DOAD 1002-3, Gestion des renseignements personnels

Table des matières

1. Introduction
2. Définitions
3. Objectif et résultats prévus
4. Aperçu
5. Collecte de renseignements personnels
6. Usage et divulgation de renseignements personnels
7. Conservation et élimination de renseignements personnels
8. Exactitude des renseignements personnels
9. Évaluation des facteurs relatifs à la vie privée
10. Avis de confidentialité
11. Web analytique et médias sociaux
12. Mesures de protection administratives, techniques et matérielles
13. Info Source
14. Gestion des incidents relatifs à la vie privée
15. Formation, instruction et sensibilisation en matière de protection des renseignements personnels
16. Conformité et conséquences
17. Responsabilités
18. Références

1. Introduction

Date de publication : 2004-10-01

Date de la dernière modification : 2019-04-10

Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci‑après nommés « militaires ».

Autorité approbatrice : Secrétaire général (Sec gén)

Demandes de renseignements : Directeur – Accès à l’information et protection des renseignements personnels (DAIPRP)

Haut de page

2. Définitions

avis de confidentialité (privacy notice)

Avis verbal ou écrit présenté à un individu afin de communiquer les fins de la collecte de renseignements personnels, et l’autorité de l’institution fédérale pour procéder à cette collecte, y compris la création, l’utilisation et la divulgation des renseignements. L’avis, qui doit renvoyer au fichier de renseignements personnels décrit dans Info Source, informe également l’individu de ses droits d’accès et de correction de ses renseignements personnels, ainsi que des conséquences d’un refus de fournir les renseignements demandés. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)

catégories de renseignements personnels (classes of personal information)

Renseignements personnels dont on ne prévoit pas faire usage pour des fins administratives ou que l’on ne peut pas retrouver par référence au nom d’un individu ou à une indication identificatrice propre à cet individu (p. ex., opinions non sollicitées et correspondance générale). (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)

divulgation (disclosure)

Communication de renseignements personnels par une méthode quelconque (c’est-à-dire la transmission, la présentation d’une copie ou l’examen d’un document) à toute entité ou personne. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)

évaluation des facteurs relatifs à la vie privée (privacy impact assessment)

Processus d’élaboration des politiques permettant de déterminer, d’évaluer et d’atténuer les risques d’atteinte à la vie privée. Les institutions fédérales doivent consigner et tenir à jour des évaluations des facteurs relatifs à la vie privée pour les activités et les programmes nouveaux ou modifiés qui utilisent des renseignements personnels à des fins administratives. (Politique sur la protection de la vie privée, Conseil du Trésor)

fichier de renseignements personnels (personal information bank)

Description de renseignements personnels organisés ou extraits soit en se servant du nom d’une personne, d’un numéro d’identité ou de tout autre symbole ou code désignant uniquement cette personne. Les renseignements personnels décrits dans le fichier de renseignements personnels ont été ou sont utilisés ou sont disponibles à des fins administratives et relèvent d’une institution fédérale. (Politique sur la protection de la vie privée, Conseil du Trésor)

fichier inconsultable (exempt bank)

Fichier de renseignements personnels formé de dossiers dans chacun desquels dominent les renseignements personnels qui touchent les affaires internationales, la défense, ou les enquêtes, visés aux articles 21 et 22 de la Loi sur la protection des renseignements personnels. Le responsable d’une institution fédérale peut refuser la communication des renseignements personnels qui sont versés dans des fichiers inconsultables. (Politique sur la protection de la vie privée, Conseil du Trésor)

fins administratives (administrative purpose)

Utilisation de renseignements personnels concernant un particulier « dans le cadre d’une décision le touchant directement » (article 3 de la Loi sur la protection des renseignements personnels). Cela comprend toute utilisation de renseignements personnels afin de confirmer l’identité d’une personne (c.-à-d. à des fins d’authentification et de vérification) ainsi que de déterminer si celle-ci est admissible aux programmes gouvernementaux. (Politique sur la protection de la vie privée, Conseil du Trésor)

Info Source (Info Source)

Série de publications annuelles du Secrétariat du Conseil du Trésor du Canada dans lesquelles les institutions fédérales sont tenues de décrire leurs organisations, leurs responsabilités en matière de programmes et leurs fonds de renseignements, dont les fichiers de renseignements personnels et les catégories de renseignements personnels qu’elles détiennent. Les renseignements doivent être suffisamment clairs et détaillés, pour permettre au public d’exercer son droit d’accès en vertu de la Loi sur la protection des renseignements personnels. Les activités de couplage de données, l’utilisation du numéro d’assurance sociale et toutes les activités pour lesquelles des évaluations des facteurs relatifs à la vie privée ont été effectuées doivent être mentionnées dans les fichiers de renseignements personnels d’Info Source, le cas échéant. Les publications Info Source présentent également les coordonnées des ministères et organismes fédéraux ainsi que des résumés des causes de la Cour fédérale et des statistiques sur les demandes d’accès. (Politique sur la protection de la vie privée, Conseil du Trésor)

institution fédérale (government institution)

a) Tout ministère ou département d’État relevant du gouvernement du Canada, ou tout organisme, figurant à l’annexe de la Loi sur la protection des renseignements personnels;

b) toute société d’État mère ou filiale à cent pour cent d’une telle société, au sens de l’article 83 de la Loi sur la gestion des finances publiques.

(Article 3 de la Loi sur la protection des renseignements personnels)

modification importante (substantial modification)

Changement ou modification aux pratiques en matière de protection de la vie privée liées à un programme ou à une activité dont il est fait mention dans la description d’un fichier de renseignements personnels. Elle englobe tout changement ou amendement aux pratiques relatives à la vie privée liées à des activités qui font usage de moyens automatisés ou technologiques pour identifier, créer, analyser, comparer, extraire, recueillir, apparier ou définir des renseignements personnels. (Directive sur l’évaluation des facteurs relatifs à la vie privée, Conseil du Trésor)

pratiques relatives à la protection de la vie privée (privacy practices)

Toutes les pratiques relatives à la création, la collecte, la conservation, l’exactitude, la correction, l’utilisation, la divulgation et le retrait des renseignements personnels. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)

programme ou activité (program or activity)

Aux fins de la collecte, de l’utilisation ou de la communication appropriée de renseignements personnels par des institutions assujetties à la présente Politique, un programme ou une activité autorisé ou approuvé par le Parlement. L’autorisation parlementaire est habituellement donnée par une loi du Parlement, par un règlement subséquent ou par l’approbation des dépenses envisagées qui sont indiquées dans les budgets des dépenses, puis autorisée par une loi de crédits. Toute activité menée dans le cadre de l’administration de tels programmes entre également dans cette définition. (Politique sur la protection de la vie privée, Conseil du Trésor)

renseignements personnels (personal information)

Renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment :

a) les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille;

b) les renseignements relatifs à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé;

c) tout numéro ou symbole, ou toute autre indication identificatrice, qui lui est propre;

d) son adresse, ses empreintes digitales ou son groupe sanguin;

e) ses opinions ou ses idées personnelles, à l’exclusion de celles qui portent sur un autre individu ou sur une proposition de subvention, de récompense ou de prix à octroyer à un autre individu par une institution fédérale, ou subdivision de celle-ci visée par règlement;

f) toute correspondance de nature, implicitement ou explicitement, privée ou confidentielle envoyée par lui à une institution fédérale, ainsi que les réponses de l’institution dans la mesure où elles révèlent le contenu de la correspondance de l’expéditeur;

g) les idées ou opinions d’autrui sur lui;

h) les idées ou opinions d’un autre individu qui portent sur une proposition de subvention, de récompense ou de prix à lui octroyer par une institution, ou subdivision de celle-ci, visée à l’alinéa e), à l’exclusion du nom de cet autre individu si ce nom est mentionné avec les idées ou opinions;

i) son nom lorsque celui-ci est mentionné avec d’autres renseignements personnels le concernant ou lorsque la seule divulgation du nom révélerait des renseignements à son sujet;

toutefois, il demeure entendu que, pour l’application des articles 7, 8 et 26, et de l’article 19 de la Loi sur l’accès à l’information, les renseignements personnels ne comprennent pas les renseignements concernant :

j) un cadre ou employé, actuel ou ancien, d’une institution fédérale et portant sur son poste ou ses fonctions, notamment :

(i) le fait même qu’il est ou a été employé par l’institution,

(ii) son titre et les adresse et numéro de téléphone de son lieu de travail,

(iii) la classification, l’éventail des salaires et les attributions de son poste,

(iv) son nom lorsque celui-ci figure sur un document qu’il a établi au cours de son emploi,

(v) les idées et opinions personnelles qu’il a exprimées au cours de son emploi;

(k) un individu qui, au titre d’un contrat, assure ou a assuré la prestation de services à une institution fédérale et portant sur la nature de la prestation, notamment les conditions du contrat, le nom de l’individu ainsi que les idées et opinions personnelles qu’il a exprimées au cours de la prestation;

(l) des avantages financiers facultatifs, notamment la délivrance d’un permis ou d’une licence accordés à un individu, y compris le nom de celui-ci et la nature précise de ces avantages;

(m) un individu décédé depuis plus de vingt ans.

 (Article 3 de la Loi sur la protection des renseignements personnels)

usage compatible (consistent use)

Usage se rapportant de façon raisonnable et directe à l’objectif premier pour lequel les renseignements ont été obtenus ou recueillis. Cela signifie que les fins premières et les fins qui ont été proposées sont si intimement liées que la personne s’attendrait à ce que les renseignements soient utilisés à des fins conformes, même si elles n’ont pas été expressément mentionnées. (Politique sur la protection de la vie privée, Conseil du Trésor)

Haut de page

3. Objectif et résultats prévus

Objectif

3.1 La présente DOAD a pour objectif de faciliter la mise en œuvre de pratiques cohérentes et judicieuses en matière de gestion des renseignements personnels, ainsi que la production de rapports publics dans ce domaine, aux fins de la création, de la collecte, de l’exactitude, de la correction, de l’utilisation, de la divulgation, de la conservation et de l’élimination des renseignements personnels qui relèvent du MDN et des FAC.

Résultats prévus

3.2 Il est attendu qu’en suivant les instructions énoncées dans la présente DOAD, que les renseignements personnels soient seulement créés, recueillis, utilisés, divulgués, conservés et éliminés d’une manière qui respecte les dispositions de la Loi sur la protection des renseignements personnels (LPRP) et du Règlement sur la protection des renseignements personnels (RPRP).

3.3 La présente DOAD énonce clairement les responsabilités qui incombent aux employés du MDN et aux militaires quant à la gestion des renseignements personnels en vertu de la LPRP et du RPRP.

Haut de page

4. Aperçu

Contexte

4.1 La LPRP et le RPRP fournissent le cadre juridique des pratiques liées à la protection des renseignements personnels requis pour l’administration des programmes et des activités des institutions fédérales.

4.2 En définitive, il incombe au sous-ministre, au chef d’état-major de la défense et aux conseillers de niveau un (N1) de s’assurer que de judicieuses pratiques relatives à la protection de la vie privée soient mises en œuvre dans les opérations quotidiennes de leur organisation et que l’accès aux renseignements personnels soit limité à ceux en ayant besoin dans l’exercice de leurs fonctions.

4.3 Pour faciliter les demandes d’accès à l’information en vertu de la Loi sur l’accès à l’information et de la LPRP, le MDN et les FAC sont tenus d’informer le public, les employés du MDN et les militaires au sujet des pratiques relatives à la protection de la vie privée des renseignements personnels et de leur donner accès aux renseignements personnels les concernant. Le principe sous-jacent est que les individus ont le droit fondamental de contrôler leurs renseignements personnels et de savoir :

• la raison pour laquelle le gouvernement les recueille;
• la façon dont ils seront utilisés;
• la durée de leur conservation;
• qui y auront accès.

4.4 Les employés du MDN et les militaires créent, recueillent, consultent, utilisent, divulguent, conservent et éliminent régulièrement de grandes quantités de renseignements personnels sur des employés du MDN et des militaires et sur d’autres individus au Canada et hors du Canada. La LPRP établit des contrôles et des restrictions quant au traitement des renseignements personnels. Les employés du MDN et les militaires doivent reconnaître que la protection de la vie privée est un élément essentiel au maintien de la confiance du public et qu’ils ont donc un rôle fondamental lorsqu’il s’agit de protéger les renseignements personnels sous leur contrôle.

4.5 Les risques et les facteurs relatifs à la vie privée de tous les programmes et les activités du MDN et des FAC doivent être identifiés, évalués et atténués au moyen de judicieuses pratiques de gestion des renseignements personnels.

4.6 Tous les employés du MDN et tous les militaires doivent tous connaître les politiques et les procédures relatives aux renseignements personnels relevant du MDN et des FAC de même que les responsabilités juridiques qui leur incombent en vertu de la LPRP et du RPRP.

4.7 La présente DOAD doit être lue conjointement avec les Instructions sur la gestion des renseignements personnels, qui fournit des directives et des conseils précis en ce qui a trait aux principes et aux pratiques applicables à la gestion des renseignements personnels relevant du MDN et des FAC.

4.8 La présente DOAD résume aussi les exigences des articles 4 à 8 de la LPRP qui régissent la collecte, la conservation, l’exactitude, l’élimination, l’utilisation et la divulgation des renseignements personnels; elle résume également les exigences des politiques, des directives, des normes et des lignes directrices connexes du Conseil du Trésor (CT), du MDN et des FAC qui traitent de renseignements personnels. Les principes de la gestion des renseignements personnels, conjugués à de solides pratiques propres à ce domaine, constituent un cadre qui favorise, au MDN et dans les FAC, une culture axée sur le souci et la protection de tous les renseignements personnels relevant du MDN et des FAC.

Haut de page

5. Collecte de renseignements personnels

Programme ou activité autorisé

5.1 Les employés du MDN et les militaires ne doivent pas recueillir de renseignements personnels à moins que ceux-ci ne se rapportent directement à un programme ou à une activité autorisé du MDN et des FAC.

Collecte limitée

5.2 Chaque élément de renseignement personnel recueilli par le MDN et les FAC doit se rapporter directement à un programme ou à une activité autorisée du MDN et des FAC et être manifestement nécessaire à leur exécution.

Création de renseignements personnels

5.3 La création de renseignements personnels par une institution fédérale constitue également une collecte en vertu de la LPRP.

Création d’un fichier de renseignements personnels (FRP)

5.4 Un FRP doit être établi avant la collecte des renseignements personnels aux fins de l’administration d’un programme ou d’une activité du MDN et des FAC, si les renseignements personnels seront :

• utilisés ou disponibles à des fins administratives;
• organisés ou censés être retrouvés par référence au nom d’un individu, à un numéro d’identité, à un symbole ou à un autre code désignant uniquement cet individu.

5.5 La description du FRP comprend la fin de la collecte, la catégorie des individus compris dans le FRP, les utilisations autorisées conformément à la fin initiale de la collecte et les plans de conservation et d’élimination des renseignements personnels.

Fichiers inconsultables

5.6 Les fichiers inconsultables sont des FRP qui décrivent des fichiers qui contiennent principalement des renseignements personnels relatifs à des affaires internationales, à la défense, à l’application de la loi et à des enquêtes. Le responsable d’une institution fédérale peut refuser de divulguer tout renseignement personnel demandé qui est versé dans un fichier inconsultable.

5.7 Les fichiers inconsultables sont désignés par un décret du gouverneur en conseil. Toute proposition de création d’un fichier inconsultable de renseignements personnels relevant du MDN et des FAC doit être présentée au Secrétariat du Conseil du Trésor (SCT), avec l’ébauche d’un décret en conseil et un résumé de l’étude d’impact de la réglementation.

Collecte directe et droit d’être informé

5.8 Dans la mesure du possible, les renseignements personnels devant être utilisés à des fins administratives doivent être recueillis directement auprès de l’individu concerné. Les individus doivent être informés des fins auxquelles les renseignements personnels seront recueillis. L’exigence relative à la collecte directe de renseignements personnels auprès d’un individu s’accompagne d’un consentement implicite à la collecte.

5.9 La LPRP prévoit les trois exceptions suivantes à l’obligation de la collecte directe et l’obligation d’informer les individus au sujet de la collecte de leurs renseignements personnels :

• la collecte auprès d’une autre source est autorisée si l’individu a donné son consentement écrit à la collecte indirecte;
• la collecte directe n’est pas requise si des renseignements personnels ont déjà été recueillis auprès de l’individu par une autre institution fédérale, laquelle est autorisée à divulguer les renseignements conformément au paragraphe 8(2) de la LPRP;
• il existe une exception à la collecte directe ainsi qu’à l’obligation d’informer les individus au sujet de la collecte de leurs renseignements personnels dans certains cas précis, notamment lors d’une enquête durant laquelle des renseignements personnels peuvent être recueillis auprès d’une autre source à l’insu ou sans le consentement de l’individu visé lorsque la collecte directe ou la mise au courant de l’individu risquerait d’entraîner la collecte de renseignements inexacts ou d’aller à l’encontre des fins ou de compromettre l’usage auxquels les renseignements sont destinés.

5.10 Si des renseignements personnels sont recueillis de façon indirecte, des mesures doivent être mises en oeuvre pour s’assurer que :

• les renseignements personnels sont obtenus d’une source fiable;
• leur exactitude peut être vérifiée ou validée avant leur utilisation.

Consentement

5.11 Bien que les renseignements personnels devant être utilisés à des fins administratives doivent être recueillis directement auprès de l’individu concerné, autant que possible, le consentement à la collecte des renseignements personnels n’est pas requis si :

• l’individu concerné a déjà consenti à la collecte indirecte;
• les renseignements personnels peuvent être divulgués à l’institution en vertu du paragraphe 8(2) de la LPRP;
• le consentement aurait pour résultat la collecte de renseignements inexacts;
• le consentement irait à l’encontre des fins ou compromettrait l’usage auxquels les renseignements ont été recueillis.

5.12 L’obtention du consentement d’un individu aux fins de la collecte de renseignements personnels ne confère pas au MDN ni aux FAC l’autorité de recueillir ces renseignements personnels. Le MDN et les FAC ne peuvent recueillir des renseignements personnels aux fins d’un programme ou d’une activité que si ceux-ci s’y rapportent directement.

Numéro d’assurance sociale (NAS)

5.13 Un NAS peut seulement être recueilli ou utilisé par le MDN et les FAC à des fins administratives ou autres si cette action est autorisée expressément par la Directive sur le numéro d’assurance sociale du CT.

Haut de page

6. Usage et divulgation de renseignements personnels

Usage et divulgation

6.1 Les renseignements personnels relevant du MDN et des FAC ne peuvent être utilisés par le MDN et les FAC sans avoir obtenu le consentement des individus concernés, sauf lorsque les renseignements :

• seront utilisés à une fin pour laquelle ils ont été obtenus ou préparés par le MDN et les FAC ou à une autre fin compatible;
• serviront à une fin pour laquelle ils peuvent être divulgués au MDN et aux FAC en vertu du paragraphe 8(2) de la LPRP.

6.2 Les renseignements personnels d’un individu peuvent être divulgués avec le consentement écrit de celui-ci. Voir la DOAD 1002-6, Divulgation de renseignements personnels, pour de plus amples informations.

Usage compatible

6.3 Tout usage compatible de renseignements personnels doit être décrit dans le FRP approuvé qui autorise la collecte de ces renseignements. Si un nouvel usage compatible des renseignements est identifié, le DAIPRP doit en être informé.

Consentement

6.4 Le consentement de l’individu est requis si les renseignements personnels doivent être :

• utilisés à une fin autre que celle ayant été autorisée à l’origine;
• utilisés à une fin qui n’est pas un usage compatible décrit dans le FRP autorisé;
• divulgués à une fin non énumérée dans le paragraphe 8(2) de la LPRP.

Échange ou divulgation de renseignements

6.5 Si, de façon régulière et systématique, des organisations du MDN et des FAC s’échangent des renseignements personnels relevant d’eux ou si de tels renseignements sont divulgués à des parties externes, le partage ou la divulgation doit être consigné dans le FRP visé. Si aucune mention du partage ou de la divulgation n’est faite dans le FRP et que des mesures de contrôle supplémentaires sont requises, un accord officiel d’échange de renseignements devrait être envisagé. Dans tous les cas, le bureau de première responsabilité du secteur de programme ou d’activité dont relèvent les renseignements personnels peut déterminer s’il est approprié d’échanger ou de divulguer les renseignements personnels. Il conviendrait de demander des conseils au DAIPRP et aux conseillers juridiques.

Haut de page

7. Conservation et élimination de renseignements personnels

Autorisation de disposition de documents (ADD)

7.1 Les renseignements personnels doivent être conservés et éliminés conformément aux ADD applicables. Voir le Système de classification par sujet, de conservation et d’élimination des documents de la Défense pour de plus amples informations.

Période de conservation d’au moins deux ans

7.2 Les renseignements personnels relevant du MDN et des FAC qui ont été utilisés ou qui sont disponibles à des fins administratives doivent être conservés pendant une période d’au moins deux ans après la prise de la dernière mesure administrative. Sous réserve des lois et politiques en vigueur, le MDN et les FAC peuvent éliminer des renseignements personnels dans le délai de deux ans si l’individu concerné consent à leur élimination.

Urgence

7.3 En cas d’urgence, les renseignements personnels qui relèvent du MDN et des FAC qui sont conservés dans un poste hors du Canada peuvent être détruits afin d’éviter qu’ils ne soient soustraits au contrôle du MDN et des FAC.

Haut de page

8. Exactitude des renseignements personnels

Toutes mesures raisonnables

8.1 Les employés du MDN et les militaires doivent prendre toutes les mesures raisonnables pour s’assurer que les renseignements personnels utilisés à des fins administratives soient aussi à jour, exacts et complets que possible.

Correction de renseignements personnels

8.2 Toute demande de correction de renseignements personnels relevant du MDN et des FAC doit être adressée au DAIPRP. Voir la DOAD 1002-1, Demandes formulées en vertu de la Loi sur la protection des renseignements personnels et correction des renseignements personnels pour de plus amples informations.

Haut de page

9. Évaluation des facteurs relatifs à la vie privée

Lancement d’une évaluation des facteurs relatifs à la vie privée (EFVP)

9.1 Il faut effectuer une EFVP dans les cas suivants :

• des renseignements personnels sont ou seront utilisés aux fins d’un processus de prise de décisions touchant directement des individus;
• une modification importante est apportée à un programme ou à une activité actuel pour laquelle les renseignements personnels sont ou seront utilisés à des fins administratives;
• la sous-traitance ou le transfert d’un programme ou d’une activité à un autre palier de gouvernement, à une entité du secteur privé ou à un particulier entraîne une modification importante du programme ou de l’activité;
• des décisions touchant directement des individus ne sont pas prises, mais il s’ensuivra une incidence sur la vie privée qui justifie la tenue d’une EFVP.

Procédures

9.2 Les procédures concernant les EFVP sont énoncées dans la DOAD 1002-5, Évaluation des facteurs relatifs à la vie privée.

Haut de page

10. Avis de confidentialité

Obligation de fournir un avis de confidentialité

10.1 Un avis de confidentialité doit être fourni quand le MDN et les FAC recueillent des renseignements personnels auprès d’un individu, que ce soit de vive voix, par écrit ou en ligne. Voir l’Instruction sur les avis de confidentialité pour de plus amples informations.

Exception

10.2 Un avis de confidentialité n’est pas exigé s’il pourrait entraîner la collecte de renseignements inexacts ou pourrait aller à l’encontre des fins ou compromettre l’usage auquel les renseignements sont destinés.

Haut de page

11. Web analytique et médias sociaux

Sites et applications Web

11.1 Les employés du MDN et les militaires responsables des sites et des applications Web du MDN et des FAC ayant trait à des renseignements personnels doivent fournir un avis de confidentialité et s’assurer que les utilisateurs soient informés de leurs droits, de leurs responsabilités et de leurs obligations juridiques aux termes de la LPRP. Voir l’Annexe B de la Norme sur la protection de la vie privée et le Web analytique du CT pour connaître les exigences relatives aux avis de confidentialité.

11.2 Les sites Web du MDN et des FAC qui servent à recueillir des renseignements personnels doivent contenir un énoncé de collecte de renseignements personnels qui informe les utilisateurs que des renseignements personnels seront recueillis. Voir le document du CT intitulé Avis – Avis de confidentialité pour de plus amples informations.

Adresse de protocole Internet (IP)

11.3 La collecte d’IP ou de tout autre renseignement personnel aux fins du Web analytique par le MDN et les FAC doit se conformer à la Norme sur la protection de la vie privée et le Web analytique.

Haut de page

12. Mesures de protection administratives, techniques et matérielles

Mesures de protection appropriées

12.1 Les renseignements personnels relevant du MDN et des FAC doivent être protégés au moyen des mesures administratives, techniques et matérielles appropriées à leur degré de sensibilité, aux risques cernés et à la façon dont ils sont stockés, traités et transmis.

Haut de page

13. Info Source

Généralités

13.1 Les renseignements personnels relevant du MDN et des FAC doivent être décrits dans un FRP ou une catégorie de renseignements personnels, et publiés dans le chapitre d’Info Source réservé au MDN et aux FAC.

13.2 Tous les FRP et toutes les catégories de renseignements personnels doivent :

• s’aligner sur l’Architecture d’alignement de programmes du MDN et des FAC aux fins de la planification ministérielle et de la préparation de rapports;
• être signalés au DAIPRP en vue de leur publication dans le chapitre d’Info Source réservé au MDN et aux FAC.

13.3 Tout renseignement personnel recueilli par le MDN et les FAC qui n’est pas lié à un processus de prise de décision touchant directement un individu, ou qui ne peut pas être retrouvé par référence au nom d’un individu, à un numéro d’identité, à un symbole ou à un autre code désignant uniquement cet individu, doit être décrit dans le chapitre d’Info Source réservé au MDN et aux FAC dans des catégories de renseignements personnels

Haut de page

14. Gestion des incidents relatifs à la vie privée

Atteinte à la vie privée

14.1 Il y a atteinte à la vie privée lorsque des renseignements personnels sont créés, recueillis, utilisés, divulgués, conservés ou éliminés d’une façon inappropriée ou non autorisée.

14.2 Toute allégation d’atteinte à la vie privée doit être signalée au DAIPRP. Seul ce dernier peut déterminer s’il y a eu atteinte à la vie privée.

14.3 Les procédures à suivre pour la gestion des cas d’atteinte à la vie privée sont énoncées dans la DOAD 1002-4, Gestion des incidents relatifs à la vie privée. Les organisations du MDN et des FAC sont encouragées à mettre en œuvre des procédures internes pour gérer de tels cas, mais celles-ci doivent être conformes aux dispositions de la DOAD 1002-4.

Haut de page

15. Formation, instruction et sensibilisation en matière de renseignements personnels

Formation ou instruction appropriée

15.1 Il incombe au DAIPRP de veiller à ce qu’une formation ou instruction sur la gestion des renseignements personnels ainsi que les outils nécessaires à cette fin soient mis à la disposition des employés du MDN et des militaires.

15.2 Les N1 doivent s’assurer que tous les employés du MDN et tous les militaires de leur organisation qui sont responsables de la gestion, du traitement, de l’utilisation ou de la consultation des renseignements personnels reçoivent une formation ou instruction appropriée.

Haut de page

16. Conformité et conséquences

Conformité

16.1 Les employés du MDN et les militaires doivent se conformer à la LPRP, au RPRP, à la présente DOAD et aux Instructions sur la gestion des renseignements personnels. Si des éclaircissements à ces lois, politiques ou instructions sont nécessaires, les employés du MDN et les militaires peuvent demander des directives par l’entremise de leur voie de communication ou de leur chaîne de commandement, selon le cas. Les gestionnaires et les supérieurs militaires sont les principaux responsables, et détiennent les principaux moyens, d’assurer que les employés du MDN et les militaires qui relèvent d’eux se conforment à la LPRP, au RPRP, à la présente DOAD et aux Instructions sur la gestion des renseignements personnels.

Conséquences d’une non-conformité

16.2 Les employés du MDN et les militaires sont tenus de rendre compte respectivement à leur gestionnaire ou à leur supérieur militaire de tout cas de non-conformité à la LPRP, au RPRP, à la présente DOAD ou aux Instructions sur la gestion des renseignements personnels. La non-conformité peut entraîner des conséquences tant pour le MDN et les FAC, en tant qu’institutions, que pour les employés du MDN et les militaires, en tant qu’individus. Tout cas de non-conformité soupçonnée pourrait faire l’objet d’une enquête. Les gestionnaires et les supérieurs militaires doivent prendre ou imposer les mesures correctrices appropriées dans le cas où une non-conformité à la présente DOAD entraîne des conséquences pour le MDN et les FAC. La décision d’un N1 ou d’un autre haut fonctionnaire de prendre des mesures ou d’intervenir dans un cas de non-conformité, sauf en ce qui concerne une décision prise en vertu du Code de discipline militaire à l’égard d’un militaire, dépendra du niveau de risque évalué en fonction des incidences et de la probabilité d’un résultat défavorable découlant du cas de non-conformité et des autres circonstances entourant ce cas.

16.3 La nature et la gravité des conséquences découlant d’une non-conformité devraient être proportionnelles aux circonstances entourant le cas de non-conformité et aux autres circonstances pertinentes. Une non-conformité pourrait entraîner une ou plusieurs des conséquences suivantes :

1. l’ordre de suivre l’apprentissage, la formation, l’instruction ou le perfectionnement professionnel approprié;
2. l’inscription d’observations dans l’évaluation de rendement individuel;
3. le renforcement des mesures de suivi et de contrôle du rendement;
4. la révocation, en partie ou en totalité, de l’autorité qu’accorde la présente DOAD à un employé du MDN ou à un militaire;
5. le signalement des infractions soupçonnées aux autorités chargées de l’application de la loi;
6. l’imposition des conséquences particulières énoncées dans les lois et les codes de conduite applicables ainsi que les politiques et directives du MDN ou des FAC;
7. l’application de toute autre mesure administrative, incluant l’imposition de mesures disciplinaires, à l’endroit d’un employé du MDN;
8. l’application de toute autre mesure administrative ou disciplinaire, ou les deux, à l’endroit d’un militaire;
9. l’imposition de la responsabilité de Sa Majesté la Reine du chef du Canada, des employés du MDN ou des militaires.

Nota – En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du CT pour de plus amples informations.

16.4 La non-conformité aux exigences de la LPRP ou du RPRP représente aussi un risque pour le MDN et les FAC en tant qu’institutions et pourrait entraîner la perte de la confiance du public, une atteinte à la réputation, des pertes financières, des conséquences d’ordre juridique et des risques aux intérêts nationaux et aux opérations.

Haut de page

17. Responsabilités

Tableau des responsabilités

17.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :

Haut de page

18. Références

Lois, règlements, politiques des organises centraux et DOAD – politique

• Loi sur l’accès à l’information
• Loi sur la gestion des finances publiques
• Loi sur la protection des renseignements personnels
• Loi sur les textes réglementaires
• Règlement sur la protection des renseignements personnels
• Cadre stratégique sur la gestion de la conformité, Conseil du Trésor
• Politique sur la protection de la vie privée, Conseil du Trésor
• Directive sur la gestion des communications, Conseil du Trésor
• Directive sur l’évaluation des facteurs relatifs à la vie privée, Conseil du Trésor
• Directive sur le numéro d’assurance sociale, Conseil du Trésor
• Directive sur les demandes de renseignements personnels et de correction, Conseil du Trésor
• Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor
• Norme sur la protection de la vie privée et le Web analytique, Conseil du Trésor
• Lignes directrices sur les atteintes à la vie privée, Conseil du Trésor
• Avis – Avis de confidentialité, Conseil du Trésor
• DOAD 1002-0, Application de la Loi sur la protection des renseignements personnels

Autres références

• DOAD 1002-1, Demandes formulées en vertu de la Loi sur la protection des renseignements personnels et correction des renseignements personnels
• DOAD 1002-2, Demandes non officielles de renseignements personnels
• DOAD 1002-4, Gestion des incidents relatifs à la vie privée
• DOAD 1002-5, Évaluations des facteurs relatifs à la vie privée
• DOAD 1002-6, Divulgation de renseignements personnels
• DOAD 6001-0, Gestion de l’information
• DOAD 6001-1, Tenue de documents
• Ordonnances et directives de sécurité de la Défense nationale
• Architecture d’alignement des programmes
• Système de classification par sujet, de conservation et d’élimination des documents de la Défense
• Instructions sur la gestion des renseignements personnels (ébauche)
• Instruction sur les avis de confidentialité (ébauche)
• Info Source – Sources de renseignements du gouvernement fédéral et sur les fonctionnaires fédéraux