Vérification du processus d’examen des évaluations des facteurs relatifs à la vie privée

Préparé par Deloitte & Touche s.r.l. et ses sociétés affiliées
pour le Commissariat à la protection de la vie privée du Canada

Le 20 juillet 2012


Sommaire

Historique et contexte

Le Commissariat à la protection de la vie privée du Canada est un mandataire du Parlement chargé de surveiller le respect de la Loi sur la protection des renseignements personnels, qui régit les pratiques de gestion des renseignements personnels des ministères et organismes fédéraux (appelés ci-après les « institutions »), et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale sur la protection des renseignements personnels applicable au secteur privé.

Comme il est indiqué dans le Rapport sur les plans et les priorités (RPP) de 2011-2012 du Commissariat, le résultat stratégique visé par le Commissariat consiste à s’assurer que le droit à la vie privée des individus est protégé. Au nombre des activités du Commissariat, mentionnons l’examen des évaluations des facteurs relatifs à la vie privée (EFVP) effectuées par les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels et à la Directive sur l’évaluation des facteurs relatifs à la vie privée du Conseil du Trésor. En vertu de cette directive, les institutions fédérales doivent veiller à ce qu'avant la mise en œuvre d'une activité ou d'un programme nouveau ou ayant subi des modifications importantes comportant des renseignements personnels, on cerne, évalue et règle de manière appropriée les incidences sur la vie privée. Le Commissariat n’approuve ni n’appuie les EFVP soumises. Il les soumet plutôt à un examen et recommande des mesures aux institutions en vue de les améliorer.   

Un groupe d’examen des EFVP, comprenant six équivalents temps plein (ETP), qui relève de la direction générale de la vérification et de la revue, est au sein du Commissariat le principal responsable de l’examen des EFVP et de la formulation de recommandations en vue d’aider les organismes à s’assurer qu’ils ont atténué les risques d’atteinte à la vie privée. En 2011-2012Note de bas de page 1, le Commissariat a reçu 49 EFVP; il en a examiné 54 et a envoyé une lettre de recommandations aux institutions ayant soumis une EFVP. Il y a un arriéré de 43 EFVP, qui doivent encore être examinées.     

La présente mission de vérification a pour but de donner l’assurance que la gestion des risques, les contrôles et les processus de gouvernance qui appuient le processus d’examen des EFVP sont efficaces, en mettant l’accent sur l’assurance de la qualité des EFVP de nature complexe axées sur les technologies de l’information (TI).

Résumé des constatations

Les principales constatations issues de la vérification sont énoncées ci-dessous.

Points forts

  • Le processus d’examen des EFVP fournit aux institutions fédérales des recommandations et des avis faciles à comprendre auxquels elles peuvent donner suite, relativement à la Loi sur la protection des renseignements personnels et aux pratiques prépondérantes en matière de protection de la vie privée.
  • Pour les EFVP hautement prioritaires et complexes axées sur les TI, le groupe d’examen des EFVP veille à consulter les intervenants compétents du Commissariat en vue d’obtenir leur avis durant le processus d’examen.   
  • Des processus ont été élaborés pour s’assurer que les examens mettent l’accent sur les EFVP se rapportant aux initiatives ayant le plus d’incidence sur la vie privée de la population canadienne. À cette fin, on a recours à un processus de triage qui évalue l’EFVP par rapport aux quatre priorités stratégiques du Commissariat ainsi que d’autres facteurs pertinents.
  • Le groupe d’examen des EFVP renseigne régulièrement d’autres directions générales du Commissariat sur les enjeux liés à la protection de la vie privée se rapportant aux EFVP soumises en participant à plusieurs comités et au moyen d’un document bimensuel intitulé Dossiers d’intérêt qui est communiqué à la haute direction du Commissariat par l’intermédiaire du Groupe de travail sur la Loi sur la protection des renseignements personnels.
  • Le groupe d’examen des EFVP a intensifié ses consultations et ses activités de sensibilisation au sein de la communauté fédérale de la protection de la vie privée en participant plus tôt dans le processus aux EFVP hautement prioritaires, notamment celles qui sont complexes; en publiant le Guide pour la présentation d’évaluations des facteurs relatifs à la vie privée; et en offrant des ateliers sur l’EFVP auxquels participe le Secrétariat du Conseil du Trésor (SCT).
  • Le groupe d’examen des EFVP offre aux employés et aux gestionnaires de la direction générale une formation qui prend diverses formes et qui lui permet de renforcer les compétences et aptitudes requises.

Constatations

  • Les dossiers d’examen des EFVP ne documentent pas systématiquement toutes les analyses ou rétroactions sur lesquelles reposent les recommandations.
  • La mesure actuelle du rendement devrait être améliorée.
  • Les rôles et les responsabilités inhérents au processus d’examen des EFVP devraient être mieux définis au sein du Commissariat.

Conclusion

À la lumière des observations susmentionnées et compte tenu de la portée générale de la vérification, le Commissariat éprouve des problèmes modérés concernant l’efficacité de sa gestion des risques, de ses contrôles et de ses processus de gouvernance actuels qui appuient le processus d’examen des EFVP, y compris le processus d’assurance de la qualité à l’appui des EFVP axées sur les TI de nature complexe. Les mesures recommandées dans le présent rapport visent à renforcer la gestion des risques, les contrôles et les processus de gouvernance qui appuient le processus d’examen des EFVP. La réponse de la direction est présentée après chaque constatation.

Le présent rapport a été élaboré et la vérification a été menée à l’intention des dirigeants du Commissariat. L’utilisation du présent rapport à d’autres fins pourrait ne pas être appropriée.

Énoncé d’assurance

Selon notre jugement professionnel, les procédures de vérification suivies et les données recueillies sont suffisantes et appropriées pour attester l'exactitude de l'opinion énoncée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées en temps et lieu, en fonction des critères de vérification préétablis convenus avec la direction. Cette opinion s’applique uniquement aux processus examinés. Les données ont été recueillies conformément à la Politique et aux directives du Conseil du Trésor ainsi qu’aux Normes relatives à la vérification interne au sein du gouvernement du Canada. Les données ont été recueillies afin de donner à la haute direction une assurance raisonnable de l’exactitude des conclusions issues de la vérification.

Objectif et portée de la vérification, et approche utilisée

Contexte

Le Commissariat à la protection de la vie privée du Canada est un agent du Parlement chargé de surveiller le respect de la Loi sur la protection des renseignements personnels, qui régit les pratiques de gestion des renseignements personnels des institutions fédérales, et de la LPRPDE, loi fédérale sur la protection des renseignements personnels applicable au secteur privé.

Le résultat stratégique visé par le Commissariat consiste à s’assurer que le droit des individus à la vie privée est protégé. À titre de défenseure du droit de la population canadienne à la vie privée, la commissaire à la protection de la vie privée est habilitée, entre autres :

  • à examiner les plaintes, à mener des vérifications et à intenter des poursuites judiciaires en vertu des deux lois fédérales susmentionnées;
  • à faire rapport publiquement sur les pratiques relatives au traitement des renseignements personnels dans les secteurs public et privé;
  • à appuyer, à effectuer et à rendre publiques des recherches sur des enjeux liés à la protection de la vie privée;
  • à sensibiliser la population aux enjeux touchant la protection de la vie privée et à l’aider à mieux les comprendre.

Par ailleurs, quatre priorités stratégiques ont été établies pour le Commissariat pour 2011-2012. Ces priorités, mises à jour chaque année, sont les suivantes :

  • concevoir, adopter et mettre en œuvre de nouveaux modèles de prestation des services afin de maximiser les résultats pour la population canadienne;
  • exercer un leadership pour promouvoir quatre aspects prioritaires en matière de protection de la vie privée (technologies de l’information, sécurité publique, intégrité et protection de l’identité et renseignements génétiques);
  • aider la population canadienne, les organisations et les institutions à prendre des décisions éclairées en matière de protection de la vie privée, aussi bien à l’échelle nationale qu’internationale;
  • renforcer et soutenir la capacité organisationnelle.

Le Commissariat a déterminé les quatre priorités stratégiques suivantes afin de centrer son approche sur les nouveaux enjeux liés à la protection de la vie privée au cours des années à venir :

  • technologies de l’information;
  • sécurité nationale;
  • intégrité et protection de l’identité / vol d’identité;
  • renseignements génétiques.

En vertu de la Directive sur l’évaluation des facteurs relatifs à la vie privée du Conseil du Trésor, les institutions fédérales doivent veiller à ce qu'avant la mise en œuvre d'une activité ou d'un programme nouveau ou ayant subi des modifications importantes comportant des renseignements personnels, on cerne, évalue et règle de manière appropriée les incidences sur la vie privée. Le SCT a produit des outils et des documents d’orientation pour faciliter la préparation des EFVP, lesquelles doivent être réalisées le plus tôt possible au cours de l’élaboration des initiatives visées. L’objectif d’une EFVP consiste à cerner les risques d’atteinte à la vie privée et à concevoir des stratégies propres à les atténuer ou à les éliminer. Les institutions fédérales doivent fournir une copie de l’EFVP approuvée au SCT et au Commissariat. Ce dernier n’approuve ni n’appuie les EFVP soumises. Il les soumet plutôt à un examen et formule des recommandations aux institutions afin qu’elles améliorent leurs pratiques en matière de protection de la vie privée. La direction générale de la vérification et de la revue est la principale responsable de l’examen des EFVP au sein du Commissariat. Sous la gouverne du directeur général, Vérification et revue, elle compte 20 ETP et est dotée d’un budget annuel d’environ 1,9 million de dollars (1,5 million de dollars pour les salaires et 400 000 $ pour les autres dépenses). Les deux gestionnaires de l’examen des EFVP, qui dirigent la section de la direction générale responsable des EFVP, sont épaulés par quatre agents d’examen de l’EFVP, soit un effectif total de six ETP.

Se reporter à l’annexe B pour avoir un aperçu du processus d’examen des EFVP, y compris les processus d’assurance de la qualité qui appuient les EFVP axées sur les TI de nature complexe.

Objectif de la vérification

La présente mission de vérification a pour but de donner l’assurance que la gestion des risques, les contrôles et les processus de gouvernance qui appuient l’examen des EFVP sont efficaces en mettant l’accent sur l’assurance de la qualité des EFVP de nature complexe axées sur les TI.

Portée de la vérification

La vérification a porté sur les aspects suivants du processus d’examen des EFVP :

  • organisation et structure de gestion;
  • plans établis à l’appui de la réalisation des objectifs;
  • programme de gestion du rendement à l’appui de l’activité;
  • perfectionnement professionnel et recours à des spécialistes d’autres domaines;
  • processus d’assurance de la qualité et d’amélioration en place. 

La vérification met particulièrement l’accent sur l’assurance de la qualité des EFVP complexes, pour lesquelles des avis techniques pointus sont obtenus, en particulier quand il s’agit d’activités ou de programmes axés sur les TI; une analyse permettant de déterminer si le Commissariat s’assure que les avis fournis sont bien évalués par ses gestionnaires et interprétés adéquatement dans le contexte de la Loi sur la protection des renseignements personnels et appuient des recommandations judicieuses.

Approche utilisée dans le cadre de la vérification

L’approche et la méthode utilisées pour la vérification sont conformes aux normes de vérification interne établies par l’Institut des vérificateurs internes (IVI) et respectent la Politique sur la vérification interne pour le gouvernement du Canada.

À titre d’agent du Parlement, le Commissariat travaille en toute indépendance du gouvernement du Canada et, de ce fait, n’est pas tenu de se conformer aux initiatives d’amélioration de la gestion proposées dans la fonction publique fédérale. Néanmoins, le Commissariat souhaite compter sur un cadre de contrôle qui reflète les pratiques prépondérantes au sein de l’industrie. Par conséquent, le cadre des contrôles de gestion de base et des critères de vérification établi par le Bureau du contrôleur général (BCG) et le Cadre de responsabilisation de gestion (CRG VII) ont été utilisés pour élaborer les critères de vérification présentés à l’annexe C. D’autres critères ont également été appliqués afin que la portée de la vérification, présentée précédemment, soit adéquate.

En fonction des risques cernés à l’étape de planification de la vérification, un programme de vérification axé sur les risques a été élaboré pour donner davantage de détails sur la façon dont l’objectif, les critères et les risques de la vérification ont été abordés. Le programme de vérification comporte les procédures de vérification suivantes :

  • examen du Rapport sur les plans et les priorités du Commissariat et du plan d’activités de la direction générale de la vérification et de la revue;
  • examen de la Fiche de rendement mensuel du Commissariat;
  • examen des documents pertinents des comités et groupes de travail;
  • examen des outils, des modèles et de nombreux autres documents se rapportant au processus d’examen des EFVP;
  • examen d’un échantillon de dossiers d’examen des EFVP pour lesquels une lettre de recommandations a été envoyée par le Commissariat aux institutions fédérales depuis avril 2010. Sur les 12 dossiers sélectionnés, sept étaient hautement prioritaires et cinq revêtaient une faible priorité. De plus, sur ces 12 dossiers, sept (hautement ou faiblement prioritaires) remontaient à avril 2011 ou après;
  • entrevues auprès d’employés du Commissariat (se reporter à l’annexe A).

La vérification a été menée selon le calendrier suivant :

  • planification : décembre 2011;
  • examen : janvier et février 2012;
  • établissement du rapport : mars 2012;
  • présentation au Comité de vérification du Commissariat : mai 2012.

Constatations et recommandations

Points forts

Le processus d’examen des EFVP comporte les points forts suivants :

  • Le processus d’examen des EFVP fournit aux institutions fédérales des recommandations et des avis faciles à comprendre auxquels elles peuvent donner suite, relativement à la Loi sur la protection des renseignements personnels et aux pratiques prépondérantes en matière de protection de la vie privée. 
  • Pour les EFVP complexes hautement prioritaires axées sur les TI, le groupe d’examen des EFVP veille à ce que les intervenants compétents du Commissariat, notamment des analystes de la technologie de la direction de l’analyse des technologies (DAT), soient consultés en vue d’obtenir leur avis durant le processus d’examen des EFVP.   
  • Des processus ont été élaborés pour s’assurer que les examens mettent l’accent sur les EFVP se rapportant aux initiatives ayant le plus d’incidence sur la vie privée de la population canadienne. À cette fin, on a recours à un processus de triage qui évalue l’EFVP par rapport aux quatre priorités stratégiques du Commissariat ainsi qu’à d’autres facteurs (p. ex. le caractère délicat de l’enjeu lié à la protection de la vie privée et le nombre de personnes touchées). En fonction du triage initial, les EFVP jugées hautement prioritaires, notamment les EFVP complexes axées sur les TI, sont examinées en détail.
  • Le groupe d’examen des EFVP renseigne régulièrement d’autres directions générales du Commissariat sur les enjeux liés à la protection de la vie privée qui ressortent des EFVP soumises. Il est représenté au sein du Groupe de travail sur la Loi sur la protection des renseignements personnels, qui se réunit toutes les deux semaines, et de chacun des quatre comités se rapportant aux quatre priorités stratégiques du Commissariat. Des réunions mensuelles ont lieu avec le personnel d’autres unités, y compris le groupe des politiques (direction générale des services juridiques, des politiques et de la recherche), des enquêteurs affectés aux dossiers liés à la Loi sur la protection des renseignements personnels (direction générale des enquêtes de la Loi sur la protection des renseignements personnels)ainsi que des analystes de recherche en TI de la DAT.  Un document bimensuel intitulé Dossiers d’intérêt est également transmis au Groupe de travail.
  • Le groupe d’examen des EFVP a intensifié ses consultations et ses activités de sensibilisation au sein de la communauté fédérale de la protection de la vie privée. En amont, il essaie de participer plus tôt aux EFVP complexes hautement prioritaires afin d’aider les institutions qui les soumettent à aborder les enjeux liés à la protection de la vie privée dès le début de l’élaboration et de la conception des initiatives et de veiller à ce que des EFVP de meilleure qualité soient soumises au Commissariat. De plus, un Guide pour la présentation d’évaluations des facteurs relatifs à la vie privée est publié à l’intention des institutions fédérales, et des ateliers conjoints entre le Commissariat et le Secrétariat du Conseil du Trésor ont eu lieu à l’intention de la communauté fédérale de la protection de la vie privée.
  • Compte tenu de l’ampleur des domaines visés par les EFVP, le groupe d’examen des EFVP a reconnu l’importance de renforcer et de maintenir les compétences et connaissances du personnel et propose aux employés et aux gestionnaires de la direction générale une formation qui prend diverses formes. Il offre une formation d’orientation aux nouveaux employés et une formation continue à l’interne prenant la forme d’ateliers portant sur des sujets comme la gestion de projets et la protection de la vie privée; de plus, le personnel participe à des conférences et séminaires externes sur la protection de la vie privée, qui sont examinés et approuvés dans le cadre du Plan de formation annuel du personnel.    

Constatations découlant de la vérification

Constatation no 1 : Les dossiers d’examen des EFVP ne documentent pas systématiquement toutes les analyses ou rétroactions sur lesquelles reposent les recommandations.

Les dossiers d’examen des EFVP ne renferment pas systématiquement les documents ou l’information nécessaires pour comprendre les mesures prises ou la rétroaction obtenue dont découlent les recommandations formulées par le Commissariat en réponse à une EFVP soumise par une institution. Par exemple, dans le cadre de discussions avec des collègues d’autres directions, on a observé que les membres du groupe d’examen des EFVP consultaient abondamment leurs collègues d’autres directions à propos des EFVP complexes; toutefois, l’équipe de vérification a relevé dans un seul des dossiers d’EFVP qu’elle a examinés de l’information témoignant de la rétroaction fournie au Groupe d’examen des EFVP par une autre direction.   

Plusieurs modèles de documents ont été élaborés pour aider le personnel à examiner les EFVP (p. ex. accusé de réception, feuille de triage, modèle d’examen des EFVP et lettres de recommandations ou de faible priorité). Ces dossiers d’examen des EFVP ne renferment pas toujours les modèles dûment remplis (p. ex. deux des 12 dossiers examinés ne renfermaient aucun accusé de réception ni aucune feuille de triage). Le modèle de lettre de recommandations, principal outil de communication officiel entre le Commissariat et les institutions fédérales, n’était pas utilisé de manière systématique. Une analyse des lettres de recommandations a révélé que certaines lettres indiquaient clairement les recommandations et les demandes de précisions, tandis que ces points étaient dans d’autres cas dispersés dans le corps de la lettre, si bien qu’il est alors plus difficile de comprendre rapidement les mesures demandées par le Commissariat.   

Dans le cas du modèle d’examen des EFVP, qui a été élaboré pour aider les agents d’examen à examiner les EFVP et à analyser les enjeux s’y rapportant, le modèle n’est pas toujours rempli (il l’a été pour seulement quatre des sept dossiers hautement prioritaires examinés). Sans ce modèle dûment rempli, il n’y a souvent au dossier aucune analyse, ni aucun cadre permettant à un examinateur de comprendre les enjeux sur lesquels s’est penché l’agent d’examen des EFVP et le raisonnement justifiant les éléments inclus ou non en fin de compte dans une lettre de recommandations.

Incidence

Le fait de ne pas disposer dans un dossier d’une documentation suffisante pour comprendre l’analyse et la rétroaction utilisées pour parvenir aux conclusions présentées dans les lettres de recommandations adressées aux institutions fédérales peut rendre le processus d’assurance de la qualité et d’examen moins efficace et efficient, en particulier pour les examens des EFVP qui sont complexes. On a constaté que la durée moyenne du processus d’assurance de la qualité et d’approbation d’une lettre de recommandations était de 60 jours (entre la transmission du dossier au gestionnaire des EFVP par l’agent d’examen et l’envoi de la lettre de recommandations à l’institution fédérale pour les dossiers hautement prioritaires soumis à la vérification). Du point de vue de la gestion des connaissances, le fait de ne pas disposer de suffisamment d’information au dossier peut empêcher de tirer parti d’une analyse effectuée à propos d’une EFVP dans le cadre d’autres EFVP qui sont de nature similaire ou connexe, en particulier en cas de roulement de personnel. 

Recommandation no 1

Établir des lignes directrices en bonne et due forme concernant l’information à verser aux dossiers d’EFVP, axée sur les observations clés essentielles à l’analyse et à l’élaboration de la lettre de recommandations. Par exemple, la rétroaction émanant d’autres directions du Commissariat ou découlant de la correspondance ou des rencontres avec les ministères ou d’autres intervenants externes devrait figurer au dossier. Il faudrait utiliser une liste de vérification ou d’autres mécanismes permettant à la personne qui examine le dossier de comprendre en un coup d’œil les rétroactions et les mesures prises relativement à l’examen de l’EFVP. De l’information plus détaillée devrait être versée aux dossiers des EFVP complexes. 

Réponse de la direction et plan d’action Responsabilité et dates limites
Nous sommes d’accord avec la recommandation. Une liste de vérification sera élaborée pendant la séance de remue-méninges pour le processus d’examen des EFVP et mise en œuvre dans le cadre de notre processus d’examen des EFVP. DGVR – 15 août 2012

Recommandation no 2

Les lettres de recommandations devraient avoir une présentation uniforme et énoncer clairement les mesures que le Commissariat demande au ministère de prendre.

Réponse de la direction et plan d’action Responsabilité et dates limites
Nous sommes d’accord avec cette recommandation et nous nous efforçons d’uniformiser la présentation. Les lettres de recommandations seront examinées pour donner l’assurance que les mesures demandées par le Commissariat sont clairement énoncées. DGVR – mai 2012

Constatation no 2 : La mesure du rendement actuelle devrait être améliorée.

Les mesures du rendement de l’examen des EFVP ont été établies dans le cadre de gestion du rendement du Commissariat, et le Rapport ministériel sur le rendement (RMR) fait état chaque année du rendement par rapport à ces indicateurs. Le cadre de gestion du rendement du Commissariat comprend un indicateur du respect des délais (pourcentage d’EFVP effectuées en moins de 120 jours) ainsi qu’un indicateur de l’efficacité des examens des EFVP en ce qui a trait à l’amélioration des pratiques gouvernementales en matière de protection de la vie privée. Selon l’objectif établi pour cet indicateur, 75 p. 100 des recommandations doivent donner lieu à une amélioration de ces pratiques. 

En ce qui concerne le respect des délais, la majorité des EFVP ne sont pas examinées en 120 jours. Par exemple, pour les 34 EFVP hautement prioritaires pour lesquelles le Commissariat a envoyé des lettres de recommandations aux institutions fédérales en 2011, l’examen a pris en moyenne bien plus que 120 jours (en partie en raison de facteurs externes) et seulement quatre ont été examinées en moins de 120 jours. On évalue également le respect des délais au moyen de la Fiche de rendement mensuel du Commissariat. Les mesures figurant dans la Fiche de rendement dépendent de l’activité (p. ex. nombre de dossiers reçus, traités, etc.) et toutes les EFVP sont considérées d’importance ou de pertinence égale dans le contexte du respect des priorités du Commissariat, peu importe leur priorité ou complexité. 

En ce qui concerne l’efficacité, le RMR de 2010-2011 n’a mesuré l’efficacité que de 12 EFVP, même si le nombre de dossiers d’EFVP hautement prioritaires examinés au cours de cet exercice est plus élevé. Selon l’analyse des dossiers d’EFVP réalisée par l’équipe de vérification, le groupe d’examen n’effectue aucun suivi auprès des institutions fédérales après l’envoi d’une lettre de recommandations, que ce soit pour déterminer dans quelle mesure les recommandations ont été acceptées ou pour rappeler aux ministères de fournir l’information complémentaire demandée (dans la majorité des lettres de recommandations, le Commissariat demande de l’information complémentaire à l’institution fédérale afin de mieux comprendre la gestion et la protection des renseignements personnels dont fait état l’EFVP). 

Le Rapport annuel au Parlement concernant la Loi sur la protection des renseignements personnels décrit également les activités du groupe d’examen des EFVP.

Incidence

Si les EFVP hautement prioritaires ne sont pas mesurées séparément, il est plus difficile de comprendre la valeur ajoutée par le groupe d’examen des EFVP et la façon dont le processus d’examen des EFVP contribue au respect des priorités du Commissariat. Sans suivi, la capacité de mesurer l’efficacité du processus d’examen des EFVP est limitée.

Recommandation no 3

Élaborer un processus de suivi en bonne et due forme auprès des institutions fédérales pour comprendre dans quelle mesure ces institutions ont mis en œuvre les recommandations formulées par le Commissariat dans le cadre du processus d’examen des EFVP

Réponse de la direction et plan d’action Responsabilité et dates limites
Nous sommes d’accord avec cette recommandation. Un processus de suivi auprès des institutions est en place, mais il n’est pas appliqué systématiquement. On fait le point sur cet aspect au cours de la réunion bimensuelle sur les EFVP pour s’assurer qu’il est appliqué systématiquement dans tous les dossiers. DGVR – déjà mise en œuvre

Recommandation no 4

Examiner le bien-fondé de la mesure du rendement se rapportant à la réalisation des examens d’EFVP en 120 jours à la lumière du rendement actuel et du besoin de s’assurer que les examens d’EFVP hautement prioritaires sont opportuns et pertinents. Envisager de mesurer séparément le rendement relatif à la réalisation des EFVP hautement prioritaires.

Réponse de la direction et plan d’action Responsabilité et dates limites
Nous sommes d’accord avec cette recommandation. Les mesures du rendement seront examinées pendant la séance de remue-méninges pour le processus d’examen des EFVP. Nous avions déjà essayé d’évaluer séparément le rendement dans le cadre de l’examen des EFVP hautement prioritaires; toutefois, cette méthode ne brossait pas un tableau complet de la charge de travail inhérente aux examens de dossiers peu prioritaires, qui nécessitent des ressources même s’ils ne sont pas aussi approfondis. Cette pratique a engendré des problèmes au moment de planifier la charge de travail et les tâches. Nous réexaminerons cette décision au cours de la séance de remue-méninges. DGVR en concertation avec la haute direction – 15 août 2012

Constatation no 3 : Les rôles et les responsabilités se rapportant au processus d’examen des EFVP devraient être mieux définis à l’échelle du Commissariat.

Le groupe d’examen des EFVP obtient régulièrement une rétroaction d’autres directions du Commissariat pour arriver à mieux comprendre les questions se rapportant aux EFVP qu’il examine, en particulier celles de nature complexe. Il consulte principalement les équipes chargées des technologies (Direction de l’analyse des technologies [DAT]) et des politiques (Direction générale des services juridiques, des politiques et de la recherche [DGSJPR]), bien qu’il demande aussi à l’occasion des avis juridiques aux services juridiques. Il n’existe aucun processus officiel pour obtenir cette rétroaction, par exemple : 

  • pour déterminer si d’autres directions du Commissariat devraient être contactées;
  • pour communiquer avec d’autres directions du Commissariat afin d’obtenir la rétroaction;
  • pour obtenir la rétroaction d’autres directions du Commissariat.

La DAT a mis au point récemment un processus à l’appui des EFVP complexes axées sur les TI sans toutefois le définir ou le documenter officiellement. En vertu de ce processus, la DAT a indiqué au groupe d’examen des EFVP qu’elle répondrait à toute demande de soutien dans les deux semaines, soit en offrant des avis sur un examen d’EFVP (sous la forme d’une note de service technique) ou, pour les EFVP nécessitant plus d’efforts, en produisant un document d’orientation pour décrire le travail requis de la part de la DAT et les délais estimatifs.

Les plans de la direction générale et les descriptions de travail des employés d’autres directions générales ne font pas précisément état de leurs exigences à l’appui du processus d’examen des EFVP.

Incidence

L’absence de mécanisme officiel de collaboration entre le groupe d’examen des EFVP et d’autres unités au sein du Commissariat accroît les risques que l’unité responsable des examens des EFVP doive attendre longtemps pour obtenir la participation d’autres directions générales du Commissariat et qu’elle ne soit pas en mesure de formuler en temps opportun des recommandations aux institutions qui ont soumis les EFVP, ce qui réduit la capacité du Commissariat à influer sur les pratiques des institutions en matière de protection de la vie privée.

Recommandation no 5

La participation d’autres directions générales du Commissariat devrait être envisagée à l’étape du triage et intégrée au modèle de triage.  

Réponse de la direction et plan d’action Responsabilité et dates limites
Nous sommes d’accord avec cette recommandation. La feuille de triage a été modifiée pour inclure les directions générales à consulter dans le cadre de l’examen. DGVR – déjà mise en œuvre

Recommandation no 6

Les responsabilités d’autres directions du Commissariat se rapportant à l’examen des EFVP devraient être définies, par exemple au moyen des plans de la direction générale ou de documents de procédure.

Réponse de la direction et plan d’action Responsabilité et dates limites
Nous sommes d’accord avec cette recommandation. Les responsabilités inhérentes à la DGSJPR et à la DAT se rapportant à l’examen des EFVP seront incluses dans les plans d’activités dans le cadre de leurs activités courantes. Direction générale de la gestion intégrée avec la participation de la DGVR, de la DGSJPR et de la DAT – juin 2012

Annexe A ̶ Personnes interrogées

Les personnes clés suivantes ont été interrogées pour les besoins de la vérification :

  • la commissaire adjointe;
  • le directeur général, Vérification et revue;
  • deux gestionnaires de l’examen des EFVP;
  • un agent d’examen des EFVP;
  • trois représentants d’autres directions du Commissariat (technologie, politiques et services juridiques) qui ont contribué au processus d’examen des EFVP;
  • les représentants de deux institutions fédérales qui soumettent souvent des EFVP au Commissariat et un représentant du groupe des Politiques de l’information et de la protection des renseignements personnels du SCT.

Annexe B ̶ Description du processus d’examen des EFVP

La description qui suit donne un aperçu du processus d’examen des EFVP, notamment les évaluations complexes qui portent sur des activités ou des programmes axés sur les technologies de l’information.

Réception

1) Le Commissariat reçoit les EFVP et envoie une lettre type à l’institution qui l’a soumise pour accuser réception de l’EFVP.

Préparation du dossier

2) Un dossier papier est préparé et un numéro de dossier est attribué à l’EFVP. Le dossier renferme l’EFVP, les documents d’appui et les communications entre le Commissariat et l’institution. Les documents d’appui sont aussi stockés sous forme électronique dans CCM Mercury dans un fichier portant le même numéro que celui de l’EFVP.

Triage

3) Les EFVP reçues sont confiées à un gestionnaire de l’examen des EFVP, qui effectue un triage.

4) Les EFVP sont triées à l’aide du modèle pour l’examen des EFVP en fonction des facteurs suivants : conformité aux quatre priorités stratégiques du Commissariat, intérêt public, intérêt pour le Parlement, nombre de personnes touchées, et caractère délicat de la question. En fonction du triage, on accorde un niveau de priorité aux EFVP, soit faible, moyen ou élevé. Les EFVP jugées hautement prioritaires sont communiquées dans le document Dossiers d’intérêt, qui est transmis au Groupe de travail sur la Loi sur la protection des renseignements personnels. Les EFVP complexes sont souvent jugées hautement prioritaires si le domaine le justifie.

5) Les gestionnaires de l’examen des EFVP confient les EFVP aux agents d’examen en fonction de leur disponibilité et de leurs domaines d’expertise, puisque certains connaissent à fond certains enjeux relatifs à la protection de la vie privée (p. ex. questions se rapportant aux organismes de soins de santé).

Analyse des EFVP

6) Il est possible d’examiner les EFVP à l’aide du modèle d’examen des EFVP. Les agents d’examen chevronnés peuvent choisir de ne pas utiliser ce modèle, mais ils suivent généralement le même processus. On doit notamment déterminer si le critère en quatre points a été respecté et évaluer globalement l’EFVP. Les EFVP jugées hautement prioritaires sont examinées plus en détail.

7) Pendant l’examen des EFVP, le groupe d’examen peut contacter d’autres directions du Commissariat pour obtenir leur appui, en particulier dans le cas des EFVP complexes. La direction de l’analyse des technologies et la direction générale des services juridiques, des politiques et de la recherche (principalement une sous-fonction des Politiques) sont souvent sollicitées pour les examens des EFVP.

Lettre de recommandations

8) Quand une EFVP est jugée faiblement prioritaire, on envoie à l’institution qui l’a soumise une lettre type de faible priorité indiquant que l’EFVP ne fera pas l’objet d’un examen approfondi et que le Commissariat considère le dossier comme fermé. La lettre concernant l’EFVP de faible priorité peut inclure des commentaires sur l’EFVP pour conseiller à l’institution qui l’a soumise de mettre en œuvre certaines mesures relevées dans l’EFVP.

9) Quand une EFVP est jugée hautement prioritaire, on envoie à l’institution qui l’a soumise une lettre faisant état des recommandations à son intention et des demandes d’information complémentaire pour clarifier certaines questions, en particulier pour les EFVP plus complexes. Le Commissariat précise la date à laquelle l’institution qui a soumis l’EFVP doit répondre à sa lettre de recommandations.

10) La lettre de recommandations est examinée et approuvée officiellement par l’un des gestionnaires de l’examen des EFVP et le directeur général, direction générale de la vérification et de la revue. En fonction de la priorité accordée à l’EFVP, la commissaire adjointe peut également examiner les recommandations avant qu’elles ne soient communiquées à l’institution qui a soumis l’EFVP.

Lettre de suivi

11) Si l’institution qui a soumis l’EFVP ne répond pas à la lettre de recommandations, une lettre de rappel type peut lui être envoyée. Si elle ne répond toujours pas, on peut lui envoyer une deuxième lettre de suivi type indiquant que le dossier sera clos et qu’aucune réponse n’a été fournie et rappelant à l’institution que le Commissariat est un agent du Parlement.

Date de modification :