Vidéo : Le cycle de la vie privée – Enregistrement d’un événement

Le cycle de la vie privée : minimiser les risques et protéger les renseignements personnels

(Présentations)

Flavie Gagné: Donc, on va commencer. Bonjour et bienvenue à cette activité organisée dans le cadre de la Semaine de la sensibilisation à la protection de la vie privée, intitulée Le cycle de vie privée, Le cycle de vie lié à la protection de la vie privée, conseils pour minimiser les risques en matière de protection de la vie privée et protéger les renseignements personnels. Je suis certaine que ça va être une discussion aujourd’hui qui va être vraiment intéressante. Cette séance est animée par le Bureau de perfectionnement de la collectivité, de l’accès à l’information et de la protection des renseignements personnels du Secrétariat du Conseil du Trésor, donc, le SCT.

Je tiens à souligner que je me joins à vous depuis le territoire traditionnel non cédé de la nation Algonquine Anishinaabeg. Je vous encourage à prendre un moment pour réfléchir au territoire Autochtone sur lequel vous vivez, travaillez et vous divertissez. Je reconnais que les autochtones se battent depuis longtemps pour que leurs voix soient entendues et que, et pour que leurs droits soient respectés, notamment leur droit à la vie privée.

Donc, avant d’entrer dans le vif du sujet, on peut se présenter un peu puis expliquer aux participants comment se dérouleront les 90 prochaines minutes.

Benoit Deshaies: Une super bonne idée. Voulais-tu commencer, Flavie?

Flavie Gagné: Oui, je peux commencer. Donc bonjour, mon nom est Flavie, je suis conseillère principale en protection de la vie privée au Commissariat. Mon rôle aujourd’hui va être d’animer la discussion, donc je vais poser des questions principalement et faciliter (sic) les échanges. Je suis accompagnée aujourd’hui de Benoit Deshaies, directeur de la Division de la vie privée et des données responsables au SCT. On a Pascal Lacroix-Piché, qui est gestionnaire au sein de la Direction des Admissions, du règlement et de la conformité ici au Commissariat. On a également Tyler Bissonnette, gestionnaire au sein de l’équipe de promotion et mobilisation également au Commissariat.

On est aussi vraiment heureux d’accueillir Mike Maguire, le nouveau directeur exécutif de la Promotion et, Promotion et Mobilisation au Commissariat. Dans le cadre de ses nouvelles fonctions, Mike supervisera les services conseils à l’intention du gouvernement, les services conseils à l’intention des entreprises privées, le centre d’information du Commissariat et certains aspects de l’intervention en cas d’atteinte. Mike, est-ce que t’aimerais dire quelques mots?

Michael Maguire: Merci Flavie. Je, je suis très heureux d’être ici avec vous aujourd’hui. Comme Flavie l’a mentionné, je suis le nouveau directeur exécutif de l’équipe. En fait, c’est ma première semaine dans ce rôle. Je travaille au Commissariat depuis 13 ans, cependant jusqu’au – jusqu’à présent, j’ai principalement travaillé dans le domaine de la législation relative au secteur privé. Plus récemment, j’ai occupé le poste de directeur de l’équipe chargée de la conformité à la LPRPDE pendant six ans. Donc, même si j’ai beaucoup d’expérience dans le domaine de la protection de la vie privée, les lois et les politiques applicables au secteur public sont un nouveau domaine pour moi et j’ai hâte d’en apprendre plus.

Je sais que l’équipe chargée des services conseillers au gouvernement interagit beaucoup avec de nombreuses institutions présentes aujourd’hui et je me réjouis de collaborer d’abord davantage avec vous tous. Je trouvais très intéressant que la Semaine de sensibilisation à la protection de la vie privée coïncide avec ma première semaine au sein de cette nouvelle équipe et j’ai hâte d’entendre ce que les experts ici présents tend (sic) à nous dire.

Flavie, de quoi allons-nous parler aujourd’hui? Les participants auront-ils l’occasion de poser des questions?

Flavie Gagné: Deux excellentes questions. Merci Mike, on est ravis de t’avoir aujourd’hui parmi nous.

Donc, au cours de cette séance, on va se pencher sur le cycle de vie lié à la protection de la vie privée et examiner pourquoi la protection de la vie privée est importante à chaque étape. Donc, à partir de la collecte des renseignements personnels jusqu’à leur conservation et leur suppression. La présentation durera une heure et sera suivie d’une période de questions de 30 minutes.

Maintenant que nous connaissons vos noms et vos titres, je pense qu’il serait intéressant d’en savoir un peu plus sur vos rôles. Benoit, est-ce que tu pourrais nous donner un aperçu du travail que toi et ton équipe accomplissez au Secrétariat du Conseil du Trésor?

Benoit Deshaies: Oui, absolument. Bien au Secrétariat du Conseil du Trésor, le SCT, on s’engage à soutenir la mise en œuvre de pratiques efficaces en matière de protection de la vie privée, et puis ce, à l’échelle du gouvernement fédéral. Notre rôle, c’est de guider les ministères en leur fournissant des cadres stratégiques, des normes, des ressources pour veiller à ce que la protection de la vie privée soit gérée de manière rigoureuse mais aussi conforme à la loi. On fournit aussi des conseils et des renseignements sur les pratiques exemplaires pour aider les ministères à protéger les renseignements personnels tout en respectant les exigences de la Loi sur la protection des renseignements, la LPRP ou tout simplement la loi.

Mon équipe va aussi recevoir les signalements d’atteinte à la vie privée et les évaluations de facteurs relatifs à la vie privée. On examine les présentations du Conseil du Trésor, les TB Subs, qui vont viser à obtenir des autorisations pour les programmes ou des activités qui vont traiter de renseignements personnels. Et bien sûr dans tout ça, bien on veille aussi au respect de nos politiques. Moi-même en tant que directeur de ces politiques de la protection de la vie privée, bien j’appuie la mise en œuvre de pratiques qui vont renforcer la transparence et la confiance du public puis aussi qui va protéger les renseignements personnels.

Flavie Gagné: Merci beaucoup Benoit. À toi Tyler.

Tyler Bissonnette: Salut. Bien comme nous avons aujourd’hui des participants de l’ensemble de la fonction publique, je vais commencer par le tout début. Le Commissariat à la protection de la vie privée du Canada, le CPVP, a été créé en 1983 à la suite de l’adoption de la Loi sur la protection des renseignements personnels, la mission du Commissariat est de protéger et de promouvoir le droit à la vie privée. Le commissaire actuel, le Commissaire Dufresne, a été nommé en juin 2023 pour un mandat de sept ans. Le Commissaire de la protection de la vie privée, il est un agent du parlement et donc indépendant du gouvernement et relève directement du parlement, alors que le Secrétariat du Conseil du Trésor du Canada est l’organisme central du gouvernement du Canada, chargé d’établir les politiques et les directives.

La responsabilité première du Commissariat à la protection de la vie privée est de protéger le droit à la vie privée, notamment en menant des activités de promotion, en publiant proactivement des documents d’orientation ainsi qu’en menant des activités de conformité et d’enquête. L’équipe Promotion et Mobilisation, qui comprend l’unité chargée de fournir des services conseils au gouvernement, mène trois activités principales. On examine les évaluations de facteurs relatifs à la vie privée, EFVP, qui nous sont soumis par les institutions comme l’exige la politique de la SCT. On offre des services conseils proactifs aux institutions fédérales et on organise des séances de sensibilisation.

Flavie Gagné: Merci Tyler. On a la chance d’avoir parmi nous un autre collègue du Commissariat. Pascal, la parole est à toi.

Pascal Lacroix-Piché: Oui, bonjour. Mon nom est Pascal Lacroix-Piché, je suis juste en dehors de l’unité de réception des signalements d’atteinte au Commissariat à la protection de la vie privée. Donc, mon équipe est chargée d’analyser les signalements d’atteinte qui sont transmis au Commissariat par les institutions du secteur public, qui est les organisations et entreprises du secteur privé. Nous examinons plus de 1 000 signalements chaque année et dans le cadre de notre analyse, nous échangeons régulièrement avec les institutions et les organisations afin de leur fournir des orientations, des conseils et des recommandations pour les aider à se conformer à la loi ou à améliorer leurs pratiques en matière de gestion des atteintes.

Flavie Gagné: Très bon à savoir. Merci Pascal.

(Introduction)

Comme vous le savez tous, nous sommes ici pour parler du cycle de vie lié à la protection de la vie privée. Dans le monde moderne d’aujourd’hui, le gouvernement du Canada recueille une grande quantité de renseignements personnels par l’intermédiaire de ses nombreux ministères et organismes. Ces renseignements sont traités et communiqués de plus en plus rapidement et la technologie que nous utilisons pour les recueillir, les stocker et les exploiter évolue à un rythme effréné. Afin de maintenir ces pratiques tout en respectant le droit à la vie privée de la population canadienne, nous devons mettre en place des pratiques tout aussi avancées et perfectionnées en matière de protection de la vie privée. Il est donc encore plus important que chacun d’entre nous comprenne le cycle de vie lié à la protection de la vie privée et soit au fait des éléments à prendre en considération à chaque étape.

Maintenant, parlons un peu de la période avant de recueillir des renseignements personnels, qui est notre sujet principal de discussion aujourd’hui, à savoir, la présentation d’un aperçu du cycle de vie lié à la protection de la vie privée au sein du gouvernement du Canada. Nous examinerons comment les fonctionnaires peuvent protéger les renseignements personnels tout au long de leur cycle de vie du moment où nous les recueillons jusqu’à leur utilisation, leur stockage continu et leur destruction éventuelle.

On peut parler des points suivants. Donc, quoi faire avant de mettre en place un programme qui utilise des renseignements personnels? Évidemment, les évaluations des facteurs relatifs à la vie privée, le EFVP, comment communiquer des renseignements personnels à d’autres organisations, la formation et la sensibilisation des employés, quelques mesures de transparence, la réaction aux atteintes à la vie privée, puis finalement, le stockage et la protection des renseignements personnels. Pour conclure, on va discuter des points clés à retenir et vous aurez l’occasion évidemment de poser des questions.

(Les renseignements personnels)

Commençons par le début du cycle de vie. Benoit, est-ce que tu peux nous rappeler c’est quoi les renseignements personnels et qu’est-ce que nous cherchons à protéger?

Benoit Deshaies: Oui, merci pour cette question. Puis ça en est une qui est vraiment importante. Au terme de la Loi sur la protection des renseignements personnels, il va s’agir, les renseignements personnels de renseignements, quels que soient leur forme et leur support qui vont concerner un individu. Ça peut inclure des éléments comme le nom, l’âge, l’adresse postale ou les adresses IP quand vous naviguez sur le web, ou même les opinions et les idées personnelles. Et puis, ça ça peut surprendre les gens parfois, mais oui, les, les opinions et les idées personnelles peuvent être considérées comme des renseignements personnels dans certains cas. Par exemple, si un employé fait part de ses réflexions sur la fermeture d’une route sur son trajet pour se rendre au travail, bien cette opinion va constituer un renseignement personnel qui la concerne.

Si l’employé fait un commentaire sur le style de leadership de son gestionnaire, bien là, ce commentaire-là va constituer à la fois un renseignement personnel qui la concerne elle, mais aussi, puis que ça porte sur son gestionnaire, un renseignement personnel concernant le gestionnaire. Alors cette information-là va être un renseignement personnel pour les deux personnes. Il y a toutefois des exceptions à la définition de renseignements personnels, pour des raisons liées à la transparence du gouvernement. Par exemple, les renseignements qui concernent votre travail que vous effectuez en tant que fonctionnaire. On parle ici de votre titre, votre rôle, les opinions que vous émettez mais dans le cadre de votre travail, par exemple, sur les demandes de subventions ou sur les bénéficiaires. Bien tout ça, ça pourrait être inclus dans cette exception et ça ne constituerait pas une information personnelle.

(L’autorisation légale)

Flavie Gagné: Merci Benoit. Tyler, j’ai une question pour toi. Si un secteur de programme communique avec l’équipe chargée de la protection de la vie privée au sujet d’un nouveau programme ou d’une nouvelle activité, que doivent prendre en considération les organisations avant même de commencer à recueillir des renseignements personnels?

Tyler Bissonnette: Bien, (inaudible) bon. Il est essentiel de déterminer l’autorisation légale qui s’applique au programme ou à l’activité avant de recueillir des renseignements personnels. L’institution doit avoir le droit légal de recueillir et d’utiliser les renseignements personnels liés à l’initiative. Plus simplement, vous ne pouvez pas recueillir ou utiliser des renseignements personnels sans l’autorisation légale de le faire, même s’ils sont nécessaires à la réalisation des objectifs de votre initiative. Vous devez vous référer aux lois applicables à votre ministère ou à votre programme pour déterminer si vous disposez l’autorisation légale nécessaire. En cas de doute, veuillez parler avec vos services juridiques. Ils devraient être en mesure de vous indiquer si vous déposez de l’autorisation légale nécessaire et sinon, ce qu’il faut faire pour l’obtenir.

Pour les initiatives plus complexes nécessitant le traitement de renseignements personnels plus sensibles, il est peut-être utile d’évaluer soigneusement l’incidence sur le droit à la vie privée des instituts concernés. Vous devez être en mesure de démontrer que l’utilisation des renseignements personnels dans le cadre de votre programme est nécessaire pour répondre à un objectif précis, efficace pour atteindre votre objectif urgent et important, proportionnelle, c’est-à-dire que les avantages obtenus compensent l’atteinte à la vie privée et peu intrusive. Donc, qu’il n’existe pas de mesure moins intrusive pour atteindre le même objectif.

De même, vous devez évaluer chaque élément des renseignements personnels que vous recueillez afin de déterminer la raison et la nécessité de leur collecte. C’est ce qu’on appelle une exercice de mini-, minimisation des données. Et pour confirmer, changer la taille de la police de 12 à 8, ça compte pas comme une minimisation de données.

(Les EFVP)

La détermination et l’autorisation légale qui s’applique au programme et la justification de la collecte des renseignements personnels constituent la première étape de l’évaluation des facteurs relatifs à la vie privée ou EFVP. Une EFVP est un processus de gestion des risques qui aident les institutions à s’assurer qu’elles respectent les exigences de la loi et à déterminer l’incidence éventuelle de leurs programmes et de leurs activités sur la vie privée d’individus. Les EFVP servent à décrire et à consigner la nature des renseignements recueillis dans le mode de collecte, l’utilisation de transmission et de stockage ainsi que le mode et les raisons de leurs échanges et le système de protection en place pour prévoir à chaque étape la divulgation non prévue des renseignements personnels.

Il est important de garder à l’esprit qu’une EFVP est bien plus qu’un simple document. Il s’agit d’un processus qui lorsqu’il est entrepris adéquatement, constitue un outil d’atténuation des risques. Les institutions de la fonction publique fédérale sont tenues conformément à une politique de transmettre EFVP au Commissariat et au SCT pour l’examen. L’examen des EFVP par le Commissariat vise à fournir une deuxième – un deuxième regard afin de cerner les risques et de renforcer davantage les mesures d’atténuation des risques de votre institution.

Les institutions peuvent également constituer l’équipe chargée des services conseils au gouvernement du Commissariat dès le début du processus de la EFVP afin d’obtenir une orientation préliminaire et de mieux comprendre les principaux risques pour la vie privée associés à leurs activités.

Flavie Gagné: C’est donc clair que les EFVP constituent le point de départ du cycle de vie lié à la protection de la vie privée pour tout nouveau programme ou toute nouvelle activité. Au sujet des EFVP, le SCT a récemment mis à jour les exigences relatives à ces évaluations, n’est-ce pas? Benoit, est-ce que tu pourrais nous expliquer c’est quoi qui a changé?

Benoit Deshaies: Oui, merci pour la question. Bien la Directive sur les pratiques relatives à la protection de la vie privée, qui est une directive que le Conseil du Trésor publie, la directive exige que les institutions réalisent une EFVP pour toute nouvelle activité au programme qui va comporter le traitement de renseignements personnels. Ça va être aussi requis pour toute modification importante qui va être apportée à une activité ou un programme qui est déjà existant. Ça signifie qu’avant la mise en œuvre, il faut évaluer les risques possibles pour la vie privée et documenter la manière dont votre institution va les gérer.

La directive va également exiger trois choses des institutions. Premièrement, les institutions vont devoir utiliser le modèle d’EFVP obligatoire et puis si vous allez sur notre site web, vous allez trouver le gabarit que vous pouvez télécharger. Deuxièmement, l’évaluation doit s’aligner sur les fichiers de renseignements personnels. On va en parler un petit peu plus tard qu’est-ce que c’est mais en gros, c’est la description de ces fichiers-là doit être rendue publique et ça constitue un mécanisme de transparence. Et troisièmement, les institutions vont devoir publier un résumé de l’évaluation de l’EFVP une fois qu’elle est terminée. Encore là, c’est un autre mécanisme de transparence.

Les mises à jour qu’on a apportées en octobre dernier visent à simplifier et à renforcer la manière dont nous gérons les risques pour la vie privée. Grâce à des outils et des modèles obligatoires, la nouvelle norme va favoriser une approche qui va être plus cohérente et proactive. Un principe clé à prendre en compte lors d’une EFVP, c’est la protection de la vie privée dès la conception. Ça signifie qu’il faut penser à la protection de la vie privée dès le début et non après-coup quand les activités d’implémentation ont déjà débuté.

La liste de vérification et le modèle de EFVP qu’on fournit peuvent vous aider à accomplir ça. Leur objectif est de vous aider à répondre aux questions clés et à cerner les principaux risques lors de la phase de planification de votre programme ou de votre activité. Si le projet va comporter une composante d’intelligence artificielle ou de prise de décisions automatisée, par exemple, il pourrait y avoir des modèles pour aider à la détection de la fraude ou encore l’utilisation de technologie de reconnaissance faciale pour délivrer des documents officiels. Bien, à ce moment-là, les institutions vont devoir réaliser une autre évaluation qui est l’évaluation de l’incidence algorithmique, une EIA.

Cette évaluation-là va aider à déterminer comment le système va utiliser les renseignements personnels pour prendre des décisions. L’EIA va permettre d’évaluer les risques d’automatisation avant leur mise en œuvre, puis il va vous aider aussi à ce que le projet soit conforme aux lois et aux politiques, incluant celle pour la protection de la vie privée. Mettre la protection de la vie privée au premier plan dès la conception de votre programme jusqu’à leur exécution quotidienne, bien c’est pas seulement une exigence de politique mais c’est aussi une pratique exemplaire. Et puis, n’oubliez pas que le bureau de l’AIPRP et les responsables de la protection de la vie privée de votre institution sont là pour vous aider à chaque étape, tout comme l’équipe de la division de la vie privée des données responsables du SCT, notre équipe, et les gens au Commissariat.

Si vous avez des questions ou besoin d’aide pour comprendre les exigences, n’hésitez pas à contacter les gens de votre institution ou à prendre contact avec nous.

Flavie Gagné: Parfait. Merci. Puis si un secteur de programme souhaite mettre en place un programme pilote qui recueille des nouveaux renseignements personnels, qu’est-ce qui se passe, Tyler?

Tyler Bissonnette: Oui, donc un projet pilote peut être un excellent moyen de cerner les risques et les problèmes potentiels liés à l’adoption d’une nouvelle approche pour un programme. On encourage fortement les institutions à mener des projets pilotes avant de lancer de nouveaux programmes à une plus grande échelle. (Inaudible) les projets pilotes sont soumis aux mêmes exigences en matière de protection de la vie privée que tout autre programme. Si vous recueillez des renseignements personnels dans le cadre d’un projet pilote en vue de prendre des décisions administratives, vous devez tout de même effectuer une EFVP avant de lancer le projet. Les conclusions tirées du projet pilote pourraient servir à mettre à jour le EFVP par la suite car l’évaluation de la protection à la vie privée est un processus continu.

Flavie Gagné: Merci. Maintenant, Tyler, est-ce que tu pourrais nous expliquer brièvement comment le Commissariat examine les EFVP?

Tyler Bissonnette: Oui, donc le Commissariat reçoit les EFVP des institutions fédérales et les examine. On utilise un processus de triage pour déterminer deux qui feront l’objet d’un examen secondaire et de recommandations officielles. Notre triage tient compte de facteurs tels que la nature sensible des renseignements personnels, le nombre d’individus touchés, l’intérêt éventuel du parlement ou du public pour le sujet, l’utilisation éventuelle d’une nouvelle technologie, le lien éventuel entre l’initiative et l’une des priorités stratégiques du Commissariat et d’autres facteurs.

Nos conseils aux institutions sont fondés sur la Loi sur la protection des renseignements personnels, la politique du SCT et des principes en matière de protection de la vie privée internatiol-, internationalement reconnus. Il est aussi à noter que le Commissariat n’approuve ni ne recommande aucun programme. On peut étamper vos EFVP. Nous sommes pas en mesure de fournir des conseils juridiques, ni d’aider à concevoir des programmes. Ces tâches relèvent entièrement la responsabilité de votre institution.

Flavie Gagné: Puis comment les organisations doivent-elles donner suite aux recommandations du Commissariat une fois que l’EFVP a été examinée?

Tyler Bissonnette: Donc, le Commissariat, il formule des recommandations afin d’orienter les institutions vers les options qui offrent le plus haut niveau de protection de la vie privée. Nous ne nous attendons pas nécessairement que les institutions acceptent toutes nos recommandations – ça serait idéal – mais, mais c’est pas nécessairement notre attente puisque celles-ci ne sont pas contraignantes. Toutefois, nous nous attendons à ce que les institutions donnent suite à nos recommandations et justifient la décision de ne pas accepter certaines d’entre elles. Gardez à l’esprit que tous les risques ne sont pas équivalents et qu’il peut être impossible de les éliminer complètement.

Il est important de justifier tout risque résiduel et de veiller à ce que la personne responsable de la protection de la vie privée au sein de votre institution comprenne et accepte ce risque. Chaque EFVP doit inclure un plan d’action qui décrit les mesures d’atténuation prévues par l’institution pour faire face aux risques pour la vie privée qu’elle a cernés. Ce plan d’action doit inclure un échéancier et le nom de la personne responsable de chaque mesure. Les équipes chargées de la protection de la vie privée doivent assurer le suivi auprès de leurs collègues travaillant sous des programmes qui recueillent des renseignements personnels afin de vérifier si les mesures privées ont été mises en œuvre.

En général, vous devez considérer les rapports d’EFVP comme des documents évolutifs. Comme je l’ai mentionné plus tôt, l’analyse des risques d’atteinte à la vie privée est un processus continu qui ne prend pas fin au moment de l’approbation de l’EFVP. Vous devriez régulièrement, évaluer régulièrement les facteurs relatifs à la vie privée, mesures de contrôle, risques, etc., à mesure que le contexte évolue. Vérifiez tout particulièrement si les mesures mises en œuvre ont l’effet escompté en matière d’atténuation des risques pour la vie privée. La gestion continue de ces risques peut être intégrée à la stratégie globale de gestion des risques de votre institution. Si vous remarquez des changements importants qui ont une nouvelle incidence importante sur la vie privée qui n’a pas été prise en compte dans le EFVP, vous devriez mettre à jour votre EFVP, conformément à la Directive sur les pratiques relatives à la protection de la vie privée.

(La collecte, l’utilisation et la communication de renseignements personnels)

Flavie Gagné: Super. Merci Tyler. Benoit, une autre question pour toi. Que faire si mon institution collabore avec d’autres organisations dans le cadre du programme qui traite des renseignements personnels? Par exemple, je lance un programme pilote qui teste des nouvelles approches en matière de résolution des conflits sur le lieu de travail. Imaginons maintenant qu’un tel programme soit mené en collaboration avec différentes institutions gouvernementales ou même un partenaire du secteur privé pour fournir des services liés à des enquêtes, des entrevues vidéo asynchrones ou des analyses basées sur l’intelligence artificielle. Est-ce qu’il y a des éléments relatifs à la protection de la vie privée dont nous devrions tenir compte, en particulier dans le cadre de la conclusion de contrats et de l’échange d’information?

Benoit Deshaies: Merci. Une grande question avec beaucoup d’éléments. J’aime ça. Alors, pour commencer, lorsque vous prenez une décision qui concerne un individu, bien vous devez recueillir les renseignements personnels nécessaires directement auprès de la personne elle-même chaque fois que c’est possible. Des exemples de décisions qui vont utiliser des informations personnelles, ça va inclure déterminer si une personne a droit à une prestation, si elle peut participer à un programme, si elle doit faire l’objet de mesures disciplinaires peut-être dans le cadre de votre processus de résolution de conflit ou toutes autres décisions administratives.

La collecte de renseignements directement avec l’individu, bien ça va permettre de veiller à ce que la personne soit informée de la collecte et puisse consulter l’avis de confidentialité qui va l’informer des utilisations qui sont prévues des renseignements qu’on collecte à son sujet. L’avis de confidentialité va aussi devoir indiquer les recours à cette disposition si la personne souhaite déposer une plainte auprès du Con-, du Commissariat.

Le recueil de renseignements directement auprès de l’individu permet aussi de garantir l’exactitude des renseignements. Dans l’exemple plus tôt de résolution de conflits, bien on obtiendrait donc des précisions sur ce qui s’est passé directement des personnes qui sont en conflit. Il existe quand même certaines exceptions à l’obligation de recueillir les renseignements personnels directement auprès de l’individu qui est concerné. Par exemple, lorsque l’individu consent à ce que ces renseignements soient communiqués ailleurs ou lorsque le nouvel usage serait compatible avec les fins pour lesquelles on a collecté ou recueilli les renseignements à l’origine ou encore s’il y a une loi qui va autoriser la communication des renseignements.

Si on regarde la Loi sur la protection des renseignements personnels, au paragraphe 8.2, il y a 13 alinéas qui vont prévoir des cas où est-ce que la communication des renseignements est possible sans le consentement de la personne. Mais en ce qui concerne l’exemple qu’on a mentionné de résolution de conflit, bien un usage compatible des renseignements, ça pourrait être, par exemple, pour le programme de santé sécurité au travail. Mais un petit conseil: n’oubliez pas que c’est pas parce que votre institution peut utiliser les renseignements qu’elle peut nécessairement les communiquer à d’autres parties. L’usage et la communication, c’est deux choses séparées.

Alors une fois que vous avez confirmé que vous pouvez communiquer des renseignements, vous devez conclure un contrat ou encore une entente d’échange de renseignements. Ces documents sont requis par la Directive sur les pratiques relatives à la protection de la vie privée avant la communication de renseignements personnels, que ce soit vers un autre programme au sein de votre institution à vous, vers une autre institution fédérale à un partenaire provincial ou municipal ou encore à une organisation du secteur privé. Les ententes doivent inclure plusieurs éléments afin de garantir que les renseignements personnels communiqués vont être traités de manière appropriée. Par exemple, si je souhaite communiquer des données relatives de l’immigration vers Service Canada, bien je devrais documenter l’autorisation légale de Service Canada à recueillir et à utiliser ces données, la fréquence à laquelle on va les communiquer puis les moyens utilisés et la durée de conservation de ces données-là.

Si Service Canada est autorisé ou non à ensuite les communiquer à des tiers, à leurs partenaires à eux, les mesures qu’on va devoir prendre pour maintenant l’exactitude des données et puis qu’est-ce qu’on va faire s’il y a des demandes d’AIPRP où est-ce que les gens demandent une copie de leurs renseignements. On va aussi devoir détailler dans l’entente ce qu’il faut faire en cas d’incident de sécurité ou d’atteinte à la vie privée, les mesures de protection nécessaires comme la formation des employés, le, les droits d’accès ou les mentions de, de sécurité. Puis peut-être en fin de contrat, détailler la fréquence à laquelle on va réviser l’entente d’échange de renseignements et bien d’autres choses encore. Vous voyez, c’est, c’est beaucoup d’information à inclure dans ces, dans ces ententes-là, puis le SCT fournit des lignes directrices et puis des modèles pour vous aider là à élaborer ces ententes.

Si vous faites affaires avec un fournisseur du secteur privé maintenant, bien les obligations en matière de protection de vie privée vont toujours s’appliquer. C’est pas parce qu’on, on délègue une partie de nos tâches à un fournisseur que nos obligations disparaissent. On est toujours responsable. Par exemple, peut-être que j’aurais besoin d’engager un enquêteur pour aider à résoudre une plainte pour le harcèlement ou je ferais affaires avec une, une entreprise par recrutement vidéo pour embaucher puis évaluer des astronautes. Bien dans des cas comme ça, les institutions doivent veiller à ce que les contrats vont com-, comprennent des dispositions strictes sur la protection de la vie privée puis que les tierces parties comprennent leurs responsabilités là-dedans.

Les dispositions doivent entre autres, porter sur le contrôle d’accès aux données, l’emplacement, où est-ce qu’elles vont être stockées, est-ce que ça doit être au Canada ou c’est permis de les stocker dans un autre pays, la durée de conservation, de quelle manière les données, les informations vont devoir être supprimées du système du fournisseur une fois que le contrat va être terminé et puis les mesures à prendre en cas d’atteinte à la vie privée. Au SCT, on est actuellement en train de mettre à jour notre document d’orientation sur la protection de la vie privée lors de la passation de marchés, puis le document révisé va comprendre des orientations sur tout qu’est-ce que je viens de discuter en lien avec les contrats.

L’objectif ici, c’est vraiment d’aider les institutions à veiller à ce que les entrepreneurs respectent les lois et les politiques en matière de protection de vie privée puis on veut aussi clarifier les attentes en matière d’évaluation et de gestion de risque de la protection de la vie privée puis ce, à toutes les étapes du processus de passation de marchés. Les programmes peuvent également utiliser et communiquer des renseignements personnels à des fins non administratives, par exemple, pour la recherche, les statistiques ou les rapports en matière d’ASC plus. Lorsque les mesures de protection appropriées sont en place, bien des pratiques novatrices comme le couplage des données administratives entre les programmes peuvent permettre d’obtenir des informations qui vont être vraiment précieuses.

Ça peut permettre d’améliorer la prise de décision puis de soutenir ultimement une prestation de programme qui va être améliorée et puis offrir des meilleurs résultats puis tout ça, sans compromettre la vie privée. Un exemple, c’est l’environnement de couplage de données sociales, le ECDS, de Statistiques Canada, puis ça c’est un excellent exemple de la manière dont les institutions peuvent permettre la réalisation de recherche de haute qualité tout en respectant des normes très strictes en matière de protection de vie privée et de sécurité. Ce modèle-là fonctionne parce que les identifiants personnels vont être conservés séparément puis seules les données anonymisées vont être utilisées pour la recherche.

L’accès à cet environnement-là et aux données est contrôlé puis tous les projets vont faire l’objet d’un examen rigoureux pour garantir le respect de la vie privée. Les institutions peuvent s’inspirer du modèle de, pardon, de Statistiques Canada pour utiliser les renseignements personnels de manière plus stratégique. Par exemple, pour cerner les lacunes des programmes, améliorer l’élaboration de politiques ou évaluer les incidences à long terme de leurs initiatives. La clé, c’est vraiment de veiller à ce que les mesures de contrôle soient en place en établissant un objectif administratif qui va être clair, des usages définis qui vont être définis dans les fichiers de renseignements personnels, des mesures de contrôle rigoureuses en matière de protection de vie privée. Entre autres, des contrôles d’accès et puis des ententes pour le, l’échange de renseignements officiels.

Est-ce que ça répond à ta question, Flavie?

Flavie Gagné: Oui, merci. Tyler, est-ce que t’aurais quelque chose à ajouter au sujet de la collaboration avec d’autres organisations?

Tyler Bissonnette: Oui, merci. Je pense que la plus grande leçon à tirer des contrats précédents est tout simplement qu’il est important que les spécialistes de la passation des marchés consultent les équipes responsables de la protection de la vie privée pour s’assurer que les contrats comprennent des clauses de base pour la protection de la vie privée. Dans les contextes, le programme de passation marchés comprend l’utilisation de renseignements personnels. Les institutions fédérales ne peuvent pas déléguer à un tiers la responsabilité en matière de protection de la vie privée.

Si les experts en matière de protection de la vie privée ne participent pas au processus de passation de marchés ou on risque d’oublier d’inclure les éléments liés à la protection de la vie privée. Leçon importante que nous pouvons tirer des expériences passées en matière de passation de marchés est l’importance de faire preuve de diligence raisonnable envers les fournisseurs de services tiers. C’est particulièrement important dans les cas où une institution fédérale conclut un contrat pour l’utilisation de solutions technologiques nouvelles, innovatrices qui entraînent des risques indéterminés en matière de protection de la vie privée. Notre équipe chargée des services conseils au gouvernement peut collaborer avec votre institution pour examiner les ententes d’échanges de renseignements et on serait également heureux de discuter des éléments que vous pourriez vouloir inclure dans vos contrats dans le cadre du processus de consultation.

Bien que nous ne puissions pas offrir de conseils juridiques, nos recommandations sont fondées sur la Loi sur la protection des renseignements personnels, la politique du SCT et les principes internationaux reconnus en matière de protection de la vie privée.

(La formation)

Flavie Gagné: Merci Tyler. Dernier point pour ce qui est de la préparation puis de la compréhension. C’est quoi les ressources mises à la disposition de chaque fonctionnaire? Comment chacun d’entre nous peut-il mieux comprendre ses propres responsabilités en matière de protection de la vie privée? Tyler?

Tyler Bissonnette: Bien en plus de nos services conseils et d’examen des EFVP, nous organisons également des activités de sensibilisation auprès des institutions. Certaines activités, comme celle-ci, visent à fournir des renseignements généraux à un large public mais nous pouvons également collaborer avec votre institution afin d’offrir des activités de sensibilisation plus personnalisées sur les principes de la protection de la vie privée, nos processus et les liens entre la protection de la vie privée et votre travail.

Flavie Gagné: Super. Merci. Benoit, maintenant est-ce que tu peux nous parler des formations puis des ressources offertes par le SCT?

Benoit Deshaies: Oui. Mais le respect des obligations en matière de protection de vie privée va contribuer à renforcer la confiance du public envers le gouvernement. C’est pourquoi la formation de la protection de la vie privée, bien c’est pas facultatif, c’est obligatoire. Si on regarde l’annexe B de la Directive sur les demandes de renseignements personnels, ça va énoncer les exigences en matière de formation pour tous les employés ainsi que les employés qui ont des responsabilités particulières là dans l’administration de la Loi sur la protection des renseignements personnels.

Pour aider les institutions à offrir la formation qui va être conforme à l’annexe B, qui est une formation obligatoire, mais le SCT est présentement en train d’élaborer une présentation de type AIPRP 101 puis les institutions vont pouvoir utiliser ce modèle-là puis l’adapter à leur réalité opérationnelle pour pouvoir offrir les formations directement.

Le SCT propose aussi divers outils, modèles, documents de formation pour aider les institutions à toutes les étapes du cycle de vie de la protection de la vie privée. Ça inclut le guide sur les pratiques relatives à la vie privée numérique qui propose des listes de vérification pratiques, des exemples concrets puis des orientations étape par étape pour gérer la protection de la vie privée dans les programmes numériques. Puis on sait de nos jours, la grande majorité des programmes vont avoir une composante numérique. Un autre guide, puis le, le titre est long, c’est Le guide en langage clair et simple sur les exceptions et les exclusions prévues par la Loi sur la protection des renseignements personnels. Bien ce guide, malgré que son titre soit long, les conseils sont, comme ça le dit, clairs et simples puis ça va aider les responsables de programmes puis les équipes d’AIPRP à expliquer clairement et à justifier leur recours aux exceptions et aux exclusions lorsqu’ils vont répondre là à des demandes d’accès à l’information.

Un troisième guide, c’est La trousse d’outils pour la gestion des atteintes à la vie privée qui va vous aider à vous préparer à évaluer les atteintes à la vie privée et à prendre les mesures qui s’imposent lorsqu’il va y avoir des atteintes qui vont survenir, puis ça, ça va s’appliquer, que ce soit des atteintes très mineures ou des atteintes majeures. Puis comme je l’ai mentionné plus tôt, on a aussi un document d’orientation sur la passation de marchés puis un document d’orientation sur les ententes d’échange de renseignements qui va comprendre des exemples de disposition puis des modèles qui vont pouvoir aider les gens.

Bien sûr, il y aussi l’école de la fonction publique qui offre deux cours en ligne. Il y a le cours de base sur l’accès à l’information et la protection des renseignements personnels, excellent, puis il y a aussi un cours d’accès à l’information au sein du gouvernement du Canada. Toutes ces ressources sont conçues pour faire en sorte que les employés comprennent leurs responsabilités en matière de protection de vie privée puis qu’ils soient également outillés pour les appliquer dans leur travail au quotidien. Finalement, je vous dirais si vous êtes un responsable de l’AIPRP ou de la protection de la vie privée puis vous savez pas comment interpréter certaines politiques de protection de vie privée ou vous avez de la difficulté à compléter une EFVP qui est complexe, bien on est là pour vous aider.

N’hésitez pas à faire appel avec nous en cas de besoin. Alors on va vous aider à répondre aux questions difficiles puis on va travailler avec vous pour trouver les réponses que vous cherchez. On est là pour vous aider et nous assurer à la protection de la vie privée à l’échelle du gouvernement.

(Transparence dans la collecte des renseignements personnels)

Flavie Gagné: Parfait. Merci Benoit. Maintenant, une fois que le travail préparatoire a été effectué et que les autorisations, les risques et les partenaires ont été évalués, que faut-il faire? On va discuter maintenant de ce qu’il faut garder à l’esprit lors de faire la collecte de renseignements personnels. Benoit, est-ce que tu peux nous dire brièvement ce que les institutions devraient garder à l’esprit pour maximiser la transparence lorsqu’ils recueillent des renseignements personnels? Supposons que le lancement d’un nouveau programme pilote de résolution des conflits est en cours, quelles mesures devrions-nous mettre en place à des fins de transparence?

Benoit Deshaies: Oui, bien la transparence, c’est vraiment un principe fondamental de la Loi sur la protection des renseignements personnels et des politiques qui l’appuient. Lorsque les institutions recueillent des renseignements personnels auprès d’individus, que ce soit dans le cadre d’un, d’un projet pilote ou tout autre service, bien les institutions doivent clairement indiquer les renseignements qui sont recueillis, les raisons pour lesquelles ils vont être recueillis, à quelle fin ils vont être utilisés ou communiqués par la suite. Puis comme je l’ai déjà mentionné, au moyen d’avis de confidentialité, les individus savent ce que font les institutions avec leurs renseignements personnels.

Ces avis-là vont mentionner, entre autres, la raison pour laquelle les renseignements sont recueillis, l’autorité légale qui va permettre la collecte, si les renseignements vont être communiqués à d’autres parties, les conséquences si les gens refusent de fournir les renseignements au gouvernement, le droit pour les individus de demander une copie de leurs renseignements, d’accéder à leurs renseignements puis si ils trouvent des erreurs, demander qu’ils soient corrigés, quels fichiers de renseignements personnels va décrire la collecte et puis les usages de ces renseignements-là et puis la notice va aussi devoir informer les individus puis leur droit de déposer une plainte auprès du Commissariat.

Donc, dans le cadre du projet pilote de résolution de conflit, bien il faudrait veiller à ce qu’un avis de confidentialité clair soit fourni à tous les participants puis l’avis doit être fourni peu importe la façon dont les renseignements vont être collectés. Ça va être vrai s’ils soumettent des renseignements en ligne, mais c’est aussi vrai si ils parlent à un représentant du programme ou utilisent une plateforme d’une tierce partie.

Un autre moyen de transparence qu’on utilise, c’est Info Source. Les institutions doivent tenir à jour une page Web qui s’appelle Info Source puis cette page web favorise la transparence en fournissant au public une description de tous les programmes et activités de l’institution, les fichiers de renseignements personnels qui vont être liés à ces activités, des résumés des EFVP, tout en respectant les exigences en matière de sécurité de confidentialité. Alors il y a certaines informations qui ont pas à être inclus, mais on parle ici d’un résumé. Pour les contrats, encore une fois, un résumé des contrats et puis des ententes concernant l’échange de renseignements pour que les gens comprennent à qui on va communiquer les renseignements et puis aussi des informations sur la façon dont les employés ou les membres du public peuvent accéder à leurs renseignements personnels ou demander leur correction.

Si on revient à notre exemple de projet pilote pour la résolution de conflit, bien s’il y a des changements importants qui sont apportés à la façon dont les renseignements personnels sont recueillis, utilisés, communiqués ou conservés, bien dans ce cas-là, l’institution va devoir s’assurer que la description sur sa page Info Source est toujours exacte. Les avis de confidentialité et les pages Info Source ensemble sont des moyens de transparence proactifs, mais il y a aussi des moyens de transparence réactifs. On parle ici en particulier des réponses aux demandes d’accès à l’information. Comme vous le savez probablement, les gens peuvent faire une demande pour obtenir les renseignements personnels que le gouvernement possède à leur sujet.

Ces demandes-là pourraient être présentées par des fonctionnaires qui cherchent à obtenir de l’information sur des questions liées aux relations de travail. Ça pourrait être des voyageurs qui posent des questions au sujet du traitement de leurs visas ou encore, ça pourrait être des témoins qui souhaitent obtenir des images prises par une caméra de surveillance dans un bureau du gouvernement. Certains de ces renseignements vont être protégés parce qu’ils visent une autre personne ou encore qui sont utilisés dans le cadre d’une enquête mais de façon générale, on doit être aussi transparent que possible et répondre à ces demandes-là.

La Directive sur les demandes de renseignements personnels et de correction de renseignements personnels va décrire les procédures que les institutions vont devoir suivre lorsque les individus demandent l’accès à leurs renseignements personnels ou la correction de ceux-ci. Pour assurer la transparence, bien il faut que des instructions claires sur la façon dont les personnes peuvent soumettre les demandes, puis on a un système en ligne pour faciliter ça. Il faut fournir des réponses rapides à ces demandes-là puis il faut avoir des procédures internes pour vérifier l’identité des personnes puis évaluer si les corrections sont justifiées.

La transparence, c’est pas seulement une question de conformité, mais c’est aussi un outil important pour renforcer la confiance. Alors que votre institution recueille des renseignements personnels pour un projet pilote ponctuel ou pour un service qui existe depuis longtemps, bien les gens ont droit de savoir ce qui se passe avec leurs renseignements personnels et puis comment ils peuvent rester informés ou agir à ce sujet-là s’il y a lieu.

Flavie Gagné: Merci Benoit. C’est vraiment très utile puis c’est un principe de protection de la vie privée, très important aussi. Tyler, est-ce que tu veux nous dire comment le Commissariat évalue la transparence par rapport à ces exigences? Est-ce que t’as des exemples de réussite à nous partager?

Tyler Bissonnette: Oui. Rapidement, on examine toujours les avis de confidentialité, les énoncés de consentement avec beaucoup d’attention. C’est des éléments d’importantes références. C’est essentiel que les personnes aient un point de référence pour connaître leurs droits lorsque le gouvernement recueillit leurs renseignements, notamment le droit de déposer des plaintes auprès du Commissariat. Cela dit, on sait que les gens lisent pas nécessairement les avis énoncés et on encourage les institutions à trouver des façons créatives de s’assurer que les gens comprennent la nature des renseignements recueillis et les fins auxquelles ils le sont.

Il pourrait s’agir de décision liée à la conception, visant à rendre l’information sur la confidentialité plus facile à comprendre ou le plan de communication visant à expliquer à un plus vaste public le but d’une initiative. Parmi les autres mesures utiles en matière de transparence que nous avons vues par le passé, il y a la détermination correcte d’un niveau d’information indiquée dans les résumés de SCT pour fournir suffisamment d’information, les sites Web publics expliquant les programmes et la façon dont ils utilisent les renseignements personnels. Les consultations publiques sur les programmes portant atteinte à la vie privée et les comités de surveillance et de consultation pour les programmes dans le cadre desquels des nouveaux problèmes liés à la protection de la vie privée sont susceptibles de survenir.

(Les atteintes à la vie privée)

Flavie Gagné: Merci Tyler. Donc, après la collecte des renseignements personnels, une fois qu’une institution détient des renseignements personnels, elle a l’obligation de protéger ces renseignements et de prévenir les atteintes à la vie privée, peu importe la prudence dont nous faisons preuve, nous savons qu’il peut tout de même y avoir des atteintes. Benoit, est-ce que tu peux nous parler des recommandations du SCT concernant le traitement d’une atteinte?

Benoit Deshaies: Oui. Puis comme tu l’as dit, malgré tous les efforts déployés par chaque organisation pour s’assurer que les renseignements personnels vont toujours être protégés, bien des atteintes à la vie privée, ça va se produire. Le SCT puis le Commissariat, deux organisations qui sont particulièrement sensibles à la protection de renseignements personnels, bien tous les deux, on a commis des atteintes et puis on a fait l’objet d’atteintes par le passé. Alors c’est pas, c’est pas rare. Et c’est important de se rappeler dans tout ça que les atteintes peuvent se produire de façon accidentelle et elles peuvent être commises par n’importe qui aussi. Les conséquences d’une atteinte accidentelle, bien c’est souvent beaucoup moins grave que lorsqu’il y a une dissimulation qui va être intentionnelle de l’atteinte.

La plupart des gens pensent que les atteintes à la vie privée, ça va survenir seulement lorsqu’il y a une perte ou une communication non autorisée des renseignements personnels ou encore s’il y a un accès là non autorisé à ces renseignements. Mais c’est important de se rappeler que selon notre définition, une atteinte peut survenir lorsqu’une institution ne respecte pas n’importe laquelle des exigences visant la collecte, l’utilisation, la conservation ou la communication de renseignements. Par exemple, si une institution détruit un document avant la fin de la période de conservation, bien ça va être considéré comme une atteinte parce que les gens avaient un droit d’avoir accès à ces documents puis en les détruisant trop tôt, bien on les brime dans leurs droits. Alors il y a pas eu une divulgation. Plutôt, on a détruit l’information mais ça l’a brimé les gens dans leurs droits, donc c’est une atteinte.

En tant que fonctionnaires, il y a donc de nombreuses façons de causer accidentellement une atteinte à la vie privée. Entre autres, en perdant des documents physiques qui vont contenir des renseignements personnels, en les communiquant accidentellement par courriel, disons à la mauvaise personne, ou en recueillant des renseignements personnels de façon excessive. Les atteintes à la vie privée peuvent également prendre la forme d’un accès non autorisé à travers un piratage ou un hameçonnage.

J’en ai parlé plus tôt, mais le SCT offre une Trousse d’outils pour la gestion des atteintes à la vie privée. La trousse d’outils va fournir un guide pratique pour gérer ces atteintes-là à la vie privée puis ça comprend des renseignements sur la façon d’identifier et de contenir l’atteinte, la façon d’évaluer le risque qui va découler de l’atteinte, les situations où est-ce qu’on va devoir aviser les personnes touchées et les responsables, les mesures d’atténuation à prendre, la façon de déterminer si un incident est important et doit être signalé au Commissariat et au SCT, puis la façon de documenter et de prévenir les atteintes futures. Encore là, vous voyez un peu le cycle de vie mais dans le cadre d’une atteinte.

C’est important d’agir rapidement lorsqu’une atteinte va se produire. Initialement, la priorité doit être de contenir l’atteinte et d’empêcher que les préjudices qui en résultent soient exacerbés. Par exemple, peut-être que vous avez une liste de distribution où est-ce qu’il faut pas communiquer qui est membre de cette liste-là, puis lors de l’envoi, vous vous rendez compte que vous avez tout, vous avez mis tous les membres en cc, en copie conforme au lieu de les mettre en copie conforme invisible. Vous devez, dans un cas comme ça, rapidement rappeler le message, ensuite vous devez envoyer un message au destinataire pour leur demander de supprimer toute copie du message qui aurait été envoyé incorrectement.

Puis pour éviter que l’atteinte ne s’aggrave, c’est nécessaire de signaler l’atteinte afin d’une institution puisse prendre toutes les mesures nécessaires pour la contenir. Le plus tôt possible, informer les responsables de la protection de la vie privée au sein de votre institution qu’une atteinte a eu lieu afin qu’ils puissent vous guider là dans les mesures à prendre pour la contenir. Il va y avoir de nombreuses communications nécessaires au sein de votre institution pour gérer l’atteinte; entre autres, l’équipe de programme qui détient l’information, le groupe qui a découvert l’atteinte, les responsables de la protection de la vie privée puis aussi les responsables de la sécurité.

Le signalement d’une atteinte, ça va entraîner une évaluation approfondie qui pourrait révéler qu’une atteinte, bien qui semblait inoffensive initialement, bien c’est peut-être plus grave qu’on pensait. Lorsqu’une atteinte est liée à la cyber sécurité, les institutions vont également devoir consulter le Plan de gestion des événements de cybersécurité du gouvernement du Canada, puis c’est votre équipe de sécurité ou de cybersécurité qui peut vous assister avec ça. Le plan va fournir un cadre opérationnel pour aider les ministères à réagir d’une façon uniforme puis aussi en temps opportun aux cybermenaces puis aux événements de cybersécurité qui pourraient avoir une incidence sur la prestation de service ou encore compromettre la confiance envers les systèmes gouvernementaux.

Dans la mesure où c’est possible, on recommande que les institutions avisent toutes les personnes qui sont concernées, c’est-à-dire celles dont les renseignements personnels ont été ou pourraient avoir été compromis. Les personnes potentiellement impactées devraient être avisées le plus tôt possible après l’atteinte pour leur permettre de prendre des mesures pour se protéger contre les préjudices, par exemple, si ça pourrait résulter en un vol d’identité ou tout autre préjudice. N’oubliez pas que s’il y a une atteinte et pas signalée rapidement et avec exactitude, bien ça peut entraîner des retards pour aviser les personnes qui ont été touchées par l’atteinte, ce qui va par la suite accroître le préjudice potentiel que l’atteinte peut causer et puis miner davantage la confiance en, envers le gouvernement puis l’institution. Alors, c’est important vraiment de le faire rapidement.

Le groupe de l’institution qui a une relation directe avec les personnes touchées, souvent le programme comme tel, va être celui qui va devoir envoyer l’avis. Une fois que vous avez contenu l’atteinte puis que vous avez avisé les personnes impactées, il faut ensuite déterminer si l’atteinte à la vie privée est considérée comme étant substantielle. Puis c’est un concept important ça, le concept de, d’atteintes substantielles. La Politique sur la protection de la vie privée du SCT va définir une atteinte substantielle comme une atteinte à la vie privée qui pourrait entraîner un risque réel de préjudice grave pour un individu. Les types de préjudices graves, bien ça va inclure des blessures corporelles, des vols d’identité, une humiliation ou peut-être une atteinte à la réputation, des pertes de possibilités d’emplois ou des possibilités professionnelles, une perte financière, une incidence sur le crédit ou peut-être même des dommages matériels ou une perte de biens.

Le critère substantiel, c’est crucial parce que lorsqu’une atteinte est jugée comme étant substantielle, elle doit absolument être signalée au Commissariat et au Secrétariat du Conseil du Trésor à l’intérieur de sept jours. Dans le cas d’une atteinte substantielle, il faut souvent prendre des mesures d’atténuation qui vont être plus précises aussi. Alors pour déterminer si une atteinte est substantielle, les institutions devraient effectuer une évaluation des risques qui va tenir compte du degré de sensibilité des renseignements personnels. C’est pas tous les renseignements personnels qui sont aussi sensibles, mais par contre, même une adresse de courrier électronique, bien peut être sensible dans certain contexte, où est-ce que le contexte va révéler d’autres informations au sujet de la personne, par exemple.

Puis lorsqu’on parle du contexte, bien c’est important de penser est-ce que les données ont été envoyées à quelqu’un qui connaît la personne? Est-ce qu’elles ont été transmises au public ou bien est-ce que c’était à l’intérieur du gouvernement? Est-ce que le destinataire c’est lui-même ou elle-même qui a reconnu l’erreur? Puis quelle était l’intention dans tout ça? Est-ce que c’était une, une atteinte qui était accidentelle ou bien c’était quelque chose qui était malveillant? Est-ce que c’était une erreur isolée ou est-ce que c’était un problème systémique peut-être? Puis quelle a été la durée de l’exposition? Plus les renseignements sont exposés longtemps, plus le risque va être élevé évidemment.

Alors comme je le disais, les atteintes substantielles doivent être communiquées au SCT et au Commissariat dans sept jours puis le meilleur moyen de le faire, c’est en utilisant le formulaire de signalement en ligne. Ce formulaire-là en ligne va faciliter la saisie de tous les règlements liés à une atteinte puis ensuite, à l’examen et à la modification de ces renseignements-là si vous devez apporter des changements ou aux mesures que votre enquête progresse à la mettre à jour. Une fois que le formulaire est soumis via le système en ligne, le Commissariat et puis le SCT reçoivent une copie en même temps, puis vous-mêmes vous pouvez en télécharger là une copie pour vos dossiers.

Et puis finalement, à la fin de tout le processus de gestion d’une atteinte en particulier, une fois que la situation liée est résolue et puis que vous l’avez signalé, bien c’est important d’en tirer des leçons et puis s’adapter pour combler les lacunes qui ont permis ou qui ont engendré l’atteinte. Il faudrait peut-être mettre à jour une EFVP pour indiquer les nouveaux risques que vous avez identifiés puis les mesures d’atténuation nécessaires. Le signalement des atteintes au SCT puis au Commissariat va aussi aider à prévenir des atteintes semblables dans d’autres institutions parce que nous, on va pouvoir les communiquer les leçons apprises à ces autres organismes-là au sein du gouvernement fédéral. Alors souvenez-vous quelle que soit la gravité des atteintes, vous et votre institution devez contenir l’atteinte, évaluer les risques, aviser les parties concernées, incluant le signalement au SCT et au Commissariat si c’est substantiel, et puis vous devez prendre des, des actions pour prévenir d’autres atteintes dans le futur.

Merci.

Flavie Gagné: Merci Benoit. Réfléchissons maintenant à quelques scénarios possibles. Que se passe-t-il si l’atteinte est relativement mineure? Supposons que j’ai envoyé par courriel les renseignements personnels relativement non sensibles d’une personne à quelqu’un d’autres ayant un nom semblable, par exemple, une feuille de temps. Que se passe-t-il dans une situation plus grave, par exemple, si notre ministère découvre d’une base de données contenant des renseignements sur des versements de prestations, notamment des renseignements financiers, a été compromise par des pirates externes? Et comment est-il possible de faire la dis-, distinction entre ce qui est substantiel et ce qui ne l’est pas?

Pascal Lacroix-Piché: Donc, comme expliquait un petit peu Benoit, c’est vrai que les atteintes ont, n’ont pas toutes la même gravité. Ce qui détermine la réponse appropriée, c’est vraiment le risque réel de préjudice grave que l’atteinte pourrait causer. Donc, si on regarde un premier scénario, on, quelqu’un envoie accidentellement un courriel contenant les renseignements personnels d’une personne à une personne dont le nom est semblable, donc même s’il s’agit d’une atteinte à la vie privée, il est possible qu’il ne s’agisse pas d’une atteinte substantielle. Donc, dans ce cas, les renseignements personnels pourraient comprendre des choses comme une adresse de courrier électronique personnelle ou un numéro de téléphone, qui sont des éléments qui ont un degré de sensibilité relativement faible.

Donc, ce qui est vraiment important, c’est le, le contexte – (inaudible – difficultés techniques à la source).

Flavie Gagné: On t’entend plus, Pascal.

Pascal Lacroix-Piché: Est-ce que vous m’entendez?

Flavie Gagné: Oui. Là ça fonctionne.

Pascal Lacroix-Piché: Oui. Excusez-moi. Donc, je mentionnais que le contexte était vraiment important, donc si le message contient également des renseignements de nature sensible, comme un diagnostic médical ou un dossier disciplinaire, le risque de préjudice est beaucoup plus élevé. Même si le contenu semble inoffensif, le, si le destinataire connaît la personne concernée ou travaille dans le même petit bureau, ça pourrait avoir, ça pourrait augmenter le risque de préjudice, notamment en causant de l’embarras ou des tensions au travail.

Si on examine maintenant un deuxième scénario, donc par exemple, votre institution découvre qu’une base de données contenant des renseignements financiers sur des versements de prestations a été consultée par des personnes non-autorisées qui sont possiblement des pirates informatiques, donc ici il s’agir probablement d’une atteinte substantielle. Le caractère sensible des renseignements personnels, notamment les renseignements financiers, les renseignements bancaires, le numéro d’assurance sociale, ainsi que l’accès non auto-, non autorisé par des parties externes créent un risque réel de préjudice grave. Parmi ces préjudices, on peut penser au vol de l’identité, la perte financière ou même une atteinte à la réputation si l’atteinte devient publique.

Donc, dans le premier exemple, ou comme le destinataire est interne et que les données ne sont pas sensibles, la probabilité et la gravité du préjudice sont faibles et il ne s’agit probablement pas d’une atteinte substantielle. Dans le deuxième exemple toutefois, comme des renseignements financiers de nature sensible ont été consultés par des personnes qui ne travaillent pas pour l’institution, la probabilité et la gravité du préjudice sont élevées et il s’agit probablement d’une atteinte substantielle.

Les facteurs à prendre en considération lors d’une évaluation du risque réel de préjudice grave sont le degré de sensibilité des renseignements et la probabilité d’un mauvais usage. Souvent, les institutions ne tiennent compte que du risque de, du vol d’identité et d’autres fraudes connexes lorsqu’elles évaluent le risque réel de préjudice grave. Donc, il faut pas oublier que le préjudice grave peut aussi comprendre les lésions corporelles, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte et la perte de possibilité d’emploi ou d’occasion d’affaires ou d’activités professionnelles, un peu comme le mentionnait Benoit.

Flavie Gagné: Pascal, dans les scénarios d’atteinte dont nous venons de parler, je crois que le Commissariat a un nouvel outil qui pourrait être utile. Est-ce que tu pourrais nous en parler?

Pascal Lacroix-Piché: Oui. On est très, très fier. Donc au mois de mars 2025, le Commissariat a lancé un, l’outil d’auto-évaluation des risques d’atteintes à la vie privée. Il s’agit d’un nouvel outil en ligne qui permet aux entreprises et aux institutions fédérales qui sont confrontées à une atteinte à la vie privée d’évaluer si l’atteinte est susceptible de présenter un risque réel de préjudice grave pour les individus concernés.

Donc l’outil pose aux utilisateurs une série de questions pour évaluer le degré de sensibilité des renseignements personnels en cause dans une atteinte à la protection des données et la probabilité qu’il soit mal utilisé.

Les résultats fournis au moyen de cet outil en ligne vont permettre aux organisations d’effectuer une évaluation des risques à la suite d’une atteinte à la protection des données et de décider par la suite les prochaines mesures à prendre, notamment d’aviser les individus concernés et de signaler l’atteinte au Commissariat. Nous tenons toutefois à insister sur le fait que les résultats de l’outil sont fournis à des fins d’orientation et qu’ils ne remplacent pas votre jugement. Donc l’institution victime de l’atteinte est responsable d’effectuer une évaluation approfondie du risque pour les personnes touchées, une évaluation qui tient compte de tous les faits et de toutes les nuances de l’atteinte.

L’outil des risques se trouve sur le site de, sur notre site web du Commissariat, donc on encourage les institutions à intégrer l’utilisation de cet outil à leurs processus d’intervention en cas d’atteinte. Puis finalement, en cas de doute, vous pouvez également communiquer avec mon équipe comme nous avons examiné des milliers de rapports d’atteintes et utilisé l’outil d’évaluation à l’interne. Nous pouvons toujours vous aider dans votre évaluation.

Flavie Gagné: Ça a l’air vraiment très utile. Est-ce que le Commissariat a d’autres suggestions générales sur la façon de réagir à une atteinte?

Pascal Lacroix-Piché: Oui, bien j’aimerais ça insister sur l’importance d’inclure les principales parties prenantes au sein de vos institutions dans vos discussions et de vous tenir mutuellement au courant de l’évolution des atteintes. Pour intervenir en cas d’atteinte à la vie privée, il faut souvent coordonner les efforts des équipes, de la protection de la vie privée, de la technologie de l’information et de la sécurité en plus de ceux des bureaux des premières, de première responsabilité. Donc, aussi veiller à ce que les avis soient envoyés rapidement et il n’est pas – c’est pas très rassurant pour une personne touchée de recevoir un avertissement lui indiquant de faire preuve de vigilance quand il a fallu attendre neuf mois, quand il a fallu neuf mois à l’institution après l’atteinte pour envoyer la lettre d’avis.

En plus des avis, les institutions doivent songer aux autres mesures d’atténuation qui doivent être prises là dans les circonstances. Par exemple, en réponse à des atteintes qui créent un risque de vol d’identité, c’est pas rare que les institutions offrent une surveillance du crédit aux personnes touchées. Finalement, les institutions doivent prendre des mesures pour prévenir les atteintes, donc en plus de s’attaquer à la cause profonde de l’atteinte, les institutions peuvent envisager d’établir un plan d’action pour prévenir d’autres atteintes.

Donc ce plan d’action pourrait comprendre une vérification de la sécurité physique et technique, un examen des politiques et des procédures et tout changement témoignant des leçons tirées de l’atteinte et subséquemment. Donc par exemple, les politiques sur la sécurité, les politiques sur la conversa-, la conservation des dossiers et la collecte de renseignements, etc. Aussi, un examen des pratiques de formation des employés ou encore un examen des contrats et des, des ententes d’échange de renseignements avec des tiers.

(Conclusions)

Flavie Gagné: Merci Pascal. Donc on dépasse un petit peu dans le temps, donc qu’est-ce qu’on va faire, on va sauter cette diapositive puis passer à la prochaine ici, des bons points à retenir, en fait, ce que tu viens de dire Pascal, mais pour conclure, j’aimerais demander à chacun d’entre vous s’il y a une chose dont vous aimeriez que l’auditoire se souvienne au sujet du cycle de vie lié à la protection de la vie privée dont on a parlé aujourd’hui.

Benoit Deshaies: Oui, bien peut-être que je peux commencer. La protection de la vie privée, bien ça consiste pas à limiter l’utilisation de renseignements personnels mais plutôt à les utiliser correctement. Lorsqu’on va protéger la vie privée dès le début, on va protéger les personnes puis on va renforcer la confiance du public. Chaque étape du cycle de vie, ça va être une occasion d’agir de façon stratégique en fonction de ça. Puis en ayant les bonnes mesures de protection puis en faisant preuve de transparence, les institutions vont pouvoir utiliser les renseignements personnels de façon responsable pour pouvoir améliorer leurs programmes puis leurs services.

La protection de la vie privée, ça doit être au cœur de presque tout ce que nous faisons dans la fonction publique, et bien la gérer dès le départ va protéger à la fois les gens et la valeur que nous offrons. Merci.

Pascal Lacroix-Piché: De mon côté, je tiens à répéter que les institutions peuvent demander conseil au Commissariat à n’importe quel temps de leur intervention en cas d’atteinte à la vie privée. Les institutions n’ont pas à attendre d’avoir déterminé qu’une atteinte est substantielle avant de communiquer avec nous. En fait, on encourage fortement vos équipes chargées de la protection de la vie privée à nous prévenir d’une atteinte substantielle ou potentielle, même si l’atteinte n’est pas entièrement maîtrisée ou si certains renseignements sur l’atteinte sont encore inconnus. Donc, nous prévenir est également utile si vous vous attendez à ce qu’une atteinte attire l’attention des médias ou suscite un examen du public.

Tyler Bissonnette: Puis je dirais pour moi, le point le plus important à retenir c’est, c’est qu’il faut considérer que la protection de la vie privée comme en cycle de vie, elle devrait pas être un cas, une case à cocher pour des raisons réglementaires à un moment donné du processus de conception d’un programme. Ça devrait plus être, ça devrait non plus être une considération secondaire ajoutée à la fin du processus. Le Commissariat parle souvent de la protection de la vie privée dès la conception une méthode qui permet d’intégrer de façon proactive la protection de la vie privée dans les pratiques commerciales.

L’idée, c’est que la façon la plus efficace de veiller à la protection de la vie privée et, par extension, d’établir un lien de confiance avec les gens que vous servez, consiste à penser à la protection de la vie privée à chaque étape d’un processus.

Flavie Gagné: Parfait. Merci Benoit, Tyler, Pascal. La séance aujourd’hui a été très enrichissante et utile. Mike, on est vraiment heureux que tu as pu te joindre avec nous aujourd’hui, bien on te souhaite la bienvenue dans l’équipe du Commissariat chargée des services conseils. Avant de passer à la période de questions, Tyler, il paraît que vous avez des bonnes nouvelles concernant le formulaire de soumission d’EFVP. Est-ce que tu pourrais partager peut-être quelques points avec nous?

Tyler Bissonnette: Oui. Bien j’ai juste un gros point, donc notre formulaire de soumissions d’EFVP qu’on a en place pour un petit de temps maintenant, maintenant, si vous soumettez un, un EFVP en utilisant notre formulaire, ça va être envoyé à la fois à nous et au SCT. Donc, ça va vous sauver un peu de temps. Puis un gros merci à tout le monde impliqué. Donc, en espérant que ça vous simplifie la vie un petit peu.

(Période de questions)

Flavie Gagné: Parfait. Merci beaucoup. Donc, on peut passer aux questions. Vous pouvez aller sur le site Slido.com puis entrer le code APCDO-OPC pour poser une question. Je vais le mettre aussi à l’écran ici. On a déjà une première question que je peux poser tout de suite. Donc, si je reçois des informations personnelles qui ne sont pas pertinentes dans mon dossier, qu’est-ce que je fais avec? Par exemple, je suis enquêtrice et demande des documents dans une enquête; on m’envoie ces documents qui contiennent des informations personnelles sensibles non-pertinentes. C’est aussi une réalité dans les centres de contrat. Certaines personnes nous envoient beaucoup d’information personnelle non sollicitée. Qu’est-ce qu’il faut faire?

Benoit Deshaies: J’ai quelques renseignements à partager là-dessus, puis c’est, c’est une situation que j’ai déjà vécue moi-même, puis je vais inviter mes collègues par la suite là à rajouter à ce que je vais dire. Dans un premier temps, je vous dirais effacez les renseignements que vous vouliez pas recevoir, que vous n’aviez pas de raison de recevoir. On commence par les effacer. Je vous dirais aussi si vous remarque que c’est un problème systémique, bien peut-être que, qu’il y a moyen de, de faire une identification proactive. Disons que c’est à travers vos systèmes, que certains de vos clients vous envoient tou-, toujours certains renseignements personnels qu’ils devraient pas, c’est à voir est-ce qu’il y a moyen de modifier les systèmes pour l’identifier puis les, les effacer à la source, comme ça vous avez pas, vous, en tant que personne à le faire.

Puis c’est un peu là qui est mon expérience personnelle dans un ministère où est-ce que je travaillais, on collaborait avec les banques puis dans les déclarations qu’ils nous envoyaient, c’était assez commun pour eux d’inclure les numéros d’assurance sociale, les NAS de leurs clients alors qu’on n’avait pas l’autorité de, de faire cette collec-, cette collecte de données puis c’était pas important pour nous d’avoir ces, ces renseignements-là. Alors qu’est-ce qu’on a fait directement dans nos systèmes, c’est qu’on a fait l’identification proactive, une détection des cas où est-ce que ça arrivait. Alors si on voyait le NAS de cette personne est suivi de neuf chiffres ou, alors on cherchait des choses comme NAS, SIN, numéro d’assurance sociale suivi de neuf chiffres et puis lorsqu’on voyait ça, bien on, on l’effaçait automatiquement cette chose-là.

Puis de la, du même coup, on envoyait une note à ceux qui nous l’avaient envoyé pour leur laisser savoir qu’on avait fait cet effacement-là pour qu’ils soient au courant que c’est pas de l’information qui est appropriée. Je vous di-, rajouterais aussi que dans certains cas, recevoir une information non-sollicitée, ça pourrait constituer une atteinte. Alors c’est au cas par cas, mais on discutait dans des exemples là si on envoie un courriel à une mauvaise personne, par exemple, peut-être qu’il y a un autre Benoit au Conseil du trésor, puis je reçois un courriel qui lui est destiné, bien ça pourrait constituer une atteinte, dépendamment de qu’est-ce qu’il y a là. Alors une des choses que je ferais, c’est d’informer l’envoyeur pour lui dire aye, j’ai reçu ça par erreur. Vous voulez peut-être corriger ça, puis bon, j’effacerai l’information par la suite.

Je sais pas si mes collègues veulent rajouter à ça.

Tyler Bissonnette: De mon côté, tous les points j’étais pour mentionner, t’as déjà mentionnés. Donc justement.

Flavie Gagné: Okay. On peut passer à une prochaine question. Le nouveau modèle obligatoire d’EFVP n’adresse pas la proportionnalité et la nécessité, donc comment incorporer ces facteurs essentiels dans l’évaluation globale?

Benoit Deshaies: Est-ce que c’est quelque chose que mes collègues du Commissariat voudraient adresser? Vous avez une ---

Flavie Gagné: (Diaphonie) ---

Benoit Deshaies: --- des bonnes orientations là-dessus.

Flavie Gagné: --- oui, quelque chose du Commissariat. Oui.

Benoit Deshaies: Oui.

Tyler Bissonnette: Bon, de la perspective de sécurité, on dirait que vous pouvez toujours ajouter une petite section dans le gabarit qui, qui adresse ces questions pour pouvoir ajouter les informations nécessaires.

Flavie Gagné: Si je peux ajouter, vous pouvez le mettre en annexe à l’EFVP pour refaire l’analyse du test en quatre parties, parce que c’est vrai que c’est pas en ce moment dans le gabarit puis c’est une évaluation aussi qui est vraiment importante pour les, les EFVP ou les programmes qui sont au risque ou quand même assez intrusifs par rapport à la vie privée. Donc vous pouvez juste ajouter une annexe à l’EFVP puis c’est correct.

Tyler Bissonnette: Et si je peux me permettre, si jamais il y a d’autres éléments que vous trouvez que vous voulez ajouter, que vous trouvez qui est important, vous pouvez aussi ajouter ces informations-là dans les annexes.

Flavie Gagné: Troisième question, le gouvernement utilise une application comme Slido pour faciliter une rencontre avec parties prenantes extérieures au gouvernement fédéral. Est-ce que l’acquisition de l’adresse IP de ces parties prenantes par la compagnie Slido constitue une collecte de données personnelles?

Benoit Deshaies: Je vais, je vais me lancer puis j’invite mes collègues à rajouter. Je dirais oui, dans un premier temps. Dans le cadre d’un événement on fait affaires avec une tierce partie pour nous aider à la prestation de services ou d’un événement. Alors tout qu’est-ce qu’on a discuté pour la passation de marchés et tout ça s’appliquerait dans ce cas-ci. C’est une plateforme qui serait gratuite, donc il y a pas nécessairement une passation de marchés, mais je pense que c’est important pour les gens avant de décider sur une plateforme spécifique de regarder l’avis de confidentialité de ces compagnies-là, à s’assurer que c’est conforme avec qu’est-ce que le gouvernement canadien met de l’avant dans ses politiques et puis pour s’assurer que ça va être conforme aussi avec les lois applicables aux entreprises privées mais aussi pour le gouvernement canadien.

Tyler Bissonnette: Si je pourrais ajouter, si vous utilisez un service comme ça, on vous encouragerait aussi de limiter l’information personnelle, des renseignements personnels que vous allez partager. Je sais que souvent, il y a comme un genre de, de boîte ouverte où vous pouvez écrire n’importe quoi, mais encore une fois, prendre en considération que où possible, c’est toujours mieux de limiter les, les renseignements personnels que vous partagez.

Flavie Gagné: Peut-être noter aussi que les adresses IP, c’est des renseignements personnels qui peuvent être quand même assez sensibles, donc ça serait important de discuter justement avec le partenaire, que ce soit Slido ou une autre compagnie, ainsi que votre équipe de GITI pour s’assurer que le niveau sécurité, safeguard, tout est correct, et puis en même temps que l’institution est confortable à utiliser puis, ces services-là avec l’autre compagnie. Je pense ça – okay, parfait. On peut passer à une autre question. Quelle est la meilleure méthode d’enregistrer des documents contenant des renseignements personnels?

Benoit Deshaies: Je pense que ça va vraiment dépendre du programme en question. Certains programmes vont faire appel à un système spécialisé, par exemple, de gestion des cas ou des choses comme ça. Pour d’autres choses, ça va être peut-être seulement votre, votre système de gestion de l’information, disons SharePoint ou GC Docs, des choses comme ça. Dans tous les cas, ça va être important de protéger les renseignements, alors de s’assurer que ça soit dans des systèmes justement du gouvernement. On les store pas là sur des systèmes publics, disons comme Google Drive, puis s’assurer que ça soit conforme avec les, les directions de votre institution, de votre ministère pour ce type de renseignement-là. Alors normalement, il y a des lignes directrices programme par programme où est-ce que ça va être spécifié où est-ce que les informations relatives au programme doivent être stockées. Alors, oui. Merci.

Flavie Gagné: On a une autre question puis celle-là, je pense ça va s’adresser un petit peu plus au SCT. En tant qu’employé ayant assisté à cette présentation, dois-je participer à la formation obligatoire sur ce, sur ce sujet pour mon département?

Benoit Deshaies: Et puis, bien, je dirais oui. Pour plusieurs raisons. Bon, dans l’annexe que je mentionnais qui va définir quels sujets doivent être traités dans la formation qui est obligatoire, la, la présentation d’aujourd’hui n’a pas traité de tous ces sujets-là. Alors il y a certaines lacunes à ce niveau-là. Donc, c’est important de, de suivre la formation qui va être obligatoire puis offerte par votre ministère. Puis une des choses que ça inclut, ce sont les pratiques spécifiques à votre ministère ou votre institution. Je crois que c’est l’avant-dernier point-là dans, dans les exigences. Alors aujourd’hui, c’était de façon générale mais on n’a pas adressé là les, les choses spécifiques à votre organisation, alors ça va être important de suivre ça. Puis aussi, votre organisation va devoir rapporter au Secrétariat du Conseil du Trésor le nombre d’employés qui ont reçu la formation.

Alors c’est quelque chose que à partir de, de la prochaine année – bien, cette année fiscale, c’est la première fois qu’on va collecter ces informations-là. Environ un an à partir de maintenant, on va demander aux ministères de nous fournir ces, ces nombres-là alors ça va être important là pour les gens de, d’avoir suivi cette formation qui est offerte par leurs ministères pour que vous soyez proprement comptés.

Flavie Gagné: J’attends de voir un peu les questions. Je travaille en ressources humaines. Suite au départ d’un employé, combien de temps doit-on conserver les documents sur la personne?

Benoit Deshaies: Je vais y répondre en deux parties, et puis j’invite mes collègues à me corriger si je me trompe dans les délais. Chaque programme va avoir dans un premier temps une, une période là pour la rétention de l’information. Souvent c’est défini par votre groupe de gestion de l’information, parfois en collaboration avec Librairies et Archives Canada, alors ça va dépendre du programme. Puis c’est quelque chose qui va être mentionné dans le fichier de renseignements personnels. Alors on mentionnait le site Info Source plus tôt. Si vous y aller, vous allez trouver dans quelles banques de renseignements personnels ces informations-là sont gardées et puis il va y avoir une section qui va parler là de la, de la rétention et de la disposition de ces informations-là. Alors, ça c’est la partie générale.

L’autre partie, je rajouterais, c’est lorsqu’on prend une décision en utilisant ces renseignements personnels de façon plus générale, le ministère a une obligation de conserver ces, ces informations-là pour deux ans suivant la prise de la décision administrative. Alors ça pourrait venir modifier les renseignements qui sont présents dans le fichier de renseignements personnels.

Flavie Gagné: Je pense ça répond pas mal à la question. Tyler, à moins qu’il y avait quelque chose que –

Tyler Bissonnette: Non. Encore une fois, j’étais pour dire un minimum de deux ans, mais de vérifier avec votre équipe de GI.

Flavie Gagné: Parfait. Merci. J’ai une question peut-être pour Pascal puis le SCT. Comment avez-vous géré la plainte BGRS?

Benoit Deshaies: Puis je dirais que c’est encore en, en processus. C’est pas quelque chose qui est terminé. Ça a été, pour ceux qui sont pas au courant, c’était une compagnie qui était utilisée pour faire les déménagements d’employés, alors disons que j’étais affecté à un bureau dans une autre ville. Le gouvernement pouvait, de par ce contrat-là, m’aider à, à faire le déménagement. Et puis, la compagnie avait été victime d’une brèche, et puis il y a beaucoup de renseignements personnels qui avaient été perdus suite à ça. Le gouvernement, de façon proactive, sans, avant qu’on connaisse l’identité exacte des gens qui étaient affectés de façon significative, on avait offert, bien, dans un premier temps, on les avait informés ces gens-là, puis on avait offert certains supports là, par exemple du, du monitoring pour le crédit.

Puis par la suite, bien on continue de collaborer avec la compagnie qui, elle maintenant, a vraiment identifié les personnes qui étaient affectées de façon significative puis sont dans les derniers stades de tout ça pour prendre contact avec ces gens-là puis à leur tour, eux, leur offrir du support à ces gens-là.

Pascal Lacroix-Piché: Je peux peut-être ajouter aussi que l’enquête va examiner si le caractère adéquat des deux compagnies, donc, si on parle de BGRS mais aussi de, de (inaudible), savoir si les mesures de sécurité que les deux entreprises et le gouvernement fédéral avaient mises en place afin de protéger les renseignements personnels étaient bien adéquates. Donc on, c’est quelque chose qu’on est en train d’examiner.

Flavie Gagné: Merci. Puis on a le temps pour peut-être une dernière question. Donc, est-ce que l’EFVP doit être complété et approuvé avant que les modifications importantes soient apportées à une activité ou un programme existant?

Benoit Deshaies: La réponse est simple ---

Tyler Bissonnette: Moi ---

Benoit Deshaies: --- oui.

Tyler Bissonnette: Non, non, vas-y.

Benoit Deshaies: Non, bien c’est tout. J’allais dire oui, ça soit être fait avant.

Tyler Bissonnette: Oui, justement, on encourage fortement les institutions de compléter leur EFVP avant d’effectuer de gros changements, avant le lancement de programmes, afin de pouvoir identifier tous les risques et mitiger les risques avant que vous commencez à faire de la collecte de ces informations et que d’autres risques développent.

Flavie Gagné: Parfait. Donc je crois ça conclut notre séance d’aujourd’hui. Merci beaucoup Benoit, Tyler, Pascal, Mike aussi qui était présent. C’était vraiment le fun de toute (sic) vous avoir puis de parler du cycle de vie lié à la protection de la vie privée. Je vous souhaite une excellente journée.

Benoit Deshaies: Merci beaucoup Flavie.

Tyler Bissonnette: Merci.

Pascal Lacroix-Piché: Merci Flavie.

Michael Maguire: Merci Flavie. Merci tout le monde.