Rôle des Évaluations des facteurs relatifs à la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Deuxième forum annuel de la gestion de l'information gouvernementale

Le 10 mars 2004
Ottawa, Ontario

Stuart Bloomfield
Commissariat à la protection de la vie privée du Canada


Introduction

On m'a demandé de vous parler ce matin des Évaluations des facteurs relatifs à la vie privée (ÉFVP), qu'il faut désormais mener à l'égard de tous les nouveaux projets gouvernementaux supposant la collecte, l'utilisation et la communication de renseignements personnels.

Au cours des quelque 20 prochaines minutes, j'aborderai quatre sujets :

  • Les raisons justifiant la conduite d'ÉFVP, et ce qui risque d'arriver si on omet de le faire;
  • La façon de mener les ÉFVP;
  • Le rôle du Commissariat à la protection de la vie privée dans le processus;
  • Notre expérience à ce jour en matière d'ÉFVP.

Rôle du Commissariat à la protection de la vie privée du Canada

Avant d'aborder ces sujets, il serait peut-être justifié à ce stade d'aborder brièvement, pour les gens qui ne connaissent pas le Commissariat à la protection de la vie privée, qui nous sommes et ce que nous faisons. En quelques mots, la commissaire à la protection de la vie privée est un ombudsman — défendeur indépendant du droit à la protection des renseignements personnels des Canadiens et Canadiennes.

Ce rôle comprend la supervision et l'application de deux lois fédérales relatives à la protection de la vie privée, soit la Loi sur la protection des renseignements personnels, qui s'applique à toutes les institutions fédérales, et la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques, qui élargit les droits des particuliers relatifs à la protection des renseignements personnels au secteur privé assujetti aux lois fédérales.

Le Commissariat a pour mission de veiller à ce que la collecte et le traitement des renseignements personnels, dans les secteurs public et privé, n'empiètent pas sur les droits à la vie privée des Canadiens et Canadiennes. Cela signifie, certes, l'instruction et le traitement de plaintes, mais aussi la conduite de vérifications, des travaux de recherche sur des questions liées à la protection des renseignements personnels, la sensibilisation et l'éducation du public et la prestation de conseils au Parlement, à l'administration fédérale et au secteur privé sur des questions relatives à la protection de la vie privée.

En gros, nous sommes un chien de garde chargé de suivre de près tout ce qui peut avoir une incidence sur les droits à la vie privée des Canadiens et Canadiennes, ce qui explique pourquoi, bien entendu, nous nous intéressons aux initiatives gouvernementales qui supposent la collecte, l'utilisation et la communication de renseignements personnels.

Raisons justifiant la conduite d'ÉFVP

Pour bien comprendre les raisons pour lesquelles le gouvernement a adopté cette politique, il pourrait être utile de revenir sur ce que nous entendons par « vie privée ». On définit souvent la protection de la vie privée par « le droit de contrôler l'accès à sa personne et aux renseignements la concernant ». Autrement dit, le droit à la vie privée est le droit des gens de décider quels renseignements ils communiquent, en quelle quantité, à qui et à quelle fin.

Il est donc manifeste que le degré de contrôle que quelqu'un peut exercer à l'égard des renseignements personnels le concernant dépend du contexte dans lequel l'échange a lieu. Dans un contexte commercial, par exemple, les parties décident d'elles-mêmes de faire des transactions et de définir les conditions de l'échange selon leurs intérêts respectifs. Autrement dit, la communication de renseignements personnels entre en ligne de compte dans l'échange en tant qu'élément à négocier.

S'agissant du gouvernement, toutefois, la nature de la relation est fort différente. Les particuliers ont rarement « le gros bout du bâton » en ce qui concerne la collecte et l'utilisation, par le gouvernement, de leurs renseignements personnels. Lorsqu'un organisme ou un programme gouvernemental a besoin de renseignements personnels pour mener sa mission, il obtiendra les renseignements en question.

Puisque que les citoyens ne sont pas en position de force dans leurs rapports avec le gouvernement, ce dernier a une relation de confiance particulière avec les citoyens — une obligation ou mandat fiduciaire de protéger les renseignements personnels qu'il détient. Par conséquent, la conduite d'ÉFVP représente une façon pour les institutions fédérales d'honorer ce mandat et, ce faisant, de gagner la confiance de leurs clients et du public en général.

Quelle place les ÉFVP tiennent-elles alors dans ce contexte – Elles fournissent aux ministères une façon de prévoir les effets d'une proposition sur la vie privée, d'évaluer le respect des dispositions législatives et des principes relatifs à la protection des renseignements personnels et de déterminer les mesures qui sont nécessaires pour éliminer ou atténuer les incidences négatives. En bref, les ÉFVP sont un outil de gestion du risque en matière de protection de la vie privée.

On évalue les risques d'intrusion dans la vie privée en examinant les éléments ou aspects opérationnels particuliers d'un programme donné en fonction d'un ensemble de principes relatifs à la protection de la vie privée, principes qui sont énoncés dans les Lignes directrices sur les évaluations des facteurs relatifs à la vie privée. On voit si les principes sont respectés essentiellement en posant des questions.

Par exemple, un principe fondamental de la protection de la vie privée veut que seuls les renseignements nécessaires à la conduite d'une activité donnée soient demandés aux particuliers. Voilà qui diffère assez des dispositions de la Loi sur la protection des renseignements personnels, qui prévoit seulement que les renseignements réunis doivent avoir trait à un programme ou une activité gouvernemental. Dans une évaluation, les renseignements recueillis peuvent se rapporter à un programme ou une activité gouvernemental, mais, s'ils ne sont pas nécessaires, vous venez de relever un risque relatif à la vie privée.

En posant les bonnes questions — c.-à-d. si les renseignements demandés sont vraiment nécessaires, si l'usage est conforme à la fin décrite, si la conservation cadre avec l'utilisation, etc. —, l'évaluation contribue donc à la mise en oeuvre de principes équitables relatifs à la gestion de l'information.

En résumé, les ÉFVP remplissent les rôles suivants :

  1. Elles font office d'outil de détection dès le départ et de planification;
  2. Elles prévoient et (ou) confirment les incidences d'une proposition gouvernementale sur la vie privée de particuliers et de groupes;
  3. Elles proposent un mécanisme pour l'évaluation de la mesure dans laquelle une proposition respecte les dispositions législatives et les principes relatifs à la protection de la vie privée;
  4. Elles font office de cadre pour l'élaboration et la mise en oeuvre des mesures et des stratégies nécessaires pour éviter ou surmonter les effets négatifs de la proposition sur la vie privée.

En procédant à des ÉFVP et tenant compte des conseils que renferment celles-ci, les ministères peuvent :

  1. éviter la publicité négative, la perte de crédibilité et de confiance du public ainsi que les coûts, les recours et les sanctions juridiques engendrés par les conséquences négatives;
  2. sensibiliser davantage les Canadiens et les Canadiennes à la protection de la vie privée et accroître la confiance de ceux-ci dans la façon dont le gouvernement traite leurs renseignements personnels en les informant des éléments de la proposition.

L'on ne saurait sous-estimer ce qui pourrait en coûter aux ministères qui négligent de mener une ÉFVP lorsqu'ils le devraient. Il suffit de se rappeler la tristement célèbre histoire du Fichier longitudinal sur la main-d'oeuvre de DRHC, dont la destruction ultérieure, à la suite de nombreuses plaintes émanant du public, a coûté des millions de dollars au ministère. On peut penser que si DRHC avait procédé à une ÉFVP avant de constituer le fichier, il aurait évité la publicité négative et les pertes financières.

Conduite de l'ÉFVP

En ce qui concerne la conduite de l'ÉFVP comme telle, le respect de la Politique suppose, à tout le moins, que le personnel du ministère visé connaisse la Politique et les conditions s'y rattachant. À cette fin, nous encourageons les ministères à faire connaître les principes de la Politique à leurs employés et à définir les rôles des différentes catégories d'employés dans le recensement, l'examen et la désignation des projets susceptibles de justifier une évaluation.

Il incombe habituellement aux gestionnaires de programme ou de projet de déterminer quels projets sont susceptibles de justifier une évaluation, étant donné que ceux-ci, souvent, connaissent le mieux les éléments du programme et (ou) projet dont ils sont responsables. Il est donc extrêmement important que les gestionnaires sachent quels éléments rechercher quand ils déterminent quels projets devraient être soumis à une ÉFVP.

Quand on parle des éléments à rechercher, la Politique énumère plusieurs indicateurs qui devraient signaler aux gestionnaires de projet la nécessité de mener une ÉFVP. Si, dans bien des cas, la nécessité sera évidente, dans d'autres, elle pourrait se faire plus discrète. À cet égard, nous recommandons que les ministères assujettissent le programme au questionnaire figurant dans les Lignes directrices. Les réponses aux questions souvent feront ressortir des problèmes que les indicateurs, à première vue, pourraient ne pas révéler.

Au-delà de la désignation des projets et (ou) programmes susceptibles de justifier une ÉFVP, les ministères devraient instaurer des structures pour l'examen des initiatives afin de déterminer, au moyen d'une évaluation préliminaire des éléments du programme et (ou) du projet, s'il convient d'engager des ressources en vue de la conduite d'une véritable ÉFVP. Des ministères ont déjà constaté ce besoin et pris des mesures en vue de l'instauration de telles structures, en déplaçant des employés des services juridiques, du bureau d'accès à l'information et de la protection de la vie privée et des services de technologie de l'information et les chargeant d'examiner expressément les projets dans ce but. Nous croyons qu'il s'agit d'une approche sensée, dont tous les ministères devraient s'inspirer.

Une fois qu'il a été décidé de mener une ÉFVP, il s'agira ensuite de déterminer si les travaux seront effectués à l'interne ou avec l'aide de consultants de l'extérieur. La décision à cet égard dépendra d'un certain nombre de facteurs — ressources financières, disponibilité d'experts à l'interne, temps, etc.

La décision de procéder à l'interne ou à l'externe ne doit pas nécessairement exclure le recours à des ressources internes ou externes. Les ÉFVP sont une entreprise conjointe, certes, mais qui font appel à tout un éventail de compétences, notamment des gestionnaires de programme, des spécialistes techniques et des conseillers juridiques et conseillers en matière de protection de la vie privée. Des ministères compteront déjà de ces gens parmi leur personnel, tandis que d'autres types de compétences pourraient n'être disponibles qu'à l'externe. L'important, c'est de recruter les compétences nécessaires pour faire un bon travail, et cela pourrait, dans certains cas, nécessiter le recours à des consultants de l'extérieur.

Rôle du Commissariat à la protection de la vie privée

La Politique, bien entendu, oblige les ministères à consulter le Commissariat au sujet de tous les projets pour lesquels une ÉFVP aura été menée. Notre rôle à cet égard ne consiste pas à approuver ou rejeter les projets — mais bien à évaluer la mesure dans laquelle les ministères ont mené une bonne évaluation des incidences au plan des renseignements personnels d'un projet et de fournir des conseils, s'il y a lieu, en vue d'améliorer la procédure à l'avenir. Il en résulte un moyen concerté, impartial, de promouvoir les objectifs de la Politique.

Dès la réception d'un document concernant une ÉFVP, le dossier est confié à un agent d'examen des projets. La première tâche de cet agent consiste à déterminer si le dossier contient toute la documentation permettant un bon examen du projet et si le rapport a été établi conformément aux Lignes directrices. Cet examen débouche sur la production d'un rapport d'évaluation préliminaire qui recense les lacunes et omissions, s'il y a lieu, dans les documents fournis.

De quels facteurs le Commissariat tiendra-t-il compte dans l'examen d'une évaluation – De plusieurs choses :

  1. Nous voudrons nous assurer que le ministère est autorisé par des textes législatifs à réunir et utiliser des renseignements personnels;
  2. Nous voudrons nous assurer que l'ÉFVP indique très clairement la quantité et le type de renseignements personnels qui seront réunis, la façon dont ceux-ci seront utilisés et la où les parties à qui ceux-ci seront communiqués;
  3. Nous voudrons être convaincus que les risques relatifs à la protection des renseignements personnels qui sont associés au projet ont bien été relevés;
  4. Nous voudrons nous assurer que toutes les mesures correctrices proposées sont raisonnables et suffisantes;
  5. Nous voudrons savoir ce que le ministère entend faire, en dernier analyse, pour atténuer les risques qui ont été relevés.

Si l'évaluation préliminaire de l'ÉFVP concluait qu'il manque des données ou que des risques n'ont pas été relevés ou abordés comme il se doit, le Commissariat en informera le ministère. Sauf en cas de craintes relatives à la sécurité, le ministère sera informé par courriel. Le Commissariat pourraient également tenir des réunions visant la discussion de préoccupations ou la résolution de problèmes.

Notre expérience à ce jour

Depuis l'entrée en vigueur de la Politique sur l'évaluation des facteurs relatifs à la vie privée, en mai 2002, le Commissariat a reçu quelque 90 ÉFVP préliminaires et finales.

Omissions fréquentes

À ce jour, le Commissariat a, pour toutes les ÉFVP finales et, certainement, toutes les ÉFVP préliminaires, dû contacter le ministère visé pour obtenir des renseignements supplémentaires. Parmi les renseignements que les ministères oublient fréquemment de nous fournir, mentionnons :

  • Omettre de fournir un inventaire complet des éléments de données qui sont réunis et utilisés (les renseignements sont décrits, mais pas énumérés);
  • Négliger de bien décrire le processus opérationnel;
  • Omettre de bien décrire l'infrastructure de sécurité de l'information qui est associée au projet;
  • Négliger d'inclure un plan d'action.

Pour ce qui est de l'omission d'un plan d'action, il arrive souvent qu'un dossier d.ÉFVP énumère une série de recommandations pour l'atténuation des risques qui ont été relevés, mais sans indiquer comment les recommandations seront mises en oeuvre. De plus, il n'y a souvent pas d'indice dans le dossier qui permettrait de savoir si le ministère a accepté les recommandations en question. Cela s'avère particulièrement vrai dans les cas où l'ÉFVP a été établie par un consultant.

Faute d'un plan d'action énonçant précisément ce que le ministère a l'intention de faire pour atténuer des risques donnés, nous avons devant nous que des propositions. Il importe donc que les ministères gardent en tête que l'ÉFVP n'est pas une fin en soi, mais bien un outil visant à fournir des orientations sur les mesures à prendre pour qu'un projet tienne davantage compte des considérations relatives à la protection des renseignements personnels. Autrement dit, le plan d'action est le résultat logique et attendu d'un processus d'examen de l'ÉFVP.

Quoi qu'il en soit, nous demandons aux ministères de nous dire ce qu'ils ont l'intention de faire à l'égard des recommandations découlant de l'ÉFVP. Nous encourageons donc fortement les ministères à inclure un plan d'action dans leurs ÉFVP finales, ce qui nous aidera à terminer le processus d'examen.

Même si l'ÉFVP, qu'elle soit ou non menée dans les règles de l'art, devrait consister en un document « autonome », nous demandons fréquemment des documents de base pour nous aider à mener notre propre examen. Ce sont :

  • Les dispositions relatives à la protection des renseignements personnels et la sécurité contenues dans les ententes, lorsqu'on fait appel à des tiers pour la prestation de services;
  • Des rapports d'évaluations de la menace et des risques (EMR) lorsque celles-ci ont une incidence sur les mesures de protection d'un système donné;
  • Des études de faisabilité sur le projet, lorsque celles-ci ont été menées à l'appui de l'analyse de rentabilisation;
  • Des plans de gestion de projet, relatifs à la conception du projet;
  • Des prescriptions techniques se rapportant à la conception du système.

Ces documents ne doivent pas nécessairement figurer intégralement dans le dossier, mais devraient être disponibles sur demande.

Problèmes courants associés aux analyses des facteurs relatifs à la vie privée

  1. Confusion entre la notion de protection de la vie privée et celles de sécurité et de caractère confidentiel
    • Nous avons reçu des ÉFVP décrivant la structure d'un système de sécurité en détail, mais omettant des questions importantes comme la collecte excessive, la notification des clients, le rôle du consentement, les contrats attribués à des tiers, etc.
    • Bien que les risques liés à la sécurité tiennent une place importante dans un bon nombre des documents que nous avons reçus, particulièrement ceux concernant la prestation de services électroniques, il est important de se rappeler que la protection des renseignements personnels n'est qu'un des dix principes formant les Lignes directrices.
  2. Limiter l'aspect sécurité à la communication de renseignements
    • Il arrive assez souvent, particulièrement avec les applications en direct, que les ÉFVP portent essentiellement sur les mesures de sécurité visant à protéger l'information en transit (protocole de sécurisation SSL, par exemple) tout en négligeant d'autres éléments à risques, c.-à-d. la sécurité des bases de données ministérielles et la sécurité de l'ordinateur du client.
    • Des études ont révélé qu'au moins 70 à 80 % des intrusions dans les bases de données sont le fait de gens qui ont un accès autorisé au réseau, qui connaissent les codes d'accès aux bases de données et qui ont une bonne idée de la valeur des données qu'ils cherchent à exploiter. Autrement dit, des gens de l'intérieur.
    • Des permissions d'accès, procédures d'entrée en communication, rôles et mots de passe écrits pour restreindre les consultations et l'utilisation des applications revêtent une importance cruciale, mais si l'information est en « texte clair » (ce qui est le cas plus souvent qu'autrement), les renseignements sont en danger. Pour limiter les risques, nous encourageons les ministères à mettre en oeuvre des procédures de vérification appropriées et à adopter le chiffrement sélectif des bases de données, c.-à-d. chiffrer certains domaines contenant des renseignements de nature délicate.
    • Les clients eux-mêmes représentent un élément de risque que l'on oublie souvent. En fait, les clients sont souvent cités par les spécialistes de la sécurité comme étant le maillon faible de la chaîne quand ils utilisent des services en direct. Il convient d'informer les clients des risques qui les touchent immédiatement, particulièrement en ce qui concerne l'utilisation d'ordinateurs partagés et les mesures qu'ils peuvent prendre pour protéger leurs renseignements personnels.
  3. Confondre le processus d'ÉFVP avec une vérification du respect de la vie privée
    • Nous voyons souvent des ÉFVP qui portent sur les risques relatifs à la vie privée strictement du point de vue des dispositions de la Loi. Dans ces cas, on a manifestement mal compris le rôle fondamental des ÉFVP.
    • L'ÉFVP est un outil d'évaluation du risque qui mesure le respect des dispositions de la Loi en fonction des normes juridiques établies, certes, lesquelles représentent les pratiques minimales acceptables, mais aussi en fonction des principes relatifs aux pratiques exemplaires.
  4. Négliger de lier les risques relevés aux éléments particuliers d'un projet
    • Nous avons reçu des ÉFVP qui relevaient des risques, mais sans mentionner l'élément du système qui occasionne le risque.
    • La compréhension d'un problème représente le premier pas vers la recherche d'une solution appropriée. Tant qu'un risque donné peut être associé à tel ou tel élément d'un système ou programme donné, ce risque reste hypothétique, ce qui ne facilite pas les choses quand il s'agit de déterminer si les mesures correctives proposées sont les bonnes. La Politique ne vise pas à imposer aux ministères des coûts injustifiés.
  5. Proposer des mesures compensatoires qui ne sont pas adaptées au risque recensé
    • Voilà peut-être le problème le plus courant que nous rencontrons dans l'examen des ÉFVP, et l'élément où nous pouvons être le plus utile aux ministères.
    • Pour vous donner un exemple d'un pareil cas, je citerais une recommandation à un ministère de lancer une stratégie de communication dans le but de dissiper les craintes du public à l'égard du programme, sans avoir réellement énoncé ce que le public devait craindre en premier lieu, et les mesures qui s'imposaient pour régler le problème.

Risques relatifs à la protection de la vie privée propres à l'initiative GED

La plupart des ÉFVP que nous avons reçues concernaient des initiatives ou des projets relatifs à la prestation de services électroniques aux particuliers au moyen d'Internet. Dans notre examen de ces projets, nous avons relevé un certain nombre de risques relatifs à la vie privée qui sont courants. Ces risques, et les mesures correctives s'y rapportant, sont les suivants :

  1. Notification
    • Une notification suffisante représente le principe le plus fondamental du respect de la vie privée et celui auquel, souvent, on accorde le moins d'attention. Les clients qui ont recours à un service en direct doivent être informés dès le départ du but d'une collecte de renseignements personnels donnée, des pouvoirs en vertu desquels les renseignements sont réunis, des utilisations et des communications qui seront faites des renseignements personnels, et de leurs droits en vertu de la Loi sur la protection des renseignements personnels.
    • Les utilisateurs des services en direct doivent également être informés, comme il en sera question sous peu, des risques associés à la conduite d'une transaction en direct et des mesures que le ministère a prises pour réduire ces risques.
    • Les utilisateurs des services en direct doivent également savoir que l'utilisation du service en direct est volontaire et être informés des solutions de rechange.
  2. Authentification du client/Secret partagé
    • Le type d'authentification du client qui s'impose dans quelque situation que ce soit varie selon la nature délicate des renseignements en cause et les conséquences potentielles que la transaction peut avoir pour celui-ci. Le type et le nombre d'éléments de données nécessaires pour établir l'identité doivent correspondre au degré de confiance nécessaire pour la conduite de la transaction.
    • Les secrets partagés sont à la base de la plupart des systèmes d'authentification en direct qu'utilisent à l'heure actuelle le gouvernement fédéral. Notre préoccupation tient au fait que les secrets partagés sont , justement, des secrets connus de trop de gens. Par conséquent, nous encourageons les ministères à choisir des éléments de données, ou des combinaisons d'éléments de données, que d'autres personnes ne peuvent pas deviner facilement.
  3. Gestion des identificateurs et mots de passe des utilisateurs
    • Les identificateurs et mots de passe des utilisateurs sont les clés qui donnent accès aux bases de données. Ici encore, il incombe aux ministères de veiller à ce que ces outils d'accès respectent des normes acceptables de sécurité.
    • Les identificateurs et mots de passe d'utilisateurs que d'autres personnes peuvent facilement deviner n'offrent guère de protection contre l'accès non autorisé. Il est généralement recommandé d'éviter d'utiliser son nom comme identificateur d'utilisateur, et les mots de passe devraient généralement être configurés au moyen d'un agencement de valeurs alpha-numériques et d'éléments sensibles à la casse.
  4. Sécurité des ordinateurs personnels
    • Dans la mesure où les ordinateurs personnels sont la voie d'accès aux bases de données, ceux-ci représentent un risque considérable en matière de sécurité.
    • Il incombe aux ministères d'informer les utilisateurs des risques relatifs à la sécurité qui sont associés à leurs ordinateurs personnels — la conservation de données relatives à des transactions dans l
Date de modification :