Avis de mise en œuvre sur la protection des renseignements personnels 2024-03 : Gestion des renseignements personnels dans le cadre d’un audit interne

1. Date d’entrée en vigueur

Le présent Avis de mise en œuvre entre en vigueur le 26 juin 2024.

2. Pouvoirs

Le présent Avis de mise en œuvre est publié en vertu de l’alinéa 71(1)d) de la Loi sur la protection des renseignements personnels (LPRP).

3. Application

Le présent Avis de mise en œuvre relatif à la protection des renseignements personnels s’applique aux ministères mentionnés à l’article 2 de la Loi sur la gestion des finances publiques (LGFP), à moins qu’ils ne fassent l’objet d’une exclusion dans des lois, règlements ou décrets. Ces ministères sont visés par la Politique sur l’audit interne et les instruments connexes, auxquels se rapporte le présent Avis de mise en œuvre relatif à la protection des renseignements personnels. La section 6.4 de cette politique définit l’application aux agents du Parlement.

4. Objectif

Le présent Avis de mise en œuvre a pour objectif d’aider les ministères à collecter, utiliser, conserver et communiquer des renseignements personnels dans le cadre des fonctions d’audit interne. Les demandes d’accès à l’information sont également abordées. Toutefois, la communication de renseignements personnels au Bureau du vérificateur général du Canada et l’usage de ces renseignements par celui-ci ne sont pas abordés, car ce bureau n’est pas considéré comme faisant partie de la fonction d’audit interne. Différentes dispositions de la LPRP s’appliquent à ses activités.

5. Contexte

Au sein du gouvernement du Canada, l’audit interne est une activité professionnelle, indépendante et objective d’assurance et de conseil conçue pour ajouter de la valeur et améliorer les activités d’une organisation. L’audit interne se déroule indépendamment de la direction et des secteurs de programme de l’organisation. Il contribue à la réalisation des objectifs de l’organisation grâce à une approche systématique et disciplinée pour évaluer et améliorer l’efficacité des processus de gestion des risques, de contrôle et de gouvernance.

L’audit interne est appuyé par le Bureau du contrôleur général du Canada, situé au sein du Secrétariat du Conseil du Trésor du Canada (SCT). De plus, la contrôleuse générale du Canada a le pouvoir délégué de publier, de modifier et d’annuler les annexes à la Politique sur l’audit interne, y compris les instruments obligatoires tels que les procédures d’audit interne.

La Politique sur l’audit interne définit les responsabilités liées à l’audit interne pour les administrateurs généraux des petits et grands ministères, comme l’indique l’article 2 de la LGFP. La Directive sur l’audit interne décrit les exigences relatives au soutien de la mise en œuvre de la Politique sur l’audit interne.

6. Orientation

Les renseignements personnels peuvent être collectés et utilisés dans le cadre des fonctions d’audit interne. En règle générale, les auditeurs internes s’appuient sur les renseignements déjà recueillis dans le cadre de l’administration du programme ou de l’activité pour confirmer que le programme ou l’activité a été mis en œuvre conformément aux règles établies.

Les auditeurs internes peuvent également rencontrer en entrevue des fonctionnaires ou des tiers chargés de la mise en œuvre du programme. Dans ce cas, les renseignements personnels sont les opinions des personnes rencontrées en entrevue sur la mise en œuvre du programme ou de l’activité. Toutefois, ces renseignements sont généralement visés par des exceptions à la définition de renseignements personnels prévues aux alinéas 3j), 3k) et 3l) de la LPRP. Ainsi, les articles 7, 8 et 26 de la LPRP et l’article 19 de la Loi sur l’accès à l’information (LAI) ne s’appliquent pas. En d’autres termes, les règles régissant l’usage et la communication des renseignements personnels dans la LPRP ne s’appliquent pas.

Lorsque les renseignements personnels ne sont pas visés pas les alinéas 3j), 3k) et 3l), il faut respecter toutes les dispositions régissant la collecte, la conservation, l’usage et la communication de la LPRP. En outre, il faut appliquer les mesures de protection appropriées aux renseignements personnels, conformément à la Politique sur la protection de la vie privée et à la Directive sur les pratiques relatives à la protection de la vie privée.

6.1. Collecte

Le pouvoir législatif pour les audits internes dans les ministères, tels qu’ils sont définis à l’article 2 de la LGFP, repose sur les articles 7 et 16.1 de la LGFP. Tout renseignement personnel recueilli lors d’un audit interne doit être directement lié à l’audit interne afin de respecter l’article 4 de la LPRP.

6.2. Usage et communication

Le gros des informations utilisées dans le cadre des fonctions d’audit ne sont pas des renseignements personnels au départ ou, comme susmentionné, feraient l’objet des exceptions prévues aux alinéas 3j), 3k) et 3l) de la définition, qui s’applique aux articles 7 (Usage) et 8 (Communication) de la LPRP.

L’alinéa 8(2)h) de la LPRPpermet de communiquer aux responsables de l’audit interne les renseignements personnels sans consentement, notamment pour des missions de services-conseils en matière d’audit interne, ou au Bureau du contrôleur général, à des fins de vérification comptable, ce qui permet de satisfaire à l’exigence relative à l’usage de l’article 7 de la LPRP, qui autorise l’utilisation des renseignements personnels d’une personne conformément aux fins auxquelles ils peuvent être communiqués en vertu du paragraphe 8(2).

Selon le paragraphe 4.2.3.4 de la Politique sur l’audit interne, les ministères ont l’obligation de donner un accès sans restriction au dirigeant principal de l’audit interne, et par extension au personnel de l’audit interne, à leurs dossiers, bases de données, lieux de travail, employés et entrepreneurs. Cette obligation est également étayée par les Normes internationales d’audit interne, qui ont été présentées en application du cadre international des pratiques professionnelles (CIPP) de l’Institut des auditeurs interne (en anglais seulement) et qui seront en vigueur à compter du 9 janvier 2025. Selon le paragraphe 4.1.2 de la Politique sur l’audit interne, les audits internes doivent être réalisés conformément au CIPP lorsque celui-ci ne va pas à l’encontre des politiques ou directives sur l’audit interne.

Il peut s’avérer nécessaire de communiquer régulièrement aux responsables de l’audit interne des renseignements personnels recueillis dans le cadre d’une activité ou d’un programme opérationnel. Il sera ainsi possible pour le personnel des audits internes d’utiliser ces renseignements à des fins de contrôle continu, ce qui s’applique uniquement aux renseignements personnels qui sont conservés conformément aux normes de conservation dans le cadre d’un programme. Une fois que le période de conservation d’un document contenant des renseignements personnels est écoulé, le document doit être éliminé conformément aux normes d’élimination des documents de l’institution, et ce, même si un programme ou une activité fait l’objet d’un contrôle continu.

Les renseignements personnels recueillis par le personnel de l’audit interne ou qui lui sont communiqués ne doivent être utilisés que pour des fonctions liées à l’audit interne, à moins que les renseignements n’aient été communiqués à d’autres fins en vertu du paragraphe 8(2), auquel cas ils peuvent être utilisés aux fins auxquelles ils peuvent être communiqués en vertu du paragraphe 8(2).

Selon le paragraphe 4.2.23 de la Directive sur les pratiques relatives à la protection de la vie privée, il faut conclure une entente d’échange de renseignements avant de communiquer des renseignements personnels à l’extérieur du ministère, par exemple dans le cadre d’un audit visant plusieurs institutions. L’entente doit comprendre tous les éléments énumérés à la section 4.2.24 de ladite directive. Pour plus d’informations sur la rédaction d’une entente d’échange de renseignements, se reporter au Document d’orientation pour aider à préparer des ententes d’échange de renseignements personnels.

Il n’est pas nécessaire d’afficher les ententes relatives aux audits internes dans le résumé public des ententes du ministère dans l’Info Source du ministère. Les ministères peuvent considérer l’échange de renseignements dans le cadre d’audits internes comme une communication unique et ponctuelle de renseignements personnels au sens de la section 4.2.26 de la directive, sauf dans le cas d’une communication de renseignements personnels à des fins de surveillance continue dans le cadre de l’audit interne. Il faut conclure une entente d’échange de renseignements lorsqu’il est nécessaire de communiquer régulièrement des renseignements personnels à d’autres ministères dans le cadre d’audits visant plusieurs ministères.

S’il y a lieu, il est conseillé d’appliquer des techniques de protection des renseignements personnels aux renseignements personnels des participants au programme, étant donné que les auditeurs internes ne peuvent pas prendre de décisions administratives à partir de ces données et qu’il est peu probable qu’ils aient besoin de connaître l’identité des participants. Parmi les techniques de protection des renseignements personnels, notons la minimisation des données (lorsque seul le strict minimum de renseignements personnels est recueilli) et la dépersonnalisation (lorsque les renseignements personnels sont modifiés afin de supprimer ou d’altérer les identifiants).

Toutefois, les renseignements concernant les employés d’un ministère peuvent être utilisés pour des décisions administratives, par exemple lorsque les conclusions d’un audit interne donnent lieu à une enquête. Une telle enquête serait fondée sur le paragraphe 4.1.8 de la Politique sur l’audit interne, selon lequel il faut réaliser une enquête à la découverte lors d’un audit interne de problèmes importants liés au respect de la politique. Par conséquent, il peut être avantageux de laisser les renseignements d’employés identifiables lorsqu’il est possible que ces renseignements soient utilisés à des fins d’enquête.

Pour plus d’informations sur les techniques de protection des renseignements personnels, voir les avis de mise en œuvre ci-dessous.

Les fichiers de renseignements personnels (FRP) sont un outil de transparence qui permet de faire état des renseignements personnels recueillis et de l’utilisation qui en sera faite. Étant donné que les documents contenant des renseignements personnels peuvent être communiqués au personnel de l’audit interne, les ministères peuvent envisager d’inscrire l’audit interne dans la section des usages compatibles des FRP aux fins de transparence.

Les ministères peuvent également utiliser le FRP ordinaire « Vérification interne » (POU 941) pour la collecte de renseignements personnels de ceux qui administrent les programmes ou les activités. Il peut s’agir d’employés, d’anciens employés, d’entrepreneurs et de représentants d’entreprise. Ce FRP ordinaire prévoit également la collecte de renseignements personnels par le personnel des audits internes que contiennent les documents communiqués dans le cadre des programmes ministériels faisant l’objet d’un audit.

La plupart des informations figurant dans ce FRP correspondent à des informations qui ne sont pas considérées comme des renseignements personnels, en particulier les informations relatives aux fonctionnaires, telles que le nom, le poste et les coordonnées, qui ne font pas partie de la définition de renseignements personnels en vertu de l’article 3 de la LPRP. Toutefois, le FRP prévoit également la collecte de certaines informations qui seraient considérées comme des renseignements personnels des fonctionnaires, telles que les informations financières, les signatures ou les numéros d’identification des employés. Si un ministère souhaite utiliser ce FRP ordinaire, il doit s’inscrire auprès du SCT.

6.3. Programmes mis en œuvre par des tiers

Les programmes ou activités réalisés par des tiers pour le compte d’un ministère sont également visés par les audits internes. Étant donné que des renseignements personnels d’entrepreneurs et de représentants des entreprises peuvent être recueillis à des fins d’audit interne, les ministères devraient établir des dispositions particulières dans les contrats pour la fonction. Pour plus d’informations sur la passation de marchés, se reporter au Document d’orientation : prise en compte de la protection des renseignements personnels avant de conclure un marché.

6.4. Conservation

L’Autorisation de disposition pluri-institutionnelle 99/004 de Bibliothèque et Archives Canada (BAC), qui autorise la destruction ou l’élimination des ressources documentaires produites par la fonction administrative commune de contrôleur (qui comprend l’audit interne), contient des exclusions précises pour les ressources documentaires produites dans le contexte d’un audit interne. Ainsi, les ministères doivent obtenir une autorisation distincte du bibliothécaire et archiviste du Canada pour éliminer les rapports finaux d’audit interne et la documentation relative à la réponse de la direction, aux mesures correctives et au suivi en ce qui concerne les audits qu’ils réalisent (ou réalisés par des experts‑conseils du secteur privé en leur nom).

Les versions préliminaires d’un rapport utilisées pour créer un document final ou solliciter les commentaires ou obtenir des informations d’autres personnes avant l’achèvement du rapport sont considérées comme des documents de travail de l’audit interne et doivent être conservées et classées. Toutefois, les versions des rapports qui ne sont pas communiquées à d’autres personnes à part l’auteur ou les copies utilisées à des fins d’information ou de consultation peuvent être considérées comme des rapports préliminaires à éliminer conformément aux politiques de gestion de l’information et aux autorisations pertinentes publiées en vertu de la Loi sur la Bibliothèque et les Archives du Canada.

Lorsque les renseignements personnels ne sont pas utilisés pour une décision administrative, comme c’est le cas pour les audits internes, ils doivent être éliminés dès qu’ils ne sont plus nécessaires. Les responsables de l’audit interne doivent donc éliminer toute copie des renseignements personnels, à condition qu’ils ne soient pas compris dans les versions préliminaires ou finales du rapport. Si les conclusions donnent lieu à une enquête, les renseignements pertinents seront communiqués à l’entité chargée de l’enquête et les renseignements personnels détenus par le personnel de l’audit interne seront éliminés dès qu’ils ne seront plus nécessaires à d’autres fins d’audit. Même si les renseignements personnels ont été dépersonnalisés, il subsiste un risque de repersonnalisation. Par conséquent, les institutions doivent éliminer ces documents de la même manière que ceux qui contiennent des renseignements personnels qui n’ont pas été dépersonnalisés. Les mêmes normes de conservation s’appliquent aux renseignements dépersonnalisés et aux renseignements personnels.

Selon le Règlement sur la protection des renseignements personnels, les documents contenant des renseignements personnels utilisés à des fins d’enquête doivent être conservés pendant au moins deux ans. Les normes de conservation des documents du ministère peuvent prévoir une période de conservation plus longue.

6.5. Production de rapports

Même si les renseignements personnels permettent d’étayer les conclusions du rapport, ils ne doivent pas être inclus dans le rapport d’audit interne, sauf si la personne concernée a donné son consentement pour la publication des renseignements la concernant ou si ces renseignements sont déjà accessibles au public. Il en est ainsi parce que les rapports d’audit doivent être publiés, selon le paragraphe 4.1.6 de la Politique sur l’audit interne, sous réserve d’exceptions s’appliquant à des éléments liés à la sécurité à prendre en considération et à la sensibilité des informations. Pour plus d’informations, se reporter au Bulletin technique 2023-1 : Politique sur l’audit interne (accessible uniquement sur le réseau du gouvernement du Canada).

Si le rapport d’audit interne contient des renseignements personnels accessibles au public, il est important de s’assurer de l’exactitude de ces renseignements personnels et de vérifier qu’ils sont toujours accessibles au public au moment de la publication du rapport. Les institutions peuvent se reporter à l’Avis de mise en œuvre sur la protection des renseignements personnels concernant la communication de renseignements personnels accessibles au public en ligne pour obtenir des conseils supplémentaires sur la gestion des renseignements personnels accessibles au public.

Les ministères doivent également tenir compte du risque de repersonnalisation si des renseignements dépersonnalisés sont publiés dans un rapport d’audit interne public. Les renseignements personnels dépersonnalisés provenant de jeux de données contenant des données d’un petit nombre de personnes dans des catégories uniques et spécifiques de renseignements personnels comportent un risque accru de repersonnalisation. Les avis de mise en œuvre sur la dépersonnalisation et sur les petits nombres de personnes fournissent des instructions supplémentaires sur les renseignements personnels dépersonnalisés et le risque de repersonnalisation (voir ci-dessus). Les responsables de la protection des renseignements personnels des ministères peuvent être appelés à aider leurs collègues de la fonction d’audit interne à dépersonnaliser ou à supprimer les renseignements personnels des rapports d’audit interne avant leur publication.

6.6. Demandes de communication en vertu des lois

Selon le paragraphe 22.1(1) de la LAI, le responsable d’une institution fédérale peut refuser de communiquer tout rapport préliminaire ou document de travail d’un audit interne datant de moins de 15 ans au moment de la demande de communication de l’information. Si le rapport ou le document de travail de l’audit interne ne sont pas visés par une exception en vertu du paragraphe 22.1(1), il est possible que les opinions des fonctionnaires et des tiers qui exécutent le programme ou l’activité soient communiquées. Ces renseignements peuvent être visés par les alinéas 3j) ou 3k) de l’exception à la définition de « renseignements personnels » de la LPRP, et l’article 19 de la LAI ne s’appliquerait pas. Pour plus d’informations sur l’application de l’article 19 et du paragraphe 22.1(1), voir le Manuel de l’accès à l’information.

Toutefois, les exceptions à la définition des renseignements personnels dans la LPRP ne s’appliquent pas à l’article 12 (Droit d’accès) de cette loi, de sorte que les renseignements sont toujours considérés comme les renseignements personnels de la personne aux fins de son droit d’accès. Les renseignements personnels figurant dans les rapports préliminaires et les documents de travail de l’audit interne peuvent donc être communiqués à la personne concernée par ces renseignements en vertu de la LPRP.

Les demandes de renseignements personnels en vertu de la LPRP ne concernent que les renseignements personnels figurant dans les documents, et la LPRP n’exige pas le traitement des autres informations figurant dans les documents liés à la demande. Si une première recherche de documents à la suite d’une demande de renseignements personnels comprend des rapports préliminaires ou des documents de travail d’un audit interne, voici les mesures à prendre :

  • les renseignements personnels de l’auteur de la demande sont communiqués, à moins qu’une exception ou une exclusion en vertu de la LPRP ne s’applique;
  • si les renseignements non personnels seraient communiqués si la même demande était faite en vertu de la LAI, les renseignements devraient être communiqués à l’auteur de la demande au lieu de demander à celui-ci de faire une demande similaire en vertu de la LAI;
  • il est possible toutefois de refuser l’accès en vertu du paragraphe 12(1) de la LPRP lorsqu’il s’agit de renseignements non personnels qui ne seraient normalement pas communiqués parce qu’ils font l’objet d’une ou de plusieurs exceptions prévues par la LAI, par exemple le paragraphe 22.1(1) visant les audits internes.

7. Documents de référence

Lois et règlement

Instruments de politique connexes

Documents d’orientation connexes

8. Demandes de renseignements

Les membres du public peuvent communiquer avec le Secrétariat du Conseil du Trésor du Canada - Demandes de renseignements du public pour obtenir des renseignements sur le présent Avis de mise en œuvre.

Les employés des ministères peuvent communiquer avec leur coordonnateur ou coordonnatrice de l’accès à l’information et de la protection des renseignements personnels (AIPRP) pour obtenir des renseignements sur le présent Avis de mise en œuvre.

Les coordonnateurs et coordonnatrices de l’AIPRP peuvent communiquer avec la Division de la protection de la vie privée et des données responsables du Secrétariat du Conseil du Trésor du Canada pour obtenir des renseignements sur le présent Avis de mise en œuvre.

Détails de la page

Date de modification :