Le gouvernement du Canada respecte les normes les plus élevées en matière de protection des renseignements personnels de ses clients.
Immigration, Réfugiés et Citoyenneté Canada (IRCC) s’engage à protéger les renseignements personnels des clients et à bien gérer et protéger les renseignements de ses clients en mettant en place des politiques rigoureuses de protection des renseignements personnels et de sécurité.
IRCC prend au sérieux toutes les atteintes à la vie privée.
En cas d’atteinte, IRCC réagit rapidement pour limiter l’atteinte et examine ses processus de manière à adapter ou à mettre en œuvre des mesures qui aideront à éviter qu’une telle atteinte ne survienne à nouveau.
IRCC examine continuellement ses pratiques de gestion de l’information pour assurer la conformité à la Loi sur la protection des renseignements personnels. Les employés sont informés et formés sur les politiques et les procédures relatives à la protection de la vie privée.
Messages supplémentaires
Atteintes à la vie privée
Le Ministère a mis en place des activités de formation et de sensibilisation pour répondre aux atteintes à la vie privée. Il a mis en œuvre des politiques et des directives afin que les atteintes soient contenues, suivies et résolues le plus rapidement possible.
Processus et traitement des atteintes à la vie privée par IRCC
La grande majorité des atteintes à la vie privée à IRCC sont considérées comme « non significatives », c’est-à-dire à faible risque/faible impact et sont traitées à l’interne. IRCC évalue le niveau de risque en se fondant sur les Lignes directrices sur les atteintes à la vie privée du Secrétariat du Conseil du Trésor du Canada (SCT), pour déterminer si une atteinte est considérée comme « importante » ou non.
Une atteinte importante à la vie privée concerne des renseignements personnels de nature délicate, où l'on peut raisonnablement s'attendre à ce qu'elle cause un préjudice ou un dommage grave à la personne concernée et/ou qu'elle touche un grand nombre de personnes. Le Commissariat à la protection de la vie privée du Canada (CPVP) et le SCT ne sont informés que lorsque des atteintes à la vie privée « importantes » ont eu lieu.
Bien qu’IRCC traite une quantité importante de renseignements personnels et, par conséquent, est susceptible de subir des atteintes à la vie privée, le nombre d'atteintes à la vie privée signalées est minime par rapport au volume global de traitement.
Atteintes à la vie privée récentes liées à l'IRCC en Afghanistan : Atteinte au Centre de soutien aux clients
Le 18 octobre 2021, les renseignements personnels de 636 personnes ont été communiqués par inadvertance dans quatre courriels envoyés par des employés du Centre de soutien à la clientèle (CSC). Cette erreur a été découverte le même jour que l’atteinte est survenue.
Les adresses de ces personnes étaient indiquées au champ « À » plutôt qu’au champ « Cci » (ou copie conforme invisible), exposant leurs adresses de courriel à tous les destinataires. L’objet ou le sujet du message, qui portait sur l’Afghanistan, a également été communiqué. L’atteinte a été limitée aux destinataires de chacun des quatre courriels.
Selon l’évaluation du Ministère, le nom ou la photo d’aucun client n’était compris dans le texte des courriels envoyés par IRCC. Cependant, il est possible qu’en raison des préférences définies par les clients dans leur profil d’utilisateur auprès de leur fournisseur de services de courriel personnel (p. ex. Gmail ou Hotmail), leur photo de profil ou leur nom ait été affiché.
Le 22 octobre 2021, une lettre d'excuse a été envoyée à toutes les personnes touchées qui se sont vu demander également de supprimer toutes les copies du courriel reçu.
Le 26 octobre 2021, la Société Radio-Canada a publié un article concernant l’atteinte à la vie privée, affirmant que les noms et les photos des personnes avaient été communiqués et que les familles craignent davantage pour leur sécurité en raison de cette atteinte à la vie privée.
Le 28 octobre 2021, étant donné que cette atteinte à la vie privée est considérée comme « importante », IRCC en a informé le Commissariat à la protection de la vie privée du Canada et le SCT du Canada, conformément aux lignes directrices du SCT sur les atteintes à la vie privée.
Le Ministère a mis en place les mesures suivantes pour prévenir la récurrence d’atteinte à la vie privée au CSC incluant:
La création de procédures écrites, qui incluent un aide de travail visuel par étapes. Nous avons également réduit le nombre maximal d’individus pouvant être inclus dans un courriel. Ces mesures minimiseront l’impact d’une atteinte à la vie privée suite à une erreur humaine à l’avenir; et
En date du 18 octobre 2021, IRCC a mis en œuvre un nouveau formulaire Web (formulaire électronique) qui simplifie la réception des demandes de renseignements de la part des clients et assurera un meilleur triage de celles-ci dès leur réception.
IRCC continue d'explorer les moyens de protéger les informations des clients grâce à l'élaboration et la mise en œuvre de mesures d'atténuation possibles.
IRCC Moscou – Atteinte à la vie privée
Le 7 septembre 2021, des renseignements personnels concernant une application ont été acheminés par erreur lorsqu'une adresse courriel a été saisie dans Outlook et l'adresse d'un tiers s'est remplie automatiquement.
Le courriel contenait des certificats de preuve d'emploi de l'ambassade du Canada en Afghanistan, ainsi que d'autres renseignements personnels. Il est à noter que le destinataire du courriel n'était pas une personne inconnue du Ministère, mais quelqu'un qui avait communiqué avec IRCC pour s'informer sur une demande de sa propre famille.
IRCC a immédiatement essayé de rappeler le message et a envoyé un message de suivi demandant la suppression.
Le tiers qui a reçu ce courriel par erreur a confirmé la suppression.
Des lettres d'excuses ont été envoyées aux personnes identifiées.
Le 23 septembre 2021, étant donné que cette atteinte à la vie privée est considérée comme « importante », IRCC a informé le CPVP et le SCT, conformément aux lignes directrices du SCT sur les atteintes à la vie privée.
Un rappel a été envoyé à tout le personnel concernant l'importance de vérifier deux fois les adresses de correspondance.
Contexte
Atteintes à la vie privée
En cas de violation de la vie privée, IRCC réagit rapidement en contenant les violations, en veillant à ce que les personnes concernées soient informées et en mettant en œuvre des mesures pour éviter que les violations ne se reproduisent.
IRCC a élaboré et mis en œuvre des directives internes complètes sur les atteintes à la vie privée.
IRCC revoit continuellement ses processus afin d'assurer le plus haut niveau de respect et de conformité à la Loi sur la protection des renseignements personnels. Les employés sont informés et formés sur les politiques et procédures relatives à la protection de la vie privée.
IRCC signale les atteintes importantes à la vie privée au CPVP et au SCT.
