Résumé de l’évaluation des facteurs relatifs à la vie privée : Surveillance des médias sociaux
Sommaire des enjeux et des stratégies d’atténuation
L’objectif du sommaire est de donner un aperçu du programme ou de l’activité du Ministère dont il est question dans le rapport d’évaluation des facteurs relatifs à la vie privée (EFVP), y compris la portée (ce dont l’évaluation va surtout traiter) et une liste de tous les risques d’entrave à la vie privée qui ont été cernés dans le processus de l’EFVP, ainsi que les mesures d’atténuation prévues pour gérer ces risques.
À propos du programme
Cette EFVP a été effectuée pour évaluer les activités de surveillance des médias sociaux menées par IRCC. La surveillance des médias sociaux englobe la collecte, l’analyse et le compte rendu de communications publiques en ligne, y compris les discussions de forum et les activités sur les médias sociaux. De telles communications sont recueillies en effectuant des recherches par mot‑clé dans un logiciel tiers de surveillance des médias sociaux; ces recherches ont pour but de recueillir des données sur des communications concernant le mandat d’IRCC et les questions d’intérêt relevant de ce mandat, et non des données sur des personnes/clients.
Portée de l’EFVP
L’EFVP porte sur les activités de surveillance des médias sociaux, p. ex. les renseignements qui sont saisis dans l’outil (recherches par mot‑clé), la façon dont les données sont recueillies et transmises, et la façon dont IRCC utilise les données (la manière dont les données sont présentées dans des rapports et conservées). On tient également compte de la politique sur la protection de la vie privée des logiciels tiers et des plateformes de médias sociaux. Les activités de surveillance des médias traditionnels, les données recueillies sans l’aide de l’outil, les cas où des personnes communiquent directement avec IRCC et les activités des médias sociaux des intervenants ne font pas partie de la portée de l’EFVP.
Sommaire des enjeux relatifs à la vie privée et stratégies d’atténuation
Les préoccupations liées à la vie privée concernent essentiellement la collecte inappropriée ou inutile et/ou l’utilisation de données provenant de communications publiques. Par exemple, l’outil pourrait être utilisé pour chercher, recueillir et présenter dans un rapport des renseignements personnels qui ne sont pas nécessaires pour atteindre les objectifs de l’activité. Les données produites à partir du rapport peuvent également faire l’objet d’une distribution qui va au‑delà de ce qui est nécessaire. Les enjeux liés à la vie privée soulevés comprennent également la possibilité que des renseignements soient conservés plus longtemps qu’il ne le faut, ou que les renseignements conservés/communiqués peuvent avoir changé avant leur collecte. Enfin, les activités de surveillance des médias sociaux d’IRCC sont menées sans en informer directement les personnes, d’où le risque que ces dernières ne soient pas informées de l’utilisation ou de la collecte de leurs données.
Les mesures d’atténuation comprennent notamment les suivantes : la publication d’un avis de confidentialité; la publication de sommaires de l’EFVP et du fichier de renseignements personnels (FRP) sur le site Web; la limitation de l’accès à l’outil; la mise en œuvre d’un protocole d’utilisation pour les utilisateurs de l’outil, fournissant des conseils sur la façon d’utiliser l’outil; la communication de protocoles exigeant que les utilisateurs de l’outil ne doivent pas inclure des détails identifiables provenant de données de communications publiques, et expliquant la façon dont les renseignements doivent être conservés et détruits; des mesures d’atténuation techniques pour restreindre l’accès aux rapports produits à l’aide de données provenant de l’outil; et la vérification de la capacité d’accès, de modification ou autre utilisation des rapports. La division de l’Accès à l’information et protection des renseignements personnels (AIPRP) d’IRCC sera consultée au besoin pour confirmer les protocoles appropriés lorsque des mesures d’atténuation ne sont pas claires ou en présence de circonstances exceptionnelles.
| Points du sommaire | Stratégies d’atténuation | Échéancier |
|---|---|---|
Le programme pourrait recueillir, utiliser et divulguer des renseignements personnels identifiables allant au delà de ce qui est nécessaire et proportionnel au pouvoir légal. |
Des protocoles d’utilisation et de communication sont en place pour les utilisateurs de l’outil, ce qui limite le risque de recherche, de collecte et de communication de renseignements personnels par IRCC. On sollicite le consentement écrit de toute personne dont les renseignements personnels seront recueillis et diffusés au Ministère. La division de l’AIPRP est consultée, au besoin. |
Actuellement en place. |
Il y a un risque que des personnes ne soient pas au courant qu’IRCC mène des activités de surveillance des médias sociaux comprenant une évaluation de renseignements regroupés provenant des médias sociaux et, dans certaines circonstances, la collecte, l’utilisation et la divulgation de renseignements personnels. |
Un avis de confidentialité ainsi que des résumés de l’EFVP et du FRP sont publiés sur le site Web d’IRCC. L’avis de confidentialité sera également lié aux conditions d’utilisation des médias sociaux d’IRCC, qui sont également en ligne et liés aux comptes de médias sociaux officiels d’IRCC. Des communications peuvent être envoyées pour informer les personnes des conditions d’utilisation et de l’avis de confidentialité. |
Mise en œuvre au T3 de 2019-2020. |
Il y a un risque que des renseignements soient conservés plus longtemps que nécessaire. |
Tout renseignement conservé sera examiné chaque trimestre; les renseignements qu’il n’est plus nécessaire et pertinent de conserver seront détruits. Les rapports fournissent des données regroupées et des résumés de données qualitatives afin de limiter la mesure dans laquelle l’information conservée comprend des renseignements personnels. |
Actuellement en place. |
| Il y a un risque que les renseignements qui seront diffusés à l’interne aient été modifiés depuis leur première consultation. | L’outil met régulièrement à jour l’ensemble de données qui s’affiche pour les utilisateurs. Si des données ont été modifiées ou supprimées par une personne, les données antérieures ne seront pas affichées par l’outil. Les rapports fournissent des données regroupées et des résumés de données qualitatives afin de limiter la mesure dans laquelle l’information conservée comprend des renseignements personnels. |
Sans objet. |
Il y a un risque qu’un employé d’IRCC trouve et communique par inadvertance les renseignements personnels d’une personne sans en avoir obtenu l’autorisation. |
Seuls les utilisateurs qui doivent avoir accès à l’outil (pour s’acquitter du mandat de l’équipe) y auront accès. Ces utilisateurs doivent respecter les protocoles d’utilisation et de communication. Les rapports sont examinés par la direction avant leur diffusion, et des fonctions de vérification sont en place pour examiner les dossiers et restreindre l’accès aux rapports. La diffusion des rapports est réduite au minimum et comprend uniquement les personnes qui ont besoin de ces renseignements. Toute violation est immédiatement signalée à la division de l’AIPRP. |
Actuellement en place. |
Les employés d’IRCC pourraient divulguer des renseignements personnels d’une personne à un outil d’un tiers à partir des recherches effectuées par mot clé. |
Le protocole d’utilisation d’IRCC comprend des lignes directrices pour s’assurer que ce risque est réduit au minimum. Ce protocole exige une surveillance des enjeux, et non des personnes, et stipule que les personnes, les clients et les renseignements personnels/de nature délicate ne doivent pas faire l’objet de recherches à l’aide de l’outil. |
Actuellement en place. |
Détails de la page
- Date de modification :