Accès à l’information et protection des renseignements personnels

Institution gouvernementale
Ministère de la Défense nationale

Fonctionnaire responsable de l’EFVP
Deirdra Finn, directeur
Direction – Accès à l’information et protection des renseignements personnels

Responsable de l’institution gouvernementale ou délégué aux termes de l’article 10 de la Loi sur la protection des renseignements personnels
Isabelle Daoust – Secrétaire générale

Description du programme ou de l’activité (tiré du cadre des résultats ministériels)

Services internes
On entend par Services internes les groupes d’activités et de ressources connexes que le gouvernement fédéral considère comme des services de soutien aux programmes ou qui sont requis pour respecter les obligations d’une organisation. Les services internes renvoient aux activités et aux ressources de 10 catégories de services distinctes qui soutiennent l’exécution des programmes au sein de l’organisation, sans égard au modèle de prestation des services internes du ministère. Les dix catégories de service sont : les services de gestion des acquisitions; les services de communication; les services de gestion financière; les services de gestion des ressources humaines; les services de gestion de l’information; les services de la technologie de l’information; les services juridiques; les services de gestion du matériel; les services de gestion et de surveillance; et les services de gestion des biens immobiliers.

Catégories de documents ordinaires ou de documents propres à l’institution

Acccès à l’information et protection des renseignements personnels : NDP 930
Sécurité : NDP 931

Fichiers ordinaires ou fichiers de renseignements personnels propres à l’institution

Demandes relatives à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels : POU 901
Incidents de sécurité et atteintes à la vie privée : POU 939

Pouvoirs conférés par la loi pour l’activité 

Le MDN et les FAC détiennent l’autorisation légale de recueillir des renseignements personnels pour les demandes présentées en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels, conformément à l’article 13 de la Loi sur la protection des renseignements personnels, aux articles 8 et 11 du Règlement sur la protection des renseignements personnels, aux articles 6 et 11 de la Loi sur l’accès à l’information et à l’article 4 du Règlement sur l’accès à l’information. L’autorité légale pour la gestion de la plage de la vie privée est dérivée de l’article 12 de la Loi sur la gestion des finances publiques.

Sommaire du projet / de l’initiative / du changement

La Direction de l’accès à l’information et de la protection des renseignements personnels (DAIPRP) du MDN a reconnu la nécessité d’évaluer les risques en matière de protection de la vie privée concernant ses propres activités de collecte de renseignements personnels, qui comprennent le traitement des demandes d’information reçues en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels, ainsi que la gestion des incidents liés à la protection de la vie privée. Par conséquent, la présente EFVP a été rédigée pour évaluer les risques d’atteinte à la vie privée liés à la collecte, l’utilisation, la protection, la conservation et la divulgation par la DAIPRP des renseignements personnels recueillis à l’appui de ces trois secteurs d’activité. De plus, cette EFVP a également analysé le cadre de gestion de la protection de la vie privée du MDN, y compris les politiques de protection de la vie privée existantes et les activités connexes qui relèvent de la responsabilité de la DAIPRP et qui sont requises ou recommandées par divers instruments de politique de protection de la vie privée du SCT.

La portée de l’EFVP consiste à évaluer les risques d’atteinte à la vie privée liés aux processus de collecte de renseignements personnels de la DAIPRP, plus précisément les éléments suivants :

• Traitement des demandes d’information formelles et informelles en vertu de la LAI
• Traitement des demandes d’information formelles et informelles en vertu de la Loi sur la protection de la vie privée
• Gestion des incidents liés à la protection de la vie privée
• Conformité de la DAIPRP à la Loi sur la protection des renseignements personnels et aux instruments de politique du SCT liés aux processus susmentionnés.
• Responsabilités de la DAIPRP en matière d’élaboration et de mise à disposition de politiques de protection de la vie privée et de sensibilisation       
• Responsabilités de la DAIPRP de fournir des conseils et une orientation aux secteurs de programme sur l’élaboration et la présentation d’EFVP au CPVP et au SCT

Les éléments suivants ne font pas partie de la portée :

• Demandes informelles en vertu de la Loi sur la protection des renseignements personnels qui sont soumises directement aux BPR du MDN/des FAC; la DAIPRP n’est pas consultée pour la réponse à ces demandes;
• Collecte, utilisation, entreposage et conservation des renseignements personnels par le personnel du MDN/des FAC autre que la DAIPRP, ainsi que par des tiers;
• Procédures et politiques relatives aux atteintes à la vie privée en dehors de la DAIPRP, en particulier les SSFC;
• Processus et conseils de la DAIPRP concernant les divulgations en vertu du paragraphe 8(2) de la Loi sur la protection des renseignements personnels;
• Le système d’information électronique sur la gestion des dossiers du personnel et des tuteurs (PERMIS) fait partiellement partie de la portée; le rôle d’accès et d’utilisation de la DAIPRP est défini ainsi que les procédures de gestion du rôle de l’utilisateur. Toutefois, une évaluation complète de ces systèmes ne fait pas partie de la portée.

Détermination et classification des secteurs de risque

Dans sa Directive sur l’évaluation des facteurs relatifs à la vie privée, le Conseil du Trésor a indiqué que l’évaluation des incidences sur la vie privée doit comprendre une section complète de détermination et de catégorisation des risques et rendre publiques ces évaluations des risques. Une cote de risque doit être attribuée à chaque domaine de risque nommé et décrit dans l’annexe C de la Directive sur l’évaluation des facteurs relatifs à la vie privée. L’échelle de risque numérotée est présentée en ordre croissant : le premier niveau (1) représente le plus faible niveau de risque possible pour le domaine de risque; le quatrième niveau (4) représente le plus haut niveau de risque possible pour le domaine de risque donné. Pour cette évaluation, les zones à risque et les niveaux de risque associés sont les suivants :

Secteur de risque	Niveau de risque
Type de programme ou d’activité Enquête sur la conformité ou enquête réglementaire, et application de la loi	3
Type de renseignements personnels concernés et contexte Le numéro d’assurance sociale, les renseignements personnels médicaux, financiers ou autres de nature délicate ou dont l’utilisation peut s’avérer délicate dans certains contextes; les renseignements personnels relatifs à des mineurs ou à des personnes légalement incapables, ou mettant en cause un représentant qui agit au nom de la personne.	3
Participation des partenaires et du secteur de la protection des renseignements personnels au programme ou à l’activité Organisations du secteur privé, organisations internationales ou gouvernements étrangers (pour la LAI et, dans une moindre mesure, les demandes de consultation relatives à la Loi sur la protection des renseignements personnels)	4
Durée du programme Programme à long terme ou activité n’ayant pas de date d’échéance précise	3
Population visée par le programme Le programme touche certaines personnes à des fins administratives externes.	3
Technologie et vie privée Aucun risque connexe n’a été déterminé.
Transmission des renseignements personnels Les renseignements personnels sont transmis à l’aide de technologies sans fil. Remarque : Le personnel de P et C dispose d’une capacité d’accès à distance par l’entremise des ordinateurs portables fournis par le travail qui sont connectés par VPN.	4
En cas de violation de la vie privée affectant le personnel Les renseignements recueillis par la DAIPRP sont liés aux demandes d’accès à l’information et de protection des renseignements personnels et aux violations de la vie privée. L’incidence possible d’une violation liée à ces informations pourrait être préjudiciable à la réputation d’une personne, puisque les dossiers comprennent généralement des dossiers militaires et des informations médicales. Ces atteintes à la réputation pourraient s’étendre aux préjudices financiers subis par les militaires en ce qui concerne leur service actuel ou leur futur emploi en dehors du MDN et des FAC.