Services publics et Approvisionnement Canada
Rapport annuel 2024 à 2025 sur la Loi sur la protection des renseignements personnels
Le contenu de cette publication ou de ce produit peut être reproduit en tout ou en partie, et par quelque moyen que ce soit, sous réserve que la reproduction soit effectuée uniquement à des fins personnelles ou publiques, mais non commerciales, sans frais ni autre permission, à moins d’avis contraire, à condition :
- de faire preuve de diligence afin d’assurer l’exactitude du matériel reproduit
- d’indiquer le titre complet du matériel reproduit et l’organisation qui en est l’auteur
- d’indiquer que la reproduction est une copie d’un document officiel publié par le gouvernement du Canada et que la reproduction n’a pas été faite en association avec le gouvernement du Canada ni avec l’appui de celui-ci
La reproduction et la distribution à des fins commerciales sont interdites, sauf avec la permission écrite de Services publics et Approvisionnement Canada (SPAC). Pour de plus amples renseignements, veuillez communiquer avec SPAC au 1-800-622-6232.
La reproduction des symboles officiels du gouvernement du Canada, y compris le mot-symbole « Canada » et le symbole du drapeau, à des fins commerciales ou non commerciales, est interdite.
© Sa Majesté le Roi du chef du Canada, représenté par le ministre de Services publics et de l’Approvisionnement, 2025.
Also available in English.
ISSN 2817-5697
Sur cette page
- Introduction
- Objet de la loi
- À propos de Services publics et Approvisionnement Canada
- Structure organisationnelle
- Délégation de pouvoirs
- Rendement pour 2024 à 2025
- Formation et sensibilisation
- Politiques, lignes directrices et procédures
- Initiatives et projets visant à améliorer la protection de la vie privée
- Sommaire des enjeux clés et mesures prises à l’égard des plaintes
- Atteintes substantielles à la vie privée
- Évaluations des facteurs relatifs à la vie privée
- Divulgations dans l’intérêt public
- Surveillance de la conformité
- Annexe A : Charte de délégation de pouvoirs pour la Loi sur la protection des renseignements personnels et son règlement connexe
Introduction
Services publics et Approvisionnement Canada est heureux de présenter au Parlement son rapport annuel sur l’application de la Loi sur la protection des renseignements personnels (LPRP). Ce rapport décrit les activités qui soutiennent la conformité à la loi pour l’exercice financier ayant commencé le 1er avril 2024 et ayant pris fin le 31 mars 2025, mais n'est pas destiné à répondre aux exigences en matière de rapports des filiales non opérationnelles de l'institution.
L’article 72 de la Loi sur la protection des renseignements personnels précise qu’au cours de l’exercice financier, le responsable de chacune des institutions fédérales doit présenter au Parlement un rapport annuel concernant l’application de la Loi sur la protection des renseignements personnels.
Objet de la Loi
La Loi sur la protection des renseignements personnels a pour objet de compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d’accès des individus aux renseignements personnels qui les concernent. La Loi sur la protection des renseignements personnels protège les renseignements personnels des particuliers en empêchant des tiers d’y avoir accès. Elle confère également aux particuliers des droits précis en ce qui a trait à la collecte, à l’utilisation et à la divulgation de ces renseignements.
À propos de Services publics et Approvisionnement Canada
Services publics et Approvisionnement Canada, anciennement appelé Travaux publics et Services gouvernementaux Canada, tient son mandat de la Loi sur le ministère des Travaux publics et des Services gouvernementaux de 1996, qui établit le Ministère comme fournisseur de services communs. Le Ministère joue donc un rôle important dans les activités quotidiennes du gouvernement du Canada, car il est un fournisseur principal de services pour les ministères et organismes fédéraux. Pour les aider à réaliser les objectifs découlant de leurs mandats respectifs, le Ministère leur fournit 5 catégories de services :
- l’achat et la vente
- la paye, la pension et les avantages sociaux
- les biens et les bâtiments
- les services de sécurité, les services ministériels et les services d’information
- le Bureau de la traduction
SPAC fournit des services partout au Canada, par l’intermédiaire de l’administration centrale située dans la région de la capitale nationale, de 5 régions, ainsi que de bureaux en Europe (Geilenkirchen, en Allemagne) et aux États-Unis (Washington, D.C.).
Structure organisationnelle
La Direction de l’accès à l’information et de la protection des renseignements personnels (AIPRP) est responsable de l’administration déléguée de la Loi sur l’accès à l’information (LAI) et la Loi sur la protection des renseignements personnels au sein de SPAC. Le directeur principal de l’AIPRP agit à titre de coordonnateur de l’AIPRP au Ministère. La direction est supervisée par la directrice générale du Secteur du secrétariat ministériel et de l'accessibilité, qui est également la cheffe de la protection des renseignements personnels au Ministère.
Au cours de l’exercice financier 2024 à 2025, 16,980 employés équivalents temps plein (ETP) et 0,345 travailleurs occasionnels ETP ont appliqué la Loi sur la protection des renseignements personnels avec le soutien de 1,000 consultant, pour un effectif total de 18,325 ETP.
Structure organisationnelle de l’accès à l’information et de la protection des renseignements personnels au sein de Services publics et Approvisionnement Canada
Version textuelle
Cet organigramme présente une hiérarchie commençant par le Secteur du secrétariat ministériel et de l'accessibilité au sommet. Deux directions sont responsables de l’administration déléguée de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels: la Direction de l’accès à l’information et de la protection des renseignements personnels et la Direction de la préparation aux litiges et de la transparence.
Quatre divisions relèvent de la Direction de l’accès à l’information et de la protection des renseignements personnels :
- la Division de l’administration effectue les fonctions administratives, appuie le respect des obligations organisationnelles et veille au maintien du système de traitement des demandes
- la Division des opérations traite les demandes reçues en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels, et assure la liaison avec les commissariats à l’information et à la protection de la vie privée pour régler les plaintes
- la Division de gestion de la protection des renseignements personnels conseille et appuie le Ministère dans la gestion des risques liés à la vie privée assurant la conformité à la législation et aux instruments de politique sur la protection de la vie privée
- la Division de la gouvernance et de la sensibilisation élabore des procédures et des rapports ministériels, offre de la formation, fait la promotion de la sensibilisation et fournit un soutien aux utilisateurs pour le système de traitement des demandes
Sous ces divisions, il y a un autre niveau pour les agents de liaison de l’AIPRP, qui coordonnent la récupération, l’examen et la soumission de l’information détenue par leur direction générale ou leur région pour répondre aux demandes d’AIPRP.
La Division de la publication proactive et de la transparence qui relève de la Direction de la préparation aux litiges et de la transparence, administre la partie 2 de la Loi sur l’accès à l’information, et coordonne et fait progresser les politiques, lignes directrices, processus et pratiques en matière de transparence.
Au cours de la période de référence 2024 à 2025, la Division de la publication proactive et de la transparence est passée de la Direction de l’AIPRP à la Direction de la préparation aux litiges et de la transparence, demeurant sous la responsabilité du Secteur du secrétariat ministériel et de l'accessibilité et relevant de la cheffe de la protection des renseignements personnels.
Entente de partage de services
Au cours de l’exercice financier 2024 à 2025, SPAC disposait d’une entente de partage de services pour la prestation de services organisationnels au Bureau de l’ombud de l’approvisionnement (BOA), qui comprenait des services d’accès à l’information en vertu de l’article 96 de la Loi sur l’accès à l’information et de l’article 73.1 de la Loi sur la protection des renseignements personnels.
Ces services comprenaient le traitement des demandes en vertu de la Loi sur l’accès à l’information et en vertu de la Loi sur la protection des renseignements personnels, et les demandes de consultation associées. La Direction de l’AIPRP était chargée de mettre en œuvre des mesures visant à atténuer les préoccupations portant sur l’indépendance du BOA et la perception de conflit d’intérêts y compris le triage et l’accès limité aux dossiers du BOA. Le BOA était chargé d’examiner et de confirmer l’application des exceptions et des exclusions pour les documents à communiquer et de fournir l’approbation finale avant la diffusion publique.
Délégation des pouvoirs
En vertu du paragraphe 73(1) de la Loi sur la protection des renseignements personnels, le ministre responsable de Services publics et Approvisionnement Canada a délégué les pouvoirs, devoirs et fonctions d’application de la loi aux gestionnaires de l’AIPRP, sauf pour l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels, pour lequel la délégation est accordée au directeur principal. Certaines fonctions administratives sont également déléguées aux gestionnaires et aux agents principaux de l’AIPRP en vue d’accélérer le traitement des demandes.
Le dernier instrument de délégation des pouvoirs de SPAC a été signé le 17 décembre 2024 avec une matrice distincte sur la délégation de l’AIPRP. Un extrait de la délégation des pouvoirs approuvée par le ministre en vertu de la Loi sur la protection des renseignements personnels se trouve à l’Annexe A : Charte de délégation de pouvoirs pour la Loi sur la protection des renseignements personnels et son règlement connexe.
Rendement pour 2024 à 2025
Dans cette section
Demandes de renseignements personnels
Demandes de renseignements personnels : reçues et fermées
Version textuelle
Description du graphique : Demandes de renseignements personnels reçues et fermées
- 2020 à 2021 : 353 demandes reçues, 381 demandes fermées
- 2021 à 2022 : 369 demandes reçues, 366 demandes fermées
- 2022 à 2023 : 515 demandes reçues, 512 demandes fermées
- 2023 à 2024 : 369 demandes reçues, 391 demandes fermées
- 2024 à 2025 : 291 demandes reçues, 309 demandes fermées
Le Ministère a reçu 291 demandes et a fermé 309 demandes présentées en vertu de la Loi sur la protection des renseignements personnels au cours de la période de référence 2024 à 2025. Cela représente une baisse d'environ 21 % par rapport à l'année précédente, tant pour les demandes reçues que pour les demandes fermées. La majorité des demandes de renseignements personnels reçues portaient sur les dossiers de pension et de paye, et les documents personnels.
Demandes de renseignements personnels : pages examinées
Version textuelle
| Exercice financier | Pages examinées |
|---|---|
| 2020 à 2021 | 162 000 |
| 2021 à 2022 | 130 000 |
| 2022 à 2023 | 142 000 |
| 2023 à 2024 | 153 000 |
| 2024 à 2025 | 138 000 |
Pendant la période de référence 2024 à 2025, SPAC a examiné 138 138 pages pour des demandes reçues en vertu de la Loi sur la protection des renseignements personnels.
Demandes de renseignements personnels : disposition
Version textuelle
Description du graphique : Disposition des demandes de renseignements personnels
- Communication totale : 175 demandes (56,63 %)
- Communication partielle : 90 demandes (29,13 %)
- Abandonnée : 12 demandes (3,88 %)
- Aucun document n’existe : 32 demandes (10,36 %)
Sur l’ensemble des demandes fermées pendant la période de référence 2024 à 2025, 56,63 % ont été communiquées en totalité, 29,13 % ont été communiquées en partie et 10,36 % étaient des demandes pour lesquelles aucun document n’existait. Le reste des demandes, 3,88 %, a été abandonné.
Demandes de renseignements personnels : délais de traitement
Version textuelle
Description du graphique : Délai de traitement pour les demandes de renseignements personnels
- Dans les 30 jours : 209 demandes (67,64 %)
- De 31 à 60 jours : 84 demandes (27,18 %)
- De 61 à 120 jours : 9 demandes (2,91 %)
- 121 jours ou plus : 7 demandes (2,27 %)
Le taux de conformité global de SPAC pendant la période de référence 2024 à 2025 était de 96,44 % pour les demandes en vertu de la Loi sur la protection des renseignements personnels. Ce taux de conformité englobe tous les dossiers fermés au cours de la période initiale de 30 jours ou pendant une période de prorogation accordée en raison du volume ou de la nécessité de mener des consultations. Seulement 11 demandes (3,56 %) ont été fermées au-delà des délais prévus par la loi.
Le pourcentage de demandes fermées dans le délai initial de 30 jours était de 67,64 %.
Demandes de renseignements personnels : prorogations
L’article 15 de la Loi sur la protection des renseignements personnels permet la prorogation des délais prévus par la loi si des consultations sont nécessaires pour donner suite à la demande ou si la demande vise un grand nombre de documents et que son traitement dans le délai prescrit entraverait de façon excessive les activités du Ministère.
SPAC a invoqué 89 prorogations au cours de la période de référence 2024 à 2025. De ce nombre, 4 ont été requises afin de mener des consultations avec des parties prenantes internes et externes, 60 ont été requises en raison d’un volume élevé de demandes dont le traitement aurait autrement nui aux activités, 24 ont été requises pour des demandes comprenant un important volume de pages à examiner et 1 a été requise pour récupérer des documents difficiles à obtenir.
Demandes de renseignements personnels : exceptions
Le Ministère a invoqué des exceptions prévues en vertu de la Loi sur la protection des renseignements personnels pour 90 demandes (29,13 %), et a communiqué en totalité les renseignements pour 175 demandes (56,63 %). Les 44 autres demandes (14,24 %) ont été abandonnées ou aucun document n’existait.
La majorité des exceptions invoquées par SPAC relevaient de l’article 26, qui protège les renseignements personnels, et a été invoqué dans 87 dossiers (96,67 %).
À noter que plus d’une exception peut s’appliquer à une même demande.
Demandes de renseignements personnels : exclusions
Pendant la période de référence 2024 à 2025, SPAC n’a appliqué aucune exclusion aux documents demandés en vertu de la Loi sur la protection des renseignements personnels.
Demandes de renseignements personnels : actives
Version textuelle
| Exercice financier | Demandes de renseignements personnels actives respectant les délais prescrits par la loi | Demandes de renseignements personnels actives dépassant les délais prescrits par la loi |
|---|---|---|
| 2020 à 2021 | 0 | 1 |
| 2021 à 2022 | 0 | 1 |
| 2022 à 2023 | 0 | 0 |
| 2023 à 2024 | 0 | 0 |
| 2024 à 2025 | 17 | 3 |
À la fin de la période de référence 2024 à 2025, SPAC comptait 22 demandes actives en vertu de la Loi sur la protection des renseignements personnels qui étaient en suspens, dont la majorité (90,91 %) avaient été reçues au cours de la période de référence.
Demandes de renseignements personnels : facteurs influant sur le rendement
Le taux de conformité de 96,44 % souligne les efforts considérables du Ministère pour assumer ses responsabilités relatives à l’administration de la Loi sur la protection des renseignements personnels. Néanmoins, les facteurs suivants ont affecté les opérations de la Direction de l’AIPRP au cours de la période de référence :
- la complexité et le volume de nouvelles demandes
- les ressources nécessaires pour mener à bien de multiples initiatives de recrutement et pour encadrer les nouveaux employés, comme la Direction de l’AIPRP a connu des pénuries de personnel pendant la majeure partie de l’exercice de 2024 à 2025
- les priorités ministérielles ajoutées à la charge de travail liée aux activités obligatoires qui soutiennent la conformité à la Loi sur la protection des renseignements personnels
- les problèmes techniques attribuables au système de traitement des demandes désuet qui occasionnent des défis pour la Direction de l’AIPRP
Demandes de consultation
SPAC a reçu 1 demande de consultation d'une autre institution gouvernementale concernant des documents personnels, totalisant 53 pages examinées. Cette demande de consultation a été fermée dans un délai de 15 jours et la recommandation était de divulguer partiellement l'information.
Plaintes
Plaintes reçues et fermées
Pendant la période de référence 2024 à 2025, SPAC a été informé de la réception de 5 nouvelles plaintes au Commissariat à la protection de la vie privée (CPVP), et a présenté des observations officielles pour 7 plaintes actives reçues au cours de la période de référence actuelle ou précédente.
Version textuelle
Description du graphique : Plaintes reçues et fermées
- Présomption de refus : 2 plaintes reçues (40,00 %)
- Prorogation : 1 plainte reçue (20,00 %)
- Exception : 1 plainte reçue (20,00 %)
- Documents manquants : 1 plainte reçue (20,00 %)
Sur les 5 plaintes reçues en vertu des dispositions de la Loi sur la protection des renseignements personnels durant la période de référence :
- 2 plaintes ont été déposées soutenant que SPAC n’avait pas donné accès à un document demandé dans les délais prévus à l’article 14 qui exige que les institutions répondent aux demandes d’accès dans un délai de 30 jours, à moins qu’elles n’aient valablement prolongé le délai de 30 jours pour y répondre en respectant les exigences énoncées à l’article 15
- 1 plainte a été déposée soutenant que SPAC n’avait pas respecté les exigences énoncées à l’alinéa 15a)(i) permettant une prolongation du délai en raison du volume de documents
- 1 plainte a été déposée soutenant que SPAC avait refusé de fournir l’accès à une partie ou à la totalité des documents demandés en vertu de dispositions relatives aux exceptions de la Loi sur la protection des renseignements personnels
- 1 plainte a été déposée soutenant que SPAC n’avait pas effectué une recherche raisonnable pour les documents, ne satisfaisant ainsi pas à une exigence énoncée au paragraphe 12(1), soit de donner accès aux renseignements personnels concernant l’individu, dans la mesure où l’individu peut fournir des indications suffisamment précises sur l’endroit où se trouvent ces renseignements pour que l’institution fédérale puisse les retrouver sans problème sérieux
Pendant la période de référence, la Direction de l’AIPRP a fermé 5 enquêtes sur des plaintes. De ce nombre, 3 plaintes ont été jugées fondées et 2 ont été jugées non fondées.
Plaintes actives
À la fin de la période de référence 2024 à 2025, SPAC comptait 3 plaintes actives avec le CPVP : 2 plaintes avaient été reçues au cours de la période de référence 2023 à 2024, et 1 plainte pendant la période de référence visée par le présent rapport.
Formation et sensibilisation
En offrant des formations et en menant différentes activités, SPAC continue à mieux faire connaître la Loi sur la protection des renseignements personnels à l’échelle de l’institution, ainsi que les obligations ministérielles qui en découlent.
Durant la période de référence 2024 à 2025, le coordonnateur de la formation à la Direction de l’AIPRP a continué de proposer des séances de formation virtuelles et hybrides. Grâce à ces modes de prestation, la Direction de l’AIPRP a pu rejoindre plus de participants dans tout le pays. Elle a aussi pu encourager la participation active et la collaboration, que ce soit virtuellement ou en personne, tout en faisant la promotion des formations et des outils d’AIPRP à plus grande échelle au sein du Ministère.
SPAC a tenu les séances de formation suivantes :
- 110 séances de formation virtuelles et 3 séances de formation hybrides sur le cours « Principes fondamentaux de l’accès à l’information et de la protection des renseignements personnels » auxquelles ont participé 2 237 employés, représentant une augmentation importante du nombre de participants par rapport à la période de référence 2023 à 2024
- 21 séances de formation virtuelles sur le cours « Sensibilisation aux atteintes à la vie privée » auxquelles ont participé 511 employés
Grâce à ces activités, la Direction de l’AIPRP a informé les participants de leurs obligations en vertu de la Loi sur la protection des renseignements personnels et des efforts du Ministère pour rendre le gouvernement plus ouvert à tous.
Prévention et signalement des atteintes à la vie privée
La Direction de l’AIPRP a offert la formation obligatoire intitulée « Prévention et signalement des atteintes à la vie privée » par l’entremise du système de gestion de l'apprentissage de SPAC, ALTO, à 5 764 employés. Cette formation vise à mieux faire connaître les lignes directrices et les garanties procédurales internes afin d’éviter les atteintes à la vie privée et les atteintes substantielles à la vie privée. Les séances de formation ont procuré aux participants des renseignements précieux sur leur rôle, leurs responsabilités et leurs obligations à l’égard des exigences relatives à la gestion des atteintes à la vie privée. Elles ont également procuré des directives sur les mesures à prendre en cas d’atteinte à la vie privée et sur les mesures préventives.
Politiques, lignes directrices et procédures
Au cours de la période de référence 2024 à 2025, la Direction de l’AIPRP a révisé les normes, les procédures et les mécanismes de service afin d’assurer la cohérence et l’uniformité des pratiques de traitement des demandes de renseignements personnels. Ces procédures et mécanismes s’appliquaient à un certain de nombre de mesures opérationnelles, comme la normalisation des services aux clients et de la réception des demandes, la consignation du consentement et du droit d’accès du requérant, ainsi que la gestion de l’information relative aux demandes de renseignements personnels dans le système ministériel de gestion de l’information. De plus, des lignes directrices et des procédures ont été élaborées pour soutenir les employés pendant la transition vers le nouveau système de traitement des demandes.
Afin d’améliorer l’administration du programme d’AIPRP et d’en assurer la cohésion, la Direction de l’AIPRP a tenu des réunions de gestion hebdomadaires afin de discuter des questions opérationnelles et stratégiques nouvelles et en cours. Ces réunions ont également été l’occasion de promouvoir la gestion de la protection des renseignements personnels au sein de la direction, et de discuter de la sensibilisation des employés à l’échelle du Ministère.
Directive sur la gestion de la protection des renseignements personnels
La Directive sur la gestion de la protection des renseignements personnels a été présentée le 16 août 2022 et a mené à des améliorations importantes dans la gestion et la protection des renseignements personnels à l’échelle du Ministère durant la période de référence. Les mesures de protection des renseignements personnels révisées ont été intégrées de façon efficace aux activités quotidiennes, ce qui a permis de renforcer la conformité à la Loi sur la protection des renseignements personnels et aux instruments de politique connexes. Les vérifications régulières et la rétroaction des parties prenantes internes et externes ont démontré plus de transparence dans le traitement des renseignements personnels. Les communications claires et constantes des pratiques en matière de protection des renseignements personnels ont favorisé la confiance entre les employés et le public. La Directive a ainsi permis à SPAC de respecter son engagement envers une saine gestion des renseignements personnels et de la protection de la vie privée des individus.
SPAC a révisé la Directive au cours de la période de référence 2024 à 2025 pour procéder aux modifications nécessaires à la suite de la mise à jour des instruments de politique en matière de protection des renseignements personnels effectuée par le Secrétariat du Conseil du Trésor (SCT), des changements organisationnels au sein de SPAC, ainsi que des changements administratifs. Un grand nombre de sections de la Directive ont dû être modifiées pour assurer l’exactitude des renseignements et l’uniformité avec les instruments du SCT, notamment des références, des hyperliens et des modèles. La révision devrait être terminée avant la fin de la période de référence 2025 à 2026.
Initiatives et projets visant à améliorer la protection de la vie privée
Dans cette section
- Ressources humaines et perfectionnement professionnel
- Modernisation et normalisation des ressources d’information
- Améliorations technologiques
Ressources humaines et perfectionnement professionnel
Au cours de la période de référence 2024 à 2025, des initiatives de recrutement et des mesures administratives en matière de ressources humaines ont été entreprises dans le but de réduire la pénurie d’employés d’expérience au sein des divisions de la gestion de la protection des renseignements personnels et des opérations. Des employés ont été promus, et un employé visé par la réduction des effectifs a été muté à la Direction de l’AIPRP. Des efforts ont aussi été déployés pour pourvoir les postes de soutien aux programmes afin d’accroître la productivité, de réduire le fardeau administratif à la Division des opérations et de respecter les obligations ministérielles. Pour faciliter l’intégration des nouveaux employés recrutés à la Direction de l’AIPRP, une révision du processus d’accueil a été entreprise, comportant l’élaboration de lignes directrices claires et normalisées sur les procédures et les processus en matière de protection des renseignements personnels. Les mandats de la Division des opérations ont été révisés et modifiés pour faciliter la gestion des priorités concurrentes.
Afin de poursuivre leur développement professionnel, les employés de la Division des opérations ont été encouragés à suivre le Programme de formation en accès à l’information et en protection des renseignements personnels – Institutions fédérales offert par l’Association des professionnels en accès à l'information et à la protection de la vie privée.
- 8 employés ont complété le module A – Intégration à la fonction d’analyste en AIPRP
- 1 employé a complété le module B – Perfectionnement en traitement des demandes et des plaintes en AIPRP
Modernisation et normalisation des ressources d’information
Au cours de la période de référence 2024 à 2025, la Direction de l’AIPRP a entrepris la conception d’une nouvelle page Web de services internes sur l’intranet du Ministère afin d’accroître la visibilité des services de protection des renseignements personnels, d’améliorer la sensibilisation en la matière et le signalement des atteintes à la vie privée dans l’ensemble du Ministère. Cette page Web servira de point central des services de gestion de la protection des renseignements personnels et fournira aux employés un accès direct pour présenter des demandes.
Au cours de la période de référence, un examen exhaustif de plus de 600 formulaires ministériels a été lancé pour veiller à ce qu’ils soient conformes aux politiques et aux directives du SCT. Ce projet, toujours en cours, comporte la désignation des formulaires non conformes, la consignation des motifs de non-conformité et la description des mises à jour nécessaires. Quand l’examen sera terminé, la Direction de l’AIPRP travaillera en collaboration avec les propriétaires des formulaires pour mettre en œuvre les changements requis et rendre les formulaires ministériels conformes aux normes en matière de protection des renseignements personnels.
De plus, la Direction de l’AIPRP a entrepris un processus d’examen et de modernisation des outils et des modèles de protection des renseignements personnels, se concentrant sur les formulaires de services de protection des renseignements personnels utilisés pour veiller à ce que les pratiques en matière de protection des renseignements personnels demeurent à jour et conformes aux plus récentes normes stratégiques. Cet examen a pour objectif d’améliorer la clarté, la facilité d’utilisation et l’accessibilité des outils utilisés partout à SPAC; ce faisant, les mécanismes de protection des renseignements personnels seront renforcés et la prestation des services, améliorée.
Améliorations technologiques
Au cours de la période de référence 2024 à 2025, SPAC a continué à collaborer avec les intervenants pour faire progresser le projet de remplacement du système actuel de traitement des demandes d’AIPRP, qui est désuet, par ATIPXpress, un nouveau système modernisé conçu pour simplifier et améliorer le traitement des demandes d’AIPRP.
Pour gérer la mise en œuvre d’ATIPXpress, la Direction de l’AIPRP a mis sur pied une équipe d’experts en la matière. Cette équipe travaille avec des partenaires internes et externes, y compris le fournisseur, pour s’assurer que les jalons du projet et les exigences contractuelles sont respectés et pour résoudre les problèmes de manière proactive. Parmi les jalons du projet atteints au cours de la période de référence, notons les suivants :
- intégration à la Plateforme d’application du GC sous forme de service (GCaPasS) de Services partagés Canada
- achèvement de la documentation sur la sécurité
- identification des profils d’employés et tâches connexes
- configuration des environnements de développement, d’essais d’acceptation par l’utilisateur et de production sur GCaPaaS
- complétion des essais d’acceptation par l’utilisateur
- réalisation de l’évaluation de la vulnérabilité
Une stratégie de lancement progressif du système est en cours d’élaboration. La stratégie vise à intégrer progressivement le traitement de différents types de demandes, y compris les demandes d’accès, de renseignements personnels, de consultation et les demandes informelles afin d’assurer une transition en douceur et de faciliter l’intégration des utilisateurs. Cette stratégie permettra d’examiner et de valider les processus internes afin de les adapter aux fonctionnalités offertes par le nouveau système. La stratégie comprendra également des séances de formation prévues pour les employés, offertes dans le cadre d’une combinaison de séances dirigées par les fournisseurs et de séances internes. Ces séances fourniront une expérience pratique des caractéristiques et des fonctionnalités du système pour que les utilisateurs puissent tirer pleinement parti de son potentiel.
Au cours de la prochaine année, la Direction de l’AIPRP évaluera le recours à des fonctionnalités d’intelligence artificielle afin de réduire le temps de traitement des demandes, et poursuivra la configuration et l’installation d’ATIPXpress. Un prélancement est prévu à l’automne 2025.
Sommaire des enjeux clés et mesures prises à l’égard des plaintes
Au cours de la période de référence 2024 à 2025, le refus présumé de communication a été le motif le plus fréquent des plaintes reçues. Selon la nature de la plainte, SPAC a communiqué avec l’enquêteur du CPVP pour préciser les motifs de la plainte et avec le bureau de première responsabilité (BPR) compétent de SPAC pour demander que de nouvelles recherches soient effectuées. SPAC a ensuite communiqué des documents supplémentaires, le cas échéant, et a examiné les exceptions et les exclusions appliquées pour en confirmer l’applicabilité.
La Direction de l’AIPRP a également coordonné ses efforts avec le CPVP pour terminer les dossiers actifs en demandant des mises à jour sur l’état d’avancement de l’enquête et en fournissant l’information requises. Grâce à cette collaboration, les erreurs administratives ont été corrigées, l’exactitude des données a été confirmée et les plaintes en suspens ont été fermées.
Atteintes substantielles à la vie privée
Une atteinte à la vie privée est considérée comme substantielle si elle pourrait vraisemblablement entraîner un risque réel de préjudice grave pour un individu. Pour orienter la réponse du Ministère lors d’atteintes à la vie privée, SPAC met en application un protocole relatif aux atteintes à la vie privée qui décrit les étapes qu’un employé doit suivre lorsqu’il constate une possible atteinte à la vie privée. Établi en 2015 et mis à jour en 2021, ce protocole fournit un ensemble d'outils améliorés pour évaluer les risques associés à l’atteinte et comprend des communications avec les personnes touchées, ainsi que la mise en application de mesures d’atténuation.
Au cours de la période de référence 2024 à 2025, SPAC n'a reçu aucun signalement d'atteinte substantielles à la vie privée et aucune atteinte n'a été signalée au CPVP ou au SCT.
Évaluations des facteurs relatifs à la vie privée
Dans le cadre de l’exécution de son mandat à titre de fournisseur de services communs aux organisations fédérales, SPAC collecte, conserve, utilise et communique des renseignements personnels. Conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT, la Direction de l’AIPRP fournit des conseils et des recommandations pour l’élaboration d’évaluations des facteurs relatifs à la vie privée et pour toute modification importante visant l’utilisation des renseignements personnels.
Au cours de la période de référence 2024 à 2025, SPAC a fait une évaluation des facteurs relatifs à la vie privée (EFVP) pour le programme GCSurplus. Le résumé de l’EFVP est disponible au Canada.ca
Programme GCSurplus
Le programme GCSurplus facilite l’aliénation des biens excédentaires de l’État par divers moyens, notamment la vente, le transfert et le recyclage, dans le but de réduire l’empreinte physique, financière et environnementale du gouvernement. L’EFVP découle d’un projet de modernisation continue des applications et de l’élargissement du programme pour y intégrer de nouveaux clients du secteur public. Ces avancées pourraient modifier la portée opérationnelle du programme, mais les services de base et leurs répercussions connexes sur la protection des renseignements personnels restent inchangés.
Divulgations dans l’intérêt public
Conformément au paragraphe 8(2) de la Loi sur la protection des renseignements personnels, dans certaines circonstances, une institution fédérale est autorisée à communiquer des renseignements personnels dont elle dispose, sans le consentement de la personne concernée.
L’alinéa 8(2)e) autorise la communication de renseignements personnels à un organisme d’enquête fédéral en vue de faire respecter les lois ou pour la tenue d’enquêtes licites. SPAC a fait 2 divulgations à un organisme d’enquête au cours de l’exercice financier 2024 à 2025, communiquant des renseignements concernant 15 individus. La Loi sur la protection des renseignements personnels n’oblige pas l’institution à informer le CPVP.
L’alinéa 8(2)m) autorise la communication de renseignements personnels dans les cas où celle-ci est d’intérêt public ou l’individu concerné en tirerait un avantage certain. SPAC a fait 2 divulgations en vertu de l’alinéa 8(2)m) au cours de la période de référence 2024 à 2025. La première divulgation portait sur des renseignements concernant 3 individus et visait à aider un autre organisme gouvernemental dans le cadre d’une enquête. La deuxième divulgation portait sur des renseignements concernant 3 individus et avait pour but de répondre à une demande de renseignements d’un comité parlementaire. Conformément à la Loi sur la protection des renseignements personnels, le CPVP a été informé de ces divulgations.
Surveillance de la conformité
Grâce à des consultations continues sur les pratiques de gestion de la protection des renseignements personnels découlant de la Loi sur la protection des renseignements personnels, la Direction de l’AIPRP de SPAC a surveillé l’utilisation des renseignements personnels échangés avec des tiers, des parties prenantes et des partenaires dans le contexte des programmes ministériels. Le Comité de surveillance de la protection des renseignements personnels a appuyé la cheffe de la protection des renseignements personnels du Ministère dans la surveillance de la gestion de la protection des renseignements personnels à l’échelle du Ministère en mobilisant les diverses parties prenantes à l’interne pour veiller à ce que les renseignements personnels soient gérés adéquatement et protégés conformément à la Loi sur la protection des renseignements personnels ainsi qu’aux règles et aux règlements connexes. Le Comité de surveillance de la protection des renseignements personnels s’est aussi chargé de la surveillance de la gestion des renseignements personnels au Ministère en s’assurant que des pratiques et des mesures de protection des renseignements personnels appropriées soient en place et que des mesures d’atténuation des risques solides soient mises en œuvre relativement à la collecte, à l’utilisation, à la conservation, à la communication et à l’élimination des renseignements personnels. Les réunions du Comité de surveillance de la protection des renseignements personnels ont eu lieu au niveau des directeurs généraux à raison de deux fois par année au cours de la période de référence 2024 à 2025.
De plus, la Direction de l’AIPRP a fourni des conseils, une orientation et des recommandations aux parties prenantes internes et externes concernant la saine gestion de la protection des renseignements personnels et la conformité à la Loi sur la protection des renseignements personnels. Conformément à la Directive sur les pratiques relatives à la protection de la vie privée du SCT, la Direction a travaillé en collaboration avec les parties prenantes pour veiller à ce que des mesures de protection des renseignements personnels et de sécurité soient intégrées à tous les contrats, à toutes les ententes d’échange de renseignements, ainsi qu’aux dispositions qui comportent des renseignements personnels. Le niveau et le type de mesures de protection des renseignements personnels ont été adaptés en fonction de facteurs tels que la sensibilité, le volume, le format, la méthode de conservation et les préjudices potentiels que pourrait causer une atteinte à la vie privée.
La Division de la gestion de la protection des renseignements personnels a utilisé un système de suivi des demandes de consultation sur la gestion de la protection des renseignements personnels reçues, ce qui a permis à SPAC d’assurer la surveillance des initiatives dans le cadre desquelles il y a utilisation de renseignements personnels, et de faciliter la mise en œuvre de plans d’action prioritaires, y compris les responsabilités attribuées et les échéanciers.
La Direction de l’AIPRP a fourni aux cadres supérieurs un aperçu hebdomadaire qui contient des statistiques sur le nombre de demandes reçues et traitées en vertu de la Loi. Le gestionnaire des opérations des renseignements personnels a procédé à l’examen et à la surveillance de l’état d’avancement des demandes de renseignements personnels au moyen du système de traitement des demandes, et il a tenu des rencontres hebdomadaires pour passer en revue les tâches actives et établir les priorités.
L’équipe des opérations des renseignements personnels a continué à traiter les demandes reçues en effectuant des recherches dans le système de traitement des demandes, en communiquant avec les BPR et en clarifiant rapidement les demandes, au besoin. Ces tâches ont permis de veiller à ce que la demande soit aussi complète que possible avant l’attribution de la tâche, limitant ainsi les délais de récupération. L’équipe des opérations des renseignements personnels a évalué le contenu des dossiers récupérés pour s’assurer que les prorogations pouvaient être accordées dans les limites prévues par la loi. Dans le but de réduire davantage les retards et d’alléger les pressions opérationnelles, la numérisation des documents utilisés pour répondre aux demandes de protection des renseignements personnels a temporairement été réattribuée au sein de l’équipe des opérations des renseignements personnels, ce qui a permis à l’équipe de numérisation de la direction de se concentrer sur la numérisation des demandes d’accès à l’information.
Le processus de validation des données a assuré que les données saisies dans le système de traitement des demandes étaient exactes et que les exigences du SCT en matière de rapports étaient documentées.
Annexe A : Charte de délégation de pouvoirs pour la Loi sur la protection des renseignements personnels et son règlement connexe
| Titres de postes | Loi sur la protection des renseignements personnels | Règlement sur la protection des renseignements personnels |
|---|---|---|
| Ministre | Plein | Plein |
| Sous-ministre | Plein | Plein |
| Sous-ministre délégué | Plein | Plein |
| Titres de postes | Loi sur la protection des renseignements personnels | Règlement sur la protection des renseignements personnels |
|---|---|---|
| Cadre supérieur du Ministère | Plein | Plein |
| Directeur général | Plein | Plein |
| Directeur principal | Plein | Plein |
| Directeur | Plein | Plein |
| Gestionnaire | Restreintnote 1 du tableau 4 | Plein |
| Superviseur | Restreintnote 2 du tableau 4 | Restreintnote 3 du tableau 4 |
| Agent | Restreintnote 4 du tableau 4 | Sans objet |
Notes du tableau 4
|
||
L’ordonnance de délégation des pouvoirs : Loi sur l’accès à l’information et Loi sur la protection des renseignements personnels
En ma qualité de Ministre du Ministère des Travaux publics et des Services gouvernementaux et en vertu de l'article 95 de la Loi sur l'accès à l'information et de l'article 73 de la Loi sur la protection des renseignements personnels, j'autorise chaque fonctionnaire du ministère nommé à un poste identifié dans la matrice intitulée « Barème 5 - Matrice 16 - Délégation des pouvoirs - Accès à l'information, Protection des renseignements personnels et copies certifiées conformes », ainsi que tout fonctionnaire nommé à un tel poste sur une base intérimaire, les attributions dont je suis investie, à titre de responsable de Services publics et Approvisionnement Canada, aux termes des dispositions des Lois et des règlements connexes mentionnes en regard de chaque poste. Le présent document remplace toute ordonnance de délégation de pouvoirs antérieure.
L’honorable Jean-Yves Duclos
Ministre des Services publics et de l’Approvisionnement
Signé le 17 décembre 2024