Avis de mise en œuvre de la protection des renseignements personnels 2021-01 : Exigences en matière de protection de la vie privée dans les comptes de médias sociaux officiels

Lois

• Loi sur la gestion des finances publiques
• Loi sur la protection des renseignements personnels

Instruments de politique connexes du Conseil du Trésor

• Politique sur la protection de la vie privée
• Politique sur les communications et l’image de marque
• Directive sur la gestion des communications

Orientations de l’éditeur principal (accessible uniquement sur le réseau du gouvernement du Canada)

• Ressources de gestion des comptes de médias sociaux
• Exigences en matière de protection de la vie privée dans les comptes de médias sociaux officiels

1. Quels sont les processus prévus pour les comptes de médias sociaux officiels?

Au titre de l’annexe D de la Directive sur la gestion des communications, les ministères doivent respecter les processus prévus par l’éditeur principal, Service Canada, lorsqu’ils créent, configurent et éliminent des comptes de médias sociaux officiels. L’éditeur principal est responsable d’accorder la permission d’établir les comptes officiels.

Les processus prévus (accessible uniquement sur le réseau du gouvernement du Canada) comprennent de nouvelles procédures de protection des renseignements personnels : Exigences en matière de protection de la vie privée dans les comptes de médias sociaux officiels (accessible uniquement sur le réseau du gouvernement du Canada).  Les changements comprennent une section réservée à la protection des renseignements personnels dans le formulaire de demande (accessible uniquement sur le réseau du gouvernement du Canada) visant la création d’un compte de médias sociaux officiel. On y exige que les fonctionnaires chargés des communications consultent les coordonnateurs de l’accès à l’information et de la protection des renseignements personnels (AIPRP) et on y présente les utilisations les plus communes des comptes de médias sociaux officiels.  L’avis mis à jour pour Canada.ca comprend également une section élargie qui porte sur l'interaction avec le gouvernement sur les médias sociaux et fait désormais référence aux fichiers de renseignements personnels (FRP) connexes. On a également modifié l’avis sur la protection des renseignements personnels pour les comptes de médias sociaux officiels du gouvernement du Canada.

2. Quelles sont les plateformes de médias sociaux qui ont déjà été examinées dans le cadre des processus prévus?

• Facebook
• Flickr
• Instagram
• LinkedIn
• Pinterest
• Twitter
• YouTube

On a réalisé une évaluation de la menace et des risques ainsi qu’une analyse juridique des conditions générales d’utilisation et des politiques de protection des renseignements personnels des plateformes ci-dessus pour les quatre utilisations courantes (voir question 4). Vous pouvez obtenir sur demande des copies de l’évaluation de la menace et des risques et des analyses juridiques en vous adressant à la Division de la politique de l’information et de la protection des renseignements personnels. Des comptes officiels peuvent être établis sur ces plateformes sans que le ministère titulaire du compte ait à réaliser ses propres analyses juridiques et en matière de protection des renseignements personnels.   Cependant, il appartient à chaque ministère de déterminer si les revues répondent à leurs besoins et exigences internes avant leur utilisation.

3. Est-ce que les comptes de médias sociaux existants sont assujettis aux nouvelles procédures de protection des renseignements personnels?

Oui. L’application des nouvelles procédures de protection des renseignements personnels et la publication de l’avis sur la protection des renseignements personnels sont obligatoires pour les comptes de médias sociaux officiels, qu’il s’agisse de nouveaux comptes ou de comptes existants. Il n’est toutefois nécessaire de soumettre le Formulaire de demande de comptes de médias sociaux officiels du GC (accessible uniquement sur le réseau du gouvernement du Canada) à l’éditeur principal que pour les nouveaux comptes.

On s’attend à ce que les coordonnateurs de l’AIPRP collaborent avec les parties intéressées au sein des ministères, par exemple les chefs des communications et les gestionnaires des comptes de médias sociaux, en vue de confirmer que les nouvelles exigences sont respectées et que les procédures et mesures de contrôles internes sont convenables.

4. Quelles sont les utilisations des comptes de médias sociaux qui sont traitées dans les processus prévus?

Les processus prescrits couvrent quatre utilisations des comptes de médias sociaux dans le cadre du programme de communications d’un ministère :

• Diffusion : la diffusion d’information à des personnes, des entreprises ou des parties intéressées, notamment l’aiguillage vers des sites Web du gouvernement du Canada.
• Interaction : la facilitation de discussions et de dialogues entre les ministères du gouvernement et des personnes, ce qui peut comprendre, lorsqu’il y a lieu, des réponses aux demandes de renseignements du public.
• Gestion de compte : la consultation et la gestion des messages affichés sur les comptes de médias sociaux à des fins de modération des discussions, ce qui peut comprendre, s’il y a lieu, la modification, le retrait ou le refus de commentaires ou le blocage d’utilisateurs qui enfreignent les normes au sujet des commentaires.
• Analyse des données du compte : la collecte, l’analyse et la mesure de données et la production de rapports connexes au sujet de l’activité du compte et des visites des utilisateurs afin de comprendre et d’optimiser l’utilisation du compte ou d’estimer l’intérêt du public à l’égard de divers sujets, activités ou événements liés au mandat du ministère, ou encore aux fins d’un processus de recherche, de statistique, de vérification ou d’évaluation (toujours en utilisant des données agrégées).

Une analyse de l’incidence juridique et en matière de protection des renseignements personnels des pratiques mentionnées ci-dessus a déjà été effectuée. Les responsables des comptes de médias sociaux peuvent donc s’adonner à ces activités sans que chacun des ministères ait à effectuer des analyses distinctes sur le plan juridique et de la protection des renseignements personnels. Il est possible d’obtenir sur demande des copies de l’évaluation de la menace et des risques et des analyses juridiques en communiquant avec la Division de la politique de l’information et de la protection des renseignements personnels.

5. Un ministère peut-il utiliser ses comptes de médias sociaux à d’autres fins que celles qui sont prévues dans les processus?

Les processus prévus (accessible uniquement sur le réseau du gouvernement du Canada) s’appliquent aux utilisations de comptes de médias sociaux officiels qui concernent la diffusion, l’interaction, la gestion de compte ou l’analyse des données du compte. Ils ne s’appliquent pas aux autres utilisations, par exemple les enquêtes, les analyses du mode de vie et la détection de la fraude.

Si un ministère compte utiliser des renseignements personnels recueillis à partir de ses comptes de médias sociaux à d’autres fins que celles qui figurent ci-dessus, il doit vérifier qu’il a le droit de recueillir ces renseignements et de les utiliser aux fins en question et réaliser ses propres analyses afin de valider son respect de la Loi sur la protection des renseignements personnels et des instruments de politique connexes. Il pourrait également être nécessaire de réaliser une Évaluation des facteurs relatifs à la vie privée (ÉFVP) et de prendre les mesures d’atténuation des risques qui s’imposent. L’organisme pourrait aussi établir un protocole de protection des renseignements personnels s’il souhaite recueillir, utiliser et divulguer de l’information personnelle à des fins non administratives, comme la recherche, les statistiques, les vérifications et les évaluations.

Le ministère devra consulter l’éditeur principal (Service Canada) pour déterminer les mesures supplémentaires à prendre pour établir le nouveau compte officiel à d’autres fins.

6. Peut-on utiliser des renseignements personnels à des fins secondaires?

Les renseignements personnels ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été obtenus ou pour les usages qui sont compatibles avec ces fins. L’utilisation à des fins secondaires doit être compatible avec les fichiers de renseignements personnels (FRP) standard désignés pour les activités liées à l’utilisation de comptes de médias sociaux officiels : POU 938 (Activités de sensibilisation) et POU 914 (Communications publiques). Par exemple, les utilisations compatibles figurant dans ces deux FRP comprennent la modération des discussions sur les plateformes de médias sociaux, l’évaluation des programmes, la création de listes de diffusion et le transfert de questions et de plaintes au sein du ministère, ou à l’extérieur.

Il est possible qu’il soit nécessaire d’obtenir le consentement de la personne si on compte utiliser les renseignements personnels à des fins secondaires. Le ministère doit vérifier s’il est autorisé à collecter et à utiliser les renseignements personnels aux fins en question et valider à l’aide de ses propres analyses son respect de la Loi sur la protection des renseignements personnels et des instruments de politique connexes. Il pourrait également être nécessaire de réaliser une ÉFVP et de prendre les mesures d’atténuation des risques qui s’imposent. L’organisme pourrait aussi établir un protocole de protection des renseignements personnels s’il souhaite recueillir, utiliser et divulguer de l’information personnelle à des fins non administratives, comme la recherche, les statistiques, les vérifications et les évaluations.

7. Faut-il obtenir le consentement d’une personne avant de recueillir ses renseignements personnels à partir des comptes de médias sociaux officiels?

Pour les quatre utilisations visées par les processus prévus, il n’est pas nécessaire d’obtenir le consentement afin de recueillir des renseignements personnels.

Conformément aux spécifications techniques relatives aux comptes de médias sociaux, les ministères doivent publier un avis sur la protection des renseignements personnels qui explique, entre autres choses, les responsabilités du gouvernement en matière de protection des renseignements personnels, ce qui est vu comme un renseignement personnel et la façon dont on utilisera les renseignements personnels. L’avis offre donc aux utilisateurs la transparence requise pour décider, de façon libre et éclairée, de quelle façon ils désirent interagir avec les comptes de médias sociaux officiels.

8. Faut-il obtenir le consentement d’une personne avant de l’ajouter à une liste de diffusion?

Le FRP standard POU 938 (Activités de sensibilisation) précise qu’on peut utiliser les renseignements personnels pour créer une liste de diffusion, pourvu que la personne y ait consenti. Par exemple, un ministère pourrait permettre à des personnes de s’inscrire à une liste de diffusion en envoyant un courriel à une adresse qui figure sur le compte officiel de médias sociaux.

9. Quand faut-il faire une ÉFVP?

Une ÉFVP n’est pas obligatoire si le compte est créé sur l’une des plateformes qui a déjà fait l’objet d’une analyse (Facebook, Flickr, Instagram, LinkedIn, Pinterest, Twitter et YouTube) et si l’information est recueillie, utilisée et divulguée à l’une des quatre fins ayant fait l’objet d’une analyse préalable (diffusion, interaction, gestion de compte et analyse des données du compte).

S’il s’agit d’une autre plateforme ou si on compte utiliser les renseignements personnels à d’autres fins administratives, il pourrait être nécessaire de faire une ÉFVP. De plus amples renseignements sur les circonstances qui exigent une ÉFVP figurent dans la Directive sur l’évaluation des facteurs relatifs à la vie privée. Lors de l’utilisation d’une nouvelle plateforme, les ministères doivent consulter leurs services juridiques pour déterminer si une analyse juridique des conditions générales d’utilisation et des politiques de protection des renseignements personnels est nécessaire.

Bien que l’éditeur principal n’examine pas le ÉFVP, le ministère doit communiquer avec l’éditeur principal, Service Canada, en vue de déterminer les autres mesures à prendre pour établir un nouveau compte officiel sur une plateforme de médias sociaux qui n’a pas fait l’objet d’une analyse.

10. Est-ce que le contenu d’un FRP a besoin d’être actualisé?

Les deux FRP standard désignés pour les activités liées à l’utilisation d’un compte de médias sociaux officiel sont les suivants : POU 938 (Activités de sensibilisation) et POU 914 (Communications publiques). Les renseignements personnels qui sont susceptibles d’être recueillis sont le nom d’une personne, ses coordonnées, ses renseignements biographiques, son image, ses opinions personnelles, ses commentaires ou son adresse IP. Les ministères peuvent recueillir cette information sur papier ou dans un format électronique.

Si un ministère a déjà enregistré ces FRP, il n’a pas à le faire de nouveau. Si le compte de médias sociaux officiel recueille tout autre renseignement personnel, ou si on utilise le compte à des fins qui ne sont pas compatibles avec celles qui sont mentionnées dans les FRP ci-dessus, le ministère pourrait se voir dans l’obligation de déposer une ÉFVP le concernant.

11. Quelle est la durée de conservation des renseignements personnels recueillis grâce aux comptes de médias sociaux?

Les ministères doivent conserver les renseignements personnels utilisés à des fins administratives durant au moins deux ans, conformément au Règlement sur la protection des renseignements personnels. Les fins administratives comprennent l’utilisation de renseignements personnels dans le cadre d’un processus décisionnel qui touche directement la personne en question. La conservation permet aux personnes de faire valoir les droits que leur confère la Loi sur la protection des renseignements personnels. Par exemple, si le gestionnaire d’un compte de médias sociaux officiel refuse à une personne l’accès au compte officiel en raison d’une infraction aux normes régissant les commentaires, il faut conserver le pseudonyme et le commentaire en question.

Aucune exigence ne vise la conservation de renseignements personnels à des fins autres qu’administratives, par exemple pour générer des statistiques sur l’achalandage du compte. Dans de telles circonstances, il faut supprimer les renseignements personnels dès qu’ils ne sont plus nécessaires pour le programme ou l’activité en question.