Projet conjoint d’audit et d’évaluation des pratiques en matière de protection de la vie privée au Sécretariat du Conseil du Trésor du Canada

Sur cette page

1. Introduction et autorité

Le Bureau de la vérification interne et de l’évaluation du Secrétariat du Conseil du Trésor du Canada (SCT) a réalisé un projet conjoint d’audit et d’évaluation des pratiques en matière de protection de la vie privée, une fonction du Bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP) du SCT. Le Bureau de la vérification interne et de l’évaluation a réalisé ce projet avec l’aide de Goss Gilroy Inc. et d’Ernst and Young s.r.l., à la demande du Bureau de l’AIPRP du SCT. L’évaluation et l’audit faisaient partie du Plan ministériel d’évaluation et du Plan d’audit axé sur les risques.

Figure 1. Sommaire de l’audit et de l’évaluation

L’importance de cet audit et de cette évaluation

Les Canadiens s’attendent à ce que le gouvernement respecte l’esprit et les exigences de la Loi sur la protection des renseignements personnels.

L’Unité des politiques sur la protection des renseignements personnels a été mise sur pied afin d’aider le SCT à répondre à ces exigences.

L’Unité des politiques sur la protection des renseignements personnels a mis en place des processus visant à répondre aux exigences en matière de protection de la vie privée et a réalisé des progrès importants en vue de l’atteinte des résultats escomptés.

Résultats et recommandations

Le niveau de connaissance et de compréhension des questions relatives à la protection de la vie privée est proportionnel au niveau de participation antérieur d’un secteur aux activités de mobilisation sur le sujet.
Ce que nous recommandons

Élaborer un plan de sensibilisation et de mobilisation qui comprend des mécanismes de surveillance. 

Communiquer les exigences en matière de protection de la vie privée aux secteurs qui ne participent pas régulièrement à des activités sur le sujet.

Poursuivre la formation auprès des secteurs qui ont besoin de connaissances plus approfondies ou spécialisées.

Les outils et les processus d’évaluation des facteurs relatifs à la vie privée n’intègrent pas la protection des renseignements personnels dans la culture ou le processus décisionnel du secteur.
Ce que nous recommandons

Réexaminer la conception et la mise en œuvre des procédures d’évaluation des facteurs relatifs à la vie privée, en consultation avec la Division des politiques de l’information et de la protection des renseignements personnels du Bureau du dirigeant principal de l’information.

Il n’y a pas suffisamment de ressources pour répondre aux exigences changeantes relatives aux activités du SCT.
Ce que nous recommandons

Compléter l’analyse de rentabilisation avec un plan des ressources humaines afin de déterminer les ressources, les compétences et les habilités nécessaires pour soutenir la charge de travail actuelle et les exigences futures.

Réponse de la direction

Le SCT a élaboré une réponse et un plan d’action de la direction, qui sont présentés à l’annexe A.

2. Renseignements généraux sur le programme et contexte

Protection des renseignements personnels au gouvernement du Canada

La Loi sur la protection des renseignements personnels du Canada est entrée en vigueur en 1983Voir la note en bas de page 1. Elle a pour objet de « compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d’accès des individus aux renseignements personnels qui les concernentVoir la note en bas de page 2 ». Il est interdit aux institutions du gouvernement de recueillir des renseignements personnels, à moins que ces renseignements se rapportent directement à l’exécution d’un programme ou d’une activité pour lequel l’institution a une autorisation du Parlement.

Selon l’article 3 de la Loi sur la protection des renseignements personnels, « renseignements personnels » s’entend des « renseignements, quels que soient leur forme et leur support, concernant une personne identifiable ». La race, l’âge, les renseignements médicaux et les renseignements financiers d’une personne et la correspondance de celle-ci avec le gouvernement sont des exemples de renseignements personnels. La Loi sur la protection des renseignements personnels comprend des instructions à l’intention des institutions sur la collecte, le droit de correction, la conservation, l’usage, la communication et le retrait des renseignements personnels qui relèvent d’elles.

Gestion des renseignements personnels au SCT

Par le passé, le SCT a recueilli des renseignements personnels dans le cadre de son rôle d’employeur. Parmi les renseignements recueillis, mentionnons ceux concernant les fonctionnaires obtenus dans le cadre d’activités des ressources humaines et de gestion des personnes. Au cours des dernières années, cependant, le travail du SCT à cet égard s’est élargi pour comprendre des activités de sensibilisation et de mobilisation, par exemple au moyen de sondages, de forums et des médias sociaux. Ces activités découlent de l’engagement du gouvernement envers le gouvernement ouvert et l’accroissement de l’accès numérique aux données du gouvernement. Elles ont donné lieu à une augmentation considérable des renseignements personnels recueillis concernant les employés de la fonction publique et le public canadien.

L’Unité des politiques sur la protection des renseignements personnels :

  • est dirigée par le directeur du Bureau de l’AIPRP, qui est responsable des activités ministérielles relatives à l’accès à l’information et à la protection des renseignements personnels;
  • relève du Secteur des communications stratégiques et des affaires ministérielles.

La Division des politiques de l’information et de la protection des renseignements personnels :

  • est un centre de politiques sur les pratiques en matière de protection des renseignements personnels et d’accès à l’information;
  • relève du Bureau du dirigeant principal de l’information;
  • fournit des conseils et un soutien à d’autres institutions gouvernementales sur des questions qui concernent l’accès à l’information, la protection des renseignements personnels et les initiatives de communication proactive.

La Division des politiques de l’information et de la protection des renseignements personnels participe également à la surveillance de la conformité institutionnelle prévue par la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels.

Activités du programme

L’Unité des politiques sur la protection des renseignements personnels offre un éventail de services, notamment les suivants :

  • des conseils sur les évaluations des facteurs relatifs à la vie privée, les atteintes à la vie privée et les déclarations d’avis de confidentialité;
  • l’examen des documents;
  • des consultations internes;
  • des activités et des événements de formation et de sensibilisation.

Se reporter à l’annexe B pour obtenir les définitions des services susmentionnés.

Rôles et responsabilités

L’Unité des politiques sur la protection des renseignements personnels gère la protection des renseignements personnels au moyen d’un ensemble d’instruments de politique, notamment les suivants :

  • la Politique sur la protection de la vie privée;
  • la Directive sur les pratiques relatives à la protection de la vie privée;
  • les Lignes directrices sur les atteintes à la vie privée;
  • le Guide de gestion des atteintes à la vie privée.

L’Unité des politiques sur la protection des renseignements personnels est un organe consultatif plutôt qu’un organe de surveillance.

Les parties suivantes jouent également un rôle dans la gestion des renseignements personnels au sein du SCT.

  • Le Commissariat à la protection de la vie privée du Canada :
    • examine la conformité et le respect des principes énoncés dans la Loi sur la protection des renseignements personnels;
    • formule des recommandations à la suite des examens ou des enquêtes.
  • Le secrétaire et/ou les représentants délégués au SCT :
    • tiennent le commissaire à la protection de la vie privée informé des initiatives prévues;
    • établissent des protocoles de protection de la vie privée à des fins non administratives;
    • assurent une surveillance de la conformité et produit des rapports sur la conformitéVoir la note en bas de page 3.
  • Les cadres supérieurs des programmes (chefs de secteur ou de direction) :
    • sont responsables de gérer les renseignements qu’ils recueillent, utilisent et communiquent;
    • doivent se conformer aux exigences en matière de protection de la vie privéeVoir la note en bas de page 4.

Les Services juridiques sont mobilisés lorsque le programme ou l’activité est peu clair ou lorsque d’éventuelles questions concernant la Charte canadienne des droits et libertés sont soulevéesVoir la note en bas de page 5.

Partenaires fonctionnels

Les partenaires fonctionnels mettent leur expertise au service de l’Unité des politiques sur la protection des renseignements personnels et collaborent souvent avec cette dernière pour répondre aux besoins des clients lorsque, par exemple, ils prévoient effectuer une évaluation des facteurs relatifs à la vie privée ou doivent prendre des mesures relativement à une atteinte à la vie privée. La liste des partenaires fonctionnels et de leurs responsabilités présentée ci-dessous n’est pas exhaustive, mais donnent une idée des rapports qui existent entre les partenaires.

  • Les Services juridiques sont responsables de la formulation de conseils juridiques stratégiques.
  • Les Services de sécurité sont responsables du marquage et de la classification des documents, de la protection des renseignements de niveaux « Protégé » et « Classifié » et de la gestion des biens.
  • L’Unité de la gestion de l’information, de la technologie de l’information et des télécommunications est responsable de la conservation et de l’élimination des autorisations.
  • L’Unité d’approvisionnement et acquisitions est responsable de l’achat des biens et des services.
  • Le Secteur des communications et des services ministériels est responsable de la fourniture de conseils et de documents d’orientation sur les médias sociaux et de l’élaboration des infocapsules.

3. À propos du projet conjoint d’audit et d’évaluation

3.1 Objectifs

L’évaluation visait l’efficacité des pratiques en matière de protection de la vie privée au SCT. La pertinence n’était pas incluse, car le SCT a l’obligation légale de mettre en œuvre la Loi sur la protection des renseignements personnels. L’audit avait pour objectif d’évaluer le caractère adéquat et l’efficacité des pratiques et des contrôles en matière de protection de la vie privée pour ce qui est d’appuyer les priorités du SCT.

3.2 Portée

Le projet conjoint d’audit et d’évaluation vise la période d’ à . Certains documents et données remontant à l’exercice 2013 à 2014 ont été examinés afin de fournir un contexte sur la maturité du programme, et l’équipe a reçu jusqu’en des renseignements supplémentaires qui ont été pris en compte dans les analyses.

Le projet conjoint d’audit et d’évaluation ne portait pas sur les éléments suivants :

  • les technologies de l’information – l’accès au réseau, les évaluations de sécurité et les protocoles d’autorisation;
  • la gestion de l’information – les autorisations de conservation et de retrait des renseignements personnels;
  • le marquage et la classification des documents;
  • le rôle d’organisme central du SCT et les activités de la Division des politiques de l’information et de la protection des renseignements personnels.

3.3 Méthodologie

Les sources de données utilisées pour orienter les résultats du projet conjoint étaient proportionnelles au risque et à l’importance du programme et comprenaient :

  • un examen des documents du programme;
  • une analyse documentaire qui portait sur la protection de la vie privée et son application au gouvernement;
  • un examen des données administratives, y compris les essais;
  • des entrevues avec les principaux intervenants.

Un sondage auprès des employés n’a pas été réalisé en raison de la faible importance de ce projet conjoint d’audit et d’évaluation. Un sondage aurait été une méthode efficace pour évaluer entièrement le niveau de compréhension et de connaissance, mais les nombreuses sources de données consultées ont permis d’atténuer les effets de cette limite.

En effectuant l’audit et l’évaluation conjointement, l’équipe a profité des possibilités de réduire le dédoublement des efforts. Bien que les entrevues aient été menées conjointement, l’analyse a été effectuée séparément par les évaluateurs et les auditeurs, qui se sont par la suite réunis pour formuler conjointement des conclusions et des recommandations.

3.4 Énoncé de conformité

Le projet conjoint d’audit et d’évaluation des pratiques en matière de protection de la vie privée a été entrepris conformément :

  • à la Politique sur les résultats et à la Politique sur l’audit interne du Conseil du Trésor;
  • aux normes professionnelles relatives à l’évaluation et à l’audit interne.

L’équipe chargée du programme d’assurance et d’amélioration de la qualité du Bureau de la vérification interne et de l’évaluation a soutenu la production de rapports.

4. Résultats attendus et critères d’audit

L’évaluation a permis d’évaluer la mesure dans laquelle les résultats mentionnés ci-après ont été obtenus par l’Unité des politiques sur la protection des renseignements personnels.

Résultats immédiats

  • Les employés, les gestionnaires et les chefs de secteur comprennent leurs rôles et responsabilités à l’égard de la protection de la vie privée.
  • Les employés, les gestionnaires et les chefs de secteur connaissent les risques d’atteinte à la vie privée et les répercussions des atteintes à la vie privée.

Résultat à moyen terme

  • Les employés, les gestionnaires et les chefs de secteur tiennent compte des risques d’atteinte à la vie privée lors de la prise de décisions.

Résultat à long terme

  • La sensibilisation à la protection de la vie privée fait partie intégrante de la culture organisationnelle.

L’audit portait sur la gouvernance, la gestion des risques et les contrôles. En ce qui concerne le travail réalisé par l’Unité des politiques sur la protection des renseignements personnels, les critères suivants ont été examinés :

  • les rôles, les responsabilités et les obligations redditionnelles;
  • la planification des ressources et de la relève;
  • la formation et la sensibilisation;
  • le processus d’évaluation des facteurs relatifs à la vie privée;
  • le processus de gestion des atteintes à la vie privée;
  • les outils de prise de décisions.

Se reporter à l’annexe C pour obtenir :

  • une comparaison des questions et des conclusions de l’évaluation et des critères et conclusions de l’audit;
  • les éléments particuliers du modèle logique du Bureau de l’AIPRP qui ont été examinés dans le cadre de l’audit et de l’évaluation.

5. Résultats du projet conjoint d’audit et d’évaluation

5.1 Sensibilisation à la protection des renseignements personnels

Résultats escomptés : Les employés, les gestionnaires et les chefs de secteur comprennent et connaissent leurs rôles et responsabilités à l’égard de la protection de la vie privée.

Conclusion : le niveau de connaissance et de compréhension des exigences en matière de protection de la vie privée varie d’un secteur à l’autre au SCT et dépend de la mesure dans laquelle le secteur a participé à des activités à ce sujet.

5.1.1 Pourquoi est-ce important?

Le manque de connaissance et de compréhension des exigences en matière de protection de la vie privée et des rôles et responsabilités connexes peut :

  • contribuer à une collecte, un usage, une communication, une conservation ou un retrait inapproprié ou non autorisé de renseignements personnels;
  • entraîner une utilisation non nécessaire de ressources dans le cas de communications excessives.

5.1.2 Recommandation

L’Unité des politiques sur la protection des renseignements personnels devrait :

  • élaborer un plan officiel de sensibilisation et de mobilisation;
  • mettre en place des mécanismes pour surveiller l’efficacité du plan;
  • accroître ses efforts de promotion afin de veiller à ce que :
    • les exigences en matière de protection de la vie privée soient communiquées aux secteurs qui ne participent pas régulièrement à des initiatives de protection de la vie privée;
    • la formation continue soit offerte aux secteurs qui ont besoin de connaissances plus approfondies ou spécialisées.

5.1.3 Constatations

Cadre de gestion des renseignements personnels

Le SCT a créé un cadre de gestion des renseignements personnels qu’il a affiché sur son InfoSite. L’InfoSite est uniquement accessible aux employés du SCT. Ce cadre appuie les pratiques du SCT en ce qui concerne la création, la collecte, la conservation, l’usage, la communication, le retrait et l’exactitude des renseignements personnels dont il est responsable. Le cadre comprend les documents d’orientation suivants :

  • Code de principes en matière de protection des renseignements personnels;
  • Guide de gestion des atteintes à la vie privée;
  • Formulaire de rapport interne sur les atteintes à la vie privée;
  • Cadre d’évaluation des facteurs relatifs à la vie privée;
  • Liste de vérification interne de l’évaluation des facteurs relatifs à la vie privée.

Ces documents d’orientation tiennent compte des éléments clés de la protection de la vie privée prévus par la Loi sur la protection des renseignements personnels et les politiques et directives connexes. Les rôles et les responsabilités, ainsi que les procédures et les protocoles relatifs aux pratiques en matière de protection de la vie privée sont bien définis et consignés par écrit.

Compréhension et connaissance des exigences en matière de protection de la vie privée, y compris les atteintes à la vie privée

Les résultats des entrevues ont montré que le niveau de compréhension des rôles et des responsabilités en ce qui a trait à la protection de la vie privée varie selon le niveau de participation aux activités liées à la protection de la vie privée.

Selon les données administratives, la majorité des secteurs du SCT ont communiqué avec l’Unité des politiques sur la protection des renseignements personnels à un moment donné pendant la période visée (de 2013 à 2018). La figure 2 indique le nombre de services liés à la protection de la vie privée reçus par chacun des secteurs du SCT. Bien qu’une grande partie des secteurs du SCT ait fait appel à quelques occasions à l’Unité des politiques sur la protection des renseignements personnels, environ le tiers d’entre eux y ont eu recours plus régulièrement. Les données du programme sont conformes aux résultats de l’entrevue, selon lesquels le niveau de connaissance varie d’un secteur à l’autre de l’organisation.

Figure 2. Nombre de services liés à la protection de la vie privée fournis par l’Unité des politiques sur la protection des renseignements personnels aux secteurs du SCTVoir la note en bas de page 6 et nombre d’atteintes à la vie privée signalées par les secteurs
Nombre de services liés à la protection de la vie privée fournis par l’Unité des politiques sur la protection des renseignements personnels aux secteurs du SCT  et nombre d’atteintes à la vie privée signalées par les secteurs. Version textuelle ci-dessous:
Figure 2 - Version textuelle

La figure 2 est composée d’un diagramme en barres qui indique le nombre de services liés à la protection de la vie privée fournis à chaque secteur et de points qui indiquent le nombre d’atteintes à la vie privée signalées par chaque secteur.

Nombre de services liés à la protection de la vie privée fournis par l’Unité des politiques sur la protection des renseignements personnels aux secteurs du SCTVoir la note en bas de page 6 et nombre d’atteintes à la vie privée signalées par les secteurs.
Secteur Nombre de services liés à la  protection de la vie privée fournis par l’Unité des politiques sur la protection des renseignements personnels Nombre d’atteintes à la vie privée signalées
Communications stratégiques et affaires ministérielles 56 0
Bureau du dirigeant principal de l’information 43 3
Secteur des services ministériels 36 0
Bureau de la dirigeante principale des ressources humaines 33 3
Bureau du contrôleur général 17 1
Bureau de la vérification interne et de l’évaluation 17 0
Division des ressources humaines 14 2
Secteur des priorités et de la planification 12 0
Secteur de la gestion des dépenses 6 1
Secteur des programmes économiques 3 0
Secteur des programmes sociaux et culturels 2 0
Secteur des affaires réglementaires 2 0
Secteur des affaires internationales, de la sécurité et de la justice 2 0
Secteur des opérations gouvernementales 2 0
Bureau du Secrétaire 1 0
Bureau du Secrétaire associé 1 0
Bureau de la sous-ministre d’accessibilité de la fonction publique 0 0
Services juridiques 0 0
Centre pour un gouvernement vert 0 0
Service numérique canadien 0 0

La figure 2 comprend également les secteurs qui ont signalé des atteintes à la vie privée. Les données du programme cadrent avec les résultats des entrevues sur le niveau de connaissance, lesquelles ont indiqué que le niveau de connaissance des exigences relatives à la protection de la vie privée s’est accru après que les employés ont fait appel à l’Unité des politiques sur la protection des renseignements personnels pour cerner un problème lié à la vie privée, l’évaluer et prendre les mesures nécessaires.

De l’exercice 2016 à 2017 à l’exercice 2017 à 2018, 10 atteintes à la vie privée ont été signalées au sein du SCT. Jusqu’à aujourd’hui, les atteintes à la vie privée ont été signalées comme étant :

  • une atteinte non intentionnelle;
  • le résultat d’une erreur humaine ou technologique.

Au terme d’un examen, l’Unité des politiques sur la protection des renseignements personnels a déterminé qu’il s’agissait de 10 atteintes à la vie privée non substantielles.

L’Unité des politiques sur la protection des renseignements personnels croit que ces atteintes au SCT sont surdéclarées. Toutefois, comme l’ont fait remarquer certains employés interrogés, il est difficile de déterminer si la surdéclaration découle d’un manque de compréhension ou si elle indique une aversion au risque. Un manque de compréhension des exigences en matière de protection de la vie privée rend la sous-déclaration ou la surdéclaration des atteintes plus probables.

Sensibilisation et mobilisation, y compris la formation

Une grande partie des activités quotidiennes de l’Unité des politiques sur la protection des renseignements personnels vise la prestation de conseils aux secteurs. Le personnel de l’Unité estime qu’il passe le quart de son temps à effectuer des examens et des consultations liés aux besoins en matière de protection de la vie privée de divers secteurs.

Le personnel estime qu’un autre 5 % de son temps est consacré à donner des présentations pour mieux sensibiliser les employés du SCT à cet égard. Les présentations sont données à la demande d’un secteur ou en réponse à une atteinte à la vie privée. Par exemple, tous les cadres supérieurs du SCT ont été appelés à participer à une présentation générale sur la gestion des renseignements personnels afin d’accroître leur niveau de connaissance des exigences et de soutenir une saine gestion à cet égard dans l’ensemble de l’organisation.

On estime que 10 % du temps des employés est consacré à l’élaboration d’outils à utiliser au SCT. Ces outils sont affichés sur l’InfoSite du SCT, qui n’est accessible qu’aux employés du SCT.

Presque tous les employés interrogés estiment qu’ils ont reçu un excellent service lorsqu’ils ont fait appel à l’Unité des politiques sur la protection des renseignements personnels. La Division des politiques de l’information et de la protection des renseignements personnels du Bureau du dirigeant principal de l’information et les ministères et organismes ont souvent recours à l’Unité pour obtenir des conseils d’expert sur la conception et la prestation des services de protection de la vie privée au gouvernement fédéral. Les employés interrogés ont également mentionné le réseau officieux que l’Unité a établi avec ses partenaires fonctionnels et qui a permis d’assurer, au besoin, la tenue de consultations sur les problèmes éventuels liés à la protection de la vie privée.

Certes, des activités de sensibilisation et de mobilisation ont été organisées, mais l’Unité des politiques sur la protection des renseignements personnels reconnaît que davantage de sensibilisation est nécessaire, d’après ce qu’elle a appris lors d’activités de réseautage au sein du SCT et d’autres fonctions d’AIPRP au gouvernement.

Selon les principes généralement reconnus en matière de protection des renseignements personnelsVoir la note en bas de page 7, donner tous les ans une formation sur la protection des renseignements personnels à tous les employés fait partie des pratiques exemplaires. Le SCT ne dispose pas actuellement d’un tel calendrier de formation.

Selon les employés interrogés, il est possible d’améliorer les connaissances :

  • en donnant périodiquement des présentations adaptées sur la protection de la vie privée à de petits groupes afin d’entretenir les discussions à ce sujet;
  • en créant des rappels quotidiens qui intègrent la protection de la vie privée aux activités de tous les jours.

5.2 Capacité à soutenir la prise de décisions et à intégrer la protection de la vie privée à la culture du SCT

Résultat escompté : les employés, les gestionnaires et les chefs de secteur tiennent compte des risques d’atteinte à la vie privée lors de la prise de décisions, et la protection de la vie privée fait partie intégrante de la culture organisationnelle

Conclusion : des améliorations peuvent être apportées au processus et aux outils d’évaluation des facteurs relatifs à la vie privée afin de cerner et de gérer les risques d’atteinte à la vie privée et d’en faire rapport efficacement.

5.2.1 Pourquoi est-ce important?

Il se peut que les risques et les répercussions liés à la protection des renseignements personnels ne soient pas entièrement pris en compte lorsqu’on envisage de mettre en place une activité ou un programme, nouveau ou modifié, et mettant en cause des renseignements personnels, ce qui pourrait donner lieu à une collecte, une conservation, un usage ou une communication inapproprié de ces renseignements et, ainsi, entraîner une atteinte à la vie privée.

Étant donné qu’il n’y a pas de surveillance des risques d’atteinte à la vie privée ni de stratégies d’atténuation, il n’y a aucun moyen de déterminer objectivement si les risques liés à la vie privée sont sous-déclarés ou surdéclarés, ce qui nuit à la capacité de la direction à prendre des décisions éclairées.

Les Canadiens s’attendent à ce que le gouvernement protège leurs renseignements personnels en respectant l’esprit et les exigences de la Loi sur la protection des renseignements personnels. Il est essentiel de répondre à ces attentes pour conserver la confiance du public.

5.2.2 Recommandation

L’Unité des politiques sur la protection des renseignements personnels devrait réexaminer la conception et la mise en œuvre de ses procédures d’évaluation des facteurs relatifs à la vie privée, en consultation avec la Division des politiques de l’information et de la protection des renseignements personnels du Bureau du dirigeant principal de l’information.

5.2.3 Constatations

Processus d’évaluation des facteurs relatifs à la vie privée

L’examen des documents et des données a indiqué que le Cadre d’évaluation des facteurs relatifs à la protection de la vie privée de l’Unité des politiques sur la protection des renseignements personnels contient les éléments clés énumérés dans la Directive sur l’évaluation des facteurs relatifs à la vie privée du Conseil du Trésor.

Les évaluations des facteurs relatifs à la vie privée n’ont cependant pas été achevées au moment opportun. Selon les résultats de l’entrevue, la plupart d’entre elles n’ont pas été achevées avant la mise en place du nouveau programme ou avant que les modifications ne soient apportées au programme comme l’exige la Directive sur l’évaluation des facteurs relatifs à la vie privée. En moyenne, il faut 3,5 années pour effectuer une évaluation des facteurs relatifs à la vie privée au SCTVoir la note en bas de page 8. Bien que la Loi sur la protection des renseignements personnels ou les instruments de politique connexes ne prévoient pas de délai fixe à cet égard, la Directive sur l’évaluation des facteurs relatifs à la vie privée exige que le processus d’élaboration et d’approbation des évaluations des facteurs relatifs à la vie privée soit proportionnel au niveau de risqueVoir la note en bas de page 9. Les longs délais associés à la réalisation d’une évaluation des facteurs relatifs à la vie privée peuvent accroître le risque qu’un projet ne soit pas réalisé dans les délais prévus. La figure 3 montre le temps qui a été nécessaire pour effectuer les évaluations des facteurs relatifs à la vie privée, par projet et par secteur.

Figure 3. Durée des évaluations des facteurs relatifs à la vie privée par secteur et projet du SCT
Durée des évaluations des facteurs relatifs à la vie privée par secteur et projet du SCT. Version textuelle ci-dessous:

Source : Outil de suivi des politiques sur la protection de la vie privée

Figure 3 - Version textuelle

La figure 3 est un diagramme complexe qui indique :

  • des secteurs et projets particuliers;
  • la durée d’une évaluation des facteurs relatifs à la vie privée liés à un projet;
  • si une évaluation des facteurs relatifs à la vie privée donnée est en cours (au 10 ).
Durée des évaluations des facteurs relatifs à la vie privée par secteur et projet du SCT
Secteur Projet Durée de l’évaluation des facteurs relatifs à la vie privée Évaluation terminée ou en cours
(au 10 )
Secteur des services ministériels Processus lié aux réclamations des frais engagés à cause de Phénix 7 mois Terminé
Solution de transformation de la gestion des finances et du matériel 8 mois En cours
Bureau de la dirigeante principale des ressources humaines MesRHGC 49 mois En cours
Campagne de charité en milieu de travail du gouvernement du Canada 46 mois En cours
Disposition d’allègement pour personnes à faible revenu 34 mois En cours
Programme de réinstallation 11 mois Terminé
Bureau du dirigeant principal de l’information Nuage de talents 14 mois Terminé
Service de demande d’AIPRP en ligne 10 mois Terminé
Communications stratégiques et affaires ministérielles Utilisation commune des comptes officiels sur les médias sociaux 43 mois En cours

Les employés interrogés ont mentionné que certains secteurs avaient des connaissances limitées des risques d’atteinte à la vie privée, ce qui peut retarder la détermination des exigences relatives à l’évaluation des facteurs relatifs à la vie privée, et que le fardeau administratif qu’impose le processus connexe (autrement dit, le processus rigoureux et nécessitant beaucoup de personnel, dans le cadre duquel il faut souvent retenir les services de consultants externes) empêchait la réalisation rapide de ces évaluations.

Les employés interrogés ont souligné trois façons d’améliorer l’efficacité du processus d’évaluation des facteurs relatifs à la vie privée.

  1. Le SCT devrait regrouper, dans la mesure du possible, les évaluations des risques de tous les partenaires fonctionnels (par exemple, protection de la vie privée, gestion de l’information et technologie de l’information, sécurité). Actuellement, ces évaluations sont gérées en vase clos. Une évaluation d’ensemble, gérée par l’entremise d’un guichet unique :
    • pourrait permettre d’identifier systématiquement les partenaires fonctionnels nécessaires à l’étape de conception;
    • éviterait que des partenaires clés soient omis par inadvertance et donnerait l’assurance que les risques font l’objet d’une surveillance une fois que le projet a été mis en œuvre.
  2. Le SCT devrait réexaminer le gabarit d’évaluation des facteurs relatifs à la vie privée afin de réduire la complexité de l’évaluation et le temps qu’il faut pour la réaliser. Les exemples suivants montrent que l’écart entre les exigences en matière de protection de la vie privée et les besoins liés aux initiatives Agile peut être comblé même si la loi est désuète et qu’elle ne relève pas du contrôle de l’Unité des politiques sur la protection des renseignements personnels :
    • l’équipe chargée du nuage de talents est en train d’effectuer une évaluation des facteurs relatifs à la vie privée par étapes afin de répondre aux exigences liées à la vie privée dans un délai plus court;
    • le Service numérique canadien a créé un cadre et un outil en ligne qui tiennent compte de façon proactive des principales variables de la protection de la vie privée qui ont des répercussions sur les utilisateurs lorsqu’ils effectuent une recherche et mettent à l’essai des produits.
  3. Le SCT devrait créer une évaluation annotée des facteurs relatifs à la vie privée comme guide afin d’apporter des précisions sur les rôles et responsabilités et le processus pertinents.
Processus de gestion des atteintes à la vie privée

Le Guide de gestion des atteintes à la vie privée du SCT :

  • expose les processus et protocoles;
  • définit les rôles et responsabilités clés en ce qui concerne la gestion des atteintes à la vie privée;
  • tient compte des éléments clés des Lignes directrices sur les atteintes à la vie privée pangouvernementales et de la Trousse d’outils pour la gestion des atteintes à la vie privée.

Les rapports d’atteinte à la vie privée de l’échantillon étaient complets et conformes aux Lignes directrices sur les atteintes à la vie privée pangouvernementales et à la Trousse d’outils pour la gestion des atteintes à la vie privée. Les représentants des secteurs concernés par les atteintes ont indiqué que les services fournis par l’Unité des politiques sur la protection des renseignements personnels étaient efficaces et efficients.

Permettre à la direction d’être informée des risques d’atteinte à la vie privée et de l’exposition aux risques aux fins de la prise de décisions

L’analyse documentaireVoir la note en bas de page 10, qui comprenait les pratiques exemplaires, a montré que trois mesures donnent lieu à une gestion efficace des renseignements personnels au sein d’une organisation. Les trois mesures sont les suivantes :

  • limiter la collecte de renseignements personnels à ce qui est nécessaire, en fonction du besoin de savoir;
  • veiller à ce que les incidents soient signalés aux parties compétentes;
  • consulter dès le début et tout au long du processus les professionnels de la protection de la vie privée.

L’approche du gouvernement du Canada à l’égard de la protection de la vie privée a des points communs avec celles d’autres administrations. La norme vise à mettre en œuvre des cadres et des outils de gestion des renseignements personnels, y compris des évaluations des facteurs relatifs à la vie privée et des protocoles, pour gérer les atteintes à la vie privée.

Au sein des secteurs du SCT, les préoccupations liées à la vie privée sont gérées au cas par cas. L’évaluation des facteurs relatifs à la vie privée et le rapport sur les atteintes à la vie privée sont les principaux mécanismes utilisés pour régler les problèmes liés à la protection des renseignements personnels. Le processus d’évaluation des facteurs relatifs à la vie privée ou de traitement des cas d’atteinte à la vie privée exige que le secteur obtienne des conseils de la part de l’Unité des politiques sur la protection des renseignements personnels et des partenaires fonctionnels (s’il y a lieu).

Les facteurs qui ont incité les employés à demander des conseils à ce sujet sont les suivants :

  • l’incertitude concernant la présence d’un problème lié à la vie privée, parfois attribuable à un besoin d’éviter l’attention médiatique potentielle;
  • les conseils d’un partenaire fonctionnel de consulter l’Unité des politiques sur la protection des renseignements personnels.

Les facteurs qui ont dissuadé les employés de demander des conseils à ce sujet sont les suivants :

  • les exigences des politiques relatives à la réalisation d’une évaluation des facteurs relatifs à la vie privée sont complexes et exigent beaucoup de temps et de ressources, ce qui, selon les intervenants clés, peut représenter un défi au moment de décider s’il faut entreprendre un long processus d’évaluation des facteurs relatifs à la vie privée ou mener à bien un projet dans les délais prévus;
  • le manque de capacité, car la réalisation d’une évaluation des facteurs relatifs à la vie privée exige une expertise particulière qui peut être confiée à une partie externe ou qui peut prendre beaucoup de temps à acquérir à l’interne.

Les employés interrogés ont indiqué que le processus d’évaluation des facteurs relatifs à la vie privée est désuet et ne soutient pas les initiatives Agile. Ils ont également indiqué que la Loi sur la protection des renseignements personnels et la Directive sur les pratiques relatives à la protection de la vie privée sont contraignantes et ne permettent pas les initiatives Agile. Les initiatives Agile nécessitent des processus administratifs souples afin que les projets pilotes (qui sont des modèles de prestation plus risqués de par leur nature) et les validations de concept puissent être réalisés de façon efficace et efficiente. Bien que la loi ne fasse pas partie de la portée de cette évaluation, elle :

  • a une incidence sur la capacité de l’Unité des politiques sur la protection des renseignements personnels à atteindre ses résultats;
  • présente un risque quant à la mise en œuvre de pratiques efficaces en matière de protection de la vie privée.

5.3 Ressources

Résultat escompté : le SCT dispose d’une planification appropriée des ressources et de la relève pour gérer les activités actuelles et en constante évolution se rapportant à la protection de la vie privée.

Conclusion : les ressources pour gérer efficacement les risques d’atteinte à la vie privée et les exigences de l’organisation sont inadéquates, particulièrement en lien avec les nouvelles initiatives et les nouveaux secteurs d’activité que le SCT entreprend, comme c’est le cas pour les compétences nouvelles ou changeantes nécessaires pour prévoir l’évolution des risques liés à la protection des renseignements personnels au SCT.

5.3.1 Pourquoi est-ce important?

Le manque de ressources appropriées pourrait retarder la prise de mesures et diminuer l’utilité des conseils fournis aux employés qui effectuent des évaluations des facteurs relatifs à la vie privée ou qui gèrent les atteintes à la vie privée. Les risques d’atteinte à la vie privée découlant de nouveaux secteurs d’activité pourraient ne pas être cernés.

Il y a un risque que la fonction de protection de la vie privée au SCT ne soit pas prête à répondre aux exigences opérationnelles croissantes et changeantes. Cette situation peut entraîner une diminution des niveaux de service et une augmentation des atteintes à la vie privée et à la réputation.

5.3.2 Recommandation

L’Unité des politiques sur la protection des renseignements personnels devrait accompagner son analyse de rentabilisation d’un plan officiel des ressources humaines afin de déterminer les ressources et les compétences nécessaires pour soutenir la charge de travail actuelle et répondre aux exigences futures.

5.3.3 Constatations

Niveau d’effort consacré aux activités

Pour s’acquitter de la charge de travail actuelle de l’Unité des politiques sur la protection des renseignements personnels, les employés doivent faire beaucoup d’heures supplémentaires, ce qui n’est pas viable sur le plan opérationnel (augmentation des risques liés au maintien en poste et possibilité d’épuisement professionnel). La charge de travail s’est accrue de façon constante au cours des trois dernières années et devrait continuer d’augmenter en raison du mandat changeant et croissant du SCT, ce qui comprend, par exemple, la transformation numérique du gouvernement.

Selon l’analyse, les contraintes liées à la gestion des ressources nuisent à la gestion proactive des risques d’atteinte à la vie privée et aux efforts consacrés par l’Unité des politiques sur la protection des renseignements personnels à son rôle d’intendant des saines pratiques en matière de gestion des renseignements personnels, ce qui comprend :

  • l’élaboration et la mise en œuvre d’outils et d’initiatives de sensibilisation;
  • le renforcement des capacités et des compétences internes pour appuyer efficacement les secteurs.
Planification des ressources et de la relève

Les recherches sur les pratiques exemplaires fondées sur les principes généralement reconnus en matière de protection des renseignements personnels indiquent que les entités devraient recevoir des ressources pour mettre en œuvre et appuyer leurs politiques en matière de protection de la vie privée.

L’Unité des politiques sur la protection des renseignements personnels a élaboré une analyse de rentabilisation pour obtenir d’autres ressources, ce qui fait actuellement l’objet d’un examen. Des lacunes dans les ressources et le plan de la relève pour le poste de directeur à l’Unité des politiques sur la protection des renseignements personnels figurent dans le plan d’activités intégré du secteur. Toutefois, le document ne comprend pas les compétences nécessaires pour soutenir les nouvelles initiatives et les nouveaux secteurs d’activité entrepris par le SCT.

D’après les entrevues, il y a trois facteurs à prendre en considération dans un avenir rapproché, lesquels sont indiqués ci-dessous.

  1. Il y a un risque que les compétences au sein de l’Unité des politiques sur la protection des renseignements personnels ne soient pas suffisantes pour fournir efficacement des services de consultation pour les nouvelles initiatives ou les nouveaux secteurs d’activité qui sont distincts des programmes traditionnels du SCT. Le soutien du Bureau du dirigeant principal de l’information à la réalisation du mandat de la présidente du Conseil du Trésor de rendre les données gouvernementales accessibles par voie numérique est un exemple d’une nouvelle initiativeVoir la note en bas de page 11 entreprise par le SCT. Cette initiative a gagné en visibilité en 2018 lorsque le président du Conseil du Trésor à ce moment-là est devenu le tout premier ministre du Gouvernement numérique du Canada. Compte tenu du nouvel intérêt pour le gouvernement numérique, il serait prudent d’assurer de façon proactive une meilleure gestion des risques liés à ces initiatives.
  2. La formation sur la technologie utilisée dans les nouveaux secteurs d’activité du SCT pourrait aider l’Unité des politiques sur la protection des renseignements personnels à mieux comprendre :

    • le travail accompli par les secteurs;
    • les contextes des projets dans des domaines tels que l’informatique en nuage et l’intelligence artificielle.

    Une meilleure compréhension pourrait se traduire par des conseils, des documents d’orientation et des outils plus efficaces qui tiennent compte des besoins changeants des secteurs.

  3. En consacrant plus d’efforts à l’élaboration d’outils pour réaliser des évaluations des facteurs relatifs à la vie privée, l’Unité des politiques sur la protection des renseignements personnels pourrait faire des économies parce qu’elle aurait moins à compter sur les experts-conseils externes.

6. Conclusion globale

Certains secteurs du SCT recueillent et conservent plus de renseignements personnels que d’autres. Ceux-ci consultent l’Unité des politiques sur la protection des renseignements personnels plus régulièrement et requièrent une mobilisation continue qui est adaptée à leurs propres besoins opérationnels. Le niveau d’effort pour améliorer la compréhension et les connaissances des secteurs et des directions devrait être proportionnel au niveau de participation de ceux-ci à la résolution de questions liées à la protection de la vie privée.

L’Unité des politiques sur la protection des renseignements personnels exerce ses activités conformément à la Loi sur la protection des renseignements personnels ainsi qu’à la directive et aux lignes directrices connexes. Toutefois, la longueur et la complexité du processus d’évaluation des facteurs relatifs à la vie privée sont considérées comme un obstacle, surtout dans le cas de programmes qui fournissent des initiatives Agile à l’échelle du gouvernement. L’Unité des politiques sur la protection des renseignements personnels n’a pas le pouvoir de modifier la loi ni les exigences relatives aux évaluations des facteurs relatifs à la vie privée, mais elle peut modifier la façon dont elle effectue les évaluations, ce qui réduirait de façon considérable le temps nécessaire pour réaliser une telle évaluation.

Pendant la période visée par l’examen, le SCT n’a pas eu d’atteinte à la vie privée importante (c’est‑à‑dire une atteinte qui doit être signalée en vertu de la Loi sur la protection des renseignements personnels). Jusqu’à ce que la surveillance des risques d’atteinte à la vie privée soit officialisée en tant qu’activité dans le cadre du programme de protection de la vie privée, il n’y a aucun moyen d’évaluer objectivement si ces risques sont adéquatement pris en compte ou déclarés au sein de l’organisation. Cette situation influe ultimement sur la capacité de la direction à prendre des décisions éclairées sur ces risques.

Il y a un haut degré de satisfaction à l’égard des services offerts par l’Unité des politiques sur la protection des renseignements personnels. La Division de l’information et de la protection des renseignements personnels du Bureau du dirigeant principal de l’information et des ministères et organismes ont souvent recours à l’Unité pour obtenir des conseils d’expert sur la conception et la prestation des services de protection de la vie privée au gouvernement fédéral. À l’avenir, il y a un risque que l’Unité n’ait pas les ressources ni les compétences nécessaires pour gérer adéquatement les risques et les exigences en matière de protection de la vie privée de l’organisation, surtout maintenant que les initiatives Agile et les nouvelles technologies, telles que l’informatique en nuage et l’intelligence artificielle, font partie du répertoire de programmes du SCT et, dans certains cas, sont mises en œuvre dans l’ensemble du gouvernement.

Les Canadiens s’attendent à ce que le gouvernement protège leurs renseignements personnels en respectant l’esprit et les exigences de la Loi sur la protection des renseignements personnels. En donnant suite aux recommandations formulées dans le présent rapport, le SCT sera mieux en mesure de veiller à ce que les renseignements personnels des Canadiens soient protégés.

Annexe A - Réponse et plan d’action de la direction

Projet conjoint d’audit et d’évaluation des pratiques en matière de protection de la vie privée

Le Bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP), Communications stratégiques et affaires ministérielles (CSAM), a examiné le rapport du projet conjoint d’audit et d’évaluation et est d’accord avec les recommandations. Les mesures proposées visant à répondre aux recommandations du rapport sont indiquées ci-dessous.

Remarque : le Bureau de l’AIPRP, CSAM, a récemment embauché un conseiller principal en AIPRP dont la tâche principale sera de faire progresser davantage la mise en œuvre du plan d’action et les activités en cours connexes, y compris donner suite aux recommandations de l’audit et de l’évaluation décrites ci-dessous.

Recommandation 1a

Élaborer un plan officiel de sensibilisation et de mobilisation et mettre en place des mécanismes permettant de suivre de près son efficacité. (5.1.2)

Réponse de la direction

La direction est d’accord avec la recommandation.

Le Bureau de l’AIPRP, CSAM, élaborera une stratégie complète de sensibilisation à la protection de la vie privée et un plan de mobilisation qui précisera les exigences de formation particulières pour le SCT afin de s’assurer que tous les employés ont une compréhension de base de leurs rôles et responsabilités dans le domaine de la protection des renseignements personnels.

Suivi

Cette recommandation fera l’objet d’un suivi au moyen d’une évaluation et d’un audit.

Recommandation du plan d’action 1a
Mesures de la direction Date de début Date d’achèvement prévue Bureau de première responsabilité
  • Élaborer un plan officiel de formation et de sensibilisation portant sur la protection de la vie privée pour le SCT, y compris collaborer avec le Secteur des services ministériels et la Division des ressources humaines pour ajouter les séances de sensibilisation à la protection de la vie privée à la liste d’apprentissage obligatoire de tous les employés du SCT.
  • Continuer d’offrir une formation ponctuelle sur mesure à certains secteurs qui utilisent des renseignements personnels dans le cadre de leurs activités quotidiennes.
  • Mécanismes de surveillance :
    • le nombre d’employés ayant besoin de formation;
    • le nombre d’employés ayant terminé la formation;
    • un sondage après la formation pour vérifier l’efficacité de l’apprentissage.
Bureau de l’AIPRP, CSAM
Ressource : conseiller principal, AIPRP

Recommandation 1b

Accroître ses efforts promotionnels afin de veiller à ce que :

  • les exigences en matière de protection de la vie privée soient communiquées aux secteurs qui ne participent pas régulièrement à des initiatives de protection de la vie privée;
  • la formation continue soit offerte aux secteurs qui ont besoin de connaissances plus approfondies ou spécialisées. (5.1.2).

Réponse de la direction

La direction est d’accord avec la recommandation.

Le Bureau de l’AIPRP, CSAM complétera le matériel d’orientation existant afin de promouvoir les exigences de base en matière de protection de la vie privée dans le but de :

  • s’assurer que tous les employés du SCT ont une compréhension de base de leurs rôles et responsabilités en ce qui concerne la protection de la vie privée;
  • favoriser une culture de conformité avec la Loi sur la protection des renseignements personnels.

Suivi

Cette recommandation fera l’objet d’un suivi au moyen d’une évaluation et d’un audit.

Recommandation du plan d’action 1b
Mesures de la direction Date de début Date d’achèvement prévue Bureau de première responsabilité

Les mesures suivantes ont été mises en œuvre pendant l’audit et l’évaluation :

  • Il y a eu un questionnaire de sensibilisation à la protection de la vie privée au cours de la Journée de la protection des données de 2019 et plus de 90 employés du SCT y ont répondu.
  • De nouveaux outils et documents de référence, tels que les suivants, ont été élaborés et publiés pour compléter le Cadre de gestion des renseignements personnels actuel du SCT :
    • protocole et liste de vérification en cas d’utilisation des renseignements personnels à des fins non administratives;
    • protocole pour l’accès aux comptes de réseau des employés;
    • modèle d’énoncé de confidentialité.
Décembre  2018 Bureau de l’AIPRP, CSAM
Ressource : conseiller principal, AIPRP
Pour donner suite aux recommandations découlant de l’audit et de l’évaluation, les mesures suivantes seront prises :
  • le Bureau de l’AIPRP, CSAM, travaillera avec Communications afin d’élaborer d’autres outils pour sensibiliser davantage les employés à la protection de la vie privée;
  • du nouveau matériel sera élaboré qui servira de rappel quotidien et qui permettra d’intégrer la protection de la vie privée dans les activités quotidiennes (par exemple, un rappel d’une page que les employés peuvent garder dans leur bureau, un napperon ou un tapis de souris).
Bureau de l’AIPRP, CSAM
Ressource : conseiller principal, AIPRP

Recommandation 2

L’Unité des politiques sur la protection des renseignements personnels devrait réexaminer la conception et la mise en œuvre de ses procédures d’évaluation des facteurs relatifs à la vie privée, en consultation avec la Division des politiques de l’information et de la protection des renseignements personnels du Bureau du dirigeant principal de l’information. (5.2.2)

Réponse de la direction

La direction est en partie d’accord avec la recommandation.

Le Bureau de l’AIPRP, CSAM, continuera d’examiner ses outils et ressources actuels aux fins suivantes :

  • trouver des façons de simplifier le processus d’évaluation des facteurs relatifs à la vie privée au SCT.
  • élaborer du nouveau matériel afin de mieux aider les responsables des programmes à se conformer aux exigences de la Loi sur la protection des renseignements personnels.

Toutefois, le Bureau de l’AIPRP, CSMA, dispose toujours d’une capacité limitée pour ce qui est d’apporter des modifications importantes au processus global d’évaluation des facteurs relatifs à la vie privée compte tenu du contexte législatif et stratégique actuel, qui s’applique à toutes les institutions gouvernementales.

Suivi

Cette recommandation fera l’objet d’un suivi au moyen d’une évaluation et d’un audit.

Recommandation du plan d’action 2
Mesures de la direction Date de début Date d’achèvement prévue Bureau de première responsabilité
  • Examiner les documents d’orientation internes existants sur l’évaluation des facteurs relatifs à la vie privée.
  • Fournir à la Division des politiques de l’information et de la protection des renseignements personnels du Bureau du dirigeant principal de l’information une rétroaction sur les difficultés actuelles auxquelles doivent faire face les responsables des programmes du SCT afin qu’elle en tienne compte au moment d’examiner ou de mettre à jour les exigences des politiques relatives aux évaluations des facteurs relatifs à la vie privée afin de mieux les harmoniser avec les initiatives gouvernementales Agile.
  • Élaborer du matériel simplifié pour appuyer les secteurs (par exemple, une évaluation annotée des facteurs relatifs à la vie privée, une fiche de conseils pour les produits livrables d’un contrat visant les services d’experts-conseils en évaluation des facteurs relatifs à la vie privée).
  • Consulter la Division des politiques de l’information et de la protection des renseignements personnels et la Direction des services-conseils au gouvernement du Commissariat à la protection de la vie privée, au besoin, pour veiller à ce que les documents d’orientation internes du SCT soient conformes aux exigences des lois et des politiques.
Bureau de l’AIPRP, CSAM
Ressource : conseiller principal, AIPRP

Recommandation 3

L’Unité des politiques sur la protection des renseignements personnels devrait compléter l’analyse de rentabilisation avec un plan officiel des ressources humaines afin de déterminer les ressources et les compétences nécessaires pour soutenir la charge de travail actuelle et les exigences futures. (5.3.2)

Réponse de la direction

La direction est d’accord avec la recommandation.

Le Bureau de l’AIPRP, CSAM, a déjà commencé à régler les problèmes liés aux ressources en affectant des ressources financières à la dotation de postes supplémentaires au sein de l’Unité des politiques sur la protection des renseignements personnels et mène actuellement des processus de dotation pour pourvoir ces postes. Un plan officiel des ressources humaines est en cours d’élaboration pour compléter l’analyse de rentabilisation existante.

Suivi

Cette recommandation fera l’objet d’un suivi au moyen d’audit.

Recommandation du plan d’action 3
Mesures de la direction Date de début Date d’achèvement prévue Bureau de première responsabilité
  • Élaborer un plan officiel des ressources humaines pour l’Unité des politiques sur la protection des renseignements personnels afin de compléter l’analyse de rentabilisation existante.
  • En consultation avec l’Unité de la classification à la Division des ressources humaines, élaborer des profils de description de travail propres aux postes occupés à l’Unité des politiques sur la protection des renseignements personnels, qui présentera mieux les compétences, la formation et l’apprentissage nécessaires pour soutenir le perfectionnement continu.
Bureau de l’AIPRP, CSAM
Ressource : conseiller principal, AIPRP

Annexe B - Définitions

Une évaluation des facteurs relatifs à la vie privée est un processus qui aide les ministères et les organismes à déterminer si les nouvelles technologies et initiatives et les nouveaux systèmes d’information, ainsi que les politiques et les programmes proposés sont conformes aux exigences de base en matière de protection de la vie privée.

Une atteinte à la vie privée suppose la collecte, l’usage, la communication, la conservation ou le retrait inapproprié ou non autorisé de renseignements personnels. Lorsqu’une atteinte est signalée à l’Unité des politiques sur la protection des renseignements personnels, celle-ci entreprend un processus afin de l’évaluer, de la contenir, d’aviser les personnes touchées et d’en atténuer les conséquences.

Un énoncé de confidentialité est un conseil d’expert de la part de l’Unité des politiques sur la protection des renseignements personnels qui interprète les articles applicables de la Loi sur la protection des renseignements personnels afin d’informer les personnes sur la façon dont leurs renseignements seront recueillis et gérés.

Un examen de document est un examen effectué par l’Unité des politiques sur la protection des renseignements personnels des documents d’un secteur de programme au regard de la protection de la vie privée.

Une consultation interne est une réunion entre l’Unité des politiques sur la protection des renseignements personnels et un secteur au SCT, de sorte que l’Unité peut prodiguer des conseils sur l’interprétation de la Loi sur la protection des renseignements personnels et les directives et documents d’orientation connexes.

Une séance de formation permet de fournir des renseignements sur la Loi sur la protection des renseignements personnels et sur les directives et les documents d’orientation connexes à un secteur du SCT en fonction de ses propres besoins.

Annexe C - Questions d’évaluation, critères de l’audit, conclusions et modèle logique du Bureau de l’accès à l’information et de la protection des renseignements personnels au Secrétariat du Conseil du Trésor du Canada

La figure ci-dessous montre :

  • les questions et les conclusions de l’évaluation ainsi que des critères et les conclusions de l’audit;
  • les composantes et les éléments du modèle logique du Bureau de l’accès à l’information et de la protection des renseignements personnels au Secrétariat du Conseil du Trésor du Canada (SCT) qui ont été examinés lors de l’évaluation et l’audit.
Figure 4 - Modèle logique du Bureau de l’accès à l’information et de la protection des renseignements personnels du SCT
Modèle logique du Bureau de l’accès à l’information et de la protection des renseignements personnels du SCT. Version textuelle ci-dessous:
Figure 4 - Version textuelle

La figure à l’annexe C est composée :

  • des questions et des conclusions de l’évaluation, présentées sur le côté gauche de la figure;
  • des critères et des conclusions de l’audit, présentés sur le côté droit de la figure;
  • du modèle logique du SCT pour l’accès à l’information et la protection des renseignements personnels, qui est au centre de la figure.

Le modèle logique présente :

  • les éléments qui se rapportent à la protection de la vie privée et ceux qui concernent l’accès à l’information;
  • les résultats et les éléments visés par l’évaluation et ceux visés par l’audit.
Question de l’évaluation Résultats et éléments du modèle logique visés Conclusion
Quelles sont les normes organisationnelles sur la protection de la vie privée? Résultat à long terme : La sensibilisation à la protection de la vie privée fait partie intégrante de la culture organisationnelle. Le résultat a été partiellement atteint, mais il pourrait être amélioré.
Quelles sont les diverses approches à l’égard des protocoles de protection de la vie privée appliquées au SCT? Résultat à long terme :
La sensibilisation à la protection de la vie privée fait partie intégrante de la culture organisationnelle.
Le résultat a été partiellement atteint, mais il pourrait être amélioré.
Quelle est la norme organisationnelle en ce qui concerne la façon d’aborder les décisions? Résultat à moyen terme : Les employés, les gestionnaires et les chefs de secteur tiennent compte des risques d’atteinte à la vie privée lors de la prise de décisions. Le résultat a été partiellement atteint, mais il pourrait être amélioré.
Quelles sont les mesures incitatives qui amélioreraient efficacement le comportement en matière de protection de la vie privée? Résultat à moyen terme :
Les employés, les gestionnaires et les chefs de secteur tiennent compte des risques d’atteinte à la vie privée lors de la prise de décisions.
Le résultat a été partiellement atteint, mais il pourrait être amélioré.
Dans quelle mesure les employés connaissent-ils les obligations relatives aux atteintes à la vie privée? Résultats immédiats :
  • Les employés, les gestionnaires et les chefs de secteur comprennent leurs rôles et responsabilités concernant la protection de la vie privée.
  • Les employés, les gestionnaires et les chefs de secteur connaissent les risques d’atteinte à la vie privée et les répercussions des atteintes à la vie privée.
Le résultat a été partiellement atteint, mais il pourrait être amélioré.
Dans quelle mesure les employés connaissent-ils les exigences en matière de protection de la vie privée pour la collecte de renseignements personnels? Résultats à court terme :
  • Les employés, les gestionnaires et les chefs de secteur comprennent leurs rôles et responsabilités respectifs concernant la protection de la vie privée.
  • Les employés, les gestionnaires et les chefs de secteur connaissent les risques d’atteinte à la vie privée et les répercussions des atteintes à la vie privée.
Le résultat a été partiellement atteint, mais il pourrait être amélioré.

L’audit a couvert les résultats et les éléments suivants du modèle logique :

  • résultat à moyen terme : les gestionnaires et les chefs de secteur se conforment aux exigences relatives aux renseignements personnels, de la collection au retrait.
  • résultat à moyen terme : les employés, les gestionnaires et les chefs de secteur tiennent compte des risques d’atteinte à la vie privée lors de la prise de décisions.
  • résultat à moyen terme : les fonctionnaires mettent en œuvre constamment des mécanismes visés par règlement pour protéger les renseignements personnels.
  • résultat immédiat : les employés, les gestionnaires et les chefs de secteur comprennent leurs rôles et responsabilités concernant la protection de la vie privée.
  • résultat immédiat : les employés, les gestionnaires et les chefs de secteur connaissent les risques d’atteinte à la vie privée et les répercussions des atteintes à la vie privée.
Critère de l’audit Conclusion
Un cadre de gestion des renseignements personnels a été élaboré et mis en œuvre. Le critère a été respecté, mais cela pourrait être amélioré.
Les rôles et les responsabilités sont définis, documentés et compris. Le critère a été respecté, mais cela pourrait être amélioré.
L’organisation dispose d’une planification appropriée des ressources et de la relève pour gérer les activités de protection de la vie privée actuelles et en évolution. Le critère a été respecté partiellement.
L’organisation dispose d’un programme efficace de formation et de sensibilisation à l’appui des pratiques en matière de protection de la vie privée. Le critère n’a pas été respecté.
L’organisation dispose d’un processus efficace d’évaluation des facteurs relatifs à la vie privée pour déterminer, évaluer et atténuer les risques d’atteinte à la vie privée dans le contexte des activités nécessitant l’utilisation de renseignements personnels. Le critère a été respecté, mais cela pourrait être amélioré.
L’organisation dispose d’un processus efficace de gestion des atteintes à la vie privée pour repérer et évaluer les atteintes et en atténuer les conséquences. Le critère a été respecté.
L’organisation a élaboré et mis en œuvre des outils qui appuient la prise de décisions liées à la protection de la vie privée. Le critère a été respecté, mais cela pourrait être amélioré.

Le modèle logique du SCT se trouve au centre de la figure. Les principales composantes du modèle logique, des parties inférieure à supérieure, sont les suivantes :

  • activités;
  • extrants;
  • portée;
  • résultats immédiats;
  • résultats à moyen terme;
  • résultats à long terme.

Chaque composante est composée de divers éléments. Il y a deux types d’éléments : les éléments de la protection de la vie privée et ceux de l’accès à l’information.

La composante Activités est composée des éléments de la protection de la vie privée suivants :

  • mener des activités de mobilisation et de sensibilisation;
  • offrir une formation;
  • élaborer des outils et des documents d’orientation;
  • effectuer des recherches.
  • protéger les renseignements personnels et gérer les atteintes;
  • assurer la gouvernance et la surveillance.

La composante Activités est composée de l’élément d’accès à l’information suivant :

  • Répondre aux demandes internes et externes de renseignements personnels.

La composante Extrants est composée des éléments de la protection de la vie privée suivants :

  • présentations et matériel de communication;
  • outils, documents d’orientation et interprétation des lois et des politiques;
  • conseils et soutien en ce qui concerne les documents sur la protection de la vie privée et la gestion des atteintes;
  • mécanismes de gouvernance et rapports annuels.

La composante Extrants est composée de l’élément d’accès à l’information suivant :

  • Réponses aux demandes de renseignements personnels et aide aux demandeurs

La composante Portée est composée de l’élément de la protection de la vie privée suivant :

  • employés, gestionnaires et cadres supérieurs.

La composante Portée est composée de l’élément de l’accès à l’information suivant :

  • clients (par exemple, les Canadiens et les fonctionnaires).

La composante Résultats immédiats est composée des éléments de la protection de la vie privée suivants :

  • les employés, les gestionnaires et les chefs de secteur comprennent leurs rôles et responsabilités concernant la protection de la vie privée;
  • les employés, les gestionnaires et les chefs de secteur connaissent les risques d’atteinte à la vie privée et les répercussions des atteintes à la vie privée.

La composante Résultats immédiats est composée de l’élément de l’accès à l’information suivant :

  • le service à la clientèle est amélioré pour les personnes qui demandent les renseignements personnels qui les concernent.

La composante Résultats à moyen terme est composée des éléments de la protection de la vie privée suivants :

  • les gestionnaires et les chefs de secteur se conforment aux exigences relatives aux renseignements personnels, de la collection au retrait;
  • les employés, les gestionnaires et les chefs de secteur tiennent compte des risques d’atteinte à la vie privée lors de la prise de décisions;
  • les fonctionnaires mettent en œuvre constamment des mécanismes visés par règlement pour protéger les renseignements personnels.

La composante Résultats à long terme est composée des éléments de la protection de la vie privée suivants :

  • les renseignements personnels sont protégés;
  • la sensibilisation à la protection de la vie privée fait partie intégrante de la culture organisationnelle.

Détails de la page

Date de modification :