Rapport annuel au Parlement sur l’administration de la Loi sur la protection des renseignements personnels 2015-2016
Table des matières
- Introduction
- Mandat et organisation de l’institution
- Pouvoirs délégués
- Structure de la Division de l’AIPRP
- Recherche constante de l’excellence en matière d’AIPRP
- Interprétation du rapport statistique – Demandes de renseignements personnels et de consultations
- Activités ministérielles de formation et de sensibilisation liées à l’AIPRP
- Instruments de politique, procédures et initiatives en matière d’AIPRP
- AIPRP en ligne – Prix d’excellence
- Plaintes et vérifications
- Affaires parlementaires
- Atteintes à la vie privée
- Évaluations des facteurs relatifs à la vie privée
- Prochaines étapes pour l’année à venir
- Annexe A – Organisations partenaires
- Annexe B – Pouvoir délégué
- Annexe C – Le Rapport statistique sur la Loi sur la protection des renseignements personnels
Rapport annuel au Parlement sur l’administration de la Loi sur la protection des renseignements personnels – 2015-2016
© Sa Majesté la Reine du chef du Canada, représentée par la ministre responsable de Services partagés Canada, 2016
No de cat. P115-5F-PDF
ISSN 2369-4629
Introduction
La Loi sur la protection des renseignements personnels
La Loi sur la protection des renseignements personnels est entrée en vigueur le 1er juillet 1983. Elle protège la vie privée des particuliers à l’égard des renseignements personnels que les institutions fédérales détiennent à leur sujet. La Loi établit des règles pour la collecte, l’usage, la divulgation, la conservation et le retrait de ces renseignements. Elle prévoit également, pour les particuliers, le droit d’accès aux renseignements personnels les concernant, ainsi que le droit de demander qu’on y apporte des corrections.
L’article 72 de la Loi sur la protection des renseignements personnels exige que le responsable d’une institution fédérale, quelle qu’elle soit, établisse pour présentation au Parlement un rapport annuel décrivant l’administration de la Loi par son institution durant l’exercice précédent. C’est aux termes de cette disposition qu’est déposé le présent rapport annuel au Parlement.
Le présent rapport annuel décrit comment Services partagés Canada (SPC) a administré la Loi sur la protection des renseignements personnels entre le 1er avril 2015 et le 31 mars 2016.
Mandat et organisation de l’institution
Mandat
SPC a été créé le 4 août 2011 afin de transformer la façon dont le gouvernement du Canada gère son infrastructure de technologie de l’information (TI). SPC fournit des services de courriel, de centres de données, de réseaux et d’appareils technologiques en milieu de travail aux ministères et aux agences de manière regroupée et normalisée, afin d’appuyer l’exécution des programmes et la prestation des services du gouvernement fédéral. L’approche pangouvernementale en matière de services d’infrastructure de la TI permet à SPC de faire des économies d’échelle et d’offrir des services d’infrastructure de TI plus efficaces, fiables et sécurisés. SPC fournit aussi certains services technologiques facultatifs aux autres organismes selon le principe du recouvrement des coûts.
La Loi sur Services partagés Canada montre que le gouvernement du Canada souhaite normaliser et rationaliser, dans une seule entité de services communs, un certain nombre de services administratifs offerts aux organisations gouvernementales. Par divers décrets, on a confié au Ministère des responsabilités précises dans le domaine des services d’infrastructure de TI.
SPC s’emploie principalement à maintenir et à améliorer la prestation de services de TI à l’échelle du gouvernement du Canada, à améliorer la sécurité et à mettre en œuvre des solutions pangouvernementales pour transformer l’infrastructure de la TI en vue d’améliorer l’utilisation des ressources ainsi que les services offerts aux Canadiens. Le Ministère travaille étroitement avec ses organisations partenaires (voir annexe A), d’autres clients gouvernementaux, l’industrie et la communauté de la TI dans tout le Canada.
SPC contribue à la réussite d'autres activités essentielles du gouvernement du Canada, dont la sécurité aux frontières, le versement de prestations et les prévisions météorologiques ainsi qu'à la vision de la fonction publique de l'avenir exprimée dans Objectif 2020. De plus, SPC travaille étroitement avec des organismes de cybersécurité du gouvernement du Canada afin d’améliorer la cybersécurité et la sécurité de la TI.
Depuis le 1er septembre 2015, le décret 2015-1071 autorise SPC à offrir n’importe lequel ou l’ensemble de ses services à n’importe quelle entité gouvernementale sur une base volontaire ainsi qu’à toute autre administration du gouvernement du Canada ou à un gouvernement étranger, pourvu que ces services soient fournis sans que SPC ait à engager des frais supplémentaires ou à affecter des ressources supplémentaires. Le décret élargit aussi la nature obligatoire d’un sous-ensemble de services fournis par SPC à un éventail de nouveaux clients en ce qui a trait au courrier électronique, aux centres de données et aux réseaux. La plupart des petits ministères et des organismes qui ne recevaient pas les services précédemment, ou qui les recevaient à titre facultatif, sont maintenant des clients obligatoires de ce sous-ensemble de services.
Organisation : L’avenir de SPC
Au fur et à mesure que SPC évolue pour exécuter son plan de transformation, une nouvelle structure organisationnelle nous a aidés à passer d’un ancien environnement à une nouvelle infrastructure de TI d’entreprise. Le 1er avril 2015, SPC a adopté une structure selon laquelle des directions générales opérationnelles sont responsables de tout le cycle de vie des services qu’elles offrent. Une structure plus mince, simplifiée et plus horizontale a permis d’atteindre ces objectifs en clarifiant les responsabilités à l’égard d’initiatives majeures et en soutenant la mobilité des employés.
Pouvoirs délégués
Après son arrivée et conformément à l’article 73 de la Loi sur la protection des renseignements personnels , le nouveau président de SPC a autorisé l’instrument de délégation, en août 2015, en confirmant une nouvelle fois tous les pouvoirs et toutes les fonctions établis en vertu de la Loi à des postes d’un échelon hiérarchique inférieur, dont celui de directeur de la Division de l’accès à l’information et de la protection des renseignements personnels (AIPRP), dénommée ci-après Division de l’AIPRP. (Voir l’Annexe B)
Structure de la Division de l’AIPRP
Pendant la période visée par le présent rapport, la structure de la Division de l’AIPRP est restée la même, comprenant un directeur et deux directeurs adjoints, qui gèrent des équipes d’analystes, pour le volet des opérations et pour le volet des politiques et de la gouvernance. En moyenne 16 années-personnes ont été consacrées au programme d’AIPRP et 5 années-personnes à l’administration de la Loi sur la protection des renseignements personnels . Ces chiffres en années personnes tiennent compte des équivalents temps plein, des emplois temporaires, des étudiants et du travail des experts conseils.
Structure de la Division de l’AIPRP
Au sein de la Division de l’AIPRP, l’unité responsable des opérations doit traiter les demandes présentées aux termes de la Loi sur la protection des renseignements personnels et du texte de loi connexe, la Loi sur l’accès à l’information . Il lui faut pour cela faire la liaison avec des experts dans le domaine au sein de SPC, effectuer un examen détaillé des dossiers demandés et tenir des consultations externes, au besoin, en vue de trouver le juste équilibre entre le droit d’accès à l’information du public et la nécessité, pour le gouvernement, de protéger certains renseignements dans des cas limités et précis. Au besoin, l’unité fournit à la haute direction de l’information sur des questions relatives aux demandes et au rendement ministériel. Elle est également le principal point de contact avec les Commissariats à l’information et à la protection de la vie privée du Canada en ce qui concerne la résolution de plaintes se rapportant aux demandes présentées aux termes des deux lois.
Au sein de la Division de l’AIPRP, l’unité responsable des politiques et de la gouvernance conseille et oriente la haute direction de SPC relativement aux politiques concernant l’AIPRP. Cette unité met également au point des instruments de politique ainsi que des produits et des outils de traitement des demandes d’accès à l’information et de protection des renseignements personnels. Elle est chargée de seconder les responsables de programme dans l’évaluation des facteurs relatifs à la vie privée et la rédaction d’ententes d’échange de renseignements personnels, pour veiller à ce que les exigences législatives et les politiques protégeant la vie privée soient respectées. Elle assure également la liaison avec les employés, et prépare et offre des séances de formation et de sensibilisation dans l’ensemble du Ministère. En outre, l’unité coordonne le travail de rédaction du rapport annuel de SPC et publie le chapitre d’Info Source de SPC.Footnote 1Enfin, l’unité est le principal point de contact avec les Commissariats à l’information et à la protection de la vie privée du Canada en ce qui concerne les vérifications, les examens, les enquêtes systémiques et les atteintes à la vie privée.
Recherche constante de l’excellence en matière d’AIPRP
La Division de l’AIPRP est chargée d’élaborer, de coordonner et de mettre en œuvre des politiques, lignes directrices, systèmes et procédures efficaces en matière d’AIPRP au sein de SPC, et de surveiller que ces lignes directrices, systèmes et procédures sont respectés. Ce travail permet à SPC de répondre aux exigences et obligations de la Loi sur la protection des renseignements personnels et du texte de loi connexe, la Loi sur l’accès à l’information .
Les principales activités de la Division de l’AIPRP sont :
- recevoir, coordonner et traiter les demandes présentées en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information ;
- répondre aux demandes de consultation provenant d’autres institutions fédérales concernant les renseignements détenus par SPC dont la diffusion est envisagée;
- élaborer et maintenir des instruments de politique propres à SPC pour appuyer les lois sur l’AIPRP;
- concevoir et mener à bien des activités de sensibilisation et de formation à l’AIPRP dans l’ensemble du SPC, de sorte que les employés et les gestionnaires comprennent leurs rôles et responsabilités;
- soutenir un réseau d’agents de liaison de l’AIPRP au sein de SPC et qui sont chargés, notamment, d’aider à traiter les demandes en coordonnant la récupération des dossiers et des recommandations au sein de leur direction générale ou région;
- s’assurer que le ministère se conforme aux deux lois et à leurs règlements d’application ainsi qu’aux procédures et politiques pertinentes;
- préparer les rapports annuels au Parlement sur l’application des lois ainsi que tout autre document qui pourrait être exigé par des organismes centraux;
- représenter SPC dans ses relations avec le Secrétariat du Conseil du Trésor (SCT) du Canada et les Commissariats à l’information et à la protection de la vie privée concernant la mise en application de ces lois, en ce qui concerne SPC;
- appuyer SPC afin de lui permettre de respecter son engagement d’ouverture et de transparence par la divulgation proactive de renseignements et la diffusion de renseignements par des canaux non officiels comme le portail Gouvernement ouvert;
- soutenir la transformation des processus opérationnels du Secrétariat ministériel en simplifiant les demandes d’accès à l’information afin de veiller à l’examen de la qualité des renseignements et à leur mise à disposition en temps opportun;
- surveiller le rendement de l’attribution des tâches liées à l’AIPRP et en faire un compte rendu à la haute direction tous les mois;
- participer à des initiatives pangouvernementales à l’intention de la communauté fédérale de l’AIPRP.
Interprétation du rapport statistique – Demandes de renseignements personnels et de consultations
Le Rapport statistique (Annexe C) concernant l’application de la Loi sur la protection des renseignements personnels présente un sommaire des demandes d’accès aux renseignements personnels traitées ainsi que des consultations tenues durant la période visée par le présent rapport, soit 2015-2016.
Demandes reçues (Annexe C, partie 1)
Durant la période visée par le présent rapport, 123 demandes formulées aux termes de la Loi sur la protection des renseignements personnels ont été reçues. Aucune demande enregistrée au cours de la période précédente n’a été reportée, de sorte que le nombre de demandes à traiter pendant la période visée par le présent rapport s’établit à 123.
Aperçu de la charge de travail (Annexe C, parties 1 et 2, tableaux 2.5.1 et 2.6.2)
Durant la période visée par le présent rapport, la Division de l’AIPRP a reçu 123 demandes aux termes de la 1rrtLoi sur la protection des renseignements personnels. Aucune demande de consultation aux termes de la 1rtyrLoi sur la protection des renseignements personnels n’a été présentée par d’autres institutions fédérales et aucune demande enregistrée au cours de la période précédente n’avait été reportée. La Division de l’AIPRP a traité un total de 120 demandes et reporté à l’année suivante trois demandes formulées aux termes de la Loi sur la protection des renseignements personnels.
Le volume des demandes formulées aux termes de la Loi sur la protection des renseignements personnels durant la période visée par le présent rapport a presque doublé par rapport à la période précédente (au cours de laquelle seules 71 demandes avaient été reçues), mais de nombreuses demandes ont été envoyées à tort à Services partagés Canada. Sur les 6 268 pages traitées par la Division de l’AIPRP, 3 354 ont été jugées relever d’une demande au titre de la 12rterLoi sur la protection des renseignements personnels et ont donné lieu à une communication entière ou partielle.
La Division de l’AIPRP effectue un suivi hebdomadaire rigoureux de son temps de traitement des demandes et surveille le calendrier de traitement de celles-ci. Durant la période visée par le présent rapport, toutes les demandes formulées aux termes de la Loi sur la protection des renseignements personnels ont été traitées dans les délais prévus par la Loi.
Disposition des demandes traitées (Annexe C, partie 2, tableau 2.1)
Avant la fin de la période visée par le présent rapport, 120 demandes ont été traitées. Sur les 120 demandes traitées, quatre ont donné lieu à la divulgation complète des documents demandés, 22 ont fait l’objet, avant diffusion, d’exceptions qui s’appliquaient à des parties des dossiers, et aucune n’a fait l’objet d’exceptions qui s’appliquaient à la totalité des dossiers. Aucun dossier pertinent n’a été trouvé dans le cas de 76 demandes pour différentes raisons, mais principalement parce que ces demandes ont été acheminées incorrectement. Dix-huit autres demandes ont été abandonnées par leurs demandeurs.
Délai de traitement (Annexe C, partie 2, tableau 2.1)
La Loi sur la protection des renseignements personnels établit les délais de réponse aux demandes de renseignements personnels. Elle prévoit également des prorogations lorsque l’observation du délai entraverait de façon sérieuse le fonctionnement de l’institution ou lorsque les consultations nécessaires pour donner suite à la demande rendraient pratiquement impossible l’observation du délai. Sur les 120 demandes, 104 (87 %) ont été traitées dans le délai de 30 jours prévu par la Loi. Les 16 autres demandes ont fait l’objet de prorogations légales de délais de 30 jours supplémentaires.
Exceptions invoquées (Annexe C, partie 2, tableau 2.2)
La try66Loi sur la protection des renseignements personnels permet, et dans certains cas exige, que certains renseignements personnels fassent l’objet d’une exception et ne soient pas communiqués. Ainsi, des renseignements personnels peuvent faire l’objet d’une exception s’ils sont liés à une enquête aux fins d’application de la Loi, s’ils concernent une autre personne que le demandeur ou s’ils sont protégés par le secret professionnel.
Au cours de la période visée par le rapport, dans 22 cas, certains renseignements ont été retenus, car ils concernaient un autre individu et, par conséquent, faisaient l’objet d’une exception en vertu de l’article 26 de la goop2Loi sur la protection des renseignements personnels. Aucune autre exception n’a été invoquée relativement aux demandes.
Dans trois cas, certains renseignements étaient protégés par le secret professionnel et ont fait l’objet d’une exception en vertu de l’article 27 de la Loi sur la protection des renseignements personnels .
Motifs d’exclusion (Annexe C, partie 2, tableau 2.3)
La food34Loi sur la protection des renseignements personnels ne s’applique pas aux renseignements qui sont déjà publiés, comme les publications gouvernementales et le matériel que l’on retrouve dans les bibliothèques et les musées. Elle exclut également, par exemple, les documents confidentiels du Cabinet. Aucun motif d’exclusion n’a été relevé dans les demandes traitées au cours de la période visée par le présent rapport.
Divulgation de renseignements personnels en vertu des alinéas 8(2)e) et 8(2)m) (Annexe C, partie 3)
L’alinéa 8(2)e) de la Loi sur la protection des renseignements personnels permet au responsable d’une institution fédérale de divulguer des renseignements personnels sans le consentement de l’individu en cause lorsque cette divulgation est demandée par écrit par un organisme d’enquête désigné en vue de faire respecter des lois. Durant la période visée par le présent rapport, SPC n’a divulgué aucun renseignement personnel en vertu de cette disposition.
L’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels permet au responsable d’une institution fédérale de divulguer des renseignements personnels sans le consentement de l’individu en cause lorsque, à son avis, des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée, ou lorsqu’il est clair que l’individu concerné en tirerait un avantage certain. Durant la période visée par le présent rapport, SPC n’a divulgué aucun renseignement personnel en vertu de cette disposition.
Le paragraphe 8(5) de la Loi sur la protection des renseignements personnels oblige le responsable de l’institution à informer préalablement le Commissaire à la protection de la vie privée de toute communication de renseignements personnels faite aux termes de l’alinéa 8(2)m), oui, s’il n’est pas en mesure de le faire; de l’en aviser immédiatement après la communication. SPC n’a divulgué aucun renseignement personnel en vertu de cette disposition. Par conséquent, aucun avis n’a dû être donné au Commissariat à la protection de la vie privée du Canada en vertu du paragraphe 8(5) de la Loi.
Prorogations (Annexe C, partie 5, tableau 5.1)
La prorogation du délai permise en vertu de l’article 15 de la Loi sur la protection des renseignements personnels a été réclamée pour 16 demandes. Dans 15 cas sur 16, les prorogations ont été demandées pour 30 jours supplémentaires en raison du très grand nombre de renseignements à examiner, et dans le dernier cas, SPC devait consulter un autre ministère.
Consultations (Annexe C, partie 6)
Au cours de la période visée par le rapport, SPC n’a reçu aucune demande de consultation en vertu de la Loi sur la protection des renseignements personnels de la part d’autres institutions fédérales.
Coûts (Annexe C, partie 10)
D’après les données fournies par la Division des finances de SPC en avril 2016, pendant la période visée par le rapport, la Division de l’AIPRP a dépensé un total de 411 699 $ à l’administration de la Loi sur la protection des renseignements personnels : 367 516 $ a été dépensé en salaires, 73 $ en temps supplémentaire et 44 183 $ a été dépensé en biens et services, y compris des contrats de services professionnels.
Activités ministérielles de formation et de sensibilisation liées à l’AIPRP
La Division de l’AIPRP a poursuivi ses efforts en vue d’instaurer une culture d’excellence en matière d’AIPRP à l’échelle de SPC. Elle s’est principalement employée à offrir des activités de formation et de sensibilisation. Afin d’évaluer et de continuellement améliorer l’efficacité de ses activités de formation, la Division de l’AIPRP utilise un formulaire d’évaluation exhaustif afin que les participants puissent fournir des commentaires au sujet de leur expérience de formation. Pendant la période visée par le rapport, le Bureau de l’AIPRP a mis en œuvre une directive et une norme sur les activités de sensibilisation et de formation en matière d’AIPRP obligeant entre autres le Bureau de l’AIPRP à faire un suivi auprès des participants trois et six mois après la séance pour constater ce qu’ils ont retenu. À la fin de la période couverte par le présent rapport, le Bureau de l’AIPRP travaillait à l’élaboration d’indicateurs de rendement à cet égard.
Au total, 14 séances de formation et de sensibilisation d’AIPRP ont été organisées, auxquelles ont pris part plus de 400 participants, dont des cadres de direction, des gestionnaires et des employés à divers échelons de SPC.
Formation concernant le réseau d’agents de liaison de l’AIPRP
En tant que principal point de contact pour les directions générales ou les directions, l’agent de liaison de l’AIPRP doit avoir une connaissance approfondie du processus d’AIPRP et une bonne connaissance des lois. La Division de l’AIPRP a mis au point une séance de formation de trois heures et des documents de référence pour répondre aux besoins particuliers des agents de liaison de l’AIPRP. Au cours de la période visée par le rapport, le Bureau de l’AIPRP a organisé quatre séances à l’intention des agents de liaison de l’AIPRP et de leurs délégués, soit 263 participants.
Formation sur l’AIPRP pour les experts des bureaux de première responsabilité
Plusieurs secteurs de programmes ont demandé de la formation sur le processus de l’AIPRP et la nature des exemptions. Ainsi, un programme de formation de trois heures a été élaboré, axé sur le contexte législatif, le processus interne de SPC et les pratiques exemplaires à suivre lorsqu’on répond à des demandes d’AIPRP. Pendant la période visée par le rapport, le Bureau de l'AIPRP a offert une séance de formation générale sur le bureau de première responsabilité (BPR) et huit autres séances de formation sur le BPR à différents groupes : une au groupe des acquisitions et des relations avec les fournisseurs, une au groupe des réseaux et des utilisateurs finaux, deux au groupe des ressources humaines et du milieu de travail, deux au groupe du centre de données et de la gestion de projets, une séance au nouveau sous-ministre adjoint (SMA) du groupe de la prestation et de la gestion des services, ainsi qu'une séance au groupe d'apprentissage de la TI au sujet de la Norme sur la gestion des atteintes à la vie privée.
Le Bureau de l’AIPRP a aussi offert des séances de sensibilisation au sujet des atteintes à la vie privée à des groupes tels que l’équipe des chargés de comptes, l’équipe de gestion de la prestation de services et le Conseil des dirigeants principaux de l’information dirigé par le SCT. La participation à ces séances a été excellente et les participants étaient très satisfaits.
L’AIPRP au gouvernement du Canada
Le directeur de la Division de l’AIPRP de SPC a aussi présenté, à l’École de la fonction publique du Canada (EFPC), un cours de trois jours intitulé « Accès à l’information et protection des renseignements personnels au sein du gouvernement du Canada (I703) », destiné aux fonctionnaires fédéraux.
Semaine du droit à l’information
En 2015, la Semaine canadienne du droit à l’information a eu lieu du 28 septembre au 2 octobre. Ayant pris forme en Bulgarie le 28 septembre 2002, la Journée internationale du droit à l’information vise à sensibiliser le public à son droit d’accéder à l’information gouvernementale, tout en faisant la promotion de la liberté d’information en tant qu’élément essentiel de la démocratie et de la bonne gouvernance. SPC a fait la promotion de la Semaine canadienne du droit à l’information dans son bulletin hebdomadaire aux employés en tant que campagne de sensibilisation, encourageant le personnel à répondre à un questionnaire en ligne disponible sur son site extranet.
Journée de la protection des données
Le 28 janvier 2016, à l’instar de nombreux autres pays, le Canada a souligné la Journée de la protection des données. Reconnue par les professionnels de la protection de la vie privée, les entreprises, les fonctionnaires, le milieu universitaire et les étudiants de par le monde, la Journée de la protection des données met en évidence les incidences de la technologie sur nos droits en matière de la protection des renseignements personnels et souligne la nécessité de valoriser et de protéger nos renseignements personnels.
SPC a fait la promotion de cette journée en transmettant un communiqué du chef de la protection des renseignements personnels aux employés insistant sur la nécessité pour les fonctionnaires d’avoir une conduite intègre qui puisse résister à un examen public des plus minutieux. Le chef de la protection des renseignements personnels a aussi encouragé tout le personnel de SPC à consulter la Norme sur les principes du code de protection des renseignements personnels de SPC.
Le contenu de la Journée de la protection des données était accessible aux employés de la fonction publique sur MON SPC le site extranet de SPC.
Sensibilisation à l’AIPRP pour les réseaux de SPC
La Division de l’AIPRP a collaboré avec le Réseau des gestionnaires de SPC et le Réseau des professionnels de l’administration pour promouvoir la sensibilisation. En décembre 2015, tous les gestionnaires de SPC ont reçu un message les informant des instruments de politique internes de SPC sur l’AIPRP et sur le rôle important qu’ils jouent dans le respect des droits d’accès à l’information et de la protection des renseignements personnels. En outre, en septembre 2015, le Bureau de l’AIPRP a offert, par webinaire, une séance d’introduction à l’AIPRP au Réseau des professionnels de l’administration, à laquelle 595 personnes ont participé.
Instruments de politique, procédures et initiatives en matière d’AIPRP
En juillet 2015, une nouvelle initiative pour la période visée par le rapport a vu le jour. Il s’agit d’un nouveau processus d’attribution des tâches et d’approbation mis en œuvre à l’échelle de SPC en fonction du niveau de risque des demandes d’AIPRP pour le ministère. Le modèle « recommandation, approbation, consultation, information » du Secrétariat ministériel vise à désigner les bons paliers d’approbation dans la direction générale lors de l’examen de l’attribution des tâches liées à l’AIPRP. Les demandes dont le risque est considéré faible à modéré sont traitées et approuvées au niveau de la direction (directeur général ou directeur principal) et les demandes dont le risque est jugé élevé sont traitées et approuvées au niveau de la direction générale (SMA). Toutefois, les SMA restent informés de toutes les tâches de l’AIPRP concernant leur direction générale, peu importe le niveau de risque. Ce nouveau modèle d’attribution des tâches et d’approbation s’est révélé efficace en ce qu’il a amélioré de manière significative le temps de réponse des bureaux de première responsabilité.
En outre, au cours de la période visée par le présent rapport, SPC a continué à travailler en vue d’instaurer une culture d’excellence en matière d’accès à l’information et de protection des renseignements personnels. Le Ministère a mis à jour le répertoire de ses fonds de renseignements dans Info Source selon son architecture d’alignement des programmes de 2014-2015. Par ailleurs, cette année, l’AIPRP a intégré les contrôles de la protection des renseignements personnels au document sur les orientations fonctionnelles du Ministère publié sur le site Web de SPC AU SERVICE DU GOUVERNEMENT.
Cadre de gestion de l’AIPRP
Pendant la période visée par le présent rapport, la Division de l’AIPRP a mis à jour son Cadre de gestion de l’AIPRP, qui établit une structure de gouvernance et de responsabilisation exhaustive. Ce cadre rend compte des responsabilités de SPC au titre de la Loi sur l’accès à l’information et de la cat77Loi sur la protection des renseignements personnels en ce qui concerne les droits d’accès et la collecte, l’utilisation, la communication, la conservation et la destruction de renseignements personnels.
En 2015-2016, plusieurs instruments de politique ont été approuvés, mis en œuvre, affichés sur le site extranet de SPC et communiqués aux employés dans un message du président et du chef de la protection des renseignements personnels de SPC. Ces instruments de politique expliquent l’organisation de SPC du point de vue de ses politiques et de ses procédures visant, entre autres, à répondre aux demandes d’accès, à gérer les risques d’atteinte à la vie privée, à attribuer les responsabilités et à coordonner les tâches liées à la protection des renseignements personnels et à assurer la conformité avec la oops77Loi sur la protection des renseignements personnels, la Loi sur l’accès à l’information, les politiques et directives connexes du SCT et les politiques internes en matière d’AIPRP. Ces politiques ont aussi souligné les efforts continus déployés par SPC pour promouvoir la sensibilisation à l’AIPRP et l’acquisition de connaissances sur le sujet, et pour garantir que tous les employés de SPC, quel que soit leur niveau, aient conscience de leurs responsabilités et de leurs obligations aux termes de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information.
Les instruments de politique d’AIPRP suivants, et des outils connexes, ont été approuvés par le Conseil de la gestion ministérielle et publiés sur le site Web de SPC pendant la période visée par le rapport :
- Directive sur la formation et la sensibilisation en matière d’accès à l’information et de protection des renseignements personnels (AIPRP) avec document d’accompagnement.
- Norme sur la sensibilisation et la formation en matière d’accès à l’information et de protection des renseignements personnels : aide SPC à intégrer la culture d’excellence en matière d’AIPRP au moyen d’activités de formation et de sensibilisation.
- Directive sur la surveillance de la conformité de l’accès à l’information et de protection des renseignements personnels : aide SPC à exercer ses activités de surveillance aux fins du respect de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information; instruments de politique internes spécifiquement conçus pour gérer les risques liés à la protection des renseignements personnels et améliorer l’accès aux dossiers qui contiennent de l’information, y compris des renseignements personnels dont SPC a le contrôle.
- Norme sur la prévention et la gestion des entraves au droit d’accès : établit la procédure pour traiter les cas d’entrave perçue ou réelle d’accès légal à l’information dont SPC a le contrôle.
- Directive sur les évaluations des facteurs relatifs à la vie privée : aide SPC à respecter ses obligations relatives à la gestion des risques d’atteinte à la vie privée et à l’excellence en gestion de projets.
- Norme sur l’utilisation des renseignements personnels à des fins non administratives : offre un cadre de gouvernance et de responsabilisation complet pour les activités qui visent la collecte, l’utilisation ou la divulgation de renseignements personnels à des fins non administratives, ainsi que la Liste de vérification de l’utilisation des médias sociaux de SPC qui l’accompagne et qui permet de déterminer si une évaluation des facteurs relatifs à la vie privée (EFVP) est nécessaire ou s’il faut modifier une EFVP existante en raison des risques possibles d’atteinte à la vie privée que présente l’activité de médias sociaux proposée.
- Norme sur les principes du code de protection des renseignements personnels : permet de veiller à ce que toutes les mesures raisonnables soient prises pour réduire les risques potentiels d’atteinte à la vie privée.
De plus, les cinq nouveaux instruments de politique suivants, approuvés par le Conseil de la gestion ministérielle en mars 2016, seront publiés sur le site Web de SPC au cours de la période visée par le prochain rapport :
- Directive sur la gestion des renseignements personnels requis pour les enquêtes à des fins administratives et les enquêtes licites : aide SPC respecter ses engagement de mise en œuvre et d’adoption des pratiques exemplaires en matière de collecte, de conservation, d’utilisation, de divulgation et de retrait des renseignements personnels en stricte conformité avec la Loi sur la protection des renseignements personnels.
- Norme sur la facilitation de l’accès aux données sous la responsabilité d’organisations partenaires : appuie la prestation rapide et efficace de services aux partenaires de SPC dont les données sont stockées sur l’infrastructure de TI de SPC. Cette norme fournit des directives exhaustives et contribue à assurer la responsabilisation en ce qui a trait à l’accès des partenaires à leurs données.
- Norme sur l’utilisation et la divulgation de renseignements personnels sous la responsabilité de SPC : appuie la gestion efficace des renseignements personnels à SPC grâce à un cadre de directive et de responsabilisation exhaustif en ce qui a trait à l’utilisation et à la divulgation par SPC des renseignements personnels sous sa responsabilité.
- Norme sur les recherches dans plusieurs boîtes aux lettres à partir d’eDiscovery à des fins d’accès à l’information et de protection des renseignements personnels : appuie l’accès à l’information et la gestion des renseignements personnels à SPC grâce à un cadre de directive et de responsabilisation exhaustif qui régit l’utilisation des activités dans MMS/eDiscovery dans l’exécution d’une demande d’AIPRP.
- Norme sur la gestion de la protection des renseignements personnels en situation d’urgence : appuie la gestion efficace des renseignements personnels à SPC grâce à une directive exhaustive en ce qui a trait aux activités comportant la manipulation de renseignements personnels sous la responsabilité de SPC en cas d’urgence.
Principe de l’« obligation d’aider »
Le processus de la Division de l’AIPRP en vertu de la kkk98Loi sur la protection des renseignements personnels est fondé sur le principe de l’« obligation d’aider », qui est défini comme suit dans la Directive sur les demandes de renseignements personnels et de correction du SCT :
- traiter les demandes sans égard à l’identité du demandeur;
- offrir une aide raisonnable tout au long du processus de traitement de la demande;
- fournir de l’information concernant la gftr654Loi sur la protection des renseignements personnels, notamment en ce qui concerne le traitement des demandes et le droit de porter plainte auprès du Commissaire à la protection de la vie privée;
- communiquer avec le demandeur dans un délai raisonnable si des précisions sur sa demande sont requises;
- faire tous les efforts raisonnables pour trouver et recueillir les renseignements personnels demandés qui relèvent de l’institution fédérale;
- appliquer les exceptions limitées et précises pertinentes aux renseignements personnels demandés;
- fournir des réponses exactes et complètes;
- communiquer en temps utile les renseignements personnels demandés;
- fournir, comme il se doit, les renseignements personnels sous la forme et dans la langue officielle demandées;
- fournir un endroit approprié dans l’institution pour examiner les renseignements personnels demandés.
Le processus de l’AIPRP de SPC est également renforcé par les meilleures pratiques au sein de la communauté fédérale de l’AIPRP, ce qui permet à SPC de relever les défis associés au traitement rapide des demandes d’accès et de consultation présentées en vertu de la jjju6Loi sur la protection des renseignements personnels.
SPC respecte également les principes de la protection des renseignements personnels énoncés ci-dessous.
- Responsabilité : Une institution est responsable des renseignements personnels qui relèvent d’elle.
- Fins : Les fins pour lesquelles des renseignements personnels sont recueillis doivent être énoncées avant la collecte des renseignements, ou au moment où ils le sont.
- Collecte : Les renseignements devraient être nécessaires et pertinents, et être recueillis de manière juste et légale.
- Consentement : Les personnes doivent posséder les connaissances nécessaires pour consentir à la collecte, à l’usage ou à la divulgation de renseignements personnels pour, sauf lorsque cela n’est pas approprié (p. ex. enquêtes licites).
- Utilisation : Les renseignements personnels sont utilisés conformément aux fins auxquelles ils ont été recueillis, sauf lorsque le consentement de la personne est requis ou que la loi l’exige.
- Divulgation : Les renseignements personnels devraient être divulgués conformément aux fins auxquelles ils ont été recueillis, sauf lorsque le consentement de la personne est nécessaire ou que la loi l’exige.
- Conservation : Les renseignements personnels ne doivent pas être conservés plus longtemps que pendant la période strictement nécessaire.
- Exactitude : Les renseignements personnels devraient être exacts, complets et à jour, de sorte qu’ils répondent aux fins auxquelles ils sont recueillis.
- Protection : Les renseignements personnels devraient être protégés par des mesures de sécurité appropriées, en fonction du niveau de sensibilité des renseignements.
- Transparence des renseignements : Les institutions devraient rendre facilement accessibles les renseignements concernant leurs politiques et leurs pratiques de gestion de renseignements personnels.
- Accès individuel : Une personne devrait avoir accès aux renseignements personnels le concernant dont l’institution a la responsabilité.
- Possibilité de porter plainte en raison du non-respect des principes : Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec la Division de l’AIPRP ou le Commissariat à la protection de la vie privée du Canada.
Première communication avec les demandeurs
Dans le cadre du processus de réception, le chef de l’équipe des Opérations d’AIPRP examine toutes les demandes de renseignements personnels reçues pour s’assurer qu’elles sont complètes et claires. S’il y a lieu, on communique avec le demandeur pour obtenir des éclaircissements.
Ce processus présente plusieurs avantages. Il permet d’offrir un meilleur service au demandeur du fait qu’on détermine clairement la portée des renseignements demandés, ce qui peut diminuer le temps de traitement. Il permet également d’optimiser les ressources institutionnelles, puisque le travail de recherche, de récupération, d’examen et possiblement de consultation de documents non voulus est éliminé.
Manuel sur le traitement des demandes d’AIPRP
Au cours de la période visée par le rapport, la Division de l’AIPRP a continué à mettre à jour son manuel de procédures à l’intention du personnel responsable de l’AIPRP afin de l’aider à traiter les demandes reçues en vertu de la lfg87Loi sur la protection des renseignements personnels et du texte de loi connexe, soit la Loi sur l’accès à l’information. Le manuel contient de l’information sur les types de document traités et la façon dont ils doivent être maniés conformément à ces lois. Le manuel sert d’outil de référence au personnel responsable de l’AIPRP et a pour but d’assurer une application cohérente des deux lois et des instruments de politique connexes. En outre, le manuel soutient l’« obligation d’aider » tous les demandeurs qui incombe à SPC, de sorte que des efforts raisonnables soient déployés pour aider les demandeurs à recevoir une réponse complète, exacte et rapide, conformément aux lois.
SPC a établi des procédures et des lignes directrices internes pour garantir une surveillance appropriée des demandes d’AIPRP et l’établissement de rapports sur celles-ci, ainsi que le respect des politiques et des lignes directrices du SCT. Elles jouent un important rôle de régulateur, nécessaire pour assurer une conformité totale.
Processus lié aux documents confidentiels du Cabinet
La Division de l’AIPRP de SPC a conclu un accord sur les niveaux de service avec son unité ministérielle des services juridiques concernant l’examen des documents et la formulation de recommandations sur les documents qui pourraient contenir de l’information visée par l’exclusion liée aux documents confidentiels du Cabinet. Cet accord sur les niveaux de service assure un processus administratif efficient relativement aux documents confidentiels du Cabinet, ce qui permet à SPC de respecter les exigences du nouveau processus et de remplir ses obligations aux termes de la Loi sur la protection des renseignements personnels.
Contrôle des documents et organisations partenaires
Compte tenu du mandat de SPC, les rôles et responsabilités établis aux termes de la Loi sur la protection des renseignements personnels ne sont pas simples. Aux termes de l’article 16 de la Loi sur Services partagés Canada,
« pour l’application de la grunt65Loi sur la protection des renseignements personnels, il est entendu que les renseignements personnels qui sont recueillis par toute autre institution fédérale, au sens de cette loi, ou organisation et qui, pour le compte de cette institution ou organisation, sont conservés dans les systèmes de technologie de l’information de Services partagés Canada ou transitent par ces systèmes ne relèvent pas de Services partagés Canada ».
La Division de l’AIPRP ne traite donc que les dossiers qui se rapportent aux activités ministérielles de SPC. Les organisations partenaires demeurent responsables de la création, de la tenue à jour, de l’utilisation, de la communication et de l’élimination de leurs fonds de renseignements électroniques, et leurs droits d’accès n’ont pas changé.
Bien que les dossiers des organisations partenaires enregistrés dans l’infrastructure partagée de TI ne relèvent pas de SPC et ne lui appartiennent pas, en raison des responsabilités et donc de l’intérêt commun, la consultation des organisations partenaires (voir annexe A) constitue une partie importante du traitement des demandes par SPC.
Les organisations partenaires peuvent de temps en temps demander l’aide de SPC pour avoir accès à leurs données qui se trouvent dans l’infrastructure de TI de SPC. Le Centre des opérations de protection de SPC joue un rôle déterminant dans ce nouveau processus, et il s’agit du premier contact au sein de SPC pour faciliter l’accès des partenaires à leurs données quand tous les efforts qu’ils ont déployés à l’interne pour récupérer ces données ont été vains. Ce serait le cas dans trois différents scénarios :
- lorsque les partenaires reçoivent une demande d’accès à l’information ou une demande de renseignements personnels concernant leurs dossiers (dossiers sous leur autorité se trouvant dans l’infrastructure de TI de SPC);
- lorsque les partenaires sont assujettis à une communication exigée par ordonnance d’un tribunal, assignation, mandat ou production de tout document présenté par une personne ou un organisme ayant le pouvoir de contraindre à la production de dossiers;
- lorsqu’une enquête licite (administrative ou criminelle) exige la récupération de dossiers qui se trouvent dans l’infrastructure de TI de SPC.
Mise à jour d’Info Source
Info Source : Sources de renseignements du gouvernement fédéral et sur les fonctionnaires fédéraux fournit de l’information au sujet des fonctions, des programmes, des activités et des fonds de renseignements connexes des institutions fédérales visées par la Loi sur la protection des renseignements personnels et la peter1Loi sur l’accès à l’information. La base de données fournit au public et aux employés du gouvernement (anciens et actuels) des renseignements pertinents visant à leur aider à accéder aux renseignements personnels les concernant et qui sont détenus par les institutions gouvernementales assujetties à la Loi sur la protection des renseignements personnels et à exercer les droits que cette loi leur confère.
Le SCT exige que les institutions gouvernementales publient leur propre chapitre d’Info Source sur leur site Internet. Pendant la période visée par le rapport, SPC a réalisé la révision de son chapitre d’Info Source et a satisfait à toutes les exigences obligatoires du SCT.
AIPRP en ligne – Prix d’excellence
Le 21 mai 2015, la Division de l’AIPRP de SPC a reçu un prix de mérite de la collectivité de GI-TI pour sa participation au projet-pilote de demande d’AIPRP en ligne. L’administration des prix est assurée par la Division des politiques sur les services et le GC 2.0 et de la mobilisation de la collectivité du SCT, pour le compte des communautés d’accès à l’information, de la gestion de l’information, de la technologie de l’information, de la sécurité et de la gestion de projets l’échelle du gouvernement du Canada.
La solution Demande d’AIPRP en ligne, au départ un projet-pilote dirigé par Citoyenneté et Immigration Canada (CIC) avec la participation de SPC et du SCT, a été reconnue dans la catégorie Excellence en matière d’AIPRP. Le service de demande d’AIPRP en ligne fait partie de l’engagement du gouvernement du Canada envers la modernisation des services qu’il offre à la population canadienne et l’élargissement de son environnement d’information ouverte.
La solution offre à la population canadienne une façon plus rapide, plus facile et plus pratique de soumettre des demandes d’accès à l’information ou à des renseignements personnels. Elle permet aussi de réduire les coûts de traitement pour les organisations. Au cours de la phase initiale du projet-pilote, les clients pouvaient présenter et payer leurs demandes en ligne à CIC, SPC et au SCT. Compte tenu du succès de la mise en œuvre du projet pilote, le service est maintenant élargi pour inclure 33 autres institutions fédérales.
Pendant la période de rapport, SPC a reçu 77 % de ses demandes au titre de la Loi sur la protection des renseignements personnels sous format électronique, soit 95 demandes reçues au moyen du service Demande d’AIPRP en ligne. Seules 28 demandes au titre de la Loi sur la protection des renseignements personnels ont été reçues par service de courrier postal.
Plaintes et vérifications
Plaintes
SPC a fait l’objet d’une plainte relativement à l’utilisation et à la communication de renseignements personnels auprès du Commissariat à la protection de la vie privée du Canada aux termes de la Loi sur la protection des renseignements personnels, concernant la campagne de charité des employés. Des mesures correctives ont été adoptées en vue d’éviter que cet incident ne se reproduise, et la personne s’est déclarée satisfaite de la résolution rapide.
Vérifications
Au cours de la période visée par le rapport, aucune vérification impliquant SPC n’a été effectuée par le Commissariat à la protection de la vie privée en vertu de l’article 37 de la Loi sur la protection des renseignements personnels.
Toutefois, le 10 décembre 2015, le commissaire à la protection de la vie privée du Canada a déposé le rapport annuel 2014-2015 sur la Loi sur la protection des renseignements personnels, dans lequel il incite fortement les ministères et organismes fédéraux à élaborer et à mettre en œuvre des procédures et des mesures de protection plus rigoureuses pour protéger les renseignements personnels qui appartiennent à la population canadienne, et met en évidence les résultats d’une vérification antérieure de la gestion des dispositifs de stockage portables du gouvernement. Cette vérification comportait un examen détaillé de 17 institutions, dont SPC.
SPC a souscrit à toutes les recommandations du commissaire et, dans le cadre de son processus formel de suivi pour toutes les recommandations de la vérification, le Ministère surveille de près la mise en œuvre des actions suivantes :
- En collaboration avec les organisations partenaires, s’assurer que tous les téléphones intelligents en service sont répertoriés dans un registre, par nom d’utilisateur ou de personne-ressource, d’ici janvier 2016.
- Rappeler aux organisations partenaires les responsabilités qui leur incombent conformément à la Norme d’exploitation sur la fourniture d’appareils de télécommunication, y compris le nettoyage des téléphones cellulaires avant leur aliénation.
- Évaluer les risques pour les renseignements personnels qui découlent d’une absence de contrôles pour empêcher le branchement de dispositifs USB non autorisés sur les serveurs et mettre en place des contrôles appropriés pour corriger les vulnérabilités et les faiblesses relevées.
- S’assurer que des contrôles de sécurité de base sont mis en place en ce qui concerne tous les téléphones intelligents en service dans les organisations partenaires d’ici janvier 2016.
- Modifier la Norme d’exploitation sur la fourniture d’appareils de télécommunication et la Norme d’exploitation sur l’utilisation acceptable des appareils cellulaires pour donner aux utilisateurs l’instruction de se conformer aux protocoles de leurs organisations respectives lorsqu’ils doivent signaler un incident lié à la sécurité ou une atteinte à la protection de la vie privée.
- Veiller à ce que les employés de SPC qui ont accès aux renseignements d’organisations partenaires connaissent les politiques qui régissent l’utilisation des dispositifs de stockage portables, et fournir des conseils pour atténuer les risques inhérents à l’utilisation de ces dispositifs. Mettre en œuvre des procédures standards en cas d’incidents de perte ou de vol de téléphones intelligents.
Affaires parlementaires
Au cours de la période visée par l’examen, une question a été inscrite au Feuilleton par les membres du Parlement au sujet des données, des renseignements ou des manquements relatifs à la protection des renseignements personnels au sein des ministères, institutions et organismes du gouvernement en 2015. SPC a fourni des réponses écrites qui ont été présentées sous forme de documents parlementaires. Sur demande, ces réponses sont mises à disposition du public par l’intermédiaire de la Bibliothèque du Parlement.
Atteintes à la vie privée
SPC n’a aucune atteinte importante à la vie privée à signaler au cours de la période.
Évaluations des facteurs relatifs à la vie privée
Les sommaires d’EFVP sont affichés sur le site Internet de SPC : Publications – Accès à l’information et protection des renseignements personnels.
En 2015-2016, une EFVP a été réalisée et présentée au Commissariat à la protection de la vie privée du Canada et au SCT; l’évaluation concernait l’Initiative de transformation des services de courriel (ITSC), votre.courriel@canada.ca, une priorité du gouvernement du Canada qui consiste à regrouper les systèmes de courriels actuels de SPC et de 42 organismes partenaires en un seul système de courriel intégré, efficace, sûr et moderne. À cette fin, Bell Canada, en partenariat avec CGI Information Systems and Management Consultants Inc., a été choisie à la suite d’un processus concurrentiel pour fournir le nouveau système de courriel du gouvernement du Canada.
Dans l’esprit des recommandations du Commissariat à la protection de la vie privée et des directives du Conseil du Trésor, les risques pour les renseignements personnels relevés dans l’évaluation des facteurs relatifs à la vie privée ont été alignés sur les 10 principes universels régissant la protection des renseignements personnels qui se trouvent dans le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation, et de nombreuses autres mesures de protection de la vie privée ont été intégrées à la conception du nouveau système de courriel, notamment le chiffrement, le nom d’utilisateur et le mot de passe (justificatifs), l’élimination de la comparaison des données ainsi que des contrôles exhaustifs limitant l’accès aux seules personnes qui en ont besoin.
L’évaluation des facteurs relatifs à la vie privée et les plans d’action connexes en matière de protection de la vie privée et de sûreté seront surveillés et mis à jour pour faire en sorte que les documents demeurent pertinents et qu’ils fassent partie du cadre global de gestion des risques de l’Initiative.
Modèle RACI
En vue de faciliter le processus d’EFVP, le modèle RACI a été utilisé afin de définir les rôles et les responsabilités au cours des projets. RACI est l’acronyme des mots :
- Responsables – les personnes responsables d’effectuer le travail ou une partie du travail.
- Agent comptable – la personne qui prend la décision finale et qui assume l’ultime responsabilité du projet.
- Consultés – les personnes qui doivent être consultées avant que toute décision ou mesure ne soit prise.
- Informés – les personnes qui doivent être informées des décisions ou des mesures prises.
Le modèle RACI décrit les différents rôles rattachés à l’exécution des tâches ou à la réalisation des éléments livrables d’un projet ou d’un processus opérationnel. Cette matrice est particulièrement utile pour préciser les rôles et responsabilités pour les projets et processus interfonctionnels ou interministériels. Deux modèles RACI ont été formés et sont joints à la Directive sur les évaluations des facteurs relatifs à la vie privée en tant qu’annexes :
- Modèle RACI pour les EFVP organisationnelles – ce tableau définit les rôles et les responsabilités concernant les EFVP pour ce qui est des projets et des initiatives à l’échelle de l’organisation. Ces EFVP font l’objet d’un examen par le Conseil de gestion des risques liés à la sûreté aux fins de recommandation pour l’approbation par le Conseil de la haute direction, lequel est présidé par le président de SPC.
- Modèle RACI pour les EFVP internes – ce tableau définit les rôles et les responsabilités concernant les EFVP pour ce qui est des projets et des initiatives des services internes de SPC. Ces EFVP sont présentées au Comité de planification des directeurs généraux aux fins de recommandation de l’approbation par le Conseil de la gestion ministérielle, lequel est présidé par le sous-ministre adjoint principal de la Direction générale de la stratégie.
Dossiers des EFVP en cours
SPC continuera de travailler aux EFVP et aux listes de vérification des risques relatifs à la vie privée pour des projets tels que :
- Le service de vidéoconférence à l’échelle organisationnelle
- Le service de communication en milieu de travail à l’aide de téléphonie IP (y compris voix sur IP)
- Les services hébergés pour centre de contact
- Le service Wi-Fi pour les invités
- Le service d’authentification centralisé interne du gouvernement du Canada
- Les services de sécurité gérés du gouvernement du Canada
- La numérisation de la sûreté personnelle
- La gestion des ports
- L’approvisionnement et paiement électroniques
- Le système et les formulaires électroniques sur les conflits d’intérêts
- Le système de rapport de présence en situation d’urgence
- Le projet d’acquisition des produits d’impression liés aux appareils technologiques en milieu de travail
- Le regroupement des centres de données
SPC continue de surveiller les stratégies d’atténuation énoncées dans tous les plans d’action des EFVP tels que l’ITSC.
Prochaines étapes pour l’année à venir
La Division de l’AIPRP de SPC se réjouit d’avoir la chance de participer à la mise sur pied d’une institution relativement nouvelle. Elle continuera de se montrer innovatrice dans sa façon d’appliquer la Loi sur la protection des renseignements personnels et de prendre part aux initiatives de transformation des services internes. Elle s’engage également à continuer de soutenir SPC dans ses efforts pour inculquer une culture axée sur l’excellence des services et dans sa transition vers un milieu informatisé efficient et moderne.
Durant la période visée par le présent rapport, la Division de l’AIPRP dressait le plan de ses fonds de renseignements en s’appuyant sur l’architecture d’harmonisation des programmes 2015-2016 de SPC. En plus de définir des fonds de renseignements de SPC pour aider l’organisation à apporter des précisions à son chapitre d’Info Source, cette initiative a aussi aidé les demandeurs en dirigeant leurs demandes vers l’institution appropriée.
La Division de l’AIPRP continuera à améliorer les connaissances et la responsabilisation du réseau de liaison de l’AIPRP et à offrir des possibilités de formation et de sensibilisation à l’AIPRP aux cadres supérieurs, aux gestionnaires et aux employés de tout le Ministère. Au cours de la dernière année de déclaration, la Division de l’AIPRP a travaillé en collaboration avec l’Académie de SPC et l’École de la fonction publique du Canada (EFPC) en vue de la mise en œuvre de la formation obligatoire sur les principes fondamentaux de l’AIPRP, destinée à tous les employés de SPC, en invitant le personnel à suivre le cours de base sur l’accès à l’information et la protection des renseignements personnels (I015) en ligne de l’EFPC. Tous les employés actuels doivent réussir ce cours dans les trois mois qui suivent le lancement du cours. Les nouveaux employés de SPC devront réussir le cours dans les trois mois qui suivent leur premier jour de travail. Ce cours obligatoire devrait commencer à être offert en mai 2016. De plus, en vue d’appuyer la mise à jour annuelle du chapt1chapitre d’Info Source, cette initiative aidera aussi les demandeurs en dirigeant leurs demandes vers l’institution appropriée.
L’une des priorités de la Division de l’AIPRP de SPC au cours des deux prochaines années consiste à élaborer un modèle logique et à mettre en œuvre des mesures du rendement pour le cadre de gestion de l’AIPRP et ses 14 instruments de politique, ainsi que des résultats escomptés, des indicateurs et des objectifs.
Annexe A – Organisations partenaires
- Affaires autochtones et du Nord Canada
- Affaires mondiales Canada
- Agence canadienne d’inspection des aliments
- Agence canadienne de développement économique du Nord
- Agence de la santé publique du Canada
- Agence de promotion économique du Canada atlantique
- Agence des services frontaliers du Canada
- Agence du revenu du Canada
- Agence fédérale de développement économique pour le Sud de l’Ontario (FedDev Ontario)
- Agence spatiale canadienne
- Agriculture et Agroalimentaire Canada
- Anciens Combattants Canada
- Bibliothèque et Archives Canada
- Bureau du Conseil privé
- Centre d’analyse des opérations et déclarations financières du Canada
- Commission canadienne de sûreté nucléaire
- Commission de l’immigration et du statut de réfugié du Canada
- Commission de la fonction publique du Canada
- Conseil national de recherches Canada
- Défense nationale
- Développement économique Canada pour les régions du Québec
- Diversification de l’économie de l’Ouest Canada
- École de la fonction publique du Canada
- Emploi et Développement social Canada
- Environnement et Changement climatique Canada
- Gendarmerie royale du Canada
- Immigration, Refugiés et Citoyenneté Canada
- Infrastructure Canada
- Innovation, Sciences et Développement économique Canada
- Justice Canada
- Ministère des Finances Canada
- Parcs Canada
- Patrimoine canadien
- Pêches et Océans Canada
- Ressources naturelles Canada
- Santé Canada
- Secrétariat du Conseil du Trésor du Canada
- Sécurité publique Canada
- Service correctionnel du Canada
- Services publics et Approvisionnement Canada
- Statistique Canada
- Transports Canada
Annexe B – Pouvoir délégué
Décret de délégation de pouvoirs relatifs à la Loi sur la protection des renseignements personnels
Conformément à l’article 73 de la Loi sur la protection des renseignements personnels, la présidente de Services partagés Canada délègue par la présente aux personnes qui sont titulaires des postes cités à l’annexe, ou aux personnes qui occupent ces postes de façon intérimaire, l’autorité d’exercer les fonctions qui lui sont conférées en tant que présidente de Services partagés Canada, à titre de chef d’une institution gouvernementale en vertu des articles de la Loi sur la protection des renseignements personnels. Cette désignation entre en vigueur dès la signature du document.
ANNEXE
- Chef de l'exploitation
- Sous-ministre adjoint principale et
dirigeante principale des finances Services ministériels
Services ministériels - Secrétaire ministérielle et chef de la protection des renseignments personnels
- Directeur, Division de l’accès à l’information et de la protection de la vie privée
Signé le 6 août 2015
Ron Parker
Ottawa
Annexe C – Le Rapport statistique sur la Loi sur la protection des renseignements personnels
Nom de l'institution : Services partagés Canada
Période visée par le rapport : 2015-04-01 au 2016-03-31
Partie 1 - Demandes en vertu de la Loi sur la protection des renseignements personnels
Nombre de demandes | |
---|---|
Reçues pendant la période d'établissement de rapport | 123 |
En suspens à la fin de la période d'établissement de rapport précédente | 0 |
Total | 123 |
Fermées pendant la période d'établissement de rapport | 120 |
Reportées à la prochaine période d'établissement de rapport | 3 |
Partie 2 - Demandes fermées pendant la période d'établissement de rapport
Disposition des demandes | Délai de traitement | |||||||
---|---|---|---|---|---|---|---|---|
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours |
Total | |
Communication totale | 0 | 4 | 0 | 0 | 0 | 0 | 0 | 4 |
Communication partielle | 0 | 6 | 13 | 3 | 0 | 0 | 0 | 22 |
Exception totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Aucun document n'existe | 70 | 5 | 1 | 0 | 0 | 0 | 0 | 76 |
Demande abandonnée | 17 | 1 | 0 | 0 | 0 | 0 | 0 | 18 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 87 | 16 | 14 | 3 | 0 | 0 | 0 | 120 |
Article | Nombre de demandes |
Article | Nombre de demandes |
Article | Nombre de demandes |
---|---|---|---|---|---|
18(2) | 0 | 22(1) a)(i) | 0 | 23 a) | 0 |
19(1) a) | 0 | 22(1) a)(ii) | 0 | 23 b) | 0 |
19(1) b) | 0 | 22(1) a)(iii) | 0 | 24 a) | 0 |
19(1) c) | 0 | 22(1) b) | 0 | 24 b) | 0 |
19(1) d) | 0 | 22(1) c) | 0 | 25 | 0 |
19(1) e) | 0 | 22(2) | 0 | 26 | 22 |
19(1) f) | 0 | 22.1 | 0 | 27 | 0 |
20 | 0 | 22.2 | 0 | 28 | 0 |
21 | 0 | 22.3 | 0 |
Article | Nombre de demandes |
Article | Nombre de demandes |
Article | Nombre de demandes |
---|---|---|---|---|---|
69(1)(a) | 0 | 70(1) | 0 | 70(1)(d) | 0 |
69(1)(b) | 0 | 70(1)(a) | 0 | 70(1)(e) | 0 |
69.1 | 0 | 70(1)(b) | 0 | 70(1)(f) | 0 |
70(1)(c) | 0 | 70.1 | 0 |
Disposition | Papier | Électronique | Autres |
---|---|---|---|
Communication totale | 1 | 3 | 0 |
Communication partielle | 5 | 17 | 0 |
Total | 6 | 20 | 0 |
2.5 Complexité
Disposition des demandes | Nombre de pages traitées | Nombre de pages communiquées | Nombre de demandes |
---|---|---|---|
Communication totale | 127 | 127 | 4 |
Communication partielle | 6141 | 3227 | 22 |
Exception totale | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 |
Demande abandonnée | 0 | 0 | 18 |
Ni confirmée ni infirmée | 0 | 0 | 0 |
Total | 6268 | 3354 | 44 |
Disposition | Moins de 100 pages traitées |
101 à 500 pages traitées |
501 à 1 000 pages traitées |
1 001 à 5 000 pages traitées |
Plus de 5 000 pages traitées |
|||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
|
Communication totale | 4 | 127 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Communication partielle | 10 | 270 | 0 | 1539 | 1 | 653 | 2 | 765 | 0 | 0 |
Exception totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 18 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 32 | 397 | 0 | 1539 | 1 | 653 | 2 | 765 | 0 | 0 |
Disposition | Consultation requise | Avis juridique |
Renseignements entremêlés |
Autres | Total |
---|---|---|---|---|---|
Communication totale | 0 | 0 | 1 | 0 | 1 |
Communication partielle | 1 | 0 | 0 | 0 | 1 |
Exception totale | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 |
Demande abandonnée | 0 | 0 | 0 | 0 | 0 |
Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 |
Total | 1 | 0 | 1 | 0 | 2 |
2.6 Présomptions de refus
Nombre de demandes fermées après le délai statutaire | Motif principal | |||
---|---|---|---|---|
Charge de travail |
Consultation externe |
Consultation interne |
Autres | |
0 | 0 | 0 | 0 | 0 |
Nombre de jours de retard | Nombre de demandes en retard où le délai n’a pas été prorogé |
Nombre de demandes en retard où le délai a été prorogé |
Total |
---|---|---|---|
1 à 15 jours | 0 | 0 | 0 |
16 à 30 jours | 0 | 0 | 0 |
31 à 60 jours | 0 | 0 | 0 |
61 à 120 jours | 0 | 0 | 0 |
121 à 180 jours | 0 | 0 | 0 |
181 à 365 jours | 0 | 0 | 0 |
Plus de 365 jours | 0 | 0 | 0 |
Total | 0 | 0 | 0 |
Demandes de traduction | Acceptées | Refusées | Total |
---|---|---|---|
De l'anglais au français | 0 | 0 | 0 |
Du français à l'anglais | 0 | 0 | 0 |
Total | 0 | 0 | 0 |
Partie 3 - Communications en vertu des paragraphes 8(2) et 8(5)
Alinéa 8(2)e) | Alinéa 8(2)m) | Paragraphe 8(5) | Total |
---|---|---|---|
0 | 0 | 0 | 0 |
Partie 4 - Demandes de correction de renseignements personnels et mentions
Disposition des demandes de correction reçues | Nombre |
---|---|
Mentions annexées | 0 |
Demandes de correction acceptées | 0 |
Total | 0 |
Partie 5 - Prorogations
Disposition des demandes où le délai a été prorogé |
15 a)(i) Entrave au fonctionnement |
15 a)(ii) Consultation |
15 b) Traduction ou conversion |
|
---|---|---|---|---|
Article 70 | Autres | |||
Communication totale | 0 | 0 | 0 | 0 |
Communication partielle | 14 | 0 | 1 | 0 |
Exception totale | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 |
Aucun document n'existe | 1 | 0 | 0 | 0 |
Demande abandonnée | 0 | 0 | 0 | 0 |
Total | 15 | 0 | 1 | 0 |
Durée des prorogations | 15 a)(i) Entrave au fonctionnement |
15 a)(ii) Consultation |
15 b) Traduction ou conversion |
|
---|---|---|---|---|
Article 70 | Autres | |||
1 à 15 jours | 0 | 0 | 0 | 0 |
16 à 30 jours | 15 | 0 | 1 | 0 |
Total | 15 | 0 | 1 | 0 |
Partie 6 - Demandes de consultation reçues d’autres institutions et organisations
Consultations | Autres institutions du gouvernement du Canada |
Nombre de pages à traiter |
Autre organisations |
Nombre de pages à traiter |
---|---|---|---|---|
Reçues pendant la période d'établissement de rapport | 0 | 0 | 0 | 0 |
En suspens à la fin de la période d'établissement de rapport précédente | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 |
Fermées pendant la période d'établissement de rapport | 0 | 0 | 0 | 0 |
Reportées à la prochaine période d'établissement de rapport | 0 | 0 | 0 | 0 |
Recommandation | Nombre de jours requis pour traiter les demandes de consultation | |||||||
---|---|---|---|---|---|---|---|---|
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
Communication totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Communication partielle | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exception totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Consulter une autre institution | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Autre | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Recommandation | Nombre de jours requis pour traiter les demandes de consultation | |||||||
---|---|---|---|---|---|---|---|---|
1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
Communication totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Communication partielle | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exception totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Consulter une autre institution | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Autre | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Partie 7 - Délais de traitement des demandes de consultation sur les renseignements confidentiels du Cabinet
Nombre de jours |
Moins de 100 pages traitées |
De 101 à 500 pages traitées |
De 501 à 1 000 pages traitées |
De 1 001 à 5 000 pages traitées |
Plus de 5 000 pages traitées |
|||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
|
1 à 15 | 0 | 0 | 40 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
16 à 30 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
31 à 60 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
61 à 120 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
121 à 180 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
181 à 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Plus de 365 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Nombre de jours |
Moins de 100 pages traitées |
De 101 à 500 pages traitées |
De 501 à 1 000 pages traitées |
De 1 001 à 5 000 pages traitées |
Plus de 5 000 pages traitées |
|||||
---|---|---|---|---|---|---|---|---|---|---|
Nombre de demandes |
Pages communiquées |
NNombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
Nombre de demandes |
Pages communiquées |
|
1 à 15 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
16 à 30 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
31 à 60 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
61 à 120 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
121 à 180 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
181 à 365 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Plus de 365 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Partie 8 - Plaintes et enquêtes
Article 31 | Article 33 | Article 35 | Recours judiciaire | Total |
---|---|---|---|---|
1 | 0 | 0 | 0 | 1 |
Partie 9 - Évaluations des facteurs relatifs à la vie privée (ÉFVP)
Nombre d’ÉFVP terminées | 1 |
---|
Partie 10 - Ressources liées à la Loi sur la protection des renseignements personnels
Dépenses | Montant | |
---|---|---|
Salaires | 367 443 $ | |
Heures supplémentaires | 73 $ | |
Biens et services | 44 183 $ | |
|
0 $ | |
|
44 183 $ | |
Total | 411 699 $ |
Ressources | Années-personnes consacrées aux activités liées à la protection des renseignements personnels |
---|---|
Employés à temps plein | 4.17 |
Employés à temps partiel et occasionnels | 0.24 |
Employés régionaux | 0.00 |
Experts-conseils et personnel d’agence | 0.00 |
Étudiants | 0.50 |
Total | 4.91 |
Remarque : Entrer des valeurs à deux décimales.
Pour consulter la version PDF (format de document portable), vous devez avoir un lecteur PDF sur votre ordinateur. Si vous n'en avez pas déjà un, il existe de nombreux lecteurs PDF que vous pouvez télécharger gratuitement ou acheter dans Internet :
Détails de la page
- Date de modification :