Document d'orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché

• Page précédente
• Table des matières
•  

B.  Notes explicatives concernant les questions de la liste de contrôle

La liste de contrôle et les notes explicatives ne sont fournies qu'à titre d'orientation, et les institutions fédérales ne doivent pas se fier uniquement à elles dans la préparation d'un marché ou d'un autre document. Encore une fois, les institutions sont invitées à consulter leurs experts ministériels des questions juridiques et de l'AIPRP pour obtenir conseil en la matière.

Contrôle et responsabilité

1.  L'entente contractuelle devrait-elle préciser quels types de documents ou de renseignements personnels (énumérer les types de documents ou d'éléments d'information) visés par le marché :

1. continueront de relever du gouvernement et d'être assujettis à la Loi sur la protection des renseignements personnels et à la Loi sur l'accès à l'information;
2. demeureront la propriété exclusive de l'entrepreneur?

La sous‑traitance des fonctions de prestation de services ou de programmes fédéraux ne permet pas au gouvernement de se soustraire à ses obligations en matière d'accès à l'information et de protection des renseignements personnels ou des documents détenus en son nom par des entreprises du secteur privé. Les institutions qui proposent de confier en sous‑traitance des services ou des programmes gouvernementaux devraient préparer une analyse de rentabilisation comportant plusieurs critères d'intérêt public, y compris comment les droits à l'information et à la protection des renseignements personnels des citoyens canadiens seront conservés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels^[4].

Au moment d'évaluer les répercussions de la sous‑traitance en matière d'accès à l'information et de protection des renseignements personnels, les institutions fédérales doivent déterminer si les documents (incluant les renseignements personnels) qui seront recueillis, créés ou conservés par l'entrepreneur ou qui lui seront transférés^[5] dans l'exécution d'un service ou d'un programme gouvernemental, relèvent de l'institution fédérale. Si l'institution fédérale établit qu'ils relèvent d'elle, les documents seront visés par la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Dans cette optique, l'institution serait tenue de préciser, dans le marché, un certain nombre de conditions conformes à ses droits et obligations aux termes des lois, et qui précisent très clairement les responsabilités de l'entrepreneur à l'égard de ces documents et de ces renseignements personnels.

Du point de vue juridique, les documents sont visés par la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels lorsqu'ils sont réputés « relever de » l'institution fédérale. Aussi longtemps que les documents relèvent d'une institution fédérale, les exigences prévues dans les lois s'appliquent.

Une institution fédérale ne peut se soustraire à ses obligations législatives^[6]aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels en soutenant qu'elle n'a pas la possession de documents particuliers. Il peut toutefois arriver, de manière tout à fait légitime, qu'une institution veuille obtenir un service d'un entrepreneur indépendant sans que les renseignements personnels créés par le fait même relèvent d'elle, tout en protégeant ces renseignements. Par exemple, une institution fédérale qui a recourt aux services d'une firme de sondages du secteur privé afin d'évaluer la satisfaction des clients ou des employés et de déterminer comment améliorer le service peut ne pas vouloir nécessairement que les renseignements personnels recueillis par l'entrepreneur relèvent d'elle. En fait, les produits livrables exigés peuvent obliger l'entrepreneur à fournir tous les renseignements recueillis dans le cadre d'une enquête sous une forme non identifiable. Dans de tels cas, l'entrepreneur devrait être tenu de détruire la clé lui permettant de relier des données statistiques à des répondants, une fois que l'enquête est terminée et que toutes les données ont été compilées et validées. L'entrepreneur devrait aussi être tenu de protéger les renseignements jusqu'à ce qu'ils aient été détruits ou rendus complètement anonymes.

Dans d'autres cas, il pourrait aussi être souhaitable que soit précisée dans le marché une liste des documents (administratifs, financiers, comptables ou des ressources humaines) de l'entrepreneur qui lui sont nécessaires aux fins de l'exécution du marché, mais qui ne sont pas considérés comme étant la propriété ou comme relevant de l'institution fédérale. Il devrait être précisé dans le marché que si le gouvernement a en sa possession des documents de l'entrepreneur ou que s'il a le pouvoir de les produire, ils seront considérés comme relevant de l'institution fédérale.

Il devrait aussi être précisé dans le marché que les documents qui sont réputés relever de l'institution fédérale, mais qui sont détenus par l'entrepreneur, doivent être séparés des autres documents d'affaires ou dépôts de données de l'entrepreneur pour des raisons de sécurité et pour faciliter l'application de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels (p. ex., les droits d'accès et de correction d'un particulier).

2.  L'entente contractuelle devrait-elle préciser que l'entrepreneur doit charger un ou des cadres de son organisation afin d'agir à titre de personne-ressource pour assurer la conformité avec les exigences en matière de protection des renseignements personnels et de sécurité?

La Norme de sécurité et de gestion des marchés ^[7] indique que les institutions sont responsables de la protection des biens et des renseignements protégés ou classifiés tout au long du processus contractuel. La norme prévoit l'utilisation de dispositions contractuelles pour spécifier les exigences de sécurité.

Le Manuel de la sécurité industrielle, qui est produit par la Direction de la sécurité industrielle canadienne et internationale (DSICI) de Travaux publics et Services gouvernementaux Canada (TPSGC), contient des dispositions spécifiques qui s'appliquent à tous entrepreneurs autorisés à conserver ou à traiter des biens ou des renseignements gouvernementaux protégés ou classifiés qui requièrent un examen des organisations désignées ou une attestation de sécurité d'installation. Entre autres, le manuel exige que ces entrepreneurs nomment un agent de sécurité d'entreprise chargé de s'acquitter des responsabilités en matière de sécurité.

Bien qu'il n'y ait aucune exigence dans le Manuel de la sécurité industrielle pour que l'entrepreneur nomme une personne responsable de la protection de la vie privée, l'institution fédérale a l'obligation de prendre des mesures raisonnables pour s'assurer que les entrepreneurs mettent en place des pratiques efficaces en matière de protection de la vie privée. Une de ces mesures consiste à désigner une personne responsable de la gestion de la protection de la vie privée pour l'entrepreneur. Ainsi, selon le caractère délicat des renseignements personnels et la nature et la portée des services qui doivent être fournis par l'entrepreneur, celui-ci peut être tenu de désigner un ou des employés principaux chargés de rendre compte de l'application et de l'observation des exigences en matière de protection de la vie privée prévues au marché et d'être le premier point de contact en la matière. L'institution fédérale serait tenue de faire la même chose.

3.  L'entente contractuelle devrait-elle préciser que l'entrepreneur doit fournir au gouvernement une liste à jour de tous les employés, les sous-traitants ou les mandataires participant à l'exécution du marché qui auront accès à des renseignements personnels?

Les institutions fédérales peuvent déterminer si elles ont besoin de connaître l'identité des employés de l'entrepreneur qui auront accès à des renseignements personnels. Dans la plupart des cas, il peut suffire d'énumérer les postes ou les catégories d'employés de l'entrepreneur qui ont besoin d'avoir accès à des renseignements personnels pour s'acquitter de leurs fonctions aux termes du marché, plutôt que d'énumérer tous les employés. Il en résulterait une plus grande souplesse administrative pour ce qui est des marchés de longue durée ou lorsque le roulement du personnel est élevé. Dans ces cas, les genres d'éléments de renseignements personnels auxquels chaque catégorie d'employés doit avoir accès doivent être précisés au marché, ainsi que les circonstances particulières dans lesquelles des employés de l'entrepreneur devront avoir accès à l'information. Les exigences de sécurité et les mesures de contrôle de l'accès à l'information qui seront en place devraient aussi être précisées dans le marché.

Dans les cas où l'information à laquelle l'entrepreneur doit avoir accès dans le cadre du marché est de nature très délicate^[8], les institutions fédérales peuvent imposer les autres conditions suivantes :

• limiter le nombre de personnes (c.‑à‑d., employés de l'entrepreneur, sous‑traitants ou mandataires) qui auront accès aux renseignements personnels dans le cadre de l'exécution du marché;
• préciser, dans le marché, le nom de chacune des personnes qui auront accès à des renseignements personnels, en précisant comment, pourquoi et quand cet accès sera autorisé (une liste des personnes serait annexée à l'original du marché);
• tenir à jour, pendant toute la durée du marché, une liste par poste de toutes les personnes qui ont accès à des renseignements personnels dans le cadre de l'exécution du marché et fournir à l'institution fédérale une copie de cette liste en tout temps et sur demande^[9].

4.  L'entente contractuelle devrait-elle préciser que tous les employés, les sous-traitants ou les mandataires de l'entrepreneur qui pourraient avoir accès à des renseignements personnels dans le cadre de l'exécution du marché doivent signer une entente de protection et de non-divulgation de l'information?

Il est d'une importance primordiale que, dans toutes les ententes d'impartition ou de sous‑traitance, tous les employés de l'entrepreneur (c.‑à‑d., les employés de l'entrepreneur, les sous‑traitants ou les mandataires) engagés dans l'exécution du marché soient pleinement conscients de leurs obligations en matière de protection des renseignements personnels. Dans cette optique, il doit être précisé au marché que l'entrepreneur assure la formation des employés pertinents pour ce qui est des exigences de sécurité et de protection de la vie privée prévues dans le marché, et qu'il s'engage à imposer des mesures disciplinaires, au besoin, pour veiller à ce que les employés se conforment à ces exigences.

Selon le caractère délicat des renseignements personnels en cause, il peut aussi être précisé au marché que l'entrepreneur doit, avant de laisser un employé avoir accès aux renseignements personnels détenus relativement au marché, veiller à ce que chaque employé signe une déclaration de protection de la vie privée et du caractère confidentiel des renseignements auprès de l'entrepreneur, sous une forme acceptable pour l'institution fédérale. La déclaration devrait préciser les mesures disciplinaires envisagées, y compris la cessation de l'emploi, dans les cas où un employé qui n'y est pas autorisé utilise, divulgue ou élimine sciemment des renseignements personnels contrairement aux dispositions contractuelles, ou y a accès. Cette déclaration doit être conservée dans les dossiers de l'entrepreneur pendant toute la durée du marché et pendant une période déterminée une fois le marché terminé. Les employés devraient aussi être informés qu'une copie de leur déclaration pourrait être fournie à l'institution fédérale qui en fait la demande.

5.  L'entente contractuelle devrait-elle préciser que l'entrepreneur est entièrement et uniquement responsable des actions des employés, des sous-traitants et des mandataires qui agissent pour son compte dans l'exécution de leurs fonctions aux termes du marché?

L'entrepreneur doit être tenu entièrement responsable des obligations et des fonctions qui lui échoient aux termes du marché. La responsabilité générale de l'entrepreneur, qui consiste à veiller à ce que ses employés, mandataires et sous-traitants observent les modalités et les conditions du marché, y compris les exigences de protection des renseignements personnels qui relèvent de l'institution fédérale, devrait être précisée en toutes lettres dans le marché.

6.  L'entente contractuelle devrait-elle préciser que l'entrepreneur doit informer le gouvernement à l'avance de tout changement en ce qui a trait à la propriété d'une partie ou de la totalité de son entreprise?

La fusion ou la vente d'une entreprise à laquelle l'entrepreneur est partie peut créer un conflit d'intérêts ou des risques imprévus en matière de renseignements, de vie privée et de sécurité. Le fait d'obliger l'entrepreneur à informer l'institution fédérale à l'avance en cas de changement en ce qui a trait à la propriété ou au contrôle de tout ou d'une partie des activités commerciales de l'entrepreneur permettrait à l'institution d'évaluer les répercussions éventuelles de ce changement en matière de renseignements, de vie privée et de sécurité. L'institution devrait inclure, dans le marché, un droit de résiliation du marché dans de telles circonstances, si elle estime justifié de le faire. Cela serait particulièrement important si le nouveau propriétaire ou associé proposé est à l'étranger ou s'il a des liens avec des entreprises des États‑Unis ou d'autres organisations étrangères, ou pour d'autres raisons d'intérêt public (p. ex., le Canada ne conclut pas d'ententes avec l'Iran).

7.  L'entente contractuelle devrait-elle préciser que l'entrepreneur doit aviser immédiatement le gouvernement dans le cas de toute procédure liée à une faillite ou à une question d'insolvabilité ayant été portée contre ou par lui en vertu des lois qui s'appliquent en matière de faillite et d'insolvabilité ou de tout avis de recours des créanciers?

Selon la nature du marché et le caractère délicat des services ou des fonctions que doit exécuter l'entrepreneur au nom de l'institution fédérale, il peut être nécessaire de préciser dans le marché que l'entrepreneur doit informer l'autorité contractante ou l'institution fédérale si des procédures de faillite et d'insolvabilité sont intentées par ou contre l'entrepreneur aux termes des lois applicables sur la faillite et l'insolvabilité, y compris des recours intentés par des créanciers contre l'entrepreneur. Les institutions fédérales devraient consulter leurs conseillers juridiques et leurs experts des marchés avant d'insérer une telle clause dans leur marché.

Le fait qu'un entrepreneur éprouve des difficultés financières ou qu'il ait recours à l'une des lois sur la faillite ou l'insolvabilité pourrait avoir de très graves répercussions sur sa capacité de s'acquitter des exigences du marché ou de son exécution. Dès que le gouvernement est informé du fait que l'entrepreneur est devenu insolvable ou a déclaré faillite^[10], il est essentiel qu'il adopte des mesures immédiates afin d'assurer la protection de ses droits dans le cadre de procédures officielles et afin de déterminer si l'entrepreneur demeure capable de s'acquitter des exigences du marché ou de son exécution. Le rendement de l'entrepreneur devrait être étroitement surveillé dans ces circonstances et, dans la mesure où le permettent les lois du Canada, l'institution fédérale devrait préciser, dans le marché, qu'elle peut, à son gré, résilier le marché en tout ou en partie.

Flux de données transfrontière

8.  L'entente contractuelle devrait-elle préciser les restrictions quant à l'endroit où l'entrepreneur peut traiter, entreposer ou conserver les documents et les renseignements personnels, y compris les copies de sauvegarde et les archives (le document d'orientation offre des conseils et présente des clauses standard)?

L'un des mécanismes qui permet de composer avec les risques liés à la circulation transfrontalière de l'information consiste à faire exécuter le travail au Canada et à consigner les renseignements personnels dans un système qui n'est pas accessible à des entités situées à l'étranger (p. ex., partenariats ou institutions gouvernementales exploitées par un entrepreneur [IGEE]) assujetties aux lois applicables sur le commerce. Le marché devrait donc préciser s'il existe des restrictions ou des interdictions quant à l'endroit où les documents renfermant des renseignements personnels peuvent être traités, entreposés ou conservés par l'entrepreneur, de même qu'à l'endroit d'où ces documents peuvent être consultés par l'entrepreneur ou un de ses affiliés. Cela est particulièrement important si l'entrepreneur est situé à l'étranger ou s'il est une filiale d'une organisation étrangère.

L'inclusion d'une clause de cette nature reposera sur le caractère délicat des renseignements personnels en cause, le type de marché, les travaux à exécuter et à savoir si les renseignements relèvent ou non de l'institution fédérale, de l'entreprise qui exécute les travaux et le niveau de risque d'exposition des renseignements à une entreprise des États-Unis ou de l'étranger, ou à ses sous‑traitants. Les étapes cruciales de ce processus décisionnel sont indiquées aux étapes 3 à 5 de la section sur la passation de marchés ou dans l'annexe A du document d'orientation, qui renferme aussi des exemples de langage contractuel qui pourrait être utilisé pour prévenir le risque de divulgation de renseignements à un gouvernement étranger. Il est important, avant de mettre en œuvre, de modifier ou d'adapter l'une des clauses fournies à titre d'exemple dans le document d'orientation, que les institutions consultent leurs conseillers juridiques et leurs fonctionnaires de l'AIPRP. Il peut aussi être nécessaire de consulter l'agent de sécurité ministériel au sujet des exigences de sécurité prévues dans la Politique du gouvernement sur la sécurité.

9.  L'entente contractuelle devrait-elle préciser qu'il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels à l'étranger, ou de permettre à des parties à l'extérieur du Canada d'y avoir accès, sans avoir obtenu au préalable le consentement écrit du gouvernement?

S'il y a lieu, il peut être précisé dans le marché qu'il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels à des tiers à l'étranger, ou de permettre à des parties à l'extérieur du Canada d'y avoir accès, sans avoir obtenu au préalable le consentement écrit de l'institution. Une fois que les renseignements traversent les frontières canadiennes, il peut être difficile, voire impossible, pour une institution fédérale d'empêcher leur utilisation, leur communication ou leur transfert non autorisés, ou même d'avoir accès à ses propres renseignements.

Collecte de renseignements personnels (articles 4 et 5 de la Loi sur la protection des renseignements personnels)

10.  L'entente contractuelle devrait-elle préciser que la collecte de renseignements personnels doit se limiter aux renseignements dont l'entrepreneur a besoin pour se conformer aux modalités du marché ou pour exercer ses droits en vertu de l'entente?

Dans les cas où l'entrepreneur est tenu de recueillir des renseignements personnels au nom de l'institution fédérale dans le cadre de l'exécution des fonctions ou des services gouvernementaux, et où les renseignements personnels relèvent de l'institution fédérale, le marché devrait préciser les fins auxquelles l'entrepreneur peut recueillir les renseignements personnels aux termes du marché, de même que l'autorité^[11] de l'institution pour effectuer une telle la collecte. Le marché devrait également spécifier les genres d'éléments de renseignements personnels qui peuvent être recueillis par l'entrepreneur au nom de l'institution et auprès de qui ces renseignements personnels sont recueillis. Une clause semblable devrait être prise en considération quand l'entrepreneur est tenu, dans le cadre du marché, de créer des renseignements personnels.

Le marché devrait aussi préciser que l'entrepreneur doit limiter sa collecte de renseignements personnels à ce qui est nécessaire aux fins du marché ou de l'exercice de ses droits aux termes de l'entente (c.‑à‑d., les renseignements qui seraient requis par l'entrepreneur pour étayer son droit de recevoir un paiement).

Il est important de garder à l'esprit qu'au moment de préciser la nature des renseignements personnels que l'entrepreneur peut recueillir, l'institution fédérale doit veiller à ce que l'entrepreneur ne recueille pas davantage de renseignements personnels auprès de particuliers que l'institution fédérale elle-même serait autorisée à recueillir aux termes de la Loi sur la protection des renseignements personnels pour une activité ou un programme autorisé semblable de l'institution. Les exigences (ou exceptions) de notification et de collecte directe de renseignements personnels destinés à une utilisation administrative doivent être respectées.

Dans les cas où l'institution obtient un service d'un entrepreneur indépendant sans que les renseignements personnels relèvent d'elle, mais où les produits livrables précisés dans le marché entraîneront la collecte de renseignements personnels par l'institution fédérale, le marché devrait préciser les renseignements personnels à fournir à l'institution fédérale dans le cadre de la fourniture des produits livrables. L'institution fédérale doit veiller à ce que seuls des renseignements personnels directement liés au programme ou à l'activité soient recueillis dans le cadre des produits livrables et à ce que les exigences de collecte indirecte prévues dans la Loi sur la protection des renseignements personnels soient observées.

11.  L'entente contractuelle devrait-elle préciser que l'entrepreneur doit, sauf indication contraire par écrit, recueillir les renseignements personnels directement auprès de l'individu qu'ils concernent?

Dans les cas où l'entrepreneur recueille des renseignements personnels au nom de l'institution fédérale en exerçant des fonctions ou en fournissant des services gouvernementaux et où les renseignements personnels relèvent de l'institution fédérale, il devrait être précisé dans le marché qu'à moins d'un avis écrit de l'institution en sens contraire, l'entrepreneur doit les recueillir directement auprès de la personne qu'ils concernent. La méthode et le mode de collecte des renseignements devraient aussi être précisés dans l'entente contractuelle.

12.  L'entente contractuelle devrait-elle préciser qu'au moment de la collecte de renseignements personnels, l'entrepreneur doit informer l'individu auprès de qui il recueille ces renseignements :

• la raison d'être de la collecte et l'autorisation obtenue pour la collecte;
• toute utilisation ou divulgation conforme à la raison d'être originale;
• toute utilisation ou divulgation non conforme à la raison d'être originale;
• toute conséquence administrative ou légale découlant d'un refus de fournir les renseignements personnels;
• le droit d'accéder et de demander des corrections à ses renseignements personnels et le droit de leur protection en vertu de la Loi sur la protection des renseignements personnels.

Le paragraphe 5(2) de la Loi sur la protection des renseignements personnels reconnaît le droit de la personne de savoir et de comprendre à quelles fins on recueille et utilise ses renseignements personnels. La Directive sur les pratiques relatives à la protection de la vie privéedu Secrétariat du Conseil du Trésor précise de quelle manière cet avis doit être donné. Il s'agit de l'un des principes les plus fondamentaux de la protection des renseignements personnels étant donné que, sans préavis, la personne ne peut prendre une décision éclairée visant la communication de ses données personnelles.

Dans les cas où l'entrepreneur recueille des renseignements personnels au nom de l'institution fédérale en exerçant des fonctions ou en fournissant des services gouvernementaux et où les renseignements personnels relèvent de l'institution fédérale, il devrait exigé dans le marché que l'entrepreneur avise^[12], au moment de la collecte, les personnes auprès de qui il recueille les renseignements personnels de la raison d'être de la collecte et l'autorisation obtenue pour la collecte; de toute utilisation ou divulgation conforme à la raison d'être originale; de toute utilisation ou divulgation non conforme à la raison d'être originale; de toute conséquence administrative ou légale découlant d'un refus de fournir les renseignements personnels et du droit d'accéder et de demander des corrections à ses renseignements personnels et le droit de leur protection en vertu de la Loi sur la protection des renseignements personnels.

13.  L'entente contractuelle devrait-elle préciser que les employés de l'entrepreneur sont tenus de fournir leur identité aux individus auprès desquels ils recueillent des renseignements personnels et de donner à ces derniers un moyen de vérifier s'ils travaillent effectivement pour le compte du gouvernement et sont autorisés à recueillir les renseignements?

Dans les cas où l'entrepreneur est tenu de recueillir des renseignements personnels de particuliers en personne, il devrait être précisé dans le marché que les employés de l'entrepreneur sont tenus de fournir leur identité aux personnes auprès de qui ils recueillent des renseignements personnels et de donner à ces dernières un moyen de vérifier s'ils travaillent effectivement pour le compte du gouvernement du Canada et sont autorisés à recueillir les renseignements. Les employés de l'entrepreneur devraient avoir sur eux une lettre de l'institution fédérale confirmant que les renseignements personnels sont recueillis au nom du gouvernement du Canada et présenter une photo dans la forme et de la manière approuvées par l'institution au moment de recueillir des renseignements personnels de particuliers en personne à leur lieu de résidence.

Au moment de recueillir des renseignements personnels au téléphone, les employés de l'entrepreneur devraient fournir aux personnes le titre, l'adresse et le numéro de téléphone au travail d'un fonctionnaire de l'État qui peut confirmer leur autorisation et les fins auxquelles les renseignements sont recueillis ainsi que répondre aux questions des particuliers au sujet de la collecte.

Exactitude des renseignements personnels (paragraphe 6(2) de la Loi sur la protection des renseignements personnels)

14.  L'entente contractuelle devrait-elle préciser que l'entrepreneur doit s'efforcer dans toute la mesure du possible d'assurer l'exactitude et l'intégralité de tout renseignement personnel qu'il utilisera ou dont se servira le gouvernement dans le cadre d'un processus décisionnel qui influera directement sur l'individu faisant l'objet de ces renseignements?

Si des renseignements personnels recueillis par l'entrepreneur aux termes du marché sont utilisés ou destinés à être utilisés par l'entrepreneur ou l'institution fédérale dans le cadre d'un processus décisionnel qui touche directement la personne que les renseignements concernent, il devrait alors être précisé dans le marché que l'entrepreneur doit déployer tous les efforts raisonnables pour veiller à ce que les renseignements soient exacts, à jour et complets.

Dans certains cas, le marché peut préciser la responsabilité conjointe d'exactitude et d'intégralité des données de l'institution fédérale et de l'entrepreneur. Par exemple, si l'obligation de l'entrepreneur se limite à veiller à ce que les données qui lui sont fournies soient enregistrées et sauvegardées comme il se doit, il incombe à l'institution d'examiner et de modifier les données afin d'assurer leur exactitude et leur intégralité. Dans ces situations, il devrait être précisé dans le marché que l'entrepreneur doit adopter toutes les mesures raisonnables pour veiller à ce que les renseignements personnels qui lui sont fournis relativement au marché soient inscrits et non modifiés, sauf si l'institution fédérale l'ordonne.

Autrement, l'entrepreneur peut être tenu de mettre à jour des renseignements personnels à des intervalles déterminés, en communiquant directement avec les personnes touchées, ou indirectement d'autres sources si l'institution fédérale a le pouvoir de recueillir les renseignements indirectement d'une tierce partie.

Usage des renseignements personnels (article 7 de la Loi sur la protection des renseignements personnels)

15.  L'entente contractuelle devrait-elle préciser que, sauf indication contraire par écrit, l'entrepreneur doit utiliser les renseignements personnels dans le but exclusif de remplir les obligations qui lui incombent en vertu du marché?

L'institution fédérale doit veiller à ce que les renseignements personnels qui relèvent d'elle mais qui sont détenus par l'entrepreneur ne soient pas utilisés d'une manière non conforme aux obligations qui échoient à l'institution fédérale aux termes de la Loi sur la protection des renseignements personnels^[13]. Il devrait être interdit à l'entrepreneur d'utiliser des renseignements personnels détenus relativement au marché autrement qu'aux fins des obligations dont il doit s'acquitter aux termes du marché.

Le marché devrait préciser expressément les fins auxquelles l'entrepreneur peut utiliser les renseignements personnels et ajouter que l'utilisation à d'autres fins doit être autorisée expressément par écrit par l'institution fédérale. Le marché devrait également préciser que ces restrictions survivent à la durée du marché.

Communication de renseignements personnels (article 8 de la Loi sur la protection des renseignements personnels)

16.  L'entente contractuelle devrait-elle préciser qu'il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels, sauf dans la mesure où cela est jugé nécessaire pour lui permettre de remplir les obligations qui lui incombent en vertu du marché ou sauf indication contraire par écrit?

En supposant qu'une loi n'interdise pas la communication de renseignements personnels, l'institution fédérale peut communiquer des renseignements personnels à un entrepreneur avec le consentement de la personne concernée, ou sans son consentement si la communication est autorisée aux termes du paragraphe 8(2) de la Loi sur la protection des renseignements personnels. La capacité qu'a l'entrepreneur de recueillir des renseignements personnels auprès de l'institution fédérale peut être assujettie à des exigences législatives de protection des renseignements personnels au niveau provincial ou fédéral, comme la Loi sur la protection des renseignements personnels et les documents électroniques, et le marché doit tenir compte de ces exigences.

De façon générale, il devrait être précisé dans le marché qu'à moins que l'institution fédérale le demande par écrit, il est interdit à l'entrepreneur de communiquer ou de transférer des renseignements personnels détenus relativement au marché d'une façon autre que conformément au marché. L'institution fédérale devrait aussi veiller à ce que les renseignements personnels qui relèvent d'elle mais que détient l'entrepreneur ne soient pas communiqués d'une façon non conforme aux obligations qui échoient à l'institution fédérale aux termes de la Loi sur la protection des renseignements personnels. Dans cette optique, le marché devrait préciser expressément comment, quand et pourquoi des renseignements personnels qui relèvent de l'institution gouvernementale peuvent être communiqués ou transférés par l'entrepreneur aux fins de l'exercice des fonctions ou de la prestation des services prévus au marché, de même que l'autorité pour la communication ou le transfert.

17.  L'entente contractuelle devrait-elle préciser que, si l'entrepreneur reçoit une demande de communication de renseignements personnels à des fins non autorisées en vertu du marché ou s'il constate que la communication pourrait être exigée par la loi, il doit immédiatement en informer le gouvernement et ne pas communiquer les renseignements sauf lorsqu'il y a indication contraire par écrit?

Dans certains cas, le marché devrait préciser que, si l'entrepreneur reçoit une demande de communication de renseignements personnels à des fins non autorisées en vertu du marché ou s'il constate que la communication pourrait être exigée par la loi (p. ex., mise en demeure d'un tribunal, d'un organe d'enquête ou d'une administration étrangère), il doit immédiatement en informer l'institution fédérale et ne pas communiquer les renseignements sauf s'il y a indication contraire par écrit de celle-ci.

Même si l'entrepreneur peut être tenu par la loi de communiquer des renseignements personnels, il doit en informer l'institution fédérale le plus tôt possible de façon que celle-ci puisse établir la position qu'elle adopte par rapport à la légalité de la mise en demeure de communiquer les renseignements et pour qu'elle ait l'occasion d'intervenir dans le cadre de procédures avant que les renseignements soient communiqués. Le marché devrait spécifier que tout manquement de la part de l'entrepreneur d'informer l'institution fédérale d'une telle communication à l'avance, même si cette communication est exigée en vertu d'une loi, sera considéré comme une violation substantielle du marché et peut avoir comme conséquence la résiliation du marché.

L'institution fédérale peut aussi demander que l'entrepreneur tienne un registre des communications de renseignements personnels qui ont été effectuées. La tenue à jour de ces renseignements pourrait être d'une importance particulière quand il est question de renseignements de nature délicate. Le registre des communications doit renfermer les renseignements suivants et doit être fourni immédiatement à l'institution fédérale sur demande :

• la date de la communication;
• le nom de l'entité ou de la personne à qui les renseignements ont été communiqués et, si possible, l'adresse de cette entité ou de cette personne;
• une brève description des renseignements communiqués;
• un bref énoncé de la raison pour laquelle les renseignements ont été communiqués, ce qui inclut une explication du motif de cette communication;
• la forme du document (papier, électronique);
• la méthode de transmission;
• le nom de la personne qui a communiqué les renseignements.

Demandes de renseignements (article 12 de la Loi sur la protection des renseignements personnels et article 4 de la Loi sur l'accès à l'information)

18.  L'entente contractuelle devrait-elle préciser que les personnes qui désirent avoir accès à des documents ou aux renseignements personnels qui les concernent directement auprès de l'entrepreneur peuvent recourir à un processus informel?

Il est important que le marché précise clairement les responsabilités de l'institution fédérale et de l'entrepreneur en ce qui a trait aux demandes d'accès à des documents ou à des renseignements personnels détenus par l'entrepreneur, mais qui relèvent de l'institution fédérale.

D'abord, le marché devrait préciser si l'entrepreneur a le droit de fournir un accès informel, c'est-à-dire de façon non officielle, à certains genres de renseignements sans qu'une personne soit tenue de présenter une demande d'accès en bonne et due forme aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, selon le cas. S'il y a lieu, ce processus informel devrait être favorisé afin de réduire les coûts administratifs.

Si l'institution fédérale autorise l'entrepreneur à fournir un accès informel de manière courante, le marché devrait alors préciser les genres de documents, y compris les éléments de renseignements personnels, qui pourraient être communiqués de manière courante par l'entrepreneur. Le marché devrait aussi préciser les circonstances, les conditions et les restrictions^[14] relativement auxquelles l'entrepreneur peut accorder aux particuliers qui le demandent un accès informel à ces documents ou renseignements personnels. En permettant à l'entrepreneur de communiquer des renseignements de manière informelle, l'institution fédérale doit avoir l'assurance que ces renseignements peuvent être communiqués par l'entrepreneur de façon informelle étant donné qu'aucune exception à la Loi sur l'accès à l'information ne s'applique, que les communications seront conformes aux exigences de protection des renseignements personnels prévues dans la Loi sur la protection des renseignements personnels, ainsi qu'aux exigences de protection des renseignements personnels et du caractère confidentiel prévues dans les autres lois applicables ou dans les politiques et les lignes directrices du Conseil du Trésor.

19.  L'entente contractuelle devrait-elle préciser les responsabilités du gouvernement et de l'entrepreneur en ce qui concerne les demandes d'accès, en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, à des documents ou à des renseignements personnels qui relèvent du gouvernement, mais qui sont conservés par l'entrepreneur?

Le marché devrait aussi inclure des dispositions qui établissent comment l'entrepreneur et l'institution fédérale composeront avec les demandes formelles d'accès présentées aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels pour des documents ou des renseignements personnels détenus par l'entrepreneur mais relevant de l'institution fédérale relativement au marché. Par exemple, le marché pourrait préciser que si l'entrepreneur reçoit une demande, aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, de documents ou de renseignements personnels, il doit aviser immédiatement le requérant de présenter la demande directement au coordonnateur de l'AIPRP de l'institution fédérale concernée et lui fournir le nom et les coordonnées du fonctionnaire. Il peut également offrir au requérant d'acheminer directement la demande au coordonnateur de l'AIPRP de l'institution fédérale à des fins de traitement, en y joignant une copie de tous les documents ayant trait à la demande. Si l'institution fédérale reçoit conformément à la Loi sur l'accès à l'information ou à la Loi sur la protection des renseignements personnels une demande de documents ou de renseignements personnels détenus par l'entrepreneur, elle doit immédiatement en informer l'entrepreneur, lui demander de produire une copie de tous les documents ayant trait à la demande et de les envoyer sans délai au coordonnateur de l'AIPRP.

Le marché devrait aussi préciser si la fourniture par l'entrepreneur de copies de tous les documents ayant trait à des demandes formelles présentées à l'institution gouvernementale aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels devrait être aux frais de l'entrepreneur. Il est important de garder à l'esprit que des demandes complexes ou à grande échelle peuvent imposer un lourd fardeau à l'entrepreneur. Si l'institution fédérale prend des dispositions pour alléger les coûts de l'entrepreneur à cet égard, le marché devrait le préciser.

Le marché devrait aussi préciser que la destruction, la modification, la falsification ou le camouflage de documents pour éviter d'y donner accès aux termes de la Loi sur l'accès à l'information constitue une infraction aux termes de la Loi. Par exemple, il pourrait stipuler que l'entrepreneur reconnaît que l'article 67.1 de la Loi sur l'accès à l'information précise qu'une personne qui détruit, tronque, falsifie ou cache un document assujetti à la Loi ou qui amène une autre personne à le faire dans l'intention de faire opposition à une demande d'accès à ce document est coupable d'une infraction et est passible d'une amende maximale de 10 000 $.

Dans les cas où d'autres exigences législatives en matière de protection des renseignements personnels peuvent aussi s'appliquer au niveau provincial ou fédéral, comme la Loi sur la protection des renseignements personnels et les documents électroniques, la façon dont ces demandes seront traitées doit aussi être précisée dans le marché. Par exemple, le marché doit décrire l'autorité et les procédures qui seront invoqués par l'entrepreneur pour fournir l'accès à des renseignements personnels détenus par l'entrepreneur à l'égard du marché et la nécessité d'assurer la liaison avec l'institution fédérale au sujet des procédures et des demandes.

Correction des renseignements personnels (alinéa 12(2)a) de la Loi sur la protection des renseignements personnels)

20.  L'entente contractuelle devrait-elle préciser les responsabilités du gouvernement et de l'entrepreneur en ce qui concerne les demandes de correction ou d'annotation des renseignements personnels conservés par l'entrepreneur, présentées en vertu de la Loi sur la protection des renseignements personnels?

Aux termes de la Loi sur la protection des renseignements personnels, un individu a le droit de remettre en question l'exactitude et l'intégralité des renseignements personnels le concernant et de les faire modifier s'il y a lieu. Dans la plupart des cas, les demandes formelles de correction ou de mention de correction des renseignements personnels détenus par un entrepreneur au nom de l'institution fédérale seront reçues et traitées par l'institution fédérale, qui obtiendra des renseignements pertinents de l'entrepreneur et demandera à ce dernier de prendre les mesures qui s'imposent.

Le marché devrait établir un processus visant à faire en sorte que l'entrepreneur corrige les renseignements si l'institution fédérale détermine qu'une correction ou mention de correction s'impose. Par exemple, le marché pourrait préciser que l'entrepreneur doit corriger ou annoter des renseignements personnels quand l'institution le lui demande par écrit. Il pourrait en outre préciser que l'entrepreneur doit fournir les renseignements corrigés ou annotés à toute autre partie à laquelle l'entrepreneur a communiqué les renseignements personnels à des fins administratives au cours des deux années précédant la date à laquelle l'institution fédérale a reçu la demande de correction ou de mention de correction, et exiger que ces parties joignent une copie de la correction ou de la mention aux renseignements personnels qu'elles détiennent.

Le marché devrait également préciser que si l'entrepreneur reçoit une demande formelle de correction de renseignements personnels de la part d'une personne autre que l'institution fédérale, il doit immédiatement aviser la personne de présenter sa demande directement au coordonnateur de l'AIPRP de l'institution fédérale concernée et lui fournir le nom et les coordonnées de ce fonctionnaire. Il peut également lui offrir d'acheminer la demande de correction au coordonnateur de l'AIPRP de l'institution fédérale pour suite à donner et réponse directe au demandeur.

Dans les cas où d'autres exigences législatives en matière de protection des renseignements personnels au niveau fédéral ou provincial, comme la Loi sur la protection des renseignements personnels et les documents électroniques, permettent que des demandes formelles de correction soient présentées par des particuliers, le marché devrait préciser de quelle façon ces demandes seront traitées. Par exemple, le marché devrait décrire l'autorité et la procédure qui seront utilisées par l'entrepreneur pour corriger des renseignements personnels détenus par l'entrepreneur à l'égard du marché, ainsi que la nécessité d'assurer la liaison avec l'institution fédérale à la fois au sujet de la procédure invoquée et des demandes individuelles de correction.

Conservation des documents ou des renseignements personnels (paragraphe 6(1) de la Loi sur la protection des renseignements personnels et paragraphes 4(1) et (2) du Règlement sur la protection des renseignements personnels)

21.  L'entente contractuelle devrait-elle préciser les exigences en matière de conservation et de retrait des documents et des renseignements personnels, y compris la période de conservation maximale ainsi que les méthodes d'élimination à utiliser?

Conformément au paragraphe 6(1) de la Loi sur la protection des renseignements personnels et au paragraphe 4(1) du Règlement sur la protection des renseignements personnels, les renseignements personnels utilisés par une institution fédérale à des fins administratives doivent être conservés pendant au moins deux ans après leur dernière utilisation, sauf si la personne concernée consent à leur élimination hâtive et, si une demande d'accès à l'information a été reçue, jusqu'au moment où la personne a eu la possibilité d'exercer tous ses droits aux termes de la Loi.

Les documents comprenant des renseignements personnels qui sont détenus par l'entrepreneur mais qui relèvent de l'institution fédérale doivent être conformes à ces exigences. De plus, la Loi sur la Bibliothèque et les Archives du Canada et la Directive du Conseil du Trésor sur la tenue de documents exigent que les institutions fédérales établissent les plans de conservation et de retrait de tous les fonds de renseignements qu'elles détiennent. Cela signifie que chaque institution fédérale doit veiller à ce qu'il y ait un plan de conservation et de retrait qui s'impose pour les documents qui relèvent d'elle, y compris les documents administratifs communs visés par des Autorisations pluri-institutionnelles de disposer de documents.

Tout plan de conservation et de retrait portant sur des documents, y compris des renseignements personnels, détenus par un entrepreneur mais qui relèvent de l'institution fédérale doit être approuvé avant que le marché ne soit signé. Un tel plan devrait être établi à partir de consultation auprès du personnel de gestion de l'information de l'institution fédérale. Il peut aussi être nécessaire de consulter les membres du personnel de Bibliothèque et Archives Canada afin de déterminer si des procédures spéciales doivent s'appliquer en ce qui concerne la préservation de tous documents d'archive ou historique qui pourraient être transférés à l'entrepreneur ou produits pour le compte de l'institution fédérale par l'entrepreneur.

Dans la plupart des cas, il ne serait probablement pas nécessaire d'inclure dans le marché des dispositions liées au retrait ou à la destruction des documents, pourvu qu'il soit clairement précisé dans le marché que l'entrepreneur est tenu de fournir, sur demande, les documents à l'institution fédérale et de ne détruire les documents qu'après avoir reçu par écrit l'instruction de le faire de la part de l'institution fédérale.

Cependant, dans les cas où des documents doivent être conservés et éliminés par l'entrepreneur, conformément au plan de conservation et de retrait des documents de l'institution fédérale, le marché devrait inclure un calendrier de conservation et de retrait  des renseignements personnels afin de faire en sorte que les renseignements soient conservés par l'entrepreneur pendant une période déterminée et pas davantage. Le plan doit préciser la période de conservation maximale des renseignements et la méthode de destruction qui s'applique à chaque catégorie de document, comme l'exige la Norme opérationnelle sur la sécurité matérielle au titre de la destruction de renseignements classifiés et protégés. Les méthodes d'élimination choisies dépendront de facteurs comme le caractère délicat des renseignements, la quantité de renseignements à détruire et la forme sous laquelle ils sont conservés.

L'institution fédérale peut aussi exiger un avis de l'entrepreneur quand des documents doivent être éliminés conformément aux instructions contenues dans le plan approuvé de conservation et de retrait des documents. Cet avis permettrait à l'institution de veiller à ce que l'entrepreneur ne dispose que des documents qui doivent être détruits. Quand il le faut, l'entrepreneur doit aussi aviser l'institution après la destruction de documents.

Selon le caractère délicat des renseignements personnels en cause et la nature et la portée des services à fournir dans le cadre du marché, l'institution peut aussi exiger que l'entrepreneur conserve un registre de la destruction ou de l'élimination des documents réputés relever de l'institution fédérale et dont l'élimination a été autorisée en vertu du marché. Le registre de la destruction devrait contenir au moins les renseignements suivants et devrait être fourni immédiatement à l'institution quand elle en fait la demande :

• les détails des documents qui ont été éliminés (p. ex., nom et numéro du fichier, date des documents);
• la méthode de destruction utilisée (déchiquetage de la copie papier ou suppression de la copie électronique);
• la date de destruction (jour, mois, année);
• le nom et le titre du poste de la personne qui a procédé à la destruction des documents.

22.  L'entente contractuelle devrait-elle préciser les conditions régissant l'élimination de documents éphémères créés ou générés par l'entrepreneur?

Si une clause de conservation et d'élimination est incluse dans le marché, une clause complémentaire relative aux « documents éphémères »^[15] devrait être inscrite.

Cependant, avant d'envisager l'ajout de clauses relatives aux « documents éphémères », il est important de comprendre que les documents éphémères peuvent être détruits de manière courante sans recourir à un plan d'élimination ou à un processus d'autorisation, une fois qu'ils ne sont plus utiles aux fins pour lesquelles ils ont été créés (sauf s'ils font l'objet d'une demande présentée aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels). Par exemple, une feuille de message téléphonique peut être jetée une fois que l'interlocuteur a été rappelé ou des notes de réunion écrites à la main peuvent être détruites une fois que les renseignements nécessaires ont été retranscrits et ajoutés au dossier pertinent.

Il est essentiel que les institutions fédérales observent de saines pratiques de gestion des renseignements et des documents, et qu'elles connaissent les exigences des lois et des politiques applicables en matière de gestion de ces documents. La destruction courante de documents éphémères est une saine pratique de gestion de documents et, dans le cadre d'un programme bien structuré de gestion des documents, elle ne doit pas constituer une infraction présumée aux termes de l'article 67.1 de la Loi sur l'accès à l'information (voir la question 19).

Quand il incorpore une clause relative aux « documents éphémères », le marché devrait préciser le sens de l'expression « documents éphémères » (le lien hypertexte susmentionné à l'Autorisation de détruire des documents éphémères renferme une définition et une liste assez complète de ces documents) et ajouter que l'entrepreneur peut éliminer ces documents quand ils ne sont plus requis. Ceux‑ci peuvent être éliminés sans qu'il soit nécessaire d'établir un registre de destruction.

Il devrait aussi être précisé dans le marché que tous les documents éphémères qui existent au moment où l'institution fédérale informe l'entrepreneur de la réception d'une demande présentée aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, devront être inclus lors du traitement de la demande. Ces documents doivent être conservés jusqu'à ce que la demande (et toute autre plainte ultérieure) ait été entièrement traitée.

 

Protection des renseignements personnels (articles 6, 7 et 8 de la Loi sur la protection des renseignements personnels^[16] et Politique du gouvernement sur la sécurité^[17])

23.  L'entente contractuelle devrait-elle obliger l'entrepreneur à s'assurer que les renseignements personnels sont protégés contre les risques tels que le vol ou la perte, ainsi que l'accès, la communication, le transfert, la reproduction, l'utilisation, la modification ou l'élimination non autorisés?

Il devrait être précisé dans le marché que l'entrepreneur est tenu de protéger les renseignements classifiés ou personnels en prenant des dispositions raisonnables en matière de sécurité qui satisfont aux normes prévues dans la Politique sur la sécurité du gouvernement ou pour les institutions qui ne sont pas assujetties à celle-ci, leurs propres normes de sécurité interne. Dans cette optique, le marché doit décrire les dispositions et les mesures de sécurité matérielle, administrative et technique qui doivent être adoptés par l'entrepreneur pour protéger les renseignements qu'il détient mais qui relèvent de l'institution fédérale contre des sources externes et internes^[18].

Ces exigences de sécurité devraient s'appliquer aux renseignements classifiés ou protégés enregistrés sous quelque forme que ce soit, comme les documents en copie papier et les documents conservés sous forme électronique (p. ex., une base de données). Même si les exigences générales de sécurité des documents en copie papier ou en version électronique peuvent être les mêmes, le marché devrait décrire les mesures de protection ou de sécurité qui peuvent être propres à chaque support d'information.

Il est important de se rappeler que la nature et la portée de ces mesures et dispositions de protection varient selon le caractère délicat des renseignements qui ont été transférés à l'entrepreneur ou recueillis par celui-ci, la quantité, la répartition, la forme et la méthode d'entreposage des renseignements, et les conditions du marché. Par exemple, des mécanismes de contrôle plus stricts pourraient être indiqués quand l'entrepreneur traite des renseignements personnels de nature délicate ou d'importantes quantités de renseignements personnels. Dans ces cas, un plan établissant les mesures de sécurité et de protection à adopter par l'entrepreneur afin de protéger les renseignements doit être joint à l'entente contractuelle. Le marché devrait aussi préciser que l'entrepreneur ne peut modifier les procédures de sécurité prévues dans le plan sans l'autorisation écrite au préalable de l'institution fédérale.

Les institutions fédérales devraient consulter leur personnel de la sécurité et, s'il le faut, le personnel des systèmes ou de la technologie de l'information afin de déterminer quelles mesures de sécurité ou de protection administrative, matérielle et technique devraient être mises en place par l'entrepreneur afin de satisfaire aux normes de sécurité requises. Elles peuvent aussi avoir besoin des compétences d'employés de la gestion de l'information et de conseillers juridiques.

 

Plaintes et enquêtes (article 30 de la Loi sur l'accès à l'information et article 29 de la Loi sur la protection des renseignements personnels)

24.  L'entente contractuelle devrait-elle préciser que l'institution fédérale et l'entrepreneur doivent immédiatement s'aviser mutuellement du dépôt de plaintes en vertu de la Loi sur l'accès à l'information, de la Loi sur la protection des renseignements personnels ou d'une autre loi pertinente et du dénouement de ces plaintes?

Sous réserve des lois applicables, il devrait être précisé dans le marché que l'institution fédérale et l'entrepreneur s'avisent mutuellement quand des plaintes sont reçues aux termes de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels ou d'autres lois applicables en matière de protection des renseignements personnels^[19] à l'égard de documents ou de renseignements personnels détenus par un entrepreneur au nom de l'institution, ainsi que du résultat de ces plaintes selon les besoins.

Si des renseignements personnels sont communiqués dans le cadre de l'avis, la communication doit être autorisée aux termes du paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Il peut aussi être nécessaire de tenir compte d'autres lois applicables au niveau provincial ou fédéral en matière de protection des renseignements personnels, comme la Loi sur la protection des renseignements personnels et les documents électroniques.

25.  L'entente contractuelle devrait-elle préciser que le Commissaire à la protection de la vie privée et le Commissaire à l'information ont le droit d'avoir accès à tout document ou renseignement personnel aux fins d'enquêtes en vertu de la Loi sur la protection des renseignements personnels ou de la Loi sur l'accès à l'information?

L'entrepreneur doit être informé des pouvoirs qu'a le Commissaire à l'information et le Commissaire à la protection de la vie privée, selon le cas, d'enquêter sur les plaintes déposées aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels concernant des documents ou des renseignements personnels qui relèvent de l'institution fédérale mais qui sont détenus par l'entrepreneur. Il devrait aussi être précisé dans le marché que l'entrepreneur est tenu de collaborer et d'aider l'institution fédérale dans le cadre d'une enquête sur ces plaintes menée par le Commissaire à l'information ou par le Commissaire à la protection de la vie privée, et que les représentants de l'entrepreneur pourraient être interviewés par des enquêteurs des bureaux des commissaires.

Vérification et inspection de documents ou de renseignements personnels

26.  L'entente contractuelle devrait-elle préciser que le gouvernement peut à tout moment, pourvu qu'il donne un préavis raisonnable, se présenter dans les locaux de l'entrepreneur afin de vérifier, d'inspecter ou de faire vérifier par un tiers la mesure dans laquelle l'entrepreneur se conforme aux exigences du marché relatives à la protection des renseignements personnels, à la sécurité et à la gestion de l'information, et que l'entrepreneur doit coopérer lors d'une telle vérification ou inspection?

Dans le cadre de leurs responsabilités redditionnelles en matière de gestion de marchés, les institutions fédérales devraient envisager, au cas par cas, l'inclusion des clauses qui s'imposent afin de surveiller l'observation par l'entrepreneur des exigences de gestion de l'information, de protection de la vie privée et de sécurité aux termes du marché.

Ces clauses permettraient à l'institution fédérale d'avoir accès aux locaux, aux documents et au matériel de l'entrepreneur qui sont liés au marché, et de veiller à ce que l'entrepreneur et ses employés s'acquittent de leurs obligations prévues au marché. L'institution fédérale devrait avoir le droit d'inspecter ou de vérifier les pratiques et les procédures de l'entrepreneur en matière de sécurité, de collecte, d'utilisation, de communication, de conservation et d'élimination de documents et de renseignements personnels réputés relever de l'institution fédérale. De telles clauses ne doivent toutefois pas donner accès à des renseignements qui dépassent la portée du marché.

Le marché devrait aussi préciser que l'institution fédérale peut autoriser un tiers à inspecter et à évaluer en son nom, à un moment opportun et moyennant un avis raisonnable fourni à l'entrepreneur, l'observation par l'entrepreneur des exigences de protection de la vie privée, de sécurité et de gestion de l'information prévues à ce marché. Il devrait être établi clairement dans le marché que cet avis n'est pas requis dans les cas où il n'est pas possible ou opportun (p. ex., pour faire suite à une demande réglementaire à plus court préavis, en cas d'enquête ou de vol ou quand l'institution fédérale a des doutes raisonnables d'abus ou de rupture de marché).

Le marché ne devrait réduire, limiter ou restreindre d'aucune façon la fonction, le pouvoir, ou le droit^[20] qu'a le Commissaire à l'information du Canada de mener des enquêtes sur des plaintes déposées en vertu de la Loi sur l'accès à l'information relativement à des documents qui relèvent d'institutions fédérales; le Commissaire à la protection de la vie privée du Canada de mener des enquêtes déposées en vertu de la Loi sur la protection des renseignements personnels ou de tenir, à son appréciation, des examens de conformité en vertu de l'article 37 de la Loi relativement à des renseignements personnels qui relèvent des institutions fédérales.

27.  L'entente contractuelle devrait-elle préciser que l'entrepreneur doit tenir des informations précises pour permettre la vérification des renseignements, c'est-à-dire maintenir une piste de vérification quelconque (sous forme électronique ou sur papier)?

L'entrepreneur devrait être tenu de conserver une piste de vérification ou d'autres mécanismes de contrôle (dans la mesure où il est technologiquement pratique et économique de le faire) afin de pouvoir déceler l'accès non autorisé ou injustifié à des données personnelles. Ce système devrait permettre de surveiller et de consigner les activités des utilisateurs dans le système et de produire une liste d'utilisateurs ayant accédé au document d'un particulier ou une liste de documents auxquels un utilisateur en particulier a eu accès. Ces renseignements devraient être fournis au gouvernement dès qu'il en fait la demande.

Avis d'atteinte à la vie privée

28.  L'entente contractuelle devrait-elle préciser que l'entrepreneur sera tenu d'aviser le gouvernement immédiatement s'il anticipe ou constate un manquement aux exigences du marché en matière de protection des renseignements personnels ou de sécurité?

Le marché devrait exiger que l'entrepreneur avise immédiatement l'institution fédérale dès qu'il anticipe ou constate un manquement aux dispositions contractuelles relatives à la sécurité ou à la gestion des renseignements personnels réputés relever du gouvernement. Ceci s'appliquerait à toutes les situations où des renseignements personnels ont pu avoir été compromis, y compris l'accès, la destruction, l'utilisation, la modification ou la communication non autorisés de renseignements personnels.

En avisant l'institution au sujet d'une infraction impliquant des renseignements personnels, on devrait exiger que l'entrepreneur fournisse les renseignements suivants par écrit à l'institution :

• la nature des renseignements qui ont fait l'objet de l'infraction (type et date des renseignements, nom de la ou des personnes concernées par les renseignements);
• quand l'infraction s'est produite (si connu);
• comment l'infraction s'est produite (si connu);
• qui est responsable de l'infraction (si connu);
• quelles étapes l'entrepreneur a-t-il pris pour atténuer les risques à la vie privée;
• quelles mesures l'entrepreneur a-t-il pris pour empêcher la répétition d'un tel incident.

Les institutions fédérales devraient consulter leurs conseillers juridiques et leurs experts en matière de marchés avant de mettre au point ce genre de clauses.

29.  L'entente contractuelle devrait-elle préciser que l'entrepreneur sera tenu d'indemniser le gouvernement pour tous dommages découlant d'un manquement aux obligations qui lui incombent en vertu du marché?

L'entrepreneur devrait assumer l'entière responsabilité d'une action ou d'une omission négligente ou volontaire de l'un de ses employés ou sous-traitants en ce qui concerne l'accès, la destruction, l'utilisation, la modification ou la communication non autorisés de renseignements personnels réputés relever du gouvernement. Il devrait exister des recours efficaces et importants pour rupture des modalités et des conditions d'un marché régissant la protection de renseignements personnels.

Cela devrait inclure une obligation pour l'entrepreneur d'indemniser l'institution fédérale pour toute perte encourue ou dommage subit en raison d'un tel manquement aux exigences du marché. Les conséquences de telles ruptures de marché peuvent également mener jusqu'à la résiliation du marché ou toute autre action que l'institution juge appropriée, comme:

• exiger le retour immédiat, aux frais de l'entrepreneur, de tous les documents et les renseignements personnels réputés relever de l'institution et qui sont conservés par l'entrepreneur;
• exiger que l'entrepreneur émette, à ses propres frais, un avis à tous les individus dont les renseignements personnels ont été incorrectement utilisés ou communiqués; ou
• indemniser l'institution fédérale pour tous frais encourus lorsque celle-ci fait parvenir un tel avis directement aux individus concernés.

Les institutions fédérales devraient consulter leurs conseillers juridiques et leurs experts en matière de marchés avant de mettre au point ce genre de clauses. Cette mesure devrait inclure des processus de règlement des différends, et des recours appropriés, si des entrepreneurs ou des sous-traitants contreviennent aux modalités d'un marché.

Sous-traitance

30.  L'entente contractuelle devrait-elle préciser que l'entrepreneur ne doit pas, sans avoir obtenu au préalable l'approbation écrite, confier en sous-traitance une partie des services ou des fonctions prévus dans le marché?

S'il y a lieu, l'institution fédérale devrait se demander sérieusement si l'entrepreneur doit être autorisé ou non à confier en sous‑traitance d'autres services ou fonctions prévus au marché qui concernent des documents ou des renseignements personnels du gouvernement. Dans les situations où la sous‑traitance de tout ou d'une partie des activités du marché peut entraîner des considérations imprévues sur le plan de la protection de la vie privée et de la sécurité, le marché devrait renfermer des clauses pertinentes qui empêchent la sous‑traitance sans l'autorisation écrite au préalable de l'institution fédérale ou de l'autorité contractante.

Il faut être particulièrement prudent dans les cas où des sous‑traitants sont situés à l'étranger ou ont des liens à l'étranger, car une administration étrangère^[21] pourrait ainsi avoir accès à des renseignements personnels. Une institution fédérale devrait évaluer le risque et envisager d'inscrire au marché des mesures d'atténuation des risques, comme en interdisant à l'entrepreneur de recourir à des sous‑traitants, en donnant à l'institution fédérale le droit d'approuver un sous‑traitant, ou d'exiger l'autorisation écrite de l'institution fédérale au titre des modifications proposées à un sous‑traitant désigné dans une offre, une proposition ou dans une autre soumission de l'entrepreneur.

Avant de donner son autorisation écrite à la sous‑traitance, l'institution fédérale peut imposer les modalités et les conditions qu'elle juge appropriées quant au sous‑traitant, aux services ou aux fonctions qui peuvent être exécutés par un sous‑traitant, et à l'imposition de restrictions géographiques à savoir où les travaux peuvent être exécutés et les données conservées  ou entreposées par un sous‑traitant.

Si l'institution fédérale ou l'autorité contractante juge opportun d'autoriser l'entrepreneur à confier en sous‑traitance toutes ou une partie des activités visées par marché, elle devrait au moins faire en sorte que :

• toutes les modalités et les conditions que doit respecter l'entrepreneur à l'égard du marché principal au titre de la protection des documents et des renseig sont incluses dans l'entente conclue entre l'entrepreneur et un sous‑traitant;
• l'entente conclue entre l'entrepreneur et le sous‑traitant précise quels documents, incluant les renseignements personnels, relatifs aux services exécutés par le sous‑traitant continuent de relever de l'institution fédérale;
• des arrangements sont en place, s'il y a lieu, afin d'assurer que les ententes de protection et de non‑divulgation de l'information visées à la question 4 soient signées par chacun des employés du sous‑traitant qui aura accès aux renseignements personnels réputés relever de l'institution fédérale.

31.  L'entente contractuelle devrait-elle préciser que, malgré toute approbation écrite relative à la sous-traitance, l'entrepreneur demeure entièrement responsable de la prestation des services en vertu du marché principal ou du marché de sous-traitance?

Dans les cas où l'institution fédérale accepte un sous‑traitant, l'entrepreneur n'est pas dégagé de ses responsabilités relativement aux activités qui seront exercées par le sous‑traitant.

Le marché conclu entre l'institution fédérale et l'entrepreneur constitue la principale source des obligations de l'entrepreneur par rapport aux documents ou aux renseignements personnels réputés relever de l'institution fédérale. Il est donc important que le marché précise que l'entrepreneur est entièrement responsable de l'exécution du marché, sans égard à l'exécution par un sous‑traitant d'une partie du marché.

Même si le gouvernement ne peut exercer des droits contractuels directs contre le sous‑traitant, l'inclusion d'une telle clause dans le marché permettrait au gouvernement de conserver des recours contractuels contre un entrepreneur, si un sous‑traitant enfreint l'une des clauses de sécurité, de protection de la vie privée et de l'information prévues au marché.

Il convient de signaler que la responsabilité de l'entrepreneur en matière de sous‑traitance est aussi traitée à la question 5, qui laisse entendre que l'entrepreneur est entièrement responsable des actions des employés, des sous-traitants et des mandataires qui agissent pour son compte dans l'exécution de leurs fonctions aux termes du marché.

Résiliation ou expiration du marché

32.  L'entente contractuelle devrait-elle préciser que tous les renseignements personnels et les documents doivent être retournés à l'autorité contractante dès l'achèvement du marché?

Le marché devrait préciser comme il se doit ce qui se produit avec les documents ou les renseignements personnels de l'institution fédérale qui sont détenus par l'entrepreneur à la résiliation ou à l'expiration du marché.

Par exemple, le marché devrait préciser qu'à moins que l'institution fédérale ne donne d'autres indications par écrit, l'entrepreneur retourne à l'institution, à la résiliation ou à l'expiration du marché, tous les documents ou les renseignements personnels recueillis, produits ou conservés par l'entrepreneur dans le cadre de la prestation des services aux termes du marché et qui sont réputés relever de l'institution.

Si le marché exige que les données soient détruites ou supprimées par l'entrepreneur à la résiliation ou à l'expiration du marché, un calendrier et des mesures de sécurité suffisantes doivent être précisés dans le marché. Lorsque les documents à détruire renferment des renseignements de nature délicate, l'institution fédérale peut aussi exiger que l'entrepreneur fournisse un registre détaillé de la destruction comme précisé à la question 21. Le marché peut également indiquer que, si l'institution fédérale le considère approprié, des représentants du gouvernement peuvent être présents pour surveiller la destruction des documents.

33.  L'entente contractuelle devrait-elle préciser que l'entrepreneur continue d'être tenu de protéger les renseignements personnels même après l'achèvement du marché?

Même si les marchés précisent habituellement que tous les documents ou les renseignements personnels doivent être retournés à l'institution fédérale à la fin de l'entente ou qu'ils soient détruits, il est prudent de veiller à ce que, si des renseignements personnels demeurent par inadvertance, entre les mains de l'entrepreneur, la protection qui existait pendant la durée du marché demeure en vigueur après l'expiration du marché. En outre, des employés de l'entrepreneur continueront d'avoir connaissance de certains renseignements confidentiels, même après l'expiration du marché. Si une rupture de marché survient ou est révélée après l'expiration d'une entente, les clauses contractuelles pertinentes touchant la confidentialité devraient continuer de s'appliquer et des recours peuvent être demandés.

[1].     Remerciements : Le présent document a été mis au point d'après les travaux exécutés par la Direction générale de l'accès à l'information et de la protection des renseignements personnels des Services gouvernementaux de l'Alberta en ce qui a trait à la gestion des marchés aux termes de la Loi sur l'accès à l'information et la protection des renseignements personnels de l'Alberta.

[2].     Entrepreneur : Toute personne qui entreprend d'exécuter un travail ou de fournir des matériaux aux termes d'un contrat. (Source : Gouvernement du Canada, Travaux publics et Services gouvernementaux Canada (TPSGC) –Guide des approvisionnements)

[3].     Autorité contractante :

1. Le ministre compétent au sens des alinéas a) ou b) de la définition de « ministre compétent », à l'article 2 de la Loi sur la gestion des finances publiques;
2. Un établissement dont le nom figure à l'annexe II de la Loi sur la gestion des finances publiques;
3. La Construction de défense (1951) Limitée, la Commission de la Capitale nationale et la Commission des champs de bataille nationaux. (Source : ibid.)

[4].     Aux termes de la Directive du Secrétariat du Conseil du Trésor sur l'évaluation des facteurs relatifs à la vie privée, les institutions fédérales doivent procéder à une évaluation des facteurs relatifs à la vie privée lorsque la sous-traitance ou le transfert du programme ou de l'activité à un autre palier de gouvernement ou au secteur privé et que cette sous-traitance ou ce transfert constitue une modification importante au programme ou à l'activité.

[5].     Avant de transférer à un entrepreneur des documents renfermant des renseignements personnels, l'institution fédérale doit veiller à ce que sa loi habilitante ne l'empêche pas de communiquer ces documents à l'entrepreneur. En supposant que la loi de l'institution n'interdise pas cette communication, l'institution doit ensuite veiller à ce que la communication soit autorisée suivant l'une des dispositions sur la communication prévues à l'article 8 de la Loi sur la protection des renseignements personnels.

[6].     Dans les cas où des documents ne relèvent pas d'une institution fédérale alors qu'ils le devraient, celle-ci serait tout de même assujettie aux exigences de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels à l'égard de ces renseignements, et la personne peut faire valoir ses droits aux termes de ces lois par rapport à l'institution fédérale.

[7].     La Politique sur la sécurité du gouvernement s'applique à tous les ministères mentionnés aux annexes I, I.1, II, IV et V de la Loi sur la gestion des finances publiques (LGFP), sauf s'ils en sont exclus en vertu d'une loi, d'un règlement ou d'un décret particulier.

         Certains organismes et sociétés d'État peuvent conclure des ententes avec le Secrétariat du Conseil du Trésor du Canada afin d'adopter les exigences de cette politique et les appliquer à leur organisation.

[8].     Il peut arriver que les facteurs relatifs à la vie privée soient si importants qu'ils amènent une institution à se prononcer contre la sous-traitance ou l'impartition, en particulier dans le cas de l'impartition de systèmes de technologie de l'information qui renferment des données personnelles de nature très délicate.

[9].     Cela permettrait d'établir clairement les incidents d'accès non autorisé, surtout quand des pistes de vérification sont utilisées.

[10].  Dans le cas où un entrepreneur a déclaré ou est soupçonné d'avoir déclaré faillite, l'institution fédérale ou l'autorité contractante doit entrer en contact avec la cour qui a juridiction dans le secteur de l'entrepreneur et obtenir la confirmation du greffier de la cour des faillites. La confirmation peut également être obtenue du Bureau du surintendant des faillites (BSF), qui offre un service de recherche de noms relatif à l'insolvabilité. En communiquant avec ce service et moyennant une certaine somme d'argent, on peut savoir si une personne ou une entreprise a entrepris des procédures relatives à l'insolvabilité. Ce service est disponible à partir du site Web du BSF à l'adresse https://strategis.ic.gc.ca/sc_mrksv/bankruptcy/bankruptcySearch/frndoc.

[11].  Dans certains cas, l'autorisation de recueillir des renseignements personnels sera clairement énoncée dans la loi – la Loi de l'impôt sur le revenu en est un bon exemple. Dans la plupart des cas toutefois, la loi habilitante de l'institution renvoit simplement à une activité ou à un programme de fonctionnement. Dans d'autres cas encore, la loi habilitante de l'institution ne renvoit à aucune activité ni à aucun programme en particulier. Ce genre d'omission n'a rien de grave en autant qu'il puisse être établi que le programme ou l'activité à l'examen est conforme au mandat législatif de l'institution. En l'absence d'un pouvoir législatif clair de collecte de renseignements personnels, les institutions doivent consulter leurs services juridiques.

[12].  Aux termes du paragraphe 5(3) de la Loi sur la protection des renseignements personnels, cette exigence peut ne pas s'appliquer si le fait d'aviser le particulier entraîne la collecte de renseignements inexacts ou nuit aux fins auxquelles les renseignements sont recueillis.

[13].  Les institutions fédérales devraient veiller à ce que les obligations contractuelles de l'entrepreneur ne dépassent pas l'utilisation qui serait permise à l'institution fédérale aux termes de la Loi sur la protection des renseignements personnels. Autrement dit, une institution fédérale ne peut, dans le cadre d'un marché, se soustraire à ses obligations aux termes de la Loi sur la protection des renseignements personnels en autorisant un fournisseur de services du secteur privé à utiliser les renseignements personnels à une fin qui est refusée à l'institution elle-même.

[14].  Ce sont les diverses exceptions et exemptions prévues dans la Loi sur l'accès à l'information et dans la Loi sur la protection des renseignements personnels qui détermineraient si l'entrepreneur serait autorisé ou non à communiquer les documents ou les renseignements personnels.

[15].  Bibliothèque et Archives Canada donne la définition suivante de « documents éphémères » : « documents dont on a besoin seulement pour une période limitée, afin d'achever des mesures courantes ou de rédiger d'autres documents. Les documents éphémères ne comprennent pas les documents nécessaires aux institutions fédérales ou aux ministres pour contrôler, appuyer ou documenter la réalisation de programmes, pour effectuer des opérations, pour prendre des décisions, ou pour rendre compte d'activités du gouvernement. »

[16].  Ces articles de la Loi sur la protection des renseignements personnels portent sur la conservation, l'élimination, l'exactitude, l'utilisation et la communication. Aucune disposition de la Loi sur la protection des renseignements personnels ne porte expressément sur la protection des renseignements. La protection des renseignements personnels est accessoire au principal objectif de ces dispositions, et elle s'appliquerait dans les cas où les renseignements personnels continuent de relever de l'institution fédérale.

[17].  La Politique sur la sécurité du gouvernment explique de quelle façon on doit protéger le personnel et les biens, y compris les renseignements et les systèmes de technologie de l'information , et permet d'assurer la prestation des services.

[18].  Selon le Gartner Group (l'une des plus grandes firmes d'analyse et de recherche au monde en ce qui a trait à l'industrie mondiale de la technologie de l'information), environ 70 p. 100 des cas d'accès non autorisé à des renseignements dans les secteurs public et privé sont l'œuvre d'employés, à l'instar de plus de 95 p. 100 des intrusions qui entraînent d'importantes pertes financières.

[19].  Il peut y avoir d'autres exigences législatives à considérer au niveau provincial ou fédéral en matière de protection des renseignements personnels, y compris l'application possible de la Loi sur la protection des renseignements personnels et les documents électroniques, qui pourraient s'appliquer aux renseignements personnels qui seront recueillis, utilisés, communiqués ou éliminés par l'entrepreneur dans l'exécution de ses obligations prévues au marché conclu avec le gouvernement. En conséquence, les institutions fédérales devraient consulter leurs conseillers juridiques à ce sujet.

[20].  De larges pouvoirs d'enquêtes, y compris l'accès aux locaux de l'entrepreneur, peuvent être nécessaires pour permettre aux deux commissaires de mener leurs enquêtes (ou tout examen de conformité pouvant être entrepris à la discrétion du Commissaire à la protection de la vie privée) relativement à des renseignements qui relèvent du gouvernement mais qui sont sous la garde de l'entrepreneur.

[21].  Selon la Direction de la sécurité industrielle canadienne et internationale (DSICI) de Travaux publics et Services gouvernementaux Canada (TPSGC), les entrepreneurs ne doivent pas confier en sous-traitance des travaux CLASSIFIÉS / PROTÉGÉS à une organisation située à l'étranger sans l'autorisation écrite AU PRÉALABLE de l'autorité contractante de la DSICI. Le statut de sécurité des organisations étrangères doit être vérifié par l'entremise de la DSICI avant de prendre le moindre engagement financier. En outre, le transfert de renseignements CLASSIFIÉS / PROTÉGÉS à un pays étranger doit être acheminé par l'entremise de la DSICI.

• Page précédente
• Table des matières
•