Résumé de l'évaluation des facteurs relatifs à la vie privée pour l'application de gestion du rendement de la fonction publique (application GRFP)
Table des matières
- Vue d'ensemble et lancement de l'Évaluation des facteurs relatifs à la vie privée (ÉFVP)
- Résumé du projet, de l'initiative ou du changement
- Description de la catégorie de documents et des fichiers de renseignements personnels
- Fondement juridique du programme ou de l'activité
- Résultats de l'évaluation des facteurs relatifs à la vie privée : résumé des risques et mesures d'atténuation
- 1. L'avis et le consentement sont insuffisants :
- 2. La nécessité de recueillir des renseignements personnels doit être claire :
- 3. Aucun calendrier de conservation et de destruction des données n'a été établi :
- 4. Consignation des nouvelles utilisations dans Info Source et dans le fichier de renseignements personnels (FRP) :
- 5. Les mesures de protection de la vie privée sont insuffisantes :
- 6. Coordonnées d'une personne-ressource :
Vue d'ensemble et lancement de l'Évaluation des facteurs relatifs à la vie privée (ÉFVP)
Institution fédérale
- Secrétariat du Conseil du Trésor du Canada
Fonctionnaire responsable de l'ÉFVP
- Debra Tattrie, directrice principale, Gouvernance, planification et politiques (GPP), BDPRH
Chef de l'institution fédérale ou son délégué aux fins de l'application de l'article 10 de la Loi sur la protection des renseignements personnels
- Zivana PavicVoir la note en bas de page 1, directrice principale, Services ministériels, Communications stratégiques et affaires ministérielles
- Danielle Golden, directrice, Bureau de l'accès à l'information et de la protection des renseignements personnels (AIPRP)
Nom du programme ou de l'activité de l'institution fédérale
- Bureau du dirigeant principal des ressources humaines (BDPRH)
- Programme de gestion du rendement
- Application Gestion du rendement de la fonction publique (application GRFP)
Résumé du projet, de l'initiative ou du changement
Le BDPRH est l'organisation chargée de la mise en œuvre de la Directive sur la gestion du rendement dans l'administration publique centrale du gouvernement du Canada. La charte du Projet de gestion du rendement expose les rôles et les responsabilités du BDPRH à l'égard de la mise en œuvre de la directive :
Le Secteur de la gouvernance, de la planification et des politiques, Bureau du dirigeant principal des ressources humaines (BDPRH), Secrétariat du Conseil du Trésor, travaille avec toutes les disciplines des ressources humaines (RH) afin de renforcer la gestion des personnes dans tous les ministères et organismes, tout en entreprenant des initiatives de transformation en vue d'améliorer la fonctionnalité et l'efficience de la gestion des RH et de l'infrastructure des systèmes. Dans l'Architecture du programme de la gestion des personnes, ces deux domaines d'activités sont appelés Établissement des orientations et Infrastructure habilitante.
La charte du projet mentionne également ce qui suit :
Les administrateurs généraux sont les principaux responsables de la gestion des personnes au sein de leur organisation. Le rôle du GPP est d'appuyer les administrateurs généraux dans l'exécution de leurs responsabilités de gestion des personnes.
Le GPP a lancé le Projet de gestion du rendement (GR) en vue de renforcer et d'uniformiser la gestion du rendement dans l'ensemble de l'administration publique centrale (APC) pour tous les employés qui n'occupent pas des postes de cadres. Quant au groupe des EX, il existe un processus de gestion du rendement distinct, mais connexe, dans l'ensemble de l'APC et qui fonctionne depuis .Voir la note en bas de page 2
Une ÉFVP était nécessaire pour cerner et évaluer les risques liés à la protection des renseignements personnels une fois que les utilisateurs, tant les employés que les gestionnaires et superviseurs, commencent à remplir la nouvelle entente de rendement uniformisée. Ils sont tenus de fournir des renseignements personnels au Secrétariat du Conseil du Trésor du Canada (SCT) dans le cadre de l'évaluation et de l'appréciation du rendement de l'employé. Une ÉFVP permet d'établir le degré de sensibilité des renseignements personnels ainsi que l'efficacité et l'efficience des mesures de contrôle pour se prémunir contre le risque possible de communication non autorisée ou accidentelle, la corruption ou la modification possibles des données et le manque de données. L'ÉFVP examine aussi la conformité du programme ou du service d'un ministère fédéral avec les lois en vigueur, comme la Loi sur la protection des renseignements personnels, et les règlements connexes, comme le Règlement sur la protection des renseignements personnels, ainsi qu'avec les politiques, normes, directives et lignes directrices du Conseil du Trésor et du SCT. L'ÉFVP doit aussi respecter la Politique sur la protection de la vie privée, la Directive sur l'évaluation des facteurs relatifs à la vie privée, la Directive sur les pratiques relatives à la protection de la vie privée et d'autres documents pertinents faisant partie du cadre stratégique.
La Directive sur la gestion du rendement est entrée en vigueur le . Afin d'aider les 88 ministères et organismes de l'administration publique centrale à adhérer à la directive, le SCT a élaboré une solution globale. L'application GRFP a été conçue pour permettre à tous les employés et à leurs gestionnaires d'utiliser un formulaire Web pour remplir leurs ententes de rendement et documenter les discussions et les cotes liées au rendement. L'application GRFP exige que les fonctionnaires s'inscrivent dans le Portail des applications du SCT (PAS). Les personnes qui se servent du PAS pour la première fois doivent remplir les champs obligatoires comme leur prénom, nom de famille, code d'identification de dossier personnel (CIDP), ou numéro du Système d'information sur la gestion des ressources humaines (SIGRH) pour les membres de la GRC. Ils doivent aussi fournir leur adresse de courriel du gouvernement. L'adresse de courriel est requise pour que l'application GRFP envoie un avis électronique à l'employé indiquant que son gestionnaire ou superviseur l'a sélectionné comme étant l'un de ses employés et qu'il doit confirmer cette sélection. L'authentification de connexion de tous les utilisateurs nécessite l'utilisation de maCLÉ du service Gestion des justificatifs internes de Services partagés Canada.
L'application GRFP est vue comme une mesure provisoire en attendant la migration vers la version 9.1 de PeopleSoft aux fins de la gestion des ressources humaines dans l'ensemble de l'administration publique fédérale. Les gestionnaires peuvent aussi être des utilisateurs de l'application GRFP s'ils sont eux-mêmes assujettis à des ententes de rendement. Les cadres supérieurs appartenant au groupe EX ne sont pas visés par la Directive sur la gestion du rendement.Voir la note en bas de page 3
Description de la catégorie de documents et des fichiers de renseignements personnels
Catégorie de documents
- Évaluation de la gestion du rendement (NDP 946)
Comprend des dossiers sur l'évaluation du rendement des employés d'après des objectifs fixés périodiquement. Cette catégorie peut comprendre de l'information sur les besoins en formation, les objectifs et les attentes de l'employé/employeur, les compétences, la mauvaise conduite des employés, la rémunération au rendement, les augmentations annuelles, les périodes d'essai et les mesures disciplinaires.
Types de documents
- Évaluations de rendement
- Ententes de rendement
- Plans d'apprentissage et de perfectionnement
- Plans de gestion du rendement
- Rapports d'enquêtes
- Rapports sur les plans d'action
Fichiers de renseignements personnels connexes
- Programme de gestion du rendement des employés, POE 912
Ce fichier décrit l'information utilisée dans le but d'appuyer la gestion du rendement des employés d'une institution fédérale. Les renseignements personnels peuvent comprendre le nom, les renseignements biographiques, les renseignements sur les études, les renseignements qui figurent au dossier de l'employé, les renseignements médicaux, le numéro d'identification d'employé, d'autres numéros d'identification, la signature et des opinions et points de vue sur, ou concernant, l'individu.
- Programme de gestion du rendement pour les employés, SCT PCE 754
Ce fichier décrit l'information utilisée dans le but d'appuyer la gestion du rendement des employés de l'administration publique centrale. Les renseignements personnels peuvent comprendre le nom, les renseignements biographiques, les renseignements sur les études, les renseignements qui figurent au dossier de l'employé, les renseignements médicaux, le numéro d'identification d'employé, d'autres numéros d'identification, la signature et des opinions et points de vue sur, ou concernant, l'individu.
Fondement juridique du programme ou de l'activité
L'application GRFP appuie la collecte uniforme, le stockage sécurisé et l'accès contrôlé aux données sur la gestion du rendement ainsi que la production de rapports sur ces données. Elle est gérée et tenue à jour par le BDPRH du SCT.
Les renseignements fournis dans l'entente de rendement d'une personne sont recueillis en vertu de l'article 11.1 de la Loi sur la gestion des finances publiques pour appuyer la gestion du rendement des employés de l'administration publique centrale.
L'utilisation de cette entente de rendement permet aux administrateurs généraux des ministères de s'acquitter de la responsabilité de mettre en place un programme de gestion du rendement des employés, y compris des évaluations annuelles écrites du rendement de tous les employés, tel qu'énoncé dans la Directive sur la gestion du rendement, établie en vertu des articles 7 et 11.1 de la Loi sur la gestion des finances publiques. Tous les employés doivent être évalués en conformité avec leurs conditions d'emploi.
Les renseignements fournis peuvent être utilisés ou communiqués à des fins d'analyse stratégique, de recherche, de vérification, d'évaluation, d'établissement de statistiques, de dotation et de recrutement, de gestion des talents et de planification de la relève. Plus précisément, ces renseignements peuvent être utilisés par des ministères et organismes fédéraux (énumérés aux annexes I et IV de la Loi sur la gestion des finances publiques) aux fins de la dotation et du recrutement, de la gestion des talents et de la planification de la relève, et par le SCT à des fins d'analyse stratégique, de recherche et d'évaluation.
Résultats de l'évaluation des facteurs relatifs à la vie privée : résumé des risques et mesures d'atténuation
1. L'avis et le consentement sont insuffisants :
L'Avis de confidentialité sur le PAS et l'application GRFP ne fournit pas suffisamment de détails. Il consiste en un énoncé indiquant que la collecte des ententes de rendement est une nouvelle fonction du BDPRH et que des renseignements personnels de nature délicate peuvent être communiqués à des tiers fournisseurs de services ou leur être accessibles. En outre, il n'est pas indiqué clairement que l'entente de rendement est une exigence obligatoire pour tous les employés à plein temps et les gestionnaires et superviseurs de l'administration publique centrale et que le consentement est implicite aux termes de la Directive sur la gestion du rendement.Voir la note en bas de page 4
Atténuation
Le BDPRH a élaboré un avis de confidentialité pour l'application GRFP de concert avec les Services juridiques du SCT et le Bureau de l'AIPRP afin de décrire le fondement juridique et le but de la collecte, de l'utilisation, de la communication, de l'échange, du stockage et de la destruction des renseignements personnels pour ce programme et ce service.
2. La nécessité de recueillir des renseignements personnels doit être claire :
Il est possible que le BDPRH recueille plus de renseignements personnels que nécessaire pour l'administration de ce programme. On prévoit extraire des données de l'application GRFP aux fins de l'établissement de rapports et de la réalisation d'analyses statistiques qui pourraient contenir des renseignements personnels non anonymisés et des données tirées de l'entente de rendement d'un employé.
Atténuation
L'entente de rendement uniformisée qui est intégrée dans l'application GRFP recueille et continuera de recueillir un minimum de renseignements personnels nécessaires pour la gestion du rendement des employés dans l'ensemble de l'administration publique centrale. Elle permet en outre la production de renseignements à l'appui de la planification et de l'exécution de programme qui sont nécessaires pour veiller à ce que les employés et les gestionnaires reçoivent le soutien requis pour maintenir et améliorer le rendement comme le prévoit la Directive sur la gestion du rendement.
3. Aucun calendrier de conservation et de destruction des données n'a été établi :
Aucune autorisation de disposition de documents ne satisfait aux exigences opérationnelles de conserver les ententes de rendement au-delà de la période de conservation actuelle de cinq ans. Les ententes de rendement doivent être conservées plus longtemps.
Atténuation
Le BDPRH souhaite établir un nouveau calendrier de conservation et de destruction des données sur la gestion du rendement saisies par l'application GRFP. Les dates possibles pour l'établissement de ce calendrier seront déterminées une fois que les besoins et les exigences opérationnels liés à la conservation des données auront été cernés et explorés. Les documents liés à la gestion du rendement des employés ne sont pas considérés comme ayant une valeur durable, comme convenu avec Bibliothèque et Archives Canada, et ils n'ont jamais fait partie du dossier d'employé envoyé au Centre de services régional du Manitoba lorsqu'un employé quitte la fonction publique fédérale.
Le BDPRH collaborera avec la Direction de la gestion de l'information et de la technologie du SCT et avec des ministères et organismes pour établir l'autorisation de disposition des documents pour ce nouveau programme à la lumière de la nécessité de conserver les ententes de rendement des employés plus longtemps que la limite actuelle de cinq ans.
4. Consignation des nouvelles utilisations dans Info Source et dans le fichier de renseignements personnels (FRP) :
Le FRP dans Info Source n'est pas exact et ne tient pas compte de l'utilisation ou de l'échange de renseignements personnels proposés par le BDPRH et les ministères et organismes du gouvernement du Canada.
Atténuation
Un FRP central du SCT dans Info Source a été créé pour qu'il tienne compte des utilisations des renseignements personnels proposées par le BDPRH et les ministères et organismes du gouvernement du Canada.
5. Les mesures de protection de la vie privée sont insuffisantes :
- Il n'y a pas suffisamment de documentation détaillée sur les exigences opérationnelles de l'unité opérationnelle du BDPRH pour les fournisseurs de services informatiques à la Direction de la gestion de l'information et de la technologie du SCT, plus particulièrement en ce qui concerne les exigences relatives à l'extraction de données aux fins de l'établissement de rapports.
- Au moment d'effectuer cette évaluation des facteurs relatifs à la vie privée, peu de renseignements étaient disponibles sur la journalisation, la vérification, la surveillance et l'examen robustes de l'activité du système.
Atténuation
L'environnement est entièrement certifié et autorisé à fonctionner jusqu'au niveau protégé B par le dirigeant principal de l'information du SCT. Cette autorisation était fondée sur les résultats d'une évaluation détaillée de la menace et des risques et d'une évaluation de la vulnérabilité effectuées par des tiers œuvrant au sein de l'équipe de l'Évaluation et autorisation de sécurité de la TI du SCT.
La séparation des tâches et le principe du besoin de savoir ont été mis en œuvre, ce qui restreint l'accès à certaines fonctions et aux renseignements fondés sur le rôle. Cette séparation a été appliquée aux utilisateurs, aux gestionnaires, aux ministères, au BDPRH et au SCT. Les mesures de contrôle et de protection qui sont présentement en place portent sur l'accès, la capacité de lire et de réviser, la gestion des comptes, la journalisation et la vérification.
6. Coordonnées d'une personne-ressource :
La personne désignée pour répondre aux questions relatives à la collecte de renseignements personnels devrait renvoyer l'utilisateur au Bureau de l'AIPRP du SCT en fournissant l'adresse de courriel, le numéro de téléphone et l'adresse postale d'une personne-ressource du Bureau. Les coordonnées du Bureau de l'AIPRP du Ministère ne doivent pas être utilisées.
Atténuation
Le SCT et le BDPRH sont chargés de la collecte centralisée de renseignements personnels de nature délicate et ils peuvent intervenir directement pour apporter des corrections afin d'assurer l'exactitude et l'intégralité des renseignements personnels.
© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, [2015],
[ISBN : 978-0-660-25692-4]
Détails de la page
- Date de modification :