Vérification de l'Agence du revenu du Canada - page 10

RAPPORT DE VÉRIFICATION DE LA COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DU CANADA,
2013
8
AGENCE DU REVENU DU CANADA
La responsabilité pour la protection des
renseignements personnels doit
être définie
6. Compte tenu du grand nombre de renseignements
sur les contribuables détenus par l’Agence et de la
nature très délicate de ces renseignements, nous
nous attendions à constater que l’ARC avait nommé
un chef de la protection des renseignements
personnels et lui avait confié des pouvoirs considé-
rables afin qu’il puisse améliorer et surveiller le
programme de protection de la vie privée de
l’Agence et veiller au respect de la
Loi sur la
protection des renseignements personnels
.
7. De nombreuses organisations des secteurs public
et privé ont compris qu’il fallait absolument charger
un cadre supérieur de veiller à la protection des
renseignements personnels des clients pour
préserver la confiance et la bonne volonté de
ces derniers. La confiance des clients est aussi
essentielle pour permettre à une organisation
de s’acquitter de son mandat, et d’exécuter
ses programmes et de fournir ses services
de manière efficace et efficiente.
8. La
Loi sur la protection des renseignements
personnels
n’oblige pas les institutions fédérales
à nommer un chef de la protection des renseigne-
ments personnels, et les politiques du Conseil du
Trésor ne définissent pas le rôle de ce dernier
1
.
Néanmoins, la désignation d’un chef de la protection
des renseignements personnels est une pratique de
plus en plus répandue chez les grandes organisa-
tions qui sont responsables de gérer un volume
important de renseignements personnels de nature
délicate. Le chef de la protection des renseigne-
ments personnels, qui est issu des rangs de la
haute direction de l’organisation, est responsable
de la direction stratégique globale du dossier de la
protection de la vie privée et de veiller au respect
de la loi par l’organisation.
9. Le chef de la protection des renseignements
personnels est également responsable de veiller
à ce que les nouveaux programmes dans le cadre
desquels des renseignements personnels sont
traités fassent l’objet d’évaluations des facteurs
relatifs à la vie privée. Comme ces rôles se
chevauchent, le chef de la protection des rensei-
gnements personnels est habituellement membre
du Comité de la haute direction de l’organisation,
ce qui lui permet d’entretenir ses collègues des
questions liées à la protection des renseignements
personnels avec autorité, de s’assurer que les
enjeux sont bien compris et de demander à la
direction d’appuyer des mesures visant à réduire
les risques d’atteinte à la vie privée à l’échelle
de l’organisation.
10. À la suite de la vérification des cadres de gestion
de la protection de la vie privée que nous avons
effectuée en 2009, nous avons recommandé
que l’ARC nomme un chef de la protection des
renseignements personnels, ce qu’elle a accepté
de faire. L’ARC a élaboré un cadre provisoire pour
la nomination d’un tel chef, mais ce cadre n’a pas
été mis en œuvre et aucun chef de la protection
des renseignements personnels n’a été nommé.
Par conséquent, jusqu’à tout récemment, l’Agence
ne pouvait pas compter sur un champion de la
protection des renseignements personnels parmi
ses cadres supérieurs pour promouvoir le respect
de la vie privée à l’échelle de l’organisation. Cela
dit, depuis 2009, le personnel de l’AIPRP a élaboré
un certain nombre de politiques et de procédures
importantes liées à la protection de la vie privée et
a mis sur pied diverses initiatives de formation.
11. Le 3 avril 2013, le commissaire du Revenu a
informé le personnel de l’Agence qu’un
sous-commissaire avait été nommé chef de la
protection des renseignements personnels afin
d’assurer le respect de la
Loi sur la protection
des renseignements personnels
et d’assumer
1
Le Commissariat a publié un guide pour aider les organisations à définir le rôle du chef de la protection des renseignements
personnels en fonction de leurs besoins particuliers (
Un programme de gestion de la protection de la vie privée : la clé de la
responsabilité
, 2012). Bien que ce document vise les organisations assujetties à la législation en matière de protection des
renseignements personnels qui s’applique au secteur privé, les institutions du secteur public pourraient le trouver utile.
1,2,3,4,5,6,7,8,9 11,12,13,14,15,16,17,18,19,20,...36
Powered by FlippingBook