Solution de gestion de l'apprentissage ALTO : Sommaire de l’évaluation des facteurs relatifs à la vie privée
Sur cette page
- Section 1 – Aperçu de l’évaluation des facteurs relatifs à la vie privée
- Section 2 – Catégorisation et identification des risques soulevés dans l’évaluation des facteurs relatifs à la vie privée
Section 1 – Aperçu de l’évaluation des facteurs relatifs à la vie privée
Dans cette section
- Institution gouvernementale
- Dirigeant de l’institution ou délégué pour l’article 10 de la Loi sur la protection des renseignements personnels
- Haut fonctionnaire ou cadre supérieur responsable du programme ou de l’activité, nouveau ou ayant subi des modifications importantes
- Nom et description du programme ou de l’activité de l’institution gouvernementale
- Autorité légale du programme ou de l’activité
- Fichier de renseignements personnels
- Sommaire du projet, de l’initiative ou du changement
Institution gouvernementale
Services publics et Approvisionnement Canada (SPAC).
Dirigeant de l’institution ou délégué pour l’article 10 de la Loi sur la protection des renseignements personnels
Lorenzo Ieraci, Sous-ministre adjoint.
Lyne Roy, Directrice principale, Direction de l’accès, vie privée et transparence.
Haut fonctionnaire ou cadre supérieur responsable du programme ou de l’activité, nouveau ou ayant subi des modifications importantes
Kiran Hanspal, Sous-ministre adjointe, Direction générale des ressources humaines.
Nom et description du programme ou de l’activité de l’institution gouvernementale
Les Services d’apprentissage de SPAC utilisent ALTO pour offrir, gérer et rendre compte de la formation autorisée par SPAC pour ses employés. ALTO remplace les systèmes existants (par exemple, le système de formation intégré (SFI), les rapports SFI, Skillport et Impromptu) par un système de gestion de l'apprentissage unique qui répond aux exigences de SPAC, permettant de gérer et retracer environ 14 millions d'activités de formation chaque année.
Autorité légale du programme ou de l’activité
- Loi sur la gestion des finances publiques, alinéa 12(1)(a)
- Loi sur le ministère des Travaux publics et des Services gouvernementaux, paragraphes 6(b) et 15(b)
Fichier de renseignements personnels
Aucune modification n’est requise pour le fichier de renseignement personnel suivant :
Fichier de renseignements personnels ordinaire POE 905 Formation et perfectionnement
Sommaire du projet, de l’initiative ou du changement
ALTO offre des formations et des occasions de perfectionnement professionnel aux employés de SPAC afin que le ministère puisse leur permettre d’atteindre leur plein potentiel, tout en s’acquittant de ses responsabilités légales. Il s’agit essentiellement d’un outil de gestion qui régit la prestation des formations. On recense plus de 300 cours dans le catalogue d’ALTO. Certaines formations sont créées à l’interne, d’autres par des tiers. Concrètement, l’application permet d’associer les informations suivantes à l’apprenant de SPAC :
- La formation qui va avoir lieu
- Le moment où la formation va avoir lieu
- Comment la formation sera donnée
- Qui donnera la formation
- Les résultats de tout test fait durant la formation
- La présence à la formation
- L’achèvement ou non de la formation
Si la formation est achevée avec succès, ALTO permet d’imprimer un certificat et un relevé de notes.
Ainsi, le seul nouveau renseignement personnel créé par ALTO (c’est-à-dire qui n’est pas déjà dans PeopleSoft) est le lien entre un employé et un cours, ainsi que l’indication de la réussite ou non du cours.
SPAC a dû acquérir sa propre version d’un système de gestion de l’apprentissage (SGA) connu sous le nom d’ALTO et l’a fait conformément aux recommandations du Conseil du Trésor en s’alignant sur les pratiques d’autres ministères. Il est important de noter que le projet a remplacé un SGA exploité par l’École de la fonction publique du Canada (EFPC) dans lequel les profils d’apprenants de SPAC étaient hébergés sur des systèmes de l’EFPC et accompagnés des codes d’identification de dossier personnel (CIDP). ALTO a permis de placer toutes les données sous le contrôle de SPAC et n’utilise plus le CIDP. De plus, les données sur l’apprenant proviennent maintenant de la source fiable de SPAC, MesRHGC. Les risques réels liés à la protection de la vie privée demeurent inchangés, car il y a toujours une possibilité qu’en cas d’atteinte à la sécurité, d’autres personnes pourraient connaître les cours suivis par un apprenant et les résultats des tests liés au cours.
On mène une évaluation des facteurs relatifs à la vie privée (EFVP) pour vérifier que les activités respectent les exigences actuelles en matière de protection de la vie privée.
Cette EFVP est une mise à jour de l’EFVP existante pour les précurseurs d’ALTO et permet donc de rassembler tous les aspects du projet en une seule EFVP et de tenir compte de l’ensemble du programme et des activités depuis leur début le 1er avril 2017.
Section 2 – Catégorisation et identification des risques soulevés dans l’évaluation des facteurs relatifs à la vie privée
Dans cette section
- Type de programme ou activité
- Contexte et types de renseignements personnels impliqués
- Participation des partenaires du programme ou de l’activité ainsi que du secteur privé
- Durée du programme ou de l’activité
- Population visée par le programme
- Technologie et vie privée
- Transmission des renseignements personnels
- Incidence des risques sur l’institution
- Incidence des risques sur la personne ou l’employé
La section qui suit porte sur les risques soulevés par l’EFVP relativement à un nouveau programme ou à un programme modifié. Une échelle de risque est prévue pour chaque secteur de risque et elle est présentée en ordre ascendant :
- Le premier niveau représente le potentiel de risque le plus bas
- Le quatrième niveau représente le potentiel de risque le plus élevé
Veuillez-vous référer à l’Annexe C de la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du trésor pour obtenir plus de renseignements sur l’échelle de risque.
Type de programme ou activité
Échelle de risque : 1
Échelle de risque : 2
ALTO est configuré pour lier les renseignements suivants à l’apprenant de SPAC :
- La formation qui va avoir lieu
- Le moment où la formation va avoir lieu
- Comment la formation sera donnée
- Qui donnera la formation
- La présence à la formation
- Les résultats de tests associés au cours
- L’achèvement ou non de la formation
Si la formation est achevée avec succès, ALTO permet d’imprimer un certificat et un relevé de notes.
ALTO contient les faits liés à l’apprentissage, mais est configuré pour ne pas contenir de décisions concernant l’employé.
L’information associée à un apprenant peut être utilisée pour prendre des décisions qui affectent directement l’individu; elle peut par exemple permettre de déterminer son admissibilité à travailler dans certains programmes ou à occuper certains emplois, notamment en permettant de confirmer la capacité de l’employé à authentifier des gens pour leur donner accès à des programmes et services, à administrer des programmes, à fournir du soutien aux clients ou à délivrer ou non des permis ou licences à des clients.
Contexte et types de renseignements personnels impliqués
Échelle de risque : 1
Il est important de noter que les renseignements personnels de base (nom, courriel, organisation, titre et classification) sont fournis directement par l’apprenant, qui les entre dans le système de Demandes de services bureautiques en ligne. Il existe un processus additionnel qui passe par une extraction de données externes de MesRHGC et sert à vérifier ou à mettre à jour mensuellement les profils. ALTO établit un lien entre ces renseignements personnels et des renseignements sur les cours que la personne apprenante a suivis, notamment :
- La formation qui va avoir lieu
- Le moment où la formation va avoir lieu
- Comment la formation sera donnée
- Qui donnera la formation
- La présence à la formation
- Les résultats de tests associés au cours
- L’achèvement ou non de la formation
Si la formation est achevée avec succès, ALTO permet d’imprimer un certificat et un relevé de notes.
Participation des partenaires du programme ou de l’activité ainsi que du secteur privé
Échelle de risque : 4
Les personnes qui participent au programme et aux activités sont les suivantes :
- Les gestionnaires et le personnel de SPAC qui participent à la prestation de la formation, à sa gestion et à la production de rapports à son sujet.
- Les gestionnaires de SPAC qui voient les progrès de leurs employés dans leurs formations.
- Les apprenants de SPAC qui voient leurs formations.
L’EFPC extrait les données sur les cours que les employés de SPAC ont suivis sur GCcampus et les fournit à SPAC.
Saba, le fournisseur du SGA infonuagique, est une entreprise du secteur privé qui héberge ALTO sur ses serveurs situés à Markham, en Ontario et à Calgary, en Alberta. Le site primaire et le site secondaire ont été approuvés par la Direction de la sécurité industrielle canadienne.
Durée du programme ou de l’activité
Échelle de risque : 3
La gestion des apprentissages à SPAC a connu une longue histoire. ALTO est une mise à niveau technologique qui permettra d’opérer plus efficacement la gestion des formations à SPAC. Les dossiers sont conservés pour la durée de la carrière de l’employé, puis deux années supplémentaires après la dernière action enregistrée.
Population visée par le programme
Échelle de risque : 3
Le programme touche divers apprenants de SPAC, dont des employés nommés pour une période indéterminée ou déterminée, des étudiants, des employés occasionnels et des consultants qui suivent des formations internes obligatoires et facultatives.
Technologie et vie privée
Une réponse affirmative à l’une ou l’autre des questions ci-dessous peut signifier l’existence de préoccupations et de risques relatifs à la vie privée qui devront être évalués et atténués.
Questions
L’activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d’un nouveau système électronique, logiciel ou programme d’application, y compris un collecticiel (ou logiciel de groupe) dans le but de soutenir le programme ou l’activité aux fins de création, de collecte ou de manipulation de renseignements personnels?
Réponse : Non
L’activité ou le programme, qu’il soit nouveau ou modifié, nécessite-t-il la modification des systèmes ou des services de technologies de l’information (TI) existants?
Réponse : Non
L’activité ou le programme, qu’il soit nouveau ou modifié, implique-t-il l’adoption d’au moins une des technologies suivantes :
Réponse :
- Méthodes d’identification améliorées : Non
- Recours à la surveillance : Oui
Détails : ALTO utilise la fonction des pistes d’audit pour faire le suivi des accès non autorisés, des modifications et des suppressions. Les pistes d’audit sont conservées dans le système pendant tout son cycle de vie et ne peuvent être consultées que par un administrateur de haut niveau ou un superutilisateur. Les pistes d’audit donnent les informations suivantes : valeur précédente, valeur modifiée, donnée/heure et signature électronique.
Recours à des techniques automatisées d’analyse des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances.
Réponse : Oui
Détails : Au moment de la mise en œuvre du nouveau système ALTO, les RH de SPAC ont reçu une importation de données de base de MesRHGC et de l’EFPC. On a déterminé que ces données seraient la source fiable de renseignements sur les apprenants de SPAC. Toutefois, cette source de données n’a pas été mise à jour aussi régulièrement que prévu au moment de la mise en œuvre, ce qui a entraîné des retards dans la création des comptes. On administre les nouveaux comptes ALTO selon un processus d’intégration interne dans lequel on recueille le prénom, le nom de famille et le courriel directement auprès de l’apprenant au moyen d’un formulaire interne de demande de création de compte ALTO. L’équipe des services d’apprentissage envoie directement à l’apprenant le nom d’utilisateur et le mot de passe temporaire afin qu’il accède au système.
Transmission des renseignements personnels
Échelle de risque : 3
Au moment de la mise en œuvre, ALTO a été configuré pour recevoir des renseignements du système Saba de l’EFPC et du système MesRHGC, mais il n’est pas configuré pour fournir des renseignements personnels à ces systèmes ou à d’autres systèmes. Aucune donnée n’en sort pour alimenter d’autres systèmes.
ALTO est une plateforme Web qui sert à gérer et à offrir des formations.
L’application permet d’imprimer les renseignements auxquels la personne a accès, comme un relevé de notes ou un certificat d’achèvement.
Il est aussi important de noter que l’application attribue des « rôles » aux différentes catégories d’utilisateurs d’ALTO. À l’aide de ces « rôles », les gestionnaires et administrateurs d’ALTO régissent la quantité d’information qu’un utilisateur est autorisé à voir.
ALTO est une application Web et les renseignements personnels dans ALTO sont transmis à l’aide de technologies sans fil.
Incidence des risques sur l’institution
Échelle de risque : 1
Échelle de risque : 2
Le préjudice potentiel associé à une atteinte à la vie privée serait causé par le fait qu’une personne pourrait savoir : si un employé a reçu la formation requise pour remplir les fonctions de son poste et les résultats des tests liés à un cours terminé.
Incidence des risques sur la personne ou l’employé
Échelle de risque : 1
Le risque potentiel pour l’institution en cas d’atteinte à la vie privée à SPAC serait lié au fait de savoir si un employé a la formation requise associée pour remplir les fonctions de son poste.
Détails de la page
- Date de modification :