Cadres de gestion de la protection de la vie privée de certaines institutions fédérales

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Article 37 de la Loi sur la protection des renseignements personnels

Février 2009


Avant-propos

Les citoyens et les résidants canadiens entretiennent des relations diverses avec le gouvernement fédéral. Ils reçoivent du gouvernement des services et des prestations, par exemple les versements de sécurité du revenu et les paiements du Régime de pensions du Canada; ils exercent leurs droits, par exemple, le droit de vote et le droit d’entrer au pays et d’en sortir librement. De plus, ils s’acquittent d’obligations, telle que celle de payer des impôts. Les différentes institutions fédérales qui assurent ces services et prestations et qui facilitent l’exercice de ces droits doivent confirmer que leurs clients sont bien les personnes qu’ils affirment être.

Confirmer l’identité d’une personne chaque fois que celle-ci traite avec le gouvernement représente un défi complexe. Bien des gens donnent leur nom ou inscrivent leur date de naissance de façon légèrement différente d’une fois à l’autre. Chaque année, un nombre considérable de Canadiens déménagent et changent donc d’adresse. De plus, beaucoup oublient ou égarent les numéros d’identification qui leur sont attribués et les mots de passe qu’ils ont choisis.

Pour relever ce défi, les institutions fédérales recueillent, à différentes fins, auprès des mêmes personnes, des renseignements qui sont semblables mais pas toujours exactement les mêmes d’une organisation à l’autre.

Dans le cadre de plusieurs vérifications menées récemment, le Bureau du vérificateur général a constaté que les organisations qui gèrent ces renseignements semblables doivent faire face à des défis similaires. Au printemps 2007, le Bureau a décidé d’étudier de plus près la façon dont les institutions fédérales gèrent les renseignements qu’elles utilisent pour identifier leurs clients, c’est-à-dire les renseignements sur l’« identité ». Plus particulièrement, le Bureau voulait savoir comment les organisations assurent la qualité de ces renseignements et dans quelle mesure elles collaborent pour garantir une utilisation efficiente des fonds de renseignements du gouvernement.

Le Commissariat à la protection de la vie privée a également mené plusieurs vérifications sur la façon dont les institutions fédérales gèrent les renseignements personnels qu’elles détiennent, entre autres, les renseignements sur l’identité. Il a constaté que les institutions ont besoin d’un cadre efficace de gestion de la protection de la vie privée si elles veulent atteindre les objectifs de leurs programmes et appliquer les pratiques exemplaires en matière de protection des renseignements personnels. Le Commissariat a décidé d’étudier de plus près le cadre de gestion de la protection de la vie privée de certaines institutions fédérales : la façon dont elles organisent leurs activités au moyen de structures, de politiques, de systèmes et de processus pour attribuer les responsabilités en matière de protection des renseignements personnels, coordonner les travaux dans ce domaine, gérer les risques qui menacent ces renseignements et assurer le respect de la Loi sur la protection des renseignements personnels.

Nos deux bureaux ont donc convenu de collaborer à des vérifications simultanées, conformément à nos mandats respectifs. Cette collaboration constitue une première : deux mandataires du Parlement effectuent des vérifications simultanées d’institutions fédérales sélectionnées et font rapport au Parlement en même temps.

Les deux équipes ont participé ensemble aux processus de vérification et échangé régulièrement de l’information.

Les deux bureaux font rapport sur les systèmes et les pratiques de quatre institutions fédérales, dont chacune gère au moins une grande base de données de renseignements personnels qui comprend des renseignements sur l’identité. Élections Canada, par exemple, gère le Registre national des électeurs, qui renferme les renseignements personnels d’environ 23 millions d’électeurs admissibles. Service Canada administre le Registre d’assurance sociale, qui contient les renseignements personnels de toutes les personnes ayant fait une demande de numéro d’assurance sociale; en 2007, le Registre comptait près de 31 millions de dossiers actifs. L ’Agence du revenu du Canada gère la base de données IDENT, qui contient les renseignements personnels d’environ 33 millions de contribuables. Enfin, le fichier central de Passeport Canada contient les dossiers de plus de 17 millions de passeports valides.

Le Bureau du vérificateur général a constaté qu’à une exception près, les organisations recueillaient seulement les renseignements sur l’identité qu’elles étaient autorisées à recueillir. Deux des institutions fédérales gèrent bien la qualité des renseignements recueillis, tandis que dans les deux autres cette gestion pourrait être améliorée. Toutefois, les institutions fédérales n’ont pas intégré leurs approches de la gestion des renseignements sur l’identité. De nombreux cadres, stratégies et initiatives semblables ont été mis en œuvre au cours des dix dernières années, mais ces projets ont entraîné un chevauchement des processus, le réexamen fréquent des mêmes problèmes et l’adoption de solutions incomplètes pour répondre aux besoins sous-jacents.

Le Commissariat à la protection de la vie privée a constaté que deux des quatre institutions avaient des cadres de gestion de la protection de la vie privée relativement efficaces mais nécessitant des améliorations, tandis que la gestion des renseignements personnels par les deux autres institutions présentait des lacunes importantes. Le Commissariat a décelé des cas où les renseignements sont recueillis et utilisés sans que la loi ne le permette, où les renseignements personnels risquent d’être communiqués sans autorisation, voire perdus, et où les risques pour la protection de la vie privée ne sont pas bien évalués. Des lacunes dans le cadre de gestion des renseignements personnels d’une institution peuvent avoir diverses conséquences bien réelles pour les Canadiens, notamment le risque que leurs renseignements personnels soient utilisés à des fins illégales, comme dans le cas du vol d’identité.

Les deux mandataires du Parlement préconisent un leadership plus énergique de la part des organismes centraux du gouvernement, particulièrement du Secrétariat du Conseil du Trésor. Celui-ci a un rôle crucial à jouer en établissant des normes et en publiant des politiques, des directives et des lignes directrices concernant la gestion des renseignements sur l’identité et l’élaboration de cadres modèles pour la gestion de la protection de la vie privée.

Sans un leadership plus énergique, les institutions fédérales continueront probablement, chacune de leur côté, de mettre au point des solutions incomplètes pour relever leurs défis communs. En effet, elles doivent trouver des moyens d’authentifier l’identité des citoyens et des résidants canadiens à qui elles procurent des services et de protéger les renseignements personnels qu’elles recueillent et utilisent, entre autres pour en assurer l’intégrité, la sécurité et la confidentialité. Le lecteur peut se faire une bonne idée des possibilités qui existent — ainsi que des risques liés à l’inaction — en lisant les deux rapports comme un tout.

Les institutions fédérales peuvent mieux gérer cet actif du gouvernement que sont les renseignements personnels. Le fait de ne pas apporter les améliorations nécessaires se traduira en des coûts et une perte d’efficience, et pourrait porter atteinte à la vie privée des Canadiens.

La vérificatrice générale du Canada,
Sheila Fraser

La commissaire à la protection de la vie privée,
Jennifer Stoddart


Résumé

1.1 Le Commissariat à la protection de la vie privée (CPVP) a examiné les éléments clés des cadres de gestion de la protection de la vie privée des institutions suivantes : Élections Canada, Ressources humaines et Développement social Canada (RHDSC)/Service Canada et l’Agence du revenu du Canada (ARC). Ensemble, ces institutions gèrent de nombreux renseignements personnels sur à peu près tous les habitants du Canada.

1.2 Dans une vérification distincte, nous avons aussi examiné des éléments du cadre de gestion de la protection de la vie privée de Passeport Canada. Nous avons déjà publié notre rapport de vérification des activités de Passeport Canada. Puisque les observations relatives au cadre de gestion de la protection de la vie privée de Passeport Canada sont pertinentes à la présente vérification, elles ont été ajoutées en annexe à la fin de ce rapport (voir l’annexe B). Les conclusions de cette vérification s’inspirent également des observations concernant Passeport Canada.

1.3 Par « cadre de gestion de la protection de la vie privée », nous entendons la manière dont chaque institution est organisée, à l’aide de structures, de politiques, de systèmes et de procédures, pour déléguer les responsabilités, coordonner les activités et gérer les risques relatifs à la vie privée, ainsi que pour assurer la conformité à la Loi sur la protection des renseignements personnels. Les institutions fédérales dont les cadres sont inadéquats risquent de perdre la confiance des Canadiennes et Canadiens.

1.4 Chacune des institutions que nous avons examinées est à un degré différent de maturité en ce qui concerne la mise en place de cadres de gestion de la protection de la vie privée. Nous avons relevé des exemples de pratiques adéquates, mais aussi des exemples de mauvaises pratiques. Nous croyons que ces dernières auraient pu être évitées si de meilleurs cadres de gestion de la protection de la vie privée avaient été en vigueur. Voici des exemples de mauvaises pratiques :

  • des renseignements personnels sont recueillis et utilisés sans autorisation législative;
  • des renseignements personnels sont recueillis, alors que l’institution n’a pas évalué officiellement la nécessité de les obtenir;
  • il existe des risques de perte ou de communication non autorisée de renseignements personnels;
  • les risques relatifs à la vie privée n’ont pas été évalués alors que des modifications importantes ont été apportées aux pratiques opérationnelles.

1.5 Toutes les institutions que nous avons examinées utilisent des ententes officielles pour gérer leur collecte de renseignements et leurs ententes sur l’échange de renseignements avec d’autres institutions fédérales. Cette façon de faire est une pratique positive qui va au-delà des exigences de la Loi sur la protection des renseignements personnels et des directives actuelles du Secrétariat du Conseil du Trésor du Canada (SCT). Toutefois, nous avons cerné certaines lacunes dans la gestion de ces ententes. Nous recommandons que les institutions :

  • continuent d’utiliser des mécanismes officiels, comme les ententes sur l’échange de renseignements, dans toutes les activités de collecte ou de communication de renseignements personnels;
  • s’assurent que leurs ententes sur l’échange de renseignements soient raisonnablement récentes;
  • s’assurent que les ententes soient élaborées à l’intérieur d’un cadre de principes directeurs modernes en matière de protection de la vie privée;
  • s’assurent que les ententes soient examinées et soumises à des mesures de garantie indépendantes.

1.6 Nous avons senti des pressions et relevé des lacunes concernant la formation sur la protection de la vie privée, ce qui concorde avec les conclusions d’un récent sondage pangouvernemental effectué par le SCT qui indiquait que les bureaux de l’accès à l’information et de la protection des renseignements personnels (AIPRP) avaient exprimé la nécessité de fournir plus de formation sur la protection de la vie privée à leur personnel professionnel. Ces bureaux avaient également mentionné qu’ils font face à certains problèmes en ce qui concerne la prestation de formation à leurs employés.

1.7 Nous recommandons que les institutions renforcent leurs programmes de formation sur la protection de la vie privée. Nous suggérons aussi qu’en plus d’offrir de la formation continue pour les membres de la communauté de l’accès à l’information et de la protection de la vie privée, le SCT soit à la tête de l’élaboration et de la promotion d’un programme de formation de base sur la protection de la vie privée destiné à tous les fonctionnaires.

1.8 Selon nos observations, les bureaux de l’AIPRP de ces institutions n’accordent pas la même importance aux délais imposés par la loi à l’égard des demandes de communication, ainsi qu’à la façon de répondre aux demandes de renseignements et aux plaintes particulières et de les traiter. Les pressions liées à ces demandes font qu’il est difficile pour les coordonnateurs de l’AIPRP de jouer un rôle de chef de file stratégique en matière de protection la vie privée.

1.9 Pour trois institutions, nous recommandons la nomination d’un responsable de la protection de la vie privée. L’une des institutions en compte déjà un.

1.10 Nous aurions souhaité évaluer de façon indépendante la manière dont le SCT s’acquitte de ses obligations en vertu de la Loi sur la protection des renseignements personnels (la Loi) et surveille la conformité et en faire rapport. Toutefois, selon une interprétation rigoureuse de la Loi, la commissaire à la protection de la vie privée n’en a pas le pouvoir.

1.11 Le SCT nous a signalé qu’il surveille toutes les institutions assujetties à la Loi sur la protection des renseignements personnels à l’aide d’instruments visant à rendre des comptes au public, à savoir rapports annuels au Parlement, publications d’Info Source, fichiers de renseignements personnels et rapports statistiques. Il procède également à un examen plus poussé pour environ 20 p. 100 de ces institutions. Toutefois, cet examen porte essentiellement sur les obligations liées à la présentation de rapports destinés au public, et pourrait ne pas refléter le rendement réel en matière de protection de la vie privée. Avec cette vue limitée de la situation, le SCT n’a pas jugé comme étant solide la responsabilité en matière de protection de la vie privée des 46 institutions récemment évaluées. Il s’agit de résultats décevants.

1.12 Le SCT pourrait améliorer la gestion de la protection de la vie privée au sein du gouvernement fédéral de diverses manières, y compris par :

  • l’émission de directives pour la mise en œuvre des politiques récemment révisées en matière de protection de la vie privée;
    la mise en place d’une nouvelle politique d’évaluation des facteurs relatifs à la vie privée;
  • l’élaboration d’une politique et de lignes directrices sur l’identification et l’authentification;
  • la gestion de l’élaboration et de la promotion d’un programme de formation de base sur la protection de la vie privée destiné aux fonctionnaires;
  • la mise en place de directives efficaces sur l’échange de renseignements personnels entre les institutions et les organismes fédéraux et entre les divers ordres de gouvernement;
  • la création d’un modèle de cadre de gestion de la protection de la vie privée pour les institutions.

1.13 Le SCT nous a signalé que, dans le cadre de son examen et du renouvellement des politiques sur la protection de la vie privée, il a l’intention de s’attaquer aux enjeux de gouvernance, de gestion des risques, de formation et de sensibilisation, de surveillance et de rapports liés au programme et d’application de la Loi sur la protection des renseignements personnels. Une telle initiative est nécessaire et bienvenue.

1.14 En conclusion, il existe de nombreuses façons de renforcer les cadres de gestion de la protection de la vie privée des institutions fédérales afin de garantir aux Canadiennes et aux Canadiens que leur droit à la vie privée est entièrement respecté.

Introduction

1.15 Jusqu’à 250 institutions fédérales sont assujetties à la Loi sur la protection des renseignements personnels (la Loi) pour ce qui est de la gestion des renseignements personnels qu’elles recueillent et utilisent dans le cadre de la prestation de services aux Canadiennes et aux Canadiens.

1.16 Le responsable désigné de l’institution, souvent un ministre ou le dirigeant principal de l’institution, veille à la conformité. Cette personne doit présenter annuellement un rapport d’application de la Loi, et garantir, par exemple, que l’institution s’acquitte de ses diverses obligations énoncées aux articles 4 à 8 de la Loi.

1.17 Bien que la Loi n’exige pas du responsable de l’institution qu’il mette en place un cadre de contrôles, de systèmes ou de procédures en matière de gestion, un cadre de gestion de la protection de la vie privée est manifestement nécessaire si l’institution désire respecter les obligations imposées par la Loi et adopter de bonnes pratiques en ce qui concerne la protection de la vie privée.

1.18 Le CPVP a utilisé des principes modernes en matière de protection de la vie privée pour établir les critères de cette vérification. Nous avons étudié les éléments clés des cadres de gestion de la protection de la vie privée des institutions que le Bureau du vérificateur général du Canada (BVG) a choisi d’examiner, à savoir Élections Canada, RHDSC/Service Canada et l’Agence du revenu du Canada. Le BVG a également décidé d’examiner Passeport Canada. Nous avions déjà entrepris une vérification exhaustive de Passeport Canada, qui comprenait un examen de certains éléments de son cadre de gestion de la protection de la vie privée. Puisque les observations concernant le cadre de gestion de la protection de la vie privée de Passeport Canada sont en rapport avec cette vérification, nous les avons incluses, par souci de commodité, à l’annexe B. Ensemble, ces quatre institutions gèrent de nombreux renseignements personnels sur à peu près tous les habitants du Canada.

1.19 Il existe des différences importantes entre ces institutions. Chacune fournit des services bien distincts aux Canadiennes et aux Canadiens et relève d’une autorité législative particulière et unique. Ces institutions sont très différentes du point de vue de leur taille et de leur complexité.

1.20 Ces institutions ont toutefois des défis communs à relever relativement à l’acquittement de leurs obligations en matière de sécurité et de protection de la vie privée, ainsi qu’à la poursuite de leurs objectifs opérationnels. Elles doivent recueillir les renseignements personnels des Canadiennes et Canadiens pour déterminer leur admissibilité à certains programmes et services, et, dans le cas de l’ARC, calculer les impôts à payer. En conséquence, elles doivent garantir l’intégrité et la sécurité des renseignements qu’elles échangent ou qu’elles conservent. Toutes ces institutions reconnaissent l’importance de la confidentialité des renseignements personnels.

1.21 Toutefois, sécurité et confidentialité ne sont pas, en soi, synonymes de protection de la vie privée. La protection de la vie privée signifie, entre autres, limiter la collecte de renseignements personnels à ce qui est vraiment nécessaire aux fins d’un programme ou d’un service particulier. Cela signifie utiliser les renseignements conformément à l’objectif pour lequel ils ont été recueillis. Cela signifie également être ouvert et transparent quant à ses pratiques de protection de la vie privée. En outre, cela signifie octroyer à la personne le droit d’accéder à ses renseignements personnels, ainsi que le droit de s’assurer que les renseignements qui seront utilisés pour prendre des décisions administratives la concernant sont exacts. Enfin, cela signifie trouver un juste équilibre entre le droit à l’anonymat d’une personne et la nécessité de l’identifier et de confirmer son droit à certains services dans le cadre d’un programme. C’est pour toutes ces raisons qu’il est indispensable d’avoir un cadre de gestion de la protection de la vie privée solide.

1.22 En ce qui a trait au cadre de gestion de la protection de la vie privée, les institutions doivent également offrir une formation sur la protection de la vie privée à leurs employés, tant aux employés qui ont un contact direct avec le public ou qui fournissent un service au comptoir ou au téléphone, qu’aux gestionnaires qui sont en fin de compte tenus responsables des pratiques de l’institution en matière de protection de la vie privée. Toutes ces personnes doivent composer avec des plateformes technologiques vieillissantes qui ne répondent peut-être pas aux nouveaux besoins opérationnels, comme le cybergouvernement, et aux nouvelles menaces à la sécurité que posent, par exemple, les pirates informatiques de plus en plus habiles.

1.23 Le résumé de ce rapport comprend un sommaire des principaux résultats et conclusions de la vérification. La suite du rapport décrit en détail nos observations et nos recommandations pour chaque institution visée par l’examen. On y trouve également des renseignements sur le rôle et le travail du Secrétariat du Conseil du Trésor (SCT).

1.24 La date d’entrée en vigueur de ces observations et recommandations est le 30 juin 2008. Il s’agit de la date à laquelle nous avons terminé notre examen et entamé la première ébauche de ce rapport. Nous aimerions remercier les gestionnaires et le personnel de toutes les institutions de leur collaboration et de leur souplesse.

Portée et critères de la vérification

1.29 Nous avons utilisé diverses sources pour élaborer les critères d’évaluation relatifs à cette vérificationNote de bas de page 1. Comme il a été mentionné précédemment, ces critères sont le reflet de principes modernes et de pratiques exemplaires en matière de protection de la vie privée qui ne sont pas inscrits dans la Loi sur la protection des renseignements personnels. Par exemple, nous avons établi des critères en nous fondant sur le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisationNote de bas de page 2. Nous nous sommes aussi inspirés du document d’orientation de l’Institut Canadien des Comptables Agréés intitulé Principes généralement reconnus en matière de protection des renseignements personnels. Ce document a été conçu pour aider les gestionnaires à créer un programme de protection de la vie privée efficace qui tient compte des risques et des obligations liés à la protection des renseignements personnels ainsi que des occasions d’affaires.

1.30 Voici ce que nous attendions des institutions assujetties à la Loi :

  • qu’elles possèdent une structure de gouvernance et de responsabilité adéquate qui garantit la coordination efficace des responsabilités en matière de protection de la vie privée des employés de première ligne, des gestionnaires, ainsi que des spécialistes de la sécurité, de la technologie de l’information et de la protection de la vie privée;
  • qu’elles fassent en sorte que tous les employés ayant des responsabilités en matière de protection de la vie privée aient reçu une formation sur la protection de la vie privée et sur la sécurité;
  • qu’elles disposent de systèmes et de procédures pour déterminer, surveiller et atténuer les risques relatifs à la vie privée concernant les programmes et services nouveaux ou projetés et les activités en cours;
  • qu’elles adoptent un ensemble intégré de politiques sur la protection de la vie privée, fondées sur des pratiques exemplaires et des modèles existants, qui guideront leurs pratiques opérationnelles;
  • qu’elles établissent des normes, des objectifs et des mesures en matière de protection de la vie privée;
  • qu’elles effectuent une surveillance et produisent des rapports quant à leurs réalisations régulièrement.

1.31 Nous n’avons pas tenté de déterminer tous les éléments à inclure dans un cadre de gestion de la protection de la vie privée et n’avons pas examiné les pratiques de protection de la vie privée dans leurs moindres détails pour chacune des institutions. Le Secrétariat du Conseil du Trésor est, selon nous, responsable de fournir des lignes directrices aux institutions fédérales assujetties à la Loi, y compris concernant l’élaboration d’un modèle de cadre de gestion de la protection de la vie privée. Pour en savoir davantage sur la vérification, voir l’annexe A à la fin de ce rapport.

Observations et recommandations

Élections Canada

Introduction

2.1 Élections Canada est un organisme indépendant et non partisan qui relève directement du Parlement. Il compte environ 400 employés permanents à temps plein dans la région de la capitale nationale.

2.2 Avant 1997, lorsque des élections étaient déclenchées, Élections Canada allait de porte en porte pour créer une liste des électeurs admissibles. Sur les listes d’électeurs se trouvaient les noms et adresses des électeurs admissibles, renseignements que la plupart des Canadiennes et Canadiens ne considéraient probablement pas comme particulièrement sensibles. Ces listes sont encore utilisées pour contrôler l’accès au processus de vote ainsi que pour garantir qu’un électeur dépose son bulletin de vote dans la bonne section de vote et dans la bonne circonscription.

2.3 La Loi électorale du Canada a été modifiée en 1997 pour permettre la création d’une liste électorale permanente, le Registre national des électeurs (RNE). Le RNE contient les renseignements personnels d’environ 23 millions d’électeurs canadiens admissibles. En vertu du paragraphe 44(3) de la Loi électorale du Canada, l’électeur peut choisir d’être inscrit ou non dans le RNE, et Élections Canada précise sur son site Web qu’il applique le principe du consentement éclairé et actif en ce qui concerne le RNE.

2.4 Élections Canada a effectué un dernier recensement des électeurs pour créer le RNE en 1997. Afin qu’il demeure exact, le RNE doit être constamment mis à jour : de jeunes Canadiens atteignent la majorité et deviennent des électeurs admissibles, un grand nombre de Canadiens déménagent dans la même ou dans une autre circonscription, les renseignements de nouveaux Canadiens doivent être inclus ou les renseignements de personnes décédées doivent être enlevés.

2.5 Élections Canada met à jour le RNE avec les renseignements personnels qu’il obtient auprès de divers partenaires provinciaux, territoriaux et fédéraux. Il recueille les renseignements de plus de 40 sources provinciales et territoriales, précisées dans une annexe de la Loi électorale du Canada. Il recueille des statistiques de l’état civil (renseignements sur les décès seulement) et des renseignements concernant les permis de conduire, des renseignements de l’Agence du revenu du Canada (des déclarants consentants), des renseignements de Citoyenneté et Immigration Canada (sur les nouveaux Canadiens) ainsi que des renseignements sur les changements d’adresse auprès de la Société canadienne des postes (la base de données du Programme national sur les changements d’adresse). Il a également conclu des ententes d’échange de renseignements avec des agences électorales provinciales et des partenaires municipaux aux fins de mise à jour du RNE.

2.6 Les Canadiennes et Canadiens connaissent le mécanisme principal de mise à jour du RNE, à savoir les cases à cocher sur leur formulaire de déclaration de revenus qui servent à confirmer leur consentement à la communication de leurs renseignements personnels (nom, citoyenneté, adresse et date de naissance) à Élections Canada.

2.7 En plus du nom, de l’adresse actuelle et des adresses antérieures des électeurs, le RNE contient pour chacun d’eux la date de naissance, le sexe, le numéro de permis de conduire et tout numéro d’identification unique attribué par les institutions qui fournissent les renseignements personnels à Élections Canada.

2.8 En vertu de l’article 73 de la Loi sur la protection des renseignements personnels, le directeur général des élections a délégué ses responsabilités en matière de protection de la vie privée au coordonnateur de l’accès à l’information et de la protection des renseignements personnels (AIPRP).

Pourquoi cette vérification est importante

2.9 Le processus électoral a subi de nombreux changements importants par suite des modifications récentes à la Loi électorale du Canada. La plupart de ces changements sont entrés en vigueur le 1er mars 2008, pour les élections déclenchées après cette date.

2.10 Premièrement, lorsque les électeurs se rendront à un bureau de vote, ils devront présenter des documents pour prouver qu’ils sont bien qui ils prétendent être, et pour prouver qu’ils habitent bien dans la circonscription dans laquelle ils désirent voter.

2.11 Deuxièmement, le directeur général des élections doit maintenant attribuer un numéro d’identification unique et généré aléatoirement à chaque personne inscrite au RNE, et communiquer ce numéro aux candidats durant une élection ainsi qu’aux partis politiques et aux membres du Parlement annuellement.

2.12 Selon un rapport du directeur général des élections, le numéro d’identification unique permettra aux partis politiques d’intégrer plus facilement les listes d’électeurs dans les listes internes de leur partiNote de bas de page 3. Environ 23 millions de Canadiennes et Canadiens (environ 76 p. 100 de la population du Canada) se verront attribuer un numéro d’identification unique et permanent qui sera communiqué, avec leur nom et adresse, aux partis politiques et aux candidats fédéraux.

2.13 Alors que les partis politiques enregistrés reçoivent une liste complète pour les circonscriptions où ils ont présenté un candidat à la dernière élection, les candidats et les députés ne reçoivent que la liste des électeurs qui habitent dans leur circonscription. Ces listes sont distribuées sous forme imprimée (jusqu’à cinq copies par candidat à une élection) et sur des CD-ROM chiffrés et protégés par mot de passe. Les listes d’électeurs ont été distribuées à 1 634 candidats au cours de la 39e élection générale de janvier 2006.

2.14 La Loi électorale du Canada a également été modifiée pour que la date de naissance complète des électeurs soit comprise dans les listes à être distribuées aux scrutateurs et aux greffiers du scrutin. La date de naissance des électeurs sera utilisée comme mécanisme de contrôle pour garantir que seules les personnes admissibles puissent voter.

2.15 Les activités électorales dans les circonscriptions et les bureaux de vote sont dirigées et gérées par les directeurs du scrutin. Jusqu’à 2007, ces directeurs étaient nommés par le gouvernement au pouvoir, par un décret du gouverneur en conseil. Les 308 circonscriptions étaient, selon le Rapport du directeur général des élections du CanadaNote de bas de page 4, des entités distinctes et indépendantes, non assujetties aux lois gouvernementales telles que la Loi sur la protection des renseignements personnels. En conséquence des récentes modifications à la Loi électorale du Canada, adoptées en juin 2007, les directeurs du scrutin agissent maintenant sous l’autorité du directeur général des élections, et les employés temporaires embauchés pendant la période électorale sont, apparemment pour la première fois, assujettis à la Loi sur la protection des renseignements personnelsNote de bas de page 5.

2.16 Au cours d’une élection, les directeurs du scrutin embauchent environ 190 000 employés temporaires pour travailler dans près de 65 000 bureaux de vote répartis dans 308 circonscriptions. Pour chaque bureau de vote, un scrutateur et un greffier du scrutin doivent vérifier l’identité et l’adresse des électeurs et gérer le vote. La liste d’électeurs qui leur est fournie contient le prénom, le nom, les adresses municipale et postale, le sexe, la date de naissance et le numéro d’identification unique de tous les électeurs admissibles qui demeurent dans leur circonscription. Cette liste compte en moyenne 350 noms.

2.17 Le risque accru associé à l’ajout de la date de naissance et du numéro d’identification unique sur les listes d’électeurs utilisées par les membres du personnel électoral les jours d’élection justifie l’importance d’élaborer un cadre de gestion de la protection de la vie privée efficace pour réduire au minimum le risque que les renseignements personnels des Canadiennes et Canadiens soient utilisés à des fins illégales. La commissaire à la protection de la vie privée du Canada a manifesté son inquiétude quant à ce risque, en mai 2007, lorsqu’on lui a demandé d’exprimer son opinion sur les modifications proposées à la Loi électorale du Canada.

Ce que nous avons relevé

2.18 Selon nos observations, Élections Canada est bien au fait que la protection de la vie privée constitue un élément important de ses programmes et activités. Les documents écrits qui sont distribués aux intervenants au cours d’une élection et affichés sur le site Web d’Élections Canada font foi de l’importance de la protection de la vie privée.

2.19 Élections Canada a pris des mesures positives pour atténuer les risques en matière de sécurité et de protection de la vie privée; par exemple, la mise en œuvre d’un programme de formation sur la sensibilisation à la protection de la vie privée destiné aux membres du personnel électoral ainsi que le chiffrement et la protection avec mot de passe des listes électorales sur les CD-ROM distribués aux candidats au cours de la période électorale.

2.20 Les mesures de sécurité d’Élections Canada relativement à la gestion interne du RNE sont adéquates. Élections Canada a mis en place un ensemble de mesures de sécurité et de procédures de contrôle pour garantir une collecte et des échanges sécurisés de renseignements personnels avec ses partenaires fédéraux, provinciaux et territoriaux et pour protéger les renseignements contenus dans le RNE.

2.21En vertu de l’article 73 de la Loi sur la protection des renseignements personnels, le directeur général des élections a délégué les responsabilités du responsable de l’institution relativement à la protection de la vie privée au coordonnateur de l’accès à l’information et de la protection des renseignements personnels (AIPRP) d’Élections Canada.

La structure de gouvernance et les mesures de responsabilité doivent être renforcées

2.22 Par suite des modifications à la Loi fédérale sur la responsabilité, Élections Canada est devenu, en 2007, assujetti à la Loi sur l’accès à l’information. La structure du Bureau d’accès à l’information et de protection des renseignements personnels (AIPRP) a été déterminée, et le SCT a récemment approuvé le financement de quatre postes.

2.23 Selon Élections Canada, le Bureau de l’AIPRP pourra gérer le volume anticipé des demandes d’accès et de communication de renseignements personnels. Il n’est cependant pas établi qu’il aura la capacité de gérer les pratiques importantes de protection de la vie privée, comme les évaluations des facteurs relatifs à la vie privée, l’élaboration de politiques, la formation ou la notification en cas d’atteinte à la vie privée.

2.24 Le coordonnateur de l’AIPRP occupe le seul poste à Élections Canada pour lequel des responsabilités en matière de protection de la vie privée ont été définies. Le Bureau de l’AIPRP a établi un plan de travail de haut niveau, mais actuellement, il ne dispose d’aucun processus, procédure ou délai officiel en ce qui a trait au traitement des problèmes ou des préoccupations concernant la protection de la vie privée.

2.25 D’autres postes de gestion au sein d’Élections Canada comportent des responsabilités importantes en matière de protection de la vie privée. Le directeur du scrutin de chacune des 308 circonscriptions a une responsabilité globale quant à la confidentialité et à la sécurité des listes et des documents électoraux qu’on lui confie. Le directeur principal, Gestion et préparation des scrutins en région, supervise la tenue de l’élection dans les bureaux locaux et, à ce titre, s’assure que les documents contenant des données sur les électeurs arrivent bien à destination. Le directeur principal, Gestion et préparation des données électorales, est responsable de la transmission sécuritaire des documents électoraux aux partis et aux députés, des relations avec les fournisseurs de données fédéraux, provinciaux et municipaux ainsi que des partenariats électoraux. Le titulaire de ce poste est, selon la politique du SCT, responsable de garantir la présence de clauses de protection de la vie privée appropriées dans les ententes intergouvernementales.

2.26 Il semble que le coordonnateur de l’AIPRP travaille présentement en collaboration avec d’autres cadres supérieurs au cas par cas, sans objectifs de rendement ni protocoles clairs quant à la répartition des responsabilités en matière de protection de la vie privée.

2.27 Élections Canada nous a informés qu’il élabore actuellement un plan de travail plus détaillé concernant la protection de la vie privée. Un tel plan est effectivement nécessaire selon nous. Élections Canada devrait songer à inclure dans son plan des produits livrables et des délais précis, y compris un processus, des procédures et des délais pour le traitement des problèmes ou des préoccupations concernant la protection de la vie privée.

Recommandation

2.28 Nous recommandons qu’Élections Canada renforce sa structure de gouvernance et sa reddition de comptes en matière de protection de la vie privée. Élections Canada devrait envisager les points suivants :

  • définir les objectifs de rendement en matière de protection de la vie privée pour le coordonnateur de l’AIPRP et les autres cadres supérieurs au sein d’Élections Canada dans les ententes de rendement de chaque gestionnaire;
  • établir des protocoles officiels pour déterminer comment, quand et dans quelles circonstances le coordonnateur de l’AIPRP fournira des conseils en matière de protection de la vie privée concernant les activités des gestionnaires des opérations;
  • nommer un responsable de la protection de la vie privée qui agira comme chef de file stratégique en matière de protection de la vie privée et qui surveillera et coordonnera les activités du coordonnateur de l’AIPRP et des gestionnaires ayant des responsabilités relatives à la protection de la vie privée.

Réponse de la direction

Élections Canada reconnaît l'importance des renseignements qui lui sont confiés concernant les électeurs puisque ces renseignements sont indispensables à l'administration du processus électoral. La sécurité des renseignements personnels a toujours constitué une priorité, car elle est essentielle au maintien de la confiance des électeurs dans ce processus. Nous accueillons favorablement les observations du Commissariat à la protection de la vie privée du Canada relativement au renforcement de la gouvernance et de la reddition de comptes en matière de protection des renseignements personnels.

Nous examinerons donc notre structure de gouvernance interne et déterminerons le meilleur moyen d'élaborer un cadre de gestion de la protection des renseignements personnels afin d'assurer que la Loi sur la protection des renseignements personnels et les lignes directrices et politiques du SCT continuent d'être respectées.

Formation sur la protection de la vie privée

2.29 Comme il a été mentionné précédemment, le coordonnateur de l’AIPRP a commencé, au cours de la dernière année, à offrir de la formation sur la protection de la vie privée aux directeurs du scrutin, qui gèrent les élections au niveau local. Cette initiative est importante et digne de mention. En juin 2008, deux cadres supérieurs d’Élections Canada ont assisté à une présentation sur les notions de base de la protection de la vie privée.

Recommandation

2.30 Nous recommandons qu’Élections Canada offre un programme de formation obligatoire sur la protection de la vie privée aux gestionnaires et à tous les employés qui manipulent des renseignements personnels ou qui ont des responsabilités en ce qui a trait à la protection de la vie privée.

Réponse de la direction

Élections Canada continuera de dispenser et de développer ses programmes de formation en matière de protection des renseignements personnels.

Les mécanismes de coordination de la prestation de programmes et de gestion des risques à l’échelle de l’institution doivent être officialisés et intégrés au cadre de gouvernance

2.31 Selon la Politique d’évaluation des facteurs relatifs à la vie privée du SCT, les ministères sont tenus de mettre en place un processus officiel de détermination et d’atténuation des risques relatifs à la vie privée au moment du lancement de nouveaux programmes et services. En vertu des dispositions de la politique telle qu’elle est actuellement rédigée, les récentes modifications à la Loi électorale du Canada, qui permettent la distribution d’un numéro d’identification unique et de la date de naissance de l’électeur, ont suscité la nécessité d’envisager la tenue d’une évaluation des facteurs relatifs à la vie privée (ÉFVP). Élections Canada a conclu qu’une ÉFVP n’était pas nécessaire puisqu’il s’agissait de modifications apportées à la Loi. Toutefois, selon nous, une ÉFVP aurait dû être effectuée.

2.32 Au cours de notre vérification, nous avons également constaté qu’Élections Canada a commencé une révision importante de ses pratiques opérationnelles concernant les règles électorales spéciales (et les listes). Une évaluation des menaces et des risques associés aux nouvelles pratiques opérationnelles a été effectuée. En vertu de la politique d’ÉFVP, Élections Canada devait aussi se pencher sur la nécessité d’effectuer une évaluation des facteurs relatifs à la vie privée au début de cette initiative, ce qu’il a fait. Toutefois, Élections Canada a jugé qu’une telle évaluation n’était pas nécessaireNote de bas de page 6. Selon nous, une ÉFVP aurait dû être effectuée.

2.33 Le coordonnateur de l’AIPRP a proposé que le mandat du Comité de gestion de l’information/technologie de l’information soit modifié pour inclure la responsabilité de coordonner et de gérer les risques relatifs à la sécurité et à la vie privée concernant le lancement de nouveaux programmes et services (au moyen du processus d’ÉFVP). Au moment de notre vérification, aucune décision définitive n’avait été prise à cet égard.

Recommandation

2.34 Nous recommandons qu’Élections Canada mette en œuvre des mesures pour veiller à ce que les évaluations des facteurs relatifs à la vie privée soient envisagées pour tous les nouveaux programmes.

Réponse de la direction

Élections Canada reconnaît que des évaluations des facteurs relatifs à la vie privée (EFVP) doivent être envisagées pour tous les nouveaux programmes et mettra en place les procédures nécessaires pour que les EFVP soient intégrées au cycle de vie normal des projets. Nous prévoyons mettre en place d'ici le 31 mars 2009 des procédures visant à s'assurer que les EFVP seront systématiquement envisagées pour toute nouvelle initiative.

Les risques relatifs à la vie privée concernant les activités en cours doivent être pris en compte

2.35 Des risques relatifs à la vie privée découlent également des activités en cours. Nous avons examiné les directives qu’Élections Canada fournit aux membres du personnel électoral, aux candidats à l’élection et aux partis politiques qui reçoivent les listes d’électeurs. Les Lignes directrices sur la communication et l’utilisation des listes électorales soulignent l’importance de protéger la confidentialité des renseignements personnels contenus dans les listes. Elles recommandent que les destinataires de ces listes nomment une personne qui sera responsable de faire part de ces lignes directrices aux autres, comme au personnel des partis politiques ou au personnel des députés qui aura accès à ces listes. Les lignes directrices énoncent également que d’utiliser sciemment les listes d’électeurs à des fins autres qu’électorales constitue une infraction en vertu de la Loi électorale du Canada.

2.36 Les partis politiques, les députés et les candidats ne sont pas tenus, en vertu de la Loi électorale du Canada, de la Loi sur la protection des renseignements personnels ou des lignes directrices, de signaler la perte ou l’utilisation inappropriée de listes électorales. Selon nous, il s’agirait toutefois d’une bonne pratique que d’aviser Élections Canada lorsqu’une liste électorale est perdue.

2.37 Élections Canada nous a informés qu’il n’y a eu que quatre atteintes à la vie privée connues au cours des dernières années. Nous avons examiné la gestion de trois des atteintes à la vie privée au sein d’Élections Canada. Il se dégage de notre examen des dossiers qu’Élections Canada prend ces atteintes au sérieux, et que dans un cas en particulier, il a fait des efforts soutenus pour éviter d’autres cas d’atteinte à la vie privée.

2.38 Toutefois, Élections Canada ne dispose pas de politique interne de notification en cas d’atteinte à la vie privée, n’oblige pas les gestionnaires et le personnel à l’aviser et n’utilise pas de moyens systématiques pour déceler les atteintes à la vie privée.

2.39 Une approche globale quant à la notification en cas d’atteinte à la vie privée peut aider les ministères à mieux gérer les risques relatifs à la vie privée, ce qui leur permet de modifier leurs activités opérationnelles en fonction des leçons apprises.

2.40 En 2003, le SCT a émis les Lignes directrices sur les atteintes à la vie privée, pour aider les ministères à éviter les cas d’accès inapproprié ou non autorisé aux renseignements personnels, ou de communication inappropriée ou non autorisée de ces derniers, et à atténuer les conséquences d’une atteinte à la vie privée, le cas échéant.

2.41 L’un des dossiers d’atteinte à la vie privée que nous avons examinés concernait les renseignements personnels d’un employé d’Élections Canada. Deux autres dossiers portaient sur les listes électorales. L’un de ces deux dossiers a attiré l’attention des médias : la GRC a découvert en 2006 que des listes comprenant les noms et adresses d’électeurs se trouvaient dans des bureaux d’une cellule des Tigres tamouls, une entité terroriste inscrite. La GRC prétend que les listes étaient utilisées pour trouver des contributeurs financiers potentiels pour l’organisation tamoule. Selon les médias, ces listes étaient des listes de candidats.

2.42 Le troisième dossier d’atteinte à la vie privée que nous avons examiné concernait les renseignements personnels d’électeurs sous la responsabilité d’Élections Canada. Le Bureau du directeur général des élections a commandé une étude spéciale en conséquence des préoccupations soulevées par certains parlementaires concernant l’étendue de l’inscription le jour du scrutin dans la circonscription de Trinity-Spadina au cours de la 39e élection générale. Les consultants qui ont procédé à cette étude ont déterminé que les documents d’élection, comme les listes électorales officielles, les registres du scrutin, les bandes de stockage de données électroniques et les certificats d’inscription, étaient introuvables. Alors que les listes électorales officielles contenaient uniquement les noms et adresses des électeurs, les certificats d’inscription incluaient les anciennes adresses ainsi que les dates de naissance. Élections Canada a par la suite modifié complètement les programmes de formation, amélioré les documents sur les procédures et introduit des mesures de contrôles supplémentaires, et ces modifications ont été testées aux élections partielles qui ont suivi.

2.43 Selon Élections Canada, entre 4 et 12 p. 100 des registres du scrutin et des listes électorales (selon la circonscription) qui ont été utilisés dans les bureaux de vote durant les élections partielles de septembre 2007 n’ont pu être retrouvés. Élections Canada nous a avisés qu’aux élections partielles de mars 2008, le pourcentage global des documents d’élection qui n’ont pas été retrouvés a diminué. Élections Canada a conclu, en se basant sur un échantillon limité de seulement trois circonscriptions, qu’à peine plus de 1 p. 100 des documents d’élection n’avaient pu être retrouvés. Toutefois, le nombre réel de listes officielles que l’on n’a pu retrouver était le même en mars 2008 qu’après la 39e élection générale de janvier 2006 dans la circonscription de Trinity-Spadina : les deux fois, dix listes officielles n’ont pu été retrouvées.

2.44 Il semble très difficile de contrôler et de comptabiliser tous les documents d’élection. Pour résoudre ce problème, il faudrait peut-être revoir les lois applicables.

2.45 Nous avons constaté que l’atteinte à la vie privée n’avait pas été signalée immédiatement au CPVP. Cette question a été soulevée pour la première fois au printemps 2007. En juin 2007, Élections Canada a établi que pour se conformer aux Lignes directrices sur les atteintes à la vie privée du SCT, le coordonnateur de l’AIPRP devait aviser le CPVP. Le directeur général des élections a fait part verbalement de l’incident à la commissaire à la protection de la vie privée en mars 2008. À la fin de notre vérification qui s’est terminée en juin 2008, soit plus d’un an après, le CPVP n’avait pas encore été avisé officiellement, ce qui est contraire aux lignes directrices du SCT.

2.46 Après la fin de notre vérification, une lettre de notification, datée du 2 juillet 2008, a été reçue au Commissariat à la protection de la vie privée du Canada le 8 juillet 2008. Le directeur général des élections signalait que son bureau cherchait des solutions à ce problème.

Recommandations

2.47 Nous recommandons qu’Élections Canada :

  • élabore une politique interne de notification en cas d’atteinte à la vie privée et forme les employés concernant les obligations liées à cette politique;
  • inclue, dans les Lignes directrices sur la communication et l’utilisation des listes électorales, un mécanisme qui permettrait aux membres du personnel électoral, aux partis politiques, aux députés et aux candidats de signaler la perte d’une liste électorale et de recevoir des conseils connexes;
  • élabore un mécanisme qui permettrait à la haute direction d’examiner régulièrement les atteintes à la vie privée et de déterminer si des mesures correctives sont nécessaires pour prévenir d’autres incidents.

2.48 Nous recommandons qu’Élections Canada s’assure de répondre aux attentes en matière de notification des atteintes à la vie privée, telles qu’énoncées par le Secrétariat du Conseil du Trésor.

2.49 Nous recommandons également qu’Élections Canada continue de chercher des moyens d’atténuer les risques associés à la distribution de renseignements électoraux.

Réponse de la direction

Élections Canada continuera de prendre diverses mesures d'atténuation des risques pour la protection des renseignements concernant les électeurs.

Nous envisageons actuellement de réviser les Lignes directrices sur la communication et l'utilisation des listes électorales qui accompagnent la distribution annuelle des listes aux partis et aux députés et celle des listes électorales qui sont fournies aux partis politiques et aux candidats lors d'une élection. Toute modification à ces lignes directrices sera apportée avant la distribution prévue pour novembre 2009.

En ce qui concerne l'obligation d'aviser, Élections Canada souligne que l'étude sur les inscriptions le jour du scrutin dans la circonscription de Trinity-Spadina a été publiée le 1er mai 2007, affichée sur le site Web d'Élections Canada et déposée auprès du Comité permanent de la procédure et des affaires de la Chambre. Élections Canada a agi de manière transparente et apporté des mesures afin de protéger la vie privée des électeurs. Élections Canada continuera de se conformer aux attentes énoncées dans les lignes directrices du Secrétariat du Conseil du Trésor sur les atteintes à la vie privée, et apportera d'ici le 31 décembre 2009 des améliorations aux mécanismes visant la sensibilisation et la conformité des employés et la surveillance de la direction à cet égard.

Consentement valable

2.50 Alors que la Loi sur la protection des renseignements personnels exige seulement qu’une personne soit avisée des fins pour lesquelles les renseignements personnels sont recueillis, la Loi électorale du Canada impose une exigence supplémentaire. Elle stipule expressément que « l’inscription au Registre des électeurs est facultative ». Les électeurs consentent à ce que leur nom et leurs renseignements personnels figurent dans le RNE, et ils consentent explicitement à l’échange de ces renseignements personnels entre les ministères fédéraux (comme l’Agence du revenu du Canada) et Élections Canada. Élections Canada s’engage à respecter le principe du « consentement actif et éclairé ».

2.51 Le consentement est un principe clé du Code type sur la protection des renseignements personnels, qui a été mentionné précédemment. Selon ce principe, les organisations doivent obtenir le consentement valable d’une personne en lui faisant connaître leurs pratiques de collecte, d’utilisation et de communication au moment de la collecte des renseignements personnels. Toujours selon ce principe, une organisation doit décrire les pratiques qu’elle entend utiliser au moyen d’une terminologie qu’une personne raisonnable estimerait compréhensible, informer la personne des conséquences de ne pas fournir son consentement et préciser la façon de retirer le consentement.

2.52 Le site Web d’Élections Canada contient des informations sur les utilisations permises de renseignements personnels (en vertu des dispositions de la Loi électorale du Canada) et sur la façon dont les électeurs peuvent faire retirer leurs renseignements personnels du RNE.

2.53 Les électeurs qui ont fait retirer leurs renseignements personnels du RNE peuvent tout de même voter à une élection. S’ils décident de voter en dépit du fait qu’ils ont exigé le retrait de leurs renseignements personnels du RNE, la Loi électorale du Canada exige que leurs renseignements personnels soient inscrits sur la liste électorale définitive qui est distribuée aux partis politiques.

2.54 Les personnes qui remplissent leur déclaration de revenus peuvent consentir de manière explicite au partage de leurs nom, adresse, date de naissance et citoyenneté avec Élections Canada. Le formulaire d’impôt informe le contribuable que les renseignements seront utilisés aux fins prescrites par la Loi électorale du Canada. Toutefois, la version actuelle du document de consentement ne précise pas quels renseignements personnels seront communiqués ni à qui, et elle n’informe pas le contribuable des fins précises qui sont permises en vertu de la Loi électorale du Canada. Elle n’indique pas non plus où le déclarant peut obtenir des renseignements supplémentaires, particulièrement sur les conséquences de ne pas donner son consentement et sur la façon de retirer ses renseignements personnels du RNE. En conséquence, il ne peut y avoir de consentement valable.

Recommandation

2.55 Nous recommandons qu’Élections Canada renforce ses pratiques afin de s’assurer d’obtenir un consentement valable des électeurs.

Réponse de la direction

Élections Canada a entrepris la révision de son site Web et de ses documents d'information publique concernant le Registre des électeurs, y compris les documents portant sur le consentement. Lorsqu'indiqué, des changements seront apportés pour s'assurer que les électeurs soient adéquatement informés de la façon dont leurs renseignements personnels sont recueillis, utilisés et communiqués et du fait qu'ils peuvent choisir de ne pas être inscrits au registre sans que leur droit de vote ne soit compromis. La révision du site Web et des autres documents d'information publique liés au Registre des électeurs sera terminée d'ici le 31 décembre 2009.

Ententes sur la collecte et l’échange de renseignements

2.56 Élections Canada recueille des renseignements auprès d’autorités provinciales chargées de compiler des statistiques de l’état civil et d’émettre des permis de conduire, de l’Agence du revenu du Canada, de Citoyenneté et Immigration Canada et de la Société canadienne des postes, dans le but de mettre le RNE à jour en vertu des dispositions de l’article 46 de la Loi électorale du Canada. Toutefois, Élections Canada n’échange pas de renseignements avec ces organisations. L’alinéa 46(1)a) permet au directeur général des élections, avec l’autorisation explicite de l’électeur, de mettre à jour le RNE à l’aide des renseignements détenus par un ministère fédéralNote de bas de page 7. Élections Canada dispose d’ententes officielles régissant ces pratiques de collecte avec des organisations tant provinciales que fédérales. Les clauses de ces ententes varient. Certaines sont demeurées relativement inchangées, alors que d’autres ont été régulièrement révisées. Toutes ces ententes comportent des clauses très détaillées sur la sécurité et la protection des renseignements. Les clauses relatives à la sécurité ont été incorporées aux ententes il y a environ huit ans.

2.57 La politique du Secrétariat du Conseil du Trésor sur la collecte de renseignements personnels stipule que :

les institutions doivent exercer des contrôles administratifs afin de s’assurer qu’elles recueillent uniquement les renseignements personnels nécessaires aux programmes et aux activités concernés. Pour ce faire, les institutions doivent avoir une autorisation parlementaire ayant trait à l’activité ou au programme concernés et pouvoir démontrer la nécessité [c’est nous qui soulignons] de chaque renseignement personnel recueilli afin d’entreprendre le programme ou l’activité concerné.

De plus, l’article 4 de la Loi sur la protection des renseignements personnels énonce que « les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ».

2.58 Nous avons constaté que certains bureaux d’immatriculation des véhicules automobiles provinciaux transmettent des renseignements personnels sur des conducteurs de 16 et 17 ans à Élections Canada, même si celui-ci n’a pas demandé ces renseignements. Élections Canada communique avec ces conducteurs lorsqu’ils atteignent la majorité pour leur demander s’ils souhaitent être ajoutés au RNE. Selon nous, Élections Canada n’a pas l’autorisation législative de recueillir des renseignements sur des conducteurs de 16 et 17 ans.

2.59 Élections Canada reçoit aussi de façon automatique d’autres renseignements qu’il n’a pas demandés, comme des renseignements sur l’état du permis de conduire de certaines personnes (c.-à-d. si le permis est valide ou non). Il n’a pas besoin de ces renseignements et ne les utilise pas pour mettre à jour le RNE.

2.60 Élections Canada échange également des renseignements personnels sur les électeurs avec des organismes électoraux provinciaux, territoriaux et municipaux. L’article 55 de la Loi électorale du Canada permet ces échanges et exige que le directeur général des élections conclue avec les provinces des ententes officielles comportant des conditions relatives à l’utilisation et à la protection des renseignements personnels.

2.61 Élections Canada utilise un modèle uniformisé pour ses ententes sur l’échange de renseignements, soit un protocole d’entente (PE) qui a été révisé pour la dernière fois il y a environ huit ans. Depuis, Élections Canada n’a pas révisé les clauses sur la sécurité et la vie privée comprises dans les ententes sur la collecte et l’échange de renseignements.

2.62 Le Sous-comité sur la protection de la vie privée de l’Institut des services axés sur les citoyens a publié un document intitulé Ententes d’échange de renseignements personnels entre gouvernements - Lignes directrices sur les pratiques exemplaires, pour le compte du Conseil des DPI du secteur public. Ce Conseil regroupe les dirigeants principaux de l’information (DPI) des administrations fédérale, provinciales, territoriales et municipales. Le SCT a contribué à l’élaboration des lignes directrices. Ces dernières ont été créées en guise de « moyen d’offrir des stratégies efficaces qui minimiseront ou élimineront les risques posés à l’égard des renseignements personnels, dans le cadre des EERP [ententes d’échange de renseignements personnels] ». Selon nous, ces lignes directrices sont d’une grande utilité et s’appliquent à toutes les pratiques de collecte et d’échange de renseignements.

2.63 Bien que les protocoles d’entente d’Élections Canada comprennent une clause permettant à ce dernier de vérifier les pratiques de traitement des données d’autres organismes électoraux, Élections Canada n’a jamais utilisé cette clause.

Recommandations

2.64 Nous recommandons qu’Élections Canada cesse de recueillir des renseignements personnels (1) qu’il n’a pas le pouvoir de recueillir en vertu de la loi et (2) dont il n’a pas besoin ou qu’il n’utilisera pas. Élections Canada devrait mettre en place des mesures pour s’assurer qu’il ne recueille que les renseignements qu’il est autorisé à recueillir en vertu des dispositions de la Loi électorale du Canada et de l’article 4 de la Loi sur la protection des renseignements personnels.

Réponse de la direction

Élections Canada est autorisé par la loi à tenir à jour les renseignements personnels des personnes ayant qualité d'électeur, à des fins d'administration électorale. Pour avoir qualité d'électeur, il faut être citoyen canadien et âgé d'au moins 18 ans le jour du scrutin. Élections Canada a reçu les renseignements personnels de certaines personnes qui n'ont pas encore atteint l'âge de 18 ans et qui, par conséquent, n'ont pas qualité d'électeur. Nous soulignons toutefois que les données sur ces personnes ne figurent ni dans le Registre national des électeurs ni sur les listes électorales. Élections Canada souscrit à la recommandation et prendra les mesures suivantes pour s'y conformer d'ici le 31 mars 2009 :

  • Tous les renseignements sur les personnes âgées de moins de 18 ans seront supprimés de la base de données d'Élections Canada.
  • Élections Canada demandera à ses fournisseurs de lui transmettre des renseignements qui concernent uniquement les personnes âgées de 18 ans et plus. Jusqu'à ce que ce changement soit en vigueur, Élections Canada supprimera des fichiers reçus des fournisseurs, avant de les traiter, tous les dossiers liés à des personnes de moins de 18 ans.

En vertu du paragraphe 540(2) de la Loi électorale du Canada, Élections Canada est tenu de conserver pendant au moins deux ans les documents relatifs à la mise à jour du Registre national des électeurs. Après cette période et sous réserve du consentement du bibliothécaire et archiviste du Canada, Élections Canada détruira les cédéroms, disquettes ou autres supports physiques ayant servi à la transmission des renseignements.

2.65 Nous recommandons qu’Élections Canada révise et mette à jour les clauses relatives à la vie privée et à la sécurité dans ses ententes sur l’échange de renseignements. De plus, nous recommandons qu’il s’assure que ces ententes sont élaborées et gérées à l’intérieur d’un cadre de principes directeurs modernes en matière de protection de la vie privée, comme ceux énoncés dans les Lignes directrices sur les pratiques exemplaires mentionnées précédemment.

Réponse de la direction

La Loi électorale du Canada confère au directeur général des élections le pouvoir de conclure des ententes visant l'échange de renseignements personnels concernant les électeurs. Les vérificateurs ont constaté que la pratique selon laquelle Élections Canada conclut des ententes officielles portant sur la cueillette et l'échange de renseignements surpasse les exigences de la Loi sur la protection des renseignements personnels et les politiques du SCT. Élections Canada reverra néanmoins ses pratiques en matière de cueillette et d'échange de renseignements afin de s'assurer qu'elles tiennent compte des principes modernes en matière de protection des renseignements personnels et de sécurité.

2.66 Nous recommandons qu’Élections Canada obtienne l’assurance que les pratiques de traitement des données des autres organismes électoraux respectent les clauses de ses ententes sur l’échange de renseignements.

Réponse de la direction

Nous consulterons nos partenaires provinciaux afin de nous assurer que leurs pratiques de traitement des données sont conformes à nos ententes d'échange de données. Nous prévoyons avoir terminé ces consultations d'ici le 31 décembre 2009.

Agence du revenu du Canada

Introduction

3.1 À titre d’administrateur en chef des lois fiscales pour le compte du gouvernement du Canada et de la plupart des provinces et territoires, l’Agence du revenu du Canada (ARC) est un des plus grands dépositaires de renseignements personnels. À l’exception de Ressources humaines et Développement social Canada (RHDSC), aucune autre institution ne conserve autant de renseignements sur les Canadiennes et Canadiens que l’ARC. L’ARC recueille des renseignements personnels pour évaluer les obligations fiscales des Canadiennes et Canadiens et pour déterminer leur admissibilité à divers programmes économiques et de prestations sociales fédéraux et provinciaux administrés à l’aide du système fiscal. Sa base de données IDENT contient les renseignements personnels d’environ 33,4 millionsNote de bas de page 8 de contribuables.

3.2 La grande majorité des contribuables communiquent volontairement leurs renseignements dans le but de s’acquitter de leurs obligations fiscales, ainsi que de se rendre admissibles aux programmes ou aux prestations auxquels ils veulent s’inscrire.

3.3 Étant donné la responsabilité de l’ARC en matière d’observation fiscale et de perception, elle a souvent recours à des techniques sophistiquées de profilage, de couplage de données et de forage de données pour s’assurer que les contribuables déclarent de façon exacte leurs revenus et leurs dépenses. Forcément, certaines activités de collecte de renseignements de l’ARC sont effectuées à l’insu de l’intéressé et sans son consentement. L’Agence du revenu du Canada doit aussi chercher activement où se trouvent les débiteurs qui ont déménagé sans payer l’impôt qu’ils doivent.

3.4 En plus de percevoir des impôts, l’ARC est responsable et doit rendre compte du recouvrement des dettes actives pour les programmes de RHDSC, y compris les prêts d’études canadiens, l’assurance-emploi, les programmes d’emploi, le Régime de pensions du Canada et les programmes de la Sécurité de la vieillesse.

3.5 En vertu de l’article 73 de la Loi sur la protection des renseignements personnels, le commissaire de l’ARC a délégué les responsabilités du responsable de l’institution en matière de protection de la vie privée au directeur de la Division de l’accès à l’information et de la protection des renseignements personnels (AIPRP).

Pourquoi cette vérification est importante

3.6 Les fonds de données de l’ARC sont non seulement volumineux, mais aussi de nature hautement sensible. En plus des renseignements signalétiques de base (adresse, revenu, emploi, numéro d’assurance sociale (NAS), état civil, enfants, citoyenneté, etc.), l’ARC peut, par exemple, recueillir des renseignements médicaux dans le but d’accorder un crédit d’impôt pour personnes handicapées, ou des renseignements bancaires personnels dans le but de transférer des crédits et des remboursements d’impôt.

Ce que nous avons relevé

3.7 L’ARC prend ses obligations en matière de confidentialité et de sécurité très au sérieux. En plus d’une solide culture de la confidentialité, des mécanismes de contrôle exhaustifs ont été mis en place au fil des années au sein de l’organisation dans le but d’assurer la sécurité des renseignements personnels. Les articles 241 et 295, respectivement de la Loi de l’impôt sur le revenu et de la Loi sur la taxe d’accise, constituent un fondement solide pour appuyer les mesures de sécurité des renseignements.

La structure de gouvernance peut être renforcée davantage

3.8 En 2002, l’ARC a créé un Comité d’examen et de surveillance de l’accès à l’information et de la protection des renseignements personnels pour superviser la conformité aux obligations en matière d’évaluation des facteurs relatifs à la vie privée (ÉFVP) de l’institution, et pour prendre des décisions efficaces et opportunes. Le Comité est constitué de représentants du niveau des directeurs généraux provenant de presque toutes les directions générales de l’administration centrale (y compris de la Direction de la sécurité, de la gestion du risque et des affaires internes). Il est présidé par la directrice de l’accès à l’information et de la protection des renseignements personnels, qui possède tous les pouvoirs délégués en ce qui concerne la Loi sur la protection des renseignements personnels et qui relève du commissaire adjoint de la Direction générale des affaires publiques. L’ARC a émis une directive interne sur l’ÉFVP qui établit les responsabilités pour le processus d’examen de l’ÉFVP. Elle a apporté des changements récents au cadre de la gouvernance dans le but d’inclure une surveillance accrue concernant les évaluations des facteurs relatifs à la vie privée. Le Comité d’orientation stratégique, formé du commissaire et de plusieurs commissaires adjoints, examinera et approuvera trimestriellement toutes les ÉFVP, à partir de l’automne 2008.

3.9 Bien que la création du Comité consolide la gouvernance de l’organisation en matière d’évaluation des facteurs relatifs à la vie privée, l’ARC n’a pas confié à un cadre supérieur, ou à un comité formé de cadres supérieurs, la responsabilité de surveiller les activités stratégiques en matière de conformité à la protection de la vie privée au sein de l’organisation. Cela est d’une importance particulière dans une grande institution qui possède d’importantes mémoires de renseignements personnels, comme c’est le cas pour l’ARC. Il est possible d’accroître les activités stratégiques en matière de conformité à la protection de la vie privée.

Recommandation

3.10 Nous recommandons que l’Agence du revenu du Canada renforce sa structure de gouvernance en matière de protection de la vie privée par la désignation d’un responsable de la protection de la vie privée, à titre d’autorité principale chargée de la gestion de la protection de la vie privée et du leadership en matière de protection de la vie privée.

Réponse de la direction

L’ARC reconnaît l’importance d’une structure de gouvernance forte en matière de protection de la vie privée et est en accord avec la recommandation de nommer un responsable de la protection de la vie privée. Nous entreprenons les démarches nécessaires pour accomplir cette initiative.

Collaboration officielle nécessaire entre les responsables de la sécurité et de la protection de la vie privée

3.11 La Direction de la sécurité, de la gestion du risque et des affaires internes de l’ARC est responsable de gérer toutes les questions liées à la protection des renseignements confidentiels sur les contribuables.

3.12 Nous avons examiné la politique interne de l’ARC sur la gestion des incidents de sécurité, qui formule clairement les attentes à l’égard des employés et des gestionnaires de l’ARC. Toutefois, cette politique ne définit pas le rôle du coordonnateur de l’AIPRP de l’ARC. On nous a informés que les responsables de la sécurité et les agents de l’AIPRP de l’ARC collaborent de façon informelle et continue.

3.13 Les Lignes directrices sur les atteintes à la vie privée du SCT recommandent fortement que le coordonnateur de la protection de la vie privée d’une institution soit en liaison et collabore avec le personnel de sécurité, et détermine la nécessité de signaler les atteintes à la vie privée au CPVP. Il pourrait être difficile pour le coordonnateur de l’AIPRP de l’ARC d’exercer ces fonctions sans mécanisme officiel en place pour s’assurer que le coordonnateur procède à un examen en cas d’atteinte à la vie privée.

Recommandation

3.14 Nous recommandons que l’Agence du revenu du Canada :

  • s’assure qu’il y a un protocole d’échange de renseignements, entre la Direction de la sécurité et la Direction de l’accès à l’information et de la protection des renseignements personnels, concernant le signalement des atteintes à la vie privée;
  • révise et modifie ses lignes directrices et ses procédures liées au signalement des incidents de sécurité, pour qu’elles soient conformes à celles du Secrétariat du Conseil du Trésor.

Réponse de la direction

L’ARC est en accord avec l’importance de renforcer la coopération entre la Direction de la sécurité, de la gestion du risque et des affaires internes et la Direction de l’AIPRP en ce qui concerne le signalement des atteintes à la vie privée et ces directions collaboreront étroitement en vue de développer un protocole d’échange d’information officiel qui répondra aux besoins des deux directions.

La Direction de la sécurité, de la gestion du risque et des affaires internes examinera les lignes directrices et les procédures du Conseil du trésor concernant le signalement des incidents de sécurité et apportera des modifications aux lignes directrices et procédures de l'Agence au besoin.

Formation sur la protection de la vie privée et sensibilisation

3.15 Au cours du dernier exercice, la Direction de l’accès à l’information et de la protection des renseignements personnels a offert 21 séances de sensibilisation à l’AIPRP à l’intention de près de 450 employés de l’ARC partout au pays. De plus, les différentes directions de l’ARC offrent un grand nombre de cours de formation, qui traitent de la confidentialité, de la protection de la vie privée et de la sécurité. Ces sujets sont abordés dans les manuels et les guides sur les procédures et les politiques de l’ARC. Cette pratique est digne de mention.

3.16 En plus d’offrir une formation à l’intention des employés de l’ARC, la Direction a augmenté le nombre d’outils de référence en ligne à la disposition des employés et des gestionnaires. Un lien a été ajouté à la page d’accueil de l’intranet de l’ARC. Ce lien dirige les fonctionnaires de l’ARC vers la page « Outils et ressources Plus ». Sur cette page, les employés peuvent cliquer sur le lien « AIPRP » pour consulter les documents de référence disponibles, y compris un guide de l’AIPRP pour les employés de l’ARC, les rapports annuels au Parlement, les avis sur l’AIPRP et le manuel de référence de l’AIPRP, ainsi que la Directive de l’ARC sur l’évaluation des facteurs relatifs à la vie privée (ÉFVP) et les procédures connexes de l’ARC. Il y a également divers liens vers d’autres documents liés à l’AIPRP, comme la Loi sur l’accès à l’information, la Loi sur la protection des renseignements personnels, Info Source et d’autres politiques du SCT.

3.17 De plus, l’ARC a offert un programme de formation conçu spécialement pour son groupe de gestion, programme qui comprend un module sur l’AIPRP. En tout, 15 séances ont été offertes en 2006-2007 à plus de 300 gestionnaires de l’ARC, ce qui a permis à l’ARC de réaliser son objectif d’accroître le niveau de sensibilisation de ses employés concernant les demandes d’accès aux renseignements personnels et de protection de la vie privée.

3.18 Le plan de formation de l’ARC a donné aux employés un aperçu du cycle de vie d’une demande d’accès aux renseignements personnels en vertu de la Loi sur la protection des renseignements personnels. Toutefois, les séances de sensibilisation à l’AIPRP, telles qu’elles sont offertes actuellement, ne fournissent pas aux gestionnaires de programme une sensibilisation d’ordre général sur les principes fondamentaux en matière de protection de la vie privée pour leur permettre d’évaluer pleinement les conséquences sur la vie privée associées à la conception ou à la mise en œuvre de programmes et de services.

Recommandation

3.19 Nous recommandons que l’Agence du revenu du Canada révise son programme de sensibilisation à l’AIPRP pour s’assurer que tous les gestionnaires de programme reçoivent une formation sur les principes généralement reconnus en matière de protection de la vie privée et la Directive sur l’évaluation des facteurs relatifs à la vie privée (ÉFVP) du SCT.

Réponse de la direction

L’ARC reconnaît l’importance de développer son programme de sensibilisation sur l’AIPRP pour l’ensemble l’Agence, en incluant de la formation qui est axée sur des principes généraux de protection de la vie privée et sur la directive du SCT sur les évaluations des facteurs relatifs à la vie privée. Cependant, avant d’établir des objectifs spécifiques, il est important d’analyser l’ampleur de cette initiative pour que nous développions un plan stratégique.

Des mesures du rendement à l’échelle de l’institution sont en cours d’élaboration

3.20 Dans notre vérification à l’échelle de l’administration fédérale du processus d’évaluation des facteurs relatifs à la vie privéeNote de bas de page 9, effectuée en 2007, nous avons remarqué que plusieurs institutions n’avaient pas de processus en place permettant de cerner toutes les activités qui exigent une évaluation des facteurs relatifs à la vie privée. En l’absence de présélection – qui est essentiellement le point de départ de toute analyse des facteurs relatifs à la vie privée –, les institutions n’évaluent pas convenablement le niveau de risque d’entrave à la vie privée associé aux nouveaux programmes et services.

3.21 En ce moment, l’ARC n’a pas de système permettant de faire le suivi de tous les nouveaux projets qui pourraient nécessiter une évaluation des facteurs relatifs à la vie privée, et de faire rapport à cet égard. Par conséquent, elle ne peut surveiller les répercussions sur les ressources financières, opérationnelles et humaines des activités d’ÉFVP. Toutefois, l’ARC élabore un système pour faire le suivi des projets en cours. L’ARC participe aussi à la mise à l’essai de l’instrument de politique révisé sur l’ÉFVP du SCT (en cours).

3.22 L’élaboration par l’ARC d’un système pour faire le suivi des nouveaux projets ainsi que sa participation à la mise à l’essai de l’instrument de politique révisé sur l’ÉFVP sont dignes de mention.

Ententes sur l’échange de renseignements

3.23 L’ARC échange des renseignements avec divers organismes gouvernementaux fédéraux, provinciaux, territoriaux et internationaux. En règle générale, les renseignements sont échangés au moyen d’accords particuliers sous forme de protocole d’entente (PE) et de lettres d’intention. Ces accords officiels décrivent la nature de l’échange de données, l’autorisation légale de chaque entité en matière d’échange de renseignements, ainsi que les rôles et responsabilités de chaque partie concernant l’échange. Ils décrivent aussi la façon dont les renseignements sont échangés, les limites quant à l’utilisation des renseignements, ainsi que toute question de sécurité et de confidentialité propre au traitement des données. Les PE stipulent que des vérifications internes doivent être effectuées au plus tard deux ans après la date de la dernière signature et que des vérifications de suivi doivent être effectuées ultérieurement dans des délais qui répondent aux attentes des deux parties.

3.24 Étant donné la sensibilité et le volume de données qu’échange l’ARC – sans compter les conséquences associées à des atteintes potentielles à la protection des données –, la direction utilise les ententes sur l’échange de renseignements comme moyens importants pour réduire certains risques associés aux transferts de données.

3.25 La pratique de l’ARC d’exiger un accord officiel avec les autres institutions fédérales dépasse les exigences de la Loi sur la protection des renseignements personnels, ainsi que les exigences de la politique actuelle du SCT. Cette pratique est digne de mention, de même que l’autre pratique de l’ARC qui consiste à exiger régulièrement des vérifications internes des modalités de ses PE.

3.26 Nous avons passé en revue les conclusions de huit vérifications internes de l’ARC qui examinaient les dispositions relatives à la sécurité et à la protection de la vie privée de ses PE avec diverses entités. Six rapports ont jugé satisfaisantes les dispositions relatives à la sécurité et à la protection de la vie privée des ententes ou ont émis des recommandations pour leur mise à jour ou amélioration, recommandations que l’ARC a mises en œuvre.

3.27 Deux rapports de vérification interne, un en 2005 et le rapport de suivi en 2008, soulignaient que les modalités des protocoles d’entente régissant l’échange de renseignements avec RHDSC/Service Canada étaient désuètes. Le rapport de 2008 concluait que les délais étaient principalement entraînés par les nombreux changements organisationnels et de personnel au sein de RHDSC/Service Canada.

Collecte des numéros d’assurance sociale d’enfants

3.28 Un solide cadre de gestion de la protection de la vie privée vise à s’assurer qu’une institution ne recueille que les renseignements auxquels elle a droit et dont elle a besoin. Pendant l’examen, nous avons découvert qu’au cours de la dernière décennie, l’ARC a automatiquement recueilli les numéros d’assurance sociale d’environ six à huit millions d’enfants par des transferts réguliers de données de RHDSC/Service Canada. Nous avons demandé à l’ARC de préciser son pouvoir législatif pour la collecte des NAS d’enfants, de justifier la nécessité de recueillir ces données et de préciser la façon dont elle les utilise.

3.29 L’ARC peut recueillir les renseignements personnels de tous les contribuables en vertu de l’article 248 de la Loi de l’impôt sur le revenu. Selon cet article, un contribuable est défini comme une personne, qu’elle soit ou non assujettie à l’impôt. Un enfant est une personne, et il est aussi par conséquent un « contribuable ». Donc, même si un enfant n’est pas un déclarant, l’ARC peut recueillir son NAS.

3.30 En ce qui concerne la nécessité, l’ARC nous a d’abord avisés qu’actuellement elle n’utilise pas les NAS d’enfants, sauf dans un faible nombre de cas exceptionnels, notamment lorsqu’une déclaration de revenus est produite au nom d’un enfant ou aux fins d’un régime enregistré d’épargne-études. Puisque les explications de l’ARC ne concordaient pas avec les pratiques exemplaires en matière de protection de la vie privée, nous avons examiné la question davantage.

3.31 L’ARC nous a fourni de plus amples renseignements. En effet, elle nous a expliqué qu’elle doit avoir dans ses dossiers les NAS de tous les contribuables car, en plus d’utiliser les NAS dans le traitement des déclarations de revenus, elle les utilise dans ses opérations de couplage de données afin de détecter les usages frauduleux de NAS et de prévenir le vol d’identité. L’ARC nous a fourni des renseignements sur ses activités de détection et de prévention confirmant que ses politiques et procédures connexes continueront de permettre de repérer les utilisations inappropriées des NAS en général, y compris ceux des enfants. À cet égard, l’ARC protège l’intégrité des NAS aux fins de la production des déclarations de revenus actuelles ou futures de tous les contribuables.

3.32 Bien que l’ARC ait le pouvoir législatif et la nécessité de recueillir les NAS d’enfants, nous sommes préoccupés par le fait que l’ARC n’a pas officiellement étudié ces questions ni envisagé les risques potentiels relatifs à la vie privée et les répercussions associées à la collecte automatique de NAS d’enfants dès leur naissance. Cette question aurait dû être étudiée formellement et les décisions auraient dû être documentées dans un solide cadre de gestion de la protection de la vie privée.

Recommandation

3.33 Nous recommandons que l’Agence du revenu du Canada établisse une politique et un plan pour la gestion des numéros d’assurance sociale d’enfants.

Réponses de la direction

Pour toute la base de données des NAS qui est maintenue par l’ARC, l’Agence a une politique existante pour la gestion des NAS. Cette politique est révisée périodiquement et fait partie de l’initiative de renouvellement du système d’identification – un projet pluriannuel qui a commencé en 2006 afin de renouveler tous les aspects de la base de données du système d’identification. L’Agence révisera les politiques et procédures actuelles en vue d’améliorer le traitement sécuritaire des NAS des enfants.

Ressources humaines et Développement social Canada (RHDSC), y compris Service Canada

Introduction

4.1 Ressources humaines et Développement social Canada/Service Canada élabore, gère et met en œuvre des programmes et des services qui fournissent aux Canadiennes et aux Canadiens du soutien du revenu, de l’information sur le marché du travail et des possibilités de développement des compétences, ainsi que d’autres outils qui les aident à prospérer sur le plan économique et social. RHDSC dispose d’un fonds de renseignements personnels considérable qui appuie ses nombreux programmes. De plus amples renseignements sont disponibles sur Info Source, qui décrit les sources de renseignements de toutes les institutions fédérales.

4.2 Le Rapport sur les plans et les priorités (RPP) 2008-2009 de RHDSC révèle des dépenses prévues supérieures à 87 milliards de dollars pour les programmes et services. Ensemble, RHDSC et Service Canada emploient près de 23 500 employés à temps plein.

4.3 Le 6 février 2006, les anciens ministères de Ressources humaines et Développement des compétences Canada et Développement social Canada ont été amalgamés pour former le ministère de Ressources humaines et Développement social Canada. Ces deux institutions n’avaient été créées que près de deux années plus tôt, en décembre 2003, lorsque Développement des ressources humaines Canada avait été scindé en deux nouvelles institutions qui ont continué toutefois à partager des activités et des services communs. La nouvelle institution comprend aussi l’initiative Service Canada, lancée en 2005.

4.4 RHDSC se charge d’élaborer des politiques et des programmes, ainsi que d’effectuer les recherches connexes, tandis que son organisme opérationnel, Service Canada, assure la prestation de services.

4.5 Service Canada gère le Registre d’assurance sociale (RAS), le répertoire central des numéros d’assurance sociale (NAS) créé en vertu de la Loi sur l’assurance-emploi en 1964. Le NAS devait initialement servir de numéro de dossier pour les clients canadiens du Régime de pensions du Canada (RPC) et du Programme de la sécurité de la vieillesse, ainsi que des programmes de soutien de l’emploi. Le NAS est ensuite devenu un identificateur des dossiers aux fins de l’impôt sur le revenu. Les citoyens canadiens, les résidents permanents et les résidents temporaires disposant d’un permis de travail valide au Canada sont admissibles à l’obtention d’un NAS.

4.6 Le Registre d’assurance sociale (RAS) comprend le nom de la personne, sa date de naissance, le NAS qui lui est assigné, son lieu de naissance et le nom de ses parents. Les dates de décès sont également sauvegardées dans le RAS, qui comprend près de 31 millions d’enregistrements actifs.

4.7 En vertu de l’article 139 de la Loi sur l’assurance-emploi, Service Canada peut émettre des NAS. Un nombre croissant de parents demandent un NAS dans le but d’établir un régime d’épargne-études pour leur enfant (régime pour lequel le NAS de l’enfant est requis), d’ouvrir un compte d’épargne portant intérêt ou simplement parce qu’ils trouvent commode de demander un NAS pour leur enfant dès la naissance. Par conséquent, le RAS comprend les NAS et les renseignements personnels de millions d’enfants dont les parents ont décidé de présenter une demande de numéro d’assurance sociale à leur nom.

4.8 Service Canada et RHDSC avaient tous les deux un responsable de la protection de la vie privée et une Direction de l’accès à l’information et de la protection des renseignements personnels (AIPRP). En juillet 2008, les deux directions de l’AIPRP ont été fusionnées sous le leadership d’un directeur de l’AIPRP pour RHDSC/Service Canada. De plus, le secrétaire ministériel de RHDSC est maintenant le responsable de la protection de la vie privée. Ce responsable assure le leadership stratégique et effectue la surveillance des activités en matière de conformité à la protection de la vie privée pour RHDSC, y compris Service Canada.

Pourquoi cette vérification est importante

4.9 Le NAS est un renseignement personnel clé qui peut servir, avec d’autres renseignements personnels, à voler l’identité d’une personne. Il peut aussi être jumelé à des renseignements dans d’autres bases de données pour créer des profils de données susceptibles d’entraîner une violation du droit à la vie privée d’une personne.

4.10 Service Canada offre aux citoyens un accès à guichet unique à un vaste éventail de services et de renseignements du gouvernement grâce à plus de 300 points de service situés partout au Canada. Les 19 000 employés, particulièrement ceux de première ligne, offrent un nombre croissant de services et de prestations pour le compte de RHDSC ainsi que d’autres institutions fédérales. En plus du NAS, les employés recueillent, utilisent et échangent d’autres renseignements très sensibles, par exemple les numéros de cartes de crédit des Canadiennes et des Canadiens qui paient des frais pour un service, comme le traitement d’une demande de passeport, à un comptoir de Service Canada.

4.11 Sans cadre de gestion de la protection de la vie privée adéquat, il y a un risque non négligeable que les renseignements personnels et le droit à la vie privée des Canadiennes et des Canadiens ne soient pas protégés.

Ce que nous avons relevé

4.12 Bien que RHDSC/Service Canada détienne un solide cadre de gestion de la protection de la vie privée, ce cadre doit être amélioré et utilisé à son plein potentiel.

Le cadre de gestion de la protection de la vie privée doit être amélioré

4.13 Développement des ressources humaines Canada (ministère connu de nos jours sous le nom de RHDSC/Service Canada) a d’abord élaboré et approuvé un cadre global de protection de la vie privée, le « cadre de gestion de la protection des renseignements personnels », en 2001. Ce cadre a quatre piliers : la planification et la gouvernance stratégiques, la gestion du risque, les changements culturels et l’assurance de conformité. Chaque pilier vise des objectifs connexes de haut niveau ou décrit les principes fondamentaux de la protection de la vie privée que l’institution a adoptés. Ce cadre décrit la protection de la vie privée comme un droit fondamental des Canadiennes et des Canadiens, une responsabilité partagée et un élément du recrutement, de la promotion et de la gestion du rendement. Son incidence pour l’institution signifie passer d’une approche réactive axée sur les enjeux à une méthode stratégique et proactive.

4.14 Le Comité de la haute direction de RHDSC a approuvé les responsabilités ministérielles en matière de sécurité et de protection de la vie privée le 3 septembre 2004. La décision était fondée sur les responsabilités décrites dans un document de présentation préparé pour le cadre de gestion de la protection de la vie privée à l’échelle de l’institution. À la suite de la transformation de RHDSC et de la mise en œuvre de Service Canada, le cadre de gestion de la protection de la vie privée de RHDSC a été élargi pour être intégré au cadre de gestion et de reddition de compte de la nouvelle entité ainsi que de Service Canada.

4.15 Des comités à l’échelle de l’institution ont été créés à titre d’instruments de gouvernance du cadre de gestion de la protection des renseignements personnels approuvé en 2004. Trois comités de niveau supérieur ont contribué au partage des responsabilités en matière de protection des renseignements personnels : le Comité directeur du cadre de gestion de la protection des renseignements personnels, le Comité d’examen des banques de données et le Comité de gestion de la sécurité de la TI.

4.16 Le Comité directeur du cadre de gestion de la protection des renseignements personnels est le plus important des trois comités. Il dirige la mise en œuvre à l’échelle de l’institution du cadre de gestion de la protection de la vie privée, détermine les priorités de l’institution en matière de protection de la vie privée et établit les échéanciers. Le Comité d’examen des banques de données est chargé d’examiner toutes les analyses des politiques, les recherches et les activités d’évaluation exigeant l’utilisation de codes d’identification personnels non masqués ou l’établissement de liens entre les banques de données. Le Comité de gestion de la sécurité de la TI est chargé de diriger la fonction de sécurité de la technologie de l’information de l’institution, d’examiner les enjeux pangouvernementaux de la sécurité de la TI et d’agir à titre d’instance d’accréditation des systèmes, des applications et des services de la TI du Ministère. Le sous-ministre de RHDSC examine et approuve les recommandations des trois comités.

4.17 Selon nous, d’après la façon dont ils sont structurés, les comités fournissent un régime de gouvernance solide et intégré pour la protection de la vie privée. Toutefois, la structure des comités a perdu certaines de ses qualités et de ses fonctions souhaitables, ce qui a entraîné un affaiblissement du cadre et la possibilité d’obtenir des résultats imprévus. Nous avons déterminé plusieurs indicateurs des faiblesses du cadre.

4.18 Les comités ne partagent pas entre eux les comptes rendus de leurs réunions et les décisions. Le Comité directeur du cadre de gestion de la protection des renseignements personnels est donc empêché de jouer rôle de comité principal de gestion de la protection de la vie privée de l’institution.

4.19 Au cours des dernières années, un nombre relativement peu élevé de membres du Comité directeur du cadre de gestion de la protection des renseignements personnels provenait des directions de l’institution, comme le montrent les comptes rendus des réunions. À l’origine, le directeur général d’un groupe de programmes présidait le Comité, ce qui n’a pas été le cas de façon constante durant deux ans (de 2006 à 2008). À partir de mai 2008, un sous-ministre adjoint de Service Canada et le secrétaire général de RHDSC ont coprésidé le Comité.

4.20 Nous avons appris que ce n’est que maintenant que les objectifs établis pour l’année 2004-2005 du Comité directeur du cadre de gestion de la protection des renseignements personnels sont mis à jour.

4.21 Nous ne pouvons confirmer que le Comité directeur du cadre de gestion de la protection des renseignements personnels a traité de tous les aspects de la gouvernance et de la gestion de la protection de la vie privée comme il était prévu. Rien ne porte à croire que le Comité directeur du cadre de gestion de la protection des renseignements personnels était en mesure, comme en témoigne l’ordre du jour des réunions, de gérer efficacement deux des quatre piliers du cadre de gestion de la protection de la vie privée, à savoir la gestion du risque et l’assurance de conformité. La question de la gestion du risque a été examinée seulement pour les programmes nouveaux ou modifiés. Nous reconnaissons que RHDSC/Service Canada a abordé jusqu’à un certain point le changement culturel dans ses activités liées à l’éducation et à la formation en matière de protection de la vie privée. Toutefois, il faut accorder plus d’attention à d’autres aspects du changement culturel, comme la mise en œuvre d’un plan de communication pour la protection de la vie privée et l’incorporation de réels principes de protection de la vie privée dans les processus de planification stratégique.

4.22 Manifestement, le Comité directeur du cadre de gestion de la protection des renseignements personnels joue un rôle de surveillance potentiellement important concernant les évaluations des facteurs relatifs à la vie privée. Toutefois, rien ne porte à croire que le Comité directeur du cadre de gestion de la protection des renseignements personnels examine régulièrement la gestion du risque et la conformité à la protection de la vie privée des programmes et activités en place. Pour ce faire, le Comité aurait pu examiner les résultats de la surveillance périodique du programme de protection de la vie privée qu’effectuent les directions générales de RHDSC, et passer en revue les mesures correctives prises par la direction à la suite des rapports de vérification interne en matière de protection de la vie privée.

4.23 Par exemple, nous sommes au courant de deux rapports internes ayant une grande incidence sur le droit à la vie privée que le Comité aurait pu examiner et dont il aurait pu discuter, ce qu’il n’a pas fait. Le premier rapport est la Vérification interne de la gestion des renseignements personnels de 2004 de RHDSC et le deuxième, la Révision de l’intégrité du NAS et du RAS par un organisme indépendant de novembre 2006.

4.24 D’autres comités de RHDSC et Service Canada traitent aussi des enjeux concernant la protection de la vie privée. Par exemple, le Comité de la vérification et de l’évaluation de la gestion de RHDSC a reçu en janvier 2008 une mise à jour des mesures correctives prises par la direction relativement à la Vérification interne de la gestion des renseignements personnels de 2004. Toutefois, la mise à jour ne comprenait que trois des quatorze recommandations jugées applicables à la partie de la vérification associée à RHDSC. Au moment de la vérification, le Comité de vérification de Service Canada n’avait pas reçu de mise à jour concernant les mesures prises à l’égard des onze autres recommandationsNote de bas de page 10.

4.25 On nous a informés que le Comité du personnel supérieur de l’administrateur général et le Conseil de gestion de Service Canada traitent également des enjeux concernant la protection de la vie privée de façon régulière. Par contre, ces comités n’ont pas reçu le mandat d’analyser en détail les évaluations des facteurs relatifs à la vie privée.

4.26 Comme prévu à l’origine, le Comité directeur du cadre de gestion de la protection des renseignements personnels doit jouer le rôle principal en matière d’intégration et de gestion des renseignements personnels à l’échelle de l’institution. Pour que le Comité puisse remplir ce rôle, il faut établir un mécanisme selon lequel le Comité directeur du cadre de gestion de la protection des renseignements personnels et d’autres comités de l’institution échangent des renseignements relatifs à la protection de la vie privée en temps opportun.

4.27 Nous avons également déterminé que le Comité de gestion de la sécurité de la TI n’a pas tenu de réunions depuis 2006. Le mandat du Comité consistait à évaluer les incidences potentielles des importants changements apportés aux systèmes sur la protection de la vie privée. En réalité, le Comité n’est pas fonctionnel, ce qui risque d’avoir des incidences négatives importantes sur la protection de la vie privée. La politique ministérielle prévoit qu’une ÉFVP doit être effectuée si le projet entraîne d’importants changements aux systèmes ou aux processus opérationnels qui touchent la séparation physique ou logique des renseignements personnels ou les mesures de sécurité utilisées pour gérer et contrôler l’accès aux renseignements personnels. Nous ne pouvons confirmer que le Comité directeur du cadre de gestion de la protection des renseignements personnels a été mis au courant des changements potentiels à apporter aux systèmes à l’aide du processus d’évaluation des facteurs relatifs à la vie privée.

4.28 Pour offrir un régime de gouvernance solide et intégré pour la protection de la vie privée, le Comité directeur du cadre de gestion de la protection des renseignements personnels doit être en mesure de gérer plus efficacement les quatre piliers du cadre de gestion de la protection de la vie privée, y compris l’assurance de conformité et la gestion du rendement.

Recommandation

4.29 Nous recommandons que RHDSC/Service Canada revitalise le rôle du Comité directeur du cadre de gestion de la protection des renseignements personnels.

Réponses de la direction

Le Ministère est conscient de l’importance du rôle joué par le Comité directeur du cadre de gestion de la protection des renseignements personnels. Les effectifs du Comité ont été renouvelés avec confirmation au niveau du directeur général. Le responsable de la protection de la vie privée et le sous-ministre adjoint, Politique, partenariats et affaires ministérielles, assument la coprésidence du Comité.

Le Comité directeur se penchera sur toutes les questions liées à la gouvernance de la protection des renseignements personnels qui s’inscrivent dans son mandat et examine actuellement les options possibles quant à la revitalisation de son rôle. Le Comité revoit son plan de travail de manière à mettre davantage l’accent sur les problèmes et les mesures touchant la protection de la vie privée dans l’ensemble de l’organisation, y compris la prise en compte des quatre piliers du cadre de protection des renseignements personnels.

La protection de la vie privée, c’est l’affaire de tous

4.30 Les responsabilités du personnel, des gestionnaires, des responsables de la protection de la vie privée et des cadres supérieurs en matière de protection de la vie privée sont établies dans la politique ministérielle de protection de la vie privée de RHDSC, disponible sur les sites intranet de RHDSC et de Service Canada.

4.31 Les responsabilités en matière de protection de la vie privée des sous-ministres adjoints (SMA) des programmes comprennent :

  • la conception de cadres pour les directions générales, y compris de processus opérationnels, qui respectent la Loi sur la protection des renseignements personnels et les autres lois applicables protégeant la vie privée;
  • la détermination des renseignements personnels nécessaires à l’administration des programmes et des activités dont ils sont responsables.

4.32 Avant la fusion des fonctions de protection de la vie privée en juillet 2008, RHDSC et Service Canada avaient désigné des responsables de la protection de la vie privée au niveau des SMA et comptaient chacun un directeur de l’accès à l’information et de la protection des renseignements personnels. Ces fonctions ont récemment été regroupées. Il y a huit coordonnateurs régionaux de la protection de la vie privée pour l’institution. Les organisations de l’AIPRP pour RHDSC et Service Canada sont bien présentées dans leurs sites intranet et citées en référence dans les codes, les politiques et lignes directrices internes relatives à la protection de la vie privée.

4.33 RHDSC/Service Canada a indiqué que son rapport annuel sur la protection de la vie privée de 2007-2008 souligne que la Direction de l’accès à l’information et de la protection des renseignements personnels de RHDSC a offert 36 séances de formation à 565 employés du Ministère. De même, la Division de l’accès à l’information et de la protection des renseignements personnels, de la politique de la protection des renseignements personnels, et des droits de la personne de Service Canada a offert de la formation à 475 employés de Service Canada concernant les dispositions de la Loi. En tout, 24 séances ont été offertes dans les bureaux régionaux ainsi qu’à l’administration centrale, y compris des séances à l’intention de la haute direction. En plus, une formation sur l’accès à l’information et la protection des renseignements personnels a été fournie au cours des séances d’orientation pour les nouveaux employés de RHDSC et de Service Canada.

4.34 Dans la région de la capitale nationale, Service Canada exploite son propre site de formation, le Collège Service Canada, qui offre à tous les nouveaux employés de RHDSC/Service Canada un programme de formation obligatoire sur la protection de la vie privée et la sécurité des renseignements. Les employés dans les régions reçoivent, sur place, de la formation sur les politiques relatives à la protection de la vie privée.

4.35 Récemment, une séance de formation de trois heures portant sur la sécurité des renseignements supprimables et sur les mesures de sécurité adéquates relativement à l’utilisation de dispositifs mobiles a été offerte trois fois. Elle sera offerte de façon permanente au Collège Service Canada.

4.36 Service Canada délivre un certificat aux agents de service aux citoyens qui terminent avec succès la formation obligatoire sur l’attribution des numéros d’assurance sociale. RHDSC/Service Canada souligne que, en date de juin 2008, 2 344 employés ont reçu ce certificat. De plus, les agents qui n’ont pas traité de demandes de NAS pendant 120 jours sont tenus de renouveler leur certificat.

4.37 La politique ministérielle de protection de la vie privée et les lignes directrices connexes sur la protection de la vie privée sont détaillées et complètes. Il y a une devise qui dit que la protection de la vie privée, c’est l’affaire de tous. Nous sommes d’accord avec celle-ci, notamment parce que les programmes offerts par RHDSC et Service Canada visent presque toutes les Canadiennes et tous les Canadiens à une période ou une autre de leur vie. Selon nous, la politique ministérielle de protection de la vie privée et les lignes directrices connexes sur la protection de la vie privée devraient être largement diffusées auprès de toute la population canadienne.

Recommandation

4.38 Nous recommandons que RHDSC/Service Canada publie sa politique ministérielle de protection de la vie privée et les lignes directrices connexes sur la protection de la vie privée sur son site Web, pour que les Canadiennes et Canadiens ayant accès à Internet puissent les consulter.

Réponses de la direction

Nous sommes déterminés à procéder à la révision, à la mise à jour et à l’affichage de la politique ministérielle de protection de la vie privée et des lignes directrices connexes, sur tous les sites Web du Ministère. Ces différents sites comporteront également un renvoi à la nouvelle politique du Conseil du Trésor sur la protection de la vie privé qui a été introduite en avril 2008.

Les mécanismes de coordination de l’application de programmes et de gestion des risques à l’échelle de l’institution sont en place ou en cours de développement

4.39 Comme il a été mentionné précédemment, RHDSC a approuvé les responsabilités ministérielles en matière de sécurité et de protection de la vie privée en septembre 2004. Les responsabilités des sous-ministres, des sous-ministres adjoints des directions générales, des cadres supérieurs régionaux, des gestionnaires, des employés, des responsables de la protection de la vie privée, des coordonnateurs de la protection de la vie privée du Ministère, des coordonnateurs régionaux de la protection de la vie privée, des responsables principaux de la sécurité, des agents de sécurité du Ministère et des agents de sécurité régionaux sont documentées en détail. Les responsabilités désignent tout particulièrement les évaluations des facteurs relatifs à la vie privée comme un important outil de gestion des risques.

4.40 Le mandat du Comité directeur du cadre de gestion de la protection des renseignements personnels comporte une exigence selon laquelle une ÉFVP doit être effectuée pour toutes les nouvelles initiatives afin de se pencher sur le développement continu de nouveaux programmes et la modernisation des programmes en place.

4.41 Les tiers fournisseurs de services qui recueillent des renseignements personnels pour le compte de RHDSC sont liés par des clauses contractuelles concernant leurs obligations en matière de protection de la vie privée. Ils reçoivent aussi des directives ayant trait à la gestion des renseignements personnels pour leur permettre de comprendre et d’appliquer la politique de protection de la vie privée de l’institution. Le document Modèle de dispositions de protection de la vie privée à utiliser dans les contrats est disponible sur le site intranet de RHDSC.

Un meilleur contrôle des ententes sur l’échange de renseignements est nécessaire

4.42 Les lignes directrices sur les ententes d’échange de renseignements de RHDSC/Service Canada ont été diffusées en version définitive le 23 octobre 2007. Les lignes directrices exigent que les responsables de programmes ou les régions élaborent des ébauches d’ententes d’échange de renseignements (appelées soit EER ou protocoles d’entente (PE)) en collaboration avec les Services juridiques et les directions respectives de l’accès à l’information et de la protection des renseignements personnels. Une liste de contrôle pour l’ÉFVP doit être établie pour déterminer si cette dernière est nécessaire.

4.43 Les lignes directrices stipulent que la Direction de l’accès à l’information et de la protection des renseignements personnels doit conserver une liste à jour des EER de RHDSC/Service Canada et que les listes doivent être actualisées de façon périodique avec les données des programmes et des régions. Nous n’avons pas obtenu le nombre d’EER ou de PE en vigueur au moment de la vérification.

4.44 RHDSC/Service Canada fournit des modèles non officiels servant à la préparation de PE concernant la collecte et l’échange de données pour les ententes proposées. Toutefois, nous n’avons pas pu déterminer dans quelle mesure les EER ou les PE sont mis à jour pour correspondre au Code sur la protection des renseignements personnels de Service Canada, aux modifications apportées aux programmes et aux dispositions les plus à jour des diverses lois applicables.

4.45 Service Canada nous a avisés qu’il a des ententes sur l’échange de renseignements avec toutes les institutions fédérales et tous les gouvernements provinciaux et territoriaux avec qui il échange des renseignements. Toutefois, sans une liste à jour, il est impossible de confirmer cette affirmation.

Recommandation

4.46 Nous recommandons que RHDSC/Service Canada mette à jour et conserve une liste de ses ententes, en plus d’établir un calendrier pour leur examen et leur renouvellement, dans le but d’assurer une meilleure gestion de ses ententes sur l’échange de renseignements.

Réponses de la direction

Les ententes sur l’échange de renseignements constituent un outil de premier plan pour s’assurer que les renseignements personnels sont traités dans le respect des principes éprouvés en la matière. Le Ministère s’est engagé à revoir ses ententes sur l’échange de renseignements et établira une méthodologie pour les mettre à jour. Il dressera en outre une liste exhaustive des ententes prévoyant la divulgation et l’utilisation de renseignements personnels.  

Les lignes directrices, les politiques et les procédures visent à protéger l’intégrité des renseignements que contient le RAS

4.47 La Loi sur le ministère des Ressources humaines et du Développement des compétences et la Loi sur le ministère du Développement social comprennent des dispositions relatives à la protection de la vie privée avec des sanctions précises en cas d’accès, d’utilisation ou de communication de renseignements personnels inapproprié ou non autorisé.

4.48 Le Manuel des politiques et méthodes de sécurité du Ministère prévoit des procédures pour la collecte et le traitement de renseignements sensibles. Le manuel traite des demandes de communication, des pratiques de sécurité liées au stockage et au transport hors site pour les postes de travail, de la sécurité des réseaux locaux et des courriels, ainsi que de la sécurité liée au télétravail.

4.49 Les lignes directrices du Ministère concernant le programme du NAS indiquent que les renseignements personnels dans le RAS sont confidentiels et ne doivent, en aucun cas, être communiqués à des tiers. Sur le site intranet de Service Canada, les lignes directrices expliquent que l’utilisation des renseignements sur le NAS est assujettie à la Loi sur la protection des renseignements personnels et à la Loi sur l’assurance-emploi. L’accès au système direct du RAS est contrôlé afin de protéger l’intégrité des données et la communication des renseignements hautement confidentiels. 

4.50 Selon RHDSC, la Direction générale de l’intégrité organisationnelle est chargée de la mise en œuvre d’un mécanisme de gestion des risques opérationnels à l’échelle de l’institution. Parmi ses fonctions, mentionnons la mise en œuvre d’activités visant à prévenir, décourager et détecter les emplois abusifs des programmes d’assurance-emploi, du Régime de pensions du Canada et des programmes de la Sécurité de la vieillesse, ainsi que les fraudes relatives à ces programmes, et la gestion des interventions régionales et nationales visant à améliorer l’intégrité des programmes. En outre, des activités d’intégrité visent à réduire les erreurs, les omissions, les fraudes et les utilisations à des fins abusives des prestations et des services offerts par Service Canada, grâce à l’utilisation de nouveaux outils, y compris l’analyse de modèle, l’annotation et l’analyse des données, l’analyse statistique et l’analyse des tendances.

Un processus de gestion des atteintes à la vie privée est en place

4.51 Le SCT a émis les Lignes directrices sur les atteintes à la vie privée pour aider les institutions à éviter des cas d’accès inapproprié ou non autorisé à des renseignements personnels, ou de communication inappropriée ou non autorisée de tels renseignements, ainsi qu’à atténuer les conséquences en cas d’atteinte à la vie privée. Ces lignes directrices recommandent d’aviser le Commissariat à la protection de la vie privée des atteintes graves à la vie privée.

4.52 Il est ressorti de nos entretiens avec des cadres supérieurs de RHDSC/Service Canada que le Ministère prend très au sérieux les atteintes à la vie privée, et, par conséquent, met en œuvre des mesures préventives pour éviter que ces incidents ne se reproduisent, s’il y a lieu. Les atteintes à la vie privée sont signalées au CPVP, selon les répercussions possibles et la portée des atteintes.

4.53 La Direction générale de l’intégrité organisationnelle de Service Canada supervise le processus de gestion des risques en matière de protection de la vie privée et de sécurité. Depuis l’automne 2007, elle reçoit tous les rapports sur les atteintes à la vie privée, et le sous-ministre adjoint de la Direction générale est responsable de leur traitement.

Secrétariat du Conseil du Trésor

5.1 Le Secrétariat du Conseil du Trésor (SCT), organisme central du gouvernement fédéral, est contraint par la Loi sur la protection des renseignements personnels de préparer et de distribuer des directives et des lignes directrices sur l’application de la Loi. C’est par contre à lui de juger comment et dans quelle mesure il s’acquitte de cette obligation.

5.2 En 1997, le premier ministre du Canada a confié au Conseil du Trésor, un comité du Cabinet du Conseil privé de la Reine pour le Canada, et à son organe administratif, le Secrétariat du Conseil du Trésor (SCT), un rôle accru en tant que conseil de gestion du gouvernement et leur a donné le mandat de soutenir les institutions dans leurs tentatives d’améliorer leurs pratiques de gestion et d’administration.

5.3 En 2000, le SCT a publié Des résultats pour les Canadiens et les Canadiennes – Un cadre de gestion pour le gouvernement du Canada, où sont présentés des moyens de moderniser la fonction publique. Ce rapport traite de la nécessité d’orienter la prestation de services vers les citoyens et de mettre en place une série de politiques et processus pangouvernementaux pour améliorer la prise de décision, augmenter la reddition de comptes et moderniser l’approche de gestion des risques.

5.4 Bien qu’il n’ait pas la responsabilité directe de s’assurer que les institutions respectent la Loi sur la protection des renseignements personnels, le SCT est tenu de rendre des comptes au gouvernement du Canada, et l’un de ses représentants se présente souvent devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Le président du Conseil du Trésor, en tant que ministre désigné pour l’application de la Loi et membre du Cabinet, doit rendre des comptes à la Chambre des communes et doit souvent répondre à des questions pour le compte du gouvernement concernant des enjeux liés aux politiques sur la protection de la vie privée. Selon nous, le SCT et les institutions fédérales sont conjointement responsables de garantir le respect de la Loi et l’application de bonnes pratiques en matière de protection de la vie privée.

5.5 Le SCT publie régulièrement des rapports de mise en œuvre et des avis d’information destinés à la communauté de l’accès à l’information et de la protection des renseignements personnels (AIPRP) pour répondre aux nouvelles questions de portée interministérielle, y compris les modifications apportées aux exigences de politiques ou à l’interprétation de la loi. Il s’agit d’outils clés dans le soutien de saines pratiques de gestion de la protection de la vie privée pour les institutions fédérales.

5.6 Le SCT a publié diverses politiques, directives et lignes directrices énonçant les attentes en matière de gestion de la sécurité et de la protection des renseignements personnels, y compris la Politique sur la protection de la vie privée (2008), la Politique du gouvernement sur la sécurité (2002), la Politique d’évaluation des facteurs relatifs à la vie privée (ÉFVP) (2002), les Lignes directrices sur les atteintes à la vie privée (2003) ainsi que la Directive sur le numéro d’assurance sociale (2008). Les politiques et directives du SCT rehaussent les normes et assurent la conformité à la Loi. Elles sont le reflet de principes modernes en matière de protection de la vie privée mettant l’accent sur le droit d’une personne de contrôler la collecte, l’utilisation et la communication des renseignements personnels la concernant.

5.7 En 2003, le SCT a mis en place le Cadre de responsabilisation de gestion (CRG), qui fait état des exigences en matière de gestion appropriée d’une institution. Le CRG s’articule autour de dix éléments clés. Le SCT a élaboré des indicateurs de rendement pour chacun de ces éléments et procède annuellement à une évaluation de la conformité dans certaines institutions. En 2006, la gestion des renseignements personnels était ajoutée aux éléments à évaluer dans le CRG. Le SCT nous a informés que les résultats du CRG ne reflétaient pas nécessairement le rendement réel en ce qui touche la Loi.

5.8 Les indicateurs que le SCT a utilisés pour déterminer si une entité assujettie au CRG se conformait aux obligations en matière de protection de la vie privée ont été révisés chaque année. Au cours des dernières évaluations, le SCT s’est penché sur les instruments de reddition de comptes au public de 46 institutions, à savoir leurs rapports annuels au Parlement, leurs rapports sur les plans et les priorités, leurs rapports ministériels sur le rendement et leurs entrées dans Info Source (recueil fédéral comportant les descriptions des fonds de renseignements personnels des organisations assujetties à la Loi).

5.9 Le SCT n’a pas jugé comme étant solide la responsabilité en matière de protection de la vie privée des 46 institutions récemment évaluées : 14 ont reçu la cote adéquate, 31 nécessitaient des améliorations et 1 était inadéquate. Il s’agit de résultats décevants. Le SCT nous a informés qu’il entend soutenir la communauté de l’AIPRP pour améliorer les résultats du CRG.

5.10 Par ailleurs, notons que le CRG ne s’applique qu’aux responsables des institutions figurant dans une annexe de la Loi sur la gestion des finances publiques. Il s’agit d’un groupe d’environ 100 entités. Le CRG ne s’applique pas à environ 150 autres institutions assujetties à la Loi.

5.11 Le SCT a récemment indiqué que, pour les entités qui ne sont pas assujetties au CRG, il a l’intention de s’occuper de questions de gouvernance, de gestion des risques, de formation et de sensibilisation, de surveillance de programmes et de communication des résultats ainsi que d’administration de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information dans le cadre de l’examen et du renouvellement de ses politiques en matière de protection de la vie privée. Une telle initiative est nécessaire et bienvenue.

5.12 En plus de son travail continu en matière de politiques, le SCT a :

  • renforcé les exigences en matière de reddition de comptes énoncées à l’article 72 de la Loi (qui stipule que le « responsable d’une institution fédérale établit pour présentation au Parlement le rapport d’application de la présente loi en ce qui concerne son institution »). Les responsables doivent fournir des rapports plus complets sur une gamme de questions liées aux responsabilités de gestion de la protection de la vie privée;
  • publié un rapport intitulé Document d’orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché qui contient une évaluation détaillée des risques liés à la conclusion de marchés (http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_128/siglist_f.cfm). Ce document guide les institutions fédérales qui concluent des marchés avec des tiers concernant un service et répond à leurs questions sur les répercussions de la USA PATRIOT Act et sur les échanges transfrontaliers de renseignements personnels;
  • publié le rapport Protéger les renseignements personnels - Un impératif, qui résume l’impact de la USA PATRIOT Act sur le droit à la vie privée des Canadiennes et Canadiens;
  • aidé à la mise au point du document Ententes d’échange de renseignements personnels entre gouvernements - Lignes directrices sur les pratiques exemplaires;
  • publié les Lignes directrices sur les atteintes à la vie privée.

5.13 Selon une interprétation rigoureuse de la Loi sur la protection des renseignements personnels, le CPVP ne peut évaluer indépendamment le rôle du SCT en sa qualité de gestionnaire central de la protection de la vie privée. Néanmoins, nous sommes au fait de nombreuses lacunes importantes que le SCT reconnaît devoir régler, dont :

  • émettre des directives pour la mise en œuvre des politiques récemment révisées en matière de protection de la vie privée;
    mettre en place une nouvelle politique sur les évaluations des facteurs relatifs à la vie privée;
  • élaborer une politique et des lignes directrices sur l’identification et l’authentification;
  • gérer l’élaboration et la promotion d’un programme de formation de base sur la protection de la vie privée destiné aux fonctionnaires;
  • mettre en place des directives efficaces sur l’échange de renseignements personnels entre les institutions et entre les divers ordres de gouvernement;
  • créer un modèle de cadre de gestion de la protection de la vie privée pour les institutions.

5.14 En atteignant ces objectifs, le SCT fera preuve d’un meilleur leadership et renforcera la gestion globale du gouvernement en matière de protection de la vie privée.

Commentaires du Secrétariat du Conseil du Trésor

Politiques et directives

Le 1er avril 2008, le Secrétariat du Conseil du Trésor (SCT) a publié la Directive sur l’utilisation du numéro d’assurance sociale (NAS) et une nouvelle politique sur la protection de la vie privée. Dans le cadre de sa démarche continue de renouvellement de ses politiques, le SCT prévoit également publier les trois directives suivantes le 1er avril 2009 : la directive sur les pratiques de protection de la vie privée, la directive sur l’évaluation des facteurs relatifs à la vie privée et la directive sur les demandes d’accès et de correction des renseignements personnels. Le Secrétariat élaborera également des documents et des outils d’orientation à l’appui pour aider davantage les institutions et renforcer leurs pratiques de gestion de la protection de la vie privée.

De plus, le SCT prévoit publier à l’automne 2008 une nouvelle politique du gouvernement sur la sécurité et une directive connexe sur l’identité, qui incluront des avis et des conseils sur l’identification et l’autorisation.

Un programme de base pour la formation en protection de la vie privée

Depuis quelques années, le SCT offre une formation à la collectivité de l’accès à l’information et de la protection des renseignements personnels (AIPRP). Il organise des réunions de collectivité bimensuelles, des conférences annuelles et des ateliers hebdomadaires sur l’accès à l’information et la protection des renseignements personnels, y compris des séances sur les renseignements personnels, sur les pratiques équitables de traitement de l’information et sur les évaluations des facteurs relatifs à la vie privée. Cette formation s’ajoute aux conseils que donne le SCT à chaque institution (aux agents de l’AIPRP et à d’autres agents de programmes) sur des questions particulières qui les intéressent.

En 2006, la Loi fédérale sur la responsabilité a entraîné de nombreuses modifications importantes à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels. Une des conséquences pour la collectivité de l’AIPRP est l’augmentation du nombre d’institutions gouvernementales visées par ces deux lois, qui passe de 186 à environ 250. Dans cet esprit, le SCT a récemment effectué un sondage auprès des professionnels de l’AIPRP pour mieux comprendre et évaluer les besoins présents et futurs de la collectivité. En réponse à certains résultats préliminaires du sondage, le Secrétariat travaille avec l’Agence de la fonction publique du Canada (AFPC) et avec son propre Bureau de gestion du changement pour étudier les possibilités de renforcer ses capacités. De plus, le SCT collabore avec l’École de la fonction publique du Canada (EFPC) pour mettre sur pied un programme de sensibilisation à la protection de la vie privée et de formation sur les responsabilités en matière de protection de la vie privée des employés du gouvernement.

Le SCT souhaite également continuer à chercher d’autres moyens d’augmenter les possibilités de formation et les occasions de perfectionnement des professionnels de l’AIPRP, et d’améliorer la gestion de la protection des renseignements personnels dans la fonction publique en général.

Ententes sur l’échange de renseignements (EER)

Les lignes directrices du SCT renferment actuellement des conseils relatifs aux ententes et aux pratiques sur l’échange de renseignements dans le contexte des communications aux termes de la Loi sur la protection des renseignements personnels et des activités de couplage de données. Elles comportent également de l’information sur les composantes des ententes sur l’échange de renseignements. Par ailleurs, le Secrétariat prodigue conseils et assistance aux institutions à ce chapitre dans le cadre de son examen continu des banques de données personnelles individuelles et des demandes de renseignements faites quotidiennement par téléphone ou par courriel. En outre, comme membre actif du sous-comité sur la protection des renseignements personnels du Conseil des dirigeants principaux de l’information du secteur public, le Secrétariat du Conseil du Trésor a aidé à élaborer les directives sur l’entente sur l’échange de renseignements, à l’intention de toutes les autorités au Canada. Les agents du SCT ont présenté ces lignes directrices à la collectivité fédérale de l’accès à l’information et de la protection des renseignements personnels (AIPRP) en 2007. Ils lui ont également conseillé de les utiliser comme modèle de départ parallèlement aux exigences de la Loi sur la protection des renseignements personnels.

En 2006, le SCT s’est également engagé à établir de nouvelles directives sur les ententes sur l’échange de renseignements à l’intention des institutions fédérales assujetties à la Loi sur la protection des renseignements personnels. Elles sont actuellement à l’état d’ébauche et les intervenants concernés sont consultés à ce sujet. Le SCT prévoit publier des lignes directrices sur l’échange de renseignements à l’intention des coordonnateurs de l’accès à l’information et de la protection des renseignements personnels (AIPRP) et les publier sur son site Web d’ici la fin de l’exercice financier 2008-2009.

Modèle de cadre de gestion de la protection de la vie privée pour les ministères

La Politique sur la protection de la vie privée (en vigueur depuis avril 2008) constitue le fondement du travail d’élaboration des politiques en cours, qui vise à définir et à concevoir une solide stratégie de gestion de la protection de la vie privée qui puisse s’appliquer aux institutions gouvernementales. Une fois que la démarche de renouvellement des politiques aura été complétée, la politique, les directives et les lignes directrices renforceront les principaux éléments d’un cadre efficace de gestion de la protection de la vie privée qui consiste en une bonne gouvernance, une gestion continue des risques, une administration efficace, de bonnes mesures de surveillance et de production de rapports ainsi qu’une formation intégrée et une sensibilisation à la Loi sur la protection des renseignements personnels. De la même façon que le SCT consulte les intervenants avant de parachever les politiques, les agents du Commissariat à la protection de la vie privée et des autres institutions fédérales soumises à la Loi sur la protection des renseignements personnels seront consultés sur d’autres instruments de politique et sur tout outil ou modèle qui seront créés en vue d’appuyer la politique.

Conclusion

6.0 Comme nous l’avons démontré par les diverses observations et recommandations précédentes, il existe de nombreux moyens d’améliorer les cadres de gestion de la protection de la vie privée des institutions fédérales pour garantir aux Canadiennes et Canadiens que leur droit à la vie privée est pleinement respecté.

Équipe de vérification

Directeur général : Trevor R. Shaw

Commissaire adjoint à la protection de la vie privée : Raymond D’Aoust

Chef de projet : Kie Delgaty

Subhas Roy

Stephen Ayres

Ned Eustace

Navroze Austin

Paul Zind


Annexe A : CRITÈRES ET OBJECTIFS DE VÉRIFICATIONNote de bas de page 11

Objectifs de vérification

A : Déterminer si les institutions fédérales sélectionnées qui recueillent, utilisent, conservent et communiquent des renseignements personnels ont mis en place les éléments d’un solide cadre de gestion de la protection de la vie privée, en ce qui a trait à la création et au contrôle d’importantes bases de données.

L’existence d’un solide cadre de gestion de la protection de la vie privée sera démontrée si les institutions fédérales sélectionnées ont :

  1. un cadre de gouvernance et de responsabilisation efficace;
    1. les rôles et responsabilités liés au traitement et à la gestion des renseignements personnels sont définis et attribués, communiqués à l’échelle de l’organisation et intégrés au régime de contrôle de l’institution;
    2. un ou plusieurs cadres supérieurs surveillent la conformité aux obligations de l’institution en matière de protection de la vie privée et veillent à ce que des décisions efficaces et opportunes soient prises relativement aux produits liés à la protection de la vie privée (tels que les ÉFVP).
  2. des normes régissant l’exécution des programmes de protection de la vie privée et des mécanismes de coordination de l’exécution des programmes et de gestion du risque à l’échelle de l’institution;
    1. les responsabilités du personnel affecté à la protection de la vie privée et à la sécurité du Ministère sont coordonnées et assumées conjointement;
    2. il existe une interface efficace entre les activités régionales et ministérielles de sorte que la prestation de services de première ligne réponde à des normes clairement définies en matière de protection de la vie privée et tienne compte des pratiques exemplaires liées au consentement individuel.
  3. des systèmes et des pratiques permettant d’assurer une surveillance efficace de la conformité et du rendement;
    1. l’institution met en œuvre des plans, objectifs et mesures de rendement annuels et pluriannuels en matière de protection de la vie privée et publie des rapports sur les résultats;
    2. l’institution surveille, évalue et adapte ses politiques, procédures et pratiques de protection de la vie privée de manière continue et ponctuelle;
    3. l’institution répartit les ressources et évalue les modes de prestation afin de garantir qu’elle peut s’acquitter de ses obligations de manière efficace en vertu du régime fédéral de protection de la vie privée.

Objectif de vérification A : Déterminer si les institutions fédérales sélectionnées qui recueillent, utilisent, conservent et communiquent des renseignements personnels ont mis en place les éléments d’un solide cadre de gestion de la protection de la vie privée, en ce qui a trait à la création et au contrôle d’importantes bases de données.

Champ d’enquête no 1 :

L’existence d’un solide cadre de gestion de la protection de la vie privée sera démontrée si les institutions fédérales sélectionnées ont un cadre de gouvernance et de responsabilisation efficace.

  1. Les rôles et responsabilités liés au traitement et à la gestion des renseignements personnels sont définis et attribués, communiqués à l’échelle de l’organisation et intégrés au régime de contrôle de l’institution;
  2. Un ou plusieurs cadres supérieurs surveillent la conformité aux obligations de l’institution en matière de protection de la vie privée et veillent à ce que des décisions efficaces et opportunes soient prises relativement aux produits liés à la protection de la vie privée (tels que les ÉFVP).
Critère et source Questions de la vérification Information requise et source
Nous nous attendons à ce que les institutions fédérales :

  • définissent les rôles et attribuent les responsabilités en ce qui concerne l’élaboration des politiques sur la protection de la vie privée et la conformité à ces politiques, à l’échelle de l’organisation;
  • établissent des mécanismes pour assurer le contrôle de la conformité au niveau des cadres supérieurs;
  • mettent en œuvre des pratiques qui favorisent l’apprentissage continu, l’amélioration du rendement et une prise de décisions en temps opportun.
Est-ce que l’institution a mis en place un cadre de gestion de la protection de la vie privée qui mentionne les postes au sein de l’organisation qui ont la responsabilité des pratiques de protection de la vie privée, ainsi que leurs secteurs de responsabilité et pouvoirs respectifs? Ce cadre a-t-il été communiqué à l’échelle de l’institution?

Les responsabilités du personnel sont-elles intégrées au cadre d’évaluation/de gestion du rendement?

Les plans d’apprentissage et de formation sont ils conformes aux responsabilités de chaque employé en matière de protection de la vie privée?

Y a-t-il un comité ou un ensemble de cadres supérieurs, formant un échantillon représentatif, qui surveille les activités de conformité aux exigences en matière de protection de la vie privée? Si cette responsabilité a été confiée à un employé, celui-ci dispose-t-il des pouvoirs nécessaires pour obtenir des résultats?

Y a-t-il un processus en place pour assurer une prise de décisions en temps opportun en ce qui a trait aux pratiques de conception et d’exécution des programmes qui ont une incidence sur la protection de la vie privée?

Des séances de formation sont-elles offertes de façon régulière et continue sur la Politique d’ÉFVP et sur l’application et le respect de la Loi sur la protection des renseignements personnels?
Cadre/politique d’évaluation/de gestion du rendement, activités connexes

Plans d’apprentissage pour les employés/descriptions des postes

Mandat du comité de la haute direction (sur la protection de la vie privée)

Comptes rendus des réunions et des décisions prises

Plan de cours pour les programmes de formation destinés aux employés et rapport sur les activités de formation des employés

Rapports ministériels sur le rendement/rapports annuels

Plans liés aux TI pour les prochaines initiatives (importants changements à l’architecture et au processus)

Sources :

Vérifications du CPVP et examens des ÉFVP antérieurs

Discussions avec les cadres supérieurs de l’institution – membres du comité sur la protection de la vie privée, coordonnateurs de la protection de la vie privée, services des TI et services généraux, gestionnaires et employés responsables de l’exécution des programmes

Objectif de vérification A : Déterminer si les institutions fédérales sélectionnées qui recueillent, utilisent, conservent et communiquent des renseignements personnels ont mis en place les éléments d’un solide cadre de gestion de la protection de la vie privée, en ce qui a trait à la création et au contrôle d’importantes bases de données.

Champ d’enquête no 2 :

L’existence d’un solide cadre de gestion de la protection de la vie privée sera démontrée si les institutions fédérales sélectionnées ont des mécanismes de coordination de l’exécution des programmes et de gestion du risque à l’échelle de l’institution.

  1. Les responsabilités du personnel affecté à la protection de la vie privée et des agents à la sécurité du Ministère sont coordonnées et assumées conjointement.
  2. Il existe une interface efficace entre les activités régionales et ministérielles de sorte que la prestation de services de première ligne réponde à des normes clairement définies en matière de protection de la vie privée et tienne compte des pratiques exemplaires liées au consentement individuel.
Critère et source Questions de la vérification Information requise et source
Nous nous attendons à ce que les institutions fédérales :
  • élaborent et examinent régulièrement les politiques de protection de la vie privée qui précisent dans quel but les institutions recueillent, utilisent, conservent et communiquent des renseignements personnels;
  • obtiennent un consentement valable pour leurs pratiques proposées;
  • limitent la collecte, l’utilisation et la communication des renseignements personnels aux fins légitimes et mentionnées pour lesquelles le consentement a été obtenu.

Est-ce que les employés affectés à la protection de la vie privée au sein de l’institution collaborent avec les agents de sécurité du Ministère, les cadres et les employés des opérations régionales et d’autres intervenants clés pour assurer une exécution efficace des programmes et une gestion coordonnée des risques?

Les politiques de protection de la vie privée sont-elles axées sur les citoyens, adaptées aux programmes de l’institution, examinées régulièrement et consultables au moment où l’institution recueille les renseignements personnels?

Est-ce que les employés responsables des pratiques de protection de la vie privée participent aux initiatives ou mènent des initiatives interadministrations ou horizontales en matière de protection de la vie privée?

Existe-t-il un système pour signaler efficacement toutes les nouvelles initiatives qui pourraient nécessiter une ÉFVP/ÉPFVP?

Est-ce que les protocoles d’entente sur le partage des renseignements personnels sont à jour et exhaustifs?

Politiques ou brochures, pages Web sur la protection de la vie privée

Descriptions de travail des agents de sécurité du ministère (ASM) et des agents de programmes (AP), comptes rendus des initiatives

Directives ministérielles

Protocoles d’entente sur le partage des données

Vérification en cours des pratiques liées aux ÉFVP

Comptes rendus des réunions avec des employés affectés à la protection de la vie privée et à la sécurité du Ministère

Examen du libellé des politiques sur la protection de la vie privée

Travail du BVG

Objectif de vérification A : Déterminer si les institutions fédérales sélectionnées qui recueillent, utilisent, conservent et communiquent des renseignements personnels ont mis en place les éléments d’un solide cadre de gestion de la protection de la vie privée, en ce qui a trait à la création et au contrôle d’importantes bases de données.

Champ d’enquête no 3 :

L’existence d’un solide cadre de gestion de la protection de la vie privée sera démontrée si les institutions fédérales sélectionnées ont des systèmes et des pratiques permettant d’assurer une surveillance de la conformité continue et efficace.

  1. L’institution met en œuvre des normes, objectifs et mesures d’exécution de programmes annuels et pluriannuels en matière de protection de la vie privée et publie des rapports sur les résultats.
  2. L’institution surveille, évalue et adapte ses politiques, procédures et pratiques de protection de la vie privée de manière continue et ponctuelle.
  3. L’institution répartit les ressources et évalue les modes de prestation afin de garantir qu’elle peut s’acquitter de ses obligations de manière efficace en vertu du régime fédéral de protection de la vie privée.
Critère et source Questions de la vérification Information requise et source
Nous nous attendons à ce que les institutions fédérales :
  • établissent des normes de qualité et de rendement générales concernant :
    1. l’intégrité/l’exactitude des fonds de renseignements personnels;
    2. les mesures de protection et l’accès;
    3. les exigences en matière de notification et les mesures d’atténuation des risques quant aux atteintes à la vie privée, et la surveillance des résultats.
  • veillent à ce que tout tiers entrepreneur livre les services en conformité avec des normes de qualité clairement définies;
  • établissent et suivent de près un processus de traitement et de résolution des plaintes qui comprend des objectifs d’amélioration du rendement, au besoin.

Existe-t-il un système fiable et exhaustif de saisie des plaintes liées à la protection des renseignements personnels et des atteintes à la vie privée pour faire en sorte qu’elles soient repérées, rapportées et corrigées?

Les résultats des évaluations des risques d’atteinte à la vie privée sont-ils rapportés (par exemple dans les rapports annuels)?

Le contrôle périodique du rendement s’effectue-t-il, notamment, par le repérage et le signalement automatisés des opérations informatiques inhabituelles, l’analyse des caractéristiques d’utilisation des systèmes et les vérifications internes liées à la protection de la vie privée?

Des normes de rendement sont elles établies, mesurées et surveillées?

Des mesures d’amélioration de la qualité sont-elles établies?

Des pratiques exemplaires relatives à la protection de la vie privée sont-elles mises en œuvre?

Fiches d’information sur les pratiques exemplaires

Politique sur la notification des atteintes à la vie privée

Politique sur le traitement des plaintes liées à la protection des renseignements personnels

Mesures/outils de TI et rapports connexes qui suivent les caractéristiques d’utilisation des systèmes

Rapports ministériels sur les plans et les priorités

Rapports annuels du Ministère

Rapports de vérification interne et évaluations de programme


Annexe B : Passeport Canada

B.1 En octobre 2006, le Commissariat à la protection de la vie privée du Canada (CPVP) a amorcé une vérification distincte pour évaluer l’étendue de la conformité de Passeport Canada à ses obligations aux termes de la Loi sur la protection des renseignements personnels, avant d’entreprendre la vérification menée de concert avec le Bureau du vérificateur général. Le dernier rapport annuel de la commissaire à la protection de la vie privée sur la Loi sur la protection des renseignements personnels fait état de la vérification du CPVP concernant les activités de Passeport Canada en vertu de la Loi. Le rapport complet, disponible à l’adresse www.priv.gc.ca, présente 15 recommandations, dont plusieurs visent à améliorer la sécurité des pratiques de Passeport Canada en matière de conservation et de destruction des documents, l’aménagement physique des installations, ainsi que l’intégrité et la gestion des renseignements personnels au Canada et dans les missions à l’étranger où l’on traite des demandes de passeport. Les paragraphes ci-dessous fournissent seulement un résumé des principales conclusions qui traitent particulièrement du cadre de gestion de la protection de la vie privée de Passeport Canada. La date d’entrée en vigueur des observations présentées ici est le 31 janvier 2008; il s’agit de la date à laquelle nous avons terminé cette vérification distincte.

B.2 Les recommandations provenant de la vérification n’ont pas été reproduites ici. Le ministère des Affaires étrangères et du Commerce international et Passeport Canada ont déjà réagi aux recommandations du CPVC dans la vérification distincte. Les observations contenues dans cette vérification ont été utilisées pour tirer une conclusion générale quant à la vérification des cadres de gestion de la protection de la vie privée.

Introduction

B.3 Passeport Canada emploie plus de 3 000 personnes qui fournissent des services dans 33 bureaux au Canada. Il a également conclu des contrats avec la Société canadienne des postes et Service Canada pour pouvoir offrir des services de passeport en personne dans plus de 150 points de service. Les agents réceptionnaires présents à ces points de service s’assurent que les demandes de passeport sont complètes et perçoivent les droits de passeport.

B.4 Passeport Canada et le Secteur des services consulaires et de la gestion des urgences (Services consulaires) du ministère des Affaires étrangères et du Commerce international (MAECI) coordonnent aussi la prestation des services de passeport et de documents de voyage d’urgence aux Canadiennes et aux Canadiens à l’étranger grâce aux 139 missions canadiennes et à plus de 100 bureaux des consuls honoraires.

B.5 Le système de délivrance des passeports (IRIS) de Passeport Canada est un système électronique servant à gérer le processus d’admissibilité aux passeports et de fabrication des passeports. En janvier 2008, le système contenait plus de 17 millions de documents actifs. Passeport Canada conserve des données de passeport pour une période pouvant atteindre 100 ans dans deux bases de données, qui contiennent plus de 30 millions de documents.

B.6 En vertu de l’article 73 de la Loi sur la protection des renseignements personnels, le sous-ministre du MAECI a confié les responsabilités du responsable de l’institution en matière de protection de la vie privée au directeur de la Division de l’accès à l’information et de la protection des renseignements personnels du MAECI, pour les activités du MAECI et des services de passeport. Le Ministère n’a pas délégué à Passeport Canada les pouvoirs relatifs à la protection de la vie privée.

Pourquoi cette vérification est importante

B.7 À l’instar d’autres institutions, Passeport Canada, ses agents réceptionnaires et les services consulaires du MAECI recueillent des documents d’identité fondamentaux, tels que des actes de naissance, des permis de conduire ou des cartes d’assurance-maladie originaux, des numéros de téléphone, ainsi que des renseignements liés aux cartes de crédit. Passeport Canada conserve les renseignements concernant le nom, la date et le lieu de naissance, la citoyenneté, l’adresse, le numéro de passeport, l’état civil et le sexe des requérants de passeport. Un accès inapproprié ou non autorisé à ces renseignements pourrait comporter des risques de vol d’identité ou de fraude pour les Canadiennes et Canadiens.

Ce que nous avons relevé

B.8 Passeport Canada s’engage à offrir un service à la clientèle de grande qualité et à préserver l’intégrité du passeport canadien.

B.9 Plusieurs pratiques de protection de la vie privée dignes de mention ont été constatées. Par exemple, Passeport Canada offre depuis décembre 2007 un programme de formation sur la protection de la vie privée au personnel opérationnel et à la direction. Le matériel de formation sur la protection de la vie privée est détaillé.

B.10 Dans l’ensemble, toutefois, les lacunes décelées représentent collectivement un risque élevé pour le droit à la vie privée des Canadiennes et Canadiens. Nous croyons que si un cadre de gestion plus solide avait été en place, divers enjeux auraient été mieux gérés.

La structure de gouvernance et les mesures de responsabilité doivent être renforcées

B.11 Le programme de passeports est complexe, traite une très grande quantité de renseignements de nature sensible, affronte des défis et comporte des besoins en matière de protection de la vie privée. Nous avons constaté des lacunes concernant la coordination et l’application des responsabilités en matière de protection de la vie privée. Passeport Canada devrait s’assurer que les enjeux liés à la protection de la vie privée sont défendus par un champion lors de la prise de décisions organisationnelles et nommer un responsable de la protection de la vie privée.

Il faut continuer à offrir de la formation coordonnée sur la sensibilisation à la sécurité et à la protection de la vie privée

B.12 Alors que la plupart des employés rencontrés en entrevue pendant la vérification des activités de Passeport Canada connaissaient les dispositions relatives à la confidentialité de la Loi sur la protection des renseignements personnels, la majorité ne se rappelait pas avoir reçu une formation sur la protection de la vie privée ou sur la sécurité des renseignements. Nous avons aussi constaté des lacunes dans leur connaissance des enjeux importants concernant la protection de la vie privée. Les employés du MAECI affectés à des missions diplomatiques où nous nous sommes rendus au cours de la vérification ne connaissaient pas leur cote de sécurité et ne comprenaient pas les risques pour la sécurité de même que les politiques internes sur l’utilisation de dispositifs électroniques comme les téléphones cellulaires, les clés USB et les appareils mobiles de poche.

B.13 La Direction de l’accès à l’information et de la protection des renseignements personnels (AIPRP) et le personnel de sécurité du MAECI offrent une formation sur la sensibilisation à la sécurité et à la protection de la vie privée depuis de nombreuses années aux diplomates et aux fonctionnaires consulaires qui quittent pour des missions à l’étranger. Toutefois, la plupart des employés embauchés sur place n’ont pas la possibilité de venir au Canada; par conséquent, il n’est pas facile pour le MAECI de leur fournir une formation sur la sécurité et la protection de la vie privée en personne.

Les risques relatifs à la vie privée concernant les activités en cours et les nouvelles initiatives doivent être pris en compte

B.14 Passeport Canada a une politique et des procédures opérationnelles pour gérer et signaler les incidents de sécurité. Cette politique s’applique à toutes les installations de l’administration centrale et à tous les bureaux régionaux. Toutefois, Passeport Canada n’a pas de protocole concernant la communication systématique des atteintes à la vie privée entraînées par un des agents réceptionnaires ou une des missions du MAECI. Son entente avec Service Canada comprend une disposition selon laquelle Service Canada doit prévenir rapidement Passeport Canada de toute communication ou utilisation non autorisée de renseignements personnels, tandis que son entente avec la Société canadienne des postes (SCP) ne contient pas cette disposition.

B.15 Nous avons été informés que certaines atteintes à la vie privée survenues par le passé, qui auraient pu nuire à la protection des renseignements personnels, n’ont pas été signalées à l’administration centrale de Passeport Canada. Selon nous, lorsque des atteintes à la vie privée ne sont pas systématiquement signalées et analysées de façon uniforme afin d’en déterminer les causes et d’éviter que la situation ne se reproduise, cela constitue une faille importante dans la protection générale des renseignements personnels.

B.16 Nous avons également été préoccupés par une entente entre la Société canadienne des postes (SCP) et Passeport Canada en vertu de laquelle l’on a envoyé des demandes de passeport incomplètes dans des sacs de plastique transparent et dans des boîtes ouvertes aux bureaux de la SCP. Lorsque le CPVP a porté cette question à l’attention de Passeport Canada au cours de la vérification, celui-ci a récupéré les demandes incomplètes auprès de la SCP.

B.17 Nous croyons que la désignation d’un responsable de la protection de la vie privée permettrait de s’assurer qu’un examen plus exhaustif des risques relatifs à la vie privée est effectué.

Les ententes sur l’échange de renseignements sont périmées; il faut imposer des contrôles internes

B.18 Passeport Canada a conclu diverses ententes sur l’échange de services et de renseignements avec le MAECI, ses agents réceptionnaires, des organisations du gouvernement fédéral, ainsi que des bureaux provinciaux ou territoriaux de l’état civil (pour les renseignements relatifs aux naissances et aux décès). Les principaux partenaires du gouvernement fédéral comprennent Citoyenneté et Immigration Canada, le Service correctionnel du Canada et la Gendarmerie royale du Canada.

B.19 Un grand nombre d’ententes sur l’échange de renseignements de Passeport Canada datent de plusieurs années et ne reflètent pas les pratiques exemplaires actuelles en matière de protection de la vie privée. Plusieurs d’entre elles n’ont pas les dispositions clés relatives à la protection de la vie privée permettant de définir, par exemple, les renseignements personnels qui seront échangés, les limites de l’entente sur l’échange, les contrôles de sécurité, ainsi que les exigences relatives à la surveillance et à la vérification dans le but de s’assurer que les renseignements sur les passeports sont protégés pendant leur cycle de vie.

Conclusion

B.20 Comme nous l’avons mentionné précédemment, Passeport Canada et le MAECI ont déjà réagi à ces observations et ont entrepris des mesures pour faire suite aux recommandations de la vérification distincte des activités de Passeport Canada.

Date de modification :