1.1 La présente directive entre en vigueur le 1er avril 2010.
1.2 Elle remplace les documents suivants :
1.3 Les institutions fédérales auront jusqu'au 1er septembre 2010 pour mettre en œuvre la section relative aux exigences de la présente directive à l'exception des articles 6.3.9; 6.3.10, 6.3.11, 6.3.16, 6.3.17 et l'Annexe C. Les institutions auront jusqu'au 1er avril 2011 pour la mise en œuvre de ces exigences.
2.1 La présente directive s'applique aux institutions fédérales visées par l'article 3 de la Loi sur la protection des renseignements personnels (la Loi), y compris toute société d'État mère ou filiale à cent pour cent d'une telle société.
2.2 La présente directive ne s'applique pas à la Banque du Canada.
2.3 L'annexe B renferme des exigences supplémentaires à l'intention des « ministères » au sens défini à l'article 2 de la Loi sur la gestion des finances publiques ettel qu'indiqué au paragraphe 71(5) de la Loi sur la protection des renseignements personnels.
2.4 La directive ne s'applique pas à l'élaboration de nouvelles lois.
3.1 Le gouvernement du Canada est résolu à s'assurer que la protection de la vie privée constitue un élément central de l'élaboration initiale et de l'administration subséquente des programmes et des activités comportant des renseignements personnels. Au cours des dernières années, la population canadienne aussi bien que les parlementaires ont été interpellés par des défis à la fois complexes et délicats en matière des mesures proactives de lutte au terrorisme, l'utilisation de surveillance et de technologie intrusive, le partage transfrontalier des renseignements personnels et les atteintes à la vie privée causées par les infractions à la sécurité. Les Canadiens veulent être informés et rassurés en ce qui concerne le traitement de leurs renseignements personnels.
3.2 Selon la Loi sur la protection des renseignements personnels (LPRP), tout ensemble ou groupement de renseignements personnels est définit comme un fichier de renseignements personnels. En vertu de la LPRP, il incombe aux responsables des institutions fédérales d'identifier, de décrire et de rendre compte de leurs fichiers de renseignements personnels (FRP). Le président du Conseil du Trésor, à titre de ministre désigné, assume la responsabilité générale de l'enregistrement de tous les fichiers de renseignements personnels (FRP) et de l'examen du mode de gestion de ces derniers pour toutes les institutions fédérales tel que défini à l'article 3 de la Loi sur la protection des renseignements personnels. Outre son rôle de supervision générale, le président du Conseil du Trésor est chargé d'examiner et d'approuver les nouveaux FRP ou ceux qui ont fait l'objet de modifications importantes, ou d'établir les modalités d'une telle approbation pour les « ministères », tel que définis à l'article 2 de la Loi sur la gestion des finances publiques (LGFP). En vertu du paragraphe 71(6) de la Loi sur la protection des renseignements personnels, le président du Conseil du Trésor peut choisir de déléguer ses pouvoirs. En faisant un tel choix, le président du Conseil du Trésor tiendra compte de la conformité d'une institution avec la Politique sur la protection de la vie privée, de la présente directive, d'autres directives ainsi que de tout formulaire réglementaire. L'examen et l'approbation des FRP ne peuvent être délégués qu'aux ministères, tel que définis à l'article 2 de la LGFP. Néanmoins, le président du Conseil du Trésor demeure responsable de l'examen permanent des FRP pour toutes les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels.
3.3 La Directive sur l'évaluation des facteurs relatifs à la vie privée (ÉFVP) soutient les responsabilités du président du Conseil du Trésor en veillant à ce qu'avant la mise en œuvre d'une activité ou d'un programme nouveau ou ayant subi des modifications importantes comportant des renseignements personnels, on cerne, évalue et règle de manière appropriée les incidences sur la vie privée. Les institutions fédérales effectuent régulièrement des activités étendues liées à la gestion du risque et développent des profils de risques propres à leurs programmes et activités. Une ÉFVP est la composante de la gestion du risque qui vise à assurer la conformité avec les obligations de la LPRP et d'évaluer les incidences que peuvent avoir des programmes ou activités, nouveaux ou ayant subi des modifications importantes comportant des renseignements personnels, sur la vie privée. Toutefois, la préparation d'une ÉFVP peut être exigeante en termes de ressources si elle n'est pas correctement intégrée dans le cadre général de la gestion du risque de l'institution. Ainsi, le gouvernement est résolu à s'assurer que l'exécution des ÉFVP soit faite de façon proportionnée par rapport aux risques d'atteinte à la vie privée qui ont été identifiés, et ce, dans le respect des environnements opérationnels des institutions fédérales.
3.4 La présente directive est publiée conformément à l'alinéa 71(1)d) et aux paragraphes 71(3), 71(4), 71(5) et 71(6) de la Loi sur la protection des renseignements personnels.
3.5 La présente directive doit être lue de concert avec la Loi sur la protection de renseignements personnels, le Règlement sur la protection de renseignements personnels, la Politique sur la protection de la vie privée, la Directive sur les pratiques relatives à la protection de la vie privée, la Directive sur les demandes de renseignements personnels et de correction et la Directive sur le numéro d'assurance sociale.
4.1 Les définitions devant s'appliquer pour interpréter la présente directive se trouvent à l'annexe A de la présente directive. D'autres définitions sont jointes à l'annexe A de la Politique sur la protection de la vie privée.
5.1.1 Fournir, aux institutions fédérales, des directives sur la façon d'effectuer des ÉFVP pour des activités ou programmes nouveaux ou ayant subi des modifications importantes nécessitant la création, la collecte ou le traitement de renseignements personnels.
5.1.2 Assurer une solide gestion et la prise de décisions judicieuses, ainsi qu'un examen prudent des risques liés à la vie privée dans le contexte de la création, de la collecte ou du traitement de renseignements personnels, dans le cadre d'activités ou de programmes gouvernementaux, en effectuant des ÉFVP.
5.2.1 Les évaluations des facteurs relatifs à la vie privée sont effectuées d'une manière proportionnée au niveau de risque déterminé avant l'établissement d'une activité ou d'un programme nouveau ou ayant subi des modifications importantes renfermant des renseignements personnels.
5.2.2 La mise en œuvre de pratiques relatives à la protection de la vie privée conformes aux exigences juridiques et politiques associées à l'administration de la Loi sur la protection des renseignements personnels.
5.2.3 Les rapports destinés au public concernant les renseignements personnels qui relèvent de l'institution fédérale sont complets, exacts et à jour.
6.1.1 Établir au sein de leur institution un processus d'élaboration et d'approbation pour les évaluations des facteurs relatifs à la vie privée. Ce processus doit :
6.2.1 La création ou la modification des fichiers de renseignements personnels en collaboration avec l'agent principal ou le cadre responsable pour le programme ou l'activité, nouveau ou ayant subi des modifications importantes.
6.2.2 À moins d'être précisé dans les conditions d'une délégation faite en vertu du paragraphe 71 (6) de la Loi sur la protection des renseignements personnels, les institutions désignées comme étant des « ministères » en vertu de la Loi sur la gestion des finances publiques doivent obtenir l'approbation du Ministre désigné pour tout FRP nouveau ou ayant subi des modifications importantes avant de procéder à la cueillette de renseignements personnels.
6.2.3 Satisfaire aux obligations particulières énoncées à l'annexe B en ce qui a trait aux évaluations des facteurs relatifs à la vie privée dans le cadre du processus de présentations au Conseil du Trésor.
6.2.4 Collaborer avec l'agent principal ou le cadre approprié afin de s'assurer que les EFVP sont complétées et suivent le processus décrit au point 6.3.
6.3.1 Amorcer une ÉFVP pour un programme ou une activité lorsque :
6.3.2 Déterminer, en consultation avec l'agent responsable pour l'article 10 de la Loi sur la protection des renseignements personnels, si :
6.3.3 Les décisions prises en fonction des critères énoncés aux points 6.3.2 doivent être documentées correctement.
6.3.4 Identifier l'institution fédérale responsable dans les cas d'ÉFVP pluri-institutionnelles. À moins de la conclusion d'une entente ou d'une disposition contraire, l'institution qui exerce le principal contrôle sur les renseignements personnels ou qui est responsable du programme ou de l'activité sera responsable de l'ÉFVP.
6.3.5 Dans les situations où le programme ou l'activité est exécuté dans toutes les institutions fédérales, l'institution responsable de l'ÉFVP sera, à moins qu'il n'en soit prévu autrement par une entente ou d'une disposition contraire, celle qui:
6.3.6 Coordonner, au besoin, un comité interministériel composé d'intervenants clés, y compris les responsables des questions d'ordre juridique et politique lorsqu'un nouveau programme ou qu'une nouvelle activité comporte des considérations pangouvernementales.
6.3.7 Décider et documenter quelle approche est la plus appropriée pour mener et approuver les ÉFVPs à l'égard d'un programme ou d'une activité. Une ÉFVP globale ou pluri-institutionnelle est favorisée en ce qui concerne les programmes ou les activités exécutés en commun. L'approche devra tenir compte, au minimum, des processus d'approbation des institutions impliquées.
6.3.8 Superviser la collecte initiale et toutes les divulgations à des institutions fédérales impliquées dans le programme ou l'activité.
6.3.9 Compléter l'ÉFVP de base présentée à l'annexe C.
6.3.10 Définir le format approprié pour l'ÉFVP selon les besoins d'affaires de l'institution fédérale, les exigences de rapport interne et les activités générales de la gestion du risque.
6.3.11 Déterminer, en consultation avec l'agent responsable pour l'article 10 de la Loi sur la protection des renseignements personnels et en se référant à l'ÉFVP de base complétée si une analyse supplémentaire des secteurs de risque devrait être complétée et dans quelle mesure les stratégies d'atténuation des risques devraient être élaborées. Une analyse plus approfondie, qui inclut des plans ou des stratégies d'atténuation, est requise lorsque des risques de niveau élevé sont identifiés.
6.3.12 Obtenir, avant de demander l'approbation officielle, l'aval ou la signature des personnes suivantes :
6.3.13 Faire approuver à l'interne l'ÉFVP de base conformément au processus établi par l'institution fédérale.
6.3.14 À moins d'indication contraire dans les conditions et les modalités de la délégation, et en vertu du paragraphe 71(6) de la Loi sur la protection des renseignements personnels, s'assurer de fournir le modèle approuvé d'évaluation des facteurs relatifs à la vie privée (EFVP) ainsi que la description proposée des fichiers de renseignements personnels nouveaux ou modifiés au Secrétariat du Conseil du Trésor. Le SCT confirmera seulement que les exigences obligatoires de l'EFVP de base ont été respectées dans le but d'établir ou de réviser un FRP. Aucun autre document ne sera révisé, et donc aucun autre document n'est exigé par le SCT aux fins de l'examen et de l'approbation des fichiers de renseignements personnels.
6.3.15 Au moment de soumettre le modèle approuvé d'EFVP au SCT, s'assurer d'en fournir une copie au Commissariat à la protection de la vie privée (CPVP) et de lui remettre tous les autres documents demandés.
6.3.16 Rendre accessibles au public les sections suivantes du modèle approuvé de l'évaluation des facteurs relatifs à la vie privée de base :
6.3.17 Respecter les exigences en matière de sécurité ainsi que toute autre question de confidentialité ou de nature juridique lorsque les sections de l'ÉFVP de base approuvée, mentionnées au point 6.3.16, sont rendues publiques.
6.3.18 Partager, au besoin, des copies de l'ÉFVP approuvée et d'autres documents pertinents avec les partenaires et d'autres institutions fédérales. Le partage de cette information doit respecter les exigences en matière de sécurité ainsi que toute autre question de confidentialité ou de nature juridique.
6.4.1 Les exigences en matière de surveillance et de rapports de la Politique sur la protection de la vie privée s'appliquent à la présente directive.
7.1 Les conséquences indiquées dans la Politique sur la protection de la vie privée s'appliquent à la présente directive.
8.1 En plus des rôles et des responsabilités des organisations gouvernementales indiqués dans la Politique sur la protection de la vie privée, le Secrétariat du Conseil du Trésor va :
8.1.1 Examiner, avec diligence, le contenu des ÉFVP de base approuvées afin de s'assurer que les évaluations sont complètes. Le SCT n'approuve pas les EFVP et examinera uniquement l'ÉFVP de base afin de se conformer avec ses obligations en liens avec l'examen et l'approbation des fichiers de renseignements personnels.
8.1.2 Examiner, approuver et enregistrer les FRP pour les ministères définis à l'article 2 de la Loi sur la gestion des finances publiques.
8.1.3 Examiner et enregistrer les FRP de toutes les institutions fédérales y compris la Banque du Canada conformément à la loi.
8.1.4 Examiner annuellement l'annexe C afin de s'assurer que l'ÉFVP de base demeure pertinente et proposer des amendements si requis.
8.2 Outre les rôles et les responsabilités des organismes gouvernementaux précisés dans la Politique sur la protection de la vie privée, le Commissariat à la protection de la vie privée peut déterminer le niveau d'analyse et les renseignements additionnels dont il a besoin pour mener à bien l'examen ou l'enquête en vertu de la Loi sur la protection des renseignements personnels.
En sa qualité d'agent du Parlement chargé de superviser l'application de la Loi sur la protection des renseignements personnels, le Commissaire à la protection de la vie privée dispose de vastes pouvoirs d'enquête et d'examen. Il peut demander qu'on lui fournisse toute documentation supplémentaire sur un projet en ce qui concerne la planification, l'évaluation ou la mise en œuvre d'un programme ou d'une activité nouveau ou modifié qui comporte des renseignements personnels ou qui peut avoir des répercussions sur la vie privée des Canadiens et tout individu présent au Canada.
9.1 Autres lois et règlements pertinents:
9.2 Instruments de politique et publications connexes
10.1 Le public peut communiquer avec le Secrétariat du Conseil du Trésor du Canada pour les Demandes de renseignements concernant des questions au sujet de la présente Directive.
10.2 Les employés des institutions fédérales peuvent communiquer avec leur coordonnateur de l’accès à l’information et de la protection des renseignements personnels concernant des questions au sujet de la présente Directive.
10.3 Les coordonnateurs de l’AIPRP peuvent communiquer avec la direction de la Politique sur l’accès à l’information et de la protection des renseignements personnels en ce qui concerne des questions au sujet de la présente Directive.
Les institutions fédérales qui demandent l'approbation du Conseil du Trésor pour des programmes ou des activités comportant des renseignements personnels sont chargées :
À moins d'être précisées dans les conditions d'une délégation faite en vertu du paragraphe 71 (6) de la Loi sur la protection des renseignements personnels, les institutions fédérales désignées comme étant des « ministères » en vertu de la Loi sur la gestion des finances publiques et conformément au paragraphe 71(5) de la Loi sur la protection des renseignements personnels doivent :
Nota: Selon la Politique sur la protection de la vie privée, les responsables d'institutions fédérales sont tenus d'aviser le commissaire à la protection de la vie privée de toute initiative prévue (loi, règlement, politique, programme) pouvant avoir rapport avec la Loi sur la protection des renseignements personnels ou l'une de ses dispositions, ou pouvant avoir une incidence sur la vie privée des Canadiens et Canadiennes. Cet avis doit être transmis suffisamment tôt pour permettre au commissaire d'examiner les enjeux et d'en discuter.
Les sections qui suivent et les informations présentées ci-dessous constituent le contenu minimal d'une EFVP de base. Dans le cas d'une ÉFVP pluri-institutionnelle, chaque institution fédérale impliquée est responsable pour contribuer à et compléter une ÉFVP de base selon d'une manière compatible avec l'approche définit par l'institution fédérale responsable.
L'ÉFVP de base doit inclure l'identification et la catégorisation préliminaire de risques tel que présentée ci-dessous. Afin d'établir une approche uniforme en ce qui concerne les catégories de risques et les échelles de risques pangouvernementale, les secteurs normalisés de risque ainsi que les échelles de risque présentés doivent être maintenus comme base pour une analyse préliminaire de risque.
L'échelle de risque chiffrée est présentée en ordre croissant :
Dans un premier temps, il faut évaluer chaque secteur indépendamment des autres. Dans un deuxième temps, il faut effectuer une synthèse des résultats individuels afin de déterminer si une analyse plus exhaustive est requise. Plus il y a de niveaux de risque 3 et 4, plus la pertinence d'effectuer une analyse approfondie des secteurs de risque concernés sera grande.
a) Type de programme ou d'activité | Échelle de risque |
---|---|
- Programme ou activité qui ne nécessitent pas la prise d'une décision concernant un individu identifiable. | 1 |
- Administration des programmes, des activités et des services. | 2 |
- Conformité/Enquêtes réglementaires et exécution de la réglementation. | 3 |
- Enquête criminelle et application de la loi ou sécurité nationale. | 4 |
b) Type de renseignements personnels recueillis et contexte | Échelle de risque |
---|---|
- Seules les données fournies directement par l'individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l'individu ou avec son consentement pour la communication pour autant que les données ne soient pas de nature délicate dans le contexte. | 1 |
- Données personnelles fournies par l'individu avec le consentement d'utiliser des données détenues par une autre source pour autant que les données ne soient pas de nature délicate après la collecte. | 2 |
- Le numéro d'assurance sociale, les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou encore le contexte de ceux ci est de nature délicate. Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l'individu concerné. | 3 |
- Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate. | 4 |
c) Participation des partenaires et du secteur privé au programme ou à l'activité | Échelle de risque |
---|---|
- Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution) | 1 |
- Avec d'autres institutions fédérales | 2 |
- Avec d'autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et/ou municipaux | 3 |
- Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé | 4 |
d) Durée du programme ou de l'activité | Échelle de risque |
---|---|
- Programme ou activité ponctuel. | 1 |
- Programme à court terme. | 2 |
- Programme à long terme. | 3 |
e) Personnes concernées par le programme | Échelle de risque |
---|---|
- Le programme touche certains employés à des fins administratives internes. | 1 |
- Le programme touche tous les employés à des fins administratives internes. | 2 |
- Le programme touche certains individus à des fins administratives externes. | 3 |
- Le programme touche tous les individus à des fins administratives externes. | 4 |
f) Technologie et vie privée |
---|
- Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, collecter ou traiter les renseignements personnels dans le but de soutenir le programme ou l'activité? |
- L'activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des TI? |
Questions spécifiques aux technologies et à la protection de la vie privée - Indiquer si le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes :
|
Une réponse affirmative à l'une ou l'autre des questions ci-haut indique la présence possible de risques et d'atteinte à la vie privée qui devront être évalués et, si requis, atténués. |
g) Transmission des renseignements personnels | Échelle de risque |
---|---|
- Les renseignements personnels sont utilisés au sein d'un système fermé (aucune connexion à Internet, à l'intranet ou à tout autre système. La distribution des documents papier est surveillée). | 1 |
- Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système. | 2 |
- Les renseignements personnels sont transférés à des dispositifs portatifs ou sont imprimés (clé USB, disquette, ordinateur portatif, ou tout transfert de renseignements personnels à un support de données différent.) | 3 |
- Les renseignements personnels sont transmis à l'aide de technologies sans fil. | 4 |
h) Le risque possible à l'individu ou à l'employé lors d'atteinte à la vie privée
i) Le risque possible à l'institution lors d'atteinte à la vie privée
Nota: En ce qui concerne les parties h) et i), les institutions fédérales peuvent consulter les Lignes directrices sur les atteintes à la vie privée afin d'obtenir des orientations supplémentaires.
Dans les cas d'ÉFVP pluri-institutionnelles, chacune des institutions fédérales impliquées est responsable, au minimum, de compléter les parties b), c), f), g), h) et i); alors que l'institution fédérale responsable doit compléter les parties a), d) et e).
Dans les cas d'ÉFVP pluri-institutionnelles, chacune des institutions fédérales impliquées est responsable, au minimum, d'identifier les éléments de renseignements personnels collectés ou divulgués dans le cadre de leur participation au programme ou à l'activité pluri-institutionnelle.
L'institution fédérale doit décider du format du flux des renseignements personnels.
Dans les cas d'ÉFVP pluri-institutionnelles, chacune des institutions fédérales impliquées est responsable, au minimum, de tracer le flux des renseignements personnels pour les renseignements personnels qui relèvent de l'institution. L'institution fédérale responsable sera responsable de tracer le flux des renseignements personnels entre ou parmi les institutions fédérales.
Dans les cas d'ÉFVP pluri-institutionnelles, chacune des institutions fédérales impliquées est responsable, au minimum, de présenter les pratiques relatives à la protection de la vie privée pour les renseignements personnels qui relèvent de leur institution.
Les sections ci-dessus et les renseignements s'y trouvant forment l'ÉFVP de base.