Prendre en compte les répercussions sur la vie privée lors de la sous-traitance de fonctions à un tiers

Le 27 juin 2019

Les Alertes relatives à la protection de la vie privée du Commissariat à la protection de la vie privée du Canada sont destinées à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à partager cette information avec vos collègues.

Question :

L’externalisation de programmes ou de services peut soulever certains risques d’atteinte à la vie privée. Lorsque l’on envisage l’externalisation et d’établir un contrat avec un tiers, il est important d’examiner attentivement les répercussions sur la vie privée.

Aucune disposition de la Loi sur la protection des renseignements personnels n’interdit l’externalisation. Ceci étant dit, même si une institution fédérale fait appel à un fournisseur de services du secteur privé pour lui confier certaines fonctions, elle ne peut pas externaliser les responsabilités qui lui incombent en vertu de la Loi sur la protection des renseignements personnels.

Outre la Loi sur la protection des renseignements personnels, les institutions doivent respecter les politiques, directives et lignes directrices pertinentes du Secrétariat du Conseil du Trésor (SCT).

Conseils aux institutions :

• Avant d’externaliser une fonction, déterminez précisément si cela aura des répercussions sur la vie privée. Les institutions fédérales doivent mener des évaluations des facteurs relatifs à la vie privée (EFVP) pour les programmes et activités nouveaux ou considérablement modifiés qui requièrent l’utilisation de renseignements personnels pour la prise de décisions touchant directement des individus. En conséquence, si une institution envisage d’externaliser certaines fonctions, elle peut préparer une EFVP faisant état des répercussions sur les renseignements personnels des Canadiens. Les institutions doivent également réaliser des EFVP lorsque la sous-traitance ou le transfert d’un programme ou d’activités à un autre ordre de gouvernement ou au secteur privé entraîne des modifications importantes au programme ou à l’activité.
• Si vous sous-traitez une fonction à un tiers, les modalités du contrat, y compris les obligations relatives à la protection des renseignements personnels, devraient être énoncées dans une entente écrite. Cette entente devrait inclure les mesures permettant de s’assurer de la capacité de l’institution à vérifier la conformité de la gestion par l’entrepreneur des renseignements recueillis.
• Les institutions du gouvernement fédéral sont responsables des renseignements recueillis en vertu d’un contrat passé avec les fournisseurs externes. Lorsqu’elles préparent les contrats, les institutions devraient inclure les dispositions suivantes :
• préciser la propriété des renseignements — c'est-à-dire que tous les renseignements recueillis en vertu du marché sont la propriété du ministère ou de l'organisme contractant et qu'ils doivent lui être remis à la cessation du marché;
• reconnaître les droits d'accès des individus à leurs renseignements personnels qui sont recueillis en vertu du marché;
• restreindre les utilisations ultérieures des renseignements personnels;
• protéger les renseignements contre toute communication non autorisée;
• établir les critères en matière de conservation et de retrait.
• Les données électroniques du gouvernement du Canada des catégories protégées B, protégées C et classifiées doivent être stockées sur des serveurs approuvés au Canada ou dans des locaux d’un ministère du gouvernement du Canada situé à l’étranger, conformément à l’Orientation relative à la résidence des données électroniques du Secrétariat du Conseil du Trésor. Si vous externalisez certaines fonctions, assurez-vous que les pratiques de stockage des données de l’entreprise respectent vos obligations.

Pour de plus amples renseignements :

• La protection de la vie privée et l’externalisation pour les institutions fédérales
• Directive sur les pratiques relatives à la protection de la vie privée
• Politique sur la protection de la vie privée
• Prise en compte de la protection des renseignements personnels avant de conclure un marché
• Politique sur la sécurité du gouvernement
• Orientation relative à la résidence des données électroniques
• Directive sur l’évaluation des facteurs relatifs à la vie privée

Recevez nos prochaines Alertes à la protection de la vie privée en vous abonnant à notre fil RSS. Les Alertes à la protection de la vie privée sont également publiées sur notre site Web.