Rapport annuel au Parlement sur l’application de la Loi sur la protection des renseignements personnels – 2020-2021
Table des matières
- Introduction
- Mandat institutionnel
- Pouvoir délégué
- Structure de la Division de l’AIPRP
- Faits saillants du rapport statistique de 2020-2021
- Plaintes, vérifications et enquêtes
- Surveillance de la conformité
- Communication de renseignements personnels en vertu des alinéas 8(2)(e) et 8(2)(m)
- Activités de formation et de sensibilisation
- Politiques, lignes directrices, procédures et initiatives
- Atteintes substantielles à la vie privée
- Évaluation des facteurs relatifs à la vie privée
- Annexe A – Décret de délégation
- Annexe B – Rapport statistique
Introduction
La Loi sur la protection des renseignements personnels protège la vie privée des individus à l'égard des renseignements personnels que les institutions fédérales détiennent à leur sujet. Elle établit des règles pour la collecte, l'utilisation, la divulgation, la conservation et l'élimination de tels renseignements. Elle prévoit également, pour les particuliers, le droit d'accès aux renseignements personnels les concernant, ainsi que le droit de demander qu'on y apporte des corrections.
Services partagés Canada (SPC) est heureux de présenter au Parlement son 10e rapport annuel sur l'administration de la Loi sur la protection des renseignements personnels. Le présent rapport est préparé et déposé au Parlement conformément à l'article 72 de la Loi sur la protection des renseignements personnels. Le rapport porte sur la période comprise entre le 1er avril 2020 et le 31 mars 2021.
Mandat institutionnel
SPC a été créé en 2011 dans le but de transformer la façon dont le gouvernement du Canada assure la gestion et la sécurité de son infrastructure de technologie de l'information (TI).
SPC appuie la vision numérique du gouvernement du Canada visant à élargir et à améliorer la portée de la capacité en matière de services numériques, à accélérer le rythme de la modernisation numérique et à renforcer le soutien continu en ce qui a trait aux outils, aux systèmes et aux réseaux numériques à l'échelle du gouvernement.
Dans le cadre de l'exécution de son mandat, SPC appuie le Plan stratégique des opérations numériques : 2018-2022 et la Stratégie d'adoption de l'informatique en nuage du gouvernement du Canada, ainsi que la collaboration avec les intervenants des secteurs public et privé pour la mise en œuvre d'approches pangouvernementales de gestion des services d'infrastructure de TI et l'emploi de processus de gestion des activités efficaces et efficients.
Pouvoir délégué
Le ministre du Gouvernement numérique est responsable du traitement des demandes présentées en vertu de la Loi sur la protection des renseignements personnels. En vertu du paragraphe 73(1) de la Loi, le ministre a délégué tous ses pouvoirs, fonctions et attributions aux membres de la haute direction de SPC, y compris le directeur et les directeurs adjoints de la Division de l'accès à l'information et de la protection des renseignements personnels (AIPRP), ci-après appelée la Division de l'AIPRP (voir l'annexe A).
Structure de la Division de l’AIPRP
La Division de l'AIPRP fait partie du Secrétariat ministériel, qui est supervisé par la directrice générale, secrétaire générale et chef de la protection des renseignements personnels et relève de la Direction générale de la stratégie et de la mobilisation (DGSM).
La Division applique la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels et son directeur joue le rôle de coordonnateur de l'AIPRP pour le Ministère. Le travail est effectué sous l'autorité de deux directeurs adjoints respectivement responsables de l'Unité des opérations et de l'Unité des politiques et de la gouvernance. Parmi les 18 années‑personnes en moyenne consacrées au programme d'AIPRP, 6 années‑personnes l'ont été à l'application de la Loi sur la protection des renseignements personnels. Ces chiffres en années‑personnes tiennent compte des équivalents temps plein et des étudiants. De nombreux processus de dotation ont été exécutés au cours de l'année, y compris un processus conjoint PM‑05 (chef d'équipe) avec le Secrétariat du Conseil du Trésor du Canada (SCT).
L'Unité des opérations est responsable du traitement des demandes en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. Les activités en question comprennent notamment les tâches suivantes
- Assurer la liaison avec les experts en la matière au sein de SPC.
- Effectuer un examen détaillé des dossiers demandés et tenir des consultations externes, au besoin, pour trouver le juste équilibre entre le droit d'accès à l'information du public et la nécessité, pour le gouvernement, de protéger certains renseignements dans un nombre limité de cas particuliers.
- Au besoin, donner des séances d'information à la haute direction sur les questions relatives aux demandes et au rendement de l'institution.
- Agir comme principal point de contact avec le Commissariat à l'information du Canada (CIC) et le Commissariat à la protection de la vie privée (CPVP) en ce qui concerne la résolution des plaintes relatives aux demandes présentées en vertu des deux lois.
L'Unité des politiques et de la gouvernance est responsable, entre autres, de ce qui suit :
- Donner des conseils et des orientations stratégiques à l'équipe de la haute direction de SPC sur l'accès à l'information et la protection des renseignements personnels.
- Élaborer des instruments et des outils stratégiques en matière d'AIPRP.
- Aider les responsables des programmes à réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) et à rédiger des ententes d'échange de renseignements personnels.
- Préparer et donner des séances de formation et de sensibilisation à l'échelle de SPC.
- Coordonner les exigences de SPC en matière de rapports annuels.
- Voir à la publication d'une version mise à jour d'un chapitre Info Source de SPC.
- Agir comme principal point de contact avec le CIC et le CPVP pour divers examens, vérifications, enquêtes systémiques et atteintes à la vie privée.
L'application des lois par la Division de l'AIPRP est également facilitée à l'échelon des directions générales et des directions de SPC. Quatorze officiers de liaison au bureau du sous‑ministre adjoint et 64 officiers de liaison aux directions générales coordonnent la collecte des dossiers et des renseignements demandés. Ils donnent également des conseils aux gestionnaires des directions générales et des directions sur l'application des lois.
SPC n'était partie à aucune entente de service au titre de l'article 96 de la Loi sur l'accès à l'information pendant la période visée par le rapport.
Faits saillants du rapport statistique de 2020-2021
Le rapport statistique (annexe B) sur l'application de la Loi sur la protection des renseignements personnels contient un sommaire des demandes d'accès aux renseignements personnels traitées, ainsi que des consultations tenues pendant la période visée par le rapport 2020-2021.
Demandes reçues
Entre le 1er avril 2020 et le 31 mars 2021, SPC a reçu 59 demandes présentées en vertu de la Loi sur la protection des renseignements personnels. Ce total représente une diminution de 36 pour cent par rapport à la période précédente. Trois demandes ont été reportées de 2019-2020, ce qui porte à 62 le nombre total de demandes pour la période visée par le rapport. Les demandes de renseignements personnels reçues provenaient principalement d'employés de SPC qui cherchaient à obtenir leur propre dossier personnel.
SPC a traité 60 demandes de confidentialité et reporté deux demandes à l'exercice financier suivant. La Division de l'AIPRP a vu le nombre de pages traitées augmenter pour atteindre 38 385 au cours de l'exercice financier 2020-2021. Cependant, il y a eu une diminution de 12 pour cent du nombre de pages divulguées par rapport à la période de référence de 2019-2020.
Il est important de noter que SPC a atteint un taux de conformité de 98,3 pour cent. Malgré une légère baisse par rapport à la marque de 100 % de l'an dernier, SPC dépasse de loin la moyenne communautaire. La Division de l'AIPRP continue de suivre régulièrement son temps de traitement des demandes et en surveille le calendrier de traitement.
Demandes de renseignements personnels – version texte
| Année fiscale | Reçues | Traitées |
|---|---|---|
| 2020-2021 | 59 | 60 |
| 2019-2020 | 92 | 92 |
| 2018-2019 | 113 | 115 |
| 2017-2018 | 90 | 90 |
| 2016-2017 | 111 | 114 |
Disposition des demandes traitées
À la fin de la période visée par le rapport, 60 demandes de renseignements personnels ont été traitées et deux ont été reportées à l'exercice suivant. Parmi celles-ci, SPC a divulgué l'intégralité des documents dans un cas (2 pour cent) et le Ministère a invoqué des exemptions pour 21 demandes (35 pour cent). Pour les 38 demandes restantes (63 pour cent), il n'existait aucun document ou la demande a été abandonnée.
Prorogations
L'article 15 de la Loi sur la protection des renseignements personnels permet la prorogation des délais prévus par la loi dans certains cas, par exemple, si des consultations sont nécessaires, si des traductions sont requises, ou si la demande concerne un volume important de documents et que l'observation du délai initial entravait grandement le fonctionnement de l'organisation.
Au cours de la période 2020-2021, le SPC a invoqué 13 prorogations au total, qui ont été jugées nécessaires pour rechercher ou consulter un grand nombre de documents ou pour répondre à un plus grand nombre de demandes, ce qui a nui aux opérations.
Délai de traitement
La Loi sur la protection des renseignements personnels établit les délais de réponse aux demandes de renseignements personnels. Elle prévoit également des prorogations lorsque la réponse à la demande exige l'examen d'une grande quantité d'information ou des consultations exhaustives auprès d'autres institutions du gouvernement ou de tierces parties .
SPC a traité 47 demandes (79 pour cent) en 30 jours ou moins et 11 autres demandes (18 pour cent) dans un délai de 31 à 60 jours. Le Ministère a traité deux demandes (3 pour cent) dans un délai de 61 à 180 jours.
Délai de traitement – version texte
| Délai de traitement | Un à 15 jours | Seize à 30 jours | Trente et un à 60 jours | Soixante et un à 120 jours |
|---|---|---|---|---|
| Pourcentage de demandes traitées | 64 % | 15 % | 18 % | 3 % |
Exceptions
La Loi sur la protection des renseignements personnels permet et, dans certains cas, exige que certains renseignements personnels fassent l'objet d'une exception et ne soient pas communiqués. Ainsi, des renseignements personnels peuvent faire l'objet d'une exception s'ils sont liés à une enquête aux fins d'application de la loi, s'ils concernent une autre personne que le demandeur ou s'ils sont protégés par le secret professionnel.
La majorité des exemptions accordées par SPC se rapportaient à l'article 26 qui concerne la protection des renseignements personnels. L'article susmentionné a été appliqué dans 19 cas. Le paragraphe 22(1)(b) (application de la loi et enquêtes criminelles) a été invoqué à six reprises.
Exclusions
La Loi sur la protection des renseignements personnels ne s'applique pas à l'information à laquelle le public a déjà accès, comme les publications du gouvernement et les documents de bibliothèques ou de musées. Les documents confidentiels du Cabinet sont également exclus. La Division de l'AIPRP n'a pas appliqué d'exclusions aux termes de la Loi au cours de la période de référence.
Consultations
Au cours de la période de référence, SPC n'a reçu des autres ministères du gouvernement aucune demande de consultation au titre de la Loi sur la protection des renseignements personnels.
Répercussions de la COVID-19
La Division de l'AIPRP s'est rapidement adaptée aux réalités du télétravail à plein temps. La majorité des employés de l'AIPRP étaient déjà installés pour travailler à domicile en cas de fermeture d'un immeuble. Voici quelques-unes de nos réalisations pendant la pandémie :
- Opérationnel dès le premier jour de la pandémie, à l'exception du traitement des dossiers secrets et très secrets. Le bureau n'a constaté aucun dossier en retard en raison de cette contrainte.
- Adaptation de tous les processus permettant de continuer de répondre aux demandes du public canadien.
- Solutions pour les consultations auprès d'autres ministères, ainsi que de tiers internes et externes. Les consultations en format papier et DVD ont été remplacées par le service postel et les courriels chiffrés.
- Conseils à d'autres institutions pour la mise en œuvre de postel.
- Nombreuses heures de conseils sur la protection de la vie privée à des hauts fonctionnaires de SPC au sujet de la COVID‑19.
- Participation à divers groupes de travail coopératifs sur les réalités actuelles de la COVID‑19.
- Formulation de conseils et de recommandations sur l'utilisation de la suite Microsoft (MS) 365, comme les énoncés de confidentialité et les pratiques exemplaires pour MS Teams et MS Stream .
La Division de l'AIPRP a dû relever quelques défis importants pour accomplir ces réalisations. Voici quelques‑uns des principaux défis auxquels la Division a été confrontée, et ce qui a été fait pour les relever :
- Le manque d'équipement de bureau adéquat au domicile des employés a nui à leur efficacité. Les employés pouvaient entrer individuellement dans l'immeuble et récupérer du matériel et des fournitures de bureau selon les directives données par la direction. Ce qui ne pouvait pas être récupéré a été acheté pour accommoder les employés.
- Les demandes de courrier ont été retardées en raison de la fermeture de l'immeuble. Le courrier a été récupéré une fois l'accès à l'immeuble accordé. La Division de l'AIPRP a continué de se rendre régulièrement au bureau pour récupérer le courrier. La fermeture hâtive de l'immeuble n'a entraîné aucun retard dans les dossiers.
- Tous les demandeurs ont été informés que l'envoi des documents pertinents serait retardé, car il ne pourrait être effectué qu'après le retour de la Division de l'AIPRP au bureau. Pour éviter les retards, le système postel a été utilisé pour toutes les demandes.
- Les documents secrets et très secrets doivent passer par le réseau sécurisé, qui n'est accessible qu'à certains endroits dans le bureau. Par conséquent, le traitement des dossiers dont la classification de sécurité est supérieure à Protégé B est toujours problématique. SPC travaille sur la mise à niveau de son infrastructure afin de pouvoir traiter plus facilement les dossiers ayant une classification de sécurité Secret.
- La santé mentale des employés est une préoccupation. SPC a offert des séances de soutien dans le contexte de la COVID‑19 pour aider les employés à faire face à cette situation. De plus, la direction et les collègues se sont soutenus mutuellement au cours de cette pandémie. La Division a modifié ses priorités afin de se concentrer sur les tâches essentielles et a mis en œuvre des régimes de travail plus souples.
Plaintes, vérifications et enquêtes
SPC n'a fait l'objet d'aucune plainte en vertu de la Loi sur la protection des renseignements personnels au cours de la période visée par le rapport. De plus, le CPVP n'a effectué aucune vérification ou enquête impliquant le Ministère. SPC a reçu un avis d'enquête du CPVP en vertu de l'article 31 de la Loi sur la protection des renseignements personnels.
Surveillance de la conformité
La Division a mis en œuvre diverses procédures internes pour s'assurer que les demandes de renseignements personnels sont traitées de façon efficace et sans délai. Par exemple, la direction et les analystes de la Division de l'AIPRP se réunissent régulièrement pour effectuer un suivi de la charge de travail et de l'état d'avancement des demandes de renseignements personnels. Ces réunions permettent à l'équipe d'améliorer la reddition de comptes et d'apporter plus de précisions.
En 2020-2021, SPC n'a reçu aucune demande de correction de renseignements personnels en vertu de la Loi sur la protection des renseignements personnels.
Communication de renseignements personnels en vertu des alinéas 8(2)(e) et 8(2)(m)
L'alinéa 8(2)(e) de la Loi sur la protection des renseignements personnels permet au responsable d'une institution fédérale de divulguer des renseignements personnels sans le consentement de l'individu en cause, lorsque cette divulgation est demandée par écrit par un organisme d'enquête désigné en vue de faire respecter des lois. Durant la période visée par le présent rapport, SPC n'a divulgué aucun renseignement personnel en vertu de cette disposition.
L'alinéa 8(2)(m) de la Loi sur la protection des renseignements personnels permet au responsable d'une institution fédérale de divulguer des renseignements personnels sans le consentement de l'individu en cause lorsque, à son avis, des raisons d'intérêt public justifieraient nettement une éventuelle violation de la vie privée, ou lorsqu'il est clair que l'individu concerné en tirerait un avantage certain. Pour l'exercice 2020-2021, SPC n'a divulgué aucun renseignement personnel en vertu de cet alinéa.
Activités de formation et de sensibilisation
La Division de l'AIPRP se consacre à la promotion d'une culture d'excellence en matière d'AIPRP à l'échelle de SPC. C'est pourquoi la Division continue d'élaborer et d'offrir des activités de formation et de sensibilisation visant à accroître l'ouverture et la transparence dans l'ensemble du Ministère.
Formation obligatoire
Afin de s'assurer que tous les employés de SPC, peu importe leur poste ou leur niveau, connaissent leurs responsabilités par rapport à l'AIPRP et acquièrent une compréhension approfondie des pratiques et des principes connexes, SPC a lancé, en collaboration avec l'École de la fonction publique du Canada (EFPC) le cours en ligne sur l'accès à l'information et la protection des renseignements personnels (I015) le 14 juillet 2016. Offert sur le site Web de l'EFPC, ce cours est facultatif pour les employés de la fonction publique fédérale, mais il est obligatoire pour tous les employés de SPC. Au cours de la période visée par le présent rapport, 945 employés de SPC ont suivi et réussi ce cours.
Formation à l’interne sur l’AIPRP
Afin de maintenir nos pratiques de formation et de sensibilisation, la Division de l'AIPRP a dû adapter sa formation pour qu'elle soit donnée en ligne plutôt qu'en personne. Par conséquent, les formateurs ont donné avec succès 31 séances de formation et de sensibilisation à l'interne à environ 840 participants, dont des cadres, des gestionnaires et des employés de tous les niveaux de SPC. Le nombre de participants qui ont reçu une formation au cours de cet exercice a augmenté de 71 pour cent. Au cours de l'exercice précédent, 490 employés de SPC ont suivi la formation.
La Division a organisé de nombreuses séances de formation sur les atteintes à la vie privée au cours de l'exercice 2020-2021. En tout, 129 employés ont assisté à ce cours.
Journée de la protection des données
Le 28 janvier 2021, SPC soulignait la Journée de la protection des données pour sensibiliser les gens et leur démontrer l’importance de la confidentialité et de la protection des renseignements personnels dans les activités quotidiennes. La Division de l’AIPRP de SPC a offert deux séances virtuelles « Demandez-moi n’importe quoi » à 160 employés, formulé un engagement et rédigé des communiqués, créé des graphiques et enregistré deux vidéos « Ma journée en une minute » mettant en vedette des analystes politiques chevronnés. De plus, la ministre du Gouvernement numérique a partagé une vidéo faisant la promotion de l’événement. La séance de sensibilisation a été diffusée sur Twitter, LinkedIn et les canaux de communication internes de SPC.
Politiques, lignes directrices, procédures et initiatives
Afin de maintenir une norme d'excellence élevée et d'améliorer continuellement les services à la clientèle en vertu de la Loi sur la protection des renseignements personnels, SPC a entrepris plusieurs projets :
- L'Unité des politiques et de la gouvernance a élaboré une nouvelle formation sur les demandes d'attribution de tâches concernant la récupération des documents des bureaux de première responsabilité suite à une demande d'accès à l'information.La Division continue d'informer tous les employés de SPC sur leurs rôles et responsabilités en matière d'AIPRP.
- L'Unité des politiques et de la gouvernance a répondu à plus de 150 demandes de conseils en matière de protection des renseignements personnels destinés aux directions générales. Il s'agissait, entre autres, de conseils liés à la confidentialité sur les outils M365 nouvellement intégrés, à différents énoncés de confidentialité et au renforcement général de notre position en matière de confidentialité.
- L'Unité des politiques et de la gouvernance a collaboré avec la Division de la gestion de l'information pour sensibiliser davantage les gens et mieux les former sur le contrôle des autorisations pour GCdocs. Cette démarche a permis de garantir que les renseignements personnels continuent de bénéficier d'une protection adéquate.
- Pour aider les secteurs de programme à mieux comprendre les exigences et les risques en matière de protection des renseignements personnels, l'Unité des politiques et de la gouvernance a élaboré un nouveau modèle pour les EFVP.
- La Division a aidé d'autres ministères dans leur intégration de postel, qui permet d'envoyer électroniquement aux demandeurs les documents répondant à une demande. Avec l'ajout des signatures électroniques pour signer la correspondance échangée avec les demandeurs, la Division de l'AIPRP de SPC a pris entièrement le virage numérique depuis le début de 2020.
- Afin d'accroître les connaissances des employés de la Division de l'AIPRP, une formation a été offerte sur les sujets suivants :
- Langage clair
- EFVP
- Enquête sur les atteintes à la vie privée
- Formation consacrée aux techniques de négociation.
- Séances d'apprentissage internes aux deux semaines données par le directeur de l'AIPRP à SPC.
Atteintes substantielles à la vie privée
Une atteinte à la vie privée signifie la collecte, l'utilisation, la communication, la conservation ou l'élimination inappropriée ou non autorisée de renseignements personnels ou l'accès inapproprié ou non autorisé à de tels renseignements. Une atteinte substantielle implique des renseignements personnels de nature délicate qui pourraient raisonnablement causer des dommages ou des préjudices graves à la personne concernée.
Au cours de la période visée par le rapport, une atteinte substantielle à la vie privée a été signalée au CPVP. L'atteinte impliquait un employé ayant consulté des fichiers non autorisés.
Dans ce cas, des lettres d'avis ont été envoyées aux personnes concernées. La Division de l'AIPRP a présenté aux employés du Ministère des recommandations et des conseils sur les mesures d'atténuation visant à protéger les renseignements personnels. Le CPVP et le SCT ont tous deux été avisés de l'atteinte. De plus, les hauts fonctionnaires de SPC, y compris le chef de la protection des renseignements personnels, ont été avisés de l'atteinte aux différentes étapes de l'enquête.
La Division de l'AIPRP surveille et documente toutes les atteintes à la vie privée qui sont signalées. La Division examine également la façon dont et l'endroit où ces atteintes se sont produites au sein du Ministère afin de fournir une formation adaptée sur les atteintes à la vie privée à des groupes spécifiques afin de sensibiliser les gens et accroître la prévention.
Évaluation des facteurs relatifs à la vie privée
Une EFVP a été réalisée et signée par le président au cours de la période de référence.Quatre EFVP concernaient les différents stades du processus d'approbation à la fin de l'exercice 2020-2021. Ces évaluations se retrouveront dans le rapport de l'année prochaine. L'Unité des politiques et de la gouvernance a également rempli 43 listes de vérification des risques liés à la vie privée. Cette liste de vérification permet à l'équipe de déterminer si on doit procéder à une EFVP. On y évalue les nouveaux programmes et initiatives utilisés par SPC, ainsi que par ses partenaires pour la collecte, l'utilisation, la divulgation, le stockage et au cours de la période de conservation des renseignements personnels. Compte tenu de la présence et la sensibilisation croissantes de la Division de l'AIPRP à SPC, les secteurs de programmes sollicitent plus que jamais des conseils et des commentaires. Une telle situation est attribuable à la vision selon laquelle la vie privée doit être incorporée au début des nouvelles initiatives de SPC, ce qui explique l'augmentation de 169 pour cent des listes de vérification des risques liés à la vie privée.
Sommaires des évaluations des facteurs relatifs à la vie privée
Sécurité du périmètre de l’entreprise
Le gouvernement du Canada a l'obligation de protéger tous les biens du gouvernement, incluant, entre autres, le matériel, les logiciels, les données et les informations. De nos jours, le plus grand défi sur le plan de la cybersécurité consiste à fournir des protections robustes à nos points d'accès à l'Internet, car ils constituent le principal vecteur d'attaque et ce problème se trouve exacerbé encore davantage par la grande quantité de trafic chiffré qu'on retrouve le long du périmètre de l'Internet. En réponse à ces enjeux, SPC a lancé le service Sécurité du périmètre de l'entreprise (SPE) pour accroître la visibilité des cybermenaces qui visent les réseaux du gouvernement du Canada afin de réduire ainsi le risque de compromission de l'information et des biens faisant partie des infrastructures de SPC, ainsi que des ministères et organismes qui sont ses partenaires. Il offre également des capacités accrues et proactives de surveillance, de détection et d'intervention, réduisant ainsi les risques pour la confidentialité, l'intégrité et la disponibilité des biens gouvernementaux. En fin de compte, le service de SPE peut renforcer grandement l'actuel service Internet d'entreprise du gouvernement du Canada en y ajoutant plusieurs capacités avancées, comme la protection des connexions réseau entre les frontières terrestres et le nuage.
Le service de SPE vise à fournir aux ministères et organismes du gouvernement du Canada un système de référence pré-évalué et autorisé sur lequel chaque organisation peut s'appuyer pour répondre à ses exigences de sécurité et satisfaire ainsi les besoins d'inspection liés à la navigation Web. De plus, il vise à offrir aux ministères la possibilité de protéger leurs environnements contre les logiciels malveillants tout en préservant la disponibilité, la confidentialité et l'intégrité des informations jusqu'au niveau protégé B.
Bien que signé après le 31 mars 2021, SPC tient à souligner l'EFVP de l'Initiative des communications et de la collaboration numériques (CCN) (Microsoft 365 [M365]). La division de l'AIPRP a rédigé et mis en œuvre une stratégie de communication dans le but d'informer systématiquement les institutions qui ont demandé des renseignements sur le statut de l'EFVP. De plus, on a créé un protocole de partage comprenant un ensemble de produits livrables pour distribuer rapidement le document d'EFVP signé. Cette démarche a permis d'assurer la cohérence du message au sein de la communauté de l'AIPRP. L'EFVP de l'Initiative des communications et de la collaboration numériques (M365) a été partagée avec plus de 40 partenaires communautaires de l'AIPRP.
EFVP de l’Initiative des communications et de la collaboration numériques (M365)
Au nom du gouvernement du Canada, SPC a fait l'acquisition des licences d'abonnement M365 E3 pour tous les employés du gouvernement du Canada. M365 est une combinaison de licences Office 365 E3, Enterprise and Mobility Services E3 et Windows 10, et comprend la capacité sous licence Advanced Threat Protection. Office 365 et Enterprise and Mobility Services sont des abonnements au logiciel en tant que service basé dans le nuage.
Le projet de CCN est un projet dirigé par SPC qui validera la stratégie, l'approche et la robustesse du réseau jusqu'à la fin de la migration du gouvernement du Canada vers un ensemble cohérent, moderne et complet d'outils de service de CCN. Le but qui consiste à commencer par les ministères cobayes du projet de CCN vise à adopter une approche de mise en œuvre incrémentielle qui profite de l'expérience acquise auprès de ces adopteurs précoces pour éclairer la stratégie de migration, la gestion du changement, les mises à niveau du réseau, la gestion de l'identité et des justificatifs d'identité, la surveillance de la sécurité et les composants du guide de sécurité. Cela conduira à son tour à des processus plus efficaces pour SPC, les ministères et les organismes, qui sont identifiés dans le volet 2 (partenaires de SPC) et les autres ministères restants du volet 3. SPC et Microsoft Consulting Services Inc. travaillent en étroite collaboration avec les ministères cobayes et les partenaires pour s'assurer que les activités de correction préalables (par exemple, réseau, Active Directory, gestion des changements) sont terminées à temps.
SPC fournira la plateforme M365 aux partenaires, ainsi que des conseils sur les configurations de base standard des espaces occupés par leurs locataires. Microsoft définit les services offerts dans l'espace M365 (par exemple, Teams, One Drive, SharePoint, Exchange Online) comme étant des « charges de travail ». SPC fournira la connectivité de réseau au nuage de Microsoft pour brancher les environnements du Ministère à M365 afin qu'ils puissent commencer à exploiter les différentes « charges de travail ». SPC assurera la synchronisation des identités entre Active Directory sur place et le service Microsoft Azure Active Directory en plus de gérer les éléments d'infrastructure qui restent sur place et qui permettent la connectivité et la synchronisation des données. Microsoft est responsable des éléments d'infrastructure qui prennent en charge leurs services en nuage.
Annexe A – Décret de délégation
Services partagés Canada
Décret de délégation en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels
En vertu du paragraphe 95(1) de la Loi sur l’accès à l’information et du paragraphe 73(1) de la Loi sur la protection des renseignements personnels, la Ministre du Gouvernement numérique délègue aux titulaires des postes mentionnés à l'annexe ci-après, ainsi qu'aux personnes occupant à titre intérimaire lesdits postes, les attributions dont elle est, en qualité de responsable de Services partagés Canada, investie par les dispositions des lois ou de leurs règlements mentionnées en regard de chaque poste.
Le présent document remplace et annule tout arrêté de délégation antérieur.
Annexe
| Poste | Loi sur l'accès à l'information et Règlement | Loi sur la protection des renseignements personnels et Règlement |
|---|---|---|
| 1. Président | Autorité absolue | Autorité absolue |
| 2. Première vice-présidente | Autorité absolue | Autorité absolue |
| 3. Secrétaire ministérielle et chef de la protection des renseignements personnels | Autorité absolue | Autorité absolue |
| 4. Directeur, Division de l’accès à l’information et de la protection de la vie privée | Autorité absolue | Autorité absolue |
| 5. Directeurs adjoints, Opérations et Politique et gouvernance, Direction de l’accès à l’information et protection des renseignements personnels | Autorité absolue | Autorité absolue |
Daté, à Ottawa,
ce 26ième jour de juin, 2020
L’honorable Joyce Murray
Ministre du Gouvernement numérique et Responsable de Services partagés Canada
Annexe B – Rapport statistique
Rapport statistique sur la Loi sur la protection des renseignements personnels
Nom de l’institution : Services partagés Canada (SPC)
Période d'établissement de rapport : 2020-04-01 au 2021-03-31
Section 1 : Demandes en vertu de la Loi sur la protection des renseignements personnels
| Nombre de demandes | |
|---|---|
| Reçues pendant la période d’établissement de rapport | 59 |
| En suspens à la fin de la période d’établissement de rapport précédente | 3 |
| Total | 62 |
| Fermées pendant la période d’établissement de rapport | 60 |
| Reportées à la prochaine période d'établissement du rapport | 2 |
Section 2 : Demandes fermées pendant la période d'établissement du rapport
2.1 Disposition et délai de traitement
| Disposition des demandes | Délai de traitement | |||||||
|---|---|---|---|---|---|---|---|---|
| 1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
| Communication totale | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 1 |
| Communication partielle | 0 | 8 | 11 | 1 | 1 | 0 | 0 | 21 |
| Exception totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Aucun document n’existe | 30 | 1 | 0 | 0 | 0 | 0 | 0 | 31 |
| Demande abandonnée | 7 | 0 | 0 | 0 | 0 | 0 | 0 | 7 |
| Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Total | 38 | 9 | 11 | 1 | 1 | 0 | 0 | 60 |
2.2 Exceptions
| Article | Demandes |
|---|---|
| 18(2) | 0 |
| 19(1)(a) | 0 |
| 19(1)(b) | 0 |
| 19(1)(c) | 0 |
| 19(1)(d) | 0 |
| 19(1)(e) | 0 |
| 19(1)(f) | 0 |
| 20 | 0 |
| 21 | 0 |
| 22(1)(a)(i) | 0 |
| 22(1)(a)(ii) | 0 |
| 22(1)(a)(iii) | 0 |
| 22(1)(b) | 6 |
| 22(1)(c) | 0 |
| 22(2) | 0 |
| 22.1 | 0 |
| 22.2 | 0 |
| 22.3 | 0 |
| 23(a) | 0 |
| 23(b) | 0 |
| 24(a) | 0 |
| 24(b) | 0 |
| 25 | 0 |
| 26 | 19 |
| 27 | 0 |
| 28 | 0 |
2.3 Exclusions
| Article | Nombre de demandes |
|---|---|
| 69(1)(a) | 0 |
| 69(1)(b) | 0 |
| 69.1 | 0 |
| 70(1) | 0 |
| 70(1)(a) | 0 |
| 70(1)(b) | 0 |
| 70(1)(c) | 0 |
| 70(1)(d) | 0 |
| 70(1)(e) | 0 |
| 70(1)(f) | 0 |
| 70.1 | 0 |
2.4 Support des documents communiqués
| Papier | Électronique | Autres |
|---|---|---|
| 0 | 22 | 0 |
2.5 Complexité
2.5.1 Pages pertinentes traitées et communiquées
| Nombre de pages traitées | Nombre de pages communiquées | Nombre de demandes |
|---|---|---|
| 38 385 | 5 932 | 29 |
2.5.2 Pages pertinentes traitées et communiquées en fonction de l’ampleur des demandes
| Disposition | Moins de 100 pages traitées | 101 à 500 pages traitées | 501 à 1 000 pages traitées | 1 001 à 5 000 pages traitées | Plus de 5 000 pages traitées | |||||
|---|---|---|---|---|---|---|---|---|---|---|
| Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | |
| Communication totale | 1 | 5 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Communication partielle | 4 | 132 | 7 | 607 | 2 | 232 | 6 | 2 911 | 2 | 2045 |
| Exception totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Demande abandonnée | 7 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Total | 12 | 137 | 7 | 607 | 2 | 232 | 6 | 2 911 | 2 | 2 045 |
2.5.3 Autres complexités
| Disposition | Consultation requise | Avis juridique | Renseignements entremêlés | Autres | Total |
|---|---|---|---|---|---|
| Communication totale | 0 | 0 | 0 | 0 | 0 |
| Communication partielle | 0 | 0 | 0 | 2 | 2 |
| Exception totale | 0 | 0 | 0 | 0 | 0 |
| Exclusion totale | 0 | 0 | 0 | 0 | 0 |
| Demande abandonnée | 0 | 0 | 0 | 0 | 0 |
| Ni confirmée ni infirmée | 0 | 0 | 0 | 0 | 0 |
| Total | 0 | 0 | 0 | 2 | 2 |
2.6 Demandes fermées
2.6.1 Nombre de demandes fermées dans les délais prévus par la loi
| Demandes fermées dans les délais prévus par la loi | |
|---|---|
| Nombre de demandes fermées dans les délais prévus par la loi | 59 |
| Pourcentage des demandes fermées dans les délais prévus par la loi (%) | 98,3 |
2.7 Présomptions de refus
2.7.1 Motifs du non-respect des délais prévus par la loi
| Nombre de demandes fermées au-delà des délais prévus par la loi | Motif principal | |||
|---|---|---|---|---|
| Entrave au fonctionnement / Charge de travail | Consultation externe | Consultation interne | Autres | |
| 1 | 1 | 0 | 0 | 0 |
2.7.2 Demandes fermées au-delà des délais prévus par la loi (y compris toute prolongation prise)
| Nombre de jours au-delà des délais prévus par la loi | Nombre de demandes fermées au-delà des délais prévus par la loi où aucune prolongation n’a été prise | Nombre de demandes fermées au-delà des délais prévus par la loi où une prolongation a été prise | Total |
|---|---|---|---|
| 1 à 15 jours | 0 | 0 | 0 |
| 16 à 30 jours | 0 | 0 | 0 |
| 31 à 60 jours | 0 | 0 | 0 |
| 61 à 120 jours | 0 | 1 | 1 |
| 121 à 180 jours | 0 | 0 | 0 |
| 181 à 365 jours | 0 | 0 | 0 |
| Plus de 365 jours | 0 | 0 | 0 |
| Total | 0 | 1 | 1 |
2.8 Demandes de traduction
| Demandes de traduction | Acceptées | Refusées | Total |
|---|---|---|---|
| De l’anglais au français | 0 | 0 | 0 |
| Du français à l’anglais | 0 | 0 | 0 |
| Total | 0 | 0 | 0 |
Section 3 : Communications en vertu des paragraphes 8(2) et 8(5)
| Alinéa 8(2)(e) | Alinéa 8(2)(m) | Paragraphe 8(5) | Total |
|---|---|---|---|
| 0 | 0 | 0 | 0 |
Section 4 : Demandes de correction de renseignements personnels et mentions
| Disposition des demandes de correction reçues | Nombre |
|---|---|
| Mentions annexées | 0 |
| Demandes de correction acceptées | 0 |
| Total | 0 |
Section 5 : Prorogations
5.1 Motifs des prorogations et disposition des demandes
| Nombre de demandes pour lesquelles une prorogation a été prise | 15(a)(i) Entrave au fonctionnement de l’institution | 15(a)(ii) Consultation | 15(b) Traduction ou cas de transfert | |||||
|---|---|---|---|---|---|---|---|---|
| Examen approfondi nécessaire pour déterminer les exceptions determine exemptions | Grand nombre de pages | Grand volume de demandes | Difficulté à obtenir certains documents | Documents confidentiels du Cabinet (Article 70) | Externe | Interne | ||
| 13 | 0 | 13 | 0 | 0 | 0 | 0 | 0 | 0 |
5.2 Durée des prorogations
| Durée des prorogations | 15(a)(i) Interférence avec les opérations | 15(a)(ii) Consultation | 15(b) Traduction ou cas de transfert | |||||
|---|---|---|---|---|---|---|---|---|
| Examen approfondi nécessaire pour déterminer les exceptions determine exemptions | Grand nombre de pages | Grand volume de demandes | Difficulté à obtenir certains documents | Documents confidentiels du Cabinet (Article 70) | Externe | Interne | ||
| 1 à 15 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 16 à 30 jours | 0 | 13 | 0 | 0 | 0 | 0 | 0 | 0 |
| Plus de 31 jours | 0 | |||||||
| Total | 0 | 13 | 0 | 0 | 0 | 0 | 0 | 0 |
Section 6 : Demandes de consultation reçues d’autres institutions et organisations
6.1 Demandes de consultation reçues d’autres institutions du gouvernement du Canada et organisations
| Consultations | Autres institutions du gouvernement du Canada | Nombre de pages à traiter | Autres organisations | Nombre de pages à traiter |
|---|---|---|---|---|
| Reçues pendant la période d’établissement de rapport | 0 | 0 | 0 | 0 |
| En suspens à la fin de la période d'établissement du rapport précédente | 0 | 0 | 0 | 0 |
| Total | 0 | 0 | 0 | 0 |
| Fermées pendant la période d’établissement de rapport | 0 | 0 | 0 | 0 |
| Reportées à la prochaine période d’établissement de rapport | 0 | 0 | 0 | 0 |
Recommandations et délai de traitement pour des demandes de consultation reçues d’autres institutions du gouvernement du Canada
| Recommandation | Nombre de jours requis pour traiter les demandes de consultation | |||||||
|---|---|---|---|---|---|---|---|---|
| 1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
| Communication totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Communication partielle | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Exception totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Consulter une autre institution | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Autre | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
6.3 Recommandations et délai de traitement pour les demandes de consultation reçues d’autres organisations
| Recommandation | Nombre de jours requis pour traiter les demandes de consultation | |||||||
|---|---|---|---|---|---|---|---|---|
| 1 à 15 jours | 16 à 30 jours | 31 à 60 jours | 61 à 120 jours | 121 à 180 jours | 181 à 365 jours | Plus de 365 jours | Total | |
| Communication totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Communication partielle | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Exception totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Exclusion totale | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Consultation d’une autre institution | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Autre | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Section 7 : Délais de traitement des demandes de consultation sur les renseignements confidentiels du Cabinet
7.1 Demandes auprès des services juridiques
| Nombre de jours | Moins de 100 pages traitées | 101 à 500 pages traitées | 501 à 1 000 pages traitées | 1 001 à 5 000 pages traitées | Plus de 5 000 pages traitées | |||||
|---|---|---|---|---|---|---|---|---|---|---|
| Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | |
| 1 à 15 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 16 à 30 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 31 à 60 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 61 à 120 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 121 à 180 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 181 à 365 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Plus de 365 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
7.2 Demandes auprès du Bureau du Conseil privé
| Nombre de jours | Moins de 100 pages traitées | 101 à 500 pages traitées | 501 à 1 000 pages traitées | 1 001 à 5 000 pages traitées | Plus de 5 000 pages traitées | |||||
|---|---|---|---|---|---|---|---|---|---|---|
| Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | Nombre de demandes | Pages communiquées | |
| 1 à 15 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 16 à 30 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 31 à 60 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 61 à 120 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 121 à 180 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 181 à 365 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Plus de 365 jours | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Total | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Section 8 : Avis de plainte et d’enquête reçus
| Article 31 | Article 33 | Article 35 | Recours judiciaire | Total |
|---|---|---|---|---|
| 1 | 0 | 0 | 0 | 1 |
Section 9 : Évaluation des facteurs relatifs à la vie privée (ÉFVP) et de Fichiers de renseignements personnels (FRP)
9.1 Évaluations des facteurs relatifs à la vie privée
| Nombre d’ÉFVP terminées | 1 |
|---|
9.2 Fichiers de renseignements personnels
| Fichiers de renseignements personnels | Actifs | Créés | Supprimés | Modifiés |
|---|---|---|---|---|
| 6 | 1 | 0 | 0 |
Section 10 : Atteintes substantielles à la vie privée
| Nombre d’atteintes substantielles à la vie privée signalées au SCT | 1 |
|---|---|
| Nombre d’atteintes substantielles à la vie privée signalées au CPVP | 1 |
Section 11 : Ressources liées à la Loi sur la protection des renseignements personnels
11.1 Coûts
| Dépenses | Montant | |
|---|---|---|
| Salaires | 456 108 $ | |
| Heures supplémentaires | 0 $ | |
| Biens et services | 15 527 $ | |
| Contrats de services professionnels | 0 $ | |
| Autres | 15 527 $ | - |
| Total | 471 635 $ | |
11.2 Ressources humaines
| Ressources | Années-personnes consacrées aux activités liées à la protection des renseignements personnels |
|---|---|
| Employés à temps plein | 5.500 |
| Employés occasionnels et à temps partiel | 0.208 |
| Employés régionaux | 0.000 |
| Experts-conseils et personnel d’agence | 0.000 |
| Étudiants | 0.000 |
| Total | 5.708 |
Remarque : Entrez les valeurs avec trois décimales.
Détails de la page
- Date de modification :