Audit de la protection des renseignements personnels du Secrétariat du Conseil du Trésor du Canada Bureau des réclamations

Sur cette page

Message aux dirigeants

Dans cette section

Le Bureau des réclamations du Secrétariat du Conseil du Trésor du Canada a établi et maintenu un cadre de gestion de la protection des renseignements personnels adéquat pour protéger la confidentialité des renseignements des demandeurs, y compris l’identification et l’atténuation des risques d’atteinte à la vie privée.

Des opportunités d’améliorer les pratiques de gestion de la protection des renseignements personnels ont été cernées afin de renforcer la protection des données des demandeurs. Ces opportunités comprennent :

  • offrir des informations complètes sur la façon dont le fichier de renseignements personnels (FRP) recueille les données médicales des demandeurs
  • élaborer des plans d’action
  • améliorer les mécanismes de suivi de tous les risques et recommandations liés aux évaluations des facteurs relatifs à la vie privée (ÉFVP)

De plus, une fois les litiges en cours réglés, le Bureau des réclamations devrait mettre en œuvre son plan d’élimination, avec des délais et des protocoles clairs.

Importance

Le Bureau des réclamations traite un grand volume de renseignements personnels sur les demandeurs afin de résoudre les réclamations. Il est donc essentiel de veiller à ce que ces renseignements soient bien protégés.

Objectif

Fournir une assurance sur le caractère adéquat des pratiques de gestion de la protection des renseignements personnels du Bureau des réclamations, y compris les mesures prises pour atténuer les risques identifiés dans les ÉFVP.

Portée

L’audit a porté sur la gestion des renseignements personnels des demandeurs par le Bureau des réclamations, les pratiques en matière de confidentialité, les contrôles informatiques et les mesures atténuant les risques moyens à élevés cernés dans d’autres évaluations liées à la confidentialité.

L’audit a exclu l’examen du processus de traitement des réclamations, la validité des décisions et l’utilisation des fonds pour le règlement des réclamations.

Aperçu des résultats

Dans cette section

Observations

  1. La description du FRP n’inclut pas la collecte de renseignements médicaux par le Bureau des réclamations.
  2. Le Bureau des réclamations a conservé les données de tous les demandeurs depuis sa création en raison de litiges en cours et de la complexité des différentes périodes de conservation. À l’issue de ces litiges, le Bureau des réclamations prévoit de mettre en œuvre des stratégies d’élimination des données.
  3. Aucune surveillance n’a été effectuée pour démontrer comment les recommandations du Bureau des réclamations en matière d’ÉFVP ont été prises en compte, traitées et mises en œuvre. Par exemple, quatre recommandations, dont deux portaient sur un risque élevé, n’ont pas été mises en œuvre et n’étaient pas accompagnées d’une justification documentée.

Considérations en matière de gestion

  1. Pour garantir la transparence, le Bureau des réclamations devrait envisager de mettre à jour la description en ligne des fonds du Programme du Bureau des réclamations afin de garantir qu’elle est exacte et complète, et qu’elle comprend une référence claire à la collecte de renseignements médicaux.
  2. Pour garantir la protection et la confidentialité des renseignements, une fois résolus tous les litiges et procédures juridiques, le Bureau des réclamations devrait envisager de revoir et éventuellement de réviser son plan d’élimination des renseignements personnels des demandeurs. Ce plan doit inclure des délais et des protocoles spécifiques conformes aux différentes périodes de conservation.
  3. Le Bureau des réclamations a examiné et intégré les recommandations antérieures de l’ÉFVP. Pour garantir un processus décisionnel transparent, le Bureau des réclamations devrait envisager de documenter la justification de toute recommandation non mise en œuvre.

Contexte

Le Bureau des réclamations a été mis en place par le gouvernement du Canada pour fournir des conseils et une approche cohérente dans la résolution des réclamations des employés actuels et anciens qui ont encouru des dépenses, qui ont subi une interruption des prestations gouvernementales, qui ont eu des répercussions sur leurs impôts de revenu et leurs prestations gouvernementales, ainsi que pour les réclamations de graves difficultés personnelles ou financières graves causées par le système de paye Phénix. Le Bureau des réclamations gère le processus de réclamation à l’échelle du gouvernement du Canada, conformément aux diverses ententes sur les dommages causés par le système de paye Phénix négociées entre le Secrétariat du Conseil du Trésor du Canada, en tant qu’employeur, et tous les agents négociateurs de l’administration publique centrale. Le Bureau des réclamations évalue les demandes et recommande des solutions qui doivent être mises en œuvre ou payées par le ministère dont le réclamant relève.

Importance de cet audit

Pour résoudre les réclamations, le Bureau des réclamations traite un grand volume de renseignements personnels sensibles des demandeurs. Ce processus implique des interactions avec plusieurs ministères et organismes, et c’est cela qui rend essentiel la protection des renseignements personnels des demandeurs. Cet audit a été lancé pour donner suite à une recommandation du Commissariat à la protection de la vie privée du Canada (CPVP) concernant les ÉFVP menées par le Bureau des réclamations.

Aperçu de l’audit

Voir l’annexe A pour plus de détails sur la portée et la méthodologie de l’audit. Voir l’annexe B pour plus de détails sur les domaines d’enquête et les critères d’audit qui les accompagnent.

Portée

  1. L’audit a porté sur la gestion des renseignements personnels des demandeurs par le Bureau des réclamations, les pratiques en matière de confidentialité, les contrôles informatiques et les mesures atténuant les risques moyens à élevés cernés dans les évaluations antérieures relatives à la confidentialité.
  2. L’audit a exclu l’examen du processus de traitement des réclamations, la validité des décisions et l’utilisation des fonds pour le règlement des réclamations.

Méthodologie

Cet audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne et comprenait l’examen et l’analyse de documents et d’entretiens ainsi que la mise à l’essai des contrôles.

Résultats

1. Pratiques de confidentialité : gouvernance

La Politique sur la protection de la vie privée du Conseil du Trésor fournit des directives aux institutions gouvernementales pour assurer le respect de la Loi sur la protection des renseignements personnels. Le Bureau des réclamations est censé appliquer la politique en fournissant des orientations claires sur les rôles et les responsabilités, en décrivant les pratiques standards de gestion des renseignements personnels et en garantissant une formation appropriée qui correspond aux attentes en matière de confidentialité.

Observations

Le Bureau des réclamations a démontré son engagement à protéger les renseignements personnels et sensibles grâce à la mise en œuvre efficace de pratiques de gestion de la protection des renseignements personnels. Voici quelques exemples notables :

  • Le Bureau des réclamations a établi des procédures opérationnelles standards pour le traitement des réclamations, décrivant les rôles et les responsabilités des demandeurs et du personnel.
  • Le Bureau des réclamations s’appuie sur les ÉFVP pour guider ses employés dans la gestion et le traitement quotidien des questions de confidentialité.
  • Un accord d’échange de renseignements est en place avec Services publics et Approvisionnement Canada pour assurer le respect de la Loi sur la protection des renseignements personnels en matière de protection des renseignements liés à la paie.
  • Lors de la collecte des données, le Bureau des réclamations a mis en œuvre des contrôles de données pour atténuer le risque d’erreurs dans la soumission des réclamations.
  • Des contrôles d’accès au système de gestion des relations avec les clients (GRC) ont été mis en place pour renforcer la protection de la vie privée.
  • Le Bureau des réclamations exige que tous les nouveaux employés suivent une formation sur la confidentialité et la sécurité et que tout le personnel suive un cours de remise à niveau annuel dans le cadre de leur entente sur la gestion du rendement.
Incidence

Un cadre de gouvernance efficace, assorti d’orientations claires sur les rôles et les responsabilités et d’une formation complète, atténue les risques d’atteinte à la vie privée et contribue à maintenir la confiance du public.

2. Pratiques de protection des renseignements personnels : collecte, stockage et élimination des données

En vertu de la Politique sur la protection de la vie privée et de la Directive sur les pratiques relatives à la protection de la vie privée, on s’attend à ce qui suit :

  • les renseignements personnels sont collectés légalement, stockés en toute sécurité et éliminés de manière responsable
  • la collecte de renseignements personnels est nécessaire et limitée
  • les personnes sont informées de leurs droits
  • l’accès aux renseignements est restreint
  • les méthodes d’élimination sont sécurisées, reflétant un engagement en faveur de la confidentialité tout au long du cycle de vie des renseignements
Observations
  • Le FRP décrit les renseignements personnels détenus par un ministère, garantissant la transparence, la confidentialité et la responsabilité dans la manière dont les données liées aux ressources humaines, aux voyages et aux services administratifs sont traitées.
  • La description des renseignements collectés et conservés à des fins d’indemnisation pour dommages (par exemple, SCT PCE 742 dans le FRP) ne comprenait pas les dossiers médicaux. Compte tenu du caractère sensible de ces renseignements, les demandeurs doivent être conscients de la manière dont ces renseignements sont collectés, utilisés et conservés.
  • Depuis sa création, le Bureau des réclamations n’a éliminé aucune donnée en raison de litiges en cours et de la complexité des différentes périodes de conservation. Compte tenu des exigences en matière de litiges en cours, il peut être nécessaire d’examiner et éventuellement de réviser les plans du Bureau des réclamations en matière de conservation et d’élimination des données des demandeurs.
Incidence

L’omission des renseignements médicaux du demandeur dans la description du FRP pourrait accroître les problèmes de transparence et le risque de non-conformité aux politiques et directives pertinentes.

3. Évaluation des risques d’atteinte à la vie privée

La Politique sur la protection de la vie privée attend des responsables des institutions qu’ils établissent des pratiques de protection et de gestion des renseignements personnels, notamment en effectuant des contrôles de conformité et en se conformant à la Loi sur la protection des renseignements personnels. Le CPVP et la Directive sur l’évaluation des facteurs relatifs à la vie privée exigent que les ministères effectuent des ÉFVP conformément à la Loi sur la protection des renseignements personnels dans le cadre de la gestion efficace des risques d’atteinte à la vie privée.

Observations
  • Le Bureau des réclamations a réalisé une première ÉFVP en 2017. À la suite de changements importants apportés au programme de réclamations pour dommages de Phénix, deux ÉFVP supplémentaires ont été réalisées en 2019 et 2021. Le fruit de ces efforts est reflété dans l’ÉFVP consolidé daté de septembre 2022.
  • Conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée, les organismes sont tenus de soumettre leurs rapports d’ÉFVP au CPVP. L’ÉFVP consolidée a été soumise le 4 mars 2024 au CPVP à des fins d’examen.
  • La plupart des 46 recommandations de l’ÉFVP ont été prises en compte :
    • 27 ont été entièrement mises en œuvre
    • 10 sont en cours de mise en œuvre ou partiellement mises en œuvre
    • 5 n’ont pas été mises en œuvre et la direction a accepté le risque accompagné d’une justification (1 porte sur un risque élevé, 2, sur un risque moyen et 2, sur un risque faible)
    • 4 n’ont pas été mises en œuvre et n’étaient pas accompagnées d’une justification documentée (2 portent sur un risque élevé, 1, sur un risque moyen et 1, sur un risque faible)
  • Des plans d’action ont été intégrés dans l’ÉFVP de 2019. Il n’y avait pas de plan d’action dans l’ÉFVP de 2017, l’ÉFVP de 2021 et l’ÉFVP consolidé de septembre 2022. Il y avait absence de traces ou de preuves de surveillance démontrant comment les recommandations, les risques et les préoccupations de l’ÉFVP ont été pris en compte, traités, et mis en œuvre.
Incidence

L’absence de plans d’action documentés et la mise en œuvre incomplète des recommandations de l’ÉFVP affaiblissent présentement l’efficacité des pratiques de gestion de la protection de renseignements personnels dans le processus de réclamation. L’établissement d’un système pour surveiller les risques d’atteinte à la vie privée et les recommandations issues des ÉFVP et d’autres évaluations renforcerait la mise en œuvre en temps opportun des stratégies d’atténuation et améliorerait la gestion et la surveillance globales des questions liées à la vie privée.

Voir l’annexe C pour plus de détails sur les domaines à prendre en compte par la direction et les réponses de la direction qui les accompagnent.

Annexe A : À propos de l’audit

Dans cette section

Pouvoir

Consultatif le Bureau des réclamations – Protection des renseignements personnels avait été identifié dans le Plan intégré d’audit et d’évaluation 2022-2023 du Secrétariat du Conseil du Trésor du Canada.

Déclaration de conformité

Cet audit a été réalisé conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Objectif et portée

L’objectif de l’audit était de fournir une assurance quant au caractère adéquat des pratiques de gestion de la protection de renseignements personnels du Bureau des réclamations, y compris les mesures prises pour atténuer les risques cernés dans les ÉFVP.

La portée de cet audit comprenait la gestion par le Bureau des réclamations des renseignements personnels des demandeurs, y compris ses pratiques en matière de protection des renseignements personnels et ses processus, outils et contrôles informatiques de soutien.

La portée comprenait également un examen des évaluations liées à la protection de la vie privée (telles que l’ÉFVP, l’évaluation des menaces et des risques, l’évaluation et l’autorisation de sécurité), et une plus grande attention a été accordée à l’évaluation de l’atténuation des risques et des enjeux de gravité moyenne ou élevée.

Exclusions

L’audit a exclu l’efficience et l’efficacité du traitement des réclamations et la validité des décisions relatives aux réclamations, ainsi que les dépenses engagées pour régler les réclamations.

Méthodologie

L’approche et la méthodologie d’audit étaient conformes aux Normes internationales pour la pratique professionnelle de l’audit interne. La méthodologie de cet audit comprenait, sans toutefois s’y limiter :

  • l’examen et l’analyse de la documentation, y compris l’analyse des évaluations liées à la protection de la vie privée;
  • des entrevues et des réponses écrites aux questions avec des partenaires clés, tels que le personnel du Bureau des réclamations, le bureau ministériel de l’Accès à l’information et protection des renseignements personnels et le personnel de la Direction de la gestion de l’information et de la technologie de l’information du Secrétariat du Conseil du Trésor du Canada (SCT) responsable de la sécurité des systèmes, de l’infrastructure et des opérations liées aux pratiques de confidentialité;
  • l’examen et la mise à l’essai des contrôles du système pour garantir la confidentialité des demandeurs (tels que le système de GRC et le portail des réclamations).

Compte tenu des exclusions décrites ci-dessus, et pour garantir le respect de la vie privée des demandeurs :

  • le traitement des réclamations individuelles n’a pas été mis à l’essai
  • une inspection sur place du Bureau des réclamations n’a pas été effectuée
  • les renseignements personnels des demandeurs n’ont pas été demandés, consultés ou collectés

Annexe B : Secteurs d’intérêt et critères d’audit correspondants

L’audit a porté sur le secteur d’intérêt suivant :

Secteur d’intérêt 1 : Le Bureau des réclamations mène ses activités en tenant dûment compte de la confidentialité des renseignements des demandeurs, y compris l’identification et à l’atténuation des risques liés à la protection des renseignements personnels.

Critère d’audit 1.1

Un cadre de contrôle de gestion efficace est en place pour garantir que les renseignements personnels des demandeurs sont gérés de manière adéquate, y compris leur collecte, leur stockage, leur protection, leur accès et leur élimination.

Critère d’audit 1.2

Les risques d’atteinte à la vie privée cernés dans les ÉFVP ou par d’autres moyens sont gérés et atténués efficacement.

Annexe C : Réponse de la direction

Dans cette section

Afin d’améliorer la protection et la gestion de la protection des données des demandeurs, plusieurs considérations importantes ont été cernées. Il est demandé à la direction de trouver une réponse et un plan d’action pour répondre à ces importantes considérations.

Étant donné que les observations ont été soumises à l’examen de la direction, la réponse et le plan d’action de celle-ci ne seront pas inclus dans le processus de suivi du Bureau de la vérification interne et de l’évaluation.

Considération de gestion 1 : collecte, stockage et élimination des données

Pour garantir la transparence, le Bureau des réclamations devrait envisager de mettre à jour la description en ligne des fonds du Programme du Bureau des réclamations afin de garantir qu’elle est exacte et complète, et qu’elle comprend une référence claire à la collecte de renseignements médicaux.

Réponse de la direction :

Acceptée.

Plan d’action de la direction :

En collaboration avec CSAM-AIPRP et les services juridiques du SCT, le Bureau des réclamations mettra à jour la description en ligne des fonds du programme pour inclure une référence claire à la collecte de renseignements médicaux relatifs aux réclamations pour conséquences graves.

Échéance :

Le 31 décembre 2024

Responsable :

Bureau de première responsabilité :

  • Bureau des réclamations

Autres intervenants :

  • CSAM-AIPRP
  • Service juridique du SCT
  • BDPRH-RERG
  • agents négociateurs, si nécessaire

Considération de gestion 2 : collecte, stockage et élimination des données

Pour garantir la protection et la confidentialité des renseignements, une fois résolus tous les litiges et procédures juridiques, le Bureau des réclamations devrait envisager de revoir et éventuellement de réviser son plan d’élimination des renseignements personnels des demandeurs. Ce plan doit inclure des délais et des protocoles spécifiques conformes aux différentes périodes de conservation.

Réponse de la direction :

Acceptée. Le Bureau des réclamations exerce ses activités en vertu de plusieurs autorisations légales, chacune ayant ses propres exigences minimales de conservation et de destruction. La conservation des demandes de réclamation est encore compliquée par les protocoles d’accord sur les dommages causés par Phénix. Les renseignements doivent également être conformes à plusieurs exigences de conservation en cas de litige à l’échelle du gouvernement. Le Bureau des réclamations dispose d’un plan de conservation et d’élimination des renseignements basés sur les types de renseignements collectés et utilisés dans le processus de réclamation.

Plan d’action de la direction :

Une fois le litige réglé, au cas par cas, le Bureau des réclamations examinera le protocole actuel de conservation et de destruction (et le mettra à jour en conséquence si nécessaire) et mettra en œuvre les périodes de conservation et d’élimination des renseignements personnels des demandeurs.

Échéance :

Dans les 90 jours suivant la notification officielle de l’achèvement du processus de litige.

Responsable :

Bureau de première responsabilité :

  • Bureau des réclamations

Autres intervenants :

  • CSAM-AIPRP
  • CPVP pour consultation

Considération de gestion 3 : gestion des risques d’atteinte à la vie privée

Le Bureau des réclamations a examiné et intégré les recommandations antérieures de l’ÉFVP. Pour garantir un processus décisionnel transparent, le Bureau des réclamations devrait envisager de documenter la justification de toute recommandation non mise en œuvre.

Réponse de la direction :

Acceptée. Dans le cadre des mises à jour des ÉFVP de 2017, 2019, 2021 et 2022, le Bureau des réclamations a examiné et évalué les recommandations proposées dans les versions précédentes de l’ÉFVP. Le Bureau des réclamations a consolidé ces renseignements et mis à jour la version suivante de l’ÉFVP, en fonction des circonstances actuelles, et après avoir examiné et défini les risques nouveaux et émergents, et élaboré et mis en œuvre des stratégies d’atténuation des risques présentées dans la nouvelle version de l’ÉFVP.

Plan d’action de la direction :

Le Bureau des réclamations a examiné et mis à jour l’ÉFVP consolidée de 2022 et l’a soumis au CPVP pour consultation et examen (mars 2024). Le Bureau des réclamations intégrera tous les commentaires reçus du CPVP. Le Bureau des réclamations documentera également les justifications de toute recommandation non mise en œuvre.

Échéance :

Le 31 décembre 2024

Responsable :

Bureau de première responsabilité :

  • Bureau des réclamations
  • CSAM-AIPRP

Autres intervenants (le cas échéant) :

  • CPVP pour consultation

© Sa Majesté le Roi du chef du Canada, représentée par le président du Conseil du Trésor, 2024,
[ISBN : 978-0-660-73520-7]

Détails de la page

Date de modification :