Sommaire de projet conjoint d’audit et d’évaluation des pratiques en matière de protection de la vie privée au Secrétariat du Conseil du Trésor du Canada

Programme

Les pratiques en matière de protection des renseignements personnels du Secrétariat du Conseil du Trésor du Canada (SCT) sont mises en œuvre par le Bureau de l’accès à l’information et de la protection des renseignements personnels, qui est composé de l’Unité des opérations et de l’Unité des politiques sur la protection des renseignements personnels. L’Unité des politiques sur la protection des renseignements personnels concentre ses efforts sur la protection des renseignements personnels dans le cadre des activités entreprises par les responsables des programmes du SCT. L’Unité des opérations, quant à elle, veille au droit d’accès aux renseignements personnels lorsqu’une demande officielle est présentée en vertu des lois pertinentes.

Portée et méthodologie

Le projet conjoint d’audit et d’évaluation vise la période d’ à . L’évaluation a permis d’évaluer l’efficacité des pratiques en matière de protection de la vie privée. Toutefois, la pertinence n’a pas été évaluée, car le SCT a l’obligation légale de mettre en œuvre la Loi sur la protection des renseignements personnels. L’audit a permis d’évaluer le caractère adéquat et l’efficacité des pratiques et des contrôles en matière de protection de la vie privée à l’appui des priorités du SCT. Les sources de données utilisées pour orienter les résultats du projet conjoint :

  • étaient proportionnelles au risque et à l’importance du programme;
  • comprenaient un examen des documents suivants :
    • documents du programme,
    • documents portant sur la protection de la vie privée et son application au gouvernement,
    • documents de données administratives, y compris sur des essais et des entrevues avec les principaux intervenants.

Limite

Un sondage auprès des employés n’a pas été réalisé en raison de la faible importance de ce projet conjoint d’audit et d’évaluation. Toutefois, les nombreuses sources de données consultées ont permis d’atténuer les effets de cette limite.

Résultats immédiats

  • Les employés, les gestionnaires et les chefs de secteur comprennent leurs rôles et responsabilités à l’égard de la protection de la vie privée.
  • Les employés, les gestionnaires et les chefs de secteur connaissent les risques d’atteinte à la vie privée et les répercussions des atteintes à la vie privée.

Résultat à moyen terme

  • Les employés, les gestionnaires et les chefs de secteur tiennent compte des risques d’atteinte à la vie privée lors de la prise de décisions.

Résultat à long terme

  • La sensibilisation à la protection de la vie privée fait partie intégrante de la culture organisationnelle.

Résultats du projet conjoint d’audit et d’évaluation

Améliorations nécessaires :

  • Le niveau de connaissance et de compréhension en ce qui a trait à la protection de la vie privée au SCT varie d’un secteur à l’autre et dépend de la mesure dans laquelle un secteur a participé à des activités à ce sujet.
  • Les outils et les processus d’évaluation des facteurs relatifs à la vie privée n’intègrent pas la protection des renseignements personnels dans la culture du ministère ou dans la prise de décisions.
  • Le programme ne dispose pas de suffisamment de ressources pour gérer efficacement les risques et les exigences du ministère en matière de protection de la vie privée. Les besoins en ressources du programme augmentent en raison des nouvelles initiatives et des nouveaux secteurs d’activité du ministère, et des compétences nouvelles ou changeantes nécessaires pour prévoir l’évolution des risques liés à la protection des renseignements personnels.

Recommandations

  • Élaborer un plan officiel de sensibilisation et de mobilisation et intensifier les efforts de promotion pour s’assurer que les secteurs qui ne participent pas habituellement aux activités de protection de la vie privée sont atteints.
  • Réexaminer la conception et la mise en œuvre des procédures d’évaluation des facteurs relatifs à la vie privée, en consultation avec la Division des politiques de l’information et de la protection des renseignements personnels du Bureau du dirigeant principal de l’information.
  • Compléter l’analyse de rentabilisation avec un plan officiel des ressources humaines afin de répondre aux besoins actuels et futurs.

Détails de la page

Date de modification :