Rapports et publications

Rapports de vérification

√Čvaluation des facteurs relatifs √† la vie priv√©e des programmes, plans et politiques

Octobre 2007


Le rapport de vérification présenté ici a été réalisé conformément au mandat législatif, aux politiques et aux pratiques du Commissariat à la protection de la vie privée du Canada. Ces politiques et ces pratiques respectent les normes de vérification recommandées par l'Institut canadien des comptables agréés.

Ce rapport se trouve dans notre site Web, www.priv.gc.ca.

Pour obtenir des copies de ce rapport ou d’autres publications du Commissariat √† la protection de la vie priv√©e, veuillez vous adresser au :

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3

Téléphone : 613 995-8210, ou 1-800-282-1376
Télécopieur : 613 947-8210
Courriel: publications@priv.gc.ca

This document is also available in English


Table des matières

Principales conclusions

Introduction

Observations

Recommandations

Conclusion

Au sujet de la vérification

Haut de la page Table des matièresPrincipales conclusions

1.1 ¬†Il s’est maintenant √©coul√© cinq ans depuis l’entr√©e en vigueur de ¬†la Politique d’√©valuation des facteurs relatifs √† la vie priv√©e (√ČFVP) du gouvernement du Canada. Notre v√©rification a permis de constater que certaines institutions gouvernementales ont ¬†fait de grands efforts pour appliquer la directive, mais qu’il faut encore d’autres efforts pour que la Politique atteigne l’effet d√©sir√©, soit celui de mieux faire conna√ģtre et comprendre les r√©percussions sur la vie priv√©e des programmes et des services. Bien que nous n’ayons pas relev√© de cas flagrants de non conformit√©, en g√©n√©ral, les institutions ne respectent pas enti√®rement leur engagement √† l’√©gard de la Politique. Les √ČFVP ne sont pas toujours r√©alis√©es comme elles devraient l’√™tre.

1.2 ¬†La mesure dans laquelle les organismes gouvernementaux g√®rent convenablement les questions relatives √† la vie priv√©e dans le cadre de leurs activit√©s d√©pend de la maturit√© de l’environnement d’√ČFVP de l’organisme en question (notamment du cadre de contr√īle de gestion mis en place pour guider l’√©valuation des initiatives de services sp√©cifiques par rapport √† la vie priv√©e d’une personne). Bien que des cadres officiels ou des infrastructures administratives aient √©t√© mis en place dans la plupart des organismes, les mesures de contr√īle connexes sont souvent faibles.

1.3 ¬†M√™me si l’objectif principal de la Politique est de veiller √† ce que la protection de la vie priv√©e soit un facteur cl√© de l’analyse initiale des objectifs et activit√©s d’un projet, les √ČFVP sont souvent r√©alis√©es bien apr√®s la mise en œuvre d’un programme. Dans certains cas, les √ČFVP n’ont pas √©t√© r√©alis√©es du tout (malgr√© des probl√®mes potentiels √©vidents li√©s √† l’ex√©cution des programmes ou √† la prestation des services). Bien que les pr√©occupations au sujet de la protection de la vie priv√©e ressortent clairement de l’analyse des menaces et des risques des nouveaux projets informatiques, on accorde beaucoup moins d’√©gards √† la protection de la vie priv√©e pour les projets n√©cessitant la circulation de renseignements personnels entre les institutions et les administrations.

1.4 ¬†Les normes actuelles en mati√®re de communication et de rapports pour les √ČFVP donnent peu de garantie ou d’information aux Canadiennes et aux Canadiens qui souhaitent comprendre les r√©percussions qu’ont sur leur vie priv√©e les services ou les programmes gouvernementaux. Seuls quelques organismes gouvernementaux publient et mettent √† jour r√©guli√®rement dans leur site Web les r√©sultats de leurs rapports d’√ČFVP. Lorsqu’il s’agit de sommaires, ils omettent souvent de r√©v√©ler les r√©percussions sur la vie priv√©e des nouveaux modes de livraison (et la fa√ßon dont les questions connexes sont r√©solues).

1.5 ¬†Bien que l’application des lignes directrices du Conseil du Tr√©sor encourage les organismes f√©d√©raux √† tenir compte des r√©percussions sur la vie priv√©e au moment de la conception de chacun des programmes, la politique¬† ne fournit pas en soi l’assurance que l’on √©value les facteurs relatifs √† la vie priv√©e ayant trait aux initiatives strat√©giques pangouvernementales. Conscient des r√©percussions √©ventuelles sur la vie priv√©e des politiques et des plans propos√©s, le Cabinet aurait ainsi l’occasion d’ajuster ou de modifier rapidement les programmes en vue de prot√©ger les renseignements personnels des Canadiennes et des Canadiens et de r√©duire les co√Ľts associ√©s aux changements de programme.

1.6 ¬†Pour assurer l’√©valuation ad√©quate des effets suppl√©mentaires r√©sultant de l’influence combin√©e des divers organismes gouvernementaux (ou des mesures prises au sein d’un m√™me minist√®re), les √ČFVP devraient tenir compte des effets cumulatifs sur la vie priv√©e qui peuvent r√©sulter d’un programme lorsqu’il est combin√© √† d’autres projets ou activit√©s qui ont √©t√© ou qui seront r√©alis√©s.

1.7 ¬†Pour assurer la r√©alisation des objectifs initiaux de la Politique d’√©valuation des facteurs relatifs √† la vie priv√©e et continuer √† gagner la confiance des Canadiennes et des Canadiens, il serait maintenant opportun de revoir la Politique. L’examen de la Politique par le Conseil du Tr√©sor du Canada devrait comprendre un examen des r√īles du Secr√©tariat du Conseil du Tr√©sor (SCT) et du Commissariat √† la protection de la vie priv√©e du Canada (CPVP), de m√™me que la cr√©ation d’instruments qui aideront les organismes f√©d√©raux √† simplifier les activit√©s et les rapports d’√ČFVP.

Antécédents et autres observations

1.8 ¬†Le gouvernement f√©d√©ral a indiqu√© son engagement √† l’√©gard de la protection de la vie priv√©e dans ses propres activit√©s et des principes g√©n√©raux du traitement √©quitable de l’information. Selon le Secr√©tariat du Conseil du Tr√©sor, le gouvernement ¬ę¬†[a] pris l'engagement de prot√©ger les renseignements personnels des Canadiennes et des Canadiens dans la prestation des services ?¬† Cela signifie qu'il faut s'assurer de tenir compte des questions de confidentialit√© d√®s la premi√®re √©tape de conception des services, instaurer la confiance de la population canadienne envers la fa√ßon dont le gouvernement du Canada traite les renseignements personnels et veiller √† ce que les minist√®res et les organismes appliquent de fa√ßon uniforme les dispositions de la Loi sur la protection des renseignements personnels lorsqu'ils offrent des services en direct.¬†¬Ľ

1.9 ¬†Pour atteindre ces objectifs, le gouvernement du Canada a pr√©sent√© sa politique d’√©valuation des facteurs relatifs √† la vie priv√©e en mai 2002.¬† La Politique pr√©voit sp√©cifiquement que des √ČFVP seront r√©alis√©es pour toutes les nouvelles initiatives qui pr√©sentent des risques d’entrave √† la vie priv√©e et que les r√©sultats de cette analyse (de m√™me que les mesures propos√©es pour corriger les risques cern√©s), seront achemin√©s au CPVP pour examen et commentaire. La Politique exige que les organismes gouvernementaux qui r√©alisent des √ČFVP en publient un sommaire sur leur site Web externe.

Le gouvernement a répondu. En général, les ministères et les organismes gouvernementaux soumis à cette vérification ont accepté nos recommandations. Leurs réponses, y compris les mesures prises (ou les plans mis en place) pour tenir compte de nos recommandations, figurent dans ce rapport de vérification.


Haut de la page Table des matièresIntroduction

Haut de la page Table des mati√®resL’importance de l’√©valuation des facteurs relatifs √† la vie priv√©e

1.10 ¬†Les sondages d’opinion publique d√©montrent que les Canadiennes et les Canadiens sont inquiets pour leur vie priv√©e lorsque leurs renseignements personnels sont utilis√©s dans le contexte de nouveaux services gouvernementaux ou des services en place. Comme l’indiquait un sondage r√©cent, la majorit√© des Canadiennes et des Canadiens sont d’avis que la protection des renseignements personnels sera l’un des plus grands enjeux auxquels notre pays sera confront√© au cours des dix prochaines ann√©es.

1.11 ¬†Les risques √©ventuels d’entrave √† la vie priv√©e associ√©s aux programmes ou services qui ont recours √† des renseignements personnels comprennent le vol d’identit√©, le couplage ou le forage inappropri√© des donn√©es et les communications non souhait√©es. Des risques d’entrave √† la vie priv√©e peuvent √©galement se pr√©senter lorsque les renseignements circulent au sein d’un organisme, ou passent d’un organisme ou d’une administration √† un autre. Les risques d’entrave √† la vie priv√©e inh√©rents √† ces activit√©s doivent √™tre connus, √©valu√©s et r√©solus afin que le gouvernement respecte la vie priv√©e des personnes.¬† La Politique d’√©valuation des facteurs relatifs √† la vie priv√©e est l’un des principaux outils qui permettra de relever ce d√©fi.

1.12 ¬†L’√©valuation des facteurs relatifs √† la vie priv√©e (√ČFVP) est un processus officiel qui aide les minist√®res et les organismes √† tenir compte des effets des nouveaux programmes ou des nouveaux services (ou des politiques et plans propos√©s) sur la vie priv√©e. √Ä titre d’outil de gestion utilis√© √† l’√©tape de la planification d’un projet de programme ou de service, les √ČFVP aident les organismes √† r√©fl√©chir davantage aux r√©percussions que peut avoir une proposition donn√©e sur la vie priv√©e, et √† r√©duire le risque d’une restructuration co√Ľteuse des programmes, services ou processus.

1.13 ¬†Les cons√©quences d’une mauvaise analyse des facteurs relatifs √† la vie priv√©e ont √©t√© illustr√©es dans le rapport annuel 1999-2000 du CPVP par le projet de Fichier longitudinal sur la main-d’œuvre, une √©norme banque de donn√©es reliant les renseignements de deux minist√®res f√©d√©raux de m√™me que des gouvernements provinciaux et territoriaux. Le regroupement de vastes bases de donn√©es personnelles, des syst√®mes informatiques puissants et des liens de plus en plus √©troits avec les programmes sociaux des gouvernements et le secteur priv√© ont soulev√© de grandes inqui√©tudes √† l’√©gard de la protection de la vie priv√©e. L’incapacit√© du gouvernement √† bien √©valuer et √† att√©nuer ces inqui√©tudes, ou √† pr√©voir la r√©action du public √† ce programme a men√© au d√©mant√®lement fort dispendieux du syst√®me. Bien que cela se soit pass√© il y a presque huit ans et avant l’entr√©e en vigueur de la politique sur les √ČFVP, cet √©chec a √©t√© un moment d√©terminant pour la protection des renseignements personnels au sein du gouvernement f√©d√©ral et pr√©sente un exemple de choix des risques associ√©s √† une mauvaise planification des facteurs relatifs √† la vie priv√©e.

Haut de la page Table des mati√®resOutils d’int√©gration des facteurs relatifs √† la vie priv√©e

1.14 ¬†En mai 2002, le gouvernement du Canada pr√©sentait une politique sur l’√©valuation des facteurs relatifs √† la vie priv√©e. La politique a √©t√© adopt√©e pour garantir aux Canadiennes et aux Canadiens que les principes de protection des renseignements personnels seraient pris en compte lorsque des projets de programmes et de services soul√®vent des probl√®mes de protection de la vie priv√©e √† l’√©tape de la conception, de la mise en place et ou du fonctionnement. La Politique pr√©voit la cr√©ation et le maintien des √©valuations des facteurs relatifs √† la vie priv√©e et oblige les organismes gouvernementaux √† communiquer les r√©sultats des √ČFVP au Commissariat √† la protection de la vie priv√©e et au public.

1.15 ¬†Le processus d’√©valuation des facteurs relatifs √† la vie priv√©e est actuellement le mod√®le le plus complet pour √©valuer les effets d’un projet sp√©cifique de prestation de service sur la vie priv√©e d’une personne et constitue donc l’√©l√©ment central du r√©gime de conformit√© √† la protection de la vie priv√©e du gouvernement f√©d√©ral. M√™me si le processus d’√©valuation ne visait pas l’√©laboration de nouvelles lois, la Politique stipule que les institutions doivent d√©montrer que la collecte, l’utilisation et la communication des renseignements personnels respectent la Loi sur la protection des renseignements personnels (plus pr√©cis√©ment les articles 4 √† 8) de m√™me que les dix¬†principes r√©gissant la protection des renseignements personnels annex√©s √† la Loi sur la protection des renseignements personnels et les documents √©lectroniques.

1.16 ¬†En plus de la politique sur les √ČFVP, le Secr√©tariat du Conseil du Tr√©sor a publi√© les Lignes directrices sur l’√©valuation des facteurs relatifs √† la vie priv√©e pour aider les organismes gouvernementaux √† adapter la Politique aux besoins de leurs propres programmes et services, tout en fournissant un cadre de gestion des risques d’entrave √† la vie priv√©e.

Haut de la page Table des mati√®resPlace de l’√©valuation des facteurs relatifs √† la vie priv√©e dans le cycle de vie du programme

1.17 ¬†Combin√©e aux analyses sociales, √©conomiques, environnementales et op√©rationnelles, l’√©valuation des facteurs relatifs √† la vie priv√©e vise √† faciliter le processus de prise de d√©cisions √† la base des projets d’ex√©cution de programmes et de prestation de services. Il s’agit d’un instrument qui permet √† un d√©cideur d’analyser syst√©matiquement les facteurs relatifs √† la vie priv√©e des programmes, des plans ou des politiques propos√©s.¬† L’application rigoureuse de cet instrument augmentera la possibilit√© d’anticiper, de pr√©venir ou d’att√©nuer les r√©percussions d√©favorables ou d’am√©liorer les r√©percussions positives associ√©es √† l’utilisation des renseignements personnels.

1.18 ¬†En vertu de la politique sur les √ČFVP, les organismes doivent amorcer une √©valuation des facteurs relatifs √† la vie priv√©e et en d√©finir la port√©e d√®s les premi√®res √©tapes de la conception ou de la restructuration d’un programme ou d’un service de mani√®re √† influer sa mise en œuvre. Toutefois, l’√©valuation des facteurs relatifs √† la vie priv√©e ne se termine pas apr√®s la conception du projet; il s’agit d’un processus it√©ratif qui sera maintenu pendant tout le cycle de vie des initiatives gouvernementales. Le produit final d’une √ČFVP est l’assurance que toutes les questions relatives √† la protection de la vie priv√©e auront √©t√© cern√©es et r√©solues.

Haut de la page Table des mati√®resResponsabilit√©s f√©d√©rales associ√©es √† l’application de la Politique

1.19 ¬†Les ministres et autres administrateurs g√©n√©raux d√©sign√©s par d√©cret ont la responsabilit√© de faire en sorte que leur institution se conforme √† la Loi sur la protection des renseignements personnels, √† son R√®glement, et √† ses politiques connexes. La Politique d’√©valuation des facteurs relatifs √† la vie priv√©e s’applique √† tous les organismes gouvernementaux figurant √† l’annexe de la Loi. Elle stipule¬†:

Les sous-ministres et les autres administrateurs généraux des institutions ont la responsabilité ?  de déterminer si les initiatives peuvent avoir une incidence sur la vie privée des Canadiens et s'il y a lieu de procéder à des évaluations des facteurs relatifs à la vie privée, ainsi que d'intégrer et d'équilibrer les exigences en matière de protection de la vie privée et les autres exigences relatives à la législation et aux politiques.

1.20 ¬†Au sein des institutions gouvernementales, les gestionnaires de programmes et de projets, les experts en politique relative √† la vie priv√©e, les conseillers juridiques et les sp√©cialistes d’un secteur d’activit√© sont souvent charg√©s de pr√©parer et de mettre √† jour les √ČFVP. Les bureaux d’acc√®s √† l’information et de protection des renseignements personnels (AIPR) au sein des institutions jouent souvent un r√īle essentiel dans la pr√©paration, la r√©vision et l’approbation des √ČFVP.

1.21 ¬†√Ä titre de haute fonctionnaire du Parlement, la commissaire √† la protection de la vie priv√©e du Canada a le pouvoir, en vertu de la Loi sur la protection des renseignements personnels, de superviser la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels par les institutions gouvernementales assujetties √† la Loi. Conform√©ment √† la Politique d’√©valuation des facteurs relatifs √† la vie priv√©e, le CPVP doit √™tre inform√© de toutes les √©valuations des facteurs relatifs √† la vie priv√©e r√©alis√©es et peut fournir des conseils et des orientations aux institutions concernant les risques d’entrave √©ventuelle √† la protection de la vie priv√©e.

1.22 ¬†Le Secr√©tariat du Conseil du Tr√©sor est charg√© d’interpr√©ter la Politique, de conseiller les institutions et de v√©rifier la conformit√©. Les institutions qui d√©sirent obtenir une approbation pr√©liminaire de projet et du financement doivent inclure les r√©sultats de l’√ČFVP dans leur demande ou leur √©nonc√© de projet. Des analystes du SCT sont affect√©s √† chacune des institutions et ceux-ci peuvent exiger une √ČFVP s’il y a lieu.

√Čnonc√©s de politiques du Secr√©tariat du Conseil du Tr√©sor du Canada sur l’√©valuation des facteurs relatifs √† la vie priv√©e (2002)

Politique d’√©valuation des facteurs relatifs √† la vie priv√©eLe Secr√©tariat du Conseil du Tr√©sor du Canada pr√©sentait sa Politique d’√©valuation des facteurs relatifs √† la vie priv√©e le 2 mai 2002.¬† Bien que la politique elle-m√™me n’ait pas subi de changements importants depuis son entr√©e en vigueur, les obligations f√©d√©rales de communication annuelle ont √©t√© mises √† jour √† plusieurs reprises dont en 2006. L’√©nonc√© de politiques sur l’√©valuation des facteurs relatifs √† la vie priv√©e 2002¬† figure ci-dessous.

√Čnonc√© de politiques

Le gouvernement du Canada s'engage √† prot√©ger les renseignements personnels des Canadiens. Le respect de la vie priv√©e, tout comme d'autres facteurs pertinents li√©s √† la l√©gislation et aux politiques, fait partie int√©grante de la conception, de la mise en œuvre et de l'√©volution de tous les programmes et services. M√™me si on les associe souvent √† la prestation √©lectronique des services, les √©valuations des facteurs relatifs √† la vie priv√©e offrent un cadre coh√©rent qui permet de d√©terminer les risques d'entrave √† la vie priv√©e que peut poser tout mode de prestation de services, que ce soit en personne, par courrier, par t√©l√©phone ou en direct.

Il incombe aux institutions de montrer que la collecte, l'utilisation et la communication de renseignements personnels qu'ils effectuent respectent les dispositions de la Loi sur la protection des renseignements personnels et les principes de protection de la vie priv√©e durant toutes les phases de lancement, d'analyse, de conception, de d√©veloppement, de mise en œuvre et de suivi qui se rattachent aux activit√©s d'ex√©cution des programmes et de prestation de services.

Les institutions sont √©galement tenues de faire conna√ģtre aux Canadiens la raison pour laquelle elles recueillent des renseignements personnels et de quelle fa√ßon elles comptent les utiliser et les communiquer. En outre, elles doivent leur expliquer les r√©percussions que les nouveaux modes √©lectroniques d'ex√©cution des programmes et de prestation des services auront sur leur vie priv√©e et la mani√®re dont les probl√®mes qui en d√©coulent seront r√©gl√©s. Ainsi, les Canadiens pourront prendre des d√©cisions √©clair√©es au sujet du mode de prestation de service qu'ils souhaitent utiliser pour entretenir des rapports avec le gouvernement f√©d√©ral et ils auront la certitude que les renseignements personnels qui les concernent sont prot√©g√©s, quel que soit le mode de prestation de services qu'ils choisissent.

Par conséquent, le gouvernement a pour politique :

  • de s'assurer que la protection de la vie priv√©e constitue un √©l√©ment central de l'√©laboration initiale des objectifs des programmes et des services, ainsi que de toutes les activit√©s subs√©quentes;
  • de s'assurer que la responsabilit√© en mati√®re de protection de la vie priv√©e est clairement int√©gr√©e aux fonctions des gestionnaires de programme et de tout autre intervenant, y compris ceux d'autres institutions, administrations et secteurs;
  • d'offrir aux d√©cideurs l'information dont ils ont besoin pour prendre des d√©cisions pleinement √©clair√©es en mati√®re de politique, de programmes, de conception de syst√®mes et d'approvisionnement, en s'appuyant sur une compr√©hension des r√©percussions et des risques d'entrave √† la vie priv√©e, ainsi que des moyens pour √©viter ou att√©nuer ces risques;
  • de r√©duire le risque d'avoir √† mettre un terme √† un programme ou √† un service apr√®s sa mise en œuvre, ou encore d'avoir √† le modifier consid√©rablement, afin de respecter les exigences en mati√®re de protection de la vie priv√©e;
  • de fournir de la documentation sur les processus op√©rationnels et sur la circulation des renseignements personnels aux employ√©s des minist√®res et des organismes qui l'appliqueront et l'examineront, cette documentation devant servir d'information de base pour consulter les clients, la commissaire √† la protection de la vie priv√©e et d'autres intervenants;
  • de mieux faire conna√ģtre les pratiques saines de protection de la vie priv√©e qui se rattachent √† l'ex√©cution des programmes et √† la prestation des services, en informant la commissaire √† la protection de la vie priv√©e et le public de toutes les propositions de programmes et de services nouveaux ou modifi√©s, qui soul√®vent des questions relativement au respect de la vie priv√©e.

[Le texte complet de la Politique d’√©valuation des facteurs relatifs √† la vie priv√©e est disponible sur le site Web du Secr√©tariat du Conseil du Tr√©sor, http://www.tbs-sct.gc.ca]

Haut de la page Table des matièresExamens antérieurs

1.23 ¬†En juin 2004, le SCT a command√© un examen semestriel ind√©pendant portant sur un nombre limit√© de minist√®res pour d√©terminer l’incidence de la Politique d’√ČFVP sur la promotion de pratiques exemplaires en mati√®re de protection des renseignements personnels. L’√©tude a soulign√© que la Politique semblait avoir l’effet escompt√© d’am√©liorer la conformit√© aux lois sur la protection des renseignements personnels, mais elle a √©galement cern√© de nombreux probl√®mes qui devaient √™tre r√©gl√©s, y compris¬†:

  • un manque d’expertise tant au gouvernement que dans l’industrie relativement √† la r√©alisation des √©valuations des facteurs relatifs √† la vie priv√©e;
  • des probl√®mes de coordination et d’int√©gration des contributions des intervenants au sein des minist√®res;
  • des difficult√©s d’harmonisation des √ČFVP par rapport aux autres politiques du gouvernement du Canada, telles que les politiques sur la s√©curit√©, le couplage des donn√©es et le num√©ro d’assurance sociale;
  • des retards concernant la publication des sommaires des √ČFVP;
  • l’incapacit√© des minist√®res √† appuyer les observations r√©alis√©es dans le cadre des √ČFVP √† l’aide de preuves document√©es.

1.24 ¬†L’√©tude a √©galement indiqu√© qu’il n’existait aucune source de renseignements fiable sur le nombre d’√ČFVP r√©alis√©es et qu’il semblait n’y avoir aucun m√©canisme en place pour s’assurer que les √ČFVP ou les √ČFVP pr√©liminaires √©taient r√©alis√©es au besoin. Enfin, l’√©tude a soulign√© que les minist√®res ne semblaient pas avoir suivi de mani√®re appropri√©e la mise en place des mesures de r√©duction des risques relev√©s dans le cadre du processus relatif aux √ČFVP.

Haut de la page Table des matièresObjectif de la vérification

1.25 ¬†Cette v√©rification portait principalement sur l’√©valuation des pratiques du gouvernement f√©d√©ral en mati√®re d’√©valuation des facteurs relatifs √† la vie priv√©e, y compris le respect des exigences et des objectifs de la politique du SCT sur les √ČFVP et, par extension, le respect de la Loi sur la protection des renseignements personnels et des principes relatifs √† l’√©quit√© dans la gestion des renseignements personnels. Nous avons examin√© le respect de quatre crit√®res principaux (voir Au sujet de la v√©rification √† la fin de ce rapport)¬†par les neuf¬†institutions suivantes¬†:

  • ¬†Affaires indiennes et du Nord Canada
  • ¬†Agence du revenu du Canada
  • ¬†Anciens combattants Canada
  • ¬†Citoyennet√© et Immigration Canada
  • ¬†Gendarmerie royale du Canada (GRC)
  • ¬†Ressources humaines et D√©veloppement social Canada (RHDSC)
  • ¬†Sant√© Canada
  • ¬†Service Canada (un projet de RHDSC)
  • ¬†Service correctionnel du Canada

1.26 ¬†En plus de la v√©rification approfondie de ces neuf¬†entit√©s, nous avons men√© une √©tude aupr√®s de 47 institutions suppl√©mentaires assujetties √† la Politique et √† la Loi sur la protection des renseignements personnels, dans laquelle nous leur avons demand√© de proc√©der √† une auto√©valuation fond√©e sur les quatre¬†crit√®res d’√©valuation utilis√©s dans notre examen principal.

1.27 ¬†Nous avons examin√© les r√īles et responsabilit√©s de deux organismes f√©d√©raux ayant des responsabilit√©s interminist√©rielles, soit le Secr√©tariat du Conseil du Tr√©sor et le Bureau du Conseil priv√©, ainsi que ceux du Commissariat.

1.28 ¬†Bien que les r√©sultats de notre v√©rification soient, pour la plupart, regroup√©s, nous avons relev√© plusieurs exemples de pratiques exemplaires en mati√®re d’√©valuation des facteurs relatifs √† la vie priv√©e dans le but de mettre en √©vidence les possibilit√©s d’am√©lioration des pratiques des minist√®res et organismes. Pour un compl√©ment d’information sur les objectifs, la port√©e, la d√©marche et les crit√®res utilis√©s pour notre v√©rification, voir la section Au sujet de la v√©rification qui se trouve √† la fin de ce rapport.


Haut de la page Table des matièresObservations

Haut de la page Table des mati√®resLa mise en oeuvre de la politique est loin d’√™tre termin√©e

1.29 ¬†Notre v√©rification permet de conclure que les organismes f√©d√©raux, en g√©n√©ral, ont mis du temps √† appliquer la Politique. Bien que nous n’ayons relev√© aucun cas grave de non-conformit√© dans l’un ou l’autre des minist√®res vis√©s (ou dans toute l’administration f√©d√©rale), dans l’ensemble, les institutions gouvernementales ne respectent pas pleinement leurs engagements en vertu des lignes directrices. Le processus d’√©valuation des facteurs relatifs √† la vie priv√©e vise essentiellement √† s’assurer que les questions relatives √† la protection de la vie priv√©e seront prises en compte d√®s la conception ou l’√©laboration des programmes et que les risques cern√©s seront att√©nu√©s avant leur mise en œuvre. Dans les faits, cependant, l’application de la Politique est loin d’√™tre termin√©e.

1.30 ¬†Dans le cadre de l’examen des pratiques d’√ČFVP d’un minist√®re, qui comprenait l’√©valuation du respect de la Politique d’√ČFVP, nous avons ax√© nos demandes de renseignements sur les responsabilit√©s principales des institutions √† l’√©gard de la Politique et des Lignes directrices, soit¬†:

  • Effectuer des √ČFVP, au moment de la conception, pour tous les nouveaux programmes et services (ainsi que pour les programmes et services restructur√©s en profondeur) qui pr√©sentent des risques d'entrave √† la vie priv√©e;
  • Fournir au Commissariat √† la protection de la vie priv√©e une copie de l’√ČFVP finale, approuv√©e par l’administrateur g√©n√©ral, avant la mise en œuvre de l’initiative, du programme ou du service;
  • Mettre en place une √©valuation des risques et des mesures d’att√©nuation des probl√®mes relev√©s de protection de la vie priv√©e et s’assurer que les mesures visant √† r√©duire les risques sont mises en place;
  • Rendre publics les r√©sum√©s des √ČFVP.

Un compl√©ment d’information sur cette d√©marche et sur le mode de s√©lection des minist√®res et organismes √† la fin de ce rapport, dans la section Au sujet de la v√©rification.

Haut de la page Table des matièresLa mise en place des cadres de gestion nécessaires est variable

1.31 ¬†La fa√ßon dont une institution aborde les questions relatives √† la vie priv√©e soulev√©es par ses activit√©s est souvent influenc√©e par les syst√®mes de gestion qu’elle a mis en place pour guider l’√©valuation de projets sp√©cifiques de prestation de service relativement √† la protection de la vie priv√©e. Le respect par les minist√®res de la Politique d’√ČFVP suppose l’existence d’une infrastructure administrative qui vient appuyer les objectifs et les exigences de la Politique. L’absence d’un tel cadre – ou la faiblesse des contr√īles quand un tel processus est en place – risque d’avoir des r√©percussions directes et mesurables sur l’efficacit√© et la qualit√© des √©valuations des facteurs relatifs √† la vie priv√©e et sur la mesure dans laquelle chaque entit√© respecte la Politique.

1.32 ¬†Comme les minist√®res et les organismes doivent se conformer √† la Politique, il incombe aux administrateurs g√©n√©raux de mettre en place les syst√®mes n√©cessaires. Les √©l√©ments cl√©s d’une bonne infrastructure devraient comprendre, entre autres¬†:

  • La mise en place de programmes d’information pour le personnel et les autres intervenants sur les objectifs et exigences de la Politique;¬†
  • La d√©finition des responsabilit√©s et de la responsabilisation des programmes;
  • La pr√©sence d’un syst√®me pour signaler efficacement tous les nouveaux projets qui pourraient n√©cessiter une √ČFPV ou une √ČPFVP;
  • La pr√©sence d’une entit√© compos√©e du personnel-cadre charg√© de la r√©vision et de l’approbation des projets d’√ČFVP ou d’√ČPFVP;
  • L’existence d’un syst√®me efficace de v√©rification de la conformit√©;
  • Les ressources n√©cessaires pour l’ex√©cution des obligations du minist√®re en vertu de la Politique.

L’annexe A d√©crit les grandes lignes du processus g√©n√©rique pour les √©valuations des facteurs relatifs √† la vie priv√©e.


Annexe A : Processus générique (avec éléments clés) des évaluations des facteurs relatifs à la vie privée

Annexe A

1.33 ¬†Bien que le CPVP ait remarqu√© une am√©lioration importante de la qualit√© et de l’exhaustivit√© des √ČFVP depuis l’entr√©e en vigueur de la Politique, les √ČFVP et √ČPFVP que re√ßoit maintenant le Commissariat comportent encore des omissions communes et des manquements au niveau de la documentation et de l’analyse (voir L’exhaustivit√© des √©valuations est variable mais elle s’am√©liore). M√™me si les causes de tels manquements et omissions varient selon l’institution, nous croyons qu’ils sont souvent attribuables aux faiblesses du processus (c.-√†-d. les lacunes au niveau minist√©riel de l’architecture administrative qui soutient la Politique d’√ČFVP) et au manque de ressources affect√©es aux √ČFVP.

1.34 ¬†Afin d’√©tablir une r√©f√©rence raisonnable pour l’√©valuation des cadres de contr√īle de gestion, le CPVP a mis sur pied un mod√®le de maturit√© du processus d’√ČFVP. Ce mod√®le – d√©riv√© des objectifs de contr√īle dans le domaine de l’information et des technologies connexes (OCITC) et valid√© par les attributs objectifs d’un cadre de contr√īle de gestion efficace d√©crit au paragraphe 1.32 – comporte cinq niveaux progressifs de maturit√© et classe chaque institution selon la normalisation de ses processus. Le mod√®le, illustr√© √† l’annexe C, peut √™tre utilis√© non seulement pour mesurer la maturit√© de l’environnement des √ČFVP de chaque institution, mais aussi comme un indicateur du degr√© de conformit√© probable de chacune d’entre elles.

1.35 ¬†Les environnements d’√ČFVP continuent √† √©voluer. Sur les neuf¬†entit√©s que nous avons examin√©es dans le cadre de nos v√©rifications d√©taill√©es, seules trois avaient ce que nous pourrions d√©crire comme un environnement d’√ČFVP bien g√©r√© et mesurable (niveau 4). √Ä l’oppos√©, quatre des neuf entit√©s examin√©es avaient un environnement d’√ČFVP que nous jugeons largement al√©atoire, ou reconnu mais intuitif (niveaux 1 et 2). Ceci est surprenant, car la Politique d’EFVP est en vigueur depuis maintenant cinq¬†ans et les institutions en question supervisent des programmes qui n√©cessitent le traitement d’un tr√®s grand nombre de renseignements personnels. Les deux autres entit√©s se classent dans la cat√©gorie¬†3, c’est-√†-dire qu’elles ont d√©fini un processus d’√ČFVP, qu’elles ont pr√©par√© des lignes directrices officielles pour l’ensemble de leurs activit√©s, mais qu’elles manquent de mesures ad√©quates en mati√®re de contr√īle et de supervision.

1.36 ¬†Les r√©sultats de notre v√©rification approfondie sont conformes aux renseignements que nous avons recueillis dans le cadre de notre √©tude. Dans les 47¬†organismes f√©d√©raux que nous avons sond√©s, 89¬†% des r√©pondants ont indiqu√© qu’ils se servaient des renseignements personnels pour leurs programmes et services. Lorsqu’on leur a demand√© si leur organisme poss√©dait un cadre de gestion officiel pour appuyer la r√©alisation des √ČFVP, plus de 69¬†% des r√©pondants ont r√©pondu par la n√©gative. Plus pr√©cis√©ment, 29 % des r√©pondants qui ont proc√©d√© √† l’auto√©valuation se sont donn√©s une cote de niveau 1 (initial/al√©atoire) pour le mod√®le de maturit√© du processus d’√ČFVP et 54 %, une cote de niveau 2 (reconnu mais intuitif). Seulement une institution parmi notre √©chantillonnage d√©clare avoir √©labor√© un processus d’√ČFVP optimal (soit le niveau 5 du mod√®le de maturit√© des √ČFVP).

1.37 ¬†L’annexe B illustre pour un moment donn√© les environnements d’√ČFVP du gouvernement, et est fond√©e sur les r√©sultats combin√©s de l’√©tude et de la v√©rification. Nous croyons que ces r√©sultats refl√®tent assez fid√®lement la situation actuelle dans les organismes f√©d√©raux, mais l’illustration n’a pas √©t√© con√ßue pour repr√©senter de mani√®re statistique ou scientifique toutes les institutions assujetties √† la Loi sur la protection des renseignements personnels.


Annexe B¬†:¬†Processus de maturit√© des √ČFVP¬† f√©d√©rales par rapport √† la courbe de r√©partition

Environnement
f√©d√©ral des √ČFVP
Annexe B
  O√Ļ le gouvernement peut raisonnablement esp√©rer se situer

Annexe C : Modèle de maturité des évaluations des facteurs relatifs à la vie privée

Le niveau de maturit√© du processus d’√ČFVP des organismes que nous avons v√©rifi√©s varie en fonction de nombreux facteurs, les influences les plus importantes √©tant¬†: la culture organisationnelle, les ressources humaines (particuli√®rement celles affect√©es √† la politique de protection des renseignements personnels) et la pr√©sence ou l’absence de supervision interne. En g√©n√©ral, les organismes qui ont une importante culture de la confidentialit√© et qui sont sensibilis√©s aux probl√®mes associ√©s √† la protection des renseignements personnels √©taient plus susceptibles d’avoir des processus matures de gestion des √ČFVP. √Ä l’oppos√©, les organismes qui sont moins sensibilis√©s √† la protection des renseignements personnels avaient des processus d’√ČFVP moins matures.¬† Comme on pouvait s’y attendre, les organismes qui ont fait l’objet de v√©rification, inspection ou analyse publique ant√©rieure √©taient plus susceptibles d’avoir effectu√© des examens internes de leur infrastructure d’√ČFVP dans le but d’en am√©liorer le processus.

Niveau de maturit√© Statut de l’environnement des √ČFVP
0 Inexistant L’organisme ne reconna√ģt pas la n√©cessit√© de proc√©der √† des √©valuations des facteurs relatifs √† la vie priv√©e (√ČFVP). La vie priv√©e (y compris le traitement ad√©quat des renseignements personnels en g√©n√©ral) ne fait pas partie de la culture de l’organisme. Le risque de non-conformit√© √† la Politique et de manquements ou d’incidents √† l’√©gard de la protection des renseignements personnels est tr√®s grand. Dans un tel environnement, peu d’√ČFVP, s’il en est, sont r√©alis√©es en temps opportun.
1 Initial/al√©atoire L’organisme reconna√ģt l’existence de la politique gouvernementale et de la n√©cessit√© d’une infrastructure administrative pour g√©rer le processus d’√ČFVP au sein de l’organisme. L’approche de l’organisation √† l’√©gard du respect des exigences de la Politique est al√©atoire et manque de direction officielle, d’orientation ou de supervision de la part de la haute direction. Les irr√©gularit√©s dans la mani√®re dont les √ČFVP sont r√©alis√©es n’ont pas encore √©t√© √©tudi√©es ni cern√©es. Les employ√©s ne sont pas sensibilis√©s √† leurs responsabilit√©s tant au sein de leur organisme que par rapport √† la mise en œuvre de la Politique d’√ČFVP dans l’ensemble du gouvernement. Dans un tel environnement, certaines √ČFVP peuvent √™tre r√©alis√©es, mais plusieurs ne le sont pas, et la qualit√© de l’√©valuation des facteurs relatifs √† la vie priv√©e laisse probablement √† d√©sirer.
2 Reconnu, mais intuitif L’organisme a mis en place un cadre d’√ČFVP mais il manque parfois des √©l√©ments essentiels pour appuyer les objectifs et les exigences de la Politique. Le contr√īle du processus d’√ČFVP affiche certaines faiblesses et celles-ci n’ont pas √©t√© cern√©es ad√©quatement ni soulev√©es par la direction; les r√©percussions de telles faiblesses peuvent √™tre importantes. La direction peut ou non √™tre consciente de ses obligations en vertu de la Politique. Les employ√©s peuvent ne pas conna√ģtre leurs responsabilit√©s √† l’√©gard du processus d’√ČFVP. La qualit√© des √ČFVP et la mani√®re dont elles sont r√©alis√©es (y compris leur absence) d√©pendent des connaissances et de la motivation des employ√©s.
3 Processus d√©fini d’√ČFVP L’organisme a mis en place et document√© un processus d’√ČFVP officiel. La direction conna√ģt pleinement ses responsabilit√©s en mati√®re d’√ČFVP et a commenc√© √† appliquer des lignes directrices sur l’√ČFVP √† l’ensemble de ses activit√©s. Cependant, le processus n’est pas encore normalis√© et le contr√īle pr√©sente encore des faiblesses. Bien que la direction compose de mani√®re attendue avec la plupart des probl√®mes de protection de la vie priv√©e qui d√©coulent de ses activit√©s, il reste encore certaines faiblesses dans le processus d’√ČFVP qui pourraient avoir de graves¬† r√©percussions. Les employ√©s connaissent leurs responsabilit√©s, mais l’organisme manque les ressources n√©cessaires pour s’acquitter des obligations du minist√®re en vertu de la Politique.
4 G√©r√© et mesurable L’organisme a mis en place et document√© un processus d’√ČFVP officiel. La direction conna√ģt tr√®s bien ses responsabilit√©s en la mati√®re et satisfait aux exigences et aux obligations pr√©vues par la Politique. Les responsabilit√©s et la responsabilisation ont √©t√© officiellement d√©finies et la direction et les employ√©s participent de mani√®re proactive √† tous les aspects du processus d’√ČFVP. Des programmes sont en place en vue d’informer le personnel et les autres intervenants des objectifs et des exigences de la Politique, et des ressources ad√©quates ont √©t√© affect√©es pour faire face aux obligations du minist√®re en vertu de la Politique. Un syst√®me efficace d’√©tablissement de rapports concernant tous les nouveaux projets exigeant une √ČFVP ou une √ČPFVP a √©t√© mis en place. La plupart des √ČFVP sont de grande qualit√© et r√©alis√©es s’il y a lieu et en temps opportun.
5 Optimal L’organisme a int√©gr√© l’√©valuation des facteurs op√©rationnels relatifs √† la vie priv√©e dans le cadre g√©n√©ral de gestion des risques de l’organisme (au centre duquel se trouve un processus officiel d’√ČFVP). Des¬† contr√īles effectu√©s √† l’√©chelle de l’organisme assurent une surveillance continue et efficace de la conformit√© au processus d’√ČFVP de l’organisme et √† la politique du Conseil du Tr√©sor. Une personne ou un organisme est charg√© de surveiller le respect de la Politique, et un organisme compos√© d’employ√©s exp√©riment√©s doit examiner les candidats aux √ČFVP ou aux √ČPFVP et les approuver une fois les √©valuations r√©alis√©es. L’organisme effectue un suivi du rendement touchant les principaux aspects financiers, op√©rationnels et des ressources humaines li√©s aux activit√©s d’√ČFVP et les r√©sultats des √ČFVP sont int√©gr√©s √† la gestion continue des projets.

1.38 ¬†L’√©valuation des facteurs relatifs √† la vie priv√©e n’est pas bien int√©gr√©e aux activit√©s.Dans notre √©chantillonnage, le processus d’√ČFVP √©tait loin d’√™tre compl√®tement int√©gr√© √† l’ensemble des strat√©gies de gestion du risque des entit√©s (bien qu’il semble √©merger des liens plus officiels avec les centres des principaux programmes, surtout en ce qui concerne la technologie de l’information).

Haut de la page Table des mati√®resLes pratiques d’√©valuation des facteurs relatifs √† la vie priv√©e varient

1.39 ¬†Parmi les entit√©s qui ont des environnements d’√ČFVP relativement bien d√©finis, nous avons observ√© la pr√©sence de l’une de deux¬†approches r√©currentes de la gestion des facteurs relatifs √† la vie priv√©e. Dans la premi√®re (que l’on pourrait appeler le mod√®le d’AIPRP actif), les sp√©cialistes des √ČFVP ou de la protection de la vie priv√©e de l’organisme au sein de l’unit√© de l’acc√®s √† l’information et de la protection des renseignements personnels (AIPRP) agissent comme des promoteurs, des √©ducateurs, des d√©fenseurs de la protection de la vie priv√©e et, en bout de ligne, comme des responsables de la conformit√© au sein du processus d’√©valuation des facteurs relatifs √† la vie priv√©e. Dans la seconde (le mod√®le d’AIPRP passif), l’unit√© de l’AIPRP se limite √† un r√īle de consultant, qui offre conseils et orientations sur demande. Dans ce dernier mod√®le, les gestionnaires de programme contr√īlent le lancement et l’ach√®vement des √ČFVP (une structure appropri√©e quand ces gestionnaires sont responsables de l’ex√©cution des programmes).

1.40 ¬†Bien que chacune des approches comporte des avantages op√©rationnels, le mod√®le d’AIPRP actif semble mieux r√©ussir √† sensibiliser les employ√©s aux exigences de la Politique et √† obtenir le soutien de la haute direction en mati√®re d’√ČFVP. Dans de nombreux cas, le mod√®le d’AIPRP passif √©tait synonyme d’absence de professionnels de politique affect√©s √† la protection de la vie priv√©e. Par cons√©quent, les ressources affect√©es aux responsabilit√©s relatives aux √ČFVP √©taient insuffisantes par rapport √† celles affect√©es aux demandes d’acc√®s √† l’information (exigence impos√©e par la loi c. l’exigence en vertu d’une politique).

1.41 ¬†Le respect de la Politique exigeant des comp√©tences sup√©rieures √† celles d√©tenues par les unit√©s d’AIPRP de la plupart des institutions gouvernementales, il semble naturel que les responsabilit√©s relatives au processus d’√ČFVP demeurent partag√©es. Toutefois, les responsabilit√©s de chaque groupe devraient √™tre clairement d√©finies, bien comprises et bien appliqu√©es – il s’agit d’un r√īle important de la haute direction.

1.42 ¬†Compte tenu du caract√®re unique de la plupart des institutions f√©d√©rales et des diff√©rences de structures de programmes et d’activit√©s, il serait difficile d’√©laborer ou de mettre en place un mod√®le commun unique ou un seul cadre administratif pour mieux appuyer la Politique d’√ČFVP. Les mod√®les d’√ČFVP devraient g√©n√©ralement refl√©ter la nature des activit√©s de chaque institution, en incorporant les √©l√©ments de contr√īle essentiels d√©crits √† l’annexe A et en tenant compte des contraintes en mati√®re de ressources.

Haut de la page Table des mati√®resLes cadres de certains minist√®res n’ont pas assez d’√©l√©ments de contr√īle essentiels

1.43 ¬†Une s√©lection pr√©alable inad√©quate des projets peut nuire au respect de la Politique.¬† La faiblesse la plus courante que nous avons observ√©e sur le plan du contr√īle dans les syst√®mes de gestion examin√©s √©tait l’absence d’un processus de s√©lection obligatoire et officiel (pour tous les programmes, services, plans et politiques) en vue de cibler les candidats √©ventuels pour les √ČFVP et √ČPFVP. En effet, 64 % des r√©pondants ont indiqu√© qu’ils n’avaient pas de politiques ou de processus en place permettant de cerner toutes les activit√©s exigeant une √©valuation des facteurs relatifs √† la vie priv√©e.

1.44 ¬†En l’absence de pr√©s√©lection – qui est essentiellement le point de d√©part de toute analyse des facteurs relatifs √† la vie priv√©e – les organisations n’√©valuent pas convenablement le niveau de risque d’entrave √† la vie priv√©e d’une proposition, et ainsi omettent souvent de r√©aliser une √ČFVP. S’il n’y a pas de m√©canisme officiel permettant d’√©valuer les besoins en mati√®re d’√ČFVP, les institutions gouvernementales peuvent contourner les obligations pr√©vues dans la politique du gouvernement, sciemment ou non, sans cons√©quence grave.

1.45 ¬†En ce moment, il faut faire une pr√©sentation au Conseil du Tr√©sor pour autoriser ou modifier les modalit√©s et conditions des programmes de subventions ou de contributions, recommander l’approbation des d√©crets qui ont des r√©percussions sur les ressources ou la gestion, et mettre en place un projet ou une initiative dont les co√Ľts d√©passeraient le pouvoir d√©l√©gu√© d’un minist√®re. Une pr√©sentation au Conseil du Tr√©sor est un document officiel d√©pos√© par un ministre au nom de son minist√®re, demandant une approbation ou une autorisation du Conseil du Tr√©sor pour mettre en œuvre une proposition que l’institution gouvernementale ne pourrait pas entreprendre autrement (ou qui d√©passerait son pouvoir d√©l√©gu√©). Dans une pr√©sentation standard, les institutions gouvernementales doivent √©valuer la n√©cessit√© d’effectuer une √ČFVP et fournir le rapport final avant de recevoir du financement.

1.46 ¬†M√™me si les exigences en mati√®re d’√ČFVP associ√©es √† la pr√©sentation permettent de s’assurer que les propositions importantes ou sur le point d’√™tre financ√©es n’iront pas de l’avant sans que l’on ait tenu compte des r√©percussions possibles sur la vie priv√©e, le processus de pr√©sentation n’insiste pas suffisamment sur les changements apport√©s aux programmes ou les nombreuses mini initiatives entreprises au sein des grands programmes approuv√©s. Ces plus petites initiatives ou ces changements aux programmes, surtout quand ils sont combin√©s, peuvent avoir de graves r√©percussions sur la vie priv√©e et devraient donc pouvoir faire l’objet d’une √ČFVP.

1.47 ¬†Bien que les √ČFVP n√©cessaires au financement des projets demeurent un contr√īle externe essentiel pour l’application de l’analyse des facteurs relatifs √† la vie priv√©e aux propositions de projets, une ¬ę¬†s√©lection¬†¬Ľ plus efficace signifierait une int√©gration plus compl√®te de l’√©valuation des facteurs relatifs √† la vie priv√©e √† la planification des activit√©s et des programmes des institutions gouvernementales. Compte tenu de la complexit√© inh√©rente √† l’analyse du besoin d’une √©valuation des facteurs relatifs √† la vie priv√©e, la pr√©s√©lection des projets devrait √™tre consid√©r√©e comme un processus en soi et non comme une simple t√Ęche administrative.

1.48 ¬†Les √©l√©ments de contr√īle essentiels du processus de s√©lection pourraient prendre les formes suivantes¬†: programmes continus de sensibilisation des employ√©s, recoupements administratifs int√©gr√©s entre l’analyse des √ČFVP et d’autres outils d’att√©nuation du risque (p. ex., √©valuations de la menace et des risques en TI ou documents de l’analyse de rentabilisation), ou √©tablissement de pouvoirs interfonctionnels (p. ex., politique de protection des renseignements personnels ou AIPRP) pour l’approbation des programmes.

1.49 ¬†L’utilisation d’un syst√®me de suivi centralis√© pour les programmes qui n√©cessitent l’utilisation de renseignements personnels peut faciliter la surveillance des activit√©s d’√ČFVP √† l’√©chelle du minist√®re et permettre de d√©terminer si l’organisme a bien cern√© les candidats aux √ČFVP ou aux √ČPFVP.

Haut de la page Table des matièresLacunes et retards

1.50 ¬†Les syst√®mes de suivi pr√©sentent de graves lacunes.¬† Nous n’avons pas pu √©tablir dans quelle mesure les √©valuations des facteurs relatifs √† la vie priv√©e du gouvernement n’√©taient pas r√©alis√©es en temps opportun, car la plupart des minist√®res f√©d√©raux n’ont pas de syst√®mes ad√©quats pour faire le suivi des cas qui exigent ou qui ont exig√© des √ČFVP.

1.51 ¬†Au cours de notre v√©rification, de nombreux organismes ont commenc√© √† instaurer de telles applications ou √† recueillir les donn√©es de base n√©cessaires √† l’√©tablissement d’un tel syst√®me. Nous croyons que la mise en place d’un inventaire complet de programmes, m√™me si cela prend beaucoup de temps et de ressources, permettrait de d√©celer sur les oublis possibles en mati√®re d’√ČFVP et de baliser les risques √©ventuels pour la protection de la vie priv√©e associ√©s aux programmes d√©j√† en place.

1.52 ¬†Malgr√© l’absence de donn√©es de base sur les oublis en mati√®re d’√ČFVP, les preuves non scientifiques nous m√®nent √† croire que le nombre d’omissions possibles n’est pas important en comparaison du nombre total d’initiatives gouvernementales qui pr√©voient l’utilisation de renseignements personnels et que les cas d’omission sont beaucoup moins nombreux depuis la mise en place de cadres de contr√īle de gestion pour les √ČFVP au sein des institutions gouvernementales. Dans une certaine mesure, le processus de pr√©sentation au Conseil du Tr√©sor fournit l’assurance que les grands projets ou les projets exceptionnels ont fait l’objet d’une √©valuation des facteurs relatifs √† la vie priv√©e de recevoir du financement.

1.53 ¬†Les changements apport√©s aux programmes peuvent entra√ģner des risques pour la protection de la vie priv√©e. S’il y a une exception √† cette r√®gle, elle se retrouve principalement dans les changements apport√©s √† l’ex√©cution des programmes o√Ļ la prestation des services d√©j√† en place, car les exigences d√©finies √† l’interne pour les √ČFVP ne sont pas claires √† cet √©gard et les pratiques ne font g√©n√©ralement l’objet d’aucune surveillance. Bien que la politique du Conseil du Tr√©sor et les lignes directrices qui l’accompagnent fournissent des directives g√©n√©rales sur le moment o√Ļ les institutions doivent entreprendre une √ČFVP, celles-ci peuvent √™tre difficiles √† interpr√©ter dans un contexte de changements apport√©s aux programmes, en particulier ceux qui touchent des syst√®mes informatiques en place.

1.54 ¬†L’√©change d’information peut entra√ģner des risques pour la protection de la vie priv√©e.¬† En plus des pr√©occupations li√©es √† la protection de la vie priv√©e qui d√©coulent de l’analyse de la menace et des risques des projets de TI, on accorde peu d’√©gards √† la protection des renseignements personnels dans le cadre de projets o√Ļ des renseignements personnels seront transmis au sein d’une institution ou d’une institution ou administration √† une autre. Dans de tels cas, la responsabilisation relative aux √©valuations des facteurs relatifs √† la vie priv√©e incombe √† plus d’une institution et les responsabilit√©s en vertu de la Loi tendent √† √™tre limit√©es au lieu d’√™tre partag√©es. Bien que la Politique traite clairement du besoin de r√©aliser une √ČFVP dans les cas o√Ļ les programmes ou services sont donn√©s en sous-traitance ou d√©volus √† un autre organisme, celle-ci ne contient aucune exigence pr√©cise √† ce sujet dans les cas de partage de renseignements (une activit√© r√©gie par des politiques connexes sur le couplage et la protection des donn√©es).

1.55 ¬†Comme les programmes et les initiatives minist√©riels sont de plus en plus int√©gr√©s, et que le partage des donn√©es au sein du gouvernement est de plus en plus r√©pandu, les risques d’effractions √† la protection de la vie priv√©e ou de pratiques inappropri√©es de traitement des renseignements personnels augmentent en cons√©quence.¬† En ce moment, il semble y avoir un manque de directives politiques sur la question des √ČFVP lorsque plusieurs organismes, portefeuilles, programmes ou juridictions sont en cause. Les protocoles d’entente (PE) entre les organismes, bien qu’ils soient utiles pour d√©finir les modalit√©s des ententes de partage de renseignements, ne font pas n√©cessairement en sorte que tous les risques d’entrave √† la vie priv√©e associ√©s au partage de l’information soient limit√©s au maximum. Nous avons observ√© dans plusieurs cas que les PE interminist√©riels de partage d’information √©taient p√©rim√©s depuis longtemps et ne fournissaient pas une protection ad√©quate pour les atteintes √† la protection de la vie priv√©e.

1.56 ¬†L’annexe D traite de la nature de certaines omissions de produire des √ČFVP observ√©es pendant notre v√©rification. Les causes sous-jacentes (de m√™me que d’autres probl√®mes de rendement connexes) seront trait√©es plus loin dans notre rapport (voir Principaux facteurs contribuant aux √©carts de rendement).

1.57 ¬†Les √ČFVP sont parfois r√©alis√©es apr√®s coup. Le moment o√Ļ les √ČFVP sont amorc√©es pour les projets qui comportent des risques connus ou anticip√©s √† la protection de la vie est tout aussi important que la question des omissions. Au cours de notre v√©rification, nous avons observ√© de nombreux cas o√Ļ les √ČFVP ont √©t√© amorc√©es bien apr√®s la conception ou la planification d’un projet. Bien que dans de rares cas ces retards aient √©t√© caus√©s par le manque de renseignements n√©cessaires pour r√©aliser l’√ČFVP, dans la plupart des cas les retards n’√©taient pas attribuables √† des difficult√©s de rassembler les donn√©es.


Annexe D :Nature des omissions à produire des évaluations des facteurs relatifs à la vie privée 

Les exemples suivants illustrent des cas d’omissions possibles ou connues observ√©es au cours de notre v√©rification. Ils visent √† mettre en √©vidence les secteurs au sein du gouvernement o√Ļ des efforts suppl√©mentaires sont n√©cessaires pour prot√©ger les renseignements personnels.

  • Changements aux syst√®mes

D’importants changements apport√©s aux syst√®mes ou aux processus administratifs qui touchent la s√©paration des renseignements personnels ou les mesures de s√©curit√© utilis√©es pour g√©rer et contr√īler l’acc√®s aux renseignements personnels peuvent entra√ģner des risques pour la vie priv√©e. √Ä titre d’exemple, mentionnons le cas de l’automatisation de syst√®mes comportant des renseignements personnels autrefois conserv√©s sur papier. Les changements aux syst√®mes peuvent √©galement inclure l’augmentation de la collecte de renseignements personnels √† des fins d’admissibilit√© ou d’int√©gration, ou la mise en place de codes d’utilisateurs communs √† des fins administratives. Un bon moyen de s’assurer que les consid√©rations relatives √† la vie priv√©e sont prises en compte pendant le processus de mise en œuvre est de r√©aliser des √©valuations des facteurs relatifs √† la vie priv√©e au tout d√©but d’une restructuration de syst√®me.

  • Programmes mis en place avant l’entr√©e en vigueur de la Politique

Bien que la Politique soit entr√©e en vigueur au mois de mai 2002, elle vise √† renforcer la protection de la vie priv√©e au cours de l’ex√©cution de tous les programmes et de la prestation de tous les services du gouvernement, quel que soit le moment o√Ļ ils ont √©t√© mis en place. Les √©valuations des facteurs relatifs √† la vie priv√©e fournissent le moyen de rep√©rer les risques d’entrave √† la vie priv√©e inh√©rents √† toutes les activit√©s de programmes et peuvent √™tre utilis√©es pour l’analyse des programmes d√©j√† en place. Ceci est aussi important que l’√©tude des effets cumulatifs des programmes et des services sur la protection des renseignements personnels. Les syst√®mes ou les projets de prestation de services mis en place avant mai 2002 doivent √™tre conformes √† la loi. En cons√©quence, les √©valuations des facteurs relatifs √† la vie priv√©e doivent servir √† mieux comprendre les effets connexes sur la vie priv√©e et √† assurer la conformit√© des programmes par rapport √† la Loi.

  • Partage de renseignements personnels

Les activit√©s de couplage des donn√©es, ou le partage de renseignements personnels entre les programmes, organismes ou juridictions, devraient toujours faire l’objet d’une √©valuation des facteurs relatifs √† la vie priv√©e. Seule une analyse d√©taill√©e permet √† un organisme de comprendre les risques et les obligations associ√©s √† de telles activit√©s et les mesures pr√©ventives qui doivent √™tre mises en place pour att√©nuer ces risques.¬† Bien que la Loi sur la protection des renseignements personnelsne vise que les institutions f√©d√©rales, la plupart des gouvernements provinciaux et territoriaux sont assujettis √† des lois et politiques similaires qui r√©gissent la collecte, l’utilisation et la communication des renseignements personnels. Les √ČFVP peuvent aider √† discerner les exigences de ces diverses lois et √† assurer le respect des dispositions des lois et politiques f√©d√©rales. Bien qu’ils soient utiles pour d√©finir les modalit√©s des ententes de partage de renseignements, les protocoles d’entente entre les organismes ne garantissent pas n√©cessairement que tous les risques d’entrave √† la vie priv√©e associ√©s au partage des renseignements seront enti√®rement att√©nu√©s ou que les mesures de protection de la vie priv√©e seront r√©vis√©es p√©riodiquement et appliqu√©es.

  • Programmes pilotes

Les √©tudes de faisabilit√©, ex√©cut√©es dans un environnement de test s√©curis√© ou √† l’aide de donn√©es fictives, pourraient ne pas √™tre assujetties √† la Politique d’√ČFVP. Toutefois, si un organisme compte utiliser t√īt ou tard des donn√©es r√©elles dans le cadre de l’ex√©cution de ce programme, il faudrait proc√©der √† une √©valuation des facteurs relatifs √† la vie priv√©e, id√©alement au moment de la conception du programme. Toute initiative comportant l’utilisation des donn√©es r√©elles de personnes identifiables, m√™me limit√©e (supposons √† l’√©chelle r√©gionale) ou au cours d’essais (nomm√©s √† l’interne pilotes ou prototypes), n√©cessite une √ČFVP et devrait √™tre conforme √† la Loi sur la protection des renseignements personnels.

  • Au-del√† des initiatives de prestation √©lectronique de services

Afin d’assurer que les consid√©rations en mati√®re de protection de la vie priv√©e jouent un r√īle central dans l’orientation des projets d’ex√©cution de programmes ou de prestation de services, les gestionnaires de programmes ne disposent peut-√™tre d’aucun outil sup√©rieur √† la sensibilisation. Une sensibilisation g√©n√©rale aux exigences de la Politique est souvent la premi√®re √©tape qui permet aux gestionnaires de programmes d’√©valuer pleinement les cons√©quences sur la vie priv√©e de leurs plans et priorit√©s d√®s la conception de ces initiatives. Bien que les risques d’entrave √† la vie priv√©e associ√©s √† la prestation √©lectronique des services soient de plus en plus faciles √† cerner, de tels risques peuvent √™tre associ√©s √† d’autres activit√©s de programme, y compris les consultations publiques, la recherche et l’√©laboration des politiques.

1.58 ¬†Dans plusieurs institutions, nous avons relev√© des cas o√Ļ les √©valuations des facteurs relatifs √† la vie priv√©e avaient √©t√© r√©alis√©es bien apr√®s la mise en place compl√®te d’un projet. M√™me si la Politique incite √† l’analyse des facteurs relatifs √† la vie priv√©e pendant tout le cycle de vie d’un programme, le d√©faut de proc√©der √† une telle analyse avant la mise en œuvre du programme pourrait √™tre per√ßu, √† juste titre, comme un cas d’omission (notamment en raison de l’esprit dans lequel la Politique a √©t√© √©labor√©e). Ceci peut √™tre probl√©matique, non seulement en raison de l’objectif initial de la Politique de placer les consid√©rations relatives √† la protection de la vie priv√©e au cœur des nouveaux programmes, mais √©galement en raison de la forte possibilit√© d’atteinte √† la protection de la vie priv√©e en l’absence de toute analyse d√©taill√©e.

1.59 ¬†La substance avant la forme.¬† Il est tr√®s important de faire remarquer que m√™me si nous avons examin√© la rapidit√© de production des √ČFVP par rapport √† la date de mise en œuvre d'un projet, cette fa√ßon de faire pourrait accorder involontairement une attention plus importante √† la production des √©valuations des facteurs relatifs √† la vie priv√©e qu’au processus lui-m√™me comme outil de gestion du risque.

1.60 ¬†Bien qu’id√©alement une √ČFVP doive servir d’outil pour guider l’√©laboration des programmes, √† notre avis, un rapport d’√ČFVP publi√© peu apr√®s la mise en œuvre d’un projet et qui traite de mani√®re ad√©quate des mesures prises pour cerner et att√©nuer les risques d’entrave √† la vie priv√©e est probablement sup√©rieur √† un rapport produit ¬ę¬†√† temps¬†¬Ľ qui omet de traiter de ces mesures. Malheureusement, comme l’√©valuation des facteurs relatifs √† la vie priv√©e est une activit√© qui porte sur de longues p√©riodes, il a √©t√© difficile d’√©valuer quand l’analyse a √©t√© amorc√©e pour les projets examin√©s. Malgr√© l’imperfection de cet aspect de la v√©rification, les observations d√©crites ci-dessus restent vraies et m√©ritent d’√™tre prises en compte.

Haut de la page Table des mati√®resL’exhaustivit√© des √©valuations est variable mais elle s’am√©liore

1.61 ¬†Dans notre rapport annuel 2005-2006 au Parlement, nous notions avec satisfaction que beaucoup d’√ČFVP √©taient plus pr√©cises et plus approfondies (par rapport √† celles que nous avons re√ßues peu apr√®s l’entr√©e en vigueur de la Politique). Malgr√© ce progr√®s significatif, il y a encore beaucoup de place √† l’am√©lioration.

1.62 ¬†Bien qu’il y ait souvent des similarit√©s dans les types de risques d’entrave √† la vie priv√©e cit√©s (et les pratiques g√©n√©rales d’att√©nuation du risque), compte tenu de la diversit√© des projets, il est important que les √ČFVP √©noncent des recommandations sp√©cifiques sur le type de renseignements recueillis et de syst√®mes utilis√©s.¬† M√™me si les √©nonc√©s g√©n√©riques concernant la responsabilisation en mati√®re de protection des renseignements personnels sont utiles pour comprendre les principes de gestion qui guideront les activit√©s √† venir, leur suivi et leur efficacit√© sont difficiles √† √©valuer. Le CPVP pr√©f√®re constater une approche plus sp√©cifique et plus proactive de l'att√©nuation des risques √† la vie priv√©e et a ainsi recommand√© la publication de directives ex√©cutoires, de protocoles et de proc√©dures document√©es.

1.63 ¬†Dans le m√™me ordre d’id√©es, les √ČFVP pr√©sent√©es dans le pass√© ne comportaient pas de directives pour la d√©claration des atteintes √† la protection de la vie priv√©e (c.-√†-d. le processus suivi par les institutions pour informer les personnes vis√©es que leurs renseignements personnels ont √©t√© communiqu√©s de mani√®re inappropri√©e). Nous continuons de recommander que chaque institution mette en place des politiques et des processus clairs pour guider son personnel dans les cas de pertes de renseignements personnels ou de risques pour la protection de la vie priv√©e.

1.64 ¬†Enfin, certaines √ČFVP ne contiennent toujours pas de plans d’action d√©taill√©s pour la mise en place de strat√©gies de protection de la vie priv√©e. Ces strat√©gies sont importantes pour aider le CPVP √† bien comprendre la mani√®re dont les risques d√©cel√©s d’entrave √† la vie priv√©e ont √©t√© abord√©s et pour assurer une responsabilisation relativement √† l’att√©nuation des risques.

Haut de la page Table des matièresLes enjeux relatifs à la protection de la vie privée ne sont pas abordés rapidement

1.65 ¬†Dans le cadre de notre v√©rification, nous avons tent√© d’examiner dans quelle mesure les plans d’att√©nuation du risque des minist√®res (et les recommandations du Commissariat √† la protection de la vie priv√©e) d’un √©chantillonnage d’√ČFVP r√©alis√©es au cours des cinq derni√®res ann√©es avaient √©t√© mis en œuvre. Les r√©sultats de notre travail, qui ne sont peut-√™tre pas repr√©sentatifs des √ČFVP dans tout le gouvernement, indiquent que les institutions prennent en g√©n√©ral beaucoup de temps √† se pencher sur les risques d’entrave √† la vie priv√©e associ√©s aux programmes et aux services.

1.66 ¬†Bien que la majorit√© des probl√®mes ¬ę¬†√† risque √©lev√©¬†¬Ľ de notre √©chantillonnage semblaient avoir √©t√© r√©gl√©s avant la mise en œuvre du programme (ou dans un laps de temps raisonnable par la suite lorsque les √ČFVP sont r√©alis√©es apr√®s la mise en œuvre du projet), un grand nombre d’enjeux, qualifi√©s par les minist√®res comme des ¬ę¬†risques moyens¬†¬Ľ, sont encore pr√©sents un an, et parfois plus, apr√®s la mise en place des programmes. Certains enjeux ¬ę¬†√† risque √©lev√©¬†¬Ľ ne sont toujours pas r√©gl√©s non plus, et nous avons jug√© insatisfaisant, au moment de notre v√©rification, le progr√®s r√©alis√© pour les r√©gler.

1.67 ¬†Sans vouloir sous-estimer l’ampleur et la complexit√© de certaines initiatives ou le fait que l’application de certaines recommandations exige beaucoup de temps et d’investissements, les institutions n’ont pas sembl√© suivre de pr√®s la mise en œuvre des observations relatives aux √ČFVP, s’exposant ainsi que leur client√®le √† des risques √©ventuels dans certains cas.

Haut de la page Table des mati√®resLa communication et la divulgation des risques d’entrave √† la vie priv√©e laissent √† d√©sirer

1.68 ¬†Conform√©ment √† la Politique en place, les institutions doivent fournir une copie de toutes leurs √©valuations des facteurs relatifs √† la vie priv√©e √† la commissaire √† la protection de la vie priv√©e. Cette notification doit se produire assez t√īt, avant la mise en place de l’initiative, du programme ou du service. La notification pr√©alable a pour but de permettre √† la commissaire d’examiner les enjeux et, au besoin, de donner des conseils au chef de l’institution. Pour compl√©ter cette exigence et pour favoriser une meilleure compr√©hension de la fa√ßon dont les enjeux relatifs √† la vie priv√©e concernant le programme ou le service ont √©t√© r√©gl√©s, les institutions doivent rendre accessibles au public en temps utile les r√©sum√©s de leurs √©valuations des facteurs relatifs √† la vie priv√©e.

1.69 ¬†Compte tenu de la nature m√™me du processus, qui est relativement discret et autog√©r√©, les exigences de la Politique en mati√®re de notification et d’information du public demeurent des outils importants de responsabilisation √† l’√©gard du centre de d√©cision et du grand public.

1.70 ¬†Notre v√©rification a r√©v√©l√© que, dans certains cas, les √ČFVP ne sont pas remis √† la commissaire d’une fa√ßon qui lui permettrait d’offrir ses conseils, s’il y a lieu, aux chefs des institutions avant la mise en œuvre du programme ou du service.¬† L’absence de notification en temps opportun a un effet important sur le r√©gime de suivi et de conformit√© des √ČFVP dans tout le gouvernement.

1.71 ¬†En ce sens, il serait malhonn√™te de notre part de ne pas reconna√ģtre les effets des retards d’examens des √ČFVP au Commissariat √† la protection de la vie priv√©e. Bien que le Secr√©tariat du Conseil du Tr√©sor sugg√®re une norme de six¬†semaines pour la r√©vision des √ČFVP remises au CPVP, dans de nombreux cas, le Commissariat ne fournit ses commentaires que 18 mois apr√®s la r√©ception de l’√ČFVP. Ces retards sont attribuables au manque de ressources. Bien que la Politique d’√ČFVP soit entr√©e en vigueur en mai 2002, la fonction d’examen des √ČFVP au CPVP n’a pas √©t√© financ√©e avant 2006 (et n’a eu qu’un seul employ√© √† temps plein affect√© √† la v√©rification des √ČFVP pendant les deux ann√©es ant√©rieures). Au moment de la r√©daction de ce rapport, le CPVP proc√©dait √† l’embauche de trois agents d’examen des √ČFVP et avait retenu les services de professionnels √† contrat pour r√©duire le nombre des rapports en attente. Le Commissariat utilise en ce moment une approche fond√©e sur le risque, acc√©l√©rant le processus de r√©vision des projets jug√©s particuli√®rement d√©licats en mati√®re de protection de la vie priv√©e.

1.72 ¬†Les renseignements contenus dans les rapports annuels sont insuffisants. En plus des exigences de notification mentionn√©es ci-dessus, les institutions f√©d√©rales doivent d√©montrer que leur collecte, utilisation et communication des renseignements personnels respectent la Loi sur la protection des renseignements personnels. Elles y arrivent, en partie, par des rapports destin√©s au public tels qu’Info Source et les Rapports annuels sur les lois sur l’acc√®s √† l’information et la protection des renseignements personnels. Bien que ces rapports soient con√ßus pour assurer un suivi actif et continu des activit√©s d’√ČFVP, la carte de pointage des √©valuations des facteurs relatifs √† la vie priv√©e ne porte que sur trois points¬†: le nombre d’√ČFVP amorc√©es pendant l’ann√©e, le nombre d’√ČFVP termin√©es pendant l’ann√©e, et le nombre d’√ČFVP pr√©sent√©es au CPVP pour examen. Ces r√©sum√©s statistiques contribuent peu √† renforcer la responsabilisation et la communication √† l’√©gard du public et ne semblent pas fournir suffisamment d’informations au SCT pour lui permettre de bien jouer son r√īle de gardien et de surveillant.

1.73 ¬†La faiblesse des renseignements nuit √† la participation du public. Comme nous le mentionnions plus haut, afin de mieux faire conna√ģtre la fa√ßon dont les enjeux de protection de la vie priv√©e li√©s aux programmes ou aux services ont √©t√© r√©gl√©s, les institutions doivent rendre accessibles au public les r√©sum√©s des r√©sultats de leurs √ČFVP en temps utile. Cependant, au moment o√Ļ nous avons commenc√© cette v√©rification, seule une minorit√© d’institutions publiaient et mettaient √† jour sur leur site Web les r√©sultats de leurs rapports d’√ČFVP. Parmi les neuf¬†entit√©s vis√©es par la v√©rification approfondie, seules quatre¬†avaient rendu publics les r√©sum√©s de leur √ČFVP.¬† L’inventaire des r√©sum√©s disponibles en ligne √©tait incomplet pour trois de ces organismes.

1.74 ¬†Parmi les 47 organismes gouvernementaux que nous avons sond√©s, seuls 25 % des r√©pondants ont dit avoir mis leurs r√©sum√©s d’√ČFVP √† la disposition du public en les publiant sur leurs sites Web externes. Cinquante pour cent des r√©pondants ont indiqu√© que les r√©sum√©s d’√ČFVP n’√©taient pas du tout rendus publics.

1.75 ¬†Compte tenu du fait que certains √©l√©ments des √ČFVP doivent √™tre prot√©g√©s en vertu de la Loi sur l’acc√®s √† l’information ou de la Loi sur la protection des renseignements personnels, ou que, dans certains cas, les √©valuations contiennent de l’information qui augmenterait la vuln√©rabilit√© des syst√®mes ou des mesures de s√©curit√©, on peut se demander si les normes actuelles de communication ont une valeur ou offre un certain r√©confort √† une citoyenne ou un citoyen qui d√©sire comprendre les r√©percussions sur sa vie priv√©e d’un service ou un programme sp√©cifique du gouvernement.

1.76 ¬†La qualit√© des r√©sum√©s des √ČFVP examin√©s laissait √† d√©sirer.¬† Bien que le Conseil du Tr√©sor recommande que les r√©sultats des r√©sum√©s des √ČFVP prennent la forme de sommaires – d√©gageant les r√©percussions sur la vie priv√©e des nouveaux modes d’ex√©cution de programmes ou de prestation de services et les mesures adopt√©es pour att√©nuer les risques – aucun des r√©sum√©s minist√©riels que nous avons examin√©s en ligne ne contenait plus qu’une description de projet et une conclusion ou un avis de non-responsabilit√© formul√© √† peu pr√®s comme suit¬†: ¬ę¬†[?] les exigences essentielles en mati√®re de protection des renseignements personnels ont √©t√© respect√©es et un plan d’action visant √† renforcer la protection de la vie priv√©e des Canadiennes et des Canadiens a √©t√© adopt√©s¬†¬Ľ. N’√©tant pas certains qu’un tel sommaire serait acceptable en vertu de la Politique, nous avons compar√© des sommaires minist√©riels avec ceux du Secr√©tariat du Conseil du Tr√©sor lui-m√™me. R√©sultat¬†: les sommaires minist√©riels pr√©sentent de grandes lacunes.

Haut de la page Table des matièresPratiques exemplaires

1.77 ¬†Certains minist√®res f√©d√©raux ont des pratiques exemplaires. Certains minist√®res ont mis en place les processus n√©cessaires √† la mise en œuvre de la Politique et r√©alisent √† temps les √©valuations des facteurs relatifs √† la vie priv√©e. Nous avons trouv√© de bons exemples de gouvernance, de m√©canismes de s√©lection des projets, de plans de directives et de formation et de programmes de sensibilisation dans certains des minist√®res et institutions que nous avons √©valu√©s (voir l’annexe E).

1.78 ¬†Dans l’ensemble, un minist√®re – Ressources humaines et D√©veloppement social Canada (y compris l’initiative Service Canada) – se d√©marquait.¬† L’organisme a mis en place un cadre strat√©gique de gestion de la protection de la vie priv√©e (qui fournit une infrastructure g√©n√©rale pour la gestion des renseignements personnels et la protection de la vie priv√©e) et un processus d’√ČFVP bien structur√©. Depuis l’entr√©e en vigueur de la Politique en¬†2002, ces organismes ont mis sur pied des directives exhaustives qui compl√®tent les lignes directrices du SCT, √©labor√© des outils pour aider les gestionnaires de programmes √† r√©aliser des √ČFVP, lanc√© des campagnes de sensibilisation et mis en place un processus permettant de bien cibler et de choisir les candidats aux √ČFVP et aux √ČPFVP.


Annexe E¬†: Pratiques exemplaires en mati√®re d’√©valuation des facteurs relatifs √† la vie priv√©e

Sensibilisation à la protection de la vie privée РCitoyenneté et Immigration Canada

La Division de l'administration des droits du public de Citoyennet√© et Immigration saisit chaque occasion de parler de la protection des renseignements personnels.¬† Elle a favoris√© la cr√©ation d’un ¬ę¬†R√©seau des coordonnateurs de l’AIPRP¬†¬Ľ, un forum de communications sur les questions de base auquel participe du personnel responsable de l’AIPRP de chaque direction du Minist√®re. En plus des rapports mensuels publi√©s en ligne sur le site du Minist√®re dans la zone sur l’AIPRP et la protection de la vie priv√©e, la Division organise une conf√©rence annuelle ou une journ√©e de r√©flexion des coordonnateurs de l’AIPRP qui r√©unit les agents de la protection de la vie priv√©e de l’administration centrale et des r√©gions, et tient des ateliers et des discussions articul√©s autour des besoins connus des participants. La sensibilisation de la haute direction est maintenue par de fr√©quentes pr√©sentations au Comit√© de gestion du Minist√®re.

Planification stratégique et gouvernance РRessources humaines et Développement social Canada

Le cadre de gestion de la protection de la vie priv√©e (CGPVP) du Minist√®re a √©t√© mis en place √† la fin de l’an 2000 √† titre de point de d√©part strat√©gique pour la gestion des renseignements personnels conserv√©s par l’organisme. Le CGPVP, en lien avec les initiatives de planification strat√©giques et de gouvernance, analyse le recours aux renseignements personnels dans le cadre des activit√©s, de l’administration et de la recherche afin que tous les enjeux concernant la protection de la vie priv√©e soient cern√©s et att√©nu√©s par un ensemble de directives interreli√©es, de pratiques exemplaires et d’outils (y compris les √ČFVP). Un comit√© charg√© du cadre de gestion de la protection de la vie priv√©e dirige la mise en place dans tout le minist√®re du cadre de gestion de la protection de la vie priv√©e, tant dans les programmes que d’un programme √† l’autre. Le comit√©, compos√© des directeurs g√©n√©raux, de coordonnateurs de l’acc√®s √† l’information et de la protection des renseignements personnels, de chefs de la v√©rification interne de m√™me que de repr√©sentants des services juridiques et des r√©gions, se r√©unit √† tous les mois. Les √©valuations des facteurs relatifs √† la vie priv√©e sont examin√©es et approuv√©es par le comit√© avant d’√™tre pr√©sent√©es au sous-ministre pour signature.

Sélection des projets РGendarmerie royale du Canada

Le service du DPI de l’administration centrale de la GRC, situ√© √† Ottawa, a mis en place un syst√®me de contr√īles pour faciliter le choix des syst√®mes de TI nouveaux ou modifi√©s qui feront l’objet d’une √©valuation des facteurs relatifs √† la vie priv√©e. Agissant comme un contr√īleur de la conception et de la mise en œuvre des nouveaux projets, le service du DPI nomme un gestionnaire de projet qui supervise toutes les activit√©s de mise en œuvre. Le processus de contr√īle repose sur une s√©rie de crit√®res de s√©lection suppl√©mentaires qui requi√®rent une approbation au niveau de la direction d’un comit√© d’examen des projets avant qu’un projet puisse aller de l’avant. Trois des mesures de contr√īle visent les √ČFVP et pr√©voient l’approbation du gestionnaire de projet, une consultation avec le propri√©taire de l’entreprise et l’examen de l’AIPRP. Les projets qui n’ont pas re√ßu ces approbations ne vont pas plus loin. Bien que la responsabilit√© du service du DPI soit actuellement limit√©e aux syst√®mes nationaux, ces syst√®mes repr√©sentent la grande majorit√© des processus de TI qui rel√®ve de la GRC. L’adoption de proc√©dures similaires au niveau r√©gional fait actuellement l’objet de discussions.

Orientation et formation РSanté Canada

Une sensibilisation g√©n√©rale aux exigences des politiques relatives √† la protection des renseignements personnels repr√©sente souvent la premi√®re √©tape pour s’assurer que les gestionnaires de programmes tiennent compte des r√©percussions sur la vie priv√©e au moment de l’√©laboration de leurs plans et priorit√©s. Le nouveau plan de formation de Sant√© Canada sur la protection des renseignements personnels et les √©valuations des facteurs relatifs √† la vie priv√©e pr√©sente une introduction √©tape par √©tape aux concepts de base des pratiques √©quitables en mati√®re de traitement des renseignements personnels, fait conna√ģtre les responsabilit√©s et la responsabilisation du Minist√®re, int√®gre les principes de protection de la vie priv√©e aux grandes lignes des exigences de la Politique concernant les √ČFVP, et offre aux gestionnaires de programmes des outils importants et pratiques pour la protection des renseignements personnels. Le programme de formation permet √©galement aux gestionnaires de programmes qui le suivent d’analyser et de pr√©parer une √ČFVP visant des projets r√©els envisag√©s ou en cours.


Haut de la page Table des matièresRecommandations

Haut de la page Table des mati√®resPrincipaux √©l√©ments contribuant √† l’√©cart de rendement

1.79 ¬†Bien que la Politique d’√ČFVP du gouvernement du Canada commence √† avoir l’effet escompt√©, √† savoir de mieux faire conna√ģtre et comprendre les r√©percussions sur la vie priv√©e associ√©es √† l’ex√©cution des programmes et √† la prestation des services, cinq ans apr√®s son entr√©e en vigueur, nous nous serions attendus √† ce que l’appui envers l’initiative ait progress√© davantage dans les minist√®res. Dans l’ensemble, l’engagement √† l’√©gard de la Politique est tr√®s variable. Certains organismes poss√®dent des infrastructures d’√ČFVP bien √©tablies, tandis que d’autres ne font que commencer √† mettre sur pied les syst√®mes de base n√©cessaires pour appuyer le processus entourant les √ČFVP.¬† En nous fondant sur notre travail de v√©rification,¬† nous croyons que plusieurs facteurs principaux ont contribu√© √† cet √©cart.

Haut de la page Table des mati√®resManque d’infrastructure et d’appui de la direction

1.80 ¬†Nous nous serions attendus √† ce que la haute direction ait manifest√© plus clairement son engagement envers la Politique, premi√®rement en rappelant l’importance de la protection de la vie priv√©e dans l’ex√©cution des programmes et la prestation des services, et deuxi√®mement, en exprimant formellement les r√©sultats attendus d’une √©valuation des facteurs relatifs √† la vie priv√©e. Nous nous serions √©galement attendus √† ce que les organismes aient allou√© des ressources et un personnel suffisants pour r√©pondre aux exigences de la Politique et faire en sorte que les engagements et les r√©sultats attendus de la Politique soient respect√©s.

1.81 ¬†Les agents de l’acc√®s √† l’information et de la protection des renseignements personnels jouent un r√īle important. Ils doivent en effet rappeler √† la haute direction ses obligations en vertu de la Politique. Ils jouent √©galement un r√īle cl√© dans la conception et le soutien des processus d’√ČFVP au sein de leurs organismes respectifs. Dans certaines institutions f√©d√©rales, toutefois, nous avons remarqu√© que la haute direction n’avait pas √©t√© inform√©e officiellement par l’AIPRP des exigences relatives aux √ČFVP depuis l’entr√©e en vigueur de la Politique en 2002. Bien que nous n’avons pas pu dire dans quelle mesure les tentatives de cr√©ation d’une infrastructure d’√ČFVP ont soulev√© la r√©sistance de la haute direction, il est √©vident que, sans son appui, une telle infrastructure serait difficile √† mettre en place et √† conserver.

1.82 ¬†Outre les ressources n√©cessaires au respect de la Politique dans son int√©gralit√©, le facteur le plus important pour assurer le succ√®s d’une √©valuation de projets sp√©cifiques de prestation de services relativement √† la protection de la vie priv√©e consiste en la pr√©sence d’un cadre efficace de contr√īle de la gestion. L’absence d’un tel cadre risque d’avoir des r√©percussions directes et mesurables sur l’efficacit√© et la qualit√© des √©valuations des facteurs relatifs √† la vie priv√©e et sur le degr√© de conformit√© √† la Politique.

1.83 ¬†Recommandation¬†: Les administrateurs g√©n√©raux de tous les organismes gouvernementaux assujettis √† la Politique devraient r√©affirmer leur engagement √† l’√©gard de la protection de la vie priv√©e et s’assurer que leur organisme applique pleinement les lignes directrices du SCT. Ils devraient s’assurer que leur organisme a mis en place une infrastructure administrative ad√©quate pour la r√©alisation des √ČFVP et a allou√© les ressources n√©cessaires √† l’application de la Politique. Cette infrastructure administrative devrait¬†:

  • D√©terminer et documenter toutes les propositions qui peuvent pr√©senter des risques d’entrave √† la vie priv√©e;
  • √©tablir une structure efficace de responsabilisation organisationnelle;
  • √©laborer et mettre en œuvre un syst√®me de suivi de tous les projets assujettis √† la Politique et des √ČFVP d√©taill√©es qui ont √©t√© r√©alis√©es;
  • fournir des directives internes et des programmes de formation √† l’intention des gestionnaires et du personnel qui participent √† la pr√©paration et √† l’orientation des programmes, des plans et des politiques;
  • √©tablir des proc√©dures relativement au contr√īle de la qualit√©, aux consultations, aux communications, aux suivis et √† l’√©valuation des √ČFVP.

Réponse du Secrétariat du Conseil du Trésor (SCT) :

Le SCT s’engage enti√®rement √† appuyer les institutions qui visent √† se conformer √† la Loi sur la protection des renseignements personnels et aux exigences des politiques sur la protection des renseignements personnels. √Ä cette fin, le SCT s’assurera que les institutions ont¬† les outils et les directives en mati√®re de politiques dont elles ont besoin pour concevoir et mettre en œuvre des pratiques efficaces de gestion dans le domaine de la protection de la vie priv√©e et pour se conformer aux exigences de la Loi. De plus, les exigences pr√©cises li√©es √† la conformit√© √† la Loi sur la protection des renseignements personnels et ses politiques continueront d’√™tre √©valu√©es par l’entremise du Cadre de responsabilisation de gestion.

Haut de la page Table des mati√®resInt√©gration limit√©e √† la prise de d√©cisions et √† l’analyse des effets

1.84 ¬†Les institutions gouvernementales consid√®rent souvent que les √ČFVP sont une obligation s√©par√©e et distincte au lieu d’un outil sp√©cialis√© de gestion des risques. √Ä ce titre, l’√©valuation des facteurs relatifs √† la vie priv√©e n’a pas encore √©t√© int√©gr√©e aux autres instruments de planification strat√©gique qui influent sur l’√©laboration des programmes, des plans et des politiques.

1.85 ¬†Le moment choisi pour effectuer les √ČFVP et la rigueur avec laquelle elles sont parfois r√©alis√©es laissent √† penser que certains organismes consid√®rent la protection de la vie priv√©e comme une r√©flexion subs√©quente √† l’ex√©cution des programmes et √† la prestation des services. Ind√©pendamment d’autres facteurs, la pr√©paration d’une √ČFVP plusieurs ann√©es apr√®s la mise en place d’un projet laisse croire qu’un minist√®re proc√®de √† une v√©rification uniquement pour satisfaire aux obligations d’une politique (au lieu de se servir de l’analyse des facteurs relatifs √† la vie priv√©e pour guider l’√©laboration d’un programme). Ceci est plus particuli√®rement vrai dans les cas o√Ļ il faut beaucoup de temps pour donner suite aux conclusions des √ČFVP et dans ceux o√Ļ les √ČFVP ne sont pas r√©alis√©es √† l’√©gard de propositions pouvant pr√©senter des risques d’entrave √† la vie priv√©e.¬† Bien que nous sachions qu’il est parfois difficile de proc√©der √† des analyses approfondies des risques d’atteinte √† la vie priv√©e quand les d√©tails d’un programme n’ont pas encore √©t√© r√©gl√©s, ce n’est pas la raison principale que nous avons observ√©e dans les cas d’omission et de retards de pr√©sentation des √ČFVP.

1.86 ¬†Recommandation¬†: Les organismes f√©d√©raux assujettis √† la Politique d’√ČFVP devraient chercher √† mieux int√©grer l’analyse de la protection de la vie priv√©e, y compris la n√©cessit√© de faire des √ČFVP, √† leur approche globale de la gestion du risque en liant les exigences de la Politique d’√ČFVP aux activit√©s de programmes et aux processus administratifs.¬† La haute direction devrait utiliser les √©valuations des facteurs relatifs √† la vie priv√©e parall√®lement √† d’autres analyses sociales et √©conomiques pour orienter l’√©laboration des programmes, des services, des plans et des politiques.

Réponse du Secrétariat du Conseil de Trésor (SCT) :

Dans le cadre de son examen des politiques en mati√®re de protection des renseignements personnels, le SCT √©tudie actuellement des moyens d’int√©grer l'analyse des facteurs relatifs √† la vie priv√©e aux priorit√©s et responsabilit√©s plus larges des organismes. La politique du SCT en mati√®re de protection des renseignements personnels tentera d’harmoniser les besoins en mati√®re d'√ČFVP aux responsabilit√©s pr√©vues par la loi, afin de r√©duire les activit√©s redondantes et de simplifier le processus d'√ČFVP. Actuellement, la d√©marche entreprise au moyen du Cadre de responsabilisation de gestion fournit une √©valuation des facteurs relatifs √† la vie priv√©e au sein d’un contexte de gestion √©largi, et le SCT entend tabler sur ce processus.

Haut de la page Table des matièresLes ressources sont limitées

1.87 ¬†Compte tenu des niveaux de maturit√© des cadres institutionnels de gestion des √ČFVP, il n’a pas √©t√© surprenant d’apprendre qu’aucun des organismes que nous avons v√©rifi√©s n’avait encore d√©fini de mesures int√©gr√©es de communications du rendement relativement aux finances, aux ressources humaines ou activit√©s pour les √ČFVP. √Ä l’exception des d√©penses de sous-traitance et de consultation, les co√Ľts de r√©alisation des √ČFVP n’√©taient, en g√©n√©ral, pas bien d√©finis et √©taient plut√īt comptabilis√©s comme des ¬ę frais g√©n√©raux ¬Ľ.

1.88 ¬†Gestion limit√©e des ressources.¬† Bien que les co√Ľts relatifs aux unit√©s d’AIPRP des institutions soient g√©n√©ralement connus et g√©r√©s, le calcul des co√Ľts n’est pas utilis√© pour les √ČFVP ou les activit√©s associ√©es √† la protection de la vie priv√©e.¬† Cette gestion d√©ficiente des ressources peut avoir un effet important sur la qualit√© des √ČFVP, car les organismes ne semblent pas en mesure d’√©valuer de mani√®re ad√©quate si les ressources affect√©es aux √ČFVP sont suffisantes ou non pour satisfaire √† leurs obligations en vertu de la Politique.

1.89 ¬†En raison de la relation de cause √† effet entre l’investissement de ressources et la qualit√© de la production, le sous-financement des unit√©s d’AIPRP, et plus pr√©cis√©ment des activit√©s d’√ČFVP (par rapport √† celles associ√©es √† l’acc√®s √† l’information) semble vraiment poser probl√®me. √Ä mesure que les √ČFVP seront davantage li√©es aux pratiques g√©n√©rales de gestion du risque des minist√®res, nous nous attendons √† ce que les co√Ľts qui y sont associ√©s soient examin√©s de plus pr√®s.

1.90 ¬†Il y a p√©nurie de professionnels de la protection de la vie priv√©e au gouvernement.¬† Malgr√© le manque de mesures de rendement pour les √ČFVP, notre exp√©rience nous donne √† penser que, dans le cas de la politique sur la protection de la vie priv√©e, et en particulier dans le cas des √©valuations des facteurs relatifs √† la vie priv√©e, le gouvernement manque de ressources qualifi√©es.¬† Nous croyons que cette p√©nurie a de graves r√©percussions sur le succ√®s de la mise en œuvre de la Politique.

1.91 ¬†Dans presque tous les cas, nous avons √©t√© surpris du tr√®s petit nombre de personnes √† temps plein affect√©es √† la politique de protection des renseignements personnels et aux √ČFVP.¬† En g√©n√©ral, les organismes qui ont fait l’objet d’une v√©rification avaient des compl√©ments d’effectif de 11¬†000 √† 44¬†000¬†√©quivalents temps plein (et des services d’AIPRP compos√©s de 37 √† 78¬†personnes). Dans ces m√™mes institutions toutefois, le personnel affect√© √† la politique de protection des renseignements personnels ou aux √ČFVP ne comptait que de 2 √† 14 personnes.¬† De toute mani√®re, m√™me en tenant compte du r√īle que joue le conseiller juridique, les gestionnaires de programmes et les experts techniques en mati√®re de protection de la vie priv√©e, on voit bien que la somme des ressources humaines affect√©es aux √©valuations des facteurs relatifs √† la vie priv√©e est extr√™mement limit√©e.

1.92 ¬†Le manque de ressources n’est pas limit√© aux minist√®res responsables et aux organismes. En ce qui concerne les √©valuations des facteurs relatifs √† la vie priv√©e, le r√īle du Commissariat √† la protection de la vie priv√©e est d’√©tudier les √ČFVP de tout le gouvernement et de formuler des commentaires, au besoin, avant la mise en place des programmes ou des services. Au moment de notre v√©rification, le CPVP n’avait qu’un seul agent d’examen des √ČFVP √† temps plein et accusait un retard de pr√®s de deux ans. Le Commissariat s’active actuellement √† reconstruire sa capacit√© de v√©rification et d’examen dans le but de traiter davantage les √ČFVP en temps opportun et en collaboration avec les organismes gouvernementaux (voir aussi le paragraphe 1.71).

1.93 ¬†En raison du manque de personnel affect√© aux √ČFVP, les organismes gouvernementaux comptent √©norm√©ment sur les services professionnels d’agents contractuels. Bien que la qualit√© du travail confi√© en sous-traitance soit g√©n√©ralement bonne, l’√©valuation des facteurs relatifs √† la vie priv√©e demande une grande compr√©hension des processus d’affaires et de la circulation des donn√©es propres √† chaque organisme. Dans de nombreux cas, seuls les responsables des programmes et les agents de l’AIPRP poss√®dent ces connaissances. En confiant les √ČFVP √† des sous-traitants, les institutions sont moins susceptibles de mettre en place les ressources internes n√©cessaires pour proc√©der √† ces √©valuations et peuvent n√©gliger certains des risques d’entrave √† la vie priv√©e associ√©s aux plans ou aux programmes que seul une introspection ou un auto-examen aurait permis de relever.

1.94 ¬†Recommandation¬†: Les organismes f√©d√©raux assujettis √† la Politique d’√ČFVP devraient d√©terminer si leurs ressources actuelles sont suffisantes pour remplir leurs obligations en vertu de la Politique. En m√™me temps, la haute direction devrait commencer √† √©laborer des mesures int√©gr√©es de communication du rendement relativement aux finances, aux ressources humaines ou aux activit√©s pour les √ČFVP de mani√®re √† mieux comprendre tous les co√Ľts li√©s aux plans et aux priorit√©s au moment de demander du financement pour des projets.

En mai 2002, le Secr√©tariat du Conseil du tr√©sor s’est engag√© √† entreprendre un examen complet des dispositions et des activit√©s li√©es √† la Politique d’√ČFVP au plus tard cinq¬†ans apr√®s son entr√©e en vigueur. L’examen devrait √©galement porter sur les moyens de simplifier le processus et les exigences pour diminuer la pression sur les ressources au sein du gouvernement.

Réponse Secrétariat du Conseil du Trésor (SCT) :

Le SCT approuve la recommandation de la commissaire √† la protection de la vie priv√©e et examinera des options pour simplifier le processus d'√ČFVP et ses exigences, pour que les ressources soient mieux g√©r√©es et les contraintes de temps att√©nu√©es. Il s’agit, dans l’optique actuelle du SCT, d’une question prioritaire qui doit √™tre trait√©e afin de maintenir la politique √† long terme.

Haut de la page Table des mati√®resLes exigences en mati√®re d’√ČFVP doivent √™tre simplifi√©es

1.95 ¬†Compte tenu des ressources importantes qui sont n√©cessaires pour la r√©alisation d’une √ČFVP et de la p√©nurie de telles ressources dans tout le gouvernement, il convient de voir comment on peut continuer √† r√©aliser une certaine analyse des facteurs relatifs √† la vie priv√©e tout en r√©duisant au minimum l’impact sur la capacit√© des programmes et de l’AIPRP. En plus des protocoles relatifs aux √ČFVP et √ČPFVP au sein des institutions, on pourrait envisager de cr√©er une troisi√®me structure de rapport (ou un examen de la protection de la vie priv√©e) pour les projets plus modestes pour lesquels il n’est pas rentable ou opportun d’effectuer une √ČFVP compl√®te. Un tel processus n’emp√™cherait pas ou ne remplacerait pas le recours aux √ČFVP, mais il pourrait servir √† simplifier les exigences administratives li√©es aux √ČFVP et √† atteindre un √©quilibre entre la n√©cessit√© d’entreprendre certaines analyses des facteurs relatifs √† la vie priv√©e d√®s la conception des programmes et d’autres facteurs op√©rationnels importants.

1.96 ¬†Dans d’autres cas, comme les projets de services ou de syst√®mes partag√©s dans lesquels les entit√©s utilisent des approches identiques ou similaires pour la collecte, l’utilisation et la communication des renseignements personnels, des √©valuations g√©n√©riques pourraient √™tre utilis√©es. Les syst√®mes de planification des ressources organisationnelles et de gestion normalis√©e des dossiers seraient vraisemblablement des candidats id√©aux pour des √©valuations g√©n√©riques des facteurs relatifs √† la vie priv√©e.

1.97 ¬†Nous croyons savoir que le Secr√©tariat du Conseil du Tr√©sor travaille actuellement √† un projet de renouvellement de ses politiques en mati√®re de protection de la vie priv√©e qui permettra, entre autres choses, d’harmoniser les exigences des politiques avec les risques associ√©s aux projets. On s’attend √† ce que l’√©tablissement d’une norme sur les risques d’entrave √† la vie priv√©e, qui servira de guide pour l’√©tablissement des nouvelles exigences des politiques et des strat√©gies de gestion du risque, contribuera beaucoup √† simplifier les exigences de communication entourant le processus actuel d’√©valuation des facteurs relatifs √† la vie priv√©e.

Réponse du Secrétariat du Conseil du Trésor (SCT):

Le SCT approuve la recommandation de la commissaire √† la protection de la vie priv√©e et s’engage √† fournir l’orientation et la structure de politique n√©cessaires pour permettre aux institutions de mieux g√©rer les risques concernant la vie priv√©e. Le SCT simplifie actuellement les exigences de la politique d’√ČFVP, afin que les institutions puissent traiter les risques concernant la vie priv√©e d’une fa√ßon proportionnelle aux risques associ√©s aux projets plus importants. Cela am√©liorera la gestion des ressources et permettra aux institutions de se concentrer sur des domaines de risques particuliers.

Haut de la page Table des matièresIl faut améliorer la formation

1.98 ¬†Au niveau op√©rationnel, certains organismes ont mis en place de bonnes directives et une bonne formation pour appuyer leurs efforts relativement √† l’√©valuation des facteurs relatifs √† la vie priv√©e. Avec les lignes directrices et les outils d’apprentissage en ligne fournis par le Secr√©tariat du Conseil du tr√©sor et la possibilit√© de consulter le Commissariat √† la protection de la vie priv√©e, il y a suffisamment d’informations techniques pour produire des √ČFVP exhaustives et solides.¬† Cependant, il faut d’autres formations et directives pour sensibiliser les gestionnaires de programme √† leurs responsabilit√©s en vertu de la Politique et leur donner les connaissances et les comp√©tences n√©cessaires en mati√®re de protection de la vie priv√©e pour r√©aliser des √ČFVP.

1.99 ¬†Comme l’√©valuation des facteurs relatifs √† la vie priv√©e est une composante essentielle du processus d’√©laboration des politiques et des programmes du gouvernement f√©d√©ral, nous nous serions attendus √† ce que le Secr√©tariat du Conseil du Tr√©sor, de concert avec l’√Čcole de la fonction publique du Canada (le principal organisme de formation des cadres sup√©rieurs du gouvernement f√©d√©ral) tienne compte de la Politique dans sa gamme de cours. √Ä ce jour, seuls certains cours sont offerts sur le processus d’√©valuation des facteurs relatifs √† la vie priv√©e, mais l’√Čcole n’a pas encore enti√®rement √©valu√© la mani√®re dont la Politique pourrait √™tre abord√©e dans le cadre de son programme de cours.

1.100 ¬†Recommandation¬†: En raison du besoin √©vident de formation en mati√®re de protection de la vie priv√©e dans tout le gouvernement, le Secr√©tariat du Conseil du Tr√©sor, avec l’aide de l’√Čcole de la fonction publique du Canada, devrait d√©terminer comment la Politique d’√©valuation des facteurs relatifs √† la vie priv√©e devrait √™tre abord√©e dans les cours offerts aux cadres sup√©rieurs de la fonction publique f√©d√©rale. Nous croyons que le gouvernement devrait envisager un investissement strat√©gique dans la formation sur la protection de la vie priv√©e et, √† tout le moins, que les cours actuels sur les politiques et programmes traitent de la Politique d’√ČFVP.

Réponse du Secrétariat du Conseil du Trésor du Canada (SCT) :

Le SCT continuera de saisir les occasions de miser sur ses initiatives de formation et de sensibilisation existantes, y compris celles s’adressant √† la haute direction, et il √©tudiera des options pour la prestation d’une formation en mati√®re de protection de la vie priv√©e par l’√Čcole de la fonction publique du Canada. La formation est une partie int√©grante du processus de renouvellement des politiques en mati√®re de protection des renseignements personnels ainsi que du plan connexe de mise en œuvre des √©l√©ments de la politique d’√ČFVP r√©vis√©e.

Haut de la page Table des mati√®resIl y a absence de v√©rification et d’√©valuation internes

1.101 ¬†La Politique d’√ČFVP stipule que l’application de la Politique devrait √™tre surveill√©e, en partie, par des v√©rifications internes. Bien que certains organismes aient amorc√© ou entrepris des r√©visions internes en mati√®re de protection de la vie priv√©e au cours des cinq derni√®res ann√©es, y compris des √©valuations des renseignements personnels en leur possession, aucun n’a r√©alis√© de v√©rifications exhaustives de sa conformit√© √† la Politique d’√ČFVP ou des activit√©s d’√ČFVP de son minist√®re. Bien que les services d’AIPRP de certains minist√®res aient r√©cemment commenc√© √† assumer de plus grandes responsabilit√©s √† l’√©gard de la surveillance des activit√©s d’√ČFVP, la tenue de v√©rifications internes compl√©terait et am√©liorerait les activit√©s de contr√īle et permettrait de s’assurer que les risques cern√©s dans le cadre du processus d’√ČFVP sont suffisamment att√©nu√©s.

1.102 ¬†Recommandation¬†: La direction g√©n√©rale de la v√©rification interne de toutes les institutions f√©d√©rales assujetties √† la Politique devrait chercher √† inclure le r√©sultat des examens portant sur la protection de la vie priv√©e et les √ČFVP dans leurs plans et priorit√©s futurs et √† tenir compte des observations contenues dans le pr√©sent rapport.

Réponse du Secrétariat du Conseil du Trésor du Canada (SCT) :

Les institutions dont les analyses du niveau de risque le justifieront seront invit√©es √† mener des v√©rifications internes de leurs pratiques de traitement des renseignements personnels et de leur structure de gestion de la protection de la vie priv√©e, y compris du processus d’√ČFVP.

Haut de la page Table des matièresQuestions de politique
Haut de la page Table des mati√®resLe r√īle et les responsabilit√©s du CPVP et du SCT doivent √™tre r√©vis√©s

1.103 ¬†Il est important de comprendre que la commissaire √† la protection de la vie priv√©e du Canada est une haute fonctionnaire du Parlement qui est ind√©pendante, et non pas le bras droit ou le prolongement du gouvernement ou du Conseil du Tr√©sor. Le CPVP a le pouvoir discr√©tionnaire d’examiner ou non toutes les √Čvaluations des facteurs relatifs √† la vie priv√©e (√ČFVP), et il n’est pas oblig√© de transmettre ses commentaires √† un minist√®re. Nous faisons des commentaires sur les √ČFPV lorsque nous l'estimons n√©cessaire. De m√™me, un minist√®re peut aller de l’avant avec un projet m√™me si le CPVP n’a pas approuv√© une √ČFVP (laquelle doit √™tre sign√©e par l’administrateur g√©n√©ral et envoy√©e au CPVP).

1.104 ¬†L’intention de la politique de l'√ČFPV est de s'assurer que la commissaire √† la protection de la vie priv√©e est inform√©e et de d√©montrer (√† la satisfaction de la commissaire) que les risques d’atteinte √† la protection des renseignements personnels ont √©t√© identifi√©s et pris en compte. Toutefois, les minist√®res qui soumettent leur √ČFPV au CPVP s’attendent, ou d√©sirent¬† logiquement recevoir une r√©troaction. Ils per√ßoivent g√©n√©ralement les commentaires et¬† les¬† recommandations du CPVP comme une ¬ę valeur ajout√©e ¬Ľ de m√™me qu'une fa√ßon de s'assurer que leur √ČFPV est correctement r√©alis√©e. Cependant, il y a un risque que le CPVP soit per√ßu de facto comme un contr√īleur de qualit√©, ce qui n’est pas le but de la politique, tout en √©tant incompatible avec l’impartialit√© du CPVP. Tout ce qui est fait ou non en mati√®re des √ČFVP rel√®ve de l'enti√®re responsabilit√© des minist√®res et organismes.

1.105 ¬†La Politique d’√ČFVP sugg√®re que le CPVP devrait participer d√®s les premi√®res √©tapes de l’√©laboration d’une √©valuation des facteurs relatifs √† la vie priv√©e. Cette intervention permet au CPVP d’analyser les √©tapes suivies pour trouver des solutions aux pr√©occupations touchant la protection de la vie priv√©e, de s’assurer qu’une autorit√© comp√©tente est en place pour permettre la collecte des renseignements personnels des Canadiennes et des Canadiens, et de v√©rifier si les r√®glements et les principes de la Loi sur la protection des renseignements personnels sont respect√©s.

1.106 ¬†M√™me si les administrateurs g√©n√©raux ont toujours √©t√© responsables de la r√©alisation des √ČFVP, nous avons constat√© au cours des derni√®res ann√©es que la qualit√© des √ČFVP et le respect de la Politique sont davantage per√ßus comme une responsabilit√© partag√©e. En pratique, en raison des ressources limit√©es du Commissariat et √©tant donn√© que les √ČFVP sont souvent d√©pos√©es ou r√©vis√©es √† l’approche de la mise en œuvre d’un programme, le CPVP est devenu dans les faits un d√©positaire des √ČFVP apr√®s leur mise en œuvre plut√īt qu’un expert-conseil en la mati√®re.

1.107 ¬†Le r√īle de la commissaire √† la protection de la vie priv√©e devrait √©voluer.¬† √Ä la lumi√®re de ces faits nouveaux, on doit se demander si la commissaire √† la protection de la vie priv√©e devrait continuer de jouer un r√īle dans la r√©vision de toutes les √©valuations des facteurs relatifs √† la vie priv√©e. D’autres instruments d’application ou exigences en mati√®re de rapport pourraient-ils favoriser davantage le respect de la Politique? Le CPVP pourrait-il participer davantage au processus d’√ČFVP d√®s le d√©part, par le biais de consultations, de sensibilisation et de participation aux projets de formation, de mani√®re √† mieux utiliser ses ressources limit√©es et mieux s’acquitter de son mandat d’ombudsman de la protection de la vie priv√©e?

1.108 ¬†La formule actuelle permet √† la commissaire √† la protection de la vie priv√©e d’occuper une place importante dans ce qui pourrait bien √™tre l’√©l√©ment le plus central du r√©gime de conformit√© √† la protection de la vie priv√©e du gouvernement f√©d√©ral. L’obligation de pr√©senter toutes les √ČFVP au CPVP pour un examen d√©taill√© m√®ne non seulement √† la communication des activit√©s institutionnelles qui touchent la vie priv√©e (comme les activit√©s de collecte de renseignements), mais fait aussi appel √† la capacit√© d’amener les institutions √† tenir compte de la protection de la vie priv√©e dans l’√©laboration des programmes (si ce n’est pas carr√©ment de respecter la Politique).

1.109 ¬†Bien que le processus d’examen des √ČFVP contribue tr√®s certainement √† l’am√©lioration de la qualit√© et √† l’exhaustivit√© de l’analyse de la protection de la vie priv√©e dans les institutions, on peut d√©battre que cette analyse est, en soi, secondaire par rapport aux fonctions d’information et d’application de la loi du CPVP d√©crites ci-haut. √Ä mesure que les organismes acquerront des comp√©tences pour r√©aliser des √ČFVP – en supposant des investissements importants pour la formation et l’appui – la contribution des examens du CPVP √† l’√©gard de la qualit√© et de l’exhaustivit√© pourrait devenir moins importante avec le temps.

1.110 ¬†Au moment de l’examen d’autres mod√®les qui pr√©servent les r√īles d’information et d’application du CPVP associ√©s aux √ČFVP, on pourrait envisager un syst√®me qui permettrait aux organismes de ne pr√©senter au Commissariat qu’un avis sommaire de projets et d’√ČFVP plut√īt que des √ČFVP et des √ČPFVP exhaustives. Dans les faits, une telle communication se produit d√©j√† dans les cas de protection de la vie priv√©e les plus d√©licats. Les institutions communiquent alors avec le CPVP, avant l’√©laboration des programmes, pour discuter des initiatives projet√©es et des risques qu’elles pourraient repr√©senter pour la protection de la vie priv√©e. S’ils sont bien con√ßus et bien produits, ces pr√©avis pourraient permettre une meilleure surveillance et application, car la commissaire pourrait exiger la pr√©sentation des √ČFVP dignes d’int√©r√™t et les revoir, proc√©der au suivi des conclusions et recommandations et effectuer des v√©rifications de conformit√© pangouvernementales ou d’organismes sp√©cifiques.

1.111 ¬†Il faut examiner la n√©cessit√© d’un registre f√©d√©ral des √©valuations des facteurs relatifs √† la vie priv√©e. ¬†Si on opte pour un mod√®le de gouvernance selon lequel les organismes ne pr√©senteraient au CPVP qu’un avis de projets comportant l’utilisation de renseignements personnels, le SCT pourrait d√©terminer s’il serait souhaitable de mettre sur pied une base de donn√©es centrale ou un registre des √©valuations des facteurs relatifs √† la vie priv√©e. Ce registre aurait pour but de fournir √† tout le gouvernement un seul guichet d’acc√®s aux √ČFVP et aux projets plus mena√ßants pour la protection de la vie priv√©e, quelle qu’en soit l’autorit√© responsable. Le registre pourrait √™tre utilis√© par le public pour mieux comprendre le sujet et les r√©percussions sur la vie priv√©e des projets gouvernementaux et par des organismes tels que le Secr√©tariat du Conseil du Tr√©sor et le Commissariat √† la protection de la vie priv√©e pour surveiller les activit√©s d’√ČFVP. Le registre pourrait √©galement rehausser la capacit√© de gestion de projet des organismes et contribuer √† r√©duire ou √©liminer les omissions relatives √† la production d’√ČFVP.

1.112 ¬†L’id√©e d’un index, comme celui actuellement utilis√© par les institutions f√©d√©rales pour l’√©valuation environnementale strat√©gique et les r√©sum√©s de l’√©tude d’impact de la r√©glementation (pour les nouveaux r√®glements), peut aussi am√©liorer la transparence des activit√©s du gouvernement et favoriser une meilleure participation du public et des parlementaires aux questions relatives √† la protection de la vie priv√©e.

Réponse du Secrétariat du Conseil du Trésor (SCT):

Le SCT approuve la recommandation de la commissaire √† la protection de la vie priv√©e et travaillera √† la cr√©ation d’un point central d’acc√®s √† l’information sur l’√ČFVP. √Ä court terme, le SCT concentrera ses efforts sur la conception d’un r√©pertoire exhaustif d’√ČFVP pour accro√ģtre la surveillance de la politique et de l’application de la Loi sur la protection des renseignements personnels. Le SCT √©tudiera l’√©laboration d’un r√©pertoire √† plus long terme.

Haut de la page Table des matièresAméliorer la surveillance et les obligations de divulgation

1.113 ¬†Il est essentiel de rehausser la transparence du processus d’√©valuation des facteurs relatifs √† la vie priv√©e pour am√©liorer la qualit√© des analyses des facteurs relatifs √† la vie priv√©e au gouvernement. La divulgation publique et l’attention qui en d√©coule pourraient faire en sorte qu’un plus grand soin sera accord√© √† la pr√©paration des √ČFVP et que le Parlement et le public auront les renseignements n√©cessaires pour tenir des d√©bats plus √©clair√©s sur la protection de la vie priv√©e. La divulgation publique peut √©galement fournir une assurance de plus que les r√©percussions sur la vie priv√©e sont bien prises en compte pendant l’√©laboration des programmes, des plans et des politiques – chaque organisme √©tant responsable de la justesse de l’analyse des facteurs relatifs √† la vie priv√©e qui a √©t√© entreprise.

1.114 ¬†La Loi sur la protection des renseignements personnels oblige les institutions f√©d√©rales √† rendre des comptes au public sur la collecte, l’utilisation et la communication des renseignements personnels en donnant des descriptions justes et √† jour des fichiers de renseignements personnels dans Info Source. Pour assurer la conformit√© √† la Loi et √† la Politique d’√ČFVP, le Secr√©tariat du Conseil du Tr√©sor surveille les divulgations des organismes dans Info Source de m√™me que les rapports annuels des minist√®res au Parlement pr√©vus √† l’article 72 de la Loi sur la protection des renseignements personnels. Comme nous le soulignions plus t√īt, toutefois, la carte de pointage des institutions en mati√®re d’√ČFVP est modeste et donne peu de moyens de s’assurer que les organismes respectent la Politique. Cela fait contraste aux obligations de divulgation publique des institutions en vertu de la loi actuelle sur l’acc√®s √† l’information.

1.115 ¬†Recommandation¬†: Pour am√©liorer la qualit√© de l’analyse des facteurs relatifs √† la vie priv√©e dans l’√©laboration des programmes, plans et politiques, et pour mieux assurer la conformit√© √† la Politique d’√ČFVP, le Secr√©tariat du Conseil du Tr√©sor devrait se pencher sur la n√©cessit√© d’am√©liorer et d’√©largir les obligations de rendre compte des √©valuations des facteurs relatifs √† la vie priv√©e dans les rapports annuels des minist√®res. Les exigences r√©vis√©es pourraient comprendre, √† tout le moins, la divulgation :

  • du nombre et de la nature des projets amorc√©s au cours de l’ann√©e qui comportent l’utilisation de renseignements personnels;
  • de la nature des changements ou des restructurations de programmes qui pourraient avoir des r√©percussions sur la vie priv√©e;
  • de l’√©tat d’avancement des √ČFVP pour chaque projet nomm√© ci-dessus;
  • des r√©f√©rences aux r√©sum√©s des √ČFVP r√©alis√©es quand les √©valuations des facteurs relatifs √† la vie priv√©e ont √©t√© termin√©es;
  • des cas, s’il en est, o√Ļ des programmes, services, plans ou politiques ont √©t√© mis en place pendant l’ann√©e sans √©valuation des facteurs relatifs √† la vie priv√©e.

Le Secr√©tariat du Conseil du Tr√©sor, √† titre d’autorit√© centrale responsable de la surveillance de la conformit√© √† la Politique d’√ČFVP, devrait √©galement √©tudier les obligations de divulgation mentionn√©es ci-dessus pour renforcer son pouvoir de surveillance.¬†

Réponse du Secrétariat du Conseil du Trésor (SCT) :

Le SCT est d’accord avec la recommandation de la commissaire √† la protection de la vie priv√©e et √©tudiera les options portant sur la r√©vision des exigences en mati√®re de rapport reli√©es aux √ČFVP tout en tenant compte des √©l√©ments identifi√©s par le CFVP.¬† Le SCT s’engage √©galement √† am√©liorer les m√©canismes de surveillance dans le cadre de son exercice de renouvellement des politiques. Cela signifie qu’il faut renforcer les m√©canismes existant en mati√®re de rapport pour s’assurer que l'information pertinente est accessible au CPVP et au SCT, afin de permettre √† chaque organisation d'accomplir ses responsabilit√©s l√©gislatives en mati√®re de surveillance et de contr√īle.

Haut de la page Table des mati√®resN√©cessit√© d’une √©valuation strat√©gique des facteurs relatifs √† la vie priv√©e

1.116 ¬†La politique actuelle du SCT relativement aux √ČFVP a √©t√© con√ßue pour √©valuer les r√©percussions sur la vie priv√©e des initiatives du gouvernement par programme, au moment de leur conception. Il faut toutefois s’occuper des r√©percussions plus vastes sur la vie priv√©e des plans et politiques qui ne sont pas n√©cessairement abord√©es par les projets ou les services. Un processus non l√©gif√©r√© pour l’√©valuation des facteurs relatifs √† la vie priv√©e des politiques et plans f√©d√©raux pr√©sent√©s √† l’√©tude du Cabinet, que l’on pourrait appeler ¬ę¬†√©valuation strat√©gique des facteurs relatifs √† la vie priv√©e¬†¬Ľ, pourrait √™tre utilis√© pour ces initiatives.

1.117 ¬†Au cours des derni√®res ann√©es, le gouvernement du Canada a lanc√© de nombreux programmes qui pourraient avoir des r√©percussions graves sur la protection de la vie priv√©e du public (ou entrepris des discussions pour les mettre en place), par exemple¬†: le projet Gouvernement en direct, l’Accord sur la fronti√®re intelligente, la cr√©ation d’une liste de passagers ind√©sirables et le lancement de Service Canada, pour n’en nommer que quelques-uns.¬† En raison de l’ampleur et du caract√®re envahissant de telles initiatives, la mise en place de ces plans et d’autres projets du gouvernement (p. ex. la surveillance) devrait d’abord faire l’objet d’une analyse exhaustive des facteurs relatifs √† la vie priv√©e.

1.118 ¬†M√™me si le Commissariat √† la protection de la vie priv√©e, lors de ses comparutions devant les comit√©s parlementaires et ses discussions bilat√©rales avec les organismes gouvernementaux, tente de pr√©senter ses observations sur de tels plans au d√©but du processus l√©gislatif, il est souvent trop tard, une fois qu’un projet de loi a √©t√© pr√©sent√© √† la Chambre des Communes, pour repenser aux approches relatives aux questions d’information. Selon la commissaire, l’int√©r√™t public serait mieux servi si le CPVP intervenait plus t√īt dans le processus et si les organismes disposaient de plus de temps pour r√©gler les questions de protection de la vie priv√©e.

1.119 ¬†Conna√ģtre les r√©percussions √©ventuelles sur la vie priv√©e des politiques et plans propos√©s fournirait au Cabinet l’occasion de rajuster ou de modifier plus t√īt les programmes pour prot√©ger la vie priv√©e des Canadiennes et des Canadiens de mani√®re √† r√©duire les co√Ľts inh√©rents aux modifications de programmes. En l’absence d’outil strat√©gique d’√©valuation des facteurs relatifs √† la vie priv√©e, nous croyons que les politiques du gouvernement sur la protection de la vie priv√©e risquent de ne pas remplir leur promesse relativement √† l’orientation des politiques, des plans et des programmes.

1.120 ¬†Recommandations¬†: Le Bureau du Conseil priv√©, √† titre d’autorit√© centrale responsable de la gestion du syst√®me de prise de d√©cision du Cabinet, devrait √©tudier le besoin pour une √©valuation strat√©gique des facteurs relatifs √† la vie priv√©e et le meilleur moyen d’int√©grer les facteurs relatifs √† la vie priv√©e aux propositions soumises aux ministres et au Cabinet.

Réponse du Bureau du Conseil privé (BCP) :

Le gouvernement f√©d√©ral s’engage √† prot√©ger la vie priv√©e au cours de ses propres activit√©s, ainsi qu’√† respecter les principes g√©n√©raux de pratiques √©quitables de traitement de l'information. Le BCP appuie le processus d'√©valuation des facteurs relatifs √† la vie priv√©e (√ČFVP) en vertu duquel les sous-ministres et les autres administrateurs g√©n√©raux des organismes ont la responsabilit√© de d√©terminer si les initiatives ont des r√©percussions potentielles sur la vie priv√©e des Canadiennes et des Canadiens, ainsi que d’√©quilibrer et d’int√©grer les exigences en mati√®re de protection de la vie priv√©e aux autres prescriptions des lois et des politiques.

Cerner les questions relatives √† la protection de la vie priv√©e au tout premier stade du projet est certes l’id√©al. Nous reconnaissons que cette information pourrait donner au Cabinet et aux administrateurs g√©n√©raux l’occasion de modifier une initiative planifi√©e en vue de mieux prot√©ger les renseignements personnels et d’√©liminer les co√Ľts additionnels li√©s √† l’√©laboration du programme.

Le BCP s’engage √† travailler avec le Secr√©tariat du Conseil du Tr√©sor, qui est responsable du processus de l’√ČFVP, √† son projet de renouvellement des politiques en mati√®re de protection de la vie priv√©e pour s’assurer que les analyses des facteurs relatifs √† la vie priv√©e sont converties en propositions aux ministres et au Cabinet. Cette consultation tiendra aussi compte de la mani√®re d’√©valuer non seulement l’incidence de chaque programme, mais aussi du moyen d’√™tre plus strat√©gique en consid√©rant s’il y en a qui sont recommand√©s dans le rapport de la commissaire.

Haut de la page Table des mati√®res√Čvaluation des effets cumulatifs des plans et des politiques

1.121 ¬†On s’inqui√®te souvent des changements √† long terme sur la protection de la vie priv√©e d’une personne, attribuables non seulement √† une mesure isol√©e, mais aux effets combin√©s de chaque intervention successive et interd√©pendante. En effet, les effets cumulatifs sur l’int√©grit√© des renseignements personnels peuvent √™tre importants du point de vue de la protection de la vie priv√©e m√™me quand les effets de chaque mesure successive, √©valu√©s ind√©pendamment, sont jug√©s insignifiants.

1.122 ¬†Pour faire en sorte que les effets cumulatifs de l’influence combin√©e de diverses mesures soient √©valu√©s correctement, les √ČFVP devraient tenir compte des effets cumulatifs sur la vie priv√©e qui pourraient r√©sulter de la combinaison du programme √† d’autres projets ou activit√©s qui ont √©t√© ou seront r√©alis√©s. Actuellement, la Politique d’√ČFVP n’exige pas explicitement que l’on proc√®de √† une telle analyse dans les √ČFVP.

1.123 ¬†Bien que l’√©valuation des r√©percussions cumulatives sur la vie priv√©e soul√®ve des difficult√©s (en raison de la complexit√© des probl√®mes et de la difficult√© √† obtenir des renseignements complets), les structures de comit√© d√©j√† utilis√©es par de nombreux organismes pour analyser les √ČFVP offrent un cadre id√©al pour entreprendre des consultations interminist√©rielles. L’√©valuation des effets cumulatifs est d√©j√† consid√©r√©e comme une pratique exemplaire pour r√©aliser des √©valuations environnementales et est maintenant exig√©e par des lois f√©d√©rales lorsqu’une mesure est assujettie √† un examen en vertu de la Loi canadienne sur l’√©valuation environnementale.

1.124 ¬†Recommandation¬†: Dans le cadre de son projet de renouvellement de ses politiques sur la protection de la vie priv√©e, le Secr√©tariat du Conseil du Tr√©sor devrait collaborer avec les institutions f√©d√©rales pour les encourager √† tenir compte des effets cumulatifs sur la vie priv√©e dans les √ČFVP, s’il y a lieu, et √† √©laborer des lignes directrices en la mati√®re pour leur faciliter la t√Ęche. Une attention similaire devrait √™tre accord√©e aux organismes qui ont de nombreux portefeuilles minist√©riels (tel S√©curit√© publique et Protection civile) dans le but de coordonner les risques d’entrave √† la vie priv√©e associ√©s aux programmes √† grande √©chelle et de bien y r√©agir.

Réponse du Secrétariat du Conseil du Trésor du Canada (SCT) :

 

Le SCT approuve la recommandation de la commissaire √† la protection de la vie priv√©e et √©tudiera des moyens d’√©valuer les effets cumulatifs sur la protection de la vie priv√©e de programmes ou d’initiatives de grande envergure, y compris ceux en vigueur au sein d’entit√©s comprenant de multiples organismes gouvernementaux, dans le cadre du processus d’√ČFVP.


Haut de la page Table des matièresConclusion

1.125 ¬†Cinq¬†ans se sont √©coul√©s depuis l’entr√©e en vigueur de la Politique d’√©valuation des facteurs relatifs √† la vie priv√©e. Les r√©sultats g√©n√©raux de notre v√©rification sugg√®rent que certains organismes ont fait de grands efforts pour appliquer la directive, mais qu’encore plus d’efforts sont n√©cessaires pour qu’elle produise les effets d√©sir√©s. Il y a de grands √©carts dans l’application de la Politique et de nombreux organismes ne font que commencer √† mettre en place le cadre de gestion n√©cessaire au soutien du processus d’√ČFVP.

1.126 ¬†Bien que la Politique ait √©t√© √©labor√©e dans le but que la protection de la vie priv√©e soit un facteur cl√© de la formulation des objectifs et activit√©s d’un projet, l’√©valuation des facteurs relatifs √† la vie priv√©e n’est pas toujours r√©alis√©e au moment de la conception du programme. Dans certains cas, aucune √ČFVP n’est r√©alis√©e. Le processus d’√ČFVP de la plupart des organismes est loin d’√™tre enti√®rement int√©gr√© √† leur strat√©gie g√©n√©rale de gestion du risque et, dans pareils cas, n’a pas d’incidence sur l’√©laboration des nouveaux programmes, plans et politiques.

1.127 ¬†Les principales raisons relev√©es pour l’application in√©gale de la Politique et les lacunes sur le plan du rendement sont¬†: le manque d’infrastructures et de soutien de la direction, l’int√©gration limit√©e des √ČFVP au processus de prise de d√©cisions strat√©giques, le manque de ressources en mati√®re de protection des renseignements personnels, le manque de capacit√© de formation, et l’absence d’√©valuation et de surveillance internes.

1.128 ¬†Alors que le Secr√©tariat du Conseil du Tr√©sor entreprend l’examen de la Politique, il devrait √©tudier la n√©cessit√© de simplifier le processus d’√ČFVP pour les projets comportant peu de risques et la n√©cessit√© d’exiger l’√©valuation des effets cumulatifs des programmes et services dans le cadre du processus d’√ČFVP. Le SCT devrait √©galement revoir le r√īle du Commissariat √† la protection de la vie priv√©e dans le processus d’√ČFVP et tenter de renforcer les obligations de divulgation des organismes f√©d√©raux en mati√®re d’√ČFVP et de protection de la vie priv√©e. Enfin, le SCT devrait √©tudier le meilleur moyen de renforcer le lien entre la Politique d’√ČFVP et les lois pertinentes et d’√©valuer toutes les r√©percussions aff√©rentes sur les ressources.

1.129 ¬†En plus des exigences relatives aux √ČFVP pour les nouveaux programmes et services (ou ceux qui ont √©t√© profond√©ment restructur√©s), le Bureau du Conseil priv√© devrait penser √† instaurer un processus permettant d’√©valuer les r√©percussions √©ventuelles sur la vie priv√©e des politiques et des plans pr√©sent√©s au Cabinet. Une √©valuation strat√©gique des facteurs relatifs √† la vie priv√©e fournirait au gouvernement l’occasion de mieux √©valuer les effets n√©gatifs sur la vie priv√©e des nouveaux plans et des nouvelles priorit√©s avant leur mise en application au niveau du minist√®re ou du programme.


Haut de la page Table des matièresAu sujet de la vérification

Objectifs

  1. Déterminer si les institutions fédérales effectuent des évaluations des facteurs relatifs à la vie privée de manière efficace et conforme à la Politique. 

    Sous-objectifs :

    1. D√©terminer dans quelle mesure les institutions pangouvernementales ont mis en place des cadres de contr√īle de la gestion ou des infrastructures administratives pour appuyer le processus d’√ČFVP (y compris la capacit√© de d√©terminer les cas n√©cessitant une √ČFVP).
    2. D√©terminer si les institutions ont officiellement √©tabli toutes les activit√©s n√©cessitant une √©valuation des facteurs relatifs √† la vie priv√©e et si ces activit√©s ont √©t√© √©tudi√©es et document√©es suffisamment, conform√©ment √† la Politique et aux lignes directrices sur les √ČFVP.
    3. D√©terminer si la surveillance du rendement est bien r√©alis√©e en ce qui concerne les aspects financiers, op√©rationnels et de ressources humaines des activit√©s d’√ČFVP de chaque institution.
  2. D√©terminer si les objectifs initiaux de la Politique ont √©t√© r√©alis√©s (compte tenu de la plus grande responsabilisation ou des obligations pr√©vues dans la Loi sur la protection des renseignements personnels ou d’autres politiques connexes sur la protection de la vie priv√©e) et examiner le r√īle des institutions centrales dans la gestion pangouvernementale du processus d’√ČFVP.

Portée et approche

M√™me si la Politique s’applique √† tous les minist√®res et organismes assujettis √† la Loi sur la protection des renseignements personnels, la v√©rification a port√© sur neuf minist√®res et organismes qui effectuent la collecte, l’utilisation et la communication de renseignements personnels. Pour choisir ces minist√®res, nous avons tenu compte de param√®tres sp√©cifiques, tels que le volume et la sensibilit√© des renseignements personnels trait√©s, la preuve d’investissements importants dans des syst√®mes ou programmes, et le r√©sultat d’examens ant√©rieurs, y compris la preuve de non-conformit√© possible √† la Politique selon l’√©valuation du Commissariat des √ČFVP et des √ČPFVP pr√©sent√©es pour examen au cours des deux derni√®res ann√©es.

En plus du travail de v√©rification d√©taill√©e effectu√© sur ces neuf organismes, nous avons men√© une √©tude aupr√®s de 47 institutions suppl√©mentaires assujetties √† la Politique et √† la Loi sur la protection des renseignements personnels, et leur avons demand√© de proc√©der √† une auto√©valuation fond√©e sur les quatre crit√®res d’√©valuation utilis√©s dans notre examen pr√©liminaire. Nous croyons que les r√©sultats de l’√©tude, combin√©s aux constatations d√©taill√©es de la v√©rification, conf√®rent une profondeur accrue au rapport et permettent une meilleure √©valuation g√©n√©rale de l’application de la Politique par le gouvernement f√©d√©ral.

Les minist√®res et organismes qui ont fait l’objet d’une v√©rification, de m√™me que les crit√®res de v√©rification mesur√©s, sont d√©crits au Tableau 1. Chacun des objectifs de v√©rification est accompagn√© d’une s√©rie de crit√®res permettant de mesurer le rendement (voir le Tableau 2).

Certains renseignements quantitatifs de ce rapport sont bas√©s notamment sur des donn√©es tir√©es de diverses sources f√©d√©rales. Nous sommes convaincus de l’exactitude des donn√©es dans le contexte de ce rapport. Toutefois, √† moins d’indication contraire, les donn√©es n’ont pas √©t√© v√©rifi√©es.

√Čquipe de v√©rification

Commissaire adjoint¬†: Raymond D’Aoust
Directeur : Trevor Shaw

Vérificateur principal et auteur du rapport : Navroze Austin

Bill Wilson, Breckenhill
Ned Eustace, Breckenhill


Tableau 1 РMinistères et organismes visés selon les objectifs de vérification

Institution fédérale Objectifs de la vérification
1 a 1 b 1 c 2
Agence du revenu du Canada carré carré carré carré
Citoyenneté et Immigration Canada carré carré carré carré
Service correctionnel du Canada carré carré carré carré
Santé Canada carré carré carré carré
Ressources humaines et Développement social Canada carré carré carré carré
Affaires indiennes et du Nord Canada carré carré carré carré
Gendarmerie royale du Canada carré carré carré carré
Service Canada carré carré carré carré
Anciens Combattants Canada carré carré carré carré
Organisations centrales
Secrétariat du Conseil du Trésor carré vide carré vide carré vide carré
Bureau du Conseil privé carré vide carré vide carré vide carré
Commissariat à la protection de la vie privée carré vide carré vide carré vide carré

carr√© √Čvalu√© par rapport √† l’objectif¬†¬†¬† hollow quare Non √©valu√© par rapport √† l’objectif

Organismes sondés (autoévaluation)

Administration canadienne de la s√Ľret√© du¬†¬†transport a√©rien
Affaires étrangères et Commerce international Canada
Agence canadienne d’inspection des aliments
Agence canadienne de développement international
Agence de promotion économique du Canada atlantique
Agence des services frontaliers du Canada
Agriculture et Agroalimentaire Canada
Banque de développement du Canada
Bibliothèque et Archives Canada
Bureau du Conseil privé
Bureau du directeur des lobbyistes
Centre canadien d’hygi√®ne et de s√©curit√© au¬†travail
Centre des armes à feu Canada
Commission canadienne du blé
Centre national des Arts
Comit√© d’appel des pensions
Comité des griefs des Forces canadiennes
Commission canadienne des droits de la personne
Commission de l’immigration et du statut de¬†r√©fugi√© du Canada
Commission de la fonction publique du Canada
Commission des plaintes du public contre la GRC
Commission des relations de travail dans la fonction publique
Commission du droit d’auteur du Canada
Commission nationale des libérations conditionnelles
Conseil de la radiodiffusion et des télécommunications canadiennes
Défense nationale
√Čcole de la fonction publique du Canada
√Člections Canada
Environnement Canada
Exportation et Développement Canada
Financement agricole Canada
Industrie Canada
Institut de recherche en santé du Canada
Ministère de la Justice Canada
Musée canadien de la nature
Musée canadien des civilisations
Musée des sciences et de la technologie du Canada
Pêches et Océans Canada
Postes Canada
Résolution des questions des pensionnats indiens Canada 
Sécurité publique et Protection civile Canada
Service canadien du renseignement de sécurité
Soci√©t√© canadienne d’hypoth√®ques et de¬†logement
Statistique Canada
Transports Canada
Travaux publics et Services gouvernementaux Canada
Tribunal canadien des droits de la personne

Tableau 2 РCritères de vérification

Objectif de la vérification Critères
1 a
  • Les objectifs du processus d'√ČFVP sont clairement d√©finis, approuv√©s officiellement et communiqu√©s efficacement.
  • Des responsabilit√©s sp√©cifiques sont √©tablies au sein de l'institution en ce qui concerne l'√ČFVP.
  • La structure organisationnelle du processus d'√ČFVP est officiellement et efficacement appuy√©e.
  • Les politiques, r√®glements et lignes directrices relatives aux l’√ČFVP sont d√©termin√©s, √©valu√©s et int√©gr√©s aux activit√©s op√©rationnelles.¬†
  • Les activit√©s et m√©canismes de contr√īle sont en place pour le processus d’√ČFVP; ils sont pertinents, complets et s’attaquent aux risques connus.¬†
  • Une fonction de surveillance efficace est exerc√©e pour le processus d’√ČFVP.
1 b
  • Des √ČFVP sont r√©alis√©es pour toutes les propositions de nouveaux programmes et services ainsi que pour les programmes et services presque totalement restructur√©s qui pr√©sentent des risques d'entrave √† la vie priv√©e.
  • Les personnes responsables du processus d'√ČFVP sont choisies officiellement au sein du service ou du programme concern√©.
  • La pr√©sentation et la d√©finition de la port√©e des √ČFVP sont r√©alis√©es aux premiers stades de l'√©laboration ou de la restructuration d'un programme ou d'un service.
  • Le fonctionnaire de l'institution responsable des √ČFVP veille √† ce que les agents de programmes et de services soient au courant que le CPVP doit examiner les √ČFVP une fois que l'administrateur g√©n√©ral les a approuv√©es.
  • Les r√©sum√©s des r√©sultats des √ČFVP sont accessibles au sein de l’institution et mis √† la disposition du public.
  • ¬†L'√©valuation des implications et l'att√©nuation √©ventuelle des risques ou les recommandations de r√©solution sont d√©termin√©es et document√©es dans le cadre du processus d'√ČFVP.
  • L'analyse des facteurs relatifs √† la vie priv√©e adh√®re aux principes de la vie priv√©e ainsi qu'aux lois et aux politiques qui s'appliquent dans ce domaine, et permet de les documenter.
  • Les √ČFVP continuent d'√™tre effectu√©es de sorte que les risques d'entrave √† la vie priv√©e sont d√©termin√©s et ensuite r√©solus, att√©nu√©s ou identifi√©s comme non r√©solus
  • Les rapports d'√ČFVP doivent permettre de garantir soit que les risques d'entrave √† la vie priv√©e associ√©s aux activit√©s du programme ou √† la prestation des services ont √©t√© att√©nu√©s dans les limites du possible, soit, inversement, qu'ils peuvent servir √† d√©tecter rapidement la n√©cessit√© de r√©soudre des risques importants d'entrave √† la vie priv√©e.
  • Les plans d'action visant √† att√©nuer les risques d√©termin√©s dans l'√ČFVP font l'objet d'un suivi officiel et leurs r√©sultats font l'objet d'un rapport √† la direction.
1 c
  • Les attentes et les r√©sultats en mati√®re de rendement op√©rationnel pour les √ČFVP font l'objet de rapports √† la direction.
  • Les attentes et les r√©sultats en mati√®re de rendement financier pour les √ČFVP font l'objet de rapports √† la direction.
  • Des rapports sur le rendement financier et op√©rationnel int√©gr√©s pour les √ČFVP sont pr√©par√©s et soumis √† la direction.
  • Les attentes et les r√©sultats en mati√®re de rendement des ressources humaines sont pr√©par√©s et font l'objet de rapports √† la direction.
2

Observations d’ordre g√©n√©ral :¬†¬†¬†¬†¬†

  • La Politique et les lignes directrices ont-elles permis d’arriver aux r√©sultats d√©sir√©s?
  • Quelles conclusions, s’il en est, peut-on tirer des r√©sultats du processus d’√ČFVP en ce qui concerne les pratiques de gestion en mati√®re de protection de la vie priv√©e du gouvernement –
  • Comment le processus d’√ČFVP se compare-t-il √† celui des autres juridictions (provinciales et internationales)?
  • Y a-t-il un cadre de gestion en place au centre gouvernemental, et est-il bien con√ßu et mis en place pour surveiller l’application de la Politique –
  • Quel r√īle les parlementaires pourraient-ils jouer pour faire progresser les questions relatives √† la protection de la vie priv√©e et appuyer la Politique d’√ČFVP?
  • Autres questions.