Les évaluations des facteurs relatifs à la vie privée

Mise à jour en décembre 2011

En quoi consistent les évaluations des facteurs relatifs à la vie privée?

Les évaluations des facteurs relatifs à la vie privée (ÉFVP) servent à repérer les risques éventuels d’entrave à la vie privée que posent les programmes et services du gouvernement fédéral, qu’ils soient nouveaux ou remaniés. Elles aident également à éliminer ou à réduire ces risques à un niveau acceptable. 

Pratiquement toutes les institutions gouvernementales, telles que définies à l’article 3 de la Loi sur la protection des renseignements personnels, y compris les sociétés d’État et toute filiale en propriété exclusive de ces sociétés, doivent réaliser des ÉFVP lorsque leurs programmes et services, nouveaux ou remaniés, soulèvent des préoccupations en ce qui a trait à la protection de la vie privée.

Les ÉFVP permettent d’observer de près la façon dont les ministères protègent les renseignements personnels qui sont recueillis, utilisés, communiqués, entreposés, puis détruits. Ces évaluations favorisent l’instauration d’une culture propice au respect de la vie privée au sein des ministères fédéraux.

Quand une ÉFVP s’impose-t-elle?

En vertu de la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor(entrée en vigueur le 1er avril 2010), les ministères gouvernementaux doivent réaliser une ÉFVP de façon proportionnée par rapport aux risques d'atteinte à la vie privée qui ont été identifiés, avant la mise en œuvre d'une activité ou d'un programme nouveau ou ayant subi des modifications importantes comportant des renseignements personnels. Une ÉFVP est généralement requise lorsqu’un ministère :

  • utilise ou envisage utiliser des renseignements personnels dans un processus décisionnel qui touche directement un individu;
  • modifie substantiellement des programmes ou des activités existants où des renseignements personnels sont utilisés, ou destinés à être utilisés, dans un processus décisionnel qui touche directement un individu;
  • a recours à la sous-traitance ou transfère un programme ou un service à un autre ordre de gouvernement ou au secteur privé résultant en une modification importante au programme ou à l'activité;
  • remanie en profondeur un système qui dispense un programme au public, ou;
  • recueille des renseignements personnels qui ne seront pas utilisés dans un processus de décision touchant directement un individu, mais qui aura une incidence sur la protection de la vie privée.

Qui réalise les ÉFVP?

Chaque ministère et organisme gouvernemental réalise ses propres ÉFVP. L’équipe d’évaluation est souvent formée de spécialistes de divers domaines, y compris les services juridiques, la protection de la vie privée, l’accès à l’information et les technologies de l’information.

Quel est le rôle du Commissariat à la protection de la vie privée?

Le Commissariat à la protection de la vie privée (CPVP) peut consulter les ministères avant ou pendant l’élaboration des ÉFVP pour s’assurer que les questions relatives à la protection de la vie privée sont bien comprises. Le CPVP peut offrir des conseils et proposer des solutions relativement aux risques éventuels d’entrave à la vie privée.

Les ministères gouvernementaux doivent soumettre leurs rapports d’ÉFVP finaux au CPVP avant de mettre en œuvre les programmes ou services. Le CPVP peut ne pas entreprendre un examen approfondi de tous les ÉFVP qu'il reçoit, comme il peut se concentrer sur des initiatives qui, à son avis, constituent le plus grand risque pour la protection de la vie privée.

Conformément à la Directive, la commissaire peut demander aux ministères de plus amples analyses ou des renseignements additionnels dans le but de compléter son examen d’une ÉFVP. Le CPVP peut fournir des commentaires et des recommandations sous forme de lettres de recommandations aux ministères, toutefois, la décision quant à la mise en œuvre des recommandations appartient aux ministères.

En mars 2011, le CPVP a publié un document d'orientation intitulé : Nos attentes : un guide pour la présentation d'évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada, dans le but de préciser ses attentes concernant le type et la profondeur des renseignements qui devraient être fournis par les institutions gouvernementales lors de la soumission définitive des rapports d’ÉFVP à son bureau.

Les ÉFVP sont actuellement obligatoires conformément à une politique gouvernementale établie par le Secrétariat du Conseil du Trésor du Canada, la commissaire à la protection de la vie privée a proposé que le processus soit obligatoire en vertu de la loi par suite d’une vaste réforme de la Loi sur la protection des renseignements personnels. La commissaire appuie la Directive sur l’ÉFVP, mais elle considère qu’elle serait plus efficace si elle avait force de loi.

Quels principes fondamentaux régissent les ÉFVP?

Dix principes fondamentaux de protection de la vie privée devraient régir les ÉFVP :

Responsabilité : Chaque ministère doit désigner une personne qui devra s’assurer du respect des politiques et pratiques en matière de protection de la vie privée.

Détermination des fins de la collecte des renseignements : Les fins auxquelles les renseignements personnels sont recueillis doivent être exposées aux Canadiennes et Canadiens avant la collecte ou au moment de celle-ci.

Consentement : Les Canadiennes et Canadiens doivent consentir à ce que leurs renseignements personnels soient recueillis, utilisés et communiqués.

Limitation de la collecte : Seuls les renseignements personnels nécessaires aux fins déterminées doivent être recueillis.

Limitation de l'utilisation, de la communication et de la conservation : Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis. Si les renseignements sont destinés à d’autres fins, le consentement des personnes concernées doit être obtenu. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.

Exactitude : Les ministères doivent prendre toutes les mesures nécessaires pour réduire le risque que des renseignements personnels erronés soient utilisés ou communiqués.

Mesures de sécurité : Les ministères doivent protéger les renseignements personnels contre les pertes ou les vols. Ils doivent élaborer des mesures pour prévenir l’accès, la communication, la reproduction, l’utilisation et la modification non autorisés des renseignements personnels.

Transparence : Les ministères doivent faire en sorte que leurs politiques en matière de protection des renseignements personnels soient facilement accessibles aux Canadiennes et Canadiens.

Accès aux renseignements personnels : Les Canadiennes et Canadiens ont le droit de demander à consulter tout renseignement détenu par le gouvernement à leur sujet. Ils ont le droit de savoir à qui leurs renseignements ont été communiqués. Ils peuvent contester l’exactitude de leurs renseignements personnels et demander qu’ils soient corrigés.

Possibilité de porter plainte à l’égard du non-respect des principes : Les Canadiennes et Canadiens doivent pouvoir se plaindre des pratiques des ministères en matière de protection de la vie privée.

Ces principes sont généralement appelés « principes relatifs à l'équité dans le traitement des renseignements ». Ils sont énoncés dans le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation. Ils sont également formulés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi canadienne en matière de protection des renseignements personnels applicable au secteur privé. Le Commissariat croit qu’ils devraient être inscrits dans une version remaniée de la Loi sur la protection des renseignements personnels, qui impose des obligations aux ministères fédéraux.

Quelles sont les étapes d’une ÉFVP?

Parmi les principales étapes d’une ÉFVP, mentionnons :

  • Repérer tous les renseignements personnels concernant un programme ou un service, et examiner la façon dont ils seront utilisés;
  • Utiliser le critère en quatre parties du CPVP pour la nécessité et la proportionnalité des initiatives ou des technologies hautement intrusives (pour plus d'information, voir le document Nos attentes du CPVP);
  • Appliquer les dix principes régissant la protection des renseignements personnels;
  • Déterminer où les renseignements personnels sont envoyés après leur collecte;
  • Déceler les risques d’entrave à la protection de la vie privée et évaluer leur niveau;
  • Trouver des façons d’éliminer ou de réduire les risques d’entrave à la vie privée à un niveau acceptable.

Comment les ÉFVP protègent-ils mes renseignements personnels?

Les ÉFVP garantissent que la protection de la vie privée est prise en considération au moment de la planification et de la mise en œuvre d’un projet. Les ÉFVP servent à décrire et à consigner les renseignements personnels qui sont recueillis, la manière dont ceux-ci sont recueillis, utilisés, communiqués et conservés, la façon dont ils peuvent être échangés ainsi que les raisons de leur échange, et les mesures prises pour empêcher une communication inappropriée de ceux-ci à chacune des étapes. Bref, les ÉFVP constituent un outil d’atténuation du risque.

Depuis la mise en œuvre, en 2002, de la politique d’ÉFVP pour le gouvernement du Canada, les ÉFVP ont permis de mieux sensibiliser les institutions gouvernementales à la protection de la vie privée. Leur conduite a permis de souligner l’importance des enjeux potentiels en matière de protection de la vie privée associés à de nombreux programmes gouvernementaux. Grâce à ce processus (ÉFVP), les renseignements personnels que les Canadiennes et les Canadiens fournissent au gouvernement fédéral sont mieux protégés. Ce processus est la clé d’un solide cadre de gestion de la protection de la vie privée.

Qui peut consulter les rapports d’ÉFVP?

Les ministères et organismes gouvernementaux doivent faire en sorte que les résumés des ÉFVP, rédigés en langage simple et en versions française et anglaise, soient accessibles au public.

Renseignements détaillés

Le SCT est responsable de la politique du gouvernement sur l’ÉFVP. L’évaluation des facteurs relatifs à la vie privée est décrite plus en détail sur le site Web du Conseil du Trésor. Voici certains documents clés :

Directive sur l'évaluation des facteurs relatifs à la vie privée

Politique sur la protection de la vie privée

Lignes directrices du SCT concernant l’application de la Politique d’évaluation des facteurs relatifs à la vie privée

L’évaluation des facteurs relatifs à la vie privée: le GPS qui vous guide dans le nouvel environnement de protection des données.

Nos attentes : un guide pour la présentation d'évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada.

Une question de confiance : Intégrer le droit à la vie privée aux mesures de sécurité publique au 21e siècle.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :