Résumé de l'évaluation des facteurs relatifs à la vie privée pour le Projet pilote de demandes en ligne lié à l'accès à l'information et la protection des renseignements personnels (AIPRP)

Table des matières

Objet

Le gouvernement du Canada a entrepris de moderniser les services qu'il offre aux Canadiens, tout en augmentant son environnement d'information ouverte. Afin d'améliorer la qualité des services offerts et de faciliter l'accès pour les citoyens, ainsi que pour réduire les coûts de traitement pour les institutions, le gouvernement du Canada a entrepris de transformer les plateformes à l'appui de la gestion de l'accès à l'information et la protection des renseignements personnels. Ce projet permet, pour la première fois, aux citoyens du Canada, de présenter une demande d'accès à l'information et d'en faire le paiement en ligne, le tout dans l'optique d'offrir cette possibilité à l'ensemble des ministères aussitôt que possible.

Citoyenneté et Immigration Canada a entrepris un projet pilote qui permet de soumettre rapidement et efficacement des demandes d'AIPRP en maximisant la technologie en ligne. Au cours de la première phase de ce projet pilote, le service de demandes en ligne d'accès à l'information et de protection des renseignements personnels permet aux clients de présenter une demande d'accès à l'information et d'en faire le paiement en ligne pour Citoyenneté et Immigration Canada, ainsi que pour les deux autres ministères participants suivants : Services partagés Canada et le Secrétariat du Conseil du Trésor du Canada. Une fois la mise en œuvre de ce projet pilote réussie, le service sera étendu à d'autres institutions du gouvernement fédéral.

Description

L'évaluation des facteurs relatifs à la vie privée est une initiative à laquelle participent trois institutions et qui constitue un service de demandes en ligne touchant l'accès à l'information et la protection des renseignements personnels. Ce service offre une plateforme en ligne pour ce nouveau processus de demandes électroniques. Il permet d'éliminer le besoin d'échanger de l'information et de faire des paiements par courrier. L'évaluation des facteurs relatifs à la vie privée comprend la collecte électronique des renseignements personnels et un réexamen du processus de collecte, d'utilisation, de divulgation, de conservation et d'élimination des renseignements personnels à l'intérieur de ce service de demandes électroniques à guichet unique. La portée de cette évaluation englobe le flux des données dans le système : du point de collecte par Citoyenneté et Immigration Canada, au point de réception par la division d'accès à l'information et de protection des renseignements personnels de l'institution destinataire parmi les trois institutions participantes.

Justification de la nécessité de l'évaluation des facteurs relatifs à la vie privée

Afin de veiller au respect de la Loi sur la protection des renseignements personnels et aux politiques connexes du Secrétariat du Conseil du Trésor du Canada sur la protection de la vie privée, l'évaluation des facteurs relatifs à la vie privée a examiné les risques d'entrave à la vie privée pouvant être liés à ce service en ligne. Les risques déterminés ont été atténués, diminués ou éliminés par la mise en œuvre de mesures précises.

Objectifs de l'évaluation des facteurs relatifs à la vie privée

  • Évaluer, réduire et atténuer les risques possibles d'entrave à la vie privée associés à la collecte de renseignements personnels en ligne et permettre la transmission sécuritaire de ces renseignements à l'institution concernée.
  • Résoudre les problèmes de protection de la vie privée susceptibles d'inquiéter le public.

Le Projet pilote de demandes en ligne d'accès à l'information et de protection des renseignements personnels tire profit du système de paiement en ligne existant de Citoyenneté et Immigration Canada (par l'intermédiaire du bouton d'achat du Receveur général), qui est utilisé dans une variété d'applications de service aux clients, ainsi que des leçons tirées dans le cadre de ce type d'initiatives. Ce projet pilote tire également profit de l'architecture de transfert sécurisé des fichiers gérée par Travaux publics et Services gouvernementaux Canada afin de garantir une transmission sécuritaire des données entre Citoyenneté et Immigration Canada et les ministères participant à l'initiative pilote.

Résultats de l'évaluation des facteurs relatifs à la vie privée et résumé des risques

Le processus d'acceptation des demandes en ligne est protégé de façon appropriée pour garantir la transmission sécurisée des renseignements de client jusqu'au niveau protégé B. Une fois les demandes entrées, elles sont acheminées à l'institution concernée par l'entremise de la Solution de transferts de fichiers sécurisés de Travaux publics et Services gouvernementaux Canada au niveau protégé B. La transmission comprend la demande, les pièces jointes téléchargées, ainsi qu'une copie de la preuve de paiement. Le ministère destinataire informe Citoyenneté et Immigration Canada qu'il a bien reçu la transmission en lui envoyant une confirmation automatique par l'intermédiaire du serveur de fichiers. Les serveurs de fichiers des ministères destinataires sont également configurés pour transmettre un avis par courriel à leur boîte aux lettres respective d'accès à l'information et de protection des renseignements personnels afin d'informer les autres ministères de la présence d'une nouvelle demande.

Une fois que Citoyenneté et Immigration Canada a reçu la confirmation automatisée de l'institution destinataire indiquant qu'elle a bien reçu la demande, l'information propre à la demande sera supprimée du système de Citoyenneté et Immigration Canada. Aux fins d'établissement de rapports, seuls des renseignements transactionnels de base seront conservés par Citoyenneté et Immigration Canada : heure d'ouverture de session de la demande, type de demande et ministère destinataire.

Plan d'action – Atténuation des risques

Le gouvernement du Canada prend très au sérieux la protection des renseignements personnels des Canadiens. L'analyse des risques de l'évaluation des facteurs relatifs à la vie privée a été effectuée conformément aux dix principes universels de gestion équitable et de protection des renseignements du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. De plus, elle comprend de l'information détaillée sur la technologie comme la conception du service, l'évaluation des menaces et la description des mesures de protection techniques fournies qui permettent de protéger les renseignements personnels.

Les ministères participants s'assurent de respecter la Loi sur la protection des renseignements personnels et les politiques connexes du Secrétariat du Conseil du Trésor du Canada sur la protection de la vie privée, et appliquent des recommandations précises sur la façon d'atténuer tout risque possible.

Les recommandations sur l'évaluation des menaces et des risques touchent les mesures de protection courantes pour protéger les renseignements personnels. De plus, les mesures de sécurité liées aux risques d'entrave à la vie privée du projet pilote seront évaluées en milieu de projet à l'aide d'un plan de gestion approprié visant à atténuer la possibilité de risques résiduels.

Une fois que l'information a été téléchargée dans le système de traitement d'accès à l'information et protection des renseignements personnels de l'institution fédérale concernée, la période de conservation et d'élimination des renseignements personnels commencera. L'ensemble des données permanentes colligées pour une demande sera conservé pour une période de deux ans suivant la dernière intervention administrative effectuée par l'intermédiaire de l'outil de suivi de l'AIPRP.

Pour être conforme à la Directive sur le numéro d'assurance sociale, on demande aux personnes de ne pas fournir leur numéro d'assurance sociale dans le cadre du processus de demande en ligne, y compris lorsqu'elles fournissent des documents à l'appui d'une demande d'accès à l'information en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.

L'avis de déclaration sur la protection des renseignements personnels s'affiche avec une invite de confirmation de lecture avant que le demandeur puisse saisir des renseignements à l'aide de l'outil en ligne. Cet avis informe le demandeur que ces renseignements sont colligés à l'origine par Citoyenneté et Immigration Canada, mais seulement pour leur transmission à l'institution concernée.

Gestion de la sécurité

Une évaluation des menaces et des risques liés à ce système pilote a été effectuée au cours de l'étape de mise en œuvre. Les risques à la confidentialité, la disponibilité et l'intégrité des renseignements stockés et traités par ce système ont été atténués par la mise en œuvre de mesures de protection. Le bouton du Receveur général et l'infrastructure de transfert de fichiers sécurisés sont des services communs qui ont déjà été certifiés et accrédités pour être utilisés par les ministères et les organismes fédéraux.

Le gouvernement du Canada ne peut pas garantir la sécurité du courrier électronique; par conséquent, il a émis une mise en garde au sujet de la transmission de renseignements personnels sensibles par courriel en soulignant les risques associés aux demandes électroniques. Voici cette mise en garde : Si vous avez des préoccupations quant à la confidentialité des données, y compris celles de nature personnelle, pendant la transmission, nous vous conseillons d'avoir recours à des méthodes de transmission sécurisées pour les acheminer directement à l'institution gouvernementale concernée. Si le demandeur a des préoccupations à ce sujet, il devrait transmettre les documents à l'appui par courrier postal au ministère approprié.

Date de modification :