Sondage d'opinion publique

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Enquête qualitative auprès des agents fédéraux de l’accès à l’information et de la protection des renseignements personnels (AIPRP)

31 mars 2011

Rapport préparé pour le Commissariat à la protection de la vie
privée du Canada par Phoenix Strategic Perspectives Inc.


Résumé

Le Commissariat à la protection de la vie privée du Canada (CPVP ou le Commissariat) a chargé Phoenix SPI de réaliser une enquête qualitative auprès des agents fédéraux responsables de l’accès à l’information et de la protection des renseignements personnels (AIPRP). L’enquête s’est concentrée sur les ministères dont le mandat et les activités sont liés à la protection des renseignements personnels. Au total, entre le 2 et le 30 mars 2011, 20 entrevues en profondeur ont été réalisées auprès de représentants du groupe cible, à savoir des ministères ou organismes choisis en fonction de leur diversité au chapitre de la taille et du nombre de plaintes reçues relativement à la protection des renseignements personnels. Grâce aux conclusions issues de cette enquête, le CPVP pourra avoir une meilleure compréhension de l’AIPRP de même qu’améliorer ses activités de communication et de sensibilisation visant ce groupe professionnel.

Il s’agit d’une enquête de nature qualitative, et non pas quantitative. Les résultats reflètent donc l’opinion des participants au sujet des questions étudiées, mais on ne peut pas les appliquer de façon générale à l’ensemble des agents fédéraux responsables de l’AIPRP.

Renseignements généraux au sujet des unités de l’AIPRP

Les unités de l’AIPRP représentées dans l’enquête sont de taille très variable, les plus petites ne comptant que deux employés, et les plus grandes, jusqu’à 52 employés. Bien que leur taille ne soit pas uniforme, la plupart d’entre elles comptent au moins dix employés. Il s’agit dans la plupart des cas d’employés à temps plein, mais certaines unités comptent également des consultants de l’extérieur. Certaines grandes organisations ont divisé le travail, de sorte qu’une section s’occupe exclusivement de la protection des renseignements personnels et l’autre, de l’accès à l’information. Dans les plus petites unités de l’AIPRP, les employés s’occupent en général de ces deux types de dossiers.

Tout comme leur taille, le budget des unités de l’AIPRP varie considérablement. Les budgets, incluant les salaires et les dépenses non salariales, vont d’un minimum de 200 000 $ à un maximum d’environ 8 millions de dollars. La plus grande part du budget est consacrée aux salaires, l’autre partie étant affectée au fonctionnement et à l’administration. Certains participants ont précisé que leur budget était essentiellement consacré à l’accès à l’information plutôt qu’à la protection des renseignements personnels.

La proportion de temps que chaque unité consacre à la protection des renseignements personnels par rapport à l’accès à l’information varie selon l’organisation, mais, dans la plupart des cas, les unités consacrent plus de temps aux questions liées à l’accès à l’information. Cependant, même chez ces dernières, les proportions varient entre 15 à 40 % du temps de travail qui est consacré à la protection des renseignements personnels. D’autres unités s’occupent à temps égal de la protection des renseignements personnels et de l’accès à l’information, et quelques-unes seulement disent consacrer généralement plus de temps à la protection des renseignements personnels. En outre, en plus des variations entre les différentes organisations, on observe des variations à l’intérieur des organisations en ce qui concerne le temps consacré à la protection des renseignements personnels par rapport à l’accès à l’information. Les participants imputent ces variations surtout à des enjeux ou des événements particuliers, mais des arriérés de travail peuvent aussi avoir une incidence.

De manière générale, les exigences liées aux questions de protection des renseignements personnels et d’accès à l’information ne tendent pas à entraîner des conflits dans le travail quotidien des participants. Cela est vrai surtout, mais pas uniquement, dans des organisations où des unités distinctes s’occupent de la protection des renseignements personnels et de l’accès à l’information. Lorsque des conflits surviennent, il faut habituellement gérer les ressources de façon à répondre aux deux types de priorités.

Tous les participants prennent part à l’exécution du processus d’évaluation des facteurs relatifs à la vie privée (EFVP) dans leur organisation, mais leur participation se limite habituellement à des activités de gestion et de supervision. Aucun des agents interviewés ne participe directement à la préparation de ces évaluations. Cela dit, ils déclarent tous que les autres membres de leur organisation leur demandent des conseils ou des commentaires au sujet de l’élaboration de ces EFVP. Cependant, la fréquence de ces demandes varie selon le nombre de changements apportés au sein de l’organisation (p. ex. mise à niveau des TI, création de nouvelles bases de données) ou encore de la nature des EFVP en cours de préparation (celles-ci peuvent être simples ou complexes). La fréquence des communications à ce sujet varie : les communications peuvent être régulières ou quasi quotidiennes, hebdomadaires ou mensuelles ou se limiter à quelques communications par année.

Dans un certain nombre des organisations représentées dans le cadre de l’enquête, l’unité de l’AIPRP se trouve à faire partie des Services ministériels ou du Secrétariat ministériel. Dans d’autres cas, les unités de l’AIPRP font partie de la Direction de la gestion de l’information ou de la Direction des affaires publiques.

Formation et perfectionnement professionnel

Tous les participants ont déclaré qu’eux-mêmes ainsi que d’autres membres de leur unité avaient suivi des formations liées à leurs responsabilités en matière de protection des renseignements personnels. Cependant, il n’y a pas d’uniformité dans la fréquence de ces formations. La fréquence tend à dépendre d’une diversité de facteurs, dont le contenu ou le sujet de la formation, sa pertinence ou son importance perçues, sa forme (p. ex. ateliers d’une demi-journée ou cours de trois jours), le moment où elle est offerte, sa disponibilité et ses coûts.

Les participants font en général une distinction entre la formation interne et la formation externe. Du côté des fournisseurs externes, les participants et leur personnel ont en général suivi des cours sur l’AIPRP offerts par les mêmes fournisseurs ou des fournisseurs semblables. Ces fournisseurs sont entre autres le Secrétariat du Conseil du Trésor (p. ex. des réunions de la collectivité de l’AIPRP, des séances de formation, l’outil d’apprentissage électronique sur l’EFVP), l’École de la fonction publique du Canada, des consultants privés (habituellement nommés, y compris une personne en particulier), le programme d’accréditation de l’Université de l’Alberta, des conférences et le CPVP (p. ex. un atelier d’une journée sur l’EFVP donné à l’intention des employés fédéraux).

En plus de ces formations externes, presque tous les participants ont parlé de formations internes offertes au personnel. Ils les décrivaient parfois comme des cours informels et ponctuels, mais les considéraient néanmoins comme très importants. Il s’agissait généralement de formations en cours d’emploi, qui prenaient souvent la forme d’un encadrement par des employés d’expérience, parfois dans le cadre d’un plan d’apprentissage individuel. D’autres types de formation internes ont été mentionnés relativement souvent : des séances ou des ateliers de formation ou d'information portant sur des cas précis liés à l’accès à l’information ou à la protection des renseignements personnels, une formation générale relative à la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information et leurs répercussions sur les programmes et les initiatives, une formation sur des dispositions particulières de ces lois et des séances d’orientation à l’intention des nouveaux employés. Certains participants ont également parlé de séances de sensibilisation ou d’information en matière de protection des renseignements personnels ou d’accès à l’information visant l’ensemble de l’effectif du ministère.

Les participants n’ont pas formulé d’opinions catégoriques au sujet de la pertinence ou du caractère adéquat des formations qu’ils ont suivies ou que leur personnel a suivies. Dans la plupart des cas, cette formation était jugée nécessaire, mais insuffisante pour préparer le personnel à comprendre et à traiter les questions liées à la protection des renseignements personnels. Les participants ont souvent dit qu’en plus de la formation, l’expérience acquise en cours d’emploi était essentielle au perfectionnement d’un bon agent de protection des renseignements personnels. En effet, le traitement de dossiers liés à la protection des renseignements personnels suppose la prise en compte de particularités, de détails, de points précis, d’exceptions et d’exclusions auxquels aucune formation ne peut adéquatement préparer les agents.

Les aspects à l’égard desquels les participants ont réclamé une formation supplémentaire pour eux ou pour leur personnel tendaient à toucher davantage à des questions précises; ils disaient souvent qu’ils aimeraient une formation plus « pratique » et moins « théorique » (p. ex. l’application de dispositions particulières de la Loi sur la protection des renseignements personnels, les exclusions et exceptions prévues par la loi, les nouveaux enjeux ou les enjeux naissants, la protection des renseignements personnels dans les médias sociaux, la préparation d’EFVP, etc.).

Les participants étaient en général au courant de l’existence d’une accréditation pour les professionnels de la protection des renseignements personnels. Ils connaissaient généralement le programme d’accréditation offert par l’Université de l’Alberta (et certains l’avaient suivi). Peu de participants connaissaient le programme d’accréditation offert par l’Association canadienne des administrateurs professionnels de l’accès à l’information et de la protection des renseignements personnels (ACAPAP) ou par l’International Association of Privacy Professionals (IAPP). Quelques participants pensaient qu’il était possible d’obtenir une accréditation par le truchement de l’École de la fonction publique du Canada.

Parmi les participants qui connaissaient ces programmes (sans les avoir suivis), l’intérêt à obtenir une accréditation était limité. D’après eux, l’obtention d’une accréditation professionnelle n’améliorerait pas de façon notable leurs compétences professionnelles. Certains ont ajouté qu’ils avaient acquis suffisamment d’expertise dans leur domaine ou estimaient que seule l’expérience pratique pouvait leur permettre d’acquérir des compétences professionnelles supplémentaires utiles.

La plupart des participants ont dit qu’eux-mêmes ou des membres de leur personnel (mais pas nécessairement tous) faisaient partie d’une association professionnelle quelconque. À de rares exceptions près, ils ont dit qu’eux-mêmes ou les membres de leur personnel appartenaient à l’Association canadienne des administrateurs professionnels de l’accès à l’information et de la protection des renseignements personnels (ACAPAP), à l’International Association of Privacy Professionals (IAPP) ou à ces deux associations.

Un petit nombre seulement de participants ont dit qu’eux-mêmes ou des membres de leur personnel entretenaient des relations avec le milieu de la protection des renseignements personnels à l’extérieur du gouvernement fédéral. Compte tenu que leur univers est régi par la Loi sur la protection des renseignements personnels, leurs activités de réseautage tendent à se limiter aux autres personnes régies par cette loi, par exemple à des membres du personnel travaillant sein d’autres gouvernements. Au-delà de cela, les seules occasions de communication ou de réseautage à l’extérieur du gouvernement sont notamment les réunions dans le cadre de conférences ou de colloques.

Types d’enjeux liés à la protection des renseignements personnels

Les participants ont recensé toute une série de grands enjeux en matière de protection des renseignements personnels auxquels leur unité doit faire face régulièrement. On peut regrouper ces enjeux en cinq catégories. Les participants ont habituellement nommé des enjeux qui entrent dans une ou deux catégories, mais quelques-uns ont nommé des enjeux clés correspondant à trois catégories ou plus. Voici une liste partielle des principaux enjeux en matière de protection des renseignements personnels :

  • Évaluations des facteurs relatifs à la vie privée : c’est l’enjeu qui est revenu le plus souvent, et c’est le seul qui a été mentionné par presque tous les participants, qui ont mis l’accent sur la capacité de repérer et d’écarter les risques liés à la protection des renseignements personnels découlant de la refonte de programmes et de services. Certains participants ont ajouté qu’un problème important tient au fait que les gens qui réalisent les EFVP ne sont pas des experts dans le domaine et ont donc besoin d’un soutien considérable.
  • Assurer la sécurité des renseignements personnels : selon bon nombre des participants, l’un des enjeux principaux, et souvent le principal enjeu, consiste à assurer la sécurité des renseignements personnels recueillis et stockés dans des banques de données ou des fichiers de renseignements personnels.
  • Enjeux touchant la communication des renseignements personnels : il s’agit du traitement des demandes de renseignements personnels et de la décision à prendre au sujet de la communication des renseignements (dans certains cas, sans le consentement de la personne concernée).
  • Plaintes liées à la protection des renseignements personnels : certains participants ont dit que les plaintes constituaient pour eux le principal enjeu lié à la protection des renseignements personnels.
  • Utilisation appropriée des renseignements personnels : pour certains participants, le principal enjeu consiste à s’assurer que les renseignements personnels recueillis sont utilisés de façon appropriée.

Les participants ont recensé collectivement toute une gamme de défis qu’ils doivent relever en termes de la protection des renseignements personnels, bien que la plupart n’en aient mentionné qu’un seul. Voici une liste partielle des défis mentionnés :

  • Évaluations des facteurs relatifs à la vie privée : certains participants ont dit que le processus d’EFVP représentait un grand défi, pour toutes sortes de raisons, entre autres l’ampleur du travail que cela exige, le manque d’expertise (des personnes qui exécutent le processus d’EFVP), le manque de ressources ou d’orientation dans ce domaine et les contradictions dans les exigences (du SCT et du CPVP).
  • Défis opérationnels : certains participants ont affirmé que le principal défi est de nature opérationnelle, en ce qu’ils doivent assurer la protection de grands volumes de renseignements personnels qui sont utilisés et partagés chaque jour par divers intervenants. Étant donné le grand volume d’information en circulation, le défi consiste à éviter les atteintes (accidentelles ou criminelles) à la protection des données dont les conséquences pourraient être désastreuses.
  • Caractère délicat des renseignements personnels : pour certains participants, le respect du caractère délicat des renseignements personnels est un défi de taille. Ils considèrent que c’est là une conséquence de l’importance attribuée au droit à la vie privée et à sa protection.
  • Ressources humaines : il est parfois difficile d’assumer toutes les responsabilités liées à la protection des renseignements personnels en raison de problèmes de ressources humaines (manque de personnel, roulement du personnel, difficultés à l’égard du maintien en poste du personnel).
  • Arriéré des demandes d’AIPRP.
  • Nouveaux enjeux et enjeux naissants (voir ci-dessous).

Les participants ont mentionné divers nouveaux enjeux et enjeux naissants liés à la protection des renseignements personnels auxquels ils doivent faire face ou auxquels ils s’attendent à devoir faire face :

  • Trouver l’équilibre entre la protection des renseignements personnels et la sécurité publique : l’un des enjeux les plus fréquemment mentionnés concerne l’importance de l’équilibre entre le droit à la vie privée et le besoin d’assurer la sécurité publique. Il ne s’agit pas nécessairement d’un nouvel enjeu, mais il revêt une importance accrue du fait de l’augmentation des inquiétudes liées au terrorisme.
  • Assurer la protection des renseignements personnels tout en utilisant les médias sociaux : un autre enjeu souvent mentionné concerne le besoin d’assurer la protection des renseignements personnels dans le contexte de l’utilisation par le gouvernement des médias sociaux pour mobiliser les citoyens et interagir avec eux.
  • Assurer la protection des renseignements personnels proportionnellement à l’augmentation de la capacité de collecte de renseignements : bon nombre de participants ont fait remarquer que la capacité de collecte et de stockage des renseignements personnels augmentait et qu’il fallait en conséquence multiplier les mesures de protection de ces renseignements.
  • Assurer la protection des renseignements personnels proportionnellement à l’augmentation de la capacité de surveillance : certains participants estiment que la capacité accrue du gouvernement d’assurer une surveillance grâce à la technologie constitue un enjeu émergent primordial. Entre autres exemples, mentionnons les systèmes de positionnement global (GPS), les technologies de surveillance de la circulation, les inforobots de recherche Web et le contrôle des sites des médias sociaux.
  • Renseignements génétiques : quelques participants ont dit que le stockage de renseignements génétiques repoussait les frontières du monde de la protection des renseignements personnels et qu’il s’agissait d’un domaine dont on ignore encore toute l’ampleur des répercussions sur la vie privée.
  • Besoin de recruter et de former des experts de la protection des renseignements personnels : certains participants ont déclaré que l’un des nouveaux défis auxquels ils font face était le recrutement et le perfectionnement de personnes intéressées à s’occuper des questions liées à la protection des renseignements personnels susmentionnées (entre autres questions).

Interactions avec le Commissariat à la protection de la vie privée

La fréquence des communications entre les participants ou d’autres membres de leur unité et le CPVP varie considérablement. Un certain nombre disent communiquer fréquemment ou régulièrement avec le Commissariat, alors que d’autres qualifient ces communications de périodiques, d’irrégulières ou de rares. Ils communiquent avec le CPVP pour toutes sortes de raisons, entre autres les questions liées aux EFVP, les demandes d’orientation ou de conseil de nature générale, la participation à des consultations, des échanges concernant des atteintes à la protection des données, des plaintes, des vérifications et des enquêtes, ou encore la participation aux ateliers ou exposés du CPVP. Les échanges se font en général par courriel, par téléphone et en personne.

Pratiquement tous les participants ont dit qu’eux-mêmes ou des membres de leur personnel utilisaient ou avaient utilisé les ressources ou les outils fournis par le CPVP. Toutefois, ils ont dit ne pas avoir tendance à s’en servir régulièrement. Parmi les ressources utilisées, mentionnons les rapports et publications, les vidéos, les documents sur les pratiques exemplaires, les résumés de conclusions d’enquête, les conclusions de la commissaire, les jeux-questionnaires, les ateliers d’orientation concernant les EFVP, les conférences ainsi que les renseignements sur les réseaux sociaux, les atteintes à la protection des données et le vol d’identité. Certains participants disent qu’eux‑mêmes ou des membres de leur personnel consultent périodiquement le site Web du CPVP pour se tenir au courant des nouveautés. Lorsqu’il est question de la façon dont ils utilisent les ressources du CPVP, de nombreux participants répètent qu’ils communiquent avec le personnel du Commissariat pour obtenir une orientation ou des conseils sur divers sujets.

Dans l'ensemble, les participants sont satisfaits des ressources du CPVP qu’ils ont utilisées. L’impression générale est qu’il s’agit de ressources informatives qui fournissent des directives générales et qui permettent aux praticiens de se tenir au courant des développements dans le domaine. En même temps, les participants sont généralement d’avis que ces ressources tendent à être de nature générale, c’est-à-dire qu’ils n’y trouvent pas toujours suffisamment de détails ou de précisions pour les aider à régler une question particulière.

En ce qui concerne les aspects positifs de leurs interactions avec le CPVP, les participants ont le plus souvent mentionné deux des forces de l’organisation : son ouverture (y compris sa volonté d’aider) et son professionnalisme. En outre, ils étaient généralement d’avis que le CPVP comprend le milieu dans lequel évoluent les fonctionnaires chargés de la protection des renseignements personnels. Quant aux aspects négatifs de leurs interactions avec le CPVP, les participants ont dit le plus souvent que le CPVP, même s’il désire clairement les aider, tend à être réticent à donner des conseils concrets et à s’engager.

Les participants ont à plusieurs reprises exprimé l’opinion générale selon laquelle le CPVP devrait jouer un rôle de chef de file en ce qui concerne le soutien, la sensibilisation et l’orientation touchant les enjeux liés à la protection des renseignements personnels. En effet, nombre d’entre eux ont ajouté que c’est généralement pour ces motifs qu’ils communiquent avec le CPVP. Certains participants ont précisé aussitôt que cela pourrait créer des tensions avec le Secrétariat du Conseil du Trésor, mais qu’ils considéraient le CPVP comme l’expert des questions liées à la protection des renseignements personnels. Plus particulièrement, ils ont mentionné les attentes suivantes concernant le Commissariat : augmentation de l’engagement, rôle accru au chapitre de la sensibilisation et de la formation, prestations de conseils, prévisions et analyses des tendances, centralisation de l’information et réseautage avec d’autres commissariats à la protection de la vie privée. Les participants ont mentionné en particulier deux services que le CPVP devrait offrir afin d’améliorer son travail dans le domaine : le premier service, mentionné relativement souvent, concerne l’aide à la préparation des EFVP; l’autre concerne un outil d’aide à l’évaluation des risques pour ce qui est de la protection des renseignements personnels. Les participants n’ont pas fourni d’autres détails, mais beaucoup répètent que le CPVP devrait mettre l’accent sur la sensibilisation et la formation à l’intention tant des agents responsables de l’AIPRP que du grand public.

Introduction

Le Commissariat à la protection de la vie privée (CPVP ou le Commissariat) du Canada a demandé à Phoenix SPI de mener une enquête qualitative auprès des agents fédéraux responsables de l’accès à l’information et de la protection des renseignements personnels (AIPRP).

Contexte et objectifs

Le CPVP a pour mission de défendre le droit des Canadiennes et des Canadiens à la vie privée et possède le pouvoir d’enquêter sur le traitement des renseignements personnels dans les secteurs tant public que privé. Son mandat consiste à protéger et à promouvoir le droit des personnes à la vie privée. Même si le Secrétariat du Conseil du Trésor a l’ultime responsabilité des fonctions touchant l’accès à l’information et la protection des renseignements personnels (AIPRP) au sein du gouvernement fédéral, le CPVP communique de façon régulière avec les organisations du gouvernement fédéral responsables de l’AIPRP.

Dans le but d’améliorer ses initiatives de communication et d’engagement visant ce public, le CPVP a voulu mener une enquête qualitative auprès des agents fédéraux responsables de l’AIPRP afin de mieux comprendre les enjeux propres au contexte de travail des organes ministériels s’occupant de ces questions. 

Plus précisément, l’enquête a été conçue dans le but d’obtenir des agents responsables de l’AIPRP les types de renseignements suivants :

  • la taille de leur organisation, y compris le nombre d’employés affectés à l’AIPRP et l’ampleur du budget;
  • le temps qu’ils consacrent à la protection des renseignements personnels par rapport à l’accès à l’information;
  • si d’autres employés de leur ministère ou organisme leur demandent des conseils ou des commentaires au moment d’élaborer des évaluations des facteurs relatifs à la vie privée (EFVP), et la mesure dans laquelle ils participent à l’exécution du processus d’EFVP au sein de leur organisation;
  • s’ils suivent régulièrement des formations sur la protection de la vie privée, quels sont les fournisseurs, et s’ils estiment qu’on leur propose suffisamment de formation;
  • les questions liées à l’accréditation et à l’appartenance à des associations professionnelles;
  • les principales questions liées à la protection des renseignements personnels auxquelles ils font face de façon régulière ainsi que tous les nouveaux enjeux ou enjeux naissants;
  • la nature et l’étendue de leurs interactions avec le CPVP et leur satisfaction par rapport aux services reçus;
  • s’ils utilisent le matériel fourni par le CPVP dans leur travail, et dans quelle mesure;
  • leurs attentes par rapport au CPVP;
  • si le CPVP peut leur offrir des services supplémentaires pour faciliter leur travail dans le domaine de la protection des renseignements personnels.

Les résultats de cette enquête aideront le CPVP à peaufiner et à améliorer ses activités de communication et d’engagement visant la collectivité fédérale de l’AIPRP et à mieux connaître ce milieu.

Conception de l’enquête

Le public cible de cette enquête est la collectivité des agents fédéraux responsables de l’AIPRP. Au sein de ce groupe, l’accent a été mis sur les ministères dont le mandat et les activités touchent à des questions liées à la protection des renseignements personnels. Le CPVP désirait également obtenir des statistiques comparatives sur les ministères et organismes selon leur taille et le nombre de plaintes liées à la protection des renseignements personnels qu’ils reçoivent Note de bas de page 1.

Dans le but d’atteindre les objectifs de l’enquête, une série d’entrevues en profondeur a été réalisée auprès de représentants du public cible. Les spécifications suivantes s’appliquaient à l’enquête :

  • Au total, entre le 2 et le 30 mars 2011, 20 entrevues en profondeur ont été réalisées après de représentants du public cible.
  • Les entretiens ont duré en moyenne 45 minutes.
  • Toutes les entrevues ont été réalisées par le personnel de recherche de Phoenix (plutôt que par des intervieweurs payés à l’heure et travaillant par téléphone).
  • Les entretiens se sont déroulés dans la langue officielle choisie par le participant. Au total, 16 entrevues ont été réalisées en anglais, et quatre, en français.
  • Le tableau suivant décrit la base d’échantillonnage établie pour les entrevues en profondeur et indique dans quelle mesure les diverses cibles ont été atteintes.
  • Base d’échantillonnage

    Critères

    Nombre d’entrevues prévu

    Nombre d’entrevues réel

     

    Nombre de plaintes (2009-2010)

     

     

    Plus de 10 plaintes

    10

    10

    De 5 à 10 plaintes

    6

    6

    Quatre plaintes ou moins

    4

    4

    Total

    20

    20

     

    Taille de l’organisation

     

     

    Grande

    6

    6

    Moyenne

    10

    10

    Petite

    4

    4

    Total

    20

    20

  • Les participants admissibles étaient des coordonnateurs de l’AIPRP ou leurs remplaçants désignés (dans la mesure où ceux-ci pouvaient formuler des commentaires intéressants sur les questions à l’étude). Les coordonnées des agents fédéraux de l’AIPRP proviennent du site Web du Secrétariat du Conseil du Trésor du Canada : (http://www.tbs-sct.gc.ca/atip-aiprp/apps/coords/index-fra.asp).
  • Avant de commencer l’enquête, une lettre d’information a été envoyée aux participants potentiels pour les renseigner au sujet de l’enquête et les inviter à y participer. La lettre, signée par la directrice des communications du CPVP, a été envoyée par Phoenix. Cette lettre expliquait le contexte et le but de l’enquête, présentait Phoenix comme l’entreprise chargée de la réaliser, précisait que la confidentialité de leurs propos serait protégée, encourageait la participation et fournissait les coordonnées d’un employé du CPVP pouvant répondre à toute question au sujet de l’enquête.
  • Après l’envoi de la lettre d'information, le personnel de Phoenix a communiqué par téléphone avec les participants potentiels pour confirmer leur participation à l’enquête et fixer le moment de l’entrevue.
  • Tous les participants ont reçu un court courriel de confirmation précisant le moment de l’entrevue. Une copie du guide d’entrevue a été jointe à ce courriel afin que les participants puissent fournir des réponses et formuler des commentaires après mûre réflexion.
  • Les entrevues ont porté principalement sur les responsabilités des participants sur le plan de la protection des renseignements personnels plutôt que sur leurs responsabilités au regard de l’accès à l’information.
  • Les quelques entrevues initiales ont servi de mise à l’essai du guide d’entrevue pour que les chercheurs puissent y apporter des modifications, le cas échéant. Aucun changement n’a été apporté au guide à la suite de ces premières entrevues.

Il s’agit d’une enquête de nature qualitative et non pas quantitative. Les résultats reflètent donc l’opinion des participants au sujet des questions étudiées, mais on ne peut pas les appliquer de façon générale à l’ensemble des agents fédéraux responsables de l’AIPRP.

Le rapport comprend les annexes suivantes :

Renseignements généraux au sujet des unités de l’AIPRP

La présente section fournit des renseignements généraux sur l’organisation de la fonction d’AIPRP dans les organisations où travaillent les participants.

Taille des unités de l’AIPRP

La taille des unités de l’AIPRP représentées dans la présente étude varie selon les ministères et organismes. La taille des unités est déterminée en fonction du nombre d’employés chargés des questions liées à l’AIPRP; les plus petites en comptent seulement deux, et les plus grandes, jusqu’à 52. Malgré l’absence d’uniformité à ce chapitre, il reste que la plupart des unités comptent au moins dix personnes. La plupart (et, dans certains cas, la totalité) des personnes s’occupant des questions liées à l’AIPRP sont des employés à temps plein. Cependant, il s’agit dans certains cas de consultants embauchés pour s’occuper de questions liées à l’AIPRP.

Dans certains cas, en général dans les organisations où beaucoup d’employés s’occupent de l’AIPRP, le travail a été divisé : une section ou unité s’occupe exclusivement de la protection des renseignements personnels, et une autre, de l’accès à l’information. Dans d’autres organisations, en général celles qui comptent une petite unité de l’AIPRP, les employés tendent à s’occuper des deux types de questions.

Pendant les discussions concernant la taille de leur unité de l’AIPRP respective, certains participants ont précisé que celle-ci ne fonctionnait pas toujours à pleine capacité. Autrement dit, le nombre de personnes chargées des questions liées à l’AIPRP peut être ou est inférieur au nombre de postes réservés à ces questions. Quelques participants ont ajouté que le maintien en poste du personnel représentait un défi — situation sur laquelle ils se sont attardés, plus tard, en réponse à des questions plus précises sur les défis qu’ils devaient relever au chapitre de la protection des renseignements personnels.

Budget des unités de l’AIPRP

Tout comme leur taille, le budget des unités de l’AIPRP varie considérablement. Les budgets (comprenant les salaires et les dépenses non salariales) s’étendaient d’un minimum de 200 000 $ à un maximum d’environ 8 millions de dollars. La plus grande partie du budget est consacrée aux salaires, et le reste, au fonctionnement et à l’administration. Certains participants ont souligné que leur budget était essentiellement consacré aux questions liées à l’accès à l’information plutôt qu’à celles touchant la protection des renseignements personnels.

Responsabilités liées à l’AIPRP

La plupart des participants à l’étude sont des directeurs ayant la responsabilité générale des questions liées à l’AIPRP au sein de leur organisation. Les autres sont des gestionnaires détenant aussi de telles responsabilités ou s’occupant plus particulièrement des questions liées à la protection des renseignements personnels. Pour décrire leurs responsabilités, les directeurs ont en général formulé quelques-uns ou la totalité des énoncés suivants :

  • déléguer des responsabilités;
  • surveiller le budget;
  • contrôler ou coordonner la conformité avec la Loi sur la protection des renseignements personnels;
  • superviser l’ensemble des demandes liées à l’AIPRP;
  • élaborer des politiques et des procédures internes ainsi que des lignes directrices pour assurer la mise en œuvre de la Loi sur la protection des renseignements personnels;
  • agir à titre de porte-parole du ministère ou de l’organisme auprès d’autres organisations gouvernementales;
  • répondre aux demandes de consultation présentées par d’autres ministères et organismes;
  • superviser l’élaboration des évaluations des facteurs relatifs à la vie privée (EFVP);
  • superviser la formation;
  • superviser l’élaboration du rapport annuel présenté au Parlement au sujet de la protection des renseignements personnels;
  • renseigner la haute direction sur les questions liées à l’AIPRP.

De leur côté, les gestionnaires ayant participé à l’étude ont décrit par quelques‑uns ou la totalité des énoncés suivants leurs responsabilités :

  • traiter les demandes présentées en vertu de la Loi sur la protection des renseignements personnels;
  • promouvoir la Loi sur la protection des renseignements personnels au sein de leur ministère ou organisme (p. ex. par le truchement de séances de sensibilisation);
  • élaborer des outils ou assurer la formation à l’interne;
  • fournir des conseils touchant les évaluations des facteurs relatifs à la vie privée;
  • prendre des mesures en cas d’atteinte à la protection des données ou de plainte;
  • gérer les dossiers et les bases de données.

Le temps consacré aux questions de protection des renseignements personnels est variable

Le temps que chaque unité consacre aux questions liées à la protection des renseignements personnels par rapport aux questions d’accès à l’information varie d’un organisme à un autre, mais la plupart des participants disent que leur unité consacre proportionnellement plus de temps à l’accès à l’information qu’à la protection des renseignements personnels; toutefois, même dans ce groupe, la proportion varie de 15 % à 40 %. Certains participants disent consacrer à peu près autant de temps aux deux questions, et quelques-uns seulement disent consacrer plus de temps à la protection des renseignements personnels qu’à l’accès (en consacrant de 60 à 75 % de leur temps de travail aux questions liées à la protection des renseignements personnels).

Certains participants ont dit que la question ne s’appliquait pas à leur situation, précisant que des unités différentes s’occupent de la protection des renseignements personnels et de l’accès à l’information. Autrement dit, l’unité qui s’occupe de la protection des renseignements personnels consacre tout son temps à ces questions, et l’unité responsable de l’accès à l’information fait de même. Quelques participants ont ajouté que des ressources pouvaient être échangées à l’occasion entre les deux unités.

Les variations du temps consacré à la protection des renseignements personnels ou à l’accès à l’information découlent souvent d’enjeux ou d’événements particuliers

En plus de varier d’un organisme à un autre, la part de temps consacrée à la protection des renseignements personnels ou à l’accès à l’information peut varier au sein d’une organisation. Les participants imputent ces changements surtout à des enjeux ou à des événements particuliers. Par exemple, une question ou un événement donné peut entraîner l’augmentation du nombre de demandes liées à la protection des renseignements personnels ou à l’accès à l’information, accroissant du même coup la part de temps consacrée à une catégorie ou à l’autre. De la même façon, un scandale peut exiger le resserrement des mesures de protection des renseignements personnels, augmentant du même coup le temps consacré à la question.

Quelques participants ont fait observer que le temps consacré à une catégorie ou à l’autre peut également être influencé par les arriérés de demandes. Par exemple, des retards dans le traitement des demandes d’accès à l’information peuvent amener l’unité à consacrer plus de temps ou de ressources à la réduction de l’arriéré.

La protection des renseignements personnels et l’accès à l’information entrent rarement en conflit

Généralement, les exigences touchant la protection des renseignements personnels ou l’accès à l’information n’entraînent pas de conflits ni de problèmes dans le travail quotidien des participants. C’est surtout le cas des organisations comptant des unités distinctes pour traiter les deux types de dossiers, mais pas uniquement. Dans les cas où des conflits ou des problèmes se présentent, il s’agit généralement de gérer les ressources pour s’assurer de répondre aux deux priorités. Par exemple, comme on l’a déjà indiqué, un retard dans le traitement des demandes d’accès à l’information peut amener l’unité à y consacrer davantage de temps ou de ressources. Un participant a expliqué que des conflits au chapitre des priorités peuvent survenir lorsqu’il y a une pénurie de personnel. Dans de tels cas, on règle le problème en gérant les ressources de façon à répondre aux deux priorités.

Les seuls autres types de conflits ou de problèmes mentionnés avaient trait aux demandes. Un participant a expliqué que certaines personnes confondent l’accès à l’information et la protection des renseignements personnels et présentent une demande liée à la protection des renseignements personnels alors qu’elle a trait en fait à l’accès à l’information, ou vice versa. Un autre a souligné que les exigences ayant trait à la protection des renseignements personnels et à l’accès à l’information peuvent créer des difficultés lorsque la demande concerne à la fois les renseignements personnels et l’accès à l’information.

La participation aux EFVP tend à prendre la forme d’une supervision

Bien que tous les participants prennent part au processus d’évaluation des facteurs relatifs à la vie privée (EFVP) au sein de leur organisation, cette participation tend à prendre la forme d’activités de gestion et de supervision. Par exemple, aucun des participants ne s’occupe directement de la préparation des évaluations des facteurs relatifs à la vie privée proprement dites. Leur contribution prend en général une ou plusieurs des formes suivantes : fournir des conseils et une orientation aux personnes qui préparent des EFVP, examiner les rapports touchant les EFVP pour s’assurer qu’ils sont conformes aux exigences du Conseil du Trésor, approuver les EFVP et les soumettre au CPVP et communiquer avec le Commissariat au sujet des EFVP.

Tous les participants ont dit que les employés de leur organisation qui s’occupent de l’élaboration des EFVP communiquent avec eux pour obtenir des conseils ou des commentaires. Cependant, la fréquence de ces communications varie, et certains participants ont précisé que cela dépendait du nombre de changements apportés à l’organisation (p. ex. mise à niveau des TI, création de nouvelles bases de données) ou de la nature de l’EFVP en cours de préparation (évaluation simple ou complexe). La fréquence des communications à ce sujet varie : les communications peuvent être régulières ou quasi quotidiennes, hebdomadaires ou mensuelles ou se limiter à quelques communications par année.

La participation directe des coordonnateurs de l’AIPRP aux réunions de la haute direction est limitée

Il peut arriver à l’occasion qu’un coordonnateur de l’AIPRP assiste aux réunions de la haute direction. Le cas échéant, il s’agira en général de renseigner la haute direction au sujet d’un enjeu important lié à la protection des renseignements personnels ou à l’accès à l’information. D’ordinaire, le coordonnateur de l’AIPRP présentera un rapport ou un exposé à un supérieur, habituellement un directeur général ou un directeur exécutif qui, lui, assiste aux réunions de la haute direction et renseignera le sous-ministre adjoint.

Au sein des organisations représentées dans le cadre de l’étude, l’unité de l’AIPRP fait le plus souvent partie des Services ministériels ou du Secrétariat ministériel; dans les autres cas, cette unité fait partie de la Direction de la gestion de l’information ou de la Direction des affaires publiques.

Formation et perfectionnement professionnel

La présente section traite de la formation et du perfectionnement professionnel ainsi que des questions connexes.

Fréquence de la formation

Tous les participants à l’étude ont dit qu’eux-mêmes ainsi que d’autres membres de leur unité de l’AIPRP suivaient ou avaient suivi des formations ayant trait à leurs responsabilités au regard de la protection des renseignements personnels. En général, la fréquence de la formation n’est ni uniforme, ni régulière. Cela ne veut pas dire que la formation a été décrite comme anarchique ou irrégulière. Au contraire, les participants ont tendance à dire que, même si des formations sont régulièrement offertes, la fréquence de participation à celles-ci peut varier en fonction d’une diversité de facteurs, dont les suivants :

  • Le contenu ou le sujet de la formation : quel est le sujet ou l’orientation de la formation en question?
  • La pertinence ou l’importance perçues de la formation : à quel point la formation en question est-elle opportune ou pertinente?
  • Le type de formation : de quelle manière la formation est-elle donnée? Par exemple, s’agit-il d’un atelier d’une demi-journée, d’un cours de trois jours, d’un programme d’accréditation, etc.?
  • Le moment de la formation : cette question concerne le moment où la formation est offerte et vise à savoir si les membres du personnel sont libres à ce moment-là (à quel point l’unité de l’AIPRP est-elle occupée?).
  • Disponibilité : reste-t-il des places pour la formation en question ou est-elle complète?
  • Le coût de la formation : combien la formation coûte-t-elle? Le budget permet-il de la suivre?

Nature de la formation reçue

Les participants à l’étude ont fait la distinction entre les formations offertes à l’interne et à l’externe (c.-à-d. par des particuliers ou des organismes de l’extérieur). En ce qui concerne les ressources externes, les participants et leur personnel avaient souvent suivi des formations liées à l’AIPRP offertes par la même ressource ou par des ressources similaires. Voici une liste des fournisseurs et du type de formation offerte :

  • Secrétariat du Conseil du Trésor : les participants ont souvent dit qu’eux-mêmes ou des membres de leur unité avaient suivi des formations liées à l’AIPRP offertes par le Secrétariat du Conseil du Trésor (SCT). Trois types de formation ont été mentionnés :
    • Réunions de la collectivité de l’AIPRP : type de formation le plus souvent mentionné, les réunions régulières tenues par le SCT à l’intention de la collectivité de l’AIPRP ont lieu chaque mois. Même s’ils qualifiaient les réunions de formations, les participants avaient tendance à les décrire comme des séances d’information visant à tenir les praticiens de l’AIPRP au courant des derniers développements, des nouvelles initiatives ou de dossiers récents touchant la protection des renseignements personnels ou l’accès à l’information.
    • Séances de formation : certains participants ont dit que des membres de leur personnel avaient assisté aux séances de formation du SCT portant sur Info Source (publications annuelles du SCT relatives aux fonds de renseignements du gouvernement du Canada) et sur la façon de créer ou de remanier une banque de renseignements personnels. Dans les deux cas, il s’agissait de séances de formation de deux heures.
    • Outil d’apprentissage électronique sur l’EFVP : certains participants ont dit que des membres de leur personnel avaient utilisé l’outil en ligne conçu par le SCT pour aider les praticiens à réaliser les EFVP.
  • École de la fonction publique du Canada : de nombreux participants ont dit qu’eux-mêmes ou des membres de leur personnel avaient suivi des séances de formation offertes par l’École de la fonction publique du Canada. Dans tous les cas, il s’agissait d’une formation de trois jours portant sur la Loi sur l’accès à l’information et sur la Loi sur la protection des renseignements personnels. Quelques participants l’ont décrit comme un cours d’initiation qui fournit un aperçu des deux textes de loi et est destiné aux nouveaux venus dans le domaine de l’AIPRP.
  • Consultants privés : les participants ont régulièrement mentionné les consultants privés (une personne en particulier) comme sources de formations. Il s’agissait entre autres de cours d’initiation à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels, mais les participants avaient tendance à les décrire comme des cours plus détaillés et approfondis ou des cours portant sur des enjeux particuliers. Ces cours étaient de durée variable, allant d’une demi‑journée à cinq jours complets. Voici des exemples de ces cours :
    • Dispositions particulières de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information;
    • Exceptions prévues aux termes de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information;
    • Lois provinciales et territoriales en matière de protection des renseignements personnels;
    • Protection de l’information et ressources humaines;
    • Évaluations des facteurs relatifs à la vie privée.
  • Programme d’accréditation de l’Université de l’Alberta : certains participants ont dit qu’eux-mêmes ou des membres de leur personnel avaient suivi et terminé le programme d’accès à l’information et de protection des renseignements personnels de l’Université de l’Alberta. Ce programme comprend cinq cours et il faut de un à douze ans pour le terminer.
  • Conférences : même si les participants ne les décrivent pas comme un type de formation à proprement parler, certains d’entre eux disent que les conférences sont une bonne façon de se tenir au courant des enjeux liés à l’AIPRP. C’est pourquoi ils encouragent les membres de leur personnel à y assister chaque fois que cela leur est possible, en particulier les conférences annuelles données par l’Association canadienne des administrateurs professionnels de l’accès à l’information et de la protection des renseignements personnels.
  • Commissariat à la protection de la vie privée du Canada : certains participants ont dit qu’eux-mêmes ou des membres de leur personnel avaient suivi les ateliers d’une journée sur les EFVP offerts par le CPVP aux employés fédéraux.

Comme nous l’avons mentionné, les participants distinguaient habituellement les formations internes et externes suivies par le personnel chargé de l’AIPRP. En plus de la formation externe décrite plus haut, presque tous les participants ont mentionné des formations internes offertes au personnel. Ils qualifiaient parfois ces cours d’informels et de ponctuels, mais ils estimaient néanmoins que ces cours sont très importants.

Le type de formation le plus souvent mentionné est la formation en cours d’emploi, qui suppose souvent un encadrement par des employés d’expérience et qui a pour but de veiller à ce que tous les analystes de l’AIPRP aient les connaissances et les ressources nécessaires pour travailler efficacement. Dans certains cas, cela s’inscrivait dans un plan d’apprentissage personnel élaboré en consultation avec le personnel de l’AIPRP pour s’assurer que les besoins en formation et en perfectionnement sont comblés.

D’autres types de formation interne ont souvent été mentionnés :

  • séances ou ateliers de formation et d'information sur des dossiers particuliers liés à la protection des renseignements personnels ou à l’accès à l’information qui sont tenus au sein de l’organisation (p. ex. séances portant sur les « leçons retenues »);
  • formation générale relative à la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information et à leurs répercussions sur les programmes et initiatives;
  • formation sur des dispositions particulières de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information (p. ex. exceptions prévues aux termes de la Loi sur la protection des renseignements personnels);
  • séances d’orientation offertes à tous les nouveaux employés de l’AIPRP au sujet des obligations et responsabilités prévues par la loi.

Enfin, certains participants ont indiqué spontanément que leur unité offrait à l’ensemble des employés de l’organisation des séances de sensibilisation ou d’information sur des questions ayant trait à la protection des renseignements personnels et à l’accès à l’information. Les séances d’information portent, entre autres, sur les questions suivantes :

  • rôles et responsabilités en matière d’AIPRP;
  • protection des renseignements personnels en milieu de travail;
  • transmission de renseignements personnels par télécopieur;
  • façons d’accéder à ses renseignements personnels et de porter plainte.

Opinions nuancées relativement au caractère adéquat ou à la pertinence de la formation

De manière générale, les participants n’ont pas fait de commentaires catégoriques au sujet du caractère adéquat ou de la pertinence de la formation qu’eux-mêmes ou des membres de leur personnel avaient suivie. Ils avaient plutôt tendance à s’exprimer de manière nuancée sur ces questions. Un des participants a fait, au sujet de la formation, un commentaire révélateur qui reflète l’opinion qu’ont exprimée en d’autres mots de nombreux autres participants : « La formation tend à être adéquate et pertinente dans la mesure où elle fournit tout ce qu’elle peut au personnel; elle est inadéquate dans la mesure où il est impossible de fournir au personnel tout ce dont il a besoin. » L’essence du propos (tenu par ce participant et par d’autres) est que la formation est nécessaire, mais qu’elle ne suffit pas à préparer le personnel de manière à ce qu’il puisse comprendre et traiter les questions liées à la protection des renseignements personnels.

Les participants ont souvent fait remarquer qu’en plus de la formation, l’expérience acquise en cours d’emploi est essentielle au perfectionnement d’un bon agent de la protection des renseignements personnels. En effet, le traitement de dossiers liés à la protection des renseignements personnels suppose la prise en compte de particularités, de détails, de points précis, d’exceptions et d’exclusions auxquels aucune formation ne peut adéquatement préparer les agents. Comme l’explique un autre participant : « Quand on s’occupe de questions liées à la protection des renseignements personnels, on passe beaucoup de temps à débroussailler. » D’autres participants ont exprimé dans d’autres termes le même point de vue en laissant entendre que le traitement des questions liées à la protection des renseignements personnels amène constamment à interpréter l’information (appliquer des notions générales à un cas particulier). Cela suppose non seulement d’appliquer les dispositions de la Loi sur la protection des renseignements personnels à un cas particulier, mais également de les appliquer à des circonstances particulières qui changent constamment.

Cette opinion générale donne un contexte qui permet de comprendre deux caractéristiques des commentaires supplémentaires formulés au sujet de la formation. La première concerne la quantité de formation donnée au personnel. Fait intéressant à noter, les participants qui considéraient que leur personnel ne recevait pas suffisamment de formation avaient tendance à expliquer que les membres de leur personnel étaient nouveaux ou qu’ils manquaient d’expérience. Certains ont dit par exemple qu’il y avait beaucoup de roulement de personnel au sein de leur unité de l’AIPRP et que les nouveaux employés avaient besoin de formation. À l’opposé, d’autres participants affirmaient que la formation était adéquate, car, en plus de la formation officielle offerte, leur unité compte un certain nombre d’agents principaux chevronnés qui agissent comme mentors auprès des nouveaux employés.

La seconde caractéristique concerne les sujets à propos desquels les participants aimeraient que davantage de formation soit donnée à l’intention d’eux-mêmes ou de leur personnel. Les sujets sont habituellement des aspects particuliers plutôt que des questions générales, et les participants disaient souvent qu’ils aimeraient que la formation soit moins « théorique » et plus « pratique ». Les sujets de formation souhaités étaient entre autres les suivants :

  • application de dispositions particulières de la Loi sur la protection des renseignements personnels;
  • exclusions et exceptions prévues aux termes de la loi;
  • nouveaux enjeux et enjeux naissants en matière de protection des renseignements personnels;
  • la protection des renseignements personnels dans les médias sociaux;
  • préparation des EFVP;
  • négociation et contact avec des intervenants clés de la collectivité de la protection des renseignements personnels (p. ex. le CPVP, les auteurs d’une demande);
  • davantage d’orientation de la part du SCT au sujet des EFVP (y compris les contradictions apparentes entre les exigences du SCT et celles du CPVP).

Connaissance généralisée de l’existence d’une accréditation pour les professionnels de la protection des renseignements personnels

Presque tous les participants étaient au courant de l’existence d’un programme de certification ou d’accréditation des professionnels. En général, ils connaissaient le programme d’accréditation offert par l’Université de l’Alberta. En outre, comme nous l’avons déjà indiqué, certains participants ou des membres de leur personnel avaient terminé ce programme.

Un petit nombre de participants savaient qu’un programme de certification ou d’accréditation était offert par l’Association canadienne des administrateurs professionnels de l’accès à l’information et de la protection des renseignements personnels ou par l’International Association of Privacy Professionals. Enfin, certains participants pensaient que l’École de la fonction publique du Canada offrait un programme de certification. Aucun participant n’a déclaré que lui-même ou un membre de son personnel avait terminé un programme offert par l’une de ces trois organisations.

Intérêt limité à obtenir une certification professionnelle

Parmi les participants au courant de l’existence de ces programmes (et qui ne les avaient pas suivis), l’intérêt à l’égard de l’obtention d’une certification ou d’une accréditation était limité. Les participants expliquent en général que cette accréditation professionnelle n’améliorerait pas leurs compétences professionnelles de façon appréciable. Certains ajoutent avoir acquis suffisamment d’expertise dans le domaine ou estimaient qu’un perfectionnement professionnel supplémentaire utile ne pouvait être acquis que par l’expérience de travail. D’autres laissent entendre que la formation offerte dans le cadre de ces programmes tend à être générale ou théorique, et qu’elle n’était donc pas suffisamment pertinente ou pratique pour les aider de façon notable. Il convient de souligner que quelques-uns des participants qui ont terminé le programme de l’Université de l’Alberta ont dit qu’il s’agissait d’un programme général, axé sur la théorie.

Ce manque d’intérêt est justifié par seulement deux autres motifs. Un participant francophone a indiqué que le programme de l’Université de l’Alberta n’était offert qu’en anglais. Un autre a laissé entendre que ces programmes étaient axés sur le secteur privé et qu’ils ne convenaient donc pas aux personnes qui travaillent dans le secteur public.

Sur cette question, un participant a expliqué que les compétences les plus importantes nécessaires au travail dans ce domaine ne peuvent être acquises dans le cadre d’un programme de certification ou d’accréditation. Il s’agit de compétences en analyse, en organisation, en communication et en négociation.

Appartenance à des associations professionnelles

La plupart des participants disent qu’eux-mêmes ou des membres de leur personnel (mais pas nécessairement tous les membres) font partie d’une association professionnelle quelconque. À de rares exceptions près, ils disent qu’eux-mêmes et des membres de leur personnel appartiennent à l’Association canadienne des administrateurs professionnels de l’accès à l’information et de la protection des renseignements personnels (ACAPAP). Quelques-uns ont déclaré qu’eux-mêmes ou quelques membres de leur personnel faisaient partie de l’International Association of Privacy Professionals (IAPP). Enfin, un petit nombre ont dit appartenir aux deux associations.

Réseautage limité avec des collectivités de la protection des renseignements personnels à l’extérieur du gouvernement fédéral

Seuls quelques participants ont dit qu’eux-mêmes ou les membres de leur personnel entretenaient des liens avec d’autres groupes œuvrant dans le domaine de la protection des renseignements personnels à l’extérieur du gouvernement fédéral. Ceux qui ont dit ne pas entretenir de tels réseaux ont expliqué que leur milieu était régi par la loi s’appliquant au gouvernement fédéral (c.-à-d. la Loi sur la protection des renseignements personnels). En conséquence, le réseautage tend à être limité à d’autres organismes régis par la même loi (c.-à-d. d’autres ministères ou organismes fédéraux) et avec l’institution responsable de surveiller l’application de la loi (c.-à-d. le CPVP).

Le réseautage à l’extérieur du gouvernement fédéral se traduit en général par des relations avec le personnel d’autres gouvernements. Quelques répondants ont dit parfois consulter des représentants de gouvernements provinciaux dans le cadre d’ententes d’échange d’information ou tout simplement pour discuter de manière générale de questions liées à la protection des renseignements personnels. Une participante a déclaré que son ministère échangeait parfois avec des ministères d’autres pays au sujet de questions liées au transfert de l’information.

Les participants ont expliqué que les seules occasions pour eux de communiquer avec des personnes de l’extérieur du gouvernement fédéral étaient les réunions tenues dans le cadre de conférences ou de colloques.

Types d’enjeux liés à la protection des renseignements personnels

La présente section porte sur les types d’enjeux liés à la protection des renseignements personnels auxquels doivent faire face les participants ou d’autres membres de leur unité de l’AIPRP, c’est-à-dire les défis qu’ils doivent relever et les nouveaux enjeux ou enjeux naissants en matière de protection des renseignements personnels.

EFVP — Enjeu lié à la protection des renseignements personnels mentionné le plus souvent

Les participants ont recensé collectivement les principaux enjeux touchant la protection des renseignements personnels auxquels eux-mêmes et d’autres membres de leur unité doivent faire face de façon régulière. Les enjeux cernés peuvent être regroupés en cinq catégories. De manière générale, les participants ont nommé des enjeux appartenant à une ou deux de ces catégories. Cela dit, certains ont nommé des enjeux clés dans au moins trois catégories. Voici les principaux enjeux en matière de protection des renseignements personnels qui ont été mentionnés :

  • Évaluations des facteurs relatifs à la vie privée : c’est l’enjeu lié à la protection des renseignements personnels qui a été le plus souvent mentionné, et le seul mentionné par quasiment tous les participants. En général, l’enjeu clé est de cerner et d’atténuer les risques liés à la protection des renseignements personnels qui découlent de la refonte de programmes et de services. Certains participants ont ajouté qu’un aspect important est le fait que les gens qui réalisent les EFVP ne sont pas des experts du domaine de la protection des renseignements personnels et qu’ils ont besoin d’une aide considérable.
  • Assurer la sécurité des renseignements personnels : pour bien des participants, un des principaux enjeux, et souvent le principal enjeu, consiste à assurer la sécurité des renseignements personnels recueillis et stockés dans des banques de données ou des fichiers de renseignements personnels (FRP). Il faut entre autres voir aux aspects suivants :
    • Quels renseignements personnels sont recueillis? (Quel type de renseignements l’organisation détient-elle ou recueille-t-elle?)
    • Comment et où les renseignements personnels sont-ils stockés?
    • Par quels moyens les renseignements personnels sont-ils communiqués ou transférés?
    • De quelle façon les renseignements personnels sont-ils éliminés?
  • Enjeux touchant la communication des renseignements personnels : certains participants affirment qu’à leur avis, le principal enjeu lié à la protection des renseignements personnels est la communication de ces renseignements. En général, cet aspect entre en jeu lorsqu’ils traitent des demandes de renseignements personnels et qu’ils doivent déterminer quels types de renseignements, le cas échéant, peuvent être communiqués (dans certains cas, sans le consentement de la personne concernée). Voici des exemples fréquemment cités :
    • des avocats demandant le dossier de leurs clients;
    • des organismes d’enquête ou d’application de la loi demandant des informations liées à une enquête ou à un dossier;
    • des employés demandant des renseignements à leur sujet (p. ex. des courriels, des évaluations);
    • des personnes ayant demandé des services gouvernementaux et voulant obtenir leur dossier (p. ex. pour savoir pourquoi le service en question leur a été refusé).

Un enjeu mentionné moins souvent, mais néanmoins décrit comme un problème clé par quelques participants, a trait aux communications faites pour des raisons d’intérêt public. Il s’agit de situations où il a fallu déterminer si le droit d’un particulier à la vie privée l’emportait sur l’intérêt du public ou le droit de savoir. On a donné pour exemple le cas d’une personne qui avait fait des menaces de violence après s’être fait refuser un service gouvernemental.

  • Plaintes liées à la protection des renseignements personnels : certains participants disent que les principaux enjeux liés à la protection des renseignements personnels dont ils ont à s’occuper sont les plaintes. Voici quelques exemples :
    • plaintes concernant la communication non autorisée de renseignements personnels;
    • plaintes concernant des renseignements personnels perdus, égarés ou communiqués au mauvais endroit;
    • plaintes concernant l’utilisation de renseignements personnels à des fins autres que celles prévues au moment de la collecte;
    • plaintes concernant la collecte de renseignements personnels (p. ex. pour le recensement);
    • plaintes au sujet des exceptions liées à la communication de renseignements personnels (p. ex. d’une personne qui n’a pas obtenu tous les renseignements demandés).
  • Utilisation appropriée des renseignements personnels : Pour certains participants, le principal enjeu lié à la protection des renseignements personnels concerne l’utilisation appropriée des renseignements personnels recueillis. Voici quelques exemples :
    • s’assurer que les renseignements personnels ne servent qu’aux fins pour lesquelles ils ont été recueillis;
    • s’assurer que seuls les renseignements personnels nécessaires à un but précis sont recueillis;
    • s’assurer que les renseignements personnels ne sont pas conservés plus longtemps qu’il ne le faut;
    • appariement des données (p. ex. dans quelles circonstances peut‑on, le cas échéant, jumeler les renseignements personnels d’une personne à d’autres données personnelles);
    • échange de données (s’assurer que les renseignements personnels recueillis ne sont pas communiqués de façon inappropriée).

Principaux défis

Les participants ont nommé collectivement toute une série de défis auxquels ils font face en matière de protection des renseignements personnels; cependant, la plupart n’en ont nommé qu’un. Voici quelques exemples de ces défis :

  • Évaluations des facteurs relatifs à la vie privée : un certain nombre de participants ont indiqué que le processus d’évaluation des facteurs relatifs à la vie privée représentait pour eux un défi. Ils ont parlé entre autres des aspects suivants :
    • Charge de travail : pour certains participants, le principal défi lié aux EFVP concerne la charge de travail que suppose l’exécution du processus qu’ils appellent « protection de la vie privée à l’étape de la conception ». Autrement dit, la charge de travail requise pour cerner les risques liés à la protection des renseignements personnels découlant de la refonte de programmes et de services, y compris la modification des fichiers de renseignements personnels, et le travail exigé pour atténuer ces risques.
    • Manque d’expertise : comme nous l’avons déjà indiqué, pour certains participants, un des principaux problèmes liés aux EFVP tient au fait que les gens responsables de leur conception ne sont pas des experts du domaine de la protection des renseignements personnels. Ils ont donc besoin de beaucoup d’aide et de conseils au moment de réaliser les évaluations.
    • Manque de ressources et d’orientation : en ce qui concerne le dernier point, certains participants estimaient que les personnes chargées de réaliser les EFVP ne disposaient pas de suffisamment de ressources et d’orientation. Ils ont souligné que, même si le Secrétariat du Conseil du Trésor avait émis une politique sur les EFVP, peu de mesures avaient été prises pour aider les ministères et organismes à respecter ces exigences.
    • Contradiction dans les exigences : en ce qui concerne les exigences, certains participants ont dit que le principal problème auquel ils doivent faire face est la différence entre les exigences du SCT et du CPVP concernant la réalisation des EFVP. Ils ont souligné que, même si les ministères et organismes sont tenus de respecter les lignes directrices du SCT, les EFVP doivent être soumises au CPVP, qui formule parfois des critiques après les avoir évaluées.

Les participants ont besoin d’aide ou de soutien pour relever les défis que présentent les EVFP; on pourrait, par exemple, fournir davantage de ressources et d’orientation aux personnes chargées de les réaliser et demander au SCT et au CPVP de s’entendre sur les exigences relatives aux EFVP.

  • Défis opérationnels : quelques participants ont dit que leur principal défi se situait au niveau opérationnel. Il est question ici de la protection de grands volumes de renseignements personnels qui sont utilisés et échangés tous les jours par divers intervenants. Dans le contexte de la circulation d’un si grand volume d’information, le principal défi est d’éviter les atteintes (accidentelles ou criminelles) à la protection des données. En outre, quelques participants ajoutent que les conséquences d’une atteinte à la protection des renseignements peuvent être désastreuses. Un des participants formule ainsi sa pensée : « Compte tenu du grand volume d’informations que nous détenons et traitons, une atteinte à la protection des données pourrait mettre en péril les renseignements personnels de milliers de personnes. » Les participants qui ont mentionné ce défi ne pouvaient pas dire quels types de soutien ou d’aide pourraient les aider à y faire face.
  • Caractère délicat des renseignements personnels : pour certains participants, le respect du caractère délicat des renseignements personnels et les questions connexes représentent un défi de taille. Cela est considéré comme une conséquence de l’importance attribuée au droit à la vie privée et à sa protection. On note par exemple que, quand il est question de leur vie privée, les gens peuvent se montrer (peut‑être avec raison) très revendicateurs, exigeants et intransigeants. De plus, compte tenu de l’importance généralement attribuée à la vie privée, tout incident peut se transformer en question d’intérêt public, soit parce que les médias s’en mêlent, soit parce que des défenseurs en font leur cheval de bataille. Un participant mentionne par exemple les répercussions de la fuite récente de renseignements personnels concernant un ancien combattant.

Les participants ont besoin de soutien ou d’aide pour relever ce défi; on pourrait entre autres leur offrir une séance de formation pour les aider à acquérir des compétences en négociation et en communication, y compris les communications avec les clients « difficiles ». Sur ce dernier point, quelqu’un a fait remarquer que certaines personnes qui déposent une plainte concernant la collecte de renseignements personnels sont fondamentalement méfiantes à l’égard du gouvernement, et peuvent être très difficiles à aborder.

  • Ressources humaines : quelques participants ont dit que les enjeux liés aux ressources humaines représentaient un défi. Ils ont affirmé que les problèmes liés aux ressources humaines pouvaient les empêcher d’exercer de manière efficace toutes leurs responsabilités en matière de protection des renseignements personnels. Ils ont fourni plusieurs exemples :
    • Manque de personnel : comme nous l’avons expliqué lorsqu’il était question de la taille des unités d’AIPRP, certains participants disent que l’unité ne fonctionne pas toujours à pleine capacité. Autrement dit, le nombre d’employés s’occupant de dossiers liés à l’AIPRP est inférieur au nombre de postes réservés à ces dossiers. Les participants expliquent que c’est un problème lorsque la charge de travail augmente en raison de la pénurie de ressources.
    • Roulement du personnel : certains participants indiquent que le roulement du personnel représente un important défi dans leur unité. Ils expliquent que le roulement est dû aux départs à la retraite, à l’épuisement professionnel et au fait que certains employés désirent changer d’orientation professionnelle. En conséquence, la mémoire organisationnelle en ce qui a trait à la protection des renseignements personnels tend à être limitée à mesure que des employés chevronnés sont remplacés par des personnes qui n’ont que peu d’expérience et qui ont besoin de formation.
    • Maintien en poste du personnel : ce défi est lié au défi précédent, mais, pour quelques participants, le maintien en poste représente un défi particulier (maintenir en poste les employés de l’unité de l’AIPRP permettrait d’augmenter le bassin des analystes d’expérience).

D’après certains participants, il faudrait créer un programme de perfectionnement professionnel destiné aux analystes des questions liées à la protection des renseignements personnels afin de mettre sur pied un effectif expérimenté. Un participant a déclaré qu’un programme de ce type avait été offert dans son ministère et que cela avait permis d’améliorer de manière générale le maintien en poste et la planification de la relève.

  • Arriéré des demandes d’AIPRP : un petit nombre de participants ont dit que l’arriéré des demandes d’AIPRP représentait un défi en matière de protection des renseignements personnels. Ils ont expliqué que le retard dans le traitement des demandes d’accès à l’information a fait qu’il a fallu y consacrer plus de temps ou de ressources. Le défi consiste à gérer les ressources de façon à s’occuper à la fois des priorités touchant l’accès à l’information et de celles touchant la protection des renseignements personnels.
  • Nouveaux enjeux et enjeux naissants : enfin, certains participants ont mentionné que de nouveaux enjeux ou des enjeux naissants représentaient un défi en matière de protection des renseignements personnels. Toutefois, puisque tous les participants ont eu à répondre de façon plus détaillée à des questions à ce sujet, il en sera question plus loin, de manière à éviter la répétition.

Nouveaux enjeux et enjeux naissants

Les participants ont identifié une diversité de nouveaux enjeux et d’enjeux naissants en matière de protection des renseignements personnels auxquels ils doivent faire face ou auxquels ils s’attendent à devoir faire face. Ces enjeux entrent dans six grandes catégories :

  • Trouver l’équilibre entre la protection des renseignements personnels et la sécurité publique : l’un des nouveaux enjeux le plus fréquemment mentionnés concerne l’importance de trouver l’équilibre entre le droit à la vie privée et le besoin d’assurer la sécurité publique. Certains participants ont affirmé qu’il ne s’agissait pas là nécessairement d’un nouvel enjeu, mais qu’il avait pris de l’importance au fil du temps, en raison de la préoccupation accrue face au terrorisme. Par contre, un participant a laissé entendre que cet enjeu avait pris une nouvelle dimension précisément en raison de l’augmentation du terrorisme. En particulier, la menace que pose le terrorisme est en général incarnée par des particuliers (et non par des armées ou par d’autres États). En conséquence, pour lutter efficacement contre le terrorisme, il faut inévitablement s’ingérer dans la vie privée des personnes. Voici quelques exemples précis de cas où il faut établir un équilibre entre la protection des renseignements personnels et la sécurité :
    • utilisation de bracelets de sécurité pour suivre les déplacements de détenus libérés;
    • utilisation de scanners corporels dans les aéroports;
    • utilisation de la technologie de surveillance vidéo;
    • communication de renseignements pour des raisons d’intérêt public.
  • Assurer la protection des renseignements personnels tout en utilisant les médias sociaux : un autre des nouveaux enjeux ayant été fréquemment mentionnés est le besoin de protéger les renseignements personnels dans le cadre de l’utilisation par le gouvernement des médias sociaux pour mobiliser les citoyens et communiquer avec eux. On a souligné que, même si cela permettait au gouvernement de communiquer efficacement avec les citoyens (en particulier les jeunes), cela soulevait d’importantes questions liées à la protection des renseignements personnels. Quelques participants ont fait remarquer, par exemple, que la possibilité d’intercepter les communications sans fil pourrait mettre en péril les renseignements personnels de certains. Un participant a également fait remarquer que, pour le moment, le gouvernement fédéral n’avait défini aucun cadre général concernant l’utilisation des médias sociaux. Pour le moment, les ministères et organismes prennent chacun de leur côté des mesures de prévention, de façon que, même s’ils tiennent compte de la question de la protection des renseignements personnels, cela n’est pas fait de façon globale (d’une façon qui s’appliquerait à tous les ministères et organismes).
  • Assurer la protection des renseignements personnels à mesure que la capacité de recueillir des renseignements augmente : de nombreux participants ont fait remarquer que la capacité de recueillir et de stocker des renseignements personnels augmentait et qu’il fallait que les mesures de protection augmentent en conséquence. Quelques participants ont ajouté que, plus le volume des informations recueillies augmente, plus les répercussions d’une atteinte à la protection des données seraient désastreuses.
  • Assurer la protection des renseignements personnels à mesure que la capacité de surveillance augmente : certains participants estimaient que l’un des principaux nouveaux enjeux était lié à la capacité accrue du gouvernement de surveiller grâce à la technologie. Autrement dit, la simple capacité de surveiller les gens a, en soi, des répercussions sur la vie privée. Les participants ont mentionné par exemple l’utilisation des systèmes de positionnement global (GPS), les technologies de surveillance de la circulation, les inforobots de recherche Web et le contrôle des sites des médias sociaux. Ils ont en outre fait observer que les technologies de surveillance de la circulation, qui permettent de constater des contraventions au Code de la route, permettaient également de recueillir des renseignements sur des gens qui n’ont commis aucune infraction.
  • Renseignements génétiques : quelques participants ont mentionné que le stockage de renseignements génétiques (banques de données génétiques) repoussait les frontières du monde de la protection des renseignements personnels et que c’était un domaine dont les répercussions sur la vie privée n’étaient pas encore bien connues. Un participant fait le commentaire suivant : « Nous ne parlons plus de notre NAS ni de notre numéro de carte de crédit; il est maintenant question de notre code génétique de base, et les répercussions sur la vie privée sont encore inconnues pour le moment. »

Besoin de recruter et de former des experts de la protection des renseignements personnels : enfin, quelques participants ont dit que l’un des nouveaux défis auxquels ils font face concernait le recrutement et le perfectionnement d’employés intéressés à s’occuper de questions liées à la protection des renseignements personnels comme celles dont il vient d’être question. Comme nous l’avons déjà indiqué, certains participants étaient d’avis qu’il fallait créer un programme de perfectionnement professionnel destiné aux analystes du domaine de la protection des renseignements personnels ainsi qu’aux employés d’expérience. Ce programme aurait d’autant plus d’importance à la lumière des nouveaux défis qui se manifestent dans le monde de la protection des renseignements personnels. Un participant s’est exprimé de la façon suivante : « Plus les enjeux sont complexes, plus il est important que les gens qui s’en occupent aient suivi une formation. »

Interactions avec le Commissariat à la protection de la vie privée

La présente section traite des interactions et des échanges avec le Commissariat à la protection de la vie privée (CPVP).

La fréquence des interactions avec le CPVP varie

La fréquence des interactions entre les participants et autres membres des unités de l’AIPRP avec le CPVP varie considérablement. Quelques participants qualifient ces interactions de fréquentes ou de régulières, l’un d’eux allant jusqu’à dire qu’elles sont « parfois quotidiennes ». D’autres disent que ces interactions sont périodiques, quelques-uns précisant qu’ils rencontrent des représentants du CPVP chaque trimestre. Certains participants disent que les interactions sont irrégulières et sont souvent motivées par un enjeu particulier (p. ex. multiplication des plaintes à un moment donné). Enfin, certains participants disent que leurs interactions et échanges sont rares ou même très rares.

Nature des interactions avec le CPVP

Les motifs pour lesquels les participants interagissent avec le CPVP sont variés; en voici quelques exemples :

  • Enjeux liés aux EFVP : c'est la raison le plus souvent mentionnée quand il est question des interactions avec le CPVP. L’échange vise à poser des questions ou obtenir des conseils touchant les EFVP, à soumettre celles‑ci ou à formuler des commentaires relatifs à l’examen des EFVP.
  • Orientation ou conseils de nature générale : La plupart des participants disent communiquer de façon ponctuelle avec le CPVP pour obtenir une orientation et des conseils touchant divers enjeux relatifs à la protection des renseignements personnels.
  • Consultations : Certains participants disent avoir affaire au CPVP à l’occasion de diverses consultations.
  • Atteintes à la protection des données, plaintes, vérifications et enquêtes : Certains participants disent communiquer avec le CPVP lorsque leur ministère ou organisme respectif est concerné par des atteintes à la protection des données, des plaintes, des vérifications ou des enquêtes. Les communications peuvent également avoir trait aux retards accumulés dans le traitement des demandes liées à la protection des renseignements personnels.
  • Ateliers ou exposés : Certains participants disent avoir assisté à des ateliers ou à des exposés du CPVP, dont un atelier sur les EFVP donné récemment.

Les interactions se font en général par courriel, par téléphone et en personne.

Utilisation des outils et ressources du CPVP

Pratiquement tous les participants ont dit qu’eux‑mêmes ou des membres de leur personnel utilisent ou ont déjà utilisé des ressources ou des outils fournis par le CPVP. Toutefois, ils n’ont pas tendance à les utiliser fréquemment ou régulièrement. Les participants ont mentionné diverses ressources, mais aucune ne s’est démarquée du lot. Voici quelques exemples :

  • rapports et publications;
  • vidéos;
  • documents sur les pratiques exemplaires;
  • résumés de conclusions d’enquête;
  • conclusions de la commissaire;
  • jeux-questionnaires;
  • documents d’orientation et ateliers concernant les EFVP;
  • conférences;
  • renseignements sur les réseaux sociaux;
  • renseignements sur les atteintes à la protection des données;
  • renseignements sur le vol d’identité.

Certains participants disent qu’eux-mêmes ou des membres de leur personnel consultent périodiquement le site Web du CPVP pour se tenir au courant des nouveautés.

Il convient de souligner que, pendant les discussions concernant l’utilisation des ressources du CPVP, de nombreux participants ont répété qu’ils communiquaient avec le personnel du CPVP pour obtenir une orientation ou des conseils sur divers sujets. Donc, dans la mesure où on pourrait considérer que le personnel du CPVP est une ressource, il devrait figurer dans la liste. Quelques participants ont ajouté qu’ils essayaient d’assister aux allocutions de la commissaire à la protection de la vie privée ou d’en lire les transcriptions.

Utilité perçue des ressources du CPVP

De manière générale, les participants se sont dits satisfaits des ressources du CPVP qu’ils avaient utilisées. L’impression générale est que ce sont des ressources informatives fournissant des orientations générales et permettant aux praticiens de se tenir à jour sur diverses questions. En même temps, les participants ont généralement l’impression que ces ressources sont de nature générale, c’est-à-dire qu’ils n’y trouvent pas toujours suffisamment de détails ou de précisions pour les aider à régler une question particulière (p. ex. des cas particuliers qui ne semblent pas couverts par les dispositions de la Loi sur la protection des renseignements personnels). Cela dit, quelques participants ajoutent que l’on ne peut pas s’attendre à ce que le CPVP ait réponse à toutes les questions ou une solution à tous les problèmes.

Ouverture et professionnalisme — principales forces perçues du CPVP

En ce qui concerne les aspects positifs de leurs interactions avec le CPVP, les participants mentionnent le plus souvent deux des forces de l’organisation : son ouverture (y compris sa volonté d’aider) et son professionnalisme (dans le cadre d’une vérification, d’une enquête ou d’une consultation). En outre, ils ont généralement l’impression que le CPVP comprend l’environnement dans lequel évoluent les fonctionnaires chargés de la protection des renseignements personnels, ce qui facilite les échanges, même ceux qui sont liés à une enquête ou à une plainte.

Réticence à donner des conseils — principale critique

Invités à mentionner les aspects négatifs de leurs interactions avec le CPVP, la plupart des participants ont dit que, même si le CPVP semble clairement vouloir les aider, il semble réticent à donner des conseils concrets et ne semble pas vouloir s’engager. Quelques participants affirment que cela était pour eux une source de frustration, puisque c'est en raison de l’expertise du CPVP dans le domaine de la protection des renseignements personnels qu’ils se tournent vers lui pour obtenir des conseils. En parlant précisément des EFVP, un participant a expliqué que le CPVP était réticent à fournir des conseils à ce sujet, mais qu’il n’hésitait pas à critiquer un travail qu’il ne juge pas satisfaisant.

Seuls quelques participants ont formulé d’autres critiques à l’égard du CPVP. Ils ont mentionné notamment le zèle excessif de certains enquêteurs, en particulier en cas de retard, et avaient l’impression qu’ils étaient parfois difficiles à joindre par téléphone. À ce sujet, un participant estime que le Commissariat à l’information offre un meilleur service, puisque les appels téléphoniques sont toujours pris par une personne; il s’agit d’un service plus satisfaisant, puisque l’interlocuteur a l’occasion d’expliquer sa question ou son besoin.

Selon l’opinion générale, le CPVP devrait jouer un rôle de chef de file au chapitre du soutien, de la sensibilisation et de l’orientation

Les participants ont souvent exprimé l’opinion générale selon laquelle le CPVP devrait jouer un rôle de chef de file en ce qui concerne le soutien, la sensibilisation et l’orientation touchant les enjeux ou les défis en matière de protection des renseignements personnels. En effet, de nombreux participants ont ajouté que c’était une des raisons pour lesquelles ils communiquent avec le CPVP. Certains participants se sont empressés toutefois de souligner que cela pourrait causer des tensions ou des conflits avec le Secrétariat du Conseil du Trésor, mais qu’ils considéraient le CPVP comme l’expert dans le domaine de la protection des renseignements personnels.

Voici des exemples des attentes des participants à l’égard du CPVP :

  • Augmentation de l’engagement : un certain nombre de participants disent qu’ils aimeraient que le CPVP organise davantage d’activités de rayonnement. Certains participants font allusion en particulier à un atelier sur les EFVP auquel ils ont participé et soulignent qu’ils aimeraient que les réunions de ce type soient plus nombreuses, puisqu’elles leur donnent la possibilité d’échanger directement avec d’autres intervenants de leur domaine.
  • Rôle accru au chapitre de la sensibilisation et de la formation : la plupart des participants ont dit espérer que le CPVP joue un rôle plus actif au chapitre de la sensibilisation, de la formation et de l’orientation ayant trait à la protection des renseignements personnels, en particulier aux enjeux interministériels les plus pertinents (p. ex. l’utilisation des médias sociaux par le gouvernement). Certains participants ajoutent que le CPVP devrait, vu son expertise, ajouter à son mandat un volet éducatif et un volet d’application de la loi.
  • Offre de conseils : revenant sur leur principale critique à l’égard du CPVP, un certain nombre de participants ont déclaré qu’ils aimeraient que le Commissariat fournisse des conseils concrets lorsqu’ils lui soumettent des questions touchant la protection des renseignements personnels.
  • Prévisions et analyses des tendances : un certain nombre de participants ont dit qu’ils s’attendaient à ce que le CPVP établisse des prévisions et cherche à cerner les nouveaux enjeux et les enjeux naissants dans le domaine de la protection des renseignements personnels.
  • Centralisation de l’information : certains participants ont dit s’attendre à ce que le CPVP serve de carrefour à l’égard de l’information et des progrès touchant la protection des renseignements personnels.
  • Réseautage avec d’autres commissariats à la protection de la vie privée : quelques participants estiment que le CPVP devrait entretenir des relations avec des commissariats à la protection de la vie privée à l’échelon tant provincial qu’international. Un participant formule ainsi sa pensée : « La vie privée, c’est comme le temps qu’il fait : il n’y a aucune frontière. »

En ce qui a trait aux attentes à l’égard du CPVP, quelques participants ont déclaré qu’il leur serait très utile que le CPVP et le Secrétariat du Conseil du Trésor se mettent sur la même longueur d’ondes en ce qui concerne les enjeux relatifs à la vie privée. On a donné deux exemples qui illustrent leurs divergences. Au sujet des EFVP, on a fait observer que les exigences du CPVP dépassent celles du SCT. Un participant a affirmé en outre que, à la question de savoir si certains renseignements relevant du domaine public pouvaient être communiqués, il avait reçu deux réponses contradictoires : le SCT avait répondu « oui », le CPVP avait répondu « non ».

Les outils du CPVP devraient mettre l’accent sur la sensibilisation et la formation

Les participants n’ont mentionné que deux outils ou services précis que le CPVP pourrait offrir afin d’améliorer leur travail dans le domaine de la protection des renseignements personnels. Ils ont mentionné relativement fréquemment le soutien dans la préparation des EFVP. Il a également été question d’un outil d’aide à l’évaluation des risques pour ce qui est de la protection des renseignements personnels.

Les participants n’ont fourni aucune précision à cet égard, mais ils étaient nombreux à répéter que le CPVP devrait mettre l’accent sur la sensibilisation et la formation. Ce commentaire se divise en deux volets : premièrement, volet le plus important, les participants affirment que le CPVP devrait assurer la formation et le perfectionnement des praticiens du domaine de la protection des renseignements personnels. En second lieu, quelques participants estiment que le CPVP devrait jouer un rôle actif pour ce qui est de renseigner le grand public sur les enjeux liés à la protection de la vie privée. Ils font observer que, même si les membres du grand public sont généralement conscients de l’importance de la protection des renseignements personnels, la plupart n’ont pas vraiment une idée précise de ce qui constitue une plainte légitime par rapport à une plainte illégitime ou frivole.

Annexes

Guide d’entrevue

Premier contact :

  • L'entrevue devrait être réalisée avec le gestionnaire du bureau d'AIPRP (ou avec la personne désignée par celui-ci). Si ce n'est pas la personne que vous avez jointe, demandez qu'on vous transfère au gestionnaire.
  • Confirmez que la personne est d'accord pour participer à l'étude.
  • Parlez de la lettre d'avis du CPVP qui informait les répondants potentiels de l'enquête (un courriel sera envoyé par Phoenix avant le premier contact). Renvoyez la lettre au besoin.
  • L'entrevue devrait durer de 30 à 40 minutes.
  • Notez que les répondants sont libres de participer ou non et que les réponses sont confidentielles — les personnes et les organisations ne seront identifiées d'aucune façon.
  • Déterminez le moment de l'entrevue, si la personne accepte de participer.
  • Envoyez par courriel le guide d'entrevue à des fins d'examen (confirmez l'adresse courriel).
  • Demandez au répondant de lire le guide avant l'entrevue.

Communications subséquentes :

  • Vérifiez si la personne est disponible. Sinon, reportez l'entrevue à plus tard.
  • Mentionnez le guide d'entrevue qui avait été envoyé au répondant.
  • L'entrevue devrait durer de 30 à 40 minutes.
  • Rappelez-lui que ses réponses sont confidentielles, mais qu'un rapport public sera produit.
  • Notez le nom, le poste, l'organisation et le numéro de téléphone du répondant, ainsi que la date et la durée de l'entrevue.

NOTA : Bien que l'enquête soit menée auprès des coordonnateurs de l'AIPRP, il faut mettre l'accent sur leurs responsabilités liées à la protection des renseignements personnels, et non à l'accès à l'information.

Renseignements concernant le bureau d'AIPRP

J'aimerais commencer en vous posant quelques questions sur la façon dont la fonction d'AIPRP est structurée dans votre ministère Note de bas de page 2.

  1. Tout d'abord, quelle est la taille du bureau d'AIPRP de votre ministère (combien y a-t-il de personnes dont le travail porte sur des questions d'AIPRP)?
  2. Pouvez-vous me décrire brièvement vos responsabilités en matière d'AIPRP?
  3. Quel est le budget de votre bureau d'AIPRP? Veuillez donner le montant du budget avec et sans les salaires.
  4. Combien de temps est-ce que vos collègues et vous consacrez aux questions liées à la protection des renseignements personnels comparativement aux questions concernant l'accès à l'information? NOTEZ LE POURCENTAGE. Cette proportion reste plus ou moins la même en tout temps ou varie-t-elle selon le mois, la saison ou selon d'autres moments? Si oui, expliquez.
  5. Est-ce que ces deux priorités entrent en conflit ou posent des défis dans le cadre de votre travail quotidien?
  6. De quelle façon participez-vous au processus d'EFVP (évaluation des facteurs relatifs à la vie privée) Note de bas de page 3 au sein de votre ministère?
  7. Est-ce que d'autres personnes de votre ministère vous demandent des conseils ou des commentaires en ce qui a trait à la préparation des évaluations des facteurs relatifs à la vie privée? Si oui, à quelle fréquence?
  8. Où est situé le groupe de l'AIPRP dans la hiérarchie organisationnelle — par exemple, est-ce que le coordonnateur de l'AIPRP assiste aux réunions de la haute direction?

Formation, accréditation et participation

Les prochaines questions concernent la formation et le perfectionnement professionnel.

  1. Est-ce que vous ou vos collègues du bureau d'AIPRP assistez à des séances de formation liées à vos responsabilités en matière de protection des renseignements personnels?

SI OUI, POSEZ LES DEUX QUESTIONS SUIVANTES Note de bas de page 4 :

  1. À quelle fréquence vous ou les membres de votre personnel suivez-vous des formations sur l'AIPRP? Qui (ou quelle organisation) donne cette formation? En quoi consiste-t-elle?
  • Relancez le répondant :
    • fréquence des séances de formation
    • type de formation (p. ex. durée des cours, objectif principal)
  1. Globalement, estimez-vous que vous ou les membres de votre personnel recevez une formation adéquate? Pourquoi?
  2. Est-ce que le type de formation offert vous est utile dans le cadre de votre travail? Dans quels domaines aimeriez-vous recevoir une formation plus approfondie, s'il y a lieu?
  3. Saviez-vous qu'il y a un programme d'accréditation pour les professionnels de la protection de la vie privée et, si oui, possédez-vous cette accréditation ou comptez-vous l'obtenir?
  4. Est-ce vous ou votre personnel êtes membre d'associations professionnelles? Si oui, lesquelles? Est-ce qu'il y en a d'autres?
  5. Dans quelle mesure vous ou les membres de votre personnel faites-vous du réseautage ou entretenez-vous des liens avec d'autres communautés de protection de la vie privée à l'extérieur du gouvernement fédéral? À quelles occasions? Y-a-t-il des occasions qui favorisent ce type de communication ou de réseautage?
  • Relancez le répondant :
    • autres secteurs publics
    • secteur privé

Types de questions relatives à la protection de la vie privée

Nous allons nous pencher brièvement sur les types de questions liées à la protection de la vie privée que vous traitez.

  1. Quelles sont les principales questions relatives à la protection de la vie privée que vous traitez régulièrement? Pouvez-vous en nommer d'autres?
  2. Quelles sont les nouvelles problématiques en matière de protection de la vie privée avec lesquelles vous devez travailler? Pouvez-vous en nommer d'autres?
  3. Quels sont défis les plus importants que vous devez relever en ce qui a trait à ces questions? Pouvez-vous en nommer d'autres? Selon vous, de quel type de soutien ou d'aide avez-vous besoin, le cas échéant, pour relever ces défis?

Échanges avec le CPVP

J'aimerais maintenant vous poser quelques questions sur vos échanges avec le Commissariat à la protection de la vie privée, ou CPVP.

  1. À quelle fréquence vous ou les membres du personnel du bureau d'AIPRP communiquez-vous ou faites-vous affaire avec le CPVP? Quelle est la nature de vos échanges avec le CPVP?
  • Relancez le répondant :
    • fréquences des échanges
    • objet ou raison des échanges
    • moyens de communication utilisés
  1. Vous ou votre section utilisez-vous les ressources ou les outils fournis par le CPVP? Si oui, lesquels? De quelle manière ces ressources vous sont-elles utiles? Avez-vous autre chose à dire à ce sujet?
  2. En ce qui a trait à vos échanges avec le CPVP, qu'est-ce qui fonctionne bien, selon vous? Encore d'après vous, quels sont les aspects qui fonctionnent moins bien et qui devraient être améliorés?
  3. En général, quelles sont vos attentes envers le CPVP? Plus précisément, quel rôle le Commissariat devrait-il jouer selon vous dans l'offre de soutien, d'information et de directives à l'intention de votre organisation en ce qui a trait aux questions ou aux défis liés à la protection de la vie privée?
  • Relancez le répondant :
    • Avez-vous des attentes?
    • Quel rôle le CPVP devrait-il ou pourrait-il jouer
  1. Y a-t-il d'autres outils ou services que le CPVP pourrait vous fournir qui renforceraient votre travail dans le domaine de la protection de la vie privée? Avez-vous autre chose à dire à ce sujet?

Conclusion

  1. Avant de clore l'entrevue, avez-vous des commentaires ou des suggestions à formuler au sujet des questions dont nous avons discuté?

Merci.

Courriel de confirmation

Merci d’avoir accepté(e) de participer à cette recherche menée par le CPVP auprès de coordinateurs de l’accès à l’information et de la protection des renseignements personnels fédéraux. Cette recherche a pour objectif de mieux comprendre le contexte dans lequel ces coordinateurs exercent leurs activités et mieux cerner leurs besoins et leurs attentes.

Tel qu’entendu, je vous téléphonerai à [heure], le [jour/date], pour réaliser l’entrevue téléphonique. Celle-ci durera de 30 à 40 minutes.

Vous trouverez ci-joint le guide d’entrevue présentant les sujets dont il sera question pendant l’entrevue. Veuillez prendre quelques minutes pour lire le guide avant notre entretien. Si utile, nous vous invitons à consulter d’autres membres de votre organisation avant l’entrevue s’il/elles ont de la rétroaction à offrir concernant les questions explorées dans le guide.

Encore une fois, merci d’avoir accepté de prendre part à cette recherche. Si vous avez des questions, n’hésitez pas à m’écrire ou à me téléphoner au [numéro de téléphone].

Je vous prie d’agréer mes salutations les meilleures.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :