Évaluation des facteurs relatifs à la vie privée pour les Services de soutien à la réinstallation du gouvernement du Canada

Introduction

L’évaluation des facteurs relatifs à la vie privée (EFVP) des Services de soutien à la réinstallation du gouvernement du Canada (SSRGC) énonce les mesures que le gouvernement du Canada a mises en place pour protéger les renseignements personnels des employés lorsqu’ils utilisent les SSRGC. L’EFVP évalue également les répercussions en matière de protection de la vie privée associées à l’utilisation d’un fournisseur de services externe afin de gérer les SSRGC au nom du gouvernement du Canada.

Contexte

Les SSRGC sont un programme visant à faciliter la réinstallation à de nouveaux lieux de travail des employés du gouvernement du Canada lorsqu’une telle réinstallation est nécessaire pour respecter les exigences opérationnelles du gouvernement.

Au début de l’année 2016, un nouveau processus d’approvisionnement a été lancé pour un fournisseur de services externes pouvant gérer toutes les activités liées à la réinstallation des fonctionnaires fédéraux. Le marché a été attribué en . Aux termes du marché, le fournisseur est responsable des activités suivantes :

  • la collecte de renseignements personnels auprès des employés;
  • la facturation des frais d’administration aux ministères;
  • la prestation d’avances aux employés;
  • le remboursement des reçus;
  • la préparation de rapports financiers;
  • le recouvrement des trop payés;
  • la préparation de rapports financiers pour les ministères et organismes.

Toutes les activités liées à la réinstallation des SSRGC sont gérées au moyen du Système de suivi des dépenses pour la gestion de l’information (SSDGI), qui est un système électronique sécurisé.

Exigences de l’EFVP

Conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée du Conseil du Trésor, les institutions doivent entreprendre des EFVP pour les programmes et les activités dans les situations suivantes :

  • lorsque des renseignements personnels sont utilisés ou qu’on prévoit les utiliser dans le cadre d’un processus décisionnel touchant directement une personne;
  • à la suite de modifications importantes aux programmes ou aux activités, lorsque des renseignements personnels sont utilisés ou qu’on prévoit les utiliser à des fins administratives;
  • lorsque la sous-traitance ou le transfert du programme ou de l’activité à un autre ordre de gouvernement ou au secteur privé constitue une modification importante au programme ou à l’activité.

Pourquoi cette EFVP a-t-elle été amorcée?

Avec l’attribution d’un nouveau marché pour l’administration des SSRGC, une EFVP a été recommandée afin de déterminer les risques liés à la protection de la vie privée et les stratégies d’atténuation des risques liés à la collecte, à l’utilisation et à la divulgation de renseignements personnels par l’entrepreneur. Même si aucune modification importante n’a été apportée aux SSRGC, la recommandation d’effectuer une EFVP a été formulée parce qu’aucune évaluation rigoureuse des facteurs relatifs à la vie privée du programme de réinstallation n’avait jamais été réalisée.

L’EFVP comporte l’analyse de la conformité relative à la protection de la vie privée à l’égard de la collecte, de l’utilisation et de la divulgation des renseignements personnels, ainsi que le traitement des renseignements personnels entre les ministères et l’entrepreneur. Un examen de la demande de proposition (DP), de l’énoncé des besoins (EB) et des dispositions contractuelles pour le processus d’approvisionnement a été compris dans l’examen de cette EFVP afin de déterminer les risques et de proposer des stratégies d’atténuation.

Une période de mise en œuvre de six mois a commencé à la date d’attribution du marché et prendra fin à la date d’entrée en vigueur des services (DEVS) prévue. Pendant cette période, l’entrepreneur doit s’assurer que les exigences propres à la DP, à l’EB et aux dispositions contractuelles sont respectées. Ces exigences comprennent, sans toutefois s’y limiter, les éléments suivants :

  • la collecte, l’utilisation et la protection des données, y compris les renseignements personnels;
  • les exigences en matière de sécurité administrative, physique et technique qui doivent être en place avant la DEVS.

Tout risque déterminé au moyen du processus d’EFVP devait être atténué (ou en voie d’être atténué) avant la DEVS.

Objectifs de l’EFVP

L’objectif global de l’EFVP est d’évaluer, de réduire et d’atténuer les risques possibles associés à la collecte et à l’utilisation de renseignements personnels dans le cadre de l’administration des SSRGC. Une analyse approfondie de tous les éléments des renseignements personnels a été réalisée afin de s’assurer que seules les personnes qui ont le « besoin de connaître » peuvent utiliser les données et y avoir accès.

Sommaire des constatations issues de l’EFVP et du plan d’action connexe

L’EFVP fournit une évaluation éclairée des risques relatifs à la vie privée associés à la collecte, à l’utilisation et à la divulgation des renseignements personnels liés aux SSRGC. De plus, elle présente des recommandations visant à atténuer les risques relatifs à la vie privée cernés à un niveau acceptable. Les recommandations sont les suivantes :

  • modifier le formulaire actuel de l’entrepreneur qui a pour titre « Entente et consentement à la cueillette de renseignements » et ajouter un script verbal pour la collecte de renseignements par téléphone;
  • modifier le fichier de renseignements personnels du gouvernement du Canada SCT POE 792 qui est propre aux institutions fédérales;
  • s’assurer que les lignes directrices régissant la conservation des renseignements personnels recueillis, utilisés ou divulgués sont fournies à l’entrepreneur avant la DEVS afin de veiller à la manipulation et à la disposition appropriée des renseignements personnels lorsque les périodes de conservation expirent, lorsque le travail qui comporte des renseignements personnels est achevé ou lorsque le marché s’achève ou prend fin;
  • réaliser une évaluation de la menace et des risques (EMR) relative au SSDGI avant la DEVS, conformément aux exigences du marché. Tout risque résiduel pour les renseignements personnels déterminé dans l’EMR devrait être reconnu et accepté par la direction du Secrétariat du Conseil du Trésor du Canada ou le haut fonctionnaire responsable du programme ou de l’activité et l’administrateur général ou l’autorité déléguée pour la Loi sur la protection des renseignements personnels, et mis à jour ultérieurement dans l’EFVP;
  • mettre en œuvre la formation sur la protection des renseignements personnels et la sécurité, ainsi que la sensibilisation à ces sujets, à l’intention de l’entrepreneur afin de s’assurer que tous les membres du personnel de l’entrepreneur qui ont accès aux renseignements personnels dans les SSRGC sont entièrement au courant de leurs obligations relatives à la collecte, à l’utilisation, à la divulgation, à la conservation et à la disposition de ces renseignements;
  • mettre en œuvre la formation sur la protection des renseignements personnels et la sécurité, ainsi que la sensibilisation à ces sujets, dans les ministères qui utilisent les SSRGC afin de s’assurer que tous les membres du personnel qui manipulent des renseignements personnels sont entièrement au courant de leurs obligations relatives à la collecte, à l’utilisation, à la divulgation et à la conservation ou à la disposition des renseignements liés aux SSRGC.

Une fois que les risques relatifs à la vie privée ont été entièrement atténués, les SSRGC présenteront vraisemblablement un risque minimal pour la vie privée des personnes qui utilisent ces services.

Détails de la page

Date de modification :