Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Le cycle de vie lié à la protection de la vie privée : conseils pour minimiser les risques en matière de vie privée et protéger les renseignements personnels

Le 27 octobre 2025

Les bulletins portant sur la Loi sur la protection des renseignements personnels visent à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à communiquer cette information à vos collègues.

L’intégration de facteurs relatifs à la protection de la vie privée dans le cycle de vie d’une technologie, d’un programme ou d’un service – à partir du moment où les renseignements personnels sont recueillis jusqu’à leur utilisation, leur stockage et leur retrait éventuel – peut soutenir et favoriser une innovation responsable, accroître la confiance envers le programme ou le service en question et assurer le respect de la Loi sur la protection des renseignements personnels.

Plus tôt cette année, le Commissariat à la protection de la vie privée du Canada et le Secrétariat du Conseil du Trésor (SCT) ont présenté un exposé à plus de 1 000 participants du gouvernement sur la protection des renseignements personnels au cours du cycle de vie d’un programme ou d’une activité. On trouve une vidéo de la présentation sur le site Web du Commissariat. Voici quelques points clés à retenir :

Avant la collecte des renseignements personnels

  • Déterminez l’autorisation légale qui s’applique à l’initiative avant de recueillir des renseignements personnels.
  • Pour les initiatives qui sont très complexes ou dans le cadre desquelles on a recours à des renseignements personnels très sensibles, tenez compte des répercussions sur le droit à la vie privée des individus en appliquant les critères de nécessité, d’efficacité, de proportionnalité et d’atteinte à la vie privée minimale.
  • Réalisez une évaluation des facteurs relatifs à la vie privée (EFVP) pour toute initiative visée par la section C.2.2.9 de la Directive sur les pratiques relatives à la protection de la vie privée du SCT.
  • Lorsque vous prévoyez d’échanger des renseignements personnels, assurez-vous que des ententes d’échange de renseignements ont été mises en place, et si vous confiez à un tiers la collecte, l’utilisation ou la conservation de renseignements personnels, assurez-vous d’inclure dans les contrats des clauses visant la protection de la vie privée.
  • Consultez l’ensemble des politiques et les documents d’orientation du SCT pour guider l’élaboration de votre programme ou activité.
  • Consultez la Division de la protection de la vie privée et des données responsables du SCT et la Direction de la promotion et de la mobilisation du Commissariat. Nous sommes là pour vous aider!

Lors de la collecte des renseignements personnels

  • La transparence est un principe fondamental de la Loi sur la protection des renseignements personnels et du cadre stratégique qui l’appuie. La transparence aide à établir un lien de confiance.
  • Qu’il s’agisse de renseignements personnels du public ou de renseignements sur les fonctionnaires, les institutions sont tenues d’indiquer clairement quels renseignements personnels elles recueillent, pourquoi elles les recueillent, et comment ceux-ci seront utilisés et communiqués.
  • Veillez à ce qu’il y ait des énoncés de confidentialité clairs qui respectent les exigences de la section 4.2.20 de la Directive sur les pratiques relatives à la protection de la vie privée du SCT.
  • Tenez à jour le chapitre Info Source et les fichiers de renseignements personnels de votre institution.
  • Publiez des résumés de vos EFVP sur le site Web de votre institution afin que le public puisse comprendre comment les programmes et les activités ont été évalués et ce que fait votre institution pour atténuer les risques à l’égard des renseignements personnels.

Après la collecte des renseignements personnels

  • Les institutions sont tenues de protéger les renseignements personnels qui relèvent d’elles et de prendre des mesures pour aider à réduire le risque de compromission.
  • En cas d’atteinte, il faut évaluer s’il existe un risque réel de préjudice grave afin de déterminer la réponse appropriée.
  • En 2025, le Commissariat a mis en ligne sur son site Web un outil d’autoévaluation des risques d’atteinte à la vie privée que les institutions peuvent utiliser pour évaluer si l’atteinte est susceptible d’entraîner un risque réel de préjudice grave pour les individus.
  • La trousse d’outils pour la gestion des atteintes à la vie privée du SCT fournit un guide pratique pour gérer les atteintes à la vie privée.
  • Une fois que la situation liée à l’atteinte est résolue, il est important d’en tirer des leçons et de s’adapter pour combler les lacunes qui ont engendré l’atteinte.
  • Les institutions assujetties à la Loi sur la protection des renseignements personnels sont tenues de signaler les incidents au SCT et au Commissariat conformément à la directive du SCT. Le fait de signaler une atteinte et d’en tirer des leçons aide non seulement à empêcher que des atteintes semblables se produisent au sein de votre institution, mais aussi au sein d’autres institutions (par la mise en commun des pratiques exemplaires).

Si votre institution souhaite obtenir des conseils plus approfondis, n’hésitez pas à communiquer avec la Direction de la promotion et de la mobilisation du Commissariat ou avec la Division de la protection de la vie privée et des données responsables du SCT.

Ressources

Coordonnées

Ne manquez pas nos prochains Bulletins sur la LPRP en vous abonnant à notre fil RSS.

Date de modification :