Réponse et plan d’action de la direction - Audit des pratiques en matière de gestion de la protection des renseignements personnels à Santé Canada et à l’Agence de la santé publique du Canada

Recommandation 1

La sous-ministre adjointe, Direction générale des services de gestion (DGSG), devrait renforcer les pratiques de gestion des risques de la direction générale en effectuant une évaluation des risques de l’Agence et du Ministère avec la rétroaction de toutes les directions générales.

La direction accepte la recommandation.

La direction continuera de s’appuyer sur les discussions ciblées qui ont lieu actuellement, ainsi que sur les rapports sur les risques liés à la protection des renseignements personnels qui sont produits par l’entremise des tableaux de bord trimestriels aux comités exécutifs de SC et de l’ASPC.

Les mesures prévues tiennent compte du fait que les cadres supérieurs et les hauts fonctionnaires des programmes qui traitent les renseignements personnels sont responsables de leur traitement conforme ^{Footnote 1}.

1.1 Développer et proposer une approche pour évaluer le risque au niveau de la direction générale.

4e trim. 2019-20

Division de la planification, de l’intégration et des services de gestion (DGISG)

1.2 Effectuer l’évaluation du risque au niveau de la direction générale.

1er/2e trim. 2020-21

DGISG et cadres supérieurs

1.3 Analyser les constatations et présenter les recommandations à la haute direction.

3e trim. 2020-21

DGISG

Recommandation 2

La sous-ministre adjointe de la DGSG, devrait surveiller et suivre les recommandations de la Division de la gestion de la protection des renseignements personnels (DGPRP) concernant les évaluations des facteurs relatifs à la vie privée et les protocoles de protection des renseignements personnels.

La direction accepte la recommandation.

Les mesures prévues tiennent compte du fait que les cadres supérieurs et les hauts fonctionnaires des programmes qui traitent les renseignements personnels sont responsables de leur traitement conforme. ^{Footnote 2}

2.1 Mettre en œuvre des démarches pour surveiller et signaler à la haute gestion le statut des recommandations des évaluations des facteurs relatifs à la vie privée et les protocoles de protection des renseignements personnels.

1er trim. 2020-21

DGISG

Recommandation 3

La sous-ministre adjointe, DGSG, devrait finaliser et mettre en œuvre le plan de mobilisation stratégique de la Division de la gestion de la protection des renseignements personnels (DGPRP), afin de mettre en œuvre intégralement sa stratégie de formation et de sensibilisation dans l’ensemble des deux organisations de façon stratégique et fondée sur les risques.

La direction accepte la recommandation.

Le plan de mobilisation stratégique est utilisé depuis décembre 2018 pour déterminer les secteurs présentant le risque le plus élevé. Il a par la suite permis à la DGPRP de prioriser son travail de mobilisation au niveau du Ministère et de l’Agence.

Les directions générales de SC et de l’Agence gèrent divers types et quantités de renseignements personnels en fonction de leur mandat; par conséquent, les mesures décrites seront priorisées en tenant compte des évaluations des risques propres aux directions générales.

3.1 Peaufiner et mettre en œuvre le plan de mobilisation stratégique basé sur les résultats de l’évaluation du risque de l’agence et du ministère.

3e trim. 2020-21

DGISG

Recommandation 4

La sous-ministre adjointe, DGSG, devrait veiller à ce que tout le personnel de la DGPRP ait suivi la formation de base sur l’analyse comparative fondée sur le sexe et le genre plus et évaluer si l’ACFSG+ peut être pertinente pour ses pratiques et outils opérationnels.

La direction accepte la recommandation.

4.1 Tout le personnel de la DGPRP qui n’a pas complété la formation sur l’ACFSG+ complétera le cours « Introduction à l’ACS + (B001).

3e trim. 2019-20

DGISG

4.2 Faire l’analyse de comment incorporer les considérations de l’ACFSG + aux pratiques et outils en matière de gestion de risques.

4e trim. 2019-20

DGISG