecté à au moins un autre système | Case à cocher : décoché☐ 2 |
| Les renseignements personnels sont transférés sur un dispositif portable (p. ex., clé USB, disquette, ordinateur portable) ou sur un autre support ou encore imprimés. | Case à cocher : décoché☐ 3 |
Les renseignements personnels sont transmis à l’aide de technologies sans fil. |
Case à cocher : coché☐ 4 |
Les renseignements personnels sont transmis par l’intermédiaire d’un service en nuage. |
Case à cocher : coché☒ 5 |
Résumé des risques et des stratégies d’atténuation
L’évaluation a permis de cerner cinq risques moyens ou élevés et a présenté des stratégies d’atténuation en conséquence.
Les Risques
Risque 1 : Il y a d’abord le risque une augmentation de l’hameçonnage et d’entreprises frauduleuses qui offrent d’aider les demandeurs à remplir des formulaires en ligne moyennant des frais, ce qui pourrait amener les demandeurs à des renseignements personnels à des parties non autorisées.
Risque 2 : Un risque étroitement lié au risque, c’est‑à‑dire le risque de présentation d’une demande erronée ou frauduleuse par une personne autre que le demandeur, ce qui cause des problèmes de vérification de l’identité et constitue une possible utilisation abusive des données personnelles.
Risque 3 : En plus de ces problèmes, le risque lié à l’EFVP, découle du fait qu’on renvoie à diverses versions de l’évaluation des risques liés à la vie privée (ERAR) visant le Portail de l’expérience client (PEC) sans préciser les sections pertinentes, ce qui pourrait affaiblir la responsabilisation.
Risque 4 : La nature évolutive de la PEC et du portail Passeport en ligne présente le risque c’est-à-dire que de nouvelles fonctions, comme un vérificateur de photos entièrement fonctionnel, soient lancées sans faire l’objet d’une évaluation adéquate.
Risque 5 : Enfin, l’évolution de la PEC et de la gestion des plateformes numériques (DPM) crée également le risque, c’est‑à‑dire que les mesures de sécurité soient insuffisantes ou mal alignées avec les besoins de Passeport en ligne, ce qui laisse les vulnérabilités sans réponse.
Les stratégies d’atténuation
- Pour atténuer le risque (1), l’équipe la MPN a envoyé des communications ciblées par courriel et dans le Centre de messages sécurisé de la PEC afin de prévenir les clients au sujet des fraudes par hameçonnage et des offres frauduleuses en les conseillant d’ouvrir eux-mêmes une session directement dans la Plateforme pour consulter les messages officiels.
- Afin d’atténuer le risque (2), les demandeurs se sont vu encourager à remplir leurs propres demandes, à protéger les renseignements personnels et à fournir des références vérifiables, tandis que le programme a effectué des vérifications du fichier central et des exercices d’assurance de la qualité du système (AQS) parallèlement aux mesures d’intégrité, comme la reconnaissance faciale et les examens des restrictions judiciaires.
- En réponse au risque (3), les références de l’EFVP et de l’ERAR ont été harmonisées pour veiller à ce que chaque risque lié à la protection des renseignements personnels soit clairement lié à son évaluation.
- Afin d’atténuer le risque (4), de nouvelles fonctions, comme la vérification des photos ont été prévues aux fins d’examen de la confidentialité et de la sécurité avant le déploiement.
- Enfin, pour gérer le risque (5), des évaluations de sécurité et des autorisations ont été effectuées pour chaque version, et les risques ont fait l’objet d’un suivi aux fins de résolution afin que les mesures de protection suivent le rythme de l’évolution des exigences relatives à la PEC et à la MPN.
Conclusion
Les cinq risques en matière d’atteinte à la vie privée décrits ci-dessus ont été évalués comme étant de niveau moyen ou élevé, et des stratégies d’atténuation correspondantes ont été mises en œuvre.