Le gouvernement du Canada respecte les normes les plus élevées en matière de protection des renseignements personnels de ses clients.
Immigration, Réfugiés et Citoyenneté Canada (IRCC) s’engage à protéger les renseignements personnels des clients et à bien gérer et protéger les renseignements de ses clients en mettant en place des politiques rigoureuses de protection des renseignements personnels et de sécurité.
IRCC prend au sérieux toutes les atteintes à la vie privée.
En cas d’atteinte, IRCC réagit rapidement pour limiter l’atteinte et examine ses processus de manière à adapter ou à mettre en œuvre des mesures qui aideront à éviter qu’une telle atteinte ne survienne à nouveau.
IRCC examine continuellement ses pratiques de gestion de l’information pour assurer la conformité à la Loi sur la protection des renseignements personnels. Les employés sont informés et formés sur les politiques et les procédures relatives à la protection de la vie privée.
Messages supplémentaires
Atteintes à la vie privée
Le Ministère a mis en place des activités de formation et de sensibilisation pour répondre aux atteintes à la vie privée. Il a mis en œuvre des politiques et des directives afin que les atteintes soient contenues, suivies et résolues le plus rapidement possible.
Processus et traitement des atteintes à la vie privée par IRCC
La grande majorité des atteintes à la vie privée à IRCC sont considérées comme « non significatives », c’est-à-dire à faible risque/faible impact (par exemple, un courrier ou un courriel mal adressé) et sont traitées à l’interne. IRCC évalue le niveau de risque en se fondant sur les Lignes directrices sur les atteintes à la vie privée du Secrétariat du Conseil du Trésor du Canada (SCT), pour déterminer si une atteinte est considérée comme « importante » ou non.
Une atteinte importante à la vie privée concerne des renseignements personnels de nature délicate, où l'on peut raisonnablement s'attendre à ce qu'elle cause un préjudice ou un dommage grave à la personne concernée et/ou qu'elle touche un grand nombre de personnes. Le Commissariat à la protection de la vie privée du Canada (CPVP) et le SCT ne sont informés que lorsque des atteintes à la vie privée « importantes » ont eu lieu.
Bien qu’IRCC traite une quantité importante de renseignements personnels et, par conséquent, est susceptible de subir des atteintes à la vie privée, le nombre d'atteintes à la vie privée signalées est minime par rapport au volume global de traitement.
Atteintes à la vie privée récemment constatées par IRCC : Atteinte à la vie privée du Centre d'assistance aux clients liée à l'Afghanistan
Le 18 octobre 2021, des renseignements personnels de 636 personnes ont été divulgués par inadvertance dans quatre courriels envoyés par le Centre de soutien à la clientèle.
Ces personnes ont été adressées dans la ligne "À" au lieu de la ligne "BCC" (ou ligne de copie cachée), exposant ainsi leur adresse électronique à tous les destinataires. L'objet/le sujet du message, qui était lié à l'Afghanistan, a également été divulgué. La violation a été limitée aux personnes figurant dans chacun des quatre courriels; une personne n'a pas reçu les informations des 636 autres personnes.
Selon l’évaluation du Ministère, le nom ou la photo d’aucun client n’était compris dans les courriels envoyés par IRCC. Cependant, il est possible qu’en raison des préférences définies par les clients dans leur profil d’utilisateur auprès de leur fournisseur de services de courriel personnel (p. ex. Gmail ou Hotmail), leur photo de profil ou leur nom ait été affiché.
L’erreur a été repérée le jour-même de l’atteinte.
Le 22 octobre 2021, une lettre d'excuses a été envoyée à toutes les personnes concernées et il leur a également été demandé de supprimer toutes les copies du courriel reçu.
Le 28 octobre 2021, comme cette atteinte à la vie privée est considérée comme « importante », IRCC a informé le CPVP et le SCT, conformément aux lignes directrices du SCT sur les atteintes à la vie privée.
IRCC a pris des mesures immédiates pour éviter que cette violation de la vie privée ne se reproduise. Parmi les nombreuses mesures prises, citons :
La création d'une procédure écrite, qui comprendra une aide visuelle au travail étape par étape. Il y aura des limites inférieures au nombre de personnes pouvant être incluses dans un courriel. Ces mesures minimiseront le risque d'une violation de la vie privée due à une erreur humaine à l'avenir.
Il existe un nouveau formulaire Web sur les mesures spéciales permettant aux personnes de poser des questions au Ministère. Ce formulaire simplifie la réception, le triage et le traitement des demandes de renseignements des clients concernant l'Afghanistan.
IRCC continue d'explorer les moyens de protéger les informations des clients par l'élaboration et la mise en œuvre de mesures d'atténuation possibles.
Violation de la confidentialité des empreintes digitales et des photographies
L'IRCC recueille des informations personnelles auprès de ses clients, notamment des empreintes digitales et des photographies, à l'appui de leur demande d'immigration ou de leur demande de statut de réfugié.
Une fois qu'une personne devient un citoyen canadien, les empreintes digitales recueillies sont supprimées des dossiers d'immigration par la Gendarmerie royale du Canada (GRC) au nom d'IRCC.
En raison d'un problème de système, le gouvernement du Canada (IRCC, GRC et Agence des services frontaliers du Canada [ASFC]) a conservé par inadvertance les renseignements personnels (empreintes digitales biométriques et photos) de certains clients de l'immigration au-delà de la période de conservation définie. Les empreintes digitales et les photographies biométriques de certains clients n'ont pas été immédiatement effacées une fois la citoyenneté canadienne obtenue, comme le prévoyait la politique ministérielle.
IRCC a informé les clients concernés que leurs empreintes digitales avaient été conservées au-delà de la période de conservation normale.
Les informations ont toujours été bien protégées.
IRCC continue d'enquêter activement sur l'étendue de la situation et de faire preuve de transparence quant à cette violation de la vie privée :
Le CPVP a été informé le 26 février 2021.
Le 19 mars 2021, IRCC a commencé à informer ses clients que leurs données biométriques avaient été conservées au-delà de la période de conservation prévue.
Un avis public concernant la conservation des données biométriques est disponible pour les clients sur le site Web d'IRCC.
Le Ministère continue de s'engager activement auprès des partenaires concernés et poursuit ses consultations avec le CPVP.
IRCC a désigné un point de contact auquel les personnes désirant obtenir de l’information ou faire part de leurs préoccupations peuvent s’adresser.
IRCC prend cette situation très au sérieux et a mis sur pied un groupe de travail composé de cadres supérieurs afin d'examiner les causes exactes de cette violation, le nombre exact de personnes touchées et les moyens de prévenir une violation de cette nature à l'avenir.
IRCC s'efforce de supprimer les photographies biométriques des personnes ayant acquis la citoyenneté de ses bases de données et de celles de l'ASFC, et d'informer ces clients de l'erreur de conservation. Les empreintes digitales de tous les clients avisés ont été effacées.
IRCC examine actuellement les dossiers des clients pour s'assurer que les données biométriques sont supprimées de tout dossier de citoyen. Si d'autres cas sont découverts, IRCC supprimera les informations enregistrées au-delà de la date de conservation et informera le client de son erreur.
Si l’on insiste – Quelles sont les conséquences de la violation de la vie privée pour les personnes concernées?
La conservation de ces informations au-delà de la période de conservation définie a entraîné la divulgation des informations de certains clients aux organismes d'application de la loi, lorsque les empreintes digitales sont vérifiées par l'organisme d'application de la loi pour une enquête criminelle ou pour porter des accusations criminelles.
IRCC a informé les personnes concernées de cette divulgation.
Il n'y a aucune raison de croire qu'il y a eu fraude ou vol d'identité, car les informations ont toujours été bien protégées et n'étaient pas accessibles au public. IRCC s'engage à protéger les informations personnelles des clients et à s'assurer que ces informations sont correctement gérées et protégées.
Examen par le CPVP des pratiques de gestion des renseignements personnels du Programme de passeport
IRCC est responsable du Programme de passeport, qui délivre des passeports et des documents de voyage aux canadiens en collaboration avec ses organismes partenaires, Affaires mondiales Canada (AMC), la Société canadienne des postes (SCP) et Emploi et Développement social Canada (EDC).
Le 19 juin 2019, le CPVP a informé IRCC de son intention de procéder à un examen des pratiques de gestion des passeports à la lumière des rapports de passeports perdus ou de données de passeport divulguées qu'il a reçu des institutions fédérales.
Selon le rapport final du CPVP, il n'a trouvé aucune indication d'inadéquation des mesures en place pour empêcher les divulgations non autorisées de passeports. Dans l'ensemble, le volume de passeports perdus, mal acheminés ou volés alors qu'ils étaient sous le contrôle des institutions reste faible par rapport au nombre de passeports délivrés.
Le CPVP a cerné quelques domaines susceptibles d'être améliorés. IRCC, ainsi que ses organisations partenaires, ont accepté les recommandations et travaillent actuellement à les mettre en œuvre.
Un résumé de l'examen du CPVP et ses conclusions ont été inclus dans le rapport annuel du CPVP au Parlement, qui a été déposé le 9 décembre 2021.
Contexte
Atteintes à la vie privée
En cas de violation de la vie privée, l'IRCC réagit rapidement en contenant les violations, en veillant à ce que les personnes concernées soient informées et en mettant en œuvre des mesures pour éviter que les violations ne se reproduisent.
IRCC a élaboré et mis en œuvre des directives internes complètes sur les atteintes à la vie privée.
IRCC revoit continuellement ses processus afin d'assurer le plus haut niveau de respect et de conformité à la Loi sur la protection des renseignements personnels. Les employés sont informés et formés sur les politiques et procédures relatives à la protection de la vie privée.
IRCC signale les atteintes importantes à la vie privée au CPVP et au SCT.
