Audit interne horizontal de la protection des renseignements personnels dans les petits ministères

Juin 2014
Bureau du contrôleur général

Table des matières

Sommaire

L'objectif de cet audit visait à déterminer la conformité à la Politique sur la protection de la vie privée et à ses directives connexes dans certains petits ministères sélectionnés.

Pourquoi est-ce important?

Les Canadiens accordent de l'importance à leur vie privée. Comme l'énonce paragraphe 3.1 de la Politique sur la protection de la vie privée,

« Les Canadiens et Canadiennes attachent de l'importance à la vie privée et à la protection de leurs renseignements personnels. Ils s'attendent à ce que les institutions fédérales respectent l'esprit et les exigences de la Loi sur la protection des renseignements personnels. Le gouvernement du Canada s'est engagé à respecter la vie privée des personnes en ce qui a trait aux renseignements personnels relevant des institutions fédérales. Le gouvernement reconnaît qu'il s'agit là d'un élément essentiel du maintien de la confiance du public à son égard. »

Constatations principales

Dans l'ensemble, les cadres de responsabilisation qui appuient la protection des renseignements personnels variaient selon les ministères examinés. Bien que la plupart d'entre eux aient établi des responsabilités claires en matière de prise de décisions et de gestion de l'application de la Loi sur la protection des renseignements personnels et de ses politiques et directives connexes, il existe des possibilités d'apporter des améliorations sur le plan de la mise à jour des arrêtés ministériels de délégation et de la sensibilisation accrue aux rôles et responsabilités liés à la vie privée.

Les activités et programmes nouveaux et considérablement modifiés étaient rares dans les ministères examinés, et seules quelques évaluations des facteurs relatifs à la vie privée ont été menées au cours de la période visée. Les pratiques de gestion du risque différaient en fonction de l'identification, l'évaluation et l'atténuation des risques et répercussions en matière de vie privée pour l'ensemble des activités des programmes nouveaux ou modifiés qui comportent un usage de renseignements personnels.

Globalement, l'efficacité des pratiques et des mesures de contrôle de la gestion visant à assurer un traitement et une protection des renseignements personnels variait selon les ministères examinés. Bien que les ministères disposent généralement de pratiques appropriées pour gérer des renseignements à des fins non administratives, les droits d'accès devraient être renforcés, tout comme les mises en garde contre la divulgation de renseignements personnels. Il serait également possible de mieux faire comprendre les violations de la vie privée et la mise en œuvre des protocoles connexes.

La plupart des ministères disposaient de procédures adéquates pour veiller à la production de rapports cohérents sur l'application de la Loi sur la protection des renseignements personnels dans des rapports annuels présentés au Parlement. La surveillance exercée au niveau ministériel était informelle et était considérée appropriée pour la plupart des ministères, compte tenu de leur taille et de leur mandat. Il existe des possibilités de renforcer les mécanismes de surveillance dans certains ministères.

Le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) donne aux ministères suffisamment de conseils pour élaborer de solides pratiques de protection des renseignements personnels. Pour améliorer la compréhension des exigences de la politique, le Secrétariat a organisé diverses activités de communication et de leadership auprès des ministères, et surveille la conformité à la politique et à ses directives connexes par l'analyse et l'examen de rapports destinés au public qui sont exigés par la Loi sur la protection des renseignements personnels et au moyen d'autres documents ministériels accessibles, comme les présentations au Conseil du Trésor. Le Secrétariat a examiné la Politique sur la protection de la vie privée au cours de l'exercice 2012-2013. Des révisions futures de la Politique sur la protection de la vie privée pourraient examiner les enjeux liés au progrès technologiques et la protection de la vie privée.

Conclusion

Dans l'ensemble, la conformité à la Politique sur la protection de la vie privée et à ses directives connexes diffère entre les petits ministères. La conformité permet aux ministères d'atténuer les répercussions et les risques pour la vie privée en assurant la protection et la gestion efficaces des renseignements personnels. C'est pourquoi il importe de renforcer les structures redditionnelles et les contrôles s'il existe des possibilités d'apporter des améliorations.

Conformité aux normes professionnelles

La présente mission d'audit est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

Anthea English, CPA, CA

Contrôleur général adjoint et Dirigeant principal de la vérification

Secteur de la vérification interne, Bureau du contrôleur général

Contexte

L'Audit interne horizontal de la protection des renseignements personnels dans les petits ministères a été identifié et approuvé dans le Plan triennal de vérification interne axée sur les risques de 2012-2015 du Bureau du contrôleur général (BCG).

Les renseignements personnels sont des renseignements qui concernent un individu identifiable. Ils peuvent comprendre de nombreux éléments comme le nom, l'adresse, la race, la scolarité ou le numéro d'identification personnel (numéro d'assurance sociale p. ex.) de la personne. La Loi sur la protection des renseignements personnels, qui est entrée en vigueur en 1983, veille à ce que des mesures de protection appropriées soient en place pour les renseignements personnels qui sont recueillis par le gouvernement fédéralVoir la note en bas de page 1.

D'après les paragraphes 3.2 et 3.3 de la Politique sur la protection de la vie privée,

« la Cour suprême du Canada qualifie la Loi sur la protection des renseignements personnels de « quasi constitutionnelle » en raison du rôle que joue la protection de la vie privée dans le maintien d'une société libre et démocratique. En ce sens, la protection des renseignements personnels limite le gouvernement à des interventions dans la vie privée des Canadiens et Canadiennes à des fins légitimes et nécessaires. En outre, le gouvernement doit veiller à ce que le traitement exercé des renseignements personnels qui relèvent d'institutions fédérales soit assujetti à une norme élevée. Le gouvernement répond également aux demandes d'accès aux renseignements personnels. La saine gestion des renseignements joue un rôle essentiel pour ce qui est de faciliter l'exercice des droits d'accès prévus à la Loi et de garantir la protection de renseignements personnels. »

« […] En vertu de la Loi sur la protection des renseignements personnels, le président du Conseil du Trésor est le ministre désigné responsable de la rédaction et la diffusion d'instruments politiques nécessaires à la mise en œuvre de la Loi et de son règlement. La Loi sur la protection des renseignements personnels établit que les politiques et les lignes directrices constituent des moyens appropriés pour appuyer son application. »

On s'attend à ce que les ministères mettent en place de solides pratiques de traitement et de la protection des renseignements personnels. Le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) est chargé d'émettre des directives et de donner des conseils aux institutions fédérales sur l'application de la Loi sur la protection des renseignements personnels et sur l'interprétation de la politique.

Pendant la préparation du Plan triennal de vérification interne axée sur les risques de 2012-2015 du BCG, les gestionnaires de petits ministères ont fait part de leurs préoccupations au sujet de leur capacité de se conformer à la Loi sur la protection des renseignements personnels et à ses règlements connexes en raison des ressources relativement limitées des petits ministères. En raison des progrès technologiques, les ministères recueillent et traitent des données personnelles, et y accèdent à une échelle beaucoup plus importante qu'auparavant, ce qui augmente les défis à relever pour protéger adéquatement cette information.

Objectif et portée de l'audit

L'objectif de cet audit visait à déterminer la conformité à la Politique sur la protection de la vie privée et à ses directives connexes dans certains petits ministères sélectionnés.

Cet audit englobait l'ensemble des processus de gestion mis en place pour appuyer les ministères à déployer leurs efforts de conformité à la Politique sur la protection de la vie privée et à ses directives connexes.

Cet audit ne s'est pas penché sur le caractère adéquat des évaluations de la menace et du risque ni n'a déterminé si les pouvoirs d'élimination des documents étaient bien appliqués. Un tel examen conviendrait davantage dans le contexte d'un audit de la gestion ou de la sécurité de l'information. Enfin, cet audit n'a pas évalué le caractère adéquat des procédures mises en place pour répondre aux demandes en vertu de la Loi sur la protection des renseignements personnels parce que ces demandes sont habituellement axées sur l'accès à l'information plutôt que sur des questions de vie privée.

La période d'application principale était l'exercice 2012-2013. Les plans et les processus mis en œuvre en vue de cet exercice ont également été pris en compte afin de compléter l'information, au besoin, tout comme chaque rapport annuel ministériel sur l'application de la Loi sur la protection des renseignements personnels pour 2011-2012. Ce sont les plus récents rapports qui étaient disponibles à ce moment-là.

Huit petits ministères ont fait l'objet de l'audit. Ces ministères ont été choisis en fonction d'un exercice de déclaration volontaire et d'une évaluation du risque qui comprenait des consultations avec le Bureau du commissaire à la vie privée du CanadaVoir la note en bas de page 2. De plus, le Secrétariat a été inclus en raison du rôle qu'il joue dans la fourniture de directives stratégiques et fonctionnelles aux ministères.

L'annexe A dresse la liste des ministères examinés, expose leur mandat et donne des exemples des types de renseignements personnels recueillis.

L'annexe B dresse la liste des champs d'intérêt et des critères d'audit connexes qui sont utilisés pour évaluer l'objectif de l'audit.

Constatations détaillées et recommandations

Constatation 1 : Responsabilisation

La Politique sur la protection de la vie privée exige l'établissement de responsabilités claires dans les institutions fédérales en matière de prise de décisions et de gestion de l'application de la Loi sur la protection des renseignements personnels et de ses règlements. Des cadres de responsabilisation clairs favorisent la protection des renseignements personnels par des fonctionnaires de tous les niveaux des ministères.

L'audit s'est penché sur la mesure dans laquelle les petits ministères ont établi des cadres de responsabilisation, y compris des rôles, des responsabilités et des outils, pour appuyer la protection des renseignements personnels au sein du ministère.

Les responsabilités en matière de vie privée ont été adéquatement déléguées dans la plupart des ministères.

En vertu de l'article 73 de la Loi sur la protection des renseignements personnels, le responsable d'une institution fédérale peut, par arrêté, déléguer certaines de ses attributions à des employés, comme le prévoit l'annexe B de la Politique sur la protection de la vie privée. Cet arrêté, qui doit être signé par le responsable actuel du ministère, permet aux employés en question de s'acquitter légalement des fonctions qui leurs sont déléguées.

La plupart des ministères examinés possédaient des pouvoirs de délégation qui reflétaient la réalité des rôles et des responsabilités au sein du ministère, pouvoirs pour lesquels le responsable actuel du ministère a apposé sa signature. Deux ministères ont des arrêtés de délégation périmés, ce qui peut indiquer que les discussions nécessaires sur la gestion de la vie privée ne se produisent pas avec le responsable de ministère. Dans l'un et l'autre cas, des changements apportés au niveau des responsables de ministère ainsi que des réorganisations suggèrent que les arrêtés de délégation doivent être réexaminé et révisé et les rôles et responsabilités désuets doivent être abordés.

La connaissance des rôles et des responsabilités liés à l'application de la Loi sur la protection des renseignements personnels variait selon les ministères.

Aux termes de la politique, les ministères devraient avoir des rôles et des responsabilités définis en matière de prise de décisions et de gestion de l'application de la Loi sur la protection des renseignements personnels et de ses règlements connexes. Des rôles et des responsabilités clairement définis, doublés d'une formation et d'outils comme des procédures formelles ou des modèles, permettent aux employés de mieux connaître les exigences en matière de vie privée et augmentent la probabilité que ces exigences soient respectées.

Dans les ministères étudiés, la responsabilité de l'application de la Loi sur la protection des renseignements personnels a été attribuée différemment d'un ministère à l'autre. Dans certains ministères, la responsabilité des questions de vie privée relevait de la fonction des services ministériels; dans d'autres, elle relevait plutôt de la fonction de gestion et de technologie de l'information. Dans tous les ministères examinés, la responsabilité de l'application de la Loi sur la protection des renseignements personnels était combinée à la responsabilité de l'application de la Loi sur l'accès à l'information.

La représentation de la vie privée au niveau de la haute direction différait également selon les ministères étudiés. Dans certains d'entre eux, le représentant chargé des questions de vie privée se trouvait à un niveau qui lui donnait accès au forum des cadres supérieurs, ce qui était susceptible d'augmenter l'attention accordée aux questions de vie privée au sein du ministère. Dans un ministère, le directeur général de la Direction générale de la gestion intégrée était le champion en matière de gestion de l'information et de protection de la vie privée. Ce rôle accroît la probabilité que les questions relatives à la vie privée reçoivent une attention appropriée et soient intégrées dans toutes les fonctions du ministère.

La plupart des ministères étudiés avaient étayé les rôles et responsabilités des employés qui exerçaient la responsabilité fonctionnelle qui leur était conférée par la loi. Ces rôles et responsabilités se trouvaient généralement dans les descriptions de travail. Dans certains ministères, les spécialistes fonctionnels ont dû reconnaître leurs responsabilités déléguées par écrit. Dans certains ministères, la confirmation que des employés avaient discutée de leurs responsabilités prévues par la Loi sur la protection des renseignements personnels avec leur superviseur était intégrée dans les formulaires d'évaluation du rendement.

Dans un ministère, les rôles et responsabilités des employés n'étaient pas clairement documentés et compris par les employés. Ce ministère a été réorganisé et des réductions de personnel ont été effectuées sans que les nouveaux rôles et les nouvelles responsabilités sur l'application de la Loi sur la protection des renseignements personnels aient été officiellement communiqués. Le fait de définir et d'étayer clairement les rôles et responsabilités des employés signifie que ceux-ci connaissent les attentes à leur égard, ce qui fait augmenter la probabilité qu'ils respectent les lois ainsi que les politiques et directives connexes.

La plupart des ministères offraient une certaine forme de formation aux spécialistes fonctionnels et aux autres employés, mais certains ministères ne le faisaient pas. Bien que la formation annuelle des spécialistes fonctionnels ne soit pas obligatoire, elle peut favoriser le respect des lois et des politiques et directives connexes. Certains ministères disposaient de solides pratiques pour que le personnel demeure au fait des nouveautés relatives aux questions sur la vie privée. Ces pratiques comprenaient la distribution de bulletins réguliers sur la vie privée à tous les membres du personnel, ainsi que des journées de formation et de sensibilisation en matière de questions sur la vie privée (p. ex. la Journée de la protection des données). Un ministère a également incité un employé à obtenir une certification d'un institut international de protection de la vie privée.

Dans la plupart des ministères, il y avait des outils liés à la protection de la vie privée (p. ex. des procédures et des modèles) présentant divers degrés de formalité. La connaissance et l'utilisation de ces outils par les employés différaient aussi selon les ministères. Dans les quelques ministères où la connaissance et l'utilisation des outils étaient sources de préoccupation, les employés ont mentionné que la diffusion insuffisante des outils ou la confusion des employés quant à leurs rôles et responsabilités était à l'origine de la situation.

Des dispositions relatives à la protection des renseignements personnels étaient généralement comprises dans les marchés conclus avec des organisations du secteur privé et dans les ententes avec d'autres ministères.

La Politique sur la protection de la vie privée prévoit que lorsqu'il est question de renseignements personnels, les ministères sont chargés d'établir des mesures en vue de s'assurer qu'ils répondent aux exigences de la Loi sur la protection des renseignements personnels lorsque des marchés sont conclus avec des organisations du secteur privé, ou lorsque des ententes ou des arrangements sont conclus avec des organisations du secteur public.

Si l'on se fie à un échantillon des marchés conclus avec des organisations du secteur privé examinés dans lesquels le ministère était l'autorité contractante, les dispositions relatives à la protection des renseignements personnels étaient adéquates pour la plupart des ministères examinés. Des processus et des outils permettant de satisfaire aux exigences de la Loi sur la protection des renseignements personnels étaient offerts aux employés lorsqu'ils concluaient des marchés avec des organisations du secteur privé. Plus particulièrement, Travaux publics et Services gouvernementaux Canada a élaboré des modèles et un Guide des clauses et conditions uniformisées d'achat que doivent utiliser les ministères lorsqu'ils passent un marché avec des organisations du secteur privé.

Selon l'échantillon limité d'ententes avec des organisations du secteur public examiné, la plupart comprenaient des dispositions relatives à la protection des renseignements personnels, conformément à la Politique sur la protection de la vie privée. Les ministères auraient toutefois avantage à établir leurs propres procédures pour veiller à ce que l'on tienne toujours compte de la nécessité de dispositions relatives à la vie privée au moment d'élaborer des ententes interministérielles. Lorsque l'équipe d'audit a choisi un échantillon d'ententes à examiner, elle a constaté que certains ministères ne pouvaient pas produire une liste complète de leurs ententes parce que celles-ci ne faisaient pas l'objet d'un suivi centralisé, ce qui limite la portée des tests d'audit.

Dans l'ensemble, les cadres de responsabilisation, y compris les rôles, les responsabilités et les outils de soutien à la protection des renseignements personnels, variaient selon les ministères examinés.

Il existe des possibilités d'améliorations pour certains ministères en ce qui concerne la mise à jour de leurs arrêtés de délégation et l'amélioration de la connaissance des rôles et responsabilités relatifs à la protection de la vie privée.

Recommandations

  1. Les ministères devraient s'assurer que les arrêtés de délégation sont mis à jour et approuvés adéquatement.
  2. Les ministères devraient s'assurer que les rôles et responsabilités sont bien étayés et que les employés les connaissent et possèdent les outils nécessaires pour s'acquitter de leurs responsabilités.

Constatation 2 : Gestion du risque

Les institutions fédérales exercent régulièrement des activités générales de gestion du risque et élaborent des profils de risque liés à leurs programmes et activités. L'évaluation des facteurs relatifs à la vie privée (ÉFVP) est une composante de la gestion du risque centrée sur le respect des exigences de la Loi sur la protection des renseignements personnels et sur l'évaluation des répercussions sur la vie privée des programmes et activités nouveaux ou substantiellement modifiés qui impliquent des renseignements personnels. La réalisation d'une ÉFVP aide à s'assurer que les risques sont bien pris en compte et atténués avant la mise en œuvre d'une nouvelle initiative.

Les ministères doivent également identifier et décrire les fichiers de renseignements personnels (FRP) qui concordent avec les renseignements personnels recueillis au moyen des programmes nouveaux ou modifiés et faire rapport de ces fichiers.

Cet audit cherchait à déterminer si les ministères disposent de procédures adéquates pour recenser, évaluer et atténuer les répercussions et les risques pour la vie privée pour l'ensemble des programmes nouveaux ou modifiés et des activités qui impliquent l'utilisation ou l'utilisation prévue de renseignements personnels à des fins administrativesVoir la note en bas de page 3.

Des ÉFVP n'ont pas toujours été menées au besoin ni en temps opportun.

Les ÉFVP aident à s'assurer que les répercussions sur la vie privée sont bien identifiées, évaluées et réglées avant la mise en œuvre d'une activité ou d'un programme nouveau ou substantiellement modifié qui comporte l'utilisation de renseignements personnels. Les ministères doivent mener une ÉFVP pour toute activité ou tout programme nouveau ou substantiellement modifié dans les cas où des renseignements personnels sont utilisés ou censés être utilisés dans le cadre d'un processus décisionnel.

En général, les ministères examinés ont des mandats précis et durables. Les programmes nouveaux ou substantiellement modifiés sont donc rares. Cependant, lorsque des ÉFVP étaient nécessaires, nous avons découvert que les ministères ne les ont pas toujours remplies avant la mise en œuvre d'une nouvelle initiative. Dans certains cas, les ÉFVP ont été réalisées après la mise en place du programme ou du système. Dans d'autres cas, l'ÉFVP a été entreprise avant la mise en place de l'initiative, mais n'a pas été achevée ou approuvée avant le lancement de l'initiative. Dans certains cas, aucune ÉFVP n'a été réalisée pour de nouveaux programmes et des remaniements majeurs de programmes.

Le Secrétariat a établi une liste de contrôle dont les ministères peuvent se servir pour déterminer si une ÉFVP est nécessaire. Bien que la plupart des ministères aient adopté cette liste ou élaboré une liste similaire, peu de ministères avaient documenté qu'ils l'utilisaient, notamment dans les cas où une ÉFVP était nécessaire ou envisagée.

L'absence d'une ÉFVP complétée peut occasionner le risque qu'une initiative soit mise en œuvre sans examen approfondi de son impact potentiel sur les renseignements personnels détenus par le ministère.

Les FRP sont gérés conformément à la loi et à la politique.

La Loi sur la protection des renseignements personnels définit un FRP comme « un ensemble ou groupement de renseignements personnels ». En vertu de la Loi, les responsables des institutions fédérales doivent identifier et décrire leurs FRP dans Info Source et en faire rapportVoir la note en bas de page 4. Les ministères doivent également s'assurer qu'ils possèdent l'autorisation légale de demander, de recueillir et d'utiliser des renseignements personnels.

Au cours de la période visée, les FRP dans les ministères échantillonnés étaient généralement statiques, ce qui reflétait la stabilité du mandat et des programmes des ministères. Tous les ministères avaient établi l'autorisation légale pour leurs FRP. Tous les ministères de l'échantillon disposaient de procédures informelles de gestion des FRP, avec le soutien du Secrétariat dans son rôle de surveillance.

Dans l'ensemble, la gestion du risque, dans la mesure où elle est liée à l'identification, à l'évaluation et à l'atténuation des répercussions et des risques pour la vie privée, ne concordait pas dans les ministères étudiés. Compte tenu de la nature et du mandat des ministères examinés, les FRP étaient statiques et bien gérés.

Des améliorations peuvent être apportées pour veiller à ce que les risques pour la vie privée soient évalués et atténués de manière constante. Des ÉFVP devraient être remplies constamment et réalisées en temps opportun.

Recommandations

  1. Les ministères devraient veiller à ce que les ÉFVP soient envisagées et réalisées adéquatement dans le cadre de l'élaboration d'activités et de programmes nouveaux ou substantiellement modifiés.

Constatation 3 : Pratiques de gestion

De solides pratiques de gestion font en sorte que les renseignements personnels contrôlés par les institutions fédérales sont bien protégés.

Cet audit a examiné si les ministères disposent de pratiques et de contrôles efficaces pour veiller à la protection et au traitement adéquats des renseignements personnels. Plus précisément, l'audit a examiné les contrôles qui entourent les renseignements à des fins non administratives, des droits d'accès, des avis de confidentialité et des atteintes.

Les ministères disposent généralement de pratiques adéquates de collecte, d'utilisation et de divulgation de renseignements personnels à des fins non administratives.

En vertu de la Politique sur la protection de la vie privée, les ministères sont chargés d'instituer un protocole de protection des renseignements personnels au sein de l'institution fédérale relativement à la collecte, à l'utilisation ou à la divulgation de renseignements personnels à des fins non administratives. Une fin non administrative consiste en l'utilisation de renseignements personnels à une fin qui n'est pas liée à un processus décisionnel qui touche directement la personne, par exemple, la recherche et les statistiques.

Tous les ministères examinés, sauf un, ont établi des protocoles de protection des renseignements personnels relativement à la collecte, à l'utilisation ou à la divulgation de renseignements personnels à des fins non administratives. Avec un protocole, la collecte, l'utilisation et l'élimination de renseignements sont plus susceptibles d'être bien gérés.

Dans tous les ministères examinés dans cet audit, on avait enlevé toutes les références à des indicateurs personnels des renseignements recueillis à des fins non administratives afin de s'assurer que les renseignements étaient anonymes ou groupés. Les renseignements personnels sont ainsi plus susceptibles d'être protégés de façon adéquate.

Des améliorations doivent être apportées à la gestion des droits d'accès dans certains ministères.

Les ministères sont chargés de limiter l'accès aux renseignements personnels et l'utilisation de ceux-ci par des moyens administratifs, techniques et physiques pour protéger la confidentialité des renseignements et la vie privée d'une personne.

Il a été constaté que la plupart des ministères examinés disposaient de systèmes pour établir et administrer des droits d'accès électronique et des droits d'accès physique. Toutefois, dans certains cas, ces systèmes n'étaient pas toujours gérés de manière à assurer que seules les personnes qui avaient besoin de savoir aient accès aux fichiers renfermant des renseignements personnels. Plus particulièrement, dans certains ministères, les contrôles s'appliquant aux droits d'accès électronique et physique examinés ne garantissaient pas leur respect (p. ex., il existait des procédures permettant ou retirant le droit d'accès, mais rien ne prouvait qu'elles étaient suivies) ou leur mise à jour (ainsi, il n'y avait pas de procédure pour déclencher le retrait du droit d'accès au moment où un employé quitte son poste). En outre, les mesures de protection visant le contrôle de l'accès aux fichiers physiques contenant les renseignements personnels des employés ont été examinés et jugées insuffisantes dans certains ministères puisque l'on ne pouvait pas assurer le suivi des fichiers une fois sortis.

De plus, dans les trois ministères comptant des bureaux régionaux, les droits d'accès étaient gérés de façon plus informelle dans les régions qu'à l'administration centrale. Selon des entrevues et un examen des procédures établies, l'accès à des aires sûres de stockage des fichiers, par exemple, n'était pas toujours surveillé ou restreint.

Les avis de confidentialité peuvent être améliorés.

Les ministères sont chargés d'aviser la personne dont les renseignements personnels sont recueillis de la fin et de l'autorité rattachées à la collecte, aux utilisations ou aux divulgations qui sont cohérentes avec la fin initiale ou qui ne sont pas liées à la fin initiale, à toutes conséquences juridiques ou administratives du refus de fournir des renseignements personnels, et aux droits d'accès, de correction et de protection des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels. Cette notification est donnée dans les avis de confidentialité. Les ministères sont chargés d'adapter l'avis de confidentialité pour une communication écrite ou orale au moment de la collecte. Les avis écrits doivent comprendre une mention du FRP décrit dans Info Source.

Dans la plupart des ministères examinés, les avis de confidentialité étaient suffisants. Toutefois, seuls quelques ministères ont fait mention du FRP connexe dans l'avis de confidentialité. La référence au FRP dans cet avis donne aux personnes qui fournissent des renseignements personnels des renseignements sur les conséquences et les utilisations de leurs renseignements personnels et des précisions sur l'endroit où s'adresser pour demander et obtenir des renseignements sur leurs données personnelles détenues par un ministère.

De même, des avis de confidentialité devraient être inclus dans les formulaires utilisés pour recueillir les numéros d'assurance sociale (NAS) auprès des employés, ou auprès des entrepreneurs conformément à la Loi de l'impôt sur le revenu. Bien que la plupart des ministères respectaient la Directive sur le numéro d'assurance sociale dans son ensemble, certains ministères recueillaient des NAS au moyen de formulaires qui ne contenaient pas d'avis de confidentialité. Comme le NAS constitue un élément clé des renseignements personnels, il importe que les personnes soient informées par un avis de confidentialité de la fin pour laquelle ces renseignements sont recueillis et de l'autorité applicable.

Bien que la plupart des ministères disposent de lignes directrices sur l'atteinte à la vie privée, elles n'étaient pas mises en œuvre de façon cohérente en ce qui concerne la documentation et la déclaration des violations et des mesures correctives.

Une atteinte à la vie privée consiste en la collecte, l'utilisation, la divulgation, la conservation ou l'élimination inappropriée ou interdite de renseignements personnels. Une atteinte peut résulter d'erreurs commises par inadvertance ou de gestes malicieux d'employés, de tierces parties, de partenaires dans des ententes de partage de l'information ou d'intrus. Aux termes de la Directive sur les pratiques relatives à la protection de la vie privée, les ministères sont chargés d'assurer une protection contre les atteintes au moyen de pratiques efficaces de protection de la vie privée, et par l'établissement d'un plan pour régler les atteintes à la vie privée lorsqu'elles surviennent.

La plupart des ministères examinés avaient élaboré des lignes directrices sur les atteintes à la vie privée. Au cours de la période visée, la moitié des ministères examinés ont subi une atteinte à la vie privée. La nature de ces atteintes variait de l'affichage par mégarde de renseignements personnels individuels sur un site Web ministériel à la communication à une tierce partie de renseignements personnels individuels. Des entrevues réalisées avec des membres du personnel et l'examen des fichiers indiquent que des mesures correctives ont été prises; il existe toutefois des possibilités d'insister sur l'importance de la protection des renseignements personnels et d'améliorer la documentation et la déclaration des atteintes ainsi que des mesures correctives.

Dans l'ensemble, l'efficacité des pratiques et des contrôles de gestion pour veiller à un traitement approprié et à une protection adéquate des renseignements personnels variait selon les ministères.

Bien que les ministères examinés disposent généralement de pratiques adéquates de gestion des renseignements à des fins non administratives, il existe des possibilités d'améliorer les droits d'accès et les avis de confidentialité ainsi que la documentation et la déclaration des atteintes et des mesures correctives.

Recommandations

  1. Les ministères devraient s'assurer que les droits d'accès sont adéquats et efficaces sur le plan de la protection des renseignements personnels.
  2. Les ministères devraient s'assurer que les avis de confidentialité respectent la Directive sur les pratiques relatives à la protection de la vie privée et la Directive sur le numéro d'assurance sociale.
  3. Les ministères devraient s'assurer que toutes les atteintes à la vie privée sont signalées et gérées adéquatement. Ceci inclus la documentation de l'atteinte et des mesures correctives prises pour la régler.

Constatation 4 : Surveillance et production de rapport

La surveillance permet aux ministères de déterminer s'ils satisfont aux exigences des politiques et directives en place pour appuyer l'application adéquate de la Loi sur la protection des renseignements personnels. L'amélioration et l'examen continus des processus au fil du temps aident à veiller à ce que les renseignements recueillis et à ce que les processus en place soient utiles, pertinents et apportent de la valeur aux ministères.

L'audit examinait si les ministères disposent de procédures adéquates pour veiller à la surveillance et à la production adéquates de rapports sur l'application de la Loi sur la protection des renseignements personnels.

La surveillance est effectuée de manière informelle.

Les responsables ou leurs délégués sont chargés de surveiller l'observation de la politique liée à l'application de la Loi sur la protection des renseignements personnels. Tous les ministères examinés indiquaient qu'ils exercent une surveillance des questions de vie privée. Compte tenu de leur taille et de leur mandat, les ministères ont indiqué que leur surveillance est essentiellement informelle. Dans certains ministères dont les mandats sont plus vastes, des mécanismes de surveillance plus formels pourraient contribuer à faire diminuer le risque d'inobservation des exigences de la politique et de la loi.

Certains ministères ont indiqué que les coordonnateurs de l'accès à l'information et de la protection des renseignements personnels (AIPRP) qui ont la responsabilité fonctionnelle des questions de vie privée avaient recours à des comités de gestion générale ou à des contacts informels avec leurs collègues d'autres secteurs de l'organisation pour demeurer au courant des changements au ministère qui pourraient avoir des répercussions sur la vie privée. De même, certains ministères ont également indiqué que les rôles et responsabilités multiples du coordonnateur de l'AIPRP (qui occupe souvent le poste de directeur des services ministériels ou un poste équivalent) et la petite taille de leur ministère ont facilité la surveillance de la vie privée au sein de leur organisation.

L'examen de tous les ministères étudiés révélait que, conformément aux exigences de la politique, ils préparent et déposent au Parlement un rapport annuel sur l'application de la Loi. Il est également indiqué que ce rapport annuel est leur seul outil formel de surveillance. Le rapport traite surtout des demandes présentées en vertu de la Loi sur la protection des renseignements personnels. Il ne renferme pas de renseignements sur la surveillance au quotidien ou des renseignements sur les atteintes à la vie privée. Tous les ministères retenus dans l'échantillon se conformaient généralement aux exigences de rapport de la politique (élaboration d'un rapport annuel sur l'application de la Loi sur la protection des renseignements personnels).

Dans deux ministères, les préoccupations relatives à la vie privée constituaient un point permanent de l'ordre du jour des réunions des comités de direction. Cet examen régulier des questions de vie privée permet de s'assurer que la direction dispose d'un mécanisme de surveillance continue des préoccupations relatives à la vie privée.

Dans l'ensemble, la surveillance à l'échelon ministériel est informelle et a été considérée adéquate pour la plupart des ministères étudiés, compte tenu de leur taille et de leur mandat. La plupart des ministères ont également rempli les exigences de rapport obligatoires du Secrétariat.

Il est possible de renforcer les mécanismes de surveillance dans certains ministères.

Recommandations

  1. Les ministères devraient évaluer si leurs mécanismes de surveillance conviennent à la taille et à la complexité du mandat du ministère et aux risques associés aux renseignements personnels administrés.

Constatation 5 : Orientation provenant de l'organisme central

Des conseils et une orientation des organismes centraux sont nécessaires pour veiller à ce que les ministères mettent en œuvre la Politique sur la protection de la vie privée comme prévu et à ce que les exigences soient appliquées uniformément dans l'ensemble du ministère. Le leadership assuré par les organismes centraux est crucial pour veiller à ce que les ministères demeurent au courant des outils et des techniques de protection des renseignements personnels qui sont sous la garde du gouvernement et à ce qu'ils mettent en commun leurs pratiques de gestion.

L'audit examinait si le Secrétariat dispose de procédures pour s'acquitter de son rôle qui consiste à surveiller l'observation de la politique, à revoir la politique et à offrir une orientation suffisante aux ministères.

Le Secrétariat a exercé diverses activités de communication auprès des ministères au besoin.

Conformément à la Politique sur la protection de la vie privée, le Secrétariat assure du leadership et donne des conseils et une orientation en matière de mise en œuvre par le ministère de la Politique sur la protection de la vie privée. Le Secrétariat a une fonction de communication qui présente plus de 50 séances d'information par année aux spécialistes fonctionnels de l'ensemble de la fonction publique fédérale. Le Secrétariat a également publié une Trousse sur la protection des renseignements personnels, qui comprend des documents d'orientation en vue de l'examen des questions de vie privée dans l'attribution de marchés et dans les ententes de partage de renseignements.

Le Secrétariat joue son rôle de surveillance.

La Politique sur la protection de la vie privée exige que le Secrétariat surveille la conformité de tous les aspects de cette politique en analysant et en examinant les rapports destinés au public qui sont exigés en vertu de la Loi sur la protection des renseignements personnels et d'autres renseignements. Le Secrétariat revoit les rapports annuels sur l'application de la Loi et formule des recommandations d'améliorations. De même, le Secrétariat passe en revue les présentations de renseignements sur les FRP de chaque ministère, qui sont alors publiées dans Info Source. Le Secrétariat reçoit également les ÉFVP des ministères et les évalue pour déterminer si elles sont complètes par rapport au modèle de base de l'ÉFVP qui se trouve à l'annexe C de la Directive sur l'évaluation des facteurs relatifs à la vie privée.

Les exigences de présentation des rapports annuels sur l'application de la Loi sur la protection des renseignements personnels n'obligent pas les ministères à produire un rapport sur le nombre d'atteintes à la vie privée subies, ou sur la gestion globale de la protection des renseignements personnels au sein du ministère. On a constaté durant l'audit que la nature précise du rapport peut limiter la collecte de renseignements additionnels sur l'état général de la protection de la vie privée dans l'ensemble du gouvernement, qui pourraient aider le Secrétariat à adapter ses activités de communication et à veiller au respect des exigences relatives aux politiques. À l'heure actuelle, le Secrétariat revoit les rapports annuels et les documents présentés pour Info Source pour assurer l'observation des exigences de rapport obligatoire. Le Secrétariat assure en outre un suivi des améliorations apportées d'une année à l'autre et détermine comment les ministères pourraient s'améliorer sur le plan de leurs exigences de rapport.

Le Cadre de responsabilisation de gestion (CRG) du Secrétariat effectue un examen davantage qualitatif des pratiques ministérielles sur la protection de la vie privée dans le contexte du volet sur la protection de la vie privée de la composante de gestion 12 : Gestion de l'information. Cette composante de gestion ne constitue pas l'un des dix éléments de base du CRG, mais est incluse à l'occasion dans l'exercice ministériel annuel du CRG, ce qui s'est produit pour la dernière fois lors de l'exercice 2006-2007. Les éléments de preuve fournis révélaient que la rétroaction précédente du CRG sur la protection de la vie privée a permis d'améliorer les outils et la gouvernance au sein des ministères.

Le Secrétariat s'est penché sur la politique et sur certaines directives connexes cinq ans après la mise en œuvre de la politique.

La Politique sur la protection de la vie privée est entrée en vigueur le 1er avril 2008. Le Secrétariat a examiné la politique au cours de l'exercice 2012-2013, comme l'exigeait la politique elle-même. Cet examen comprenait une évaluation détaillée du risque. Comme la Politique sur la protection de la vie privée repose surtout sur les exigences législatives énoncées dans la Loi sur la protection des renseignements personnels, qui a elle-même d'abord été adoptée par le Parlement en 1983, la politique a seulement fait l'objet de modifications mineures. Par conséquent, la politique et les directives connexes ne règlent peut-être pas les problèmes liés à la protection de la vie privée qui touchent les progrès technologiques survenus au fil des ans. En conséquence, le Secrétariat pourrait adresser les nouveaux risques au moyen de révisions futures de la politique et en élaborant une orientation supplémentaire.

Le Secrétariat oriente suffisamment les petits ministères et s'acquitte de tous ses rôles et responsabilités obligatoires.

Conclusion

Dans l'ensemble, la conformité à la Politique sur la protection de la vie privée et à ses directives connexes diffère entre les petits ministères. La conformité permet aux ministères d'atténuer les répercussions et les risques pour la vie privée en assurant la protection et la gestion efficaces des renseignements personnels. C'est pourquoi il importe de renforcer les structures redditionnelles et les contrôles s'il existe des possibilités d'apporter des améliorations.

Réponse de la direction

Les constatations et recommandations de cet audit ont été présentées à chacun des huit petits ministères visés par l'audit et au Secrétariat, en raison de son rôle d'organisme central.

La direction a accepté les constatations du présent rapport et prendra les mesures qui s'imposent pour donner suite à toutes les recommandations applicables.

Annexe A : Ministères visés par l'audit

Les organisations suivantes ont fait l'objet de l'audit. Le nombre de FRP (à l'automne 2012) et une description des fonds de FRP autres que les FRP ordinaires contenant des renseignements personnels sur les employés détenus par toutes les organisations sont inclus.

Bibliothèque et Archives Canada (BAC)

Mandat : BAC a pour mandat de recueillir, de préserver et de rendre accessible à tous les Canadiens notre patrimoine documentaire.

Nombre de FRP : 93

Nature des FRP : BAC détient des renseignements personnels liés à une vaste gamme d’activités du gouvernement du Canada, tels que sur les anciens membres des forces armées et des personnes qui ont fait un don à BAC, ainsi que des renseignements personnels contenus dans des documents conservés pour d’autres ministères.

Commission des champs de bataille nationaux (CCBN)

Mandat : Les objectifs de la CCBN sont de mettre en valeur cinq grands volets qui caractérisent les champs de bataille nationaux (historique, culturel, récréatif, naturel et scientifique)

Nombre de FRP : 37

Nature des FRP : La CCBN détient des renseignements personnels sur les personnes qui se sont inscrites à des activités spéciales, se sont portées bénévoles pour les productions de la CCBN et qui ont fait des dons à la Commission.

Commission canadienne des droits de la personne (CCDP)

Mandat : La Commission fait la promotion du principe fondamental de l'égalité des chances et s'efforce de prévenir la discrimination au Canada.

Nombre de FRP : 51

Nature des FRP : La Commission détient des renseignements personnels sur les personnes concernées par des plaintes et des enquêtes ou encore des forums de prévention de la discrimination qu'elle organise.

Commission de l’immigration et du statut de réfugié du Canada (CISR)

Mandat : La CISR est un tribunal indépendant établi dans le but de régler des cas d’immigration et de statut de réfugié.

Nombre de FRP : 53

Nature des FRP : La CISR détient des renseignements personnels liés aux enquêtes et aux appels en matière d’immigration ainsi que sur les personnes dont les services peuvent être retenus pour servir d’interprète.

Diversification de l’économie de l’Ouest Canada (DEO)

Mandate : DEO fait la promotion du développement et de la diversification de l’économie de l’Ouest du Canada ainsi que des intérêts de l’Ouest dans le cadre de l’élaboration et de la mise en œuvre de politiques, de programmes et de projets économiques nationaux.

Nombre de FRP : 61

Nature des FRP : DEO détient des renseignements personnels sur les représentants de clients et de projets, d’entreprises, d’organisations et d’associations du secteur privé, d’autres ordres de gouvernement et de groupes qui ont présenté une demande d’aide financière ou dont la demande d’aide financière a été approuvée.

L’Enquêteur correctionnel Canada (ECC)

Mandat : L’ECC est avant tout responsable de la réalisation d’enquêtes sur les plaintes de délinquants et de leur règlement.

Nombre de FRP : 49

Nature des FRP : L’ECC détient des renseignements personnels sur les délinquants actuels et anciens qui ont été condamnés et qui sont concernés par une plainte ou une enquête ainsi que sur les personnes qui participent aux nominations pour le Prix Ed McIsaac pour la promotion des droits de la personne dans le système correctionnel.

Office des transports du Canada (OTC)

Mandat : L'OTC est un tribunal quasi-judiciaire indépendant et un organisme de réglementation économique. Il prend des décisions sur un vaste éventail de questions concernant les modes de transport aérien, ferroviaire et maritime relevant de l'autorité du Parlement, comme le prévoit la Loi sur les transports au Canada et d'autres textes législatifs.

Nombre de FRP : 55

Nature des FRP : L'OTC détient des renseignements personnels sur les particuliers et les agents (avocats, experts-conseils et médiateurs) concernés par des différends et des enquêtes.

Tribunal des anciens combattants (révision et appel) (TACRA)

Mandat : Le Tribunal détient le pouvoir entier et exclusif de recevoir toutes les demandes de révision ou d'appel qui peuvent lui être soumises. Le Tribunal reçoit aussi les demandes de pension d'invalidité liées au travail conformément à la Loi sur la continuation des pensions de la Gendarmerie royale du Canada et à la Loi sur la pension de retraite de la Gendarmerie royale du Canada.

Nombre de FRP : 49

Nature des FRP : Le Tribunal détient des renseignements personnels des vétérans, des membres des Forces armées canadiennes et de la Gendarmerie royale du Canada ainsi que leur famille concernant des demandes de révision, d'appel, et de reconsidération, ou pour des allocations de commisération.

Annexe B : Champs d'enquête et critères connexes

L'objectif de l'audit était d'évaluer la conformité à la Politique sur la protection de la vie privée (PPVP) et aux directives connexes.

Les critères d'audit sont présentés ci-après, par champ d'enquête.

Champ d'enquête Critères Source
1. Responsabilité
Les ministères ont établi des responsabilités claires pour les processus décisionnels et la gestion de l'application de la Loi sur la protection des renseignements personnels et de son Règlement.
1.1 Les administrateurs généraux ont délégué convenablement les responsabilités ou fonctions aux termes de la Loi sur la protection des renseignements personnels. PPVP 6.1.1
1.2 Les employés des institutions gouvernementales qui exercent des responsabilités fonctionnelles pour ce qui est de l'administration de la Loi sur la protection des renseignements personnels sont conscients des politiques, des procédures et de leurs responsabilités légales aux termes de la Loi. PPVP 6.2.2
1.3 Des mesures sont prises afin de garantir que l'institution fédérale est conforme à la Loi sur la protection des renseignements personnels lors de la conclusion de contrats avec des organisations du secteur privé ou l'établissement d'accords ou d'ententes avec des organisations du secteur public lorsque des renseignements personnels sont échangés. PPVP 6.2.10
1.4 Des dispositions appropriées en matière de protection des renseignements personnels sont incluses dans les contrats ou les ententes pouvant donner lieu à une circulation intergouvernementale ou transfrontalière de renseignements personnels. PPVP 6.2.11
2. Gestion des risques d'atteinte à la vie privée
Les ministères ont mis en place des procédures adéquates pour l'identification, l'évaluation et l'atténuation des risques et impacts en matière de vie privée pour l'ensemble des programmes et activités nouveaux ou modifiés qui comportent un usage de renseignements personnels.
2.1 Des procédures ont été mises en place afin d'assurer, dans la mesure applicable, la réalisation, la mise à jour et la publication des Évaluations des facteurs relatifs à la vie privée (ÉFVP) et des ÉFVP multi-institutionnelles. PPVP 6.2.14
2.2 Des procédures ont été mises en place afin de s'assurer que le SCT sera consulté au sujet de toute proposition de création ou de retrait d'un fichier inconsultable, et de présenter une demande précise au président du Conseil du Trésor pour toute proposition à ce sujet. PPVP 6.2.16
3. Pratiques de gestion
Les ministères ont mis en place des pratiques et contrôles efficaces pour assurer la gestion et la protection adéquates des renseignements personnels.
3.1 Des politiques et procédures écrites ont été mises en place afin d'orienter la gestion par les employés des institutions gouvernementales des renseignements personnels assujettis à la Loi sur la protection des renseignements personnels. PPVP6.2.3 à 6.2.7
3.2 Des procédures ont été mises en place afin de s'assurer que le Bureau du Conseil privé est consulté avant toute prise de décision visant à exclure des documents confidentiels du Cabinet. PPVP 6.2.8
3.3 Des mesures ont été mises en place afin d'assurer la conformité aux modalités et conditions particulières relatives à l'utilisation du numéro d'assurance sociale et d'assurer la conformité aux restrictions particulières relatives à sa collecte, son utilisation et sa divulgation. PPVP 6.2.13
3.4 Le ministère a établi un protocole de protection des renseignements personnels pour la collecte, l'utilisation et la communication de renseignements personnels à des fins non administratives, notamment à des fins de recherche, de statistique, d'audit et d'évaluation. PPVP 6.2.15
4. Surveillance et rapports
Les ministères ont mis en place des procédures adéquates pour assurer une surveillance uniforme et des rapports appropriés sur l'administration de la Loi sur la protection des renseignements personnels par le biais de leurs Rapports annuels au Parlement.
4.1 Les administrateurs généraux ou leurs délégués sont chargés de surveiller la conformité à la présente politique dans le cadre de l'application de la Loi sur la protection des renseignements personnels. PPVP6.3.1
4.2 Les administrateurs généraux ou leurs délégués s'assurent que toutes les exigences en matière de production de rapports aux termes de la Loi sur la protection des renseignements personnels sont respectées. PPVP 6.3.2
5. Orientation des organismes centraux
Le Secrétariat du Conseil du Trésor du Canada a mis en place des procédures adéquates pour s'assurer que les organisations gouvernementales assujetties à la PPVP et à ses directives connexes obtiennent un soutien et une orientation adéquats.
5.1 Le Secrétariat a mis en place des procédures pour surveiller la conformité à tous les aspects de la politique. PPVP 6.3.3
5.2 Le Secrétariat examinera la politique ainsi que ses directives, normes et lignes directrices connexes ainsi que leur efficacité cinq ans après l'entrée en vigueur de la politique. Si une analyse des risques le justifie, le Secrétariat veillera également à ce qu'une évaluation soit réalisée. PPVP6.3.4
5.3 Le Secrétariat s'acquitte correctement de sa responsabilité de fournir une orientation politique et des lignes directrices aux institutions fédérales concernant l'application de la Loi sur la protection des renseignements personnels et l'interprétation de la présente politique. PPVP 8.1

Annexe C : Références

Politiques et directives

  1. Politique sur la protection de la vie privée
  2. Directive sur les pratiques relatives à la protection de la vie privée
  3. Directive sur l'évaluation des facteurs relatifs à la vie privée
  4. Directive sur le numéro d'assurance sociale
  5. Directive sur les demandes de renseignements personnels et de correction

Documents d'information

  1. Info Source
  2. Cadre de responsabilisation de gestion - Évaluations de la ronde IV (2006)– Composante de gestion 12
  3. Trousse sur la protection des renseignements personnels
  4. Guide des clauses et des conditions uniformisées d'achat (GCCUA)

Annexe D: Recommandations par ministère et classement selon les risques

Les noms complets des ministères figurent à l'annexe A. Le tableau suivant présente les ministères auxquels les recommandations d'audit s'appliquent, et attribue une priorité élevée, moyenne ou faible pour chaque recommandation. La détermination de classement des risques est fondée sur les priorités relatives des recommandations et la mesure dans laquelle les recommandations indiquent la non-conformité avec les politiques du Conseil du Trésor.

Recommandation Ministères auxquels les recommandations s'appliquent Priorité
1. Les ministères devraient s'assurer que les arrêtés de délégation sont mis à jour et approuvés adéquatement. BAC, CCBN Élevée
2. Les ministères devraient s'assurer que les rôles et responsabilités sont bien étayés et que les employés les connaissent et possèdent les outils nécessaires pour s'acquitter de leurs responsabilités. BAC, CCBN Élevée
3. Les ministères devraient veiller à ce que les ÉFVP soient envisagées et réalisées adéquatement dans le cadre de l'élaboration d'activités et de programmes nouveaux ou substantiellement modifiés. BAC, CCBN, CISR, ECC, OTC, TACRA Élevée
4. Les ministères devraient s'assurer que les droits d'accès sont adéquats et efficaces sur le plan de la protection des renseignements personnels. BAC, CCBN, CISR Élevée
5. Les ministères devraient s'assurer que les avis de confidentialité respectent la Directive sur les pratiques relatives à la protection de la vie privée et la Directive sur le numéro d'assurance sociale. CCBN, CCDP, DEO, ECC, OTC Moyenne
6. Les ministères devraient s'assurer que toutes les atteintes à la vie privée sont gérées adéquatement. Ceci inclus la documentation de l'atteinte et des mesures correctives prises pour la régler. BAC, CCBN, CISR Élevée
7. Les ministères devraient déterminer si leurs mécanismes de surveillance conviennent à la taille et à la complexité de leur mandat et aux risques associés aux renseignements personnels administrés. BAC, CISR Moyenne
Date de modification :