Archivée [2014-05-06] - Directive sur les pratiques relatives à la protection de la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

1. Date d'entrée en vigueur

1.1 La présente Directive entre en vigueur le 31 janvier 2013.

1.2 Elle remplace la Directive sur les pratiques relatives à la protection de la vie privée datée du 1er avril 2010.

2. Application

2.1 La présente Directive s'applique aux institutions fédérales visées par l'article 3 de la Loi sur la protection des renseignements personnels, y compris toute société d'État mère ou filiale en propriété exclusive de ces sociétés.

2.2 La présente Directive ne s'applique pas à la Banque du Canada.

3. Contexte

3.1 La Loi sur la protection des renseignements personnels et le Règlement sur la protection des renseignements personnels constituent le cadre juridique régissant la collecte, la conservation, l'utilisation, la divulgation, le retrait et l'exactitude des renseignements personnels dans l'administration des programmes et des activités par les institutions fédérales. La Loi sur la protection des renseignements personnels reflète les normes reconnues à l'échelle internationale qui se fondent sur les principes voulant que chaque personne conserve la propriété de ses renseignements personnels, ait le droit de connaître les renseignements personnels recueillis la concernant, la façon dont ces renseignements seront utilisés, à qui ils seront divulgués, et à quel moment et de quelle façon ils seront détruits.

3.2 En vertu de la Loi sur la protection des renseignements personnels, les responsables de toutes les institutions fédérales sont tenus d'identifier, de décrire et de rendre publics leurs fichiers de renseignements personnels (FRP) et leurs catégories de renseignements personnels dans les publications annuelles du Secrétariat de Conseil du Trésor intitulées Info Source. Les descriptions dans Info Source des FRP et de catégories de renseignements personnels sont utilisées par les institutions fédérales pour informer le public et les employés de la fonction publique sur les renseignements personnels qu'elles recueillent et sur leur méthode de traitement de ces renseignements. Ces descriptions permettent aux individus d'apprendre comment leurs renseignements personnels sont utilisés et où ils sont conservés, ce qui leur permet d'exercer leur droit d'accès aux renseignements personnels les concernant et de les corriger, s'il y a lieu.

3.3 En vertu de la Politique sur la protection de la vie privée, les responsables des institutions fédérales doivent adopter les pratiques de gestion et de protection des renseignements personnels dont ils sont responsables en vue de s'assurer que la Loi sur la protection des renseignements personnels soit administrée de façon juste et uniforme. La présente Directive appuie la Politique par l'établissement des exigences en matière de saines pratiques de gestion de la vie privée de traitement des renseignements personnels. Ensemble, la Politique sur la protection de la vie privée et ses directives et lignes directrices connexes constituent les outils utilisés pour structurer une saine stratégie de gestion de la protection de la vie privée au sein des institutions fédérales.

3.4 En vertu de la Loi sur la protection des renseignements personnels, le président du Conseil du Trésor, à titre de ministre désigné, assume la responsabilité générale de l'enregistrement de tous les FRP et de l'examen du mode de gestion de ces derniers pour toutes les institutions fédérales. Outre son rôle de contrôle général, le président du Conseil du Trésor est responsable d'examiner et d'approuver les nouveaux FRP ou ceux qui ont fait l'objet de modifications importantes, ou d'établir les modalités d'une telle approbation pour les « ministères », tel que stipulé dans l'article 2 de la Loi sur la gestion des finances publiques (LGFP). En vertu du paragraphe 71(6) de la Loi sur la protection des renseignements personnels, le président du Conseil du Trésor peut décider de déléguer ce pouvoir. En faisant un tel choix, le président du Conseil du Trésor tiendra compte de la conformité d'une institution avec la Politique sur la protection de la vie privée, de la présente Directive, d'autres directives, ainsi que de tout formulaire réglementaire. L'examen et l'approbation des FRP peuvent être délégués seulement aux ministères, tel que stipulé dans la LGFP. Néanmoins, le président du Conseil du Trésor demeure responsable de l'examen continu des FRP pour toutes les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels.

3.5 La présente Directive est émise conformément à l'alinéa 71(1)d) de la Loi sur la protection des renseignements personnels.

3.6 La présente Directive doit être lue de concert avec la Loi sur la protection des renseignements personnels, le Règlement sur la protection des renseignements personnels, la Politique sur la protection de la vie privée, la Directive sur l'évaluation des facteurs relatifs à la vie privée et la Directive sur le numéro d'assurance sociale.

3.7 Les exigences obligatoires additionnelles que doivent respecter les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels sont prévues dans la Politique sur la protection de la vie privée, la Directive sur l'évaluation des facteurs relatifs à la vie privée, la Directive sur le numéro d'assurance sociale et la Directive sur les demandes de renseignements personnels et de correction.

4. Définitions

4.1 Les définitions devant s'appliquer pour interpréter la présente Directive se trouvent à l'annexe A de la présente Directive. D'autres définitions sont jointes à l'annexe A de la Politique sur la protection de la vie privée.

5. Énoncé de la Directive

5.1 Objectif

5.1.1 Faciliter la mise en œuvre et la publication des pratiques de gestion saines et uniformes régissant la création, la collecte, la conservation, l'utilisation, la divulgation, le retrait et l'exactitude des renseignements personnels dont les institutions fédérales sont responsables.

5.2 Résultats escomptés

5.2.1 Les renseignements personnels sont toujours recueillis, conservés, utilisés, divulgués et éliminés d'une manière qui respecte la vie privée des individus et les dispositions de la Loi sur la protection des renseignements personnels et du Règlement sur la protection des renseignements personnels;

5.2.2 Les fonds de renseignements personnels des institutions fédérales sont décrits d'une manière qui facilite pour les individus le processus de demander l'accès à leurs renseignements personnels et de les corriger;

5.2.3 Les raisons pour les institutions fédérales de recueillir des renseignements personnels et d'adopter des pratiques de protection des renseignements personnels qui appuient l'administration des programmes et des activités sont décrites dans leurs FRP et leurs catégories de renseignements personnels.

6. Exigences

6.1 Les responsables des institutions fédérales ou leurs délégués ont les responsabilités suivantes :

6.1.1 Établir des pratiques saines de protection de la vie privée dans leur institution. Les employés et les cadres doivent respecter ces pratiques lorsqu'ils participent à la création, la collecte, la conservation, l'utilisation, la validation, la divulgation ou le retrait de renseignements personnels, y compris les renseignements personnels des employé(e)s dont l'institution fédérale est responsable.

6.1.2 Établir un plan régissant les atteintes à la vie privée au sein de l'institution fédérale qui décrit :

  • les rôles et les responsabilités en cas d'atteinte à la vie privée;
  • les procédures internes et les exigences en matière de communications;
  • les normes en matière d'avis et les procédures pour informer le Commissariat à la protection de la vie privée et les parties visées par les atteintes à la vie privée; les procédures doivent couvrir les délais d'un tel avis.

Nota : Les institutions fédérales qui sont assujetties aux politiques du Conseil du Trésor s'assureront que le plan d'action régissant les atteintes à la vie privée soit conforme aux exigences semblables que l'on retrouve dans la Politique sur la sécurité du gouvernement, de ses directives et normes connexes. Les institutions fédérales peuvent également consulter les Lignes directrices sur l'atteinte à la vie privée afin d'obtenir de plus amples détails.

Fichiers de renseignements personnels et Catégories de renseignements personnels

6.1.3 S'assurer que tous les renseignements personnels dont l'institution fédérale est responsable soient déterminés et décrits dans les FRP ou les catégories de renseignements personnels de l'institution, ce qui comprend tout renseignement personnel recueilli ou créé par l'institution fédérale.

6.1.4 S'assurer que le processus de création des FRP, nouveaux ou ayant subi des modifications importantes, soit conforme au processus de création et d'approbation de l'évaluation des facteurs relatifs à la vie privée (ÉFVP) de base.

6.1.5 Présenter une proposition d'enregistrement d'un nouveau FRP ou de modification ou d'élimination d'un FRP existant. La proposition doit :

  • indiquer si elle concerne l'enregistrement, la modification ou la disposition du FRP;
  • dans le cas d'une proposition d'enregistrement d'un FRP ou de modifications importantes à un FRP, une description du FRP (nouveau ou ayant subi des modifications importantes) qui est conforme à toutes les normes ou prescriptions établies par le président du Conseil du Trésor en vertu de l'article 71 de la Loi sur la protection des renseignements personnels. Dans le cas d'une proposition visant à établir un nouveau FRP ou un FRP ayant subi des modifications importantes, l'ÉFVP de base complète sera nécessaire;
  • dans le cas de la disposition d'un FRP, l'institution fédérale doit fournir une explication justifiant l'élimination du FRP, ainsi que la confirmation que les dossiers liés au FRP ne seront plus la responsabilité de l'institution fédérale.

6.1.6 Remplir, tel que décrit à l'annexe B, toute exigence additionnelle relative aux propositions ayant une incidence sur les FRP des ministères en vertu de l'article 2 de la Loi sur la gestion des finances publiques.

Fichiers inconsultables

6.1.7 Consulter le Secrétariat du Conseil du Trésor (SCT) relativement à toute proposition visant la constitution ou l'élimination d'un fichier inconsultable, et soumettre à l'examen du SCT toute demande visant à désigner un FRP comme fichier inconsultable. Une telle demande doit comporter les éléments suivants :

  • une description des renseignements à inclure dans le fichier inconsultable, ainsi qu'une explication justifiant pourquoi les renseignements doivent être inclus dans un fichier inconsultable;
  • la confirmation que les dossiers dans le fichier se composent principalement de renseignements personnels du type décrit à l'article 21 ou 22 de la Loi sur la protection des renseignements personnels;
  • la disposition d'une exemption spécifique en vertu de laquelle les renseignements doivent être protégés, pour toute exemption fondée sur un énoncé des effets préjudiciables;
  • l'ébauche du décret en conseil et l'ébauche du Résumé de l'étude d'impact de la réglementation (REIR).

Demandes et divulgations à des organismes d'enquête

6.1.8 Se conformer aux exigences stratégiques concernant les demandes présentées par et les divulgations faites aux organismes d'enquête énoncés à l'annexe C.

Documentation des nouvelles utilisations et divulgations

6.1.9 Établir des procédures pour appuyer l'exigence de conserver un fichier de nouvelles utilisations et divulgations, ainsi que tout usage compatible qui n'est pas décrit dans le FRP. Ces procédures permettront de veiller à ce :

  • qu'un fichier soit conservé pour tout usage, objet ou toute divulgation non inscrite dans la description du FRP et que ce fichier soit conservé avec les renseignements personnels concernés. Cette exigence ne s'applique pas aux divulgations faites aux organismes d'enquête;
  • que le Commissariat à la protection de la vie privée soit avisé de toute nouvelle utilisation compatible et que ces utilisations compatibles soient reflétées dans les FRP pertinents.

Web analytique et protection de la vie privée

6.1.10 Veiller à ce que l'on utilise des outils du Web analytique pour mesurer et améliorer le rendement des sites Web du gouvernement du Canada, en conformité avec la Norme sur la protection de la vie privée et le Web analytique.

6.2 Les cadres et les agents principaux qui gèrent des programmes ou des activités comportant la création, la collecte ou le traitement de renseignements personnels sont responsables des éléments suivants :

Pratiques relatives à la protection de la vie privée

6.2.1 Porter à l'attention de la personne responsable des FRP de l'institution tout nouveau programme ou toute nouvelle activité, ou toute modification importante apportée à une activité ou à un programme existant, dans le cas où les renseignements personnels d'un individu sont recueillis ou traités dans le cadre d'un processus décisionnel exerçant une incidence directe sur la personne concernée.

6.2.2 Informer les personnes responsables de la gestion des sites Web de l'institution, de même que les spécialistes fonctionnels et les propriétaires de contenu Web, du besoin de s'assurer que les exigences de la Norme sur la protection de la vie privée et le Web analytique soient respectées.

6.2.3 S'assurer que ces pratiques de protection de la vie privée soient conformes aux dispositions dans les lois habilitantes et d'autres textes réglementaires s'appliquant au mandat de l'institution fédérale.

6.2.4 Informer les employés des conséquences légales et administratives découlant de l'accès inapproprié ou non autorisé aux renseignements personnels liés à une activité ou à un programme particulier.

Les atteintes à la vie privée

6.2.5 Mettre en œuvre le plan d'action régissant les atteintes à la vie privée pour l'institution fédérale selon les circonstances. Voir aussi les Lignes directrices sur les atteintes à la vie privée émises par le SCT.

Examen des fichiers inconsultables

6.2.6 Examiner régulièrement les fichiers inconsultables liés aux activités ou aux programmes de l'institution et, si des renseignements personnels ne sont plus pertinents, disposer des renseignements personnels conformément au calendrier de retrait.

Collecte et création de renseignements personnels

6.2.7 Obtenir une autorisation parlementaire pour toute activité ou tout programme d'une institution fédérale avant la collecte de tout renseignement personnel. L'obtention du consentement d'un individu à la collecte de ses renseignements personnels ne remplace ni n'établit l'autorisation parlementaire pour la collecte de renseignements personnels.

6.2.8 Déterminer les éléments à inclure dans le FRP avant toute collecte nouvelle de renseignements personnels.

6.2.9 Limiter la collecte de renseignements personnels à ceux qui sont liés directement aux programmes ou aux activités de l'institution fédérale, et manifestement nécessaires. La création de renseignements personnels par l'institution fédérale constitue également une collecte en vertu de la Loi sur la protection des renseignements personnels.

Avis de confidentialité

6.2.10 Aviser l'individu, dont les renseignements personnels font l'objet d'une collecte directe des éléments suivants :

  • la raison d'être de la collecte et l'autorisation obtenue pour la collecte;
  • toute utilisation ou divulgation conforme à la raison d'être originale;
  • toute utilisation ou divulgation non conforme à la raison d'être originale;
  • toute conséquence administrative ou légale découlant d'un refus de fournir les renseignements personnels;
  • le droit d'accéder et de demander des corrections à ses renseignements personnels et le droit de leur protection en vertu de la Loi sur la protection des renseignements personnels.

6.2.11 Adapter l'avis de confidentialité, au moment de la collecte, aux fins de communication écrite ou orale. Les avis de confidentialités écrits doivent inclure une référence au FRP décrit dans Info Source.

Nota : En vertu de la Loi sur la protection des renseignements personnels, les avis de confidentialité ne sont pas requis si cela peut mener à la collecte de renseignements inexacts, contrarier les fins de la collecte ou compromettre l'usage auquel les renseignements sont destinés.

Consentement

Nota : Il n'est pas nécessaire d'obtenir un consentement si les renseignements personnels seront utilisés aux fins pour lesquelles ils ont été recueillis, pour des utilisations compatibles avec les fins originales ou à des fins pour lesquelles ils peuvent être divulgués à l'institution en vertu du paragraphe 8(2) de la Loi sur la protection des renseignements personnels.

6.2.12 Obtenir le consentement d'un individu pour les fins suivantes :

  • collecte indirecte de renseignements personnels, sauf si la demande d'un consentement entraînerait la collecte de renseignements inexacts ou irait à l'encontre du but de la collecte ou encore, compromettrait l'utilisation de l'information recueillie;
  • utilisation ou divulgation qui ne respecte pas la raison d'être originale de la collecte ou du regroupement des renseignements, si ces utilisations ou fins n'ont pas été identifiées au moment de la collecte initiale;
  • tout retrait de renseignements personnels avant la fin de la période minimale de conservation de deux ans stipulée par le Règlement sur la protection des renseignements personnels.

6.2.13 Inclure, le cas échéant, les éléments suivants lorsqu'il s'agit de demander le consentement :

  • raison d'être du consentement et nature des renseignements personnels particuliers;
  • dans le cas d'une collecte indirecte, sources qui seront sollicitées pour fournir les renseignements;
  • utilisations et divulgations non conformes à la raison d'être originale et pour lesquelles un consentement est demandé;
  • conséquences d'un refus d'accorder le consentement;
  • choix offerts au individu autres que le consentement.

Nota : L'information ci-dessus s'ajoute à l'information figurant dans l'avis de confidentialité.

6.2.14 S'assurer que le consentement soit obtenu par écrit ou qu'il soit autrement documenté adéquatement, y compris la date et l'heure du consentement. Tout consentement donné de vive voix doit être enregistré.

Exactitude

6.2.15 Prendre toutes les mesures raisonnables pour s'assurer que les renseignements personnels utilisés dans un processus décisionnel soient exacts, à jour et complets. Ces mesures raisonnables comporteront l'une ou plusieurs des mesures administratives suivantes :

  • collecte ou validation directe auprès de l'individu;
  • collecte ou validation indirecte pouvant comporter la vérification des renseignements personnels auprès d'une source fiable (publique ou privée), lorsque cette action est autorisée ou que le consentement approprié a été obtenu;
  • mesures technologiques permettant de détecter les erreurs et les divergences.

Dans les cas où il n'est pas possible de procéder à une collecte directe ou d'obtenir le consentement approprié, les institutions fédérales doivent :

  • prendre les mesures nécessaires pour s'assurer que les renseignements personnels soient obtenus d'une source fiable;
  • prendre les mesures nécessaires pour vérifier les renseignements ou confirmer leur exactitude avant de les utiliser.

6.2.16 Documenter la source ou la technique utilisée pour valider les renseignements personnels, et s'il y a lieu, indiquer la source et tout couplage de données dans le FRP pertinent.

6.2.17 S'assurer que les individus aient, dans la mesure du possible, l'occasion de corriger tout renseignement personnel inexact les concernant avant la prise de toute décision à son endroit qui pourrait exercer une incidence sur eux.

Mesures de protection relatives à l'utilisation et à la communication des renseignements

6.2.18 Déterminer les postes dans le programme ou l'activité qui ont une raison valable d'accéder à des renseignements personnels et de les traiter, et limiter l'accès aux individus occupant ces postes.

6.2.19 Limiter l'accès aux renseignements personnels et leur utilisation par des mesures physiques, techniques et administratives, de manière à protéger les renseignements personnels et la vie privée d'un individu.

6.2.20 Employer des mesures appropriées pour s'assurer que l'accès aux renseignements personnels, leur utilisation et leur divulgation soient surveillés et documentés. Ces mesures visent à identifier en temps opportun l'accès inapproprié ou non autorisé aux renseignements personnels ou le traitement de ces renseignements personnels qui concernent une activité ou un programme particulier.

6.2.21 Se conformer aux exigences énoncées ci-dessous lorsque des renseignements personnels sont divulgués à une autre institution du secteur public ou privé, y compris à une autre institution fédérale :

  • l'avis de confidentialité reflète, s'il y a lieu, cette divulgation;
  • une entente ou un arrangement stipulant des mesures de protection appropriées a été conclu entre l'institution fédérale et l'institution du secteur public, qu'elle soit à un niveau international, fédéral, provincial, territorial ou municipal;
  • les marchés conclus avec les entités du secteur privé définissent les dispositions et les mesures visant à tenir compte des éléments suivants :
    • contrôle des renseignements personnels;
    • restrictions régissant la collecte et le traitement des renseignements personnels, ainsi que toute interdiction relative aux renseignements aux fins du marché;
    • retrait des renseignements personnels, s'il y a lieu;
    • mesures de protection administratives, techniques et physiques;
    • obligations des autres parties agissant au nom de l'institution fédérale.

Nota : Les institutions fédérales qui sont assujetties à la Politique sur la sécurité du gouvernement doivent s'assurer que les normes de sécurité gouvernementales sont respectées, y compris les exigences du Secteur de la sécurité industrielle de Travaux publics et Services gouvernementaux Canada.

6.2.22 Dans le cas où des renseignements personnels sont transférés hors du contrôle d'une institution fédérale à la suite de la cession ou de la privatisation d'un programme ou d'une activité, il faut s'assurer que :

  • l'autorité pour le transfert est établie;
  • les droits d'accès aux renseignements personnels des employés et de correction de ces renseignements sont maintenus et des pratiques adéquates sont en place pour assurer la confidentialité des renseignements;
  • un accord de transfert de documents a été conclu pour établir les modalités relatives aux documents faisant l'objet du transfert, y compris les questions de sécurité. Tout accord de cette nature doit respecter les exigences stipulées dans une autorisation de disposer de documents existants;
  • l'autorisation est obtenue au préalable du bibliothécaire et archiviste du Canada avant le transfert des documents. C'est ce qu'on appelle normalement une aliénation.

Documentation d'utilisations et de divulgations nouvelles

6.2.23 Aviser le responsable de l'institution fédérale ou le délégué approprié de toute utilisation, raison d'être ou divulgation dont il n'est pas fait mention dans la description du FRP.

Conservation et disposition de renseignements personnels

6.2.24 Appliquer les normes de conservation et de disposition de documents se rapportant aux renseignements personnels, et rendre compte de la longueur de la période de conservation dans le FRP pertinent.

Nota : Lorsqu'il s'agit de disposer des fichiers contenant des renseignements personnels, les institutions doivent considérer les dispositions de la Loi sur la Bibliothèque et les Archives du Canada. De plus, les institutions fédérales qui sont assujetties à la Politique sur la sécurité du gouvernement doivent disposer des fichiers en conformité avec les normes de sécurité gouvernementales.

Gestion de renseignements personnels concernant les employés

6.2.25 Mettre en œuvre des pratiques efficaces de protection des renseignements personnels, telles qu'énoncées dans la présente Directive, afin de gérer sainement les renseignements personnels des employés des institutions fédérales.

6.3 Exigences en matière de surveillance et d'établissement de rapports

6.3.1 Les exigences en matière de surveillance et d'établissement de rapports de la Politique sur la protection de la vie privée s'appliquent à la présente Directive.

7. Conséquences

7.1 Les conséquences définies dans la Politique sur la protection de la vie privée s'appliquent à la présente Directive.

8. Rôles et responsabilités des organisations gouvernementales

8.1 Outre le rôle décrit à la section 8 de la Politique sur la protection de la vie privée, il incombe au Secrétariat du Conseil du Trésor d'assumer les fonctions suivantes :

  • s'assurer que les FRP de toutes les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels sont tenus à jour et gérés conformément à la loi;
  • s'assurer que les FRP de toutes les institutions fédérales y compris la Banque du Canada soient enregistrés conformément à la loi;
  • examiner, faire les recommandations nécessaires et approuver les FRP nouveaux ou ayant subi des modifications importantes pour les institutions fédérales qui sont définis comme ministères au sens de la Loi sur la gestion des finances publiques;
  • élaborer les modalités et conditions d'approbation des FRP, ainsi que les modalités et conditions de délégation des responsabilités en matière d'examen et d'approbation des FRP aux responsables des ministères.

8.2 Les rôles et les responsabilités d'autres organismes gouvernementaux sont décrits à la section 8 de la Politique sur la protection de la vie privée.

9. Références

9.1 Lois et règlements pertinents

9.2 Instruments de politique et publications connexes

10. Demandes de renseignements

10.1 Veuillez envoyer toute demande de renseignements concernant la présente Norme au coordonnateur de l'accès à l'information et protection des renseignements personnels (AIPRP) de votre institution. Pour une interprétation de la présente Norme, le coordonnateur de l'AIPRP doit communiquer avec les Demandes de renseignement du SCT.

Annexe A – Définitions

Atteinte à la vie privée (Privacy breach)

Création, collecte, utilisation, divulgation, conservation ou retrait inappropriée ou non autorisée de renseignements personnels.

Avis de confidentialité (Privacy Notice)

Énoncé présenté à un individu afin de communiquer l'objet de la collecte, y compris l'autorité de l'institution fédérale de procéder à la collecte, à l'utilisation et à la divulgation des renseignements personnels pour un programme ou une activité en particulier. L'énoncé établit également le droit d'un individu d'accéder à ses renseignements personnels qui sont conservés dans le FRP du programme, ainsi que les conséquences d'un refus de fournir ses renseignements personnels.

Catégories de renseignements personnels (Classes of personal information)

Renseignements personnels dont on ne fait pas usage pour des fins administratives ou que l'on ne peut pas extraire au moyen d'un identificateur personnel. Ainsi, les opinions non sollicitées et la correspondance générale sont comprises dans ces catégories.

Collecte indirecte (Indirect collection)

Collecte de renseignements personnels auprès d'une source autre que la personne visée.

Création de renseignements personnels (Creation of personal information)

Tout élément ou sous-élément de renseignements personnels qu'une institution fédérale attribue à un individu identifiable sans égard au fait que les renseignements proviennent de renseignements personnels existants dont l'institution fédérale est responsable ou que l'institution fédérale appose de nouveaux renseignements au fichier de l'individu.

Délégué (Delegate)

Fonctionnaire ou employé qui a été désigné par un arrêté de délégation pour assumer les responsabilités du responsable de l'institution fédérale en ce qui concerne l'administration de la Loi sur la protection des renseignements personnels au sein de l'institution fédérale. Dans le cas où les responsabilités n'ont pas été déléguées, un agent principal ou un cadre de l'institution fédérale assumera les responsabilités fonctionnelles relatives à l'administration de la Loi sur la protection des renseignements personnels au nom du responsable de l'institution fédérale.

Divulgation (Disclosure)

Émission de renseignements personnels par une méthode quelconque (c'est-à-dire la transmission, la présentation d'une copie ou l'examen d'un fichier) à toute entité ou à tout individu.

Disposition précoce (Early disposition)

Disposition de renseignements personnels utilisés à des fins administratives avant la fin de la période minimale de conservation de deux ans, tel que stipulé au paragraphe 4(1) du Règlement sur la protection des renseignements personnels. Conformément au paragraphe 12(1) de la Loi sur la Bibliothèque et les Archives du Canada, les fichiers du gouvernement ne peuvent pas être détruits sans le consentement écrit du bibliothécaire et archiviste du Canada.

Étude d'impact de la réglementation (Regulatory Impact Analysis)

Outil utilisé dans le cadre d'un changement réglementaire afin d'en évaluer l'impact sur l'environnement, la santé, la sécurité et le bien-être social et économique des Canadiens.

Mesure de protection administrative (Administrative safeguard)

Application des politiques, directives, règles, procédures et processus d'une institution fédérale ayant trait à la protection des renseignements personnels tout au long du cycle de vie des renseignements personnels et du programme ou de l'activité.

Mesure de protection physique (Physical safeguard)

Installations et équipement qui servent à protéger le système de soutien où sont enregistrés et conservés les renseignements personnels.

Mesure de protection technique (Technical Safeguard)

Mesures employant les technologies de l'information afin de protéger les installations, l'équipement et le système de soutien où les renseignements personnels sont enregistrés et conservés.

Raison d'être originale (Original Purpose)

Raison originale de la collecte des renseignements personnels qui est liée directement à l'autorisation parlementaire pour le programme ou l'activité. Un objectif qui ne correspond pas à l'objectif original est traité comme étant un objectif secondaire.

Pratiques relatives à protection de la vie privée (Privacy practices)

Toutes les pratiques relatives à la création, la collecte, la conservation, l'exactitude, l'utilisation, la divulgation et le retrait des renseignements personnels.

Principalement (Predominantly)

Ce terme signifie qu'une partie prépondérante des renseignements d'un fichier peut être exemptée en vertu de l'article 21 ou 22 de la Loi sur la protection des renseignements personnels, c'est-à-dire que plus la proportion de renseignements pouvant être exemptés est élevée dans un fichier donné, plus la probabilité est élevée qu'ils soient admissibles à l'inclusion dans un fichier inconsultable. Chaque fichier doit être examiné avant d'être inclus dans un fichier inconsultable de renseignements personnels.

Source fiable (Reliable source)

Source de renseignements ou d'un fond de données jugé être exact et à jour, auquel on peut faire confiance lorsqu'il s'agit de valider des renseignements personnels.

Traitement (Handling)

Terme générique désignant la conservation, l'exactitude, l'utilisation, la divulgation et le retrait de renseignements personnels. Le terme est utilisé afin de faciliter la lecture et n'implique pas une réduction des normes en ce qui concerne les concepts mentionnés ci-dessus.

Vie privée (Privacy)

Droit d'un individu à son intimité et à être protégé contre toute intrusion injustifiée. Il s'agit aussi du droit d'un individu de garder le contrôle de ses renseignements personnels et de savoir à quelles fins ils sont utilisés, divulgués et où ils sont conservés.

Web analytique

Le Web analytique consiste en la collecte, l'analyse et la mesure des données sur l'achalandage des sites Web et les visites d'utilisateurs pour bien comprendre l'usage du Web et l'optimaliser.

Annexe B – Exigences supplémentaires pour les ministères au sens de l'article 2 de la Loi sur la gestion des finances publiques, conformément au paragraphe 71(5) de la Loi sur la protection des renseignements personnels

En plus de l'enregistrement et de la publication des FRP dans Info Source, les paragraphes 71(3) et 71(4) de la Loi sur la protection des renseignements personnels exigent que tout FRP, nouveau ou ayant subi des modifications importantes ou devant être éliminé, soit présenté par les institutions fédérales définies comme ministères au sens de la Loi sur la gestion des finances publiques au président du Conseil du Trésor pour approbation.

À moins que ce pouvoir n'ait été délégué par le président du Conseil du Trésor au responsable du ministère en vertu du paragraphe 71(6) de la Loi sur la protection des renseignements personnels, l'administrateur général ou son délégué responsable en vertu de l'article 10 de cette Loi doit :

  • présenter au SCT toutes les propositions visant la création, la modification ou la disposition d'un FRP;
  • fournir une justification ou une analyse soutenant la proposition. Dans le cas d'une proposition visant à créer ou à effectuer des modifications importantes à un FRP qui comprends la prise de décisions administratives, une ÉFVP de base doit être complétée (voir la Directive sur l'évaluation des facteurs relatifs à la vie privée).

Annexe C – Exigences relatives à l'alinéa 8(2)e) de la Loi sur la protection des renseignements personnels

L'alinéa 8(2)e) de la Loi sur la protection des renseignements personnels stipule que des renseignements personnels peuvent être divulgués à l'un des organismes d'enquête spécifiés dans le Règlement sur la protection des renseignements personnels, sur demande écrite de l'organisme, en vue d'appliquer une loi du Canada ou d'une province ou d'exécuter une enquête licite. Cette disposition n'accorde pas aux organismes d'enquête le droit d'accéder aux renseignements personnels. Elle confie toute décision relative à la divulgation de ces renseignements à la discrétion de l'institution, qui est responsable de ces renseignements, une fois que les critères pertinents ont été respectés.

8(2)e) Demandes de renseignements

Les demandes de renseignements faites en vertu de l'alinéa 8(2)e) de la Loi doivent être soumises par écrit et doivent comporter les éléments suivants :

  • le nom de l'organisme d'enquête;
  • le nom ou autre identificateur personnel de l'individu visé par la demande;
  • l'objet de la demande et une description des renseignements à divulguer;
  • l'article de la loi fédérale ou provinciale qui régit l'enquête à exécuter;
  • le nom, le titre et la signature du membre de l'organisme d'enquête qui fait la demande.

Toutes les demandes de renseignements reçues d'une institution doivent être conservées.

Documentation des divulgations en vertu de l'alinéa 8(2)e)

Lorsqu'une telle demande de renseignements est reçue, le responsable de l'institution ou son délégué responsable des décisions relatives à l'alinéa 8(2)e) de la Loi doit conserver un relevé de la divulgation des renseignements personnels faite à l'organisme d'enquête. Le relevé de la divulgation doit contenir les renseignements suivants :

  • acceptation ou refus de la demande, clairement indiqué sur la demande;
  • date de réception de la demande;
  • FRP contenant les renseignements divulgués;
  • renseignements personnels spécifiques, dossiers ou fichier qui ont été divulgués;
  • nom, titre et signature de l'agent qui a autorisé la réponse;
  • nom de l'institution.

Un FRP distinct est tenu à jour pour tous les relevés de divulgation à des organismes d'enquête fédéraux, y compris des copies des renseignements divulgués en réponse au demandeur de renseignements. Tel que stipulé au paragraphe 8(4) de la Loi sur la protection des renseignements personnels et à l'article 7 du Règlement sur la protection des renseignements personnels, les renseignements contenus dans ce FRP doivent être conservés pendant au moins deux ans et doivent être communiqués au Commissaire à la protection de la vie privée, s'il le demande.