Document d'orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché
Publié à l'intention des institutions fédérales par le Secrétariat du Conseil du Trésor du Canada
Table des matières
- 1. Introduction
- 2. Au sujet du document d'orientation
- 3. Points à prendre en considération
- 4. Point de départ
- 5. Étapes à suivre
- 6. Mesures technologiques visant à améliorer la protection des renseignements personnels et la sécurité
- Annexe A : Critère d'atteinte à la vie privée
- Annexe B : Liste de contrôle pour la protection des renseignements personnels
- Annexe C : Principaux accords régissant le commerce international
- Notes explicatives concernant la liste de contrôle pour la protection des renseignements personnels
1. Introduction
A noter : Ce document d'orientation a été mis à jour en juillet 2010 pour y ajouter le chapitre 6, intitulé « Mesures technologiques visant à améliorer la protection des renseignements personnels et la sécurité ». Ce chapitre identifie les mesures technologiques clés que les institutions devraient considérer inclure comme dispositions dans leurs contrats, afin d'améliorer la protection des renseignements personnels et la sécurité. Les mesures recommandées peuvent être utilisées dans les situations de contrats où des renseignements personnels et autres renseignements de nature délicate sont manipulés ou consultés par voie électronique.
En plus, tous les hyperliens et références aux lois et instruments de politique ont été mis à jour.
Objectif du document
Ce document d'orientation vise à fournir des conseils aux institutions fédérales lorsqu'elles songent à confier à la sous-traitance des activités dans le cadre desquelles des renseignements personnels portant sur des Canadiens et des Canadiennes sont traités par des organismes du secteur privé liés par contrat ou auxquels ces derniers ont accès.
Le document a été conçu pour donner suite aux risques liés à la divulgation possible de renseignements personnels de Canadiens et de Canadiennes aux autorités américaines aux termes de la USA PATRIOT Act.
Raison d'être de ce document
Il arrive fréquemment qu'une institution fédérale accorde à contrat la gestion d'un programme ou d'un service mettant en cause des renseignements personnels sur des Canadiens et des Canadiennes à une entreprise située au Canada, aux É.-U. ou dans un autre pays. Lorsque les renseignements sont conservés ou accessibles à l'extérieur du Canada, ils peuvent alors être assujettis non seulement aux lois canadiennes, mais également à celles de l'autre pays.
L'une de ces lois est la USA PATRIOT Act. La Loi autorise les responsables américains d'application de la loi à demander à un tribunal une ordonnance leur permettant de consulter les dossiers personnels de tout individu dans le cadre d'une enquête antiterroriste, et ce, à l'insu des individus ou des organismes concernés. En théorie, cela signifie que, suite à des activités gouvernementales de passation de marchés, les responsables américains pourraient consulter des renseignements au sujet des Canadiens et des Canadiennes par l'intermédiaire de sociétés américaines ou de leurs filiales, même si les données se trouvent au Canada.
Bien que le risque que les autorités américaines se servent de la USA PATRIOT Act de cette façon soit minime, ce risque existe néanmoins. D'où la nécessité de prendre en compte certaines considérations relativement aux marchés publics mettant en cause des renseignements personnels afin d'atténuer ces risques d'atteinte à la vie privée.
La commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, a bien résumé l'importance de la USA PATRIOT Act :
Les inquiétudes suscitées par les répercussions de la USA PATRIOT Act sur la protection des renseignements personnels relatifs aux Canadiens et aux Canadiennes s'inscrivent en réalité dans un thème beaucoup plus large — la mesure dans laquelle le Canada et d'autres pays s'échangent des renseignements personnels relatifs à leurs citoyens et citoyennes, et la mesure dans laquelle les renseignements qui ont été transmis à l'étranger à des fins commerciales peuvent être obtenus par des gouvernements étrangers. L'adoption de la USA PATRIOT Act a peut-être été simplement l'événement catalyseur qui a mis ces questions à l'avant-scène.
Le gouvernement du Canada prend la question de la vie privée très au sérieux. Il soutient l'affirmation de la commissaire à la protection de la vie privée du Canada selon laquelle la USA PATRIOT Act met en évidence le thème plus large de l'accès aux renseignements personnels relatifs aux Canadiens et aux Canadiennes par des gouvernements étrangers.
2. Au sujet du document d'orientation
Aperçu
Le document d'orientation a été conçu par le Secrétariat du Conseil du Trésor (le Secrétariat) après consultation avec des experts du domaine de la vie privée et de la passation de marchés du gouvernement fédéral. Il est fortement recommandé de suivre les conseils offerts dans ce document afin d'atténuer tout risque d'atteinte à la vie privée.
Chaque institution est tenue responsable et redevable de tout renseignement personnel dont elle a la charge. L'article 3 de la Loi sur la protection des renseignements personnels définit les renseignements personnels comme étant des « renseignements, quels que soient leur forme et leur support, concernant un individu identifiable ».
Ce document vise à fournir aux représentants du gouvernement fédéral concernés par la gestion des marchés un aperçu des stratégies possibles à leur disposition pour protéger les renseignements personnels et aborde les questions relatives à la vie privée soulevées par la sous-traitance qui peuvent être associées à la USA PATRIOT Act ou à d'autres lois étrangères semblables.
Avantages liés à l'utilisation du présent document
Le document d'orientation vous aidera de deux façons :
- Tout d'abord, il permet aux fonctionnaires du gouvernement d'obtenir une aide immédiate, avant qu'ils n'entreprennent un processus de passation de marchés au cours duquel des renseignements personnels pourraient être traités dans le cadre d'un projet de marché. La première phase, qui est comprise dans les étapes 1 et 2 (sous « Étapes à suivre »), vous aidera à prendre une décision éclairée à savoir s'il est approprié d'impartir ou non, ou dans les cas où un marché a déjà été conclu, s'il devrait être renouvelé ou non.
- Ensuite, lorsqu'on aura décidé d'aller de l'avant avec la passation d'un marché, les étapes 3 à 5 vous donneront des conseils en ce qui a trait aux clauses et au libellé qui peut être pris en considération dans le cadre de demandes de proposition (DP), d'énoncés de travail (ET) et de marchés, de façon à atténuer tout risque d'atteinte à la vie privée.
Qui devrait s'en servir?
Le document d'orientation contient des directives générales à l'intention de toutes les institutions gouvernementales assujetties à la Loi sur la protection des renseignements personnels. Cela représente près de 250 ministères, organismes fédéraux et sociétés d'État.
En conséquence, il s'avère utile pour tous les fonctionnaires fédéraux qui participent à des programmes, et à l'élaboration et à la prestation de services qui ont trait à la collecte, à l'utilisation, à la divulgation, à la conservation et à l'élimination de renseignements personnels.
3. Points à prendre en considération
Utilisation du présent document dans un contexte plus large
Le document d'orientation ne constitue qu'un guide et les institutions gouvernementales ne devraient pas uniquement s'y fier au moment de préparer un contrat ou tout autre document. Le lecteur devrait prendre connaissance des conseils qu'il contient en tenant compte des politiques et procédures du gouvernement en vigueur en matière d'acquisition. On encourage les institutions à consulter leurs conseillers juridiques et du domaine de la vie privée afin d'éviter de mauvaise interprétation et pour déterminer quelles mesures de protection des renseignements personnels s'appliquent selon leurs circonstances particulières.
Il importe de se rappeler qu'il n'existe pas de panacée et que les diverses situations possibles au moment de conclure un marché doivent par conséquent être examinées en fonction de chaque cas.
Bien que certaines des recommandations fournies dans ce document renvoient à des exigences de politiques du Conseil du Trésor telles celles reliées à la sous-traitance et à la sécurité, il est entendu que certaines institutions qui utiliseront ce document ne sont pas assujetties à ces politiques. Nous recommandons donc que celles-ci consultent leurs représentants des domaines de la sous-traitance et de la sécurité de leurs institutions respectives.
Dispositions et consultations appropriées
Selon la Politique sur les marchés du Conseil du Trésor, il incombe aux autorités contractantes de garantir que les documents d'acquisition comportent des dispositions adéquates concernant la protection des renseignements du gouvernement.
Lorsque des renseignements personnels peuvent être traités aux termes d'un marché, les institutions devraient envisager d'inclure des clauses suffisantes pour protéger les renseignements personnels en tant que responsabilité partagée.
Les représentants des programmes devraient faire connaître aux responsables des acquisitions leur intention de donner à la sous-traitance le traitement de renseignements personnels et, au besoin, ils devraient consulter les représentants des services juridiques et du domaine de la vie privée de l'institution.
Prise en compte des exigences liées aux marchés et à la sécurité
Bien que ce document porte principalement sur la façon de régler les inquiétudes et les risques d'atteinte à la vie privée, les conseils qu'il contient peuvent s'appliquer à d'autres renseignements protégés ou classifiés qui peuvent être consultés aux termes des marchés, tels qu'ils sont définis dans la Politique sur la sécurité du gouvernement.
Le but du document d'orientation est de compléter les exigences et conseils concernant la passation de marchés et la sécurité déjà en vigueur au gouvernement pour protéger les renseignements personnels et autre information de nature délicate.
Ces exigences et conseils sont énoncés dans d'autres publications gouvernementales, y compris dans ce qui suit :
- Guide des clauses et conditions uniformisées d'achat
- Manuel de la sécurité industrielle
- Politique sur la sécurité du gouvernement et ses normes connexes
Les questions qui concernent la sécurité et le caractère confidentiel des renseignements classifiés devraient être examinées en collaboration avec les agents de négociation de marchés et les agents responsables de la sécurité de l'institution. Les autorités contractantes devraient inclure des dispositions pertinentes dans la DP et le marché qui est éventuellement attribué pour répondre aux exigences en matière de sécurité et pour faire en sorte que les marchés de sous-traitance qui pourraient être autorisés contiennent également des clauses semblables.
Au besoin, une Liste de vérification des exigences relatives à la sécurité doit être remplie et des consultations doivent être entreprises avec la Direction de la sécurité industrielle canadienne et internationale de Travaux publics et Services gouvernementaux Canada (TPSGC).
Une évaluation de la menace et des risques peut également s'avérer nécessaire dans les cas où des renseignements protégés ou classifiés (ce qui peut comprendre des renseignements personnels) seront consultés ou traités aux termes du marché.
Les institutions qui sont assujetties à la Politique sur la sécurité du gouvernement doivent l'appliquer lorsqu'elles échangent de l'information du gouvernement du Canada. De plus, les procédures relatives à cette politique pour la protection et l'entreposage de l'information doivent être lues de concert avec ce document. Le paragraphe 10.1 de la de la Politique sur la sécurité du gouvernement - Norme opérationnelle sur la sécurité matérielle est particulièrement pertinent.
4. Point de départ
Gagner la confiance
Du point de vue stratégique, l'expression « protection des renseignements personnels » suppose davantage que le simple fait d'assurer la sécurité et de maintenir le caractère confidentiel des renseignements personnels en les protégeant contre toute utilisation abusive ou toute divulgation illégale. La protection des renseignements personnels touche également la relation de confiance qui se tisse entre les individus qui fournissent des renseignements personnels et ceux qui en font la collecte. Elle signifie que les individus peuvent être plus à l'aise à l'égard du traitement par le gouvernement de leurs renseignements personnels.
Les considérations liées à la protection des renseignements personnels sont particulièrement pertinentes lorsqu'il s'agit de marchés qui peuvent donner lieu au transfert vers l'étranger de données et de renseignements personnels. Dans ces circonstances, les renseignements personnels sont assujettis à des lois étrangères et risquent éventuellement d'être consultés.
Les étapes qui sont énoncées dans la prochaine section ont pour objet de venir en aide aux responsables de programmes et aux experts du domaine de la vie privée dans leurs consultations avec leurs conseillers juridiques en vue de déterminer s'il y a lieu de passer des marchés qui nécessitent le traitement de renseignements personnels ou, dans certains cas, de revenir sur la décision de conclure un marché, s'il en a été décide ainsi au préalable.
Prise de décision éclairée
En guise de bonnes pratiques de gestion, les institutions fédérales se penchent sur les coûts et les avantages de conclure un marché pour l'obtention d'un service. Pour toutes les décisions touchant la passation de marchés, y compris celles qui mettront en cause des renseignements personnels, les institutions tiennent compte d'une série de facteurs importants, dont les coûts de l'exécution des programmes et le niveau de service requis, avant de passer le marché.
La première étape de ce processus consiste à cerner les risques d'atteinte à la vie privée. De plus amples renseignements sur cette étape initiale et sur les autres étapes essentielles sont fournis à l'Étape 1.0 et à l'annexe A.
Afin d'identifier toutes les mesures adéquates de protection des renseignements personnels et d'accès à l'information, les représentants du gouvernement devraient tenir compte de l'annexe B, Liste de contrôle pour la protection des renseignements personnels, au moment de formuler un contrat mettant en cause des renseignements personnels ou de l'information de nature délicate. La liste de contrôle est un outil pratique qui guide le chargé de projet à l'aide d'une série de questions relatives à la protection des renseignements personnels et à l'accès à l'information qui portent sur le contrôle, la collecte, l'utilisation, la divulgation, la sous-traitance et d'autres facteurs importants pour l'élaboration d'un contrat.
La décision de faire ou de faire faire est fondée sur des considérations liées à la protection des renseignements personnels, à la sécurité et à d'autres considérations importantes de l'analyse de rentabilisation, comme la qualité et la rapidité du service, la faisabilité de réaliser le programme ou le service à l'interne, le besoin de connaissances spécialisées, les obligations et les coûts liés au commerce.
Le processus décisionnel relatif à l'acquisition repose sur une analyse multidimensionnelle et devrait être précédé de consultations avec des responsables des marchés, de la protection de la vie privée et autres responsables concernés de l'institution fédérale en cause. Même lorsque des renseignements personnels de nature très délicate sont en cause, des stratégies adéquates d'atténuation des risques d'atteinte à la vie privée, comme des clauses contractuelles, peuvent être mises en œuvre afin de réduire le niveau de risque global avant d'entreprendre le processus d'adjudication de marchés.
Ce document d'orientation vise à promouvoir l'adoption d'une démarche équilibrée et constitue le fondement d'une décision éclairée sur l'opportunité de faire appel ou non à la sous-traitance.
S'il est décidé de conclure un marché, l'Étape 4.0 de ce document propose un libellé pour les clauses contractuelles, libellé qui devrait être intégré à l'entente contractuelle pour améliorer la protection des renseignements personnels et réduire les risques.
5. Étapes à suivre
Étapes 1 à 2, Étapes préliminaires à la passation de marchés
Étape 1.0 : Marchés mettant en cause des renseignements personnels
Lorsqu'il est déterminé qu'un programme ou service mettra en cause des renseignements personnels (tels qu'ils sont définis dans la Loi sur la protection des renseignements personnels) au sujet d'individus identifiables et que l'on envisage de passer un marché, l'analyse de l'institution devrait comprendre les facteurs suivants :
- 1.1 conformité à la Loi sur la protection des renseignements personnels et aux instruments de politique du Secrétariat du Conseil du Trésor en matière de protection des renseignements personnels;
- 1.2 critère d'atteinte à la vie privée;
- 1.3 une évaluation des facteurs relatifs à la vie privée (EFVP) de base, si cette évaluation n'a pas déjà été effectuée.
- 1.4 Loi sur la protection des renseignements personnels et instruments de politiques du Conseil du Trésor en matière de protection des renseignements personnels
Lorsque les fonctions ou les services du gouvernement fédéral sont exécutés aux termes d'un marché par des tiers, il faut faire en sorte que ses obligations en matière de protection des renseignements personnels soient respectées. Les renseignements personnels doivent être gérés de manière que l'institution fédérale respecte les principes qui fondent les pratiques équitables de gestion des renseignements qui sont reconnus dans les articles 4 à 8 de la Loi sur la protection des renseignements personnels, le Règlement sur la protection des renseignements personnels, la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor et les autres instruments de politiques en matière de protection des renseignements personnels. Plus précisément, l'institution doit pouvoir recueillir les renseignements personnels mis en cause dans le marché et les renseignements doivent avoir, conformément à l'article 4 de la Loi, « un lien direct avec ses programmes ou ses activités ».
1.2 Critère d'atteinte à la vie privée
Le critère de l'atteinte à la vie privée a d'abord été élaboré pour les besoins du Manuel sur la protection des renseignements personnels du Secrétariat du Conseil du Trésor. Selon ce critère, les institutions devraient tenir compte de trois facteurs de risque interreliés:
- la nature délicate des renseignements personnels, y compris les détails de ces renseignements ou la sensibilité de ceux-ci (p. ex. des renseignements de nature médicale), de même que le contexte dans lequel ils ont été obtenus;
- les attentes des individus à l'égard des renseignements personnels qui les concernent (y compris l'assurance que les renseignements les concernant ne seront communiqués qu'en cas de nécessité d'accès);
- la possibilité d'un préjudice si les renseignements personnels font l'objet d'une divulgation illégale ou d'une utilisation abusive, y compris le vol possible de l'identité ou leur accès par des gouvernements étrangers.
Les considérations liées à la vie privée mentionnées plus haut permettront aux institutions de cerner les risques potentiels en regard du mode d'exécution du programme proposé et qui doivent être atténués dans le cadre du processus d'adjudication des marchés. Pour obtenir des conseils supplémentaires sur cette question, veuillez vous reporter à l'annexe A, Critère d'atteinte à la vie privée.
1.3 Directive sur l'évaluation des facteurs relatifs à la vie privée et Directive sur les pratiques relatives à la protection de la vie privée
Les institutions assujetties à la Loi sur la protection des renseignements personnels sont également visées par la Directive sur l'évaluation des facteurs relatifs à la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée.
Aux termes de la Directive sur les l'évaluation des facteurs relatifs à la vie privée, les agents principaux ou cadres responsables de l'institution doivent effectuer une EFVP pour tout nouveau programme ou service ou toute modification importante à ceux-ci qui suppose la collecte, l'utilisation ou la divulgation de renseignements personnels, ou si un changement fondamental est apporté à un programme ou service existant. Ce serait notamment le cas dans le cadre de la passation d'un marché pour un programme ou un service avec le secteur privé.
La Directive sur les pratiques relatives à la protection de la vie privée exige aussi que les marchés conclus avec les entités du secteur privé définissent les dispositions et les mesures visant à tenir compte des éléments suivants :
- contrôle des renseignements personnels;
- restrictions régissant la collecte et le traitement des renseignements personnels, ainsi que toute interdiction relative aux renseignements aux fins du marché;
- retrait des renseignements personnels, s'il y a lieu;
- mesures de protection administratives, techniques et physiques;
- obligations des autres parties agissant au nom de l'institution fédérale.
A noter aussi que les institutions qui sont assujetties à la Politique sur la sécurité du gouvernement doivent s'assurer que les standards de sécurité gouvernementale soient respectés, y compris les obligations relatives au programme de sécurité industrielle du ministère des travaux publics et services gouvernementaux.
Étape 2.0 : Évaluation des risques d'atteinte à la vie privée comparés à d'autres considérations
Selon les circonstances au sein de l'institution, une série d'autres facteurs pourraient être pris en compte à ce stade-ci. Les risques d'atteinte à la vie privée relevés et évalués à l'Étape 1.0 — notamment, la nature délicate des renseignements et le contrôle exercé par le fournisseur de service sur l'information — devront être comparés aux facteurs suivants avant qu'une décision finale soit prise.
2.1 Lois d'États étrangers
Dans le cadre des activités qu'elles mènent dans des circonstances qui permettent l'application de lois étrangères (p. ex. marchés de sous-traitance, changement de propriété), les institutions devraient se demander si l'économie et le contexte politique du pays étranger ainsi que ses lois ou son système de droit risquent d'avoir des répercussions néfastes sur les marchés ou les activités visées par les marchés. Dans certains cas, les différences qui existent dans un environnement étranger peuvent soulever des questions touchant les risques d'atteinte à la vie privée.
Les lois d'un pays étranger en matière de perquisition et de saisie, par exemple, peuvent exiger des sociétés qui sont établies dans les limites de son territoire ou qui sont liées à des sociétés sur ce territoire, qu'elles communiquent les renseignements qui relèvent d'elles ou auxquels elles peuvent avoir accès, y compris les renseignements détenus aux termes d'un marché ou d'une entente. Les scénarios qui suivent sont des exemples de la manière dont de telles lois pourraient éventuellement s'appliquer si le Canada en venait à passer un marché avec les sociétés suivantes :
Scénario A : Marché passé avec une société qui mène ses activités au Canada et nulle part à l'étranger
La société qui limite ses activités au Canada et qui maintient des renseignements personnels au Canada seulement est assujettie aux lois canadiennes. Il existe un risque d'accès indirect si, aux termes du marché, la société canadienne (l'entrepreneur) a le pouvoir de conclure des contrats en sous-traitance et donc de conclure des contrats de sous-traitance avec des sociétés qui sont établies à l'étranger ou qui ont des liens avec des organisations commerciales étrangères.
Scénario B : Marché passé avec une société qui mène ses activités au Canada et à l'étranger
Une ordonnance rendue conformément à une loi étrangère pourrait s'appliquer indirectement. Une société établie à l'étranger pourrait être tenue de communiquer des renseignements personnels auxquels elle a accès ou dont elle peut obtenir l'accès, y compris des renseignements détenus par sa société canadienne affiliée. Selon la nature des lois étrangères et la facilité d'accès aux dossiers par la société étrangère, la société canadienne affiliée peut ne pas être mise au courant de l'existence d'une ordonnance exigeant la production de renseignements.
Scénario C : Marché conclu avec une société qui mène ses activités à l'étranger
Les organisations commerciales qui mènent leurs activités à l'étranger et qui détiennent des renseignements personnels sur des Canadiens et des Canadiennes dans ce pays doivent se conformer aux lois du pays étranger. La société établie à l'étranger pourrait être tenue de produire des renseignements personnels auxquels elle a accès ou peut obtenir accès du fait d'un marché ou d'une entente conclus avec une institution du gouvernement du Canada.
Les exemples qui précèdent pourraient s'appliquer à tout État étranger dont certaines lois peuvent contraindre des sociétés qui mènent leurs activités dans les limites de leur territoire à produire des renseignements. Il convient de préciser qu'il serait beaucoup plus difficile pour la plupart des gouvernements étrangers de cibler certains renseignements personnels pouvant être détenus par une société aux termes d'un marché conclu avec le gouvernement canadien que de les demander dans le cadre d'une entente bilatérale existante. Lorsqu'elle s'est penchée sur l'utilisation possible de la USA PATRIOT Act par les organismes américains d'exécution de la loi pour obtenir des renseignements sur les Canadiens et les Canadiennes, la commissaire à la protection de la vie privée du Canada a déclaré ce qui suit :
…les organismes du gouvernement américain peuvent s'en remettre à d'autres procédures officielles pour obtenir des renseignements concernant les Canadiens et les Canadiennes qui seraient en la possession du gouvernement ou du secteur privé au Canada.Des accords de longue date en matière d'échange de renseignements, conclus entre les organismes de sécurité et d'application de la loi des deux pays, ainsi que le mécanisme de l'entraide juridique, sont les moyens les plus susceptibles d'être employés pour obtenir l'accès à des renseignements détenus au Canada.
Il y a lieu de noter que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ou des lois provinciales essentiellement similaires (adoptées en Colombie-Britannique, en Alberta et au Québec) régissent les pratiques en matière de protection des renseignements personnels des organisations commerciales qui mènent leurs activités au Canada. Aucune de ces lois n'empêche la passation de marchés mettant en cause des renseignements personnels, mais elles exigent des entrepreneurs situés au Canada d'inclure des clauses de protection des renseignements personnels dans tout marché de sous-traitance.
2.2 Analyse de l'application possible d'accords commerciaux internationaux
Avant de décider s'il convient de donner ou non à la sous-traitance un marché mettant en cause le traitement de renseignements personnels, les institutions doivent déterminer si des accords commerciaux internationaux s'appliquent à l'acquisition proposée (l'annexe C donne un bref aperçu des accords commerciaux clés). Si de tels accords s'appliquent à l'acquisition, le gouvernement du Canada doit faire en sorte que ses obligations en matière de commerce sont respectées et que les demandes de propositions sont conformes à ces obligations.
Dans la pratique, cela peut signifier que, dans certains cas, les institutions fédérales ne pourraient exiger que des renseignements demeurent au Canada. L'applicabilité d'accords commerciaux internationaux est par conséquent un facteur important et peut avoir une certaine influence dans les décisions de lancer un mode donné d'acquisition ou d'étudier des solutions de rechange.
Les représentants du gouvernement devraient consulter leurs conseillers juridiques pour déterminer l'application ou non des accords commerciaux internationaux.
Étapes 3 à 5, Conclusion de marchés
Étape 3.0 : Intégration de la protection des renseignements personnels aux marchés
S'il est décidé de conclure un marché, il reviendra aux institutions de garantir que des clauses adéquates de protection des renseignements personnels figurent dans les documents contractuels, tel qu'il est précisé aux étapes 3.0 et 4.0. Les institutions fédérales peuvent recourir à toute une gamme d'outils dans le cadre du processus d'acquisition pour s'assurer que chaque marché adjugé soit assorti d'une protection suffisante des renseignements personnels. Les critères d'évaluation, l'ET ainsi que les autres dispositions de la DP figurent parmi les moyens les plus efficaces de garantir une protection initiale des renseignements personnels. La conception initiale et la rédaction de ces documents d'acquisition devraient permettre d'établir les stratégies générales de protection des renseignements personnels et d'élaborer les dispositions clés qui garantiront une protection suffisante des renseignements personnels par l'entremise des marchés. Toutes les solutions efficaces relatives à la passation de marchés doivent intégrer les coûts de la mise en œuvre.
3.1 Demande de propositions / Énoncé des travaux
L'une des considérations liées au risque les plus fondamentales au moment d'établir des marchés qui donnent lieu au traitement de renseignements personnels consiste à faire en sorte que les renseignements seront recueillis, utilisés, conservés et divulgués aux seules fins précisées dans le marché et qu'ils ne seront accessibles qu'à des individus autorisés à les utiliser à ces fins (pour des raisons de nécessité d'accès). Selon l'entente, il pourrait être nécessaire de prévoir des garanties contractuelles supplémentaires, surtout si les renseignements sont consultés ou détenus par un entrepreneur établi à l'étranger ou un entrepreneur qui a des liens avec un État étranger.
Les risques d'atteinte à la vie privée doivent être pris en considération dès cette première étape du processus d'acquisition. Il est essentiel que tous les soumissionnaires ou entrepreneurs éventuels connaissent toutes les exigences particulières qui sont liées à l'exécution du contrat à l'étape de la DP, étant donné que ces exigences auront une incidence sur les coûts. La décision d'inclure des dispositions expresses dans la DP ou l'ET devrait être fondée sur les considérations liées au risque dans leur ensemble, y compris les répercussions possibles sur la vie privée et le besoin d'inclure des clauses contractuelles pour atténuer les risques.
Les restrictions qui touchent l'accès à des renseignements personnels, leur utilisation et leur entreposage doivent se trouver dans les documents d'acquisition, dont la DP ou l'ET.
À l'étape de la DP ou de l'ET
Si, d'après les résultats du critère de l'atteinte à la vie privée et d'autres facteurs de risque, il est déterminé que le niveau de risque est suffisamment élevé, les institutions peuvent se poser les questions suivantes :
- Dans les cas où des accords commerciaux internationaux ne s'appliquent pas, faut-il que les travaux soient effectués et que les données soient conservées au Canada ou dans des installations du gouvernement du Canada (p. ex. dans des ambassades étrangères, des installations militaires à l'étranger)?
- L'entrepreneur est-il tenu de conserver les renseignements ou les bases de données gouvernementaux séparément des autres renseignements?
- L'entrepreneur doit-il prévoir un plan de sécurité et de gestion des renseignements (c.-à-d. une documentation qui précise la manière exacte dont les renseignements seront traités tout au long de leur cycle de vie et la manière dont on prévoit en assurer la sécurité)?
- Faut-il obtenir l'assurance que le soumissionnaire peut satisfaire aux exigences du marché ou démontrer certaines qualifications ou attestations avant la mise en marche du processus de DP (c.-à-d. les soumissionnaires sont-ils présélectionnés compte tenu de leur capacité de gérer des renseignements personnels)?
- L'entrepreneur devra-t-il fournir ou utiliser des systèmes, de l'équipement ou des documents particuliers aux fins de la protection des renseignements personnels et de la sécurité des renseignements gouvernementaux?
- À quoi l'entrepreneur aura-t-il accès (p. ex. des installations, des systèmes, des documents, des bases de données)?
- L'entrepreneur sera-t-il tenu de fournir et de tenir à jour une liste du personnel qui sera autorisé à avoir accès aux renseignements ou bases de données du gouvernement aux fins de l'exécution du contrat?
- Les renseignements relèveront-ils du gouvernement du Canada, et les responsabilités aux fins du traitement (c.-à-d. la collecte, l'utilisation, l'entreposage, l'élimination et la divulgation) des renseignements seront-elles précisées?
- L'entrepreneur devra-t-il maintenir des pistes de vérification et faire rapport de tous les accès et de toutes les divulgations de renseignements ou de bases de données du gouvernement?
- Sera-t-il nécessaire de fournir une preuve de destruction autorisée par le gouvernement?
Remarque : Tous les marchés de services comportent un ET ou une description des exigences, qui énonce clairement les travaux à exécuter, les objectifs à atteindre et l'échéancier à respecter. L'ET fera partie de la DP et du marché.
Si le risque d'atteinte à la vie privée est jugé élevé, les institutions fédérales peuvent songer à évaluer spécifiquement les stratégies des soumissionnaires en matière de protection des renseignements personnels. Dans les cas où les soumissionnaires sont tenus de déposer un plan de gestion des renseignements personnels dans le cadre du marché, les institutions fédérales peuvent demander que ces plans soient inclus en réponse à la DP dans la soumission à des fins d'évaluation dans le cadre du processus d'acquisition. L'institution fédérale pourra ensuite évaluer ces plans et leur accorder le poids qu'il convient dans les critères d'évaluation.
Étape 4.0 : Facteurs précis à prendre en considération concernant les DP et marchés mettant en cause des renseignements personnels
Note importante : Le Guide des clauses et conditions uniformisées d'achat(CCUA), publié par TPSGC, pourrait offrir une protection adéquate dans plusieurs cas où des dispositions contractuelles liées à des renseignements personnels sont adoptées. En conséquence, il est essentiel que les fonctionnaires consultent leurs collègues des services juridiques et du domaine de la vie privée concernant l'application d'un libellé contractuel additionnel ou révisé, en fonction de chaque cas.
Suivent certaines considérations liées à la protection des renseignements personnels qui seront utiles pour atténuer les risques d'une éventuelle divulgation non autorisée à des gouvernements étrangers et pour garantir un examen et une surveillance suffisants des marchés qui supposent le traitement de renseignements personnels. Dans certains cas, ces considérations liées aux clauses proposées peuvent déjà constituer des exigences en vertu d'autres politiques, directives ou lignes directrices sur la passation des marchés et la sécurité qui visent actuellement plusieurs institutions assujetties à la Loi sur la protection des renseignements personnels. Le fait d'inclure les suggestions ci-après n'a pas pour but de restreindre les exigences s'appliquant aux clauses sur la protection des renseignements personnels, mais vise à rappeler l'importance toute particulière des questions suivantes et la nécessité de les prendre en considération dans les DP et les clauses contractuelles.
4.1 Établir le contrôle
Il est important que la nature de la relation qui existe entre l'entrepreneur et l'institution fédérale ainsi que leurs rôles et obligations respectifs soient définis clairement dans le cadre des documents de marchés. Une institution fédérale ne peut pas recueillir de renseignements personnels à moins que ces derniers soit liés directement à l'activité ou au programme de fonctionnement de l'institution.
L'institution doit examiner la portée de l'autorité juridique qu'elle détient dans le cadre d'un programme ou d'une activité donnée. Une fois que cette autorité a été déterminée, les marchés liés à la gestion des programmes et des services du gouvernement devraient comprendre des dispositions afin de veiller à ce que l'institution fédérale garde le contrôle sur les renseignements personnels ou tout autre document transférés à l'entrepreneur et, au besoin, sur les renseignements recueillis, créés, obtenus ou conservés par l'entrepreneur aux termes du marché. Cette façon de définir le contrôle est nécessaire afin de permettre à l'institution contractante de respecter ses exigences réglementaires aux termes de la Loi sur la protection des renseignements personnels et de la Loi sur l'accès à l'information. Cela revêt une importance particulière dans les cas où des renseignements de nature très délicate doivent être entreposés ou traités dans un pays étranger par une société mère basée à l'étranger, une filiale ou un tiers, tel qu'un sous-traitant ou un mandataire. Les institutions fédérales peuvent établir le contrôle en définissant les droits de propriété de l'institution sur les documents dans le marché, y compris le droit de l'institution de les obtenir sur demande.
De plus, le gouvernement a le devoir d'inclure toute autre disposition précise liée au respect de la vie privée dans les ententes contractuelles afin de veiller à ce que la sous-traitance de programmes et de services du gouvernement n'occasionne pas une réduction de la protection des renseignements personnels. Il peut y avoir des cas où les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels entreprennent des ententes contractuelles avec des organisations du secteur privé qui sont assujetties à d'autres exigences législatives en matière de respect de la vie privée au niveau provincial ou fédéral, telle la LPRPDE. Les institutions fédérales confrontées à ce genre de scénario devraient, en consultation avec les responsables juridiques et de la vie privée de leur institution, effectuer une analyse législative et stratégique approfondie des exigences des deux lois et élaborer des clauses contractuelles qui respectent les principes ou les normes les plus rigoureux des deux lois en matière de respect de la vie privée.
4.2 Recours à la confidentialité à des fins liées au marché
Les institutions doivent garantir que des dispositions sont en place pour limiter l'accès (y compris l'accès non autorisé) ou la capacité d'obtenir l'accès à des renseignements personnels de nature délicate à des fins qui ne sont pas liées au marché, y compris toute divulgation ou tout accès par une société mère établie à l'étranger, d'autres filiales ou des tiers, comme des sous-traitants ou des mandataires qui ne sont pas directement nommés dans l'entente ou le marché principal. Lorsque des renseignements personnels de nature délicate sont consultés, les institutions fédérales devraient soit ajouter une exigence selon laquelle l'entrepreneur doit identifier et désigner explicitement tous les employés de l'entrepreneur qui auront accès aux données personnelles ou exclusives ou indiquer les postes des employés qui pourront y accéder. Cela permettrait d'identifier tous les cas d'accès non autorisé, surtout lorsque des pistes de vérification sont utilisées.
4.3 Vérifications requises ou permises (y compris la vérification de retraçage et des pistes de vérification)
En plus des dispositions uniformisées relatives à la vérification, lorsque des renseignements personnels de nature délicate sont consultés, les institutions devraient envisager d'ajouter une exigence qui stipule que le fournisseur ou le fournisseur de services doit tenir à jour des renseignements précis pour permettre la tenue de vérifications d'information. Ainsi, les vérifications de la sécurité et de la vie privée nécessiteront le maintien, par l'entrepreneur, d'une certaine forme de piste de vérification (électronique ou imprimée) pour démontrer que quiconque a eu accès à des renseignements détenait l'autorisation requise.
4.4 Séparation des renseignements
L'autorité contractante devrait tenir compte de la possibilité d'inclure des dispositions destinées à garantir la mise en place de mécanismes exigeant que tous les renseignements personnels de nature délicate divulgués à un entrepreneur par le gouvernement du Canada ou recueillis ou créés conformément à un marché ou à une entente conclue avec le gouvernement du Canada soient conservés séparément des autres dossiers ou des données détenues par la société. Les institutions devraient définir la nature de la séparation, ce qui pourrait inclure une séparation matérielle des données (p. ex. données détenues sur bande magnétique), une séparation logique des données (p. ex. dossier ou identificateur d'utilisateur), ou une séparation matérielle combinée à une séparation logique.
Remarque : Les renvois, dans le contrat, à la séparation des renseignements, doivent correspondre aux modalités établies dans la DP et l'ET, ainsi que dans le Guide des CCUA de TPSGC.
4.5 Conditions relatives aux divulgations non liées au marché
L'institution fédérale devrait songer à imposer à l'entrepreneur des exigences précises auxquelles il devra satisfaire, et à obtenir l'autorisation préalable à l'égard de toutes les divulgations de renseignements personnels de nature délicate non liées au marché (voir 4.2, « Recours à la confidentialité à des fins liées au marché »).
4.6 Inspection
Dans les cas où une institution fédérale établit le contrôle (voir 4.1, « Établir le contrôle »), elle peut aussi souhaiter mettre en place de vastes pouvoirs d'inspection des locaux de l'entrepreneur lorsque des renseignements personnels de nature délicate sont en cause. Les marchés antérieurs se rapportant à l'élimination de dossiers ont révélé combien il est important d'inspecter les installations et les travaux qui sont exécutés aux termes d'un marché. Il est important que les institutions fédérales s'assurent (pas nécessairement au moyen d'une vérification) que les travaux sont exécutés de la manière prévue dans l'ET et qu'ils respectent les conditions énoncées dans la DP. Ainsi, si la DP et l'ET contiennent des conditions particulières (techniques ou autres), les institutions peuvent souhaiter d'accorder au Canada le droit d'inspecter les travaux pour s'assurer que le fournisseur de services effectue les travaux conformément aux spécifications énoncées dans la DP, l'ET et le marché.
4.7 Avis de manquement
La Directive sur les pratiques relatives à la protection de la vie privée exige que les institutions mettent en œuvre un plan d'action régissant les atteintes à la vie privée selon les circonstances. Les institutions assujetties aux politiques du Conseil du Trésor doivent aussi s'assurer que leur plan d'action régissant les atteintes à la vie privée est conforme aux exigences semblables que l'on retrouve dans la Politique sur la sécurité du gouvernement, de ses directives et normes connexes.
Étant donné les obligations du gouvernement de protéger les renseignements personnels sous son autorité, la responsabilité d'en assurer le caractère confidentiel et la reddition de comptes en cas de manquements devrait être étendue à tout entrepreneur qui traite des renseignements personnels pour le compte d'une institution. Si un entrepreneur est réputé avoir divulgué des renseignements personnels, il devrait être disposé à assumer la responsabilité à l'égard de la divulgation illégale de renseignements personnels, des coûts associés à l'avis qui doit être donné aux individus dont les renseignements ont été divulgués et de la possibilité que le marché soit résilié. Les institutions devraient préciser que, immédiatement après que l'entrepreneur apprend que des renseignements confidentiels ont été divulgués, l'entrepreneur doit informer sur-le-champ l'institution fédérale de ce manquement.
Les institutions fédérales peuvent également consulter les Lignes directrices sur les atteintes à la vie privée afin d'obtenir de plus amples détails.
4.8 Avis de sous-traitance et obligations du sous-traitant
Le cas échéant, l'institution fédérale devrait se pencher soigneusement sur la question de savoir si l'entrepreneur doit être autorisé ou non à donner à la sous-traitance les services énoncés aux termes du marché. Si la sous-traitance est permise, l'entrepreneur devra garantir que toute entente de sous-traitance qu'il conclura devra exiger du sous-traitant qu'il se conforme aux dispositions relatives à la protection des renseignements personnels énoncées dans le marché entre l'entrepreneur et l'institution fédérale. L'institution fédérale peut également envisager, en fonction de chaque cas, d'inclure, s'il y a lieu, une disposition selon laquelle l'entrepreneur doit faire approuver par écrit les dispositions sur la sous-traitance par l'institution avant la signature de l'entente de sous-traitance.
Étape 5.0 : Critères d'évaluation et exemple de DP et de libellé des marchés
L'évaluation complète des marchés fédéraux, entamée par le Secrétariat du Conseil du Trésor a révélé que la majorité des marchés identifiés par les institutions comme présentant des risques possibles d'atteinte à la vie privée comportaient le traitement et la gestion de données. Pour aider ces institutions, les exemples suivants de clauses de DP se rapportent expressément à la mise sur pied de bases de données ainsi qu'à l'emplacement et au traitement de données, et ils sont destinés à s'appliquer seulement dans des circonstances où, selon l'évaluation, le risque d'atteinte à la vie privée est très élevé.
Définition : Une base de données consiste en une collecte organisée de données qui peuvent être consultées rapidement. Les bases de données se composent de champs, de dossiers et de tableaux. Un champ s'entend d'un seul élément d'information (p. ex. un numéro de téléphone); un dossier se compose d'une série de champs (p. ex. le nom, l'âge, le numéro de téléphone); et un tableau comporte une série de dossiers. Pour consulter l'information se trouvant dans une base de données, il faut disposer d'un système de gestion de base de données (SGBD). Un SGBD consiste en une série de programmes qui permettent à l'utilisateur de saisir, d'organiser et de choisir des données dans la base de données.
La création d'une base de données s'entend de l'établissement de la structure de la base de données, mais pas de son contenu en données. Il faut d'abord créer une base de données, puis y verser des données et, finalement, traiter les données se trouvant dans la base de données.
Note importante : Dans les situations où l'on considère que les renseignements personnels sont de nature très délicate, les clauses types suivantes peuvent être utilisées, le cas échéant, pour régler le risque de divulgation potentielle à des gouvernements étrangers. L'utilisation de ces clauses devrait se limiter aux situations où, en consultation avec les représentants des services juridiques et de la vie privée et, compte tenu des critères d'atteinte à la vie privée, il est déterminé qu'il existe un niveau élevé de risque d'atteinte à la vie privée (p. ex. renseignements sur la santé, sur le revenu ou de nature financière). Avant de mettre en application les clauses indiquées ci-après, les institutions doivent consulter les représentants des services juridiques et de la vie privée. Les fonctionnaires doivent, eux aussi, consulter les services juridiques avant de modifier ou d'adapter de telles clauses de manière qu'elles répondent à certains besoins d'un marché donné ou relativement à d'autres modes d'exécution de programmes. Lorsque les institutions sont assujetties aux exigences de la Politique sur la sécurité du gouvernement, l'agent de sécurité ministériel peut prodiguer des conseils sur les procédures de sécurité imposées par la Politique sur la sécurité du gouvernement.
Les exemples de clauses figurant ci-dessous devraient paraître tant dans la DP que dans l'entente contractuelle.
Exemple de clause s'appliquant à une DP et à une entente contractuelle
Le Canada doit faire en sorte que les lois, les règlements et les politiques du Canada en ce qui concerne la protection des renseignements personnels soient respectés. Le cas échéant, les institutions fédérales doivent garantir la protection des renseignements personnels conformément à la Loi sur la protection des renseignements personnels, L.R. (1985), ch. P-21, à la Loi sur la protection des renseignements personnels et les documents électroniques, (2000), ch. 5, et aux instruments de politiques fédérales sur la protection des renseignements personnels. Par conséquent, afin de s'acquitter de cette obligation dans les cas où le marché prévoit le traitement de renseignements personnels, le Canada demande ce qui suit à l'entrepreneur :
Lorsque aucune obligation en matière de commerce internationale ne s'applique : | Lorsque des obligations en matière de commerce internationale s'appliquent : |
---|---|
Attestation du soumissionnaire, énonçant ce qui suit : Le soumissionnaire atteste par les présentes qu'il a passé en revue les exigences de la présente DP, les clauses du marché qui sera attribué et, plus particulièrement, les exigences relatives à la protection des renseignements personnels. Le soumissionnaire atteste également qu'il se conformera à ces modalités et fera en sorte que les renseignements personnels qui sont gérés, consultés, recueillis, utilisés, divulgués, conservés, reçus, créés ou éliminés pour satisfaire aux exigences du marché, seront traités conformément à la Loi sur la protection des renseignements personnels, L.R. (1985), ch. P-21, à la Loi sur la protection des renseignements personnels et les documents électroniques, (2000), ch. 5, ainsi qu'aux instruments de politique du Secrétariat du Conseil du Trésor en matière de protection des renseignements personnels. La présente attestation demeurera véridique et exacte pendant toute la durée du marché qui sera attribué et a le même effet que si elle était faite continuellement pendant toute la durée du marché qui sera attribué. En outre, le soumissionnaire reconnaît que le ministre peut se fonder sur la présente attestation pour attribuer le marché. Si le soumissionnaire omet de se conformer à la présente attestation ou qu'une vérification ou inspection par le ministre révèle que le soumissionnaire a fait de fausses déclarations, le ministre a le droit de traiter tout marché attribué par suite de la présente soumission comme étant en défaut, et de le résilier conformément aux dispositions du contrat relatives au défaut. Remarque : Il se peut que, dans certaines circonstances où le risque d'atteinte à la vie privée est élevé, il convienne que les institutions fédérales rendent l'accès par l'entrepreneur à des renseignements personnels conditionnel au maintien de la validité de l'attestation. Donc, si l'entrepreneur fait face à une ordonnance l'obligeant à produire des renseignements personnels, l'attestation ne sera plus valide et tout accès subséquent aux renseignements personnels ou toute divulgation subséquente de ceux-ci constituera un manquement au marché et, dans certains cas, un manquement aux lois canadiennes liées à la sécurité des renseignements et à la sauvegarde de la vie privée. |
|
Création d'une base de données |
|
1. La base de données doit être située au Canada et être accessible au Canada seulement. | 1. La base de données doit être située et ne doit être accessible que dans les pays dont les lois n'ont pas priorité sur la Loi sur la protection des renseignements personnels, L.R. (1985), ch. P-21, la Loi sur la protection des renseignements personnels et les documents électroniques, (2000), ch. 5, ou les instruments de politique du Secrétariat du Conseil du Trésor en matière de protection des renseignements personnels et n'entrent pas en conflit avec ces lois, ni n'en empêchent l'application, soit expressément, soit par application subséquente. |
2. La base de données doit être matériellement indépendante de toutes les autres bases de données, directement ou indirectement, qui sont situées à l'étranger. | 2. La base de données doit être matériellement indépendante de toutes les autres bases de données, directement ou indirectement, qui sont situées dans des pays dont les lois ont priorité sur la Loi sur la protection des renseignements personnels, L.R. (1985), ch. P-21, la Loi sur la protection des renseignements personnels et les documents électroniques, (2000), ch. 5, ou les instruments de politique du Secrétariat du Conseil du Trésor en matière de protection des renseignements personnels et entrent en conflit avec ces lois ou en empêchent l'application, soit expressément, soit par application subséquente. |
Traitement des données |
|
1. Tous les aspects du traitement des données doivent être assurés et ne peuvent être accessibles qu'au Canada. | 1. Tous les aspects du traitement des données doivent être assurés et ne peuvent être accessibles que dans les pays dont les lois n'ont pas priorité sur la Loi sur la protection des renseignements personnels, L.R. (1985), ch. P-21, la Loi sur la protection des renseignements personnels et les documents électroniques, (2000), ch. 5, ou les instruments de politique du Secrétariat du Conseil du Trésor en matière de protection des renseignements personnels et n'entrent pas en conflit avec ces lois, ni n'en empêchent l'application, soit expressément, soit par application subséquente. |
6. Mesures technologiques visant à améliorer la protection des renseignements personnels et la sécurité
La présente section décrit les mesures technologiques clés qui pourront améliorer la protection des renseignements personnels et la sécurité si utilisées comme dispositions de contrat. Ces mesures sont destinés à être utilisées dans les situations de contrats où des renseignements personnels et autres renseignements de nature délicate sont manipulés ou consultés par voie électronique. Il est essentiel de prendre les mesures appropriées dans les situations de prestation de services impartie lorsque des systèmes de TI sont utilisés pour créer, modifier, entreposer et transporter des renseignements personnels.
Comme on l'a noté dans d'autres sections du présent document, il est nécessaire d'inclure des dispositions spécifiques dans les ententes contractuelles afin de s'assurer que les renseignements personnels sont adéquatement protégés lorsqu'ils sont transmis à un fournisseur. Les contrats doivent spécifier les responsabilités du fournisseur en matière de mesures de protection mises en place afin de protéger les renseignements personnels.
L'entrepreneur doit mettre en place un système de gestion efficace permettant de s'assurer que les risques sont évalués et que les mesures de protection appropriées sont sélectionnées, mises en œuvre et surveillées. Il importe que les exigences en matière de protection des renseignements personnels et de sécurité soient prises en compte et coordonnées à toutes les étapes du cycle de vie des renseignements et du cycle de vie du système de TI correspondant.
La sécurité et la protection des renseignements personnels comportent de nombreux objectifs communs qui doivent être harmonisés. Les mesures de contrôle de sécurité visent à protéger les renseignements personnels contre la perte, le vol et l'accès, divulgation, copie, utilisation ou modification non autorisés. Néanmoins, la simple mise en œuvre de mesures de sécurité ne permet pas de s'assurer que les renseignements personnels soient utilisés uniquement d'une manière appropriée ou d'une manière respectueuse des exigences en matière de protection des renseignements personnels. Les exigences en matière de protection des renseignements personnels doivent être prises en compte afin de permettre la mise en place de mesures de contrôle de sécurité appropriées.
Les mesures de protection techniques appropriées doivent être sélectionnées par le biais d'un processus de gestion du risque, qui nécessitera la coordination d'une évaluation des facteurs relatifs à la vie privée et d'une évaluation des risques de sécurité. Dans certaines situations, la sélection des mesures de protection appropriées pourra nécessiter un compromis entre la robustesse d'une mesure de protection, ses répercussions sur l'utilisation du système par les utilisateurs, les risques pour les renseignements personnels et la sécurité ainsi que les coûts.
La portée du présent document ne permet pas de présenter une liste exhaustive des mesures de protection techniques existantes. La présente section décrit certaines des mesures techniques qui s'appliquent aux considérations spécifiques en matière de protection des renseignements personnels décrites à l'étape 4 du chapitre 5 :
- identification et authentification des utilisateurs autorisés;
- mesures de contrôle d'accès visant à restreindre l'accès aux seuls utilisateurs autorisés, notamment les types de fonction que les utilisateurs autorisés peuvent exécuter;
- création, protection et stockage des registres et pistes de vérification en vue de s'assurer que tous les accès sont autorisés;
- séparation des renseignements personnels de nature délicate par le biais de la séparation logique ou physique des données;
- inspections exécutées en vue de s'assurer que les mesures de contrôle appropriées sont en place, sont correctement mis en œuvre et fonctionnent correctement;
- détection des atteintes à la vie privée, réponses appropriées et pratiques de récupération des données.
Mise en application de la norme internationale ISO/IEC 27001
Lorsqu'il faut impartir des services de TI, il est recommandé de mettre en œuvre des normes internationales. Plus spécifiquement, il est fortement recommandé d'utiliser la norme ISO/IEC 27001 (Technologies de l'information – techniques de sécurité – systèmes de gestion de sécurité de l'information) pour les services de TI impartis. Cette norme :
- est une norme reconnue à l'échelle internationale qui offre une base commune pour l'évaluation de la sécurité en fonction des pratiques exemplaires du secteur privé;
- favorise une approche axée sur les processus pour gérer les risques touchant la sécurité des renseignements dans le contexte des risques globaux pour l'organisation;
- tient compte de l'ensemble des exigences en matière de sécurité pour un système de gestion de la sécurité de l'information (SGSI), notamment l'évaluation des risques, la sélection des mesures de protection, la surveillance continue, les examens par la haute direction ainsi que les améliorations continues;
- est appuyée par un processus de certification bien établi qui permet de vérifier la conformité à la norme et d'obtenir une confirmation indépendante de l'atteinte d'un niveau de sécurité approprié;
- avec sa norme associée ISO/IEC 27002 – Code de bonnes pratiques pour la gestion de la sécurité de l'information, stipule des exigences décrivant une série exhaustive de mesures de contrôle dans 11 catégories; cette série englobe les mesures spécifiques décrites à la présente section ainsi que d'autres mesures techniques et non techniques;
L'adoption de la norme ISO/IEC 27001 ne constitue pas en soi une garantie d'un niveau spécifique de sécurité et n'atténue pas la nécessité de comprendre et d'accepter les risques. La norme est particulièrement appropriée pour les services commerciaux mais doit être complétée dans les cas où les exigences uniques propres au gouvernement requiert un niveau plus élevé d'assurance.
Identification et authentification
Il importe d'identifier les utilisateurs autorisés avant de leur accorder un accès à des renseignements personnels. Lorsque l'une des exigences stipule que l'on doit être en mesure d'identifier des personnes spécifiques, il faut mettre en place un processus d'authentification sécurisé. L'expression « authentification par voie électronique » désigne les méthodes techniques utilisées pour vérifier les allégations d'un utilisateur quant à son identité. Cette vérification est accomplie au moyen d'un « jeton » permettant de confirmer quelque chose que l'utilisateur connaît, possède ou contrôle. Un jeton peut prendre la forme d'un mot de passe, d'une clé cryptographique, d'une carte d'identification ou d'un dispositif biométrique.
Les normes d'authentification les plus récentes définissent quatre niveaux d'assurance reflétant le degré de confiance nécessaire en fonction des répercussions potentielles d'une atteinte à sécurité des données.
Par exemple, il faudra utiliser un niveau d'assurance plus élevé pour les utilisateurs qui ont accès à des dépôts de renseignements personnels ou autres renseignements de nature délicate ou qui exercent un contrôle sur de tels renseignements.
Il importe également de mettre en œuvre un processus d'authentification approprié qui respecte les besoins et les droits des clients en matière de protection des renseignements personnels. Dans certaines situations, il sera également approprié de mettre en place des mesures techniques afin d'assurer un anonymat ou un pseudo-anonymat, ou pour découpler les renseignements personnels de la personne à laquelle ils sont associés.
La norme ISO/IEC 27001 comporte plusieurs contrôles fondés sur des pratiques exemplaires dont il faut tenir compte :
- A.11.2 Gestion des accès des utilisateurs, notamment : inscription des utilisateurs, gestion des privilèges, gestion des mots de passe des utilisateurs et examen périodique des droits d'accès des utilisateurs.
- A.11.3.1 Utilisation des mots de passe.
- A.11.4.2 Authentification des utilisateurs qui utilisent des connexions externes.
- A.11.5.1 Procédures d'ouverture de session sécurisée pour les systèmes d'exploitation.
- A.11.5.2 Identification et authentification des utilisateurs.
- A.11.5.3 Système de gestion des mots de passe.
Principaux points à retenir en matière d'identification et d'authentification
- La méthode d'authentification doit permettre un niveau d'assurance approprié.
Restriction des accès
Lorsque des renseignements personnels ou des données sur un client sont recueillis, conservés ou manipulés par voie électronique, il faut sécuriser les renseignements et assurer leur confidentialité au moyen de mesures de contrôle d'accès adéquates. L'expression mesures de contrôle d'accès décrit à la fois les solutions matérielles et les solutions techniques visant à restreindre l'accès aux seuls utilisateurs autorisés, et à restreindre les fonctions que ces derniers peuvent exécuter.
En règle générale, il faut appliquer le principe du droit d'accès minimal, qui limite l'accès de chaque personne autorisée aux seuls renseignements et ressources dont elle a besoin pour s'acquitter de ses tâches et responsabilités. Les mesures de contrôle d'accès doivent être gérées de manière à définir les personnes ou groupes autorisées, leurs rôles respectifs ainsi que leurs privilèges d'accès connexes. Il faut également mettre en place des processus permettant de supprimer les droits d'accès lorsqu'ils ne sont plus nécessaires.
Il pourrait être nécessaire de mettre en place des mesures de contrôle d'accès plus robustes pour les utilisateurs disposant de privilèges d'accès étendus qui leur confèrent un accès très étendu ou illimité à des renseignements de nature délicate, ou encore qui leur permettent de contrôler des fonctionnalités critiques du système. Des mesures additionnelles telles que la séparation des tâches peuvent être ainsi utilisées pour s'assurer qu'aucun utilisateur particulier ne dispose de privilèges d'accès excessifs.
La norme ISO/IEC 27001 comporte plusieurs contrôles fondés sur des pratiques exemplaires dont il faut tenir compte :
- A.11.1.1 Politique relative aux contrôles d'accès.
- A.11.4 Contrôle des accès au réseau.
- A.11.5 Contrôle des accès au système d'exploitation.
Principaux points à retenir en matière de restriction de l'accès
- Il faut utiliser des politiques et des systèmes techniques afin de restreindre l'accès aux seules personnes autorisées, à des fins légitimes et nécessaires uniquement.
- Les droits d'accès doivent restreindre l'accès aux seuls renseignements et ressources nécessaires à un utilisateur pour exécuter ses tâches légitimes.
Séparation des renseignements de nature délicate
Le contrat doit stipuler la séparation entre les renseignements « de nature délicate » du gouvernement du Canada et les autres fonds de données de l'entreprise ou d'autres clients. Le processus est connu sous le nom de « séparation des données ». Ce principe permet de contrôler plus étroitement les renseignements personnels et autres renseignements de nature délicate et d'établir des frontières distinctes auxquelles les mesures de contrôle d'accès peuvent être appliquées.
Il existe différentes approches permettant d'obtenir ce résultat, à la fois matérielles et logicielles. La séparation matérielle des réseaux et serveurs permet d'obtenir le niveau de séparation le plus élevé, mais à un coût plus élevé. De plus en plus souvent, les réseaux et serveurs virtuels utilisent des logiciels spécialisés pour séparer les données et réduire les coûts. Les dépôts de données de nature délicate doivent être placés dans une zone protégée du réseau, de manière à pouvoir isoler les données des menaces en provenance de l'Internet. Les serveurs peuvent être isolés au moyen de systèmes informatiques distincts ou d'une technologie de type « machine virtuelle » permettant d'exploiter des serveurs logiques distincts sur un même serveur matériel. Bien que cette technologie permette d'obtenir un degré élevé de séparation, il faut faire preuve de prudence dans le contexte actuel où les ressources informatiques sont de plus en plus souvent partagées dans des environnements d'informatique en nuage qui mettent en commun des ressources informatiques partagées en vue de desservir des consommateurs multiples.
Séparation des renseignements au moyen du chiffrement
Le recours au chiffrement peut permettre un degré élevé de séparation afin de protéger les renseignements personnels et autres renseignements de nature délicate. Les renseignements chiffrés au moyen d'un algorithme cryptographique robuste sont efficacement protégés contre les accès par toute personne ne possédant pas la clé permettant leur déchiffrement.
Le chiffrement est tout particulièrement important lorsque des renseignements de nature délicate sont transmis ou stockés dans un environnement à risque élevé. Par exemple, les renseignements personnels doivent être chiffrés lorsqu'ils sont transmis par le biais d'un réseau non sécurisé tel que l'Internet. Les renseignements personnels doivent être chiffrés lorsqu'ils sont conservés sur un dispositif de stockage qui peut être volé ou perdu, tel qu'un support de sauvegarde, un dispositif de stockage portatif ou un ordinateur portatif. Le chiffrement peut également être appliqué à d'autres technologies de stockage telles que les réseaux de stockage (SAN) et les systèmes de gestion de base de données (SGBD) afin d'obtenir un degré élevé de séparation.
La méthode de chiffrement choisie doit être correctement mise en œuvre, et les clés cryptographiques doivent être gérées de façon sécuritaire. Le Centre de la sécurité des télécommunications Canada (CSTC) est l'autorité gouvernementale en matière de cryptographie, et il faut le consulter pour tout ce qui touche les méthodes approuvées et les normes appropriées. Plus spécifiquement, la norme américaine FIPS 140-2 doit être appliquée de manière à s'assurer que les modules cryptographiques sont mis en œuvre d'une manière sécurisée.
Principaux points à retenir en matière de séparation des renseignements
- Les institutions doivent s'assurer que les entrepreneurs utilisent des mesures de contrôle proportionnelles aux niveaux de séparation nécessaires.
- Il faut chiffrer les renseignements qui sont transmis par le biais de réseaux non sécurisés et qui sont conservés sur des dispositifs de stockage qui peuvent être perdus ou volés.
Pistes de vérification
La collecte de données d'utilisation historiques (heures et dates d'accès, noms d'utilisateurs, modifications des données, etc.) pour créer une piste de vérification constitue un élément fondamental de toute stratégie de détection des anomalies. Il faut non seulement recueillir les données de vérification, mais aussi les examiner régulièrement au moyen de processus appropriés afin de détecter toute anomalie.
Des registres et pistes de vérification doivent être mis en place afin de s'assurer que seuls les utilisateurs autorisés ont accès aux renseignements personnels, et de s'assurer que cet accès peut être associé à des personnes spécifiques qui pourront être tenues responsables de tout usage abusif des renseignements (p. ex., saisie de la date, de l'heure et de l'adresse IP). Les registres de vérification permettent de surveiller et de détecter les usages abusifs et d'investiguer les atteintes à la vie privée.
Les registres de vérification doivent être créés et maintenus d'une manière sécurisée de manière à pouvoir préserver les preuves. Les méthodes de conservation et d'utilisation des registres de vérification doivent de plus permettre de protéger les droits des utilisateurs en matière de renseignements personnels.
Les pistes de vérification papiers nécessitent de grands espaces de stockage et une maintenance coûteuse, alors que les pistes de vérification électroniques peuvent nécessiter des mesures de contrôle d'accès plus rigoureuses. Les pistes de vérification peuvent être soit conservées par l'entrepreneur sur les lieux de travail, ce qui nécessitera des visites périodiques par des représentants de l'institution afin d'examiner les données recueillies, soit transmises régulièrement à l'institution par l'entrepreneur. Une piste de vérification transmise en temps réel par l'entrepreneur à l'institution offre la meilleure solution possible, puisqu'elle permet une protection accrue contre les tentatives de trafiquage; toutefois, ce type de piste de vérification est plus coûteux et nécessite un personnel spécialement formé.
La norme ISO/IEC 27001 comporte plusieurs contrôles fondés sur des pratiques exemplaires dont il faut tenir compte :
- A.10.10 Surveillance, notamment : consignation de vérification, recours à des systèmes de surveillance, protection des données consignées, registres d'administrateur et d'opérateur, consignation des défaillances et horodatage.
- A.15.3 Vérification des systèmes d'information, notamment : mesures de contrôle de vérification des systèmes d'information et protection des outils de vérification des systèmes d'information.
Principaux points à retenir en matière de pistes de vérification
- Il faut utiliser des registres de vérification pour surveiller les accès, détecter les usages abusifs et investiguer les atteintes à la vie privée.
- Les registres de vérification doivent être créés et maintenus de façon sécurisée de manière à pouvoir préserver les preuves.
Détection, réponse et récupération
Les atteintes à sécurité des données peuvent être causées par des erreurs de bonne foi ou par des actes malveillants commis par des employées, des tierces parties, des partenaires d'ententes de partage d'information ou des intrus.
Il est extrêmement important que les ententes de services impartis stipulent la mise en place de mesures visant à détecter les atteintes à la sécurité des données, et qu'elles décrivent les procédures nécessaires de réponse et de récupération de l'information dans les situations d'atteinte à la vie privée ou d'un autre type d'atteinte à la sécurité. Les mesures de détection, de réponse et de récupération sont principalement axées sur les accès inappropriés ou non autorisés, sur l'utilisation ou la divulgation de renseignements personnels ou autres renseignements de nature délicate ainsi que sur les mesures appropriées à prendre dans l'éventualité de tels incidents.
L'établissement de rapports sur les incidents peut représenter un conflit d'intérêts pour le fournisseur, puisque ces rapports peuvent donner lieu à une rupture de contrat, qui pourra s'accompagner de graves pénalités. Pour cette raison, les institutions pourraient préférer les pistes de vérification transmises en temps réel, de manière à ce que les incidents signalés par le fournisseur puissent être vérifiés indépendamment. Le délai de déclaration des incidents constitue un critère essentiel pour déterminer la capacité de réaction et de reprise du programme à la suite d'un incident de sécurité.
Les technologies permettant la détection et l'analyse automatisées des intrusions peuvent permettre d'obtenir des alertes en temps réel, tout particulièrement lorsque des dépôts de renseignements personnels sont exposés à des menaces externes. Les données relatives à la détection des intrusions doivent respecter les exigences juridiques et les droits à la protection des renseignements personnels.
Les procédures de gestion des incidents doivent être documentées, y compris les procédures de recours hiérarchique en fonction de la gravité de l'atteinte à la sécurité. Toute réponse à une atteinte à la vie privée nécessite la prise immédiate des mesures nécessaires pour mettre fin à l'atteinte et sécuriser le système, pour aviser à la fois l'institution gouvernementale et la ou les personnes touchées, et pour documenter les mesures prises. Lorsque le système aura été restauré à un niveau d'activité normal, il faudra prendre les mesures de suivi nécessaires pour résoudre les problèmes ou dégager les leçons apprises. Les institutions doivent consulter le document du SCT intitulé Lignes directrices sur les atteintes à la vie privée afin de prendre connaissance des procédures suggérées qui peuvent être proposées aux entrepreneurs.
Il est recommandé que les ententes contractuelles requièrent la déclaration immédiate de toutes les atteintes à la vie privée ou autres incidents de sécurité, ainsi que la prise des mesures correctives appropriées.
La norme ISO/IEC 27001 comporte plusieurs contrôles fondés sur des pratiques exemplaires dont il faut tenir compte :
- A.13.1 Déclaration des événements et lacunes touchant la sécurité de l'information.
- A.13.2 Gestion des incidents et améliorations relatifs à la sécurité de l'information, notamment : responsabilités et procédures, leçons apprises des incidents de sécurité et collecte des preuves.
Principaux points à retenir en matière de détection, de réponse et de récupération
- Il faut documenter dans l'entente les procédures de détection, de réponse et de récupération, notamment les procédures de recours hiérarchique et les exigences en matière de déclaration des incidents.
Inspections, examens ou évaluations
Les contrats doivent stipuler les mesures de surveillance des pratiques de protection des renseignements personnels et d'assurance de la sécurité de l'entrepreneur, et vérifier la présence de mesures de contrôle appropriées.
Il peut être nécessaire de mettre en place des processus d'inspection et de surveillance plus rigoureux afin d'obtenir un niveau de confiance plus élevé dans les situations concernant des renseignements personnels de nature très délicate ou des flux d'information particulièrement importants.
Il est recommandé d'exiger une certification ISO 27001. Il s'agit d'un processus d'évaluation de la conformité fondé sur des normes permettant une vérification indépendante par une instance de certification reconnue. En ce qui concerne les organismes assujettis à la Politique du gouvernement sur la sécurité, la certification ISO 27001 permet de satisfaire aux exigences en matière de certification et d'accréditation. Il est recommandé que le contrat exige la déclaration de l'ensemble des documents de certification ISO 27001, de manière à permettre au gouvernement du Canada d'évaluer tous les risques potentiels, notamment les rapports de certification ISO 27001, les résultats de vérification, les évaluations du risque et les plans d'atténuation des risques.
Principaux points à retenir en matière d'inspections
- Il faut déterminer les mesures à prendre afin de pouvoir surveiller les pratiques de l'entrepreneur en matière de sécurité et de protection des renseignements personnels.
- La certification ISO 27001 est recommandée.
Personnes-ressources pour obtenir de plus amples renseignements
Les questions portant sur l'application des instruments de politique du Secrétariat du Conseil du Trésor en matière de protection des renseignements personnels ainsi que de la Politique sur les marchés devraient être adressées au centre de responsabilités concerné dans chaque institution.
Si vous avez des questions concernant les directives formulées dans le présent document, n'hésitez pas à communiquer avec la Division des politiques de l'information et de la protection des renseignements personnels, Direction du dirigeant principal de l'information du Secrétariat du Conseil du Trésor du Canada au ippd-dpiprp@tbs-sct.gc.ca ou par téléphone au (613) 946-4945.
Références
- Cadre de gestion intégrée du risque
- Directive sur les pratiques relatives à la protection de la vie privée
- Directive sur l'évaluation des facteurs relatifs à la vie privée
- Guide des Clauses et conditions uniformisées d'achat (CCUA)
- ISO/IEC 27001 Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Exigences
- ISO/IEC 27002 Technologies de l'information -- Techniques de sécurité -- Code de bonne pratique pour le management de la sécurité de l'information
- Lignes directrices sur les atteintes à la vie privée
- Manuel de la sécurité industrielle
- Politique sur la gestion des risques
- Politique sur la protection de la vie privé
- Politique sur la sécurité du gouvernement
- Politique sur les marchés
Annexe A : Critère d'atteinte à la vie privée
Le critère d'atteinte à la vie privée sert de référence pour déterminer si un marché dans le cadre duquel des renseignements personnels seraient traités pourrait entraîner un préjudice ou un dommage à l'individu. Il y a trois principaux facteurs qui doivent être pris en considération dans le contexte du critère d'atteinte à la vie privée : la nature délicate des renseignements, les attentes des individus, ainsi que la probabilité et la gravité du préjudice.
1) La nature délicate des renseignements
Déterminer de quel type de renseignements personnels il est question dans le marché.
- Dans quelle mesure les renseignements personnels doivent-ils être détaillés (s'agit-il de données générales comme le nom et l'adresse ou de renseignements personnels très détaillés comprenant des renseignements longitudinaux)?
- Quelle est la gravité d'un manquement (déterminée par des facteurs tels le nombre d'individus pour lesquels on détient des renseignements personnels dans la base de données et la quantité de renseignements personnels recueillis)?
- S'agit-il de renseignements de nature personnelle extrêmement délicate (p. ex. des renseignements de nature médicale et financière) ou semblent-ils être assez anodins (p. ex. des renseignements généraux)?
- Quel est le but des travaux (c.-à-d. à des fins de statistiques, d'exécution du programme, d'application réglementaire ou à des fins d'application des dispositions pénales)?
- Quel est le contexte qui entoure les renseignements? (Le nom et l'adresse d'un individu peuvent être des renseignements anodins ou de nature extrêmement délicate selon le contexte; ainsi, le nom et l'adresse des individus qui participent à un programme d'emploi des jeunes sont de nature moins délicate qu'une liste semblable qui contient le nom et l'adresse des victimes de contamination de l'hépatite C et du VIH qui touchent une indemnisation.)
- Quel est le contrôle qu'exercera le fournisseur de services sur les renseignements?
Du point de vue de la protection des renseignements personnels, il faut accorder une attention particulière à la décision liée à la passation d'un marché supposant le traitement de renseignements de nature extrêmement délicate. Si les renseignements sont très détaillés et qu'ils sont de nature délicate et extrêmement personnelle, les institutions se doivent d'examiner des solutions de rechange qui permettent d'accroître leur contrôle direct sur les renseignements dans la mesure du possible. Sinon, les institutions doivent songer à adopter une norme très élevée de sécurité et de confidentialité qui pourrait bien dépasser largement les exigences minimales dans les cas où le traitement de tels renseignements est donné à contrat. Les Canadiens et les Canadiennes pourront ainsi être plus à l'aise lorsqu'il s'agit de leurs renseignements personnels.
Remarque : Le critère d'atteinte à la vie privée proposé ci-dessus est une adaptation du critère d'atteinte à la vie privé d'intérêt public qui est énoncé au paragraphe 6.13 du chapitre 2-4 du Manuel sur la protection des renseignements personnels du Conseil du Trésor.
2) Les attentes des individus
Déterminer ou établir les attentes des individus en ce qui concerne leurs renseignements personnels. Les conditions qui régissent la collecte de renseignements personnels constituent habituellement le meilleur moyen de déterminer les attentes des individus.
Dans les cas où des renseignements personnels ont déjà été recueillis par l'institution fédérale, vérifier quelles conditions ont été établies au moment où les renseignements ont été recueillis pour la première fois auprès de l'individu :
- Y a-t-il eu engagement ou promesse de ne pas communiquer les renseignements à une autre partie ou institution?
- Y a-t-il eu une mise en garde prévoyant que les renseignements pourraient être divulgués d'une manière qui est compatible avec l'objet premier de la collecte des renseignements?
- Les renseignements ont-ils été compilés ou obtenus aux termes de garanties qui font obstacle à une partie ou à la totalité des types de divulgation?
- Les renseignements ont-ils été fournis spontanément, librement ou volontairement, sans vraiment s'attendre à ce qu'ils soient tenus complètement confidentiels?
Si des renseignements personnels doivent être recueillis par l'institution fédérale de la part de l'entrepreneur, ou si celle-ci a pu exercer un certain contrôle sur les dossiers de l'entrepreneur, veillez à établir les conditions dont est assortie cette collecte ainsi que l'utilisation et la divulgation prévues des renseignements personnels, conformément aux pratiques équitables en matière de gestion des renseignements personnels énoncées dans la Loi sur la protection des renseignements personnels et dans son règlement d'application. Par exemple :
- L'institution expliquera-t-elle clairement à l'entrepreneur ses obligations relativement à la collecte de renseignements personnels pour le compte du gouvernement du Canada?
- L'institution fera-t-elle en sorte que l'entrepreneur informe les individus de l'objet de la collecte et qu'il obtienne le consentement (dans les cas applicables) aux fins de la collecte, de l'utilisation et de la divulgation?Cela signifie aussi faire en sorte que les individus soient informés de tout pouvoir de nature législative touchant la collecte, de leur droit de refuser de fournir une partie ou la totalité des renseignements demandés et de toute conséquence possible de ce refus, et de leur droit d'accès et de correction.
- L'institution fera-t-elle en sorte que l'entrepreneur informe les individus des autres utilisations et divulgations possibles des renseignements?
- Un individu serait-il à l'aise avec l'idée que ses renseignements personnels pourraient être consultés par une tierce partie aux termes d'un marché?
- L'individu s'attendrait-il à ce qu'un tiers prenne part au traitement de tels renseignements personnels?
- Quel est le niveau de confidentialité et de sécurité auquel l'individu pourrait s'attendre?
3) Probabilité et gravité du préjudice
Déterminer la probabilité de préjudice si les renseignements personnels sont divulgués illégalement ou si une infraction à la sécurité ou une divulgation de renseignements confidentiels se produit. Le préjudice s'entend de tout dommage ou toute atteinte ayant des effets négatifs directs, par exemple, sur la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être d'un individu. Les facteurs suivants permettront de déterminer la mesure du préjudice probable.
- Le marché comprendrait-il des renseignements personnels concernant quelques individus ou de nombreux individus (p. ex. le marché mettra-t-il en cause un ou deux individus ou comprendra-t-il des renseignements personnels qui concernent des centaines ou des milliers d'individus)?
- Si les renseignements sont jugés de nature délicate, peut-on supposer que toute divulgation engendre une probabilité de causer un préjudice mesurable (p. ex. usurpation d'identité, fraude, trouble émotif ou effets négatifs sur la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être d'un individu)?
- Existe-t-il un risque en ce qui concerne l'application possible de lois étrangères (c.-à-d. la possibilité d'une divulgation à un gouvernement étranger à des fins non liées au marché)?
- Quelle pourrait être la gravité du préjudice possible?
Le tableau qui suit permettra de déterminer les risques qui sont liés à l'application possible de lois étrangères à la suite d'un marché qui suppose le traitement de renseignements personnels.
Risque inexistant |
Les bases de données sont conservées et traitées dans les locaux du gouvernement du Canada uniquement ou les bases de données sont situées ou conservées à l'extérieur des locaux et le traitement est effectué par une société canadienne qui mène ses activités au Canada seulement. L'entreposage/l'archivage et l'élimination des dossiers sont effectués dans les locaux du gouvernement du Canada uniquement ou par une société canadienne qui exploite son entreprise au Canada. |
---|---|
Risque faible |
Les bases de données sont situées ou conservées à l'extérieur des locaux du gouvernement du Canada et traitées par une société au Canada, et un sous-traitant étranger ou une société mère basée à l'étranger ou une filiale pourrait y avoir accès (avec une stratégie d'atténuation des risques en place). L'entreposage/l'archivage et l'élimination des dossiers sont effectués à l'extérieur des locaux du gouvernement du Canada par une société au Canada, et un sous-traitant étranger ou une société mère basée à l'étranger ou une filiale pourrait y avoir accès (avec une stratégie d'atténuation des risques en place). |
Risque moyen |
Les bases de données sont conservées et traitées par une société basée à l'étranger et sujette aux lois d'un gouvernement étranger (avec une stratégie d'atténuation des risques en place). |
Risque élevé |
Les bases de données sont conservées et traitées par une société établie à l'étranger et sujette aux lois d'un gouvernement étranger (sans qu'une stratégie d'atténuation des risques ne soit en place). L'entreposage/l'archivage et l'élimination des dossiers sont effectués par une société basée à l'étranger et sujette aux lois d'un gouvernement étranger. |
Remarque : Les institutions pourraient souhaiter prendre en considération d'autres facteurs qui seraient propres à leurs situations. Pour cette raison, elles sont encouragées à élaborer des lignes directrices sur l'application du critère d'atteinte à la vie privée au sein de leur institution.
L'utilisation de stratégies d'atténuation efficaces par les institutions fédérales réduira le niveau de risques. Ces stratégies pourraient comprendre l'utilisation de solutions non technologiques, comme l'ajout des clauses de protection des renseignements personnels proposées dans le présent document ou la mise en œuvre de solutions technologiques, comme le chiffrement.
Annexe B : Liste de contrôle pour la protection des renseignements personnels
Le but de la liste de contrôle est d'assurer la prise en compte des exigences en matière de protection des renseignements personnels aux étapes préliminaires de la planification et de la mise en œuvre du processus de passation des marchés publics.
Remarques : Dans la présente liste de contrôle,
- « renseignements personnels »
- » désigne les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, conformément à l'article 3 de la Loi sur la protection des renseignements personnels;
- « document »
- désigne tous éléments d'information, quels que soient leur forme et leur support, notamment correspondance, note, livre, plan, carte, dessin, diagramme, illustration ou graphique, photographie, film, microformule, enregistrement sonore, magnétoscopique ou informatisé, ou toute reproduction de ces éléments d'information, conformément à l'article 3 de la Loi sur l'accès à l'information.
OUI | NON | S.O. | DESCRIPTION |
---|---|---|---|
Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 1. Les types de documents ou renseignements personnels (énumérer les types de documents ou d'éléments d'information) visés par le marché :
|
|||
2. L'entrepreneur doit charger un cadre de son organisation afin d'agir à titre de personne-ressource pour assurer la conformité aux exigences en matière de protection des renseignements personnels et de sécurité. | |||
3. L'entrepreneur doit fournir au gouvernement une liste à jour de tous les employés, sous-traitants ou mandataires participant à l'exécution du contrat qui auront accès à des renseignements personnels. | |||
4. Tous les employés, sous-traitants ou mandataires de l'entrepreneur qui pourraient avoir accès à des renseignements personnels dans le cadre de l'exécution du contrat doivent signer une entente de protection et de non-divulgation de l'information. | |||
5. L'entrepreneur est entièrement et uniquement responsable des actions des employés, sous-traitants et mandataires qui agissent pour son compte dans l'exécution de leurs fonctions aux termes du contrat. | |||
6. L'entrepreneur doit informer le gouvernement à l'avance de tout changement en ce qui a trait à la propriété d'une partie ou de la totalité de son entreprise. | |||
Flux de données transfrontière Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 7. l'entrepreneur avisera immédiatement le gouvernement dans le cas de toute procédure liée a une faillite ou à une question d'insolvabilité ayant été portée contre ou par lui en vertu des lois qui s'appliquent en matière de faillite et d'insolvabilité ou de tout avis de recours des créanciers; |
|||
8. qu'il est interdit à l'entrepreneur de communiquer et/ou de transférer des renseignements personnels (y compris les rubans d'archivage et les archives) à l'étranger, ou de permettre à des parties à l'extérieur du Canada d'y avoir accès, sans avoir obtenu préalablement le consentement écrit du gouvernement. | |||
9. qu'il est interdit à l'entrepreneur de communiquer et/ou de transférer des renseignements personnels à l'étranger, ou de permettre à des parties à l'extérieur du Canada d'y avoir accès, sans avoir obtenu préalablement le consentement écrit du gouvernement. | |||
Collecte de renseignements personnels Déterminer l'opportunité de mentionner dans l'entente contractuelle : 10. que la collecte de renseignements personnels doit se limiter aux renseignements dont l'entrepreneur a besoin pour se conformer aux modalités du contrat ou pour exercer ses droits en vertu de l'entente; |
|||
11. que l'entrepreneur doit, sauf indication contraire par écrit, recueillir les renseignements personnels directement auprès de l'individu qu'ils concernent; | |||
12. qu'au moment de la collecte de renseignements personnels, l'entrepreneur doit informer l'individu auprès de qui il recueille ces renseignements :
|
|||
|
|||
|
|||
|
|||
|
|||
|
|||
13. que les employés de l'entrepreneur sont tenus de fournir leur identité aux individus auprès desquels ils recueillent des renseignements personnels et de donner à ces derniers un moyen de vérifier s'ils travaillent effectivement pour le compte du gouvernement et sont autorisés à recueillir les renseignements. | |||
Exactitude des renseignements personnels 14. Déterminer l'opportunité de mentionner dans l'entente contractuelle que l'entrepreneur doit s'efforcer dans toute la mesure du possible d'assurer l'exactitude et l'intégralité de tout renseignement personnel qu'il utilisera ou dont se servira le gouvernement dans le cadre d'un processus décisionnel qui influera directement sur l'individu faisant l'objet de ces renseignements. |
|||
Usage des renseignements personnels 15. Déterminer l'opportunité de mentionner dans l'entente contractuelle que, sauf indication contraire par écrit, l'entrepreneur doit utiliser les renseignements personnels dans le but exclusif de remplir les obligations qui lui incombent en vertu du contrat. |
|||
Divulgation des renseignements personnels Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 16. il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels, sauf dans la mesure où cela est jugé nécessaire pour lui permettre de remplir les obligations qui lui incombent en vertu de l'entente ou sauf indication contraire par écrit; |
|||
17. si l'entrepreneur reçoit une demande de divulgation de renseignements personnels à des fins non autorisées en vertu du marché, ou s'il constate que la divulgation pourrait être exigée par la loi, il doit immédiatement en informer le gouvernement et ne pas divulguer les renseignements sauf indication contraire par écrit. | |||
Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 18. les individus qui désirent avoir accès à des documents ou aux renseignements personnels qui les concernent directement auprès de l'entrepreneur peuvent recourir à un processus informel; |
|||
19. les responsabilités du gouvernement et de l'entrepreneur en ce qui concerne les demandes d'accès, en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, à des documents ou des renseignements personnels qui relèvent du gouvernement, mais qui sont conservés par l'entrepreneur. | |||
Correction des renseignements personnels 20. Déterminer l'opportunité de mentionner dans l'entente contractuelle les responsabilités du gouvernement et de l'entrepreneur en ce qui concerne les demandes de correction ou d'annotation des renseignements personnels conservés par l'entrepreneur, présentées en vertu de la Loi sur la protection des renseignements personnels. |
|||
Conservation des documents ou des renseignements personnels Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 21. les exigences en matière de conservation et de retrait des documents et des renseignements personnels, y compris la période de conservation maximale ainsi que les méthodes d'élimination à utiliser; |
|||
22. les conditions régissant l'élimination de documents éphémères créés ou générés par l'entrepreneur. | |||
Protection des renseignements personnels 23. Déterminer si l'entente contractuelle obligera l'entrepreneur à s'assurer que les renseignements personnels sont protégés contre les risques tels que le vol ou la perte, ainsi que l'accès, la divulgation, le transfert, la reproduction, l'utilisation, la modification ou l'élimination non autorisés. |
|||
Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 24. que le gouvernement et l'entrepreneur doivent immédiatement s'aviser mutuellement du dépôt de plaintes en vertu de la Loi sur l'accès à l'information, de la Loi sur la protection des renseignements personnels ou d'une autre loi pertinente et du dénouement de ces plaintes; |
|||
25. que les commissaires à la protection de la vie privée et à l'information ont le droit d'avoir accès à tout document ou renseignement personnel aux fins d'enquêtes en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. | |||
Vérification et inspection des documents ou des renseignements personnels Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 26. que le gouvernement peut à tout moment, pourvu qu'il donne un préavis raisonnable, se présenter dans les locaux de l'entrepreneur afin d'inspecter, de vérifier ou de faire vérifier par un tiers la mesure dans laquelle l'entrepreneur se conforme aux exigences du contrat relatives à la protection des renseignements personnels, à la sécurité et à la gestion de l'information, et que l'entrepreneur doit coopérer lors d'une telle vérification ou inspection; |
|||
27. l'entrepreneur doit tenir des informations précises pour permettre la vérification des renseignements, c.-à-d. maintenir une piste de vérification quelconque (sous forme électronique ou sur papier). | |||
Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 28. l'entrepreneur sera tenu d'aviser le gouvernement immédiatement s'il anticipe ou constate un manquement aux exigences du contrat en matière de protection des renseignements personnels ou de sécurité; |
|||
29. l'entrepreneur sera tenu d'indemniser le gouvernement en cas de manquement aux obligations qui lui incombent en vertu du contrat. | |||
Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 30. l'entrepreneur ne doit pas, sans avoir obtenu préalablement l'approbation écrite, confier en sous-traitance une partie des services ou des fonctions prévus dans le contrat; |
|||
31. malgré toute approbation écrite relative à la sous-traitance, l'entrepreneur demeure entièrement responsable de la prestation des services en vertu du contrat principal ou du contrat de sous-traitance. | |||
Résiliation ou expiration du contrat Déterminer l'opportunité de mentionner dans l'entente contractuelle ce qui suit : 32. tous les renseignements personnels et documents doivent être retournés à l'autorité contractante dès l'achèvement du contrat; |
|||
33. l'entrepreneur continue d'être tenu de protéger les renseignements personnels même après l'achèvement du contrat. |
Annexe C : Principaux accords régissant le commerce international
Accord sur le commerce intérieur
L'Accord sur le commerce intérieur (ACI) s'applique à la plupart des ministères fédéraux et à sept sociétés d'État. L'ACI vise les marchés de biens d'une valeur égale ou supérieure à 25 000 $ et les marchés de services et de travaux de construction de 100 000 $ ou plus. Sont exclus de l'ACI les services suivants :
- les services offerts par des professionnels agréés, notamment les médecins, infirmières, pharmaciens, vétérinaires, dentistes, ingénieurs, arpenteurs-géomètres, architectes, comptables agréés, avocats et notaires;
- le transport des agrégats dans le cadre des projets de construction d'autoroutes;
- les services des analystes financiers ou la gestion des investissements;
- la gestion des éléments d'actif et de passif financiers du gouvernement;
- les services de santé et les services sociaux;
- les services de publicité et de relations publiques.
De plus, l'ACI ne s'applique pas aux marchés liés aux industries culturelles, à la culture autochtone, à la sécurité nationale ou aux services financiers.
Accord de libre-échange nord-américain
L'Accord de libre-échange nord-américain (ALENA) s'applique à la plupart des ministères fédéraux et à dix sociétés d'État. L'ALENA vise les marchés de biens de plus de 27 300 $ (Canada–É.-U.) et 76 600 $ (Canada-Mexique), les marchés de services dont la valeur est égale ou supérieure à 76 600 dollars et les marchés de travaux de construction de 9,9 millions de dollars ou plus. Dans le cas des sociétés d'État, l'ALENA s'applique à l'achat de biens et de services évalués à 383 300 $ ou plus et aux marchés de travaux de construction dont la valeur est égale ou supérieure à 12,2 millions de dollars.
Accord sur les marchés publics de l'Organisation mondiale du commerce
L'Accord sur les marchés publics de l'Organisation mondiale du commerce (AMP-OMC) s'applique à la plupart des ministères fédéraux. Il vise les marchés de biens ou de services dont la valeur est égale ou supérieure à 221 000 $ et les marchés de travaux de construction de 8.5 millions de dollars ou plus. L'AMP-OMC est un accord multilatéral qui vise à garantir une concurrence internationale accrue aux fins des marchés publics.
ALENA et AMP-OMC
Outre certaines exceptions générales comme les marchés relatifs à la sécurité nationale, les produits pour personnes handicapées, ou ceux fabriqués dans des institutions philanthropiques ou, par la main-d'oeuvre carcérale et les mesures nécessaires pour protéger les moeurs, l'ordre ou la sécurité du public, les marchés portant sur les biens et services suivants sont exclus :
- la construction et la réparation de navires;
- les éléments, le matériel, le fer, l'acier et l'équipement liés au transport et au transport ferroviaire urbains;
- les services de transport qui font partie, intégralement ou accessoirement, d'un marché d'approvisionnement;
- le matériel de communication et de détection et l'équipement de radiation cohérent compris dans la catégorie 58 de la classification fédérale des approvisionnements (CFA);
- les achats de pétrole répondant à des impératifs de réserve stratégique;
- les achats effectués pour permettre de protéger le matériel nucléaire;
- les travaux de dragage;
- les catégories suivantes de la CFA pour les ministères des Transports, des Communications, et des Pêches et Océans :
70 (matériel de traitement automatique des données, logiciels et périphériques);
74 (machines de bureau, systèmes de traitement de textes et matériel d'enregistrement visuel);
36 (machines industrielles spéciales).
En plus, les cinq groupes suivants de marchés de services sont entièrement exclus de l'application de l'ALENA et de l'AMP-OMC :
- recherche et développement;
- services de santé et services sociaux;
- services financiers et services connexes;
- services publics;
- services de communications, photographie, cartographie, imprimerie et publication.
Remarque : Les plafonds susmentionnés ont par le passé changé au rythme de l'inflation et pour d'autres raisons. La notification de tels changements est faite par voie d'Avis sur la politique sur les marchés.
Source : Les renseignements qui précèdent ont été reproduits à partir du document de Travaux publics et Services gouvernementaux Canada intitulé «Accords commerciaux», sur le site Web du Centre de services aux entreprises du Canada.
Notes explicatives concernant la liste de contrôle pour la protection des renseignements personnels
A. Introduction
A.1 Préambule
La Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels ne s'appliquent qu'aux institutions fédérales énumérées aux annexes de chacune des lois, et elles accordent aux particuliers un droit d'accès aux documents ou aux renseignements personnels qui relèvent des institutions fédérales, sous réserve d'exceptions et d'exclusions particulières. La Loi sur la protection des renseignements personnels oblige aussi les institutions fédérales à gérer les renseignements personnels conformément aux articles 4 à 8 de la Loi, qui établissent un code de pratiques équitables en matière de collecte, d'exactitude, d'utilisation, de communication, de conservation et d'élimination des renseignements personnels.
Les lois ne s'appliquent pas aux entrepreneurs du secteur privé. Cela signifie que quand elles confient la gestion d'un programme ou d'un service gouvernemental à des entrepreneurs de l'extérieur de la fonction publique, les institutions fédérales doivent veiller à ce que le marché ne réduise pas le droit d'accès du public à l'information ou qu'il ne réduise pas de manière significative leur capacité de protéger les renseignements personnels des particuliers. Le moyen le plus efficace d'exiger qu'un fournisseur de services de l'extérieur respecte les exigences de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels consiste à inclure, lorsqu'il y a lieu de le faire, des dispositions pertinentes d'accès à l'information et de protection des renseignements personnels dans l'entente contractuelle.
Les dispositions requises varient selon les rapports et la nature des services à fournir. Dans certains cas, il peut être nécessaire d'inclure des dispositions traitant de la communication de renseignements personnels au fournisseur de services, de manière à permettre l'exécution du marché, ou des dispositions permettant de satisfaire aux exigences de collecte de renseignements prévues dans la Loi sur la protection des renseignements personnels, lorsque les produits livrables aux termes du marché requièrent la collecte de renseignements personnels par l'entrepreneur au nom de l'institution fédérale. Dans d'autres cas, lorsque la partie contractante agit au nom de l'institution fédérale en exécutant des fonctions ou des services gouvernementaux, des dispositions peuvent être nécessaires pour préciser de qui relèvent les documents ou les renseignements personnels transférés à l'entrepreneur du secteur privé ou recueillis, créés ou conservés par celui-ci dans le cadre de l'exécution du marché, et veiller à ce que soient entièrement observées les exigences prévues dans les deux lois concernant les documents ou les renseignements personnels qui sont réputés « relever de » l'institution fédérale.
Les dispositions contractuelles qui s'imposent permettraient de voir à ce que l'entrepreneur continue de s'acquitter de la responsabilité qu'a l'institution fédérale d'assurer la protection des renseignements personnels et, le cas échéant, que les particuliers continuent d'avoir un droit d'accès aux renseignements personnels qui les concernent et aux documents qui ont trait à l'obligation qu'a l'institution fédérale de rendre compte de l'exécution du programme ou des services aux termes du marché.
A.2 Objet
Les notes explicatives[1] qui suivent s'ajoutent à la liste de contrôle pour la protection des renseignements personnels de manière à orienter les institutions fédérales dans l'élaboration de dispositions d'accès à l'information et de protection des renseignements personnels conformes à leurs obligations prévues dans la loi. Les dispositions visent les situations où un fournisseur de services de l'extérieur (ci-après appelé entrepreneur[2]) doit traiter des documents ou des renseignements personnels au nom d'une autorité contractante[3] ou d'une institution fédérale lors de l'exécution de fonctions ou de services gouvernementaux. Les questions qui se trouvent dans la liste de vérification visent à mettre en relief les exigences particulières en matière d'accès à l'information et de protection des renseignements personnels dont il faut tenir compte au moment de rédiger des marchés publics.
A.3 Survol
Comme chaque marché est unique, toutes les questions de la liste de contrôle pour la protection des renseignements personnels ne s'appliqueront pas à toutes les situations contractuelles. Par exemple, un marché qui ne consiste qu'à conserver ou à archiver des renseignements personnels ou qui ne concerne que le fonctionnement ou la tenue à jour d'un système informatique renfermant des renseignements personnels ne requiert peut-être pas de dispositions sur la protection des renseignements personnels qui concernent la collecte, l'exactitude, l'utilisation, la communication ou la correction de renseignements personnels. Il faut répondre à chacune des questions de la liste de contrôle en tenant compte du caractère délicat des renseignements personnels en cause ainsi que de la nature et de la portée des services que doit fournir l'entrepreneur au nom de l'institution fédérale. Les institutions sont invitées à consulter leurs conseillers juridiques et leurs fonctionnaires de l'accès à l'information et de la protection des renseignements personnels (AIPRP) afin de déterminer les besoins particuliers d'accès à l'information et de protection des renseignements personnels qui peuvent s'appliquer à leur situation contractuelle donnée.
Les questions de la liste de contrôle et les notes explicatives fournies dans le présent document ne sont pas nécessairement exhaustives; il pourrait y avoir d'autres exigences législatives à considérer en matière de protection des renseignements personnels au niveau provincial ou fédéral, y compris des lois propres à un ministère ou à un programme et l'application possible de la Loi sur la protection des renseignements personnels et les documents électroniques. Les institutions fédérales confrontées à ce genre de scénario doivent, après consultation auprès de leurs conseillers juridiques et des fonctionnaires de l'AIPRP, mener une analyse législative et stratégique approfondie des exigences prévues dans toutes les lois applicables et mettre au point des dispositions contractuelles qui assurent, d'abord et avant tout, que l'institution satisfait à ses obligations juridiques. Si plus d'une loi s'applique, les institutions peuvent aussi adopter les normes ou les principes les plus stricts en matière de protection des renseignements personnels.
B. Notes explicatives concernant les questions de la liste de contrôle
La liste de contrôle et les notes explicatives ne sont fournies qu'à titre d'orientation, et les institutions fédérales ne doivent pas se fier uniquement à elles dans la préparation d'un marché ou d'un autre document. Encore une fois, les institutions sont invitées à consulter leurs experts ministériels des questions juridiques et de l'AIPRP pour obtenir conseil en la matière.
Contrôle et responsabilité
Principe
La Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels s'appliquent aux documents et aux renseignements personnels « qui relèvent » d'institutions fédérales. Cette question est donc d'une importance primordiale pour veiller à ce que les droits à l'information et à la protection des renseignements personnels des particuliers aux termes de ces lois soient observés quand des documents sont transférés à un entrepreneur ou produits par lui pendant qu'il s'acquitte de ses obligations au nom d'une institution fédérale.
La politique gouvernementale stipule que les institutions doivent s'acquitter de leurs obligations aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels quand elles recourent à la sous-traitance.
De façon générale, sauf en cas de justification valide, les institutions fédérales devraient inclure dans les ententes contractuelles des dispositions qui font en sorte que les documents, qui sont soit transférés à l'entrepreneur, ou créés, recueillis ou conservés par celui-ci dans l'exécution d'un marché relatif à la prestation de services gouvernementaux, continuent de relever de l'institution fédérale contractante et demeurent assujettis aux dispositions de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.
Outre les dispositions sur l'accès à l'information, l'entente contractuelle devrait aussi inclure des dispositions de protection des renseignements personnels pour faire en sorte que les renseignements personnels contenus dans les documents, suivant la définition de l'article 3 de la Loi sur la protection des renseignements personnels, soient gérés par l'entrepreneur conformément au code de pratiques équitables en matière d'information prévu dans la Loi sur la protection des renseignements personnels et dans son règlement d'application, ainsi qu'à la Politique du Secrétariat du Conseil du trésor sur la protection de la vie privée
L'entrepreneur doit assumer l'entière responsabilité pour l'exécution de ses obligations et fonctions aux termes du marché.
1. L'entente contractuelle devrait-elle préciser quels types de documents ou de renseignements personnels (énumérer les types de documents ou d'éléments d'information) visés par le marché :
- continueront de relever du gouvernement et d'être assujettis à la Loi sur la protection des renseignements personnels et à la Loi sur l'accès à l'information;
- demeureront la propriété exclusive de l'entrepreneur?
La sous-traitance des fonctions de prestation de services ou de programmes fédéraux ne permet pas au gouvernement de se soustraire à ses obligations en matière d'accès à l'information et de protection des renseignements personnels ou des documents détenus en son nom par des entreprises du secteur privé. Les institutions qui proposent de confier en sous-traitance des services ou des programmes gouvernementaux devraient préparer une analyse de rentabilisation comportant plusieurs critères d'intérêt public, y compris comment les droits à l'information et à la protection des renseignements personnels des citoyens canadiens seront conservés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels[4].
Au moment d'évaluer les répercussions de la sous-traitance en matière d'accès à l'information et de protection des renseignements personnels, les institutions fédérales doivent déterminer si les documents (incluant les renseignements personnels) qui seront recueillis, créés ou conservés par l'entrepreneur ou qui lui seront transférés[5] dans l'exécution d'un service ou d'un programme gouvernemental, relèvent de l'institution fédérale. Si l'institution fédérale établit qu'ils relèvent d'elle, les documents seront visés par la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Dans cette optique, l'institution serait tenue de préciser, dans le marché, un certain nombre de conditions conformes à ses droits et obligations aux termes des lois, et qui précisent très clairement les responsabilités de l'entrepreneur à l'égard de ces documents et de ces renseignements personnels.
Du point de vue juridique, les documents sont visés par la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels lorsqu'ils sont réputés « relever de » l'institution fédérale. Aussi longtemps que les documents relèvent d'une institution fédérale, les exigences prévues dans les lois s'appliquent.
Une institution fédérale ne peut se soustraire à ses obligations législatives[6]aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels en soutenant qu'elle n'a pas la possession de documents particuliers. Il peut toutefois arriver, de manière tout à fait légitime, qu'une institution veuille obtenir un service d'un entrepreneur indépendant sans que les renseignements personnels créés par le fait même relèvent d'elle, tout en protégeant ces renseignements. Par exemple, une institution fédérale qui a recourt aux services d'une firme de sondages du secteur privé afin d'évaluer la satisfaction des clients ou des employés et de déterminer comment améliorer le service peut ne pas vouloir nécessairement que les renseignements personnels recueillis par l'entrepreneur relèvent d'elle. En fait, les produits livrables exigés peuvent obliger l'entrepreneur à fournir tous les renseignements recueillis dans le cadre d'une enquête sous une forme non identifiable. Dans de tels cas, l'entrepreneur devrait être tenu de détruire la clé lui permettant de relier des données statistiques à des répondants, une fois que l'enquête est terminée et que toutes les données ont été compilées et validées. L'entrepreneur devrait aussi être tenu de protéger les renseignements jusqu'à ce qu'ils aient été détruits ou rendus complètement anonymes.
Dans d'autres cas, il pourrait aussi être souhaitable que soit précisée dans le marché une liste des documents (administratifs, financiers, comptables ou des ressources humaines) de l'entrepreneur qui lui sont nécessaires aux fins de l'exécution du marché, mais qui ne sont pas considérés comme étant la propriété ou comme relevant de l'institution fédérale. Il devrait être précisé dans le marché que si le gouvernement a en sa possession des documents de l'entrepreneur ou que s'il a le pouvoir de les produire, ils seront considérés comme relevant de l'institution fédérale.
Il devrait aussi être précisé dans le marché que les documents qui sont réputés relever de l'institution fédérale, mais qui sont détenus par l'entrepreneur, doivent être séparés des autres documents d'affaires ou dépôts de données de l'entrepreneur pour des raisons de sécurité et pour faciliter l'application de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels (p. ex., les droits d'accès et de correction d'un particulier).
2. L'entente contractuelle devrait-elle préciser que l'entrepreneur doit charger un ou des cadres de son organisation afin d'agir à titre de personne-ressource pour assurer la conformité avec les exigences en matière de protection des renseignements personnels et de sécurité?
La Norme de sécurité et de gestion des marchés [7] indique que les institutions sont responsables de la protection des biens et des renseignements protégés ou classifiés tout au long du processus contractuel. La norme prévoit l'utilisation de dispositions contractuelles pour spécifier les exigences de sécurité.
Le Manuel de la sécurité industrielle, qui est produit par la Direction de la sécurité industrielle canadienne et internationale (DSICI) de Travaux publics et Services gouvernementaux Canada (TPSGC), contient des dispositions spécifiques qui s'appliquent à tous entrepreneurs autorisés à conserver ou à traiter des biens ou des renseignements gouvernementaux protégés ou classifiés qui requièrent un examen des organisations désignées ou une attestation de sécurité d'installation. Entre autres, le manuel exige que ces entrepreneurs nomment un agent de sécurité d'entreprise chargé de s'acquitter des responsabilités en matière de sécurité.
Bien qu'il n'y ait aucune exigence dans le Manuel de la sécurité industrielle pour que l'entrepreneur nomme une personne responsable de la protection de la vie privée, l'institution fédérale a l'obligation de prendre des mesures raisonnables pour s'assurer que les entrepreneurs mettent en place des pratiques efficaces en matière de protection de la vie privée. Une de ces mesures consiste à désigner une personne responsable de la gestion de la protection de la vie privée pour l'entrepreneur. Ainsi, selon le caractère délicat des renseignements personnels et la nature et la portée des services qui doivent être fournis par l'entrepreneur, celui-ci peut être tenu de désigner un ou des employés principaux chargés de rendre compte de l'application et de l'observation des exigences en matière de protection de la vie privée prévues au marché et d'être le premier point de contact en la matière. L'institution fédérale serait tenue de faire la même chose.
3. L'entente contractuelle devrait-elle préciser que l'entrepreneur doit fournir au gouvernement une liste à jour de tous les employés, les sous-traitants ou les mandataires participant à l'exécution du marché qui auront accès à des renseignements personnels?
Les institutions fédérales peuvent déterminer si elles ont besoin de connaître l'identité des employés de l'entrepreneur qui auront accès à des renseignements personnels. Dans la plupart des cas, il peut suffire d'énumérer les postes ou les catégories d'employés de l'entrepreneur qui ont besoin d'avoir accès à des renseignements personnels pour s'acquitter de leurs fonctions aux termes du marché, plutôt que d'énumérer tous les employés. Il en résulterait une plus grande souplesse administrative pour ce qui est des marchés de longue durée ou lorsque le roulement du personnel est élevé. Dans ces cas, les genres d'éléments de renseignements personnels auxquels chaque catégorie d'employés doit avoir accès doivent être précisés au marché, ainsi que les circonstances particulières dans lesquelles des employés de l'entrepreneur devront avoir accès à l'information. Les exigences de sécurité et les mesures de contrôle de l'accès à l'information qui seront en place devraient aussi être précisées dans le marché.
Dans les cas où l'information à laquelle l'entrepreneur doit avoir accès dans le cadre du marché est de nature très délicate[8], les institutions fédérales peuvent imposer les autres conditions suivantes :
- limiter le nombre de personnes (c.-à-d., employés de l'entrepreneur, sous-traitants ou mandataires) qui auront accès aux renseignements personnels dans le cadre de l'exécution du marché;
- préciser, dans le marché, le nom de chacune des personnes qui auront accès à des renseignements personnels, en précisant comment, pourquoi et quand cet accès sera autorisé (une liste des personnes serait annexée à l'original du marché);
- tenir à jour, pendant toute la durée du marché, une liste par poste de toutes les personnes qui ont accès à des renseignements personnels dans le cadre de l'exécution du marché et fournir à l'institution fédérale une copie de cette liste en tout temps et sur demande[9].
4. L'entente contractuelle devrait-elle préciser que tous les employés, les sous-traitants ou les mandataires de l'entrepreneur qui pourraient avoir accès à des renseignements personnels dans le cadre de l'exécution du marché doivent signer une entente de protection et de non-divulgation de l'information?
Il est d'une importance primordiale que, dans toutes les ententes d'impartition ou de sous-traitance, tous les employés de l'entrepreneur (c.-à-d., les employés de l'entrepreneur, les sous-traitants ou les mandataires) engagés dans l'exécution du marché soient pleinement conscients de leurs obligations en matière de protection des renseignements personnels. Dans cette optique, il doit être précisé au marché que l'entrepreneur assure la formation des employés pertinents pour ce qui est des exigences de sécurité et de protection de la vie privée prévues dans le marché, et qu'il s'engage à imposer des mesures disciplinaires, au besoin, pour veiller à ce que les employés se conforment à ces exigences.
Selon le caractère délicat des renseignements personnels en cause, il peut aussi être précisé au marché que l'entrepreneur doit, avant de laisser un employé avoir accès aux renseignements personnels détenus relativement au marché, veiller à ce que chaque employé signe une déclaration de protection de la vie privée et du caractère confidentiel des renseignements auprès de l'entrepreneur, sous une forme acceptable pour l'institution fédérale. La déclaration devrait préciser les mesures disciplinaires envisagées, y compris la cessation de l'emploi, dans les cas où un employé qui n'y est pas autorisé utilise, divulgue ou élimine sciemment des renseignements personnels contrairement aux dispositions contractuelles, ou y a accès. Cette déclaration doit être conservée dans les dossiers de l'entrepreneur pendant toute la durée du marché et pendant une période déterminée une fois le marché terminé. Les employés devraient aussi être informés qu'une copie de leur déclaration pourrait être fournie à l'institution fédérale qui en fait la demande.
5. L'entente contractuelle devrait-elle préciser que l'entrepreneur est entièrement et uniquement responsable des actions des employés, des sous-traitants et des mandataires qui agissent pour son compte dans l'exécution de leurs fonctions aux termes du marché?
L'entrepreneur doit être tenu entièrement responsable des obligations et des fonctions qui lui échoient aux termes du marché. La responsabilité générale de l'entrepreneur, qui consiste à veiller à ce que ses employés, mandataires et sous-traitants observent les modalités et les conditions du marché, y compris les exigences de protection des renseignements personnels qui relèvent de l'institution fédérale, devrait être précisée en toutes lettres dans le marché.
6. L'entente contractuelle devrait-elle préciser que l'entrepreneur doit informer le gouvernement à l'avance de tout changement en ce qui a trait à la propriété d'une partie ou de la totalité de son entreprise?
La fusion ou la vente d'une entreprise à laquelle l'entrepreneur est partie peut créer un conflit d'intérêts ou des risques imprévus en matière de renseignements, de vie privée et de sécurité. Le fait d'obliger l'entrepreneur à informer l'institution fédérale à l'avance en cas de changement en ce qui a trait à la propriété ou au contrôle de tout ou d'une partie des activités commerciales de l'entrepreneur permettrait à l'institution d'évaluer les répercussions éventuelles de ce changement en matière de renseignements, de vie privée et de sécurité. L'institution devrait inclure, dans le marché, un droit de résiliation du marché dans de telles circonstances, si elle estime justifié de le faire. Cela serait particulièrement important si le nouveau propriétaire ou associé proposé est à l'étranger ou s'il a des liens avec des entreprises des États-Unis ou d'autres organisations étrangères, ou pour d'autres raisons d'intérêt public (p. ex., le Canada ne conclut pas d'ententes avec l'Iran).
7. L'entente contractuelle devrait-elle préciser que l'entrepreneur doit aviser immédiatement le gouvernement dans le cas de toute procédure liée à une faillite ou à une question d'insolvabilité ayant été portée contre ou par lui en vertu des lois qui s'appliquent en matière de faillite et d'insolvabilité ou de tout avis de recours des créanciers?
Selon la nature du marché et le caractère délicat des services ou des fonctions que doit exécuter l'entrepreneur au nom de l'institution fédérale, il peut être nécessaire de préciser dans le marché que l'entrepreneur doit informer l'autorité contractante ou l'institution fédérale si des procédures de faillite et d'insolvabilité sont intentées par ou contre l'entrepreneur aux termes des lois applicables sur la faillite et l'insolvabilité, y compris des recours intentés par des créanciers contre l'entrepreneur. Les institutions fédérales devraient consulter leurs conseillers juridiques et leurs experts des marchés avant d'insérer une telle clause dans leur marché.
Le fait qu'un entrepreneur éprouve des difficultés financières ou qu'il ait recours à l'une des lois sur la faillite ou l'insolvabilité pourrait avoir de très graves répercussions sur sa capacité de s'acquitter des exigences du marché ou de son exécution. Dès que le gouvernement est informé du fait que l'entrepreneur est devenu insolvable ou a déclaré faillite[10], il est essentiel qu'il adopte des mesures immédiates afin d'assurer la protection de ses droits dans le cadre de procédures officielles et afin de déterminer si l'entrepreneur demeure capable de s'acquitter des exigences du marché ou de son exécution. Le rendement de l'entrepreneur devrait être étroitement surveillé dans ces circonstances et, dans la mesure où le permettent les lois du Canada, l'institution fédérale devrait préciser, dans le marché, qu'elle peut, à son gré, résilier le marché en tout ou en partie.
Flux de données transfrontière
Principe
Les institutions fédérales ont l'obligation de veiller à ce que les renseignements personnels qui sont recueillis, utilisés, traités, consultés, communiqués, conservés, reçus, créés ou éliminés aux fins de l'exécution des exigences d'un marché soient protégés contre les risques liés à la circulation transfrontalière des renseignements, y compris le risque que des renseignements personnels de Canadiens se trouvent entre les mains des autorités américaines aux termes de la USA PATRIOT Act ou de lois étrangères semblables en matière de perquisition et de saisie.
8. L'entente contractuelle devrait-elle préciser les restrictions quant à l'endroit où l'entrepreneur peut traiter, entreposer ou conserver les documents et les renseignements personnels, y compris les copies de sauvegarde et les archives (le document d'orientation offre des conseils et présente des clauses standard)?
L'un des mécanismes qui permet de composer avec les risques liés à la circulation transfrontalière de l'information consiste à faire exécuter le travail au Canada et à consigner les renseignements personnels dans un système qui n'est pas accessible à des entités situées à l'étranger (p. ex., partenariats ou institutions gouvernementales exploitées par un entrepreneur [IGEE]) assujetties aux lois applicables sur le commerce. Le marché devrait donc préciser s'il existe des restrictions ou des interdictions quant à l'endroit où les documents renfermant des renseignements personnels peuvent être traités, entreposés ou conservés par l'entrepreneur, de même qu'à l'endroit d'où ces documents peuvent être consultés par l'entrepreneur ou un de ses affiliés. Cela est particulièrement important si l'entrepreneur est situé à l'étranger ou s'il est une filiale d'une organisation étrangère.
L'inclusion d'une clause de cette nature reposera sur le caractère délicat des renseignements personnels en cause, le type de marché, les travaux à exécuter et à savoir si les renseignements relèvent ou non de l'institution fédérale, de l'entreprise qui exécute les travaux et le niveau de risque d'exposition des renseignements à une entreprise des États-Unis ou de l'étranger, ou à ses sous-traitants. Les étapes cruciales de ce processus décisionnel sont indiquées aux étapes 3 à 5 de la section sur la passation de marchés ou dans l'annexe A du document d'orientation, qui renferme aussi des exemples de langage contractuel qui pourrait être utilisé pour prévenir le risque de divulgation de renseignements à un gouvernement étranger. Il est important, avant de mettre en œuvre, de modifier ou d'adapter l'une des clauses fournies à titre d'exemple dans le document d'orientation, que les institutions consultent leurs conseillers juridiques et leurs fonctionnaires de l'AIPRP. Il peut aussi être nécessaire de consulter l'agent de sécurité ministériel au sujet des exigences de sécurité prévues dans la Politique du gouvernement sur la sécurité.
9. L'entente contractuelle devrait-elle préciser qu'il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels à l'étranger, ou de permettre à des parties à l'extérieur du Canada d'y avoir accès, sans avoir obtenu au préalable le consentement écrit du gouvernement?
S'il y a lieu, il peut être précisé dans le marché qu'il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels à des tiers à l'étranger, ou de permettre à des parties à l'extérieur du Canada d'y avoir accès, sans avoir obtenu au préalable le consentement écrit de l'institution. Une fois que les renseignements traversent les frontières canadiennes, il peut être difficile, voire impossible, pour une institution fédérale d'empêcher leur utilisation, leur communication ou leur transfert non autorisés, ou même d'avoir accès à ses propres renseignements.
Collecte de renseignements personnels (articles 4 et 5 de la Loi sur la protection des renseignements personnels)
Principe
En vertu de l'article 4 de la Loi sur la protection des renseignements personnels, les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités.
Il est précisé au paragraphe 5(1) de la Loi sur la protection des renseignements personnels qu'une institution fédérale est tenue de recueillir auprès de l'individu lui-même, chaque fois que possible, les renseignements personnels destinés à des fins administratives le concernant. Des exceptions sont prévues à cette règle, comme dans le cas d'activités d'exécution de la loi.
Sous réserve des exceptions prévues au paragraphe 5(3) de la Loi sur la protection des renseignements personnels, les institutions fédérales sont tenues d'informer l'individu auprès de qui elles recueillent des renseignements personnels le concernant des fins auxquelles ils sont destinés.
10. L'entente contractuelle devrait-elle préciser que la collecte de renseignements personnels doit se limiter aux renseignements dont l'entrepreneur a besoin pour se conformer aux modalités du marché ou pour exercer ses droits en vertu de l'entente?
Dans les cas où l'entrepreneur est tenu de recueillir des renseignements personnels au nom de l'institution fédérale dans le cadre de l'exécution des fonctions ou des services gouvernementaux, et où les renseignements personnels relèvent de l'institution fédérale, le marché devrait préciser les fins auxquelles l'entrepreneur peut recueillir les renseignements personnels aux termes du marché, de même que l'autorité[11] de l'institution pour effectuer une telle la collecte. Le marché devrait également spécifier les genres d'éléments de renseignements personnels qui peuvent être recueillis par l'entrepreneur au nom de l'institution et auprès de qui ces renseignements personnels sont recueillis. Une clause semblable devrait être prise en considération quand l'entrepreneur est tenu, dans le cadre du marché, de créer des renseignements personnels.
Le marché devrait aussi préciser que l'entrepreneur doit limiter sa collecte de renseignements personnels à ce qui est nécessaire aux fins du marché ou de l'exercice de ses droits aux termes de l'entente (c.-à-d., les renseignements qui seraient requis par l'entrepreneur pour étayer son droit de recevoir un paiement).
Il est important de garder à l'esprit qu'au moment de préciser la nature des renseignements personnels que l'entrepreneur peut recueillir, l'institution fédérale doit veiller à ce que l'entrepreneur ne recueille pas davantage de renseignements personnels auprès de particuliers que l'institution fédérale elle-même serait autorisée à recueillir aux termes de la Loi sur la protection des renseignements personnels pour une activité ou un programme autorisé semblable de l'institution. Les exigences (ou exceptions) de notification et de collecte directe de renseignements personnels destinés à une utilisation administrative doivent être respectées.
Dans les cas où l'institution obtient un service d'un entrepreneur indépendant sans que les renseignements personnels relèvent d'elle, mais où les produits livrables précisés dans le marché entraîneront la collecte de renseignements personnels par l'institution fédérale, le marché devrait préciser les renseignements personnels à fournir à l'institution fédérale dans le cadre de la fourniture des produits livrables. L'institution fédérale doit veiller à ce que seuls des renseignements personnels directement liés au programme ou à l'activité soient recueillis dans le cadre des produits livrables et à ce que les exigences de collecte indirecte prévues dans la Loi sur la protection des renseignements personnels soient observées.
11. L'entente contractuelle devrait-elle préciser que l'entrepreneur doit, sauf indication contraire par écrit, recueillir les renseignements personnels directement auprès de l'individu qu'ils concernent?
Dans les cas où l'entrepreneur recueille des renseignements personnels au nom de l'institution fédérale en exerçant des fonctions ou en fournissant des services gouvernementaux et où les renseignements personnels relèvent de l'institution fédérale, il devrait être précisé dans le marché qu'à moins d'un avis écrit de l'institution en sens contraire, l'entrepreneur doit les recueillir directement auprès de la personne qu'ils concernent. La méthode et le mode de collecte des renseignements devraient aussi être précisés dans l'entente contractuelle.
12. L'entente contractuelle devrait-elle préciser qu'au moment de la collecte de renseignements personnels, l'entrepreneur doit informer l'individu auprès de qui il recueille ces renseignements :
- la raison d'être de la collecte et l'autorisation obtenue pour la collecte;
- toute utilisation ou divulgation conforme à la raison d'être originale;
- toute utilisation ou divulgation non conforme à la raison d'être originale;
- toute conséquence administrative ou légale découlant d'un refus de fournir les renseignements personnels;
- le droit d'accéder et de demander des corrections à ses renseignements personnels et le droit de leur protection en vertu de la Loi sur la protection des renseignements personnels.
Le paragraphe 5(2) de la Loi sur la protection des renseignements personnels reconnaît le droit de la personne de savoir et de comprendre à quelles fins on recueille et utilise ses renseignements personnels. La Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor précise de quelle manière cet avis doit être donné. Il s'agit de l'un des principes les plus fondamentaux de la protection des renseignements personnels étant donné que, sans préavis, la personne ne peut prendre une décision éclairée visant la communication de ses données personnelles.
Dans les cas où l'entrepreneur recueille des renseignements personnels au nom de l'institution fédérale en exerçant des fonctions ou en fournissant des services gouvernementaux et où les renseignements personnels relèvent de l'institution fédérale, il devrait exigé dans le marché que l'entrepreneur avise[12], au moment de la collecte, les personnes auprès de qui il recueille les renseignements personnels de la raison d'être de la collecte et l'autorisation obtenue pour la collecte; de toute utilisation ou divulgation conforme à la raison d'être originale; de toute utilisation ou divulgation non conforme à la raison d'être originale; de toute conséquence administrative ou légale découlant d'un refus de fournir les renseignements personnels et du droit d'accéder et de demander des corrections à ses renseignements personnels et le droit de leur protection en vertu de la Loi sur la protection des renseignements personnels.
13. L'entente contractuelle devrait-elle préciser que les employés de l'entrepreneur sont tenus de fournir leur identité aux individus auprès desquels ils recueillent des renseignements personnels et de donner à ces derniers un moyen de vérifier s'ils travaillent effectivement pour le compte du gouvernement et sont autorisés à recueillir les renseignements?
Dans les cas où l'entrepreneur est tenu de recueillir des renseignements personnels de particuliers en personne, il devrait être précisé dans le marché que les employés de l'entrepreneur sont tenus de fournir leur identité aux personnes auprès de qui ils recueillent des renseignements personnels et de donner à ces dernières un moyen de vérifier s'ils travaillent effectivement pour le compte du gouvernement du Canada et sont autorisés à recueillir les renseignements. Les employés de l'entrepreneur devraient avoir sur eux une lettre de l'institution fédérale confirmant que les renseignements personnels sont recueillis au nom du gouvernement du Canada et présenter une photo dans la forme et de la manière approuvées par l'institution au moment de recueillir des renseignements personnels de particuliers en personne à leur lieu de résidence.
Au moment de recueillir des renseignements personnels au téléphone, les employés de l'entrepreneur devraient fournir aux personnes le titre, l'adresse et le numéro de téléphone au travail d'un fonctionnaire de l'État qui peut confirmer leur autorisation et les fins auxquelles les renseignements sont recueillis ainsi que répondre aux questions des particuliers au sujet de la collecte.
Exactitude des renseignements personnels (paragraphe 6(2) de la Loi sur la protection des renseignements personnels)
Principe
Le paragraphe 6(2) de la Loi sur la protection des renseignements personnels exige que les institutions fédérales adoptent toutes les mesures raisonnables pour veiller à ce que les renseignements personnels utilisés à des fins administratives soient aussi exacts, à jour et complets que possible. Cette exigence a pour objet de réduire la possibilité qu'une décision touchant un soit prise sur la base de renseignements inexacts, désuets ou incomplets.
14. L'entente contractuelle devrait-elle préciser que l'entrepreneur doit s'efforcer dans toute la mesure du possible d'assurer l'exactitude et l'intégralité de tout renseignement personnel qu'il utilisera ou dont se servira le gouvernement dans le cadre d'un processus décisionnel qui influera directement sur l'individu faisant l'objet de ces renseignements?
Si des renseignements personnels recueillis par l'entrepreneur aux termes du marché sont utilisés ou destinés à être utilisés par l'entrepreneur ou l'institution fédérale dans le cadre d'un processus décisionnel qui touche directement la personne que les renseignements concernent, il devrait alors être précisé dans le marché que l'entrepreneur doit déployer tous les efforts raisonnables pour veiller à ce que les renseignements soient exacts, à jour et complets.
Dans certains cas, le marché peut préciser la responsabilité conjointe d'exactitude et d'intégralité des données de l'institution fédérale et de l'entrepreneur. Par exemple, si l'obligation de l'entrepreneur se limite à veiller à ce que les données qui lui sont fournies soient enregistrées et sauvegardées comme il se doit, il incombe à l'institution d'examiner et de modifier les données afin d'assurer leur exactitude et leur intégralité. Dans ces situations, il devrait être précisé dans le marché que l'entrepreneur doit adopter toutes les mesures raisonnables pour veiller à ce que les renseignements personnels qui lui sont fournis relativement au marché soient inscrits et non modifiés, sauf si l'institution fédérale l'ordonne.
Autrement, l'entrepreneur peut être tenu de mettre à jour des renseignements personnels à des intervalles déterminés, en communiquant directement avec les personnes touchées, ou indirectement d'autres sources si l'institution fédérale a le pouvoir de recueillir les renseignements indirectement d'une tierce partie.
Usage des renseignements personnels (article 7 de la Loi sur la protection des renseignements personnels)
Principe
Sans le consentement de la personne concernée, les renseignements personnels qui relèvent d'une institution fédérale ne doivent être utilisés qu'aux fins auxquelles ils ont été recueillis, à une fin conforme à l'objectif initial, ou à une fin pour laquelle les renseignements peuvent être communiqués à l'intérieur ou à l'extérieur de l'institution aux termes du paragraphe 8(2) de la Loi sur la protection des renseignements personnels.
15. L'entente contractuelle devrait-elle préciser que, sauf indication contraire par écrit, l'entrepreneur doit utiliser les renseignements personnels dans le but exclusif de remplir les obligations qui lui incombent en vertu du marché?
L'institution fédérale doit veiller à ce que les renseignements personnels qui relèvent d'elle mais qui sont détenus par l'entrepreneur ne soient pas utilisés d'une manière non conforme aux obligations qui échoient à l'institution fédérale aux termes de la Loi sur la protection des renseignements personnels[13]. Il devrait être interdit à l'entrepreneur d'utiliser des renseignements personnels détenus relativement au marché autrement qu'aux fins des obligations dont il doit s'acquitter aux termes du marché.
Le marché devrait préciser expressément les fins auxquelles l'entrepreneur peut utiliser les renseignements personnels et ajouter que l'utilisation à d'autres fins doit être autorisée expressément par écrit par l'institution fédérale. Le marché devrait également préciser que ces restrictions survivent à la durée du marché.
Communication de renseignements personnels (article 8 de la Loi sur la protection des renseignements personnels)
Principe
Les renseignements personnels qui relèvent d'une institution fédérale ne peuvent, sans le consentement de la personne qu'ils concernent, être communiqués à des tiers, sauf dans les situations limitées énoncées au paragraphe 8(2) de la Loi sur la protection des renseignements personnels.
16. L'entente contractuelle devrait-elle préciser qu'il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels, sauf dans la mesure où cela est jugé nécessaire pour lui permettre de remplir les obligations qui lui incombent en vertu du marché ou sauf indication contraire par écrit?
En supposant qu'une loi n'interdise pas la communication de renseignements personnels, l'institution fédérale peut communiquer des renseignements personnels à un entrepreneur avec le consentement de la personne concernée, ou sans son consentement si la communication est autorisée aux termes du paragraphe 8(2) de la Loi sur la protection des renseignements personnels. La capacité qu'a l'entrepreneur de recueillir des renseignements personnels auprès de l'institution fédérale peut être assujettie à des exigences législatives de protection des renseignements personnels au niveau provincial ou fédéral, comme la Loi sur la protection des renseignements personnels et les documents électroniques, et le marché doit tenir compte de ces exigences.
De façon générale, il devrait être précisé dans le marché qu'à moins que l'institution fédérale le demande par écrit, il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels détenus relativement au marché d'une façon autre que conformément au marché. L'institution fédérale devrait aussi veiller à ce que les renseignements personnels qui relèvent d'elle mais que détient l'entrepreneur ne soient pas communiqués d'une façon non conforme aux obligations qui échoient à l'institution fédérale aux termes de la Loi sur la protection des renseignements personnels. Dans cette optique, le marché devrait préciser expressément comment, quand et pourquoi des renseignements personnels qui relèvent de l'institution gouvernementale peuvent être communiqués ou transférés par l'entrepreneur aux fins de l'exercice des fonctions ou de la prestation des services prévus au marché, de même que l'autorité pour la communication ou le transfert.
17. L'entente contractuelle devrait-elle préciser que, si l'entrepreneur reçoit une demande de communication de renseignements personnels à des fins non autorisées en vertu du marché ou s'il constate que la communication pourrait être exigée par la loi, il doit immédiatement en informer le gouvernement et ne pas communiquer les renseignements sauf lorsqu'il y a indication contraire par écrit?
Dans certains cas, le marché devrait préciser que, si l'entrepreneur reçoit une demande de communication de renseignements personnels à des fins non autorisées en vertu du marché ou s'il constate que la communication pourrait être exigée par la loi (p. ex., mise en demeure d'un tribunal, d'un organe d'enquête ou d'une administration étrangère), il doit immédiatement en informer l'institution fédérale et ne pas communiquer les renseignements sauf s'il y a indication contraire par écrit de celle-ci.
Même si l'entrepreneur peut être tenu par la loi de communiquer des renseignements personnels, il doit en informer l'institution fédérale le plus tôt possible de façon que celle-ci puisse établir la position qu'elle adopte par rapport à la légalité de la mise en demeure de communiquer les renseignements et pour qu'elle ait l'occasion d'intervenir dans le cadre de procédures avant que les renseignements soient communiqués. Le marché devrait spécifier que tout manquement de la part de l'entrepreneur d'informer l'institution fédérale d'une telle communication à l'avance, même si cette communication est exigée en vertu d'une loi, sera considéré comme une violation substantielle du marché et peut avoir comme conséquence la résiliation du marché.
L'institution fédérale peut aussi demander que l'entrepreneur tienne un registre des communications de renseignements personnels qui ont été effectuées. La tenue à jour de ces renseignements pourrait être d'une importance particulière quand il est question de renseignements de nature délicate. Le registre des communications doit renfermer les renseignements suivants et doit être fourni immédiatement à l'institution fédérale sur demande :
- la date de la communication;
- le nom de l'entité ou de la personne à qui les renseignements ont été communiqués et, si possible, l'adresse de cette entité ou de cette personne;
- une brève description des renseignements communiqués;
- un bref énoncé de la raison pour laquelle les renseignements ont été communiqués, ce qui inclut une explication du motif de cette communication;
- la forme du document (papier, électronique);
- la méthode de transmission;
- le nom de la personne qui a communiqué les renseignements.
Demandes de renseignements (article 12 de la Loi sur la protection des renseignements personnels et article 4 de la Loi sur l'accès à l'information)
Principe
Lorsque cela est possible, les institutions fédérales devraient fournir aux particuliers de façon non officielle accès aux documents gouvernementaux ou à leurs renseignements personnels.
Lorsque les renseignements demandés ne peuvent être communiqués de façon non officielle, le requérant doit alors être informé de ses droits en vertu de la Loi sur l'accès à l'informationet de la Loi sur la protection des renseignements personnels.
18. L'entente contractuelle devrait-elle préciser que les personnes qui désirent avoir accès à des documents ou aux renseignements personnels qui les concernent directement auprès de l'entrepreneur peuvent recourir à un processus informel?
Il est important que le marché précise clairement les responsabilités de l'institution fédérale et de l'entrepreneur en ce qui a trait aux demandes d'accès à des documents ou à des renseignements personnels détenus par l'entrepreneur, mais qui relèvent de l'institution fédérale.
D'abord, le marché devrait préciser si l'entrepreneur a le droit de fournir un accès informel, c'est-à-dire de façon non officielle, à certains genres de renseignements sans qu'une personne soit tenue de présenter une demande d'accès en bonne et due forme aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, selon le cas. S'il y a lieu, ce processus informel devrait être favorisé afin de réduire les coûts administratifs.
Si l'institution fédérale autorise l'entrepreneur à fournir un accès informel de manière courante, le marché devrait alors préciser les genres de documents, y compris les éléments de renseignements personnels, qui pourraient être communiqués de manière courante par l'entrepreneur. Le marché devrait aussi préciser les circonstances, les conditions et les restrictions[14] relativement auxquelles l'entrepreneur peut accorder aux particuliers qui le demandent un accès informel à ces documents ou renseignements personnels. En permettant à l'entrepreneur de communiquer des renseignements de manière informelle, l'institution fédérale doit avoir l'assurance que ces renseignements peuvent être communiqués par l'entrepreneur de façon informelle étant donné qu'aucune exception à la Loi sur l'accès à l'information ne s'applique, que les communications seront conformes aux exigences de protection des renseignements personnels prévues dans la Loi sur la protection des renseignements personnels, ainsi qu'aux exigences de protection des renseignements personnels et du caractère confidentiel prévues dans les autres lois applicables ou dans les politiques et les lignes directrices du Conseil du Trésor.
19. L'entente contractuelle devrait-elle préciser les responsabilités du gouvernement et de l'entrepreneur en ce qui concerne les demandes d'accès, en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, à des documents ou à des renseignements personnels qui relèvent du gouvernement, mais qui sont conservés par l'entrepreneur?
Le marché devrait aussi inclure des dispositions qui établissent comment l'entrepreneur et l'institution fédérale composeront avec les demandes formelles d'accès présentées aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels pour des documents ou des renseignements personnels détenus par l'entrepreneur mais relevant de l'institution fédérale relativement au marché. Par exemple, le marché pourrait préciser que si l'entrepreneur reçoit une demande, aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, de documents ou de renseignements personnels, il doit aviser immédiatement le requérant de présenter la demande directement au coordonnateur de l'AIPRP de l'institution fédérale concernée et lui fournir le nom et les coordonnées du fonctionnaire. Il peut également offrir au requérant d'acheminer directement la demande au coordonnateur de l'AIPRP de l'institution fédérale à des fins de traitement, en y joignant une copie de tous les documents ayant trait à la demande. Si l'institution fédérale reçoit conformément à la Loi sur l'accès à l'information ou à la Loi sur la protection des renseignements personnels une demande de documents ou de renseignements personnels détenus par l'entrepreneur, elle doit immédiatement en informer l'entrepreneur, lui demander de produire une copie de tous les documents ayant trait à la demande et de les envoyer sans délai au coordonnateur de l'AIPRP.
Le marché devrait aussi préciser si la fourniture par l'entrepreneur de copies de tous les documents ayant trait à des demandes formelles présentées à l'institution gouvernementale aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels devrait être aux frais de l'entrepreneur. Il est important de garder à l'esprit que des demandes complexes ou à grande échelle peuvent imposer un lourd fardeau à l'entrepreneur. Si l'institution fédérale prend des dispositions pour alléger les coûts de l'entrepreneur à cet égard, le marché devrait le préciser.
Le marché devrait aussi préciser que la destruction, la modification, la falsification ou le camouflage de documents pour éviter d'y donner accès aux termes de la Loi sur l'accès à l'information constitue une infraction aux termes de la Loi. Par exemple, il pourrait stipuler que l'entrepreneur reconnaît que l'article 67.1 de la Loi sur l'accès à l'information précise qu'une personne qui détruit, tronque, falsifie ou cache un document assujetti à la Loi ou qui amène une autre personne à le faire dans l'intention de faire opposition à une demande d'accès à ce document est coupable d'une infraction et est passible d'une amende maximale de 10 000 $.
Dans les cas où d'autres exigences législatives en matière de protection des renseignements personnels peuvent aussi s'appliquer au niveau provincial ou fédéral, comme la Loi sur la protection des renseignements personnels et les documents électroniques, la façon dont ces demandes seront traitées doit aussi être précisée dans le marché. Par exemple, le marché doit décrire l'autorité et les procédures qui seront invoqués par l'entrepreneur pour fournir l'accès à des renseignements personnels détenus par l'entrepreneur à l'égard du marché et la nécessité d'assurer la liaison avec l'institution fédérale au sujet des procédures et des demandes.
Correction des renseignements personnels (alinéa 12(2)a) de la Loi sur la protection des renseignements personnels)
Principe
L'alinéa 12(2)a) de la Loi sur la protection des renseignements personnels précise qu'une personne qui reçoit communication de renseignements personnels qui ont été, sont ou peuvent être utilisés à des fins administratives, a le droit de demander la correction des renseignements personnels le concernant qui, selon lui, sont erronés ou incomplets et d'exiger, s'il y a lieu, qu'il soit fait mention des corrections qui ont été demandées mais non effectuées.
20. L'entente contractuelle devrait-elle préciser les responsabilités du gouvernement et de l'entrepreneur en ce qui concerne les demandes de correction ou d'annotation des renseignements personnels conservés par l'entrepreneur, présentées en vertu de la Loi sur la protection des renseignements personnels?
Aux termes de la Loi sur la protection des renseignements personnels, un individu a le droit de remettre en question l'exactitude et l'intégralité des renseignements personnels le concernant et de les faire modifier s'il y a lieu. Dans la plupart des cas, les demandes formelles de correction ou de mention de correction des renseignements personnels détenus par un entrepreneur au nom de l'institution fédérale seront reçues et traitées par l'institution fédérale, qui obtiendra des renseignements pertinents de l'entrepreneur et demandera à ce dernier de prendre les mesures qui s'imposent.
Le marché devrait établir un processus visant à faire en sorte que l'entrepreneur corrige les renseignements si l'institution fédérale détermine qu'une correction ou mention de correction s'impose. Par exemple, le marché pourrait préciser que l'entrepreneur doit corriger ou annoter des renseignements personnels quand l'institution le lui demande par écrit. Il pourrait en outre préciser que l'entrepreneur doit fournir les renseignements corrigés ou annotés à toute autre partie à laquelle l'entrepreneur a communiqué les renseignements personnels à des fins administratives au cours des deux années précédant la date à laquelle l'institution fédérale a reçu la demande de correction ou de mention de correction, et exiger que ces parties joignent une copie de la correction ou de la mention aux renseignements personnels qu'elles détiennent.
Le marché devrait également préciser que si l'entrepreneur reçoit une demande formelle de correction de renseignements personnels de la part d'une personne autre que l'institution fédérale, il doit immédiatement aviser la personne de présenter sa demande directement au coordonnateur de l'AIPRP de l'institution fédérale concernée et lui fournir le nom et les coordonnées de ce fonctionnaire. Il peut également lui offrir d'acheminer la demande de correction au coordonnateur de l'AIPRP de l'institution fédérale pour suite à donner et réponse directe au demandeur.
Dans les cas où d'autres exigences législatives en matière de protection des renseignements personnels au niveau fédéral ou provincial, comme la Loi sur la protection des renseignements personnels et les documents électroniques, permettent que des demandes formelles de correction soient présentées par des particuliers, le marché devrait préciser de quelle façon ces demandes seront traitées. Par exemple, le marché devrait décrire l'autorité et la procédure qui seront utilisées par l'entrepreneur pour corriger des renseignements personnels détenus par l'entrepreneur à l'égard du marché, ainsi que la nécessité d'assurer la liaison avec l'institution fédérale à la fois au sujet de la procédure invoquée et des demandes individuelles de correction.
Conservation des documents ou des renseignements personnels (paragraphe 6(1) de la Loi sur la protection des renseignements personnels et paragraphes 4(1) et (2) du Règlement sur la protection des renseignements personnels)
Principe
Les renseignements personnels doivent être conservés et éliminés conformément aux plans approuvés de conservation et de retrait de documents.
À moins que la personne concernée consente à leur retrait à une date antérieure, les renseignements personnels qui ont été utilisés dans le cadre d'un processus décisionnel qui touche directement la personne doivent être conservés pendant au moins deux ans après leur dernière utilisation et, si une demande d'accès à l'information a été reçue, jusqu'au moment où la personne a eu la possibilité d'exercer tous les droits que lui confère la Loi sur la protection des renseignements personnels.
Les documents devraient être éliminés conformément à leur désignation de sécurité.
Le paragraphe 12. (1) de la Loi sur la Bibliothèque et les Archives du Canada précise ce qui suit : « L'élimination ou l'aliénation des documents fédéraux ou ministériels, qu'il s'agisse ou non de biens de surplus, est subordonnée à l'autorisation écrite de l'administrateur général ou de la personne à qui il a délégué, par écrit, ce pouvoir ».
Pour obtenir de plus amples renseignements, veuillez consulter :
La Politique sur la gestion de l'information gouvernementale du Conseil du Trésor à l'adresse http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?section=text&id=12742;
Le document Autorisations pluri-institutionnelles de disposer de documents de Bibliothèque et Archives Canada à l'adresse http://www.bac-lac.gc.ca/fra/services/gestion-ressources-documentaires-gouvernement/disposition/Pages/disposition.aspx.
21. L'entente contractuelle devrait-elle préciser les exigences en matière de conservation et de retrait des documents et des renseignements personnels, y compris la période de conservation maximale ainsi que les méthodes d'élimination à utiliser?
Conformément au paragraphe 6(1) de la Loi sur la protection des renseignements personnels et au paragraphe 4(1) du Règlement sur la protection des renseignements personnels, les renseignements personnels utilisés par une institution fédérale à des fins administratives doivent être conservés pendant au moins deux ans après leur dernière utilisation, sauf si la personne concernée consent à leur élimination hâtive et, si une demande d'accès à l'information a été reçue, jusqu'au moment où la personne a eu la possibilité d'exercer tous ses droits aux termes de la Loi.
Les documents comprenant des renseignements personnels qui sont détenus par l'entrepreneur mais qui relèvent de l'institution fédérale doivent être conformes à ces exigences. De plus, la Loi sur la Bibliothèque et les Archives du Canada et la Directive du Conseil du Trésor sur la tenue de documents exigent que les institutions fédérales établissent les plans de conservation et de retrait de tous les fonds de renseignements qu'elles détiennent. Cela signifie que chaque institution fédérale doit veiller à ce qu'il y ait un plan de conservation et de retrait qui s'impose pour les documents qui relèvent d'elle, y compris les documents administratifs communs visés par des Autorisations pluri-institutionnelles de disposer de documents.
Tout plan de conservation et de retrait portant sur des documents, y compris des renseignements personnels, détenus par un entrepreneur mais qui relèvent de l'institution fédérale doit être approuvé avant que le marché ne soit signé. Un tel plan devrait être établi à partir de consultation auprès du personnel de gestion de l'information de l'institution fédérale. Il peut aussi être nécessaire de consulter les membres du personnel de Bibliothèque et Archives Canada afin de déterminer si des procédures spéciales doivent s'appliquer en ce qui concerne la préservation de tous documents d'archive ou historique qui pourraient être transférés à l'entrepreneur ou produits pour le compte de l'institution fédérale par l'entrepreneur.
Dans la plupart des cas, il ne serait probablement pas nécessaire d'inclure dans le marché des dispositions liées au retrait ou à la destruction des documents, pourvu qu'il soit clairement précisé dans le marché que l'entrepreneur est tenu de fournir, sur demande, les documents à l'institution fédérale et de ne détruire les documents qu'après avoir reçu par écrit l'instruction de le faire de la part de l'institution fédérale.
Cependant, dans les cas où des documents doivent être conservés et éliminés par l'entrepreneur, conformément au plan de conservation et de retrait des documents de l'institution fédérale, le marché devrait inclure un calendrier de conservation et de retrait des renseignements personnels afin de faire en sorte que les renseignements soient conservés par l'entrepreneur pendant une période déterminée et pas davantage. Le plan doit préciser la période de conservation maximale des renseignements et la méthode de destruction qui s'applique à chaque catégorie de document, comme l'exige la Norme opérationnelle sur la sécurité matérielle au titre de la destruction de renseignements classifiés et protégés. Les méthodes d'élimination choisies dépendront de facteurs comme le caractère délicat des renseignements, la quantité de renseignements à détruire et la forme sous laquelle ils sont conservés.
L'institution fédérale peut aussi exiger un avis de l'entrepreneur quand des documents doivent être éliminés conformément aux instructions contenues dans le plan approuvé de conservation et de retrait des documents. Cet avis permettrait à l'institution de veiller à ce que l'entrepreneur ne dispose que des documents qui doivent être détruits. Quand il le faut, l'entrepreneur doit aussi aviser l'institution après la destruction de documents.
Selon le caractère délicat des renseignements personnels en cause et la nature et la portée des services à fournir dans le cadre du marché, l'institution peut aussi exiger que l'entrepreneur conserve un registre de la destruction ou de l'élimination des documents réputés relever de l'institution fédérale et dont l'élimination a été autorisée en vertu du marché. Le registre de la destruction devrait contenir au moins les renseignements suivants et devrait être fourni immédiatement à l'institution quand elle en fait la demande :
- les détails des documents qui ont été éliminés (p. ex., nom et numéro du fichier, date des documents);
- la méthode de destruction utilisée (déchiquetage de la copie papier ou suppression de la copie électronique);
- la date de destruction (jour, mois, année);
- le nom et le titre du poste de la personne qui a procédé à la destruction des documents.
22. L'entente contractuelle devrait-elle préciser les conditions régissant l'élimination de documents éphémères créés ou générés par l'entrepreneur?
Si une clause de conservation et d'élimination est incluse dans le marché, une clause complémentaire relative aux « documents éphémères »[15] devrait être inscrite.
Cependant, avant d'envisager l'ajout de clauses relatives aux « documents éphémères », il est important de comprendre que les documents éphémères peuvent être détruits de manière courante sans recourir à un plan d'élimination ou à un processus d'autorisation, une fois qu'ils ne sont plus utiles aux fins pour lesquelles ils ont été créés (sauf s'ils font l'objet d'une demande présentée aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels). Par exemple, une feuille de message téléphonique peut être jetée une fois que l'interlocuteur a été rappelé ou des notes de réunion écrites à la main peuvent être détruites une fois que les renseignements nécessaires ont été retranscrits et ajoutés au dossier pertinent.
Il est essentiel que les institutions fédérales observent de saines pratiques de gestion des renseignements et des documents, et qu'elles connaissent les exigences des lois et des politiques applicables en matière de gestion de ces documents. La destruction courante de documents éphémères est une saine pratique de gestion de documents et, dans le cadre d'un programme bien structuré de gestion des documents, elle ne doit pas constituer une infraction présumée aux termes de l'article 67.1 de la Loi sur l'accès à l'information (voir la question 19).
Quand il incorpore une clause relative aux « documents éphémères », le marché devrait préciser le sens de l'expression « documents éphémères » (le lien hypertexte susmentionné à l'Autorisation de détruire des documents éphémères renferme une définition et une liste assez complète de ces documents) et ajouter que l'entrepreneur peut éliminer ces documents quand ils ne sont plus requis. Ceux-ci peuvent être éliminés sans qu'il soit nécessaire d'établir un registre de destruction.
Il devrait aussi être précisé dans le marché que tous les documents éphémères qui existent au moment où l'institution fédérale informe l'entrepreneur de la réception d'une demande présentée aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, devront être inclus lors du traitement de la demande. Ces documents doivent être conservés jusqu'à ce que la demande (et toute autre plainte ultérieure) ait été entièrement traitée.
Protection des renseignements personnels (articles 6, 7 et 8 de la Loi sur la protection des renseignements personnels[16] et Politique du gouvernement sur la sécurité[17])
Principe
Il incombe aux institutions fédérales qui sont assujetties aux politiques du Conseil du Trésor de protéger les biens et les renseignements de nature délicate qui relèvent d'elles suivant la Politique sur la sécurité du gouvernement et ses normes opérationnelles. Cette politique s'applique au processus contractuel comme aux opérations internes du gouvernement.
Les institutions fédérales doivent appliquer les mesures de sécurité qui s'imposent pour veiller à ce que, tout au long de leur cycle de vie, les renseignements personnels qui relèvent d'elles soient protégés et ne soient pas vulnérables à une utilisation, une communication, une modification ou une destruction non autorisée.
Pour obtenir de plus amples renseignements, veuillez consulter :
La Norme de sécurité et de gestion des marchés du Conseil du Trésor à l'adresse http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12332§ion=text;
La Norme sur la sécurité du personnel du Conseil du Trésor à l'adresse http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=12330§ion=text;
23. L'entente contractuelle devrait-elle obliger l'entrepreneur à s'assurer que les renseignements personnels sont protégés contre les risques tels que le vol ou la perte, ainsi que l'accès, la communication, le transfert, la reproduction, l'utilisation, la modification ou l'élimination non autorisés?
Il devrait être précisé dans le marché que l'entrepreneur est tenu de protéger les renseignements classifiés ou personnels en prenant des dispositions raisonnables en matière de sécurité qui satisfont aux normes prévues dans la Politique sur la sécurité du gouvernement ou pour les institutions qui ne sont pas assujetties à celle-ci, leurs propres normes de sécurité interne. Dans cette optique, le marché doit décrire les dispositions et les mesures de sécurité matérielle, administrative et technique qui doivent être adoptés par l'entrepreneur pour protéger les renseignements qu'il détient mais qui relèvent de l'institution fédérale contre des sources externes et internes[18].
Ces exigences de sécurité devraient s'appliquer aux renseignements classifiés ou protégés enregistrés sous quelque forme que ce soit, comme les documents en copie papier et les documents conservés sous forme électronique (p. ex., une base de données). Même si les exigences générales de sécurité des documents en copie papier ou en version électronique peuvent être les mêmes, le marché devrait décrire les mesures de protection ou de sécurité qui peuvent être propres à chaque support d'information.
Il est important de se rappeler que la nature et la portée de ces mesures et dispositions de protection varient selon le caractère délicat des renseignements qui ont été transférés à l'entrepreneur ou recueillis par celui-ci, la quantité, la répartition, la forme et la méthode d'entreposage des renseignements, et les conditions du marché. Par exemple, des mécanismes de contrôle plus stricts pourraient être indiqués quand l'entrepreneur traite des renseignements personnels de nature délicate ou d'importantes quantités de renseignements personnels. Dans ces cas, un plan établissant les mesures de sécurité et de protection à adopter par l'entrepreneur afin de protéger les renseignements doit être joint à l'entente contractuelle. Le marché devrait aussi préciser que l'entrepreneur ne peut modifier les procédures de sécurité prévues dans le plan sans l'autorisation écrite au préalable de l'institution fédérale.
Les institutions fédérales devraient consulter leur personnel de la sécurité et, s'il le faut, le personnel des systèmes ou de la technologie de l'information afin de déterminer quelles mesures de sécurité ou de protection administrative, matérielle et technique devraient être mises en place par l'entrepreneur afin de satisfaire aux normes de sécurité requises. Elles peuvent aussi avoir besoin des compétences d'employés de la gestion de l'information et de conseillers juridiques.
Plaintes et enquêtes (article 30 de la Loi sur l'accès à l'information et article 29 de la Loi sur la protection des renseignements personnels)
Principe
Le Commissaire à l'information du Canada et le Commissaire à la protection de la vie privée du Canada sont responsables d'enquêter par suite de plaintes de personnes qui s'estiment lésées aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels respectivement.
Pour obtenir de plus amples renseignements, veuillez consulter :
L'examen des décisions prises en vertu de la Loi sur l'accès à l'information du Secrétariat du Conseil du Trésor à l'adresse http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=13781§ion=text;
L'examen des décisions prises en vertu de la Loi sur la protection des renseignements personnels du Secrétariat du Conseil du Trésor à l'adresse http://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=25503§ion=text.
24. L'entente contractuelle devrait-elle préciser que l'institution fédérale et l'entrepreneur doivent immédiatement s'aviser mutuellement du dépôt de plaintes en vertu de la Loi sur l'accès à l'information, de la Loi sur la protection des renseignements personnels ou d'une autre loi pertinente et du dénouement de ces plaintes?
Sous réserve des lois applicables, il devrait être précisé dans le marché que l'institution fédérale et l'entrepreneur s'avisent mutuellement quand des plaintes sont reçues aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels ou d'autres lois applicables en matière de protection des renseignements personnels[19] à l'égard de documents ou de renseignements personnels détenus par un entrepreneur au nom de l'institution, ainsi que du résultat de ces plaintes selon les besoins.
Si des renseignements personnels sont communiqués dans le cadre de l'avis, la communication doit être autorisée aux termes du paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Il peut aussi être nécessaire de tenir compte d'autres lois applicables au niveau provincial ou fédéral en matière de protection des renseignements personnels, comme la Loi sur la protection des renseignements personnels et les documents électroniques.
25. L'entente contractuelle devrait-elle préciser que le Commissaire à la protection de la vie privée et le Commissaire à l'information ont le droit d'avoir accès à tout document ou renseignement personnel aux fins d'enquêtes en vertu de la Loi sur la protection des renseignements personnels ou de la Loi sur l'accès à l'information?
L'entrepreneur doit être informé des pouvoirs qu'a le Commissaire à l'information et le Commissaire à la protection de la vie privée, selon le cas, d'enquêter sur les plaintes déposées aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels concernant des documents ou des renseignements personnels qui relèvent de l'institution fédérale mais qui sont détenus par l'entrepreneur. Il devrait aussi être précisé dans le marché que l'entrepreneur est tenu de collaborer et d'aider l'institution fédérale dans le cadre d'une enquête sur ces plaintes menée par le Commissaire à l'information ou par le Commissaire à la protection de la vie privée, et que les représentants de l'entrepreneur pourraient être interviewés par des enquêteurs des bureaux des commissaires.
Vérification et inspection de documents ou de renseignements personnels
Principe
L'institution fédérale devrait avoir le droit, de temps à autre et moyennant un avis raisonnable, d'avoir accès aux locaux de l'entrepreneur afin de récupérer tout ou une partie de ses documents, et à des fins de vérification afin d'assurer l'observation des modalités du marché.
Le paragraphe 37(1) de la Loi sur la protection des renseignements personnels précise que le Commissaire à la protection de la vie privée peut, à son gré, mener des enquêtes afin d'assurer l'observation des exigences prévues aux articles 4 à 8 de la Loi. Ces exigences portent sur la collecte, l'utilisation et la communication, la conservation et l'élimination de renseignements personnels.
Aux termes du paragraphe 34(2) de la Loi sur la protection des renseignements personnels et du paragraphe 36(2) de la Loi sur l'accès à l'information, le Commissaire à la protection de la vie privée et le Commissaire à l'information ont le droit d'examiner les renseignements, sous quelque forme que ce soit, qui relèvent d'une institution fédérale.
26. L'entente contractuelle devrait-elle préciser que le gouvernement peut à tout moment, pourvu qu'il donne un préavis raisonnable, se présenter dans les locaux de l'entrepreneur afin de vérifier, d'inspecter ou de faire vérifier par un tiers la mesure dans laquelle l'entrepreneur se conforme aux exigences du marché relatives à la protection des renseignements personnels, à la sécurité et à la gestion de l'information, et que l'entrepreneur doit coopérer lors d'une telle vérification ou inspection?
Dans le cadre de leurs responsabilités redditionnelles en matière de gestion de marchés, les institutions fédérales devraient envisager, au cas par cas, l'inclusion des clauses qui s'imposent afin de surveiller l'observation par l'entrepreneur des exigences de gestion de l'information, de protection de la vie privée et de sécurité aux termes du marché.
Ces clauses permettraient à l'institution fédérale d'avoir accès aux locaux, aux documents et au matériel de l'entrepreneur qui sont liés au marché, et de veiller à ce que l'entrepreneur et ses employés s'acquittent de leurs obligations prévues au marché. L'institution fédérale devrait avoir le droit d'inspecter ou de vérifier les pratiques et les procédures de l'entrepreneur en matière de sécurité, de collecte, d'utilisation, de communication, de conservation et d'élimination de documents et de renseignements personnels réputés relever de l'institution fédérale. De telles clauses ne doivent toutefois pas donner accès à des renseignements qui dépassent la portée du marché.
Le marché devrait aussi préciser que l'institution fédérale peut autoriser un tiers à inspecter et à évaluer en son nom, à un moment opportun et moyennant un avis raisonnable fourni à l'entrepreneur, l'observation par l'entrepreneur des exigences de protection de la vie privée, de sécurité et de gestion de l'information prévues à ce marché. Il devrait être établi clairement dans le marché que cet avis n'est pas requis dans les cas où il n'est pas possible ou opportun (p. ex., pour faire suite à une demande réglementaire à plus court préavis, en cas d'enquête ou de vol ou quand l'institution fédérale a des doutes raisonnables d'abus ou de rupture de marché).
Le marché ne devrait réduire, limiter ou restreindre d'aucune façon la fonction, le pouvoir, ou le droit[20] qu'a le Commissaire à l'information du Canada de mener des enquêtes sur des plaintes déposées en vertu de la Loi sur l'accès à l'information relativement à des documents qui relèvent d'institutions fédérales; le Commissaire à la protection de la vie privée du Canada de mener des enquêtes déposées en vertu de la Loi sur la protection des renseignements personnels ou de tenir, à son appréciation, des examens de conformité en vertu de l'article 37 de la Loi relativement à des renseignements personnels qui relèvent des institutions fédérales.
27. L'entente contractuelle devrait-elle préciser que l'entrepreneur doit tenir des informations précises pour permettre la vérification des renseignements, c'est-à-dire maintenir une piste de vérification quelconque (sous forme électronique ou sur papier)?
L'entrepreneur devrait être tenu de conserver une piste de vérification ou d'autres mécanismes de contrôle (dans la mesure où il est technologiquement pratique et économique de le faire) afin de pouvoir déceler l'accès non autorisé ou injustifié à des données personnelles. Ce système devrait permettre de surveiller et de consigner les activités des utilisateurs dans le système et de produire une liste d'utilisateurs ayant accédé au document d'un particulier ou une liste de documents auxquels un utilisateur en particulier a eu accès. Ces renseignements devraient être fournis au gouvernement dès qu'il en fait la demande.
Avis d'atteinte à la vie privée
Principe
Si une personne manque à son obligation de protéger, si elle communique sans autorisation ou si elle utilise des renseignements à des fins non autorisées, elle peut contrevenir à la Loi sur l'accès à l'information, à la Loi sur la protection des renseignements personnels ou à d'autres lois, et enfreindre la Politique sur la sécurité du gouvernement.
L'entrepreneur devrait être obligé d'aviser immédiatement l'institution fédérale dès qu'il sait qu'il a enfreint les dispositions contractuelles relatives à la sécurité, à la communication, à la destruction, à l'extraction, à la modification ou à l'utilisation non autorisées de renseignements gouvernementaux détenus par l'entrepreneur relativement au marché.
L'avis donné à l'institution fédérale est requis en cas de violation des conditions de l'entente.
Les entrepreneurs qui participent à des marchés ou à des travaux de sous-traitance classifiés devraient veiller à ce que la Direction de la sécurité industrielle canadienne et internationale (DSICI) de Travaux publics et Services gouvernementaux Canada soit immédiatement avisée des cas d'atteinte à la sécurité ou de compromission, et qu'un rapport écrit soit soumis à la DSICI le plus tôt possible. Les enquêtes sur les cas d'atteinte à la sécurité ou de compromission seront coordonnées par la DSICI.
Pour obtenir de plus amples renseignements, veuillez consulter :
Le chapitre 1, Responsabilités des agents de sécurité d'entreprise, du Manuel de la sécurité industrielle à l'adresse http://iss-ssi.pwgsc-tpsgc.gc.ca/msi-ism/index-fra.html.
28. L'entente contractuelle devrait-elle préciser que l'entrepreneur sera tenu d'aviser le gouvernement immédiatement s'il anticipe ou constate un manquement aux exigences du marché en matière de protection des renseignements personnels ou de sécurité?
Le marché devrait exiger que l'entrepreneur avise immédiatement l'institution fédérale dès qu'il anticipe ou constate un manquement aux dispositions contractuelles relatives à la sécurité ou à la gestion des renseignements personnels réputés relever du gouvernement. Ceci s'appliquerait à toutes les situations où des renseignements personnels ont pu avoir été compromis, y compris l'accès, la destruction, l'utilisation, la modification ou la communication non autorisés de renseignements personnels.
En avisant l'institution au sujet d'une infraction impliquant des renseignements personnels, on devrait exiger que l'entrepreneur fournisse les renseignements suivants par écrit à l'institution :
- la nature des renseignements qui ont fait l'objet de l'infraction (type et date des renseignements, nom de la ou des personnes concernées par les renseignements);
- quand l'infraction s'est produite (si connu);
- comment l'infraction s'est produite (si connu);
- qui est responsable de l'infraction (si connu);
- quelles étapes l'entrepreneur a-t-il pris pour atténuer les risques à la vie privée;
- quelles mesures l'entrepreneur a-t-il pris pour empêcher la répétition d'un tel incident.
Les institutions fédérales devraient consulter leurs conseillers juridiques et leurs experts en matière de marchés avant de mettre au point ce genre de clauses.
29. L'entente contractuelle devrait-elle préciser que l'entrepreneur sera tenu d'indemniser le gouvernement pour tous dommages découlant d'un manquement aux obligations qui lui incombent en vertu du marché?
L'entrepreneur devrait assumer l'entière responsabilité d'une action ou d'une omission négligente ou volontaire de l'un de ses employés ou sous-traitants en ce qui concerne l'accès, la destruction, l'utilisation, la modification ou la communication non autorisés de renseignements personnels réputés relever du gouvernement. Il devrait exister des recours efficaces et importants pour rupture des modalités et des conditions d'un marché régissant la protection de renseignements personnels.
Cela devrait inclure une obligation pour l'entrepreneur d'indemniser l'institution fédérale pour toute perte encourue ou dommage subit en raison d'un tel manquement aux exigences du marché. Les conséquences de telles ruptures de marché peuvent également mener jusqu'à la résiliation du marché ou toute autre action que l'institution juge appropriée, comme:
- exiger le retour immédiat, aux frais de l'entrepreneur, de tous les documents et les renseignements personnels réputés relever de l'institution et qui sont conservés par l'entrepreneur;
- exiger que l'entrepreneur émette, à ses propres frais, un avis à tous les individus dont les renseignements personnels ont été incorrectement utilisés ou communiqués; ou
- indemniser l'institution fédérale pour tous frais encourus lorsque celle-ci fait parvenir un tel avis directement aux individus concernés.
Les institutions fédérales devraient consulter leurs conseillers juridiques et leurs experts en matière de marchés avant de mettre au point ce genre de clauses. Cette mesure devrait inclure des processus de règlement des différends, et des recours appropriés, si des entrepreneurs ou des sous-traitants contreviennent aux modalités d'un marché.
Sous-traitance
Principe
Sauf pour des cas de sous-traitance déjà permis dans le marché ou prévus dans les modalités et conditions générales du marché, l'institution fédérale devrait se demander sérieusement si l'entrepreneur doit être autorisé ou non à confier en sous-traitance d'autres services ou fonctions prévus au marché.
S'il est permis de confier en sous-traitance tout ou une partie des activités prévues au marché, seuls des sous-traitants compétents devraient être retenus.
L'entrepreneur devrait être tenu de veiller à ce que les sous-traitants se conforment aux dispositions portant sur l'accès à l'information, la protection des renseignements personnels et la sécurité qui sont prévues dans le marché conclu entre l'entrepreneur et l'institution fédérale.
L'attribution d'un marché de sous-traitance ne permet pas à un entrepreneur de se soustraire à ses obligations contractuelles et il n'impose aucune responsabilité à la Couronne à l'égard du sous-traitant.
Pour obtenir de plus amples renseignements, veuillez consulter :
Le chapitre 8, Gestion des contrats, du Guide des approvisionnements de TPSGC, à l'adresse http://www.tpsgc-pwgsc.gc.ca/app-acq/ga-sm/index-fra.html.
30. L'entente contractuelle devrait-elle préciser que l'entrepreneur ne doit pas, sans avoir obtenu au préalable l'approbation écrite, confier en sous-traitance une partie des services ou des fonctions prévus dans le marché?
S'il y a lieu, l'institution fédérale devrait se demander sérieusement si l'entrepreneur doit être autorisé ou non à confier en sous-traitance d'autres services ou fonctions prévus au marché qui concernent des documents ou des renseignements personnels du gouvernement. Dans les situations où la sous-traitance de tout ou d'une partie des activités du marché peut entraîner des considérations imprévues sur le plan de la protection de la vie privée et de la sécurité, le marché devrait renfermer des clauses pertinentes qui empêchent la sous-traitance sans l'autorisation écrite au préalable de l'institution fédérale ou de l'autorité contractante.
Il faut être particulièrement prudent dans les cas où des sous-traitants sont situés à l'étranger ou ont des liens à l'étranger, car une administration étrangère[21] pourrait ainsi avoir accès à des renseignements personnels. Une institution fédérale devrait évaluer le risque et envisager d'inscrire au marché des mesures d'atténuation des risques, comme en interdisant à l'entrepreneur de recourir à des sous-traitants, en donnant à l'institution fédérale le droit d'approuver un sous-traitant, ou d'exiger l'autorisation écrite de l'institution fédérale au titre des modifications proposées à un sous-traitant désigné dans une offre, une proposition ou dans une autre soumission de l'entrepreneur.
Avant de donner son autorisation écrite à la sous-traitance, l'institution fédérale peut imposer les modalités et les conditions qu'elle juge appropriées quant au sous-traitant, aux services ou aux fonctions qui peuvent être exécutés par un sous-traitant, et à l'imposition de restrictions géographiques à savoir où les travaux peuvent être exécutés et les données conservées ou entreposées par un sous-traitant.
Si l'institution fédérale ou l'autorité contractante juge opportun d'autoriser l'entrepreneur à confier en sous-traitance toutes ou une partie des activités visées par marché, elle devrait au moins faire en sorte que :
- toutes les modalités et les conditions que doit respecter l'entrepreneur à l'égard du marché principal au titre de la protection des documents et des renseig sont incluses dans l'entente conclue entre l'entrepreneur et un sous-traitant;
- l'entente conclue entre l'entrepreneur et le sous-traitant précise quels documents, incluant les renseignements personnels, relatifs aux services exécutés par le sous-traitant continuent de relever de l'institution fédérale;
- des arrangements sont en place, s'il y a lieu, afin d'assurer que les ententes de protection et de non-divulgation de l'information visées à la question 4 soient signées par chacun des employés du sous-traitant qui aura accès aux renseignements personnels réputés relever de l'institution fédérale.
31. L'entente contractuelle devrait-elle préciser que, malgré toute approbation écrite relative à la sous-traitance, l'entrepreneur demeure entièrement responsable de la prestation des services en vertu du marché principal ou du marché de sous-traitance?
Dans les cas où l'institution fédérale accepte un sous-traitant, l'entrepreneur n'est pas dégagé de ses responsabilités relativement aux activités qui seront exercées par le sous-traitant.
Le marché conclu entre l'institution fédérale et l'entrepreneur constitue la principale source des obligations de l'entrepreneur par rapport aux documents ou aux renseignements personnels réputés relever de l'institution fédérale. Il est donc important que le marché précise que l'entrepreneur est entièrement responsable de l'exécution du marché, sans égard à l'exécution par un sous-traitant d'une partie du marché.
Même si le gouvernement ne peut exercer des droits contractuels directs contre le sous-traitant, l'inclusion d'une telle clause dans le marché permettrait au gouvernement de conserver des recours contractuels contre un entrepreneur, si un sous-traitant enfreint l'une des clauses de sécurité, de protection de la vie privée et de l'information prévues au marché.
Il convient de signaler que la responsabilité de l'entrepreneur en matière de sous-traitance est aussi traitée à la question 5, qui laisse entendre que l'entrepreneur est entièrement responsable des actions des employés, des sous-traitants et des mandataires qui agissent pour son compte dans l'exécution de leurs fonctions aux termes du marché.
Résiliation ou expiration du marché
Principe
À la résiliation ou à l'expiration du marché, ou sur demande de l'institution fédérale, l'entrepreneur cessera d'utiliser les renseignements personnels et retournera les documents ou les renseignements personnels pertinents à l'institution, y compris les copies, ou les détruira d'une manière désignée par l'institution ou autrement entendue entre les parties.
32. L'entente contractuelle devrait-elle préciser que tous les renseignements personnels et les documents doivent être retournés à l'autorité contractante dès l'achèvement du marché?
Le marché devrait préciser comme il se doit ce qui se produit avec les documents ou les renseignements personnels de l'institution fédérale qui sont détenus par l'entrepreneur à la résiliation ou à l'expiration du marché.
Par exemple, le marché devrait préciser qu'à moins que l'institution fédérale ne donne d'autres indications par écrit, l'entrepreneur retourne à l'institution, à la résiliation ou à l'expiration du marché, tous les documents ou les renseignements personnels recueillis, produits ou conservés par l'entrepreneur dans le cadre de la prestation des services aux termes du marché et qui sont réputés relever de l'institution.
Si le marché exige que les données soient détruites ou supprimées par l'entrepreneur à la résiliation ou à l'expiration du marché, un calendrier et des mesures de sécurité suffisantes doivent être précisés dans le marché. Lorsque les documents à détruire renferment des renseignements de nature délicate, l'institution fédérale peut aussi exiger que l'entrepreneur fournisse un registre détaillé de la destruction comme précisé à la question 21. Le marché peut également indiquer que, si l'institution fédérale le considère approprié, des représentants du gouvernement peuvent être présents pour surveiller la destruction des documents.
33. L'entente contractuelle devrait-elle préciser que l'entrepreneur continue d'être tenu de protéger les renseignements personnels même après l'achèvement du marché?
Même si les marchés précisent habituellement que tous les documents ou les renseignements personnels doivent être retournés à l'institution fédérale à la fin de l'entente ou qu'ils soient détruits, il est prudent de veiller à ce que, si des renseignements personnels demeurent par inadvertance, entre les mains de l'entrepreneur, la protection qui existait pendant la durée du marché demeure en vigueur après l'expiration du marché. En outre, des employés de l'entrepreneur continueront d'avoir connaissance de certains renseignements confidentiels, même après l'expiration du marché. Si une rupture de marché survient ou est révélée après l'expiration d'une entente, les clauses contractuelles pertinentes touchant la confidentialité devraient continuer de s'appliquer et des recours peuvent être demandés.
[1]. Remerciements : Le présent document a été mis au point d'après les travaux exécutés par la Direction générale de l'accès à l'information et de la protection des renseignements personnels des Services gouvernementaux de l'Alberta en ce qui a trait à la gestion des marchés aux termes de la Loi sur l'accès à l'information et la protection des renseignements personnels de l'Alberta.
[2]. Entrepreneur : Toute personne qui entreprend d'exécuter un travail ou de fournir des matériaux aux termes d'un contrat. (Source : Gouvernement du Canada, Travaux publics et Services gouvernementaux Canada (TPSGC) –Guide des approvisionnements)
[3]. Autorité contractante :
- Le ministre compétent au sens des alinéas a) ou b) de la définition de « ministre compétent », à l'article 2 de la Loi sur la gestion des finances publiques;
- Un établissement dont le nom figure à l'annexe II de la Loi sur la gestion des finances publiques;
- La Construction de défense (1951) Limitée, la Commission de la Capitale nationale et la Commission des champs de bataille nationaux. (Source : ibid.)
[4]. Aux termes de la Directive du Secrétariat du Conseil du Trésor sur l'évaluation des facteurs relatifs à la vie privée, les institutions fédérales doivent procéder à une évaluation des facteurs relatifs à la vie privée lorsque la sous-traitance ou le transfert du programme ou de l'activité à un autre palier de gouvernement ou au secteur privé et que cette sous-traitance ou ce transfert constitue une modification importante au programme ou à l'activité.
[5]. Avant de transférer à un entrepreneur des documents renfermant des renseignements personnels, l'institution fédérale doit veiller à ce que sa loi habilitante ne l'empêche pas de communiquer ces documents à l'entrepreneur. En supposant que la loi de l'institution n'interdise pas cette communication, l'institution doit ensuite veiller à ce que la communication soit autorisée suivant l'une des dispositions sur la communication prévues à l'article 8 de la Loi sur la protection des renseignements personnels.
[6]. Dans les cas où des documents ne relèvent pas d'une institution fédérale alors qu'ils le devraient, celle-ci serait tout de même assujettie aux exigences de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels à l'égard de ces renseignements, et la personne peut faire valoir ses droits aux termes de ces lois par rapport à l'institution fédérale.
[7]. La Politique sur la sécurité du gouvernement s'applique à tous les ministères mentionnés aux annexes I, I.1, II, IV et V de la Loi sur la gestion des finances publiques (LGFP), sauf s'ils en sont exclus en vertu d'une loi, d'un règlement ou d'un décret particulier.
Certains organismes et sociétés d'État peuvent conclure des ententes avec le Secrétariat du Conseil du Trésor du Canada afin d'adopter les exigences de cette politique et les appliquer à leur organisation.
[8]. Il peut arriver que les facteurs relatifs à la vie privée soient si importants qu'ils amènent une institution à se prononcer contre la sous-traitance ou l'impartition, en particulier dans le cas de l'impartition de systèmes de technologie de l'information qui renferment des données personnelles de nature très délicate.
[9]. Cela permettrait d'établir clairement les incidents d'accès non autorisé, surtout quand des pistes de vérification sont utilisées.
[10]. Dans le cas où un entrepreneur a déclaré ou est soupçonné d'avoir déclaré faillite, l'institution fédérale ou l'autorité contractante doit entrer en contact avec la cour qui a juridiction dans le secteur de l'entrepreneur et obtenir la confirmation du greffier de la cour des faillites. La confirmation peut également être obtenue du Bureau du surintendant des faillites (BSF), qui offre un service de recherche de noms relatif à l'insolvabilité. En communiquant avec ce service et moyennant une certaine somme d'argent, on peut savoir si une personne ou une entreprise a entrepris des procédures relatives à l'insolvabilité. Ce service est disponible à partir du site Web du BSF à l'adresse https://strategis.ic.gc.ca/sc_mrksv/bankruptcy/bankruptcySearch/frndoc.
[11]. Dans certains cas, l'autorisation de recueillir des renseignements personnels sera clairement énoncée dans la loi – la Loi de l'impôt sur le revenu en est un bon exemple. Dans la plupart des cas toutefois, la loi habilitante de l'institution renvoit simplement à une activité ou à un programme de fonctionnement. Dans d'autres cas encore, la loi habilitante de l'institution ne renvoit à aucune activité ni à aucun programme en particulier. Ce genre d'omission n'a rien de grave en autant qu'il puisse être établi que le programme ou l'activité à l'examen est conforme au mandat législatif de l'institution. En l'absence d'un pouvoir législatif clair de collecte de renseignements personnels, les institutions doivent consulter leurs services juridiques.
[12]. Aux termes du paragraphe 5(3) de la Loi sur la protection des renseignements personnels, cette exigence peut ne pas s'appliquer si le fait d'aviser le particulier entraîne la collecte de renseignements inexacts ou nuit aux fins auxquelles les renseignements sont recueillis.
[13]. Les institutions fédérales devraient veiller à ce que les obligations contractuelles de l'entrepreneur ne dépassent pas l'utilisation qui serait permise à l'institution fédérale aux termes de la Loi sur la protection des renseignements personnels. Autrement dit, une institution fédérale ne peut, dans le cadre d'un marché, se soustraire à ses obligations aux termes de la Loi sur la protection des renseignements personnels en autorisant un fournisseur de services du secteur privé à utiliser les renseignements personnels à une fin qui est refusée à l'institution elle-même.
[14]. Ce sont les diverses exceptions et exemptions prévues dans la Loi sur l'accès à l'information et dans la Loi sur la protection des renseignements personnels qui détermineraient si l'entrepreneur serait autorisé ou non à communiquer les documents ou les renseignements personnels.
[15]. Bibliothèque et Archives Canada donne la définition suivante de « documents éphémères » : « documents dont on a besoin seulement pour une période limitée, afin d'achever des mesures courantes ou de rédiger d'autres documents. Les documents éphémères ne comprennent pas les documents nécessaires aux institutions fédérales ou aux ministres pour contrôler, appuyer ou documenter la réalisation de programmes, pour effectuer des opérations, pour prendre des décisions, ou pour rendre compte d'activités du gouvernement. » [16]. Ces articles de la Loi sur la protection des renseignements personnels portent sur la conservation, l'élimination, l'exactitude, l'utilisation et la communication. Aucune disposition de la Loi sur la protection des renseignements personnels ne porte expressément sur la protection des renseignements. La protection des renseignements personnels est accessoire au principal objectif de ces dispositions, et elle s'appliquerait dans les cas où les renseignements personnels continuent de relever de l'institution fédérale.
[17]. La Politique sur la sécurité du gouvernment explique de quelle façon on doit protéger le personnel et les biens, y compris les renseignements et les systèmes de technologie de l'information , et permet d'assurer la prestation des services.
[18]. Selon le Gartner Group (l'une des plus grandes firmes d'analyse et de recherche au monde en ce qui a trait à l'industrie mondiale de la technologie de l'information), environ 70 p. 100 des cas d'accès non autorisé à des renseignements dans les secteurs public et privé sont l'œuvre d'employés, à l'instar de plus de 95 p. 100 des intrusions qui entraînent d'importantes pertes financières.
[19]. Il peut y avoir d'autres exigences législatives à considérer au niveau provincial ou fédéral en matière de protection des renseignements personnels, y compris l'application possible de la Loi sur la protection des renseignements personnels et les documents électroniques, qui pourraient s'appliquer aux renseignements personnels qui seront recueillis, utilisés, communiqués ou éliminés par l'entrepreneur dans l'exécution de ses obligations prévues au marché conclu avec le gouvernement. En conséquence, les institutions fédérales devraient consulter leurs conseillers juridiques à ce sujet.
[20]. De larges pouvoirs d'enquêtes, y compris l'accès aux locaux de l'entrepreneur, peuvent être nécessaires pour permettre aux deux commissaires de mener leurs enquêtes (ou tout examen de conformité pouvant être entrepris à la discrétion du Commissaire à la protection de la vie privée) relativement à des renseignements qui relèvent du gouvernement mais qui sont sous la garde de l'entrepreneur.
[21]. Selon la Direction de la sécurité industrielle canadienne et internationale (DSICI) de Travaux publics et Services gouvernementaux Canada (TPSGC), les entrepreneurs ne doivent pas confier en sous-traitance des travaux CLASSIFIÉS / PROTÉGÉS à une organisation située à l'étranger sans l'autorisation écrite AU PRÉALABLE de l'autorité contractante de la DSICI. Le statut de sécurité des organisations étrangères doit être vérifié par l'entremise de la DSICI avant de prendre le moindre engagement financier. En outre, le transfert de renseignements CLASSIFIÉS / PROTÉGÉS à un pays étranger doit être acheminé par l'entremise de la DSICI.
Détails de la page
- Date de modification :