Directive intérimaire sur l'évaluation des facteurs relatifs à la vie privée

Fournit une orientation aux institutions gouvernementales sur la façon d’évaluer les incidences sur la vie privée des activités ou des programmes nouveaux ou ayant fait l’objet de modifications importantes qui nécessitent la création, la collecte et le traitement de renseignements personnels.
Modification : 2020-06-18

Renseignements supplémentaires

Politique :

Terminologie :

Sujet :

Hiérarchie

Archives

Cette directive remplace :

Voir tous les instruments inactifs
Version imprimable XML

1. Date d'entrée en vigueur

1.1 La présente Directive est en vigueur du 13 mars 2020 au 31 mars 2021.

1.2 La présente Directive remplace la Directive sur l’évaluation des facteurs relatifs à la vie privée datée du 1er avril 2010.

2. Application

2.1 La présente directive s'applique aux institutions fédérales visées par l'article 3 de la Loi sur la protection des renseignements personnels (la Loi), y compris toute société d'État mère ou filiale à cent pour cent d'une telle société.

2.2 La présente directive ne s'applique pas à la Banque du Canada.

2.3 L'annexe B renferme des exigences supplémentaires à l'intention des « ministères » au sens défini à l'article 2 de la Loi sur la gestion des finances publiques ettel qu'indiqué au paragraphe 71(5) de la Loi sur la protection des renseignements personnels.

2.4 La directive ne s'applique pas à l'élaboration de nouvelles lois.

3. Contexte

3.1 Le gouvernement du Canada est résolu à s'assurer que la protection de la vie privée constitue un élément central de l'élaboration initiale et de l'administration subséquente des programmes et des activités comportant des renseignements personnels. Au cours des dernières années, la population canadienne aussi bien que les parlementaires ont été interpellés par des défis à la fois complexes et délicats en matière des mesures proactives de lutte au terrorisme, l'utilisation de surveillance et de technologie intrusive, le partage transfrontalier des renseignements personnels et les atteintes à la vie privée causées par les infractions à la sécurité. Les Canadiens veulent être informés et rassurés en ce qui concerne le traitement de leurs renseignements personnels.

3.2 Selon la Loi sur la protection des renseignements personnels (LPRP), tout ensemble ou groupement de renseignements personnels est définit comme un fichier de renseignements personnels. En vertu de la LPRP, il incombe aux responsables des institutions fédérales d'identifier, de décrire et de rendre compte de leurs fichiers de renseignements personnels (FRP). Le président du Conseil du Trésor, à titre de ministre désigné, assume la responsabilité générale de l'enregistrement de tous les fichiers de renseignements personnels (FRP) et de l'examen du mode de gestion de ces derniers pour toutes les institutions fédérales tel que défini à l'article 3 de la Loi sur la protection des renseignements personnels. Outre son rôle de supervision générale, le président du Conseil du Trésor est chargé d'examiner et d'approuver les nouveaux FRP ou ceux qui ont fait l'objet de modifications importantes, ou d'établir les modalités d'une telle approbation pour les « ministères », tel que définis à l'article 2 de la Loi sur la gestion des finances publiques (LGFP). En vertu du paragraphe 71(6) de la Loi sur la protection des renseignements personnels, le président du Conseil du Trésor peut choisir de déléguer ses pouvoirs. En faisant un tel choix, le président du Conseil du Trésor tiendra compte de la conformité d'une institution avec la Politique intérimaire sur la protection de la vie privée, de la présente directive, d'autres directives ainsi que de tout formulaire réglementaire. L'examen et l'approbation des FRP ne peuvent être délégués qu'aux ministères, tel que définis à l'article 2 de la LGFP. Néanmoins, le président du Conseil du Trésor demeure responsable de l'examen permanent des FRP pour toutes les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels.

3.3 La Directive sur l'évaluation des facteurs relatifs à la vie privée (ÉFVP) soutient les responsabilités du président du Conseil du Trésor en veillant à ce qu'avant la mise en œuvre d'une activité ou d'un programme nouveau ou ayant subi des modifications importantes comportant des renseignements personnels, on cerne, évalue et règle de manière appropriée les incidences sur la vie privée. Les institutions fédérales effectuent régulièrement des activités étendues liées à la gestion du risque et développent des profils de risques propres à leurs programmes et activités. Une ÉFVP est la composante de la gestion du risque qui vise à assurer la conformité avec les obligations de la LPRP et d'évaluer les incidences que peuvent avoir des programmes ou activités, nouveaux ou ayant subi des modifications importantes comportant des renseignements personnels, sur la vie privée. Toutefois, la préparation d'une ÉFVP peut être exigeante en termes de ressources si elle n'est pas correctement intégrée dans le cadre général de la gestion du risque de l'institution. Ainsi, le gouvernement est résolu à s'assurer que l'exécution des ÉFVP soit faite de façon proportionnée par rapport aux risques d'atteinte à la vie privée qui ont été identifiés, et ce, dans le respect des environnements opérationnels des institutions fédérales.

3.4 La présente directive est publiée conformément à l'alinéa 71(1)d) et aux paragraphes 71(3), 71(4), 71(5) et 71(6) de la Loi sur la protection des renseignements personnels.

3.5 La présente directive doit être lue de concert avec la Loi sur la protection de renseignements personnels, le Règlement sur la protection de renseignements personnels, la Politique intérimaire sur la protection de la vie privée, la Directive intérimaire sur les pratiques relatives à la protection de la vie privée, la Directive sur les demandes de renseignements personnels et de correction et la Directive sur le numéro d'assurance sociale.

4. Définitions

4.1 Les définitions devant s'appliquer pour interpréter la présente directive se trouvent à l'annexe A de la présente directive. D'autres définitions sont jointes à l'annexe A de la Politique intérimaire sur la protection de la vie privée.

5. Énoncé de la directive

5.1 Objectifs

5.1.1 Fournir, aux institutions fédérales, des directives sur la façon d'effectuer des ÉFVP pour des activités ou programmes nouveaux ou ayant subi des modifications importantes nécessitant la création, la collecte ou le traitement de renseignements personnels.

5.1.2 Assurer une solide gestion et la prise de décisions judicieuses, ainsi qu'un examen prudent des risques liés à la vie privée dans le contexte de la création, de la collecte ou du traitement de renseignements personnels, dans le cadre d'activités ou de programmes gouvernementaux, en effectuant des ÉFVP.

5.1.3 Confirmer que les évaluations de la conformité en matière de vie privée, bien qu’elles représentent une façon rationalisée de mener une analyse de la vie privée comparativement aux évaluations des facteurs relatifs à la vie privée, soient menées à bien, en veillant à ce qu’elles soient conformes à la Loi sur la protection des renseignements personnels, et qu’elles respectent l’engagement du gouvernement d’assurer la protection de la vie privée des Canadiens et des Canadiennes.

5.2 Résultats attendus

5.2.1 Les évaluations des facteurs relatifs à la vie privée sont effectuées d'une manière proportionnée au niveau de risque déterminé avant l'établissement d'une activité ou d'un programme nouveau ou ayant subi des modifications importantes renfermant des renseignements personnels.

5.2.2 La mise en œuvre de pratiques relatives à la protection de la vie privée conformes aux exigences juridiques et politiques associées à l'administration de la Loi sur la protection des renseignements personnels.

5.2.3 Les rapports destinés au public concernant les renseignements personnels qui relèvent de l'institution fédérale sont complets, exacts et à jour.

6. Exigences

6.1 Les responsables des institutions fédérales ont les responsabilités suivantes :

6.1.1 Établir au sein de leur institution un processus d'élaboration et d'approbation pour les évaluations des facteurs relatifs à la vie privée. Ce processus doit :

  • tenir compte de la responsabilité d'établir des fichiers de renseignements personnels au sein de l'institution.
  • être proportionné au niveau de risque d'entrave à la vie privée lié aux programmes ou aux activités de l'institution fédérale, et
  • s'assurer que les évaluations des facteurs relatifs à la vie privée sont complétées par les agents principaux ou les cadres responsables pour les programmes ou les activités, nouveaux ou ayant subi des modifications importantes, au sein de l'institution.

6.2 Les responsables d'institutions fédérales ou les agents responsables pour l'article 10 de la Loi sur la protection des renseignements personnels sont responsables de :

6.2.1 La création ou la modification des fichiers de renseignements personnels en collaboration avec l'agent principal ou le cadre responsable pour le programme ou l'activité, nouveau ou ayant subi des modifications importantes.

6.2.2 À moins d'être précisé dans les conditions d'une délégation faite en vertu du paragraphe 71 (6) de la Loi sur la protection des renseignements personnels, les institutions désignées comme étant des « ministères » en vertu de la Loi sur la gestion des finances publiques doivent obtenir l'approbation du Ministre désigné pour tout FRP nouveau ou ayant subi des modifications importantes avant de procéder à la cueillette de renseignements personnels – cette exigence ne s’applique qu’aux ministères qui sont définis dans l’article 2 de la LPRP. Par contre, dans le cas d’une initiative urgente liée à la COVID-19, les administrateurs généraux ou leurs délégués au niveau de sous-ministre adjoint peuvent exercer leur pouvoir discrétionnaire pour différer la soumission d’une demande visant à enregistrer un fichier de renseignements personnels (FRP) nouveau ou modifié de manière importante, conformément à la section 6.4.

6.2.3 Satisfaire aux obligations particulières énoncées à l'annexe B en ce qui a trait aux évaluations des facteurs relatifs à la vie privée dans le cadre du processus de présentations au Conseil du Trésor.

6.2.4 Collaborer avec l'agent principal ou le cadre approprié afin de s'assurer que les EFVP sont complétées et suivent le processus décrit au point 6.3; ou, dans le cas d’une initiative urgente liée à la COVID-19, de remplir une évaluation de la conformité en matière de protection de la vie privée, comme il est indiqué à la section 6.4.

6.3 Les agents principaux ou les cadres appropriés sont responsables pour le suivi du processus ci-dessous afin de compléter une évaluation des facteurs relatifs à la vie privée :

A) Amorcer une évaluation des facteurs relatifs à la vie privée (ÉFVP)

6.3.1 Amorcer une ÉFVP pour un programme ou une activité lorsque :

  • des renseignements personnels sont utilisés ou que l'on prévoit utiliser dans le cadre d'un processus décisionnel touchant directement un individu;
  • des modifications importantes aux programmes ou aux activités déjà en place qui comportent des renseignements personnels qui sont utilisés ou que l'on prévoit utiliser à des fins administratives;
  • la sous-traitance ou le transfert du programme ou de l'activité à un autre palier de gouvernement ou au secteur privé et que cette sous-traitance ou ce transfert constitue une modification importante au programme ou à l'activité.

6.3.2 Déterminer, en consultation avec l'agent responsable pour l'article 10 de la Loi sur la protection des renseignements personnels, si :

  • les activités ou les programmes nouveaux ou ayant subi des modifications importantes, dans le cadre desquels aucune décision n'est prise concernant les individus, auront une incidence sur la vie privée et requièrent la tenue d'une ÉFVP; ou
  • le protocole de protection des renseignements personnels de l'institution fédérale est adéquat pour gérer les incidences sur la vie privée du programme ou de l'activité en question.

6.3.3 Les décisions prises en fonction des critères énoncés aux points 6.3.2 doivent être documentées correctement.

B) Dans les cas où plusieurs institutions sont impliquées 

6.3.4 Identifier l'institution fédérale responsable dans les cas d'ÉFVP pluri-institutionnelles. À moins de la conclusion d'une entente ou d'une disposition contraire, l'institution qui exerce le principal contrôle sur les renseignements personnels ou qui est responsable du programme ou de l'activité sera responsable de l'ÉFVP.

6.3.5 Dans les situations où le programme ou l'activité est exécuté dans toutes les institutions fédérales, l'institution responsable de l'ÉFVP sera, à moins qu'il n'en soit prévu autrement par une entente ou d'une disposition contraire, celle qui:

  • est chargée de l'exécution du programme ou de l'activité à l'échelle du gouvernement; ou
  • est l'autorité contractante pour le programme ou l'activité; ou
  • est l'autorité stratégique pour le programme ou l'activité à l'échelle du gouvernement.

6.3.6 Coordonner, au besoin, un comité interministériel composé d'intervenants clés, y compris les responsables des questions d'ordre juridique et politique lorsqu'un nouveau programme ou qu'une nouvelle activité comporte des considérations pangouvernementales.

6.3.7 Décider et documenter quelle approche est la plus appropriée pour mener et approuver les ÉFVPs à l'égard d'un programme ou d'une activité. Une ÉFVP globale ou pluri-institutionnelle est favorisée en ce qui concerne les programmes ou les activités exécutés en commun. L'approche devra tenir compte, au minimum, des processus d'approbation des institutions impliquées.

6.3.8 Superviser la collecte initiale et toutes les divulgations à des institutions fédérales impliquées dans le programme ou l'activité.

C) Mener l'évaluation des facteurs relatifs à la vie privée

6.3.9 Compléter l'ÉFVP de base présentée à l'annexe C.

6.3.10  Définir le format approprié pour l'ÉFVP selon les besoins d'affaires de l'institution fédérale, les exigences de rapport interne et les activités générales de la gestion du risque.

6.3.11  Déterminer, en consultation avec l'agent responsable pour l'article 10 de la Loi sur la protection des renseignements personnels et en se référant à l'ÉFVP de base complétée si une analyse supplémentaire des secteurs de risque devrait être complétée et dans quelle mesure les stratégies d'atténuation des risques devraient être élaborées. Une analyse plus approfondie, qui inclut des plans ou des stratégies d'atténuation, est requise lorsque des risques de niveau élevé sont identifiés.

D) Obtenir l'approbation interne de l'ÉFVP

6.3.12  Obtenir, avant de demander l'approbation officielle, l'aval ou la signature des personnes suivantes :

6.3.13  Faire approuver à l'interne l'ÉFVP de base conformément au processus établi par l'institution fédérale.

E) Avis et inscription

6.3.14  À moins d'indication contraire dans les conditions et les modalités de la délégation, et en vertu du paragraphe 71(6) de la Loi sur la protection des renseignements personnels, s'assurer de fournir le modèle approuvé d'évaluation des facteurs relatifs à la vie privée (EFVP) ainsi que la description proposée des fichiers de renseignements personnels nouveaux ou modifiés au Secrétariat du Conseil du Trésor. Le SCT confirmera seulement que les exigences obligatoires de l'EFVP de base ont été respectées dans le but d'établir ou de réviser un FRP. Aucun autre document ne sera révisé, et donc aucun autre document n'est exigé par le SCT aux fins de l'examen et de l'approbation des fichiers de renseignements personnels.

6.3.15  Au moment de soumettre le modèle approuvé d'EFVP au SCT, s'assurer d'en fournir une copie au Commissariat à la protection de la vie privée (CPVP) et de lui remettre tous les autres documents demandés.

F) Rendre compte publiquement de l'ÉFVP de base

6.3.16  Rendre accessibles au public les sections suivantes du modèle approuvé de l'évaluation des facteurs relatifs à la vie privée de base :

  • Aperçu et tenue de l'ÉFVP
  • Identification et catégorisation des secteurs de risques – Secteurs (a) à (h)

6.3.17  Respecter les exigences en matière de sécurité ainsi que toute autre question de confidentialité ou de nature juridique lorsque les sections de l'ÉFVP de base approuvée, mentionnées au point 6.3.16, sont rendues publiques.

G) Partage de l'ÉFVP

6.3.18  Partager, au besoin, des copies de l'ÉFVP approuvée et d'autres documents pertinents avec les partenaires et d'autres institutions fédérales. Le partage de cette information doit respecter les exigences en matière de sécurité ainsi que toute autre question de confidentialité ou de nature juridique.

6.4 Exigences relatives à une initiative urgente liée à la COVID 19

Évaluation de la conformité en matière de protection de la vie privée

6.4.1 Dans le cas d’une initiative urgente liée à la COVID-19, les administrateurs généraux ou leur délégué au niveau de sous-ministre adjoint peuvent exercer leur pouvoir discrétionnaire et remplir une évaluation de la conformité en matière de protection de la vie privée pour les programmes nouveaux ou modifiés de manière importante au lieu de mener une évaluation des facteurs relatifs à la vie privée complète.

6.4.2 Les institutions doivent remettre une copie de l’évaluation de la conformité en matière de protection de la vie privée au Secrétariat du Conseil du Trésor du Canada (SCT) et au Commissariat à la protection de la vie privée.

6.4.3 Un sommaire de l’évaluation de la conformité en matière de protection de la vie privée doit être mis à la disposition du public.

6.4.4 Lorsque ce pouvoir discrétionnaire est exercé pour des initiatives qui se prolongent après le 31 mars 2021, une évaluation des facteurs relatifs à la vie privée approuvée doit être menée et présentée au SCT et au Commissariat à la protection de la vie privée d’ici le 30 septembre 2021, conformément aux exigences prévues à la section 6.3.

Report de l’enregistrement de fichiers de renseignements personnels nouveaux ou modifiés

6.4.5 Dans le cas d’une initiative urgente liée à la COVID-19, l’administrateur général ou son délégué au niveau de sous-ministre adjoint peut exercer son pouvoir discrétionnaire pour différer la soumission d’une demande d’enregistrement d’un fichier de renseignements personnels nouveau ou modifié au Secrétariat du Conseil du Trésor du Canada.

6.4.6 La demande d’enregistrement d’un FRP nouveau ou modifié doit être présentée au Secrétariat du Conseil du Trésor du Canada au plus tard le 30 septembre 2021.

Rapport au Parlement

6.4.7 Les responsables des institutions doivent rendre compte de l’exercice des pouvoirs discrétionnaires prévus dans la section 6.4 dans le rapport annuel de l’institution au Parlement sur l’administration de la Loi sur la protection des renseignements personnels.

6.5 Surveillance et déclaration

7. Conséquences

7.1 Les conséquences indiquées dans la Politique intérimaire sur la protection de la vie privée s'appliquent à la présente directive.

8. Rôles et responsabilités des organisations gouvernementales

8.1 En plus des rôles et des responsabilités des organisations gouvernementales indiqués dans la Politique intérimaire sur la protection de la vie privée, le Secrétariat du Conseil du Trésor va :

8.1.1 Examiner, avec diligence, le contenu des ÉFVP de base approuvées afin de s'assurer que les évaluations sont complètes. Le SCT n'approuve pas les EFVP et examinera uniquement l'ÉFVP de base afin de se conformer avec ses obligations en liens avec l'examen et l'approbation des fichiers de renseignements personnels.

8.1.2 Examiner, approuver et enregistrer les FRP pour les ministères définis à l'article 2 de la Loi sur la gestion des finances publiques.

8.1.3 Examiner et enregistrer les FRP de toutes les institutions fédérales y compris la Banque du Canada conformément à la loi.

8.1.4 Examiner annuellement l'annexe C afin de s'assurer que l'ÉFVP de base demeure pertinente et proposer des amendements si requis.

8.2 Outre les rôles et les responsabilités des organismes gouvernementaux précisés dans la Politique intérimaire sur la protection de la vie privée, le Commissariat à la protection de la vie privée peut déterminer le niveau d'analyse et les renseignements additionnels dont il a besoin pour mener à bien l'examen ou l'enquête en vertu de la Loi sur la protection des renseignements personnels.

En sa qualité d'agent du Parlement chargé de superviser l'application de la Loi sur la protection des renseignements personnels, le Commissaire à la protection de la vie privée dispose de vastes pouvoirs d'enquête et d'examen. Il peut demander qu'on lui fournisse toute documentation supplémentaire sur un projet en ce qui concerne la planification, l'évaluation ou la mise en œuvre d'un programme ou d'une activité nouveau ou modifié qui comporte des renseignements personnels ou qui peut avoir des répercussions sur la vie privée des Canadiens et tout individu présent au Canada.

9. Références

10. Demandes de renseignements

Veuillez adresser toute demande de renseignements concernant la présente directive au coordonnateur de l'accès à l'information et protection des renseignements personnels (AIPRP) de votre institution. Pour une interprétation de la présente directive, le coordonnateur de l'AIPRP doit communiquer avec :

La Division des politiques de l'information et de la protection des renseignements personnels

Direction du dirigeant principal de l'information
Secrétariat du Conseil du Trésor
219, avenue Laurier Ouest
Ottawa (Ontario) K1A 0R5

Courriel : ippd-dpiprp@tbs-sct.gc.ca
Téléphone : 613-946-4945
Télécopieur : 613-952-7287


Annexe A - Définitions

agent responsable pour l'article 10 de la Loi sur la protection des renseignements personnels (official for section 10 of the Privacy Act )
Fonctionnaire ou employé qui a été désigné par arrêté de délégation pour assumer les responsabilités du responsable de l'institution fédérale ou le fonctionnaire ou l'employé qui s'acquitte des responsabilités au nom du responsable de l'institution fédérale en ce qui concerne l'article 10 de la Loi sur la protection des renseignements personnels pour ce qui est de la création de fichiers de renseignements personnels qui relèvent de l'institution fédérale.
agent principal ou cadre approprié de l'institution fédérale (appropriate senior official or executive of the government institution)
Il s'agit de l'agent chargé des responsabilités fonctionnelles pour compléter l'ÉFVP. La responsabilité incombera à l'agent principal ou au cadre chargé des responsabilités fonctionnelles pour le programme ou l'activité faisant l'objet de l'EFVP dans les cas où la responsabilité n'a pas été assignée spécifiquement à un agent.
authentification (authentication)
Il s'agit de l'acte qui consiste à vérifier (i) la validité de l'identité d'un individu ou d'une entité, ou (ii) l'intégrité des données en format électronique.
évaluation des facteurs relatifs à la vie privée de base (core privacy impact assessment)
Il s'agit d'éléments standardisés de l'ÉFVP qui ont un lien direct avec les obligations politiques et légales.
flux des renseignements personnels (flow of personal information)
Il s'agit d'une descriptionqui présente la création, la collecte, la conservation, l'utilisation, la divulgation et le retrait des renseignements personnels. Elle comprend l'identification des partenaires qui traitent les renseignements personnels aux fins de l'administration d'un programme ou d'une activité.
institution fédérale responsable (lead government institution)
Il s'agit de l'institution fédérale qui assume la responsabilité pour une évaluation des facteurs relatifs à la vie privée pluri-institutionnelle et qui est responsable de déterminer l'approche la plus appropriée pour compléter et approuver les ÉFVP qui appuient un programme ou une activité pluri-institutionnelle.
méthodes d'identification améliorées (enhanced identification methods)
Il s'agit de l'utilisation de la technologie dans le processus d'identification et d'authentification d'individu identifiable.
modification importante (substantial modification)
Il s'agit d'un changement ou d'une modification aux pratiques en matière de protection de la vie privée liées à un programme ou une activité dont il est fait mention dans la description d'un FRP. Elle englobe tout changement ou amendement aux pratiques relatives à la vie privée liés à des activités qui font usages de moyens automatisés ou technologiques pour identifier, créer, analyser, comparer, extraire, recueillir, apparier ou définir des renseignements personnels.
recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances (automated personal information analysis, personal information matching and knowledge discovery techniques)
Il s'agit d'une activité qui comporte l'utilisation de la technologie afin d'analyser, apparier, créer, comparer, recueillir, identifier définir ou extraire des éléments de renseignements personnels.
surveillance (surveillance)
Il s'agit d'une approche systématique pour l'observation continue d'espaces physiques et logiques, d'individus et/ou leurs activités, leur comportement ou leurs intérêts.

Annexe B - Exigences en matière d'évaluation des facteurs relatifs à la vie privée relativement au processus de présentations au Conseil du Trésor

Les institutions fédérales qui demandent l'approbation du Conseil du Trésor pour des programmes ou des activités comportant des renseignements personnels sont chargées :

  • De faire tous les efforts raisonnables afin d'initier l'ÉFVP au stade initiale de la planification de projet.
  • d'indiquer dans la demande si une évaluation des facteurs relatifs à la vie privée a été complétée. Si, en raison de l'urgence ou de la priorité de l'initiative, l'ÉFVP n'a pas été complétée, indiquer l'échéancier pour compléter l'ÉFVP.
  • d'indiquer, le cas échéant, les mesures prises ou à prendre pour faire face aux problèmes et aux risques relatifs à la vie privée dans l'énoncé du projet au moment de la demande d'approbation du projet auprès du Conseil du Trésor.
  • de mener une ÉFVP par rapport au programme ou activité nouveau ou ayant subi des modifications importantes avant la mise en œuvre de l'activité ou du programme nouveau ou ayant subi des modifications importantes qui ont été approuvées par le Conseil du Trésor ou dans un échéancier et sujet aux modalités fixées par le SCT.

À moins d'être précisées dans les conditions d'une délégation faite en vertu du paragraphe 71 (6) de la Loi sur la protection des renseignements personnels, les institutions fédérales désignées comme étant des « ministères » en vertu de la Loi sur la gestion des finances publiques et conformément au paragraphe 71(5) de la Loi sur la protection des renseignements personnels doivent :

  • obtenir l'approbation de tout FRP, nouveau ou ayant subi des modifications importantes, avant la mise en œuvre du programme ou de l'activité, nouveau ou ayant subi des modifications importantes, relié au FRP;
  • se conformer aux modalités et aux conditions relativement à l'approbation des fichiers de renseignements personnels par le ministre désigné conformément aux paragraphes 71(3) et 71(4).

Nota: Selon la Politique intérimaire sur la protection de la vie privée, les responsables d'institutions fédérales sont tenus d'aviser le commissaire à la protection de la vie privée de toute initiative prévue (loi, règlement, politique, programme) pouvant avoir rapport avec la Loi sur la protection des renseignements personnels ou l'une de ses dispositions, ou pouvant avoir une incidence sur la vie privée des Canadiens et Canadiennes. Cet avis doit être transmis suffisamment tôt pour permettre au commissaire d'examiner les enjeux et d'en discuter.

Annexe C – L'évaluation des facteurs de risque relatifs à la vie privée de base

Les sections qui suivent et les informations présentées ci-dessous constituent le contenu minimal d'une EFVP de base. Dans le cas d'une ÉFVP pluri-institutionnelle, chaque institution fédérale impliquée est responsable pour contribuer à et compléter une ÉFVP de base selon d'une manière compatible avec l'approche définit par l'institution fédérale responsable.

Section I – Aperçu et tenue de l'ÉFVP:

  1. L'institution fédérale ou l'institution fédérale responsable dans le cas d'une ÉFVP pluri-institutionnelle;
  2. Le responsable de l'institution fédérale ou son délégué pour l'article 10 de la Loi sur la protection des renseignements personnels ou, dans le cas d'une ÉFVP pluri-institutionnelle, le responsable ou son délégué pour chacune des institutions fédérales impliquées dans le programme ou l'activité;
  3. L'agent principal ou le cadre approprié pour le programme ou l'activité, nouveau ou ayant subi des modifications importantes;
  4. Le nom et la description du programme ou de l'activité de l'institution fédérale ou de l'institution fédérale responsable dans le cas d'une ÉFVP pluri-institutionnelle;
  5. L'autorisation légale relative au programme ou à l'activité. Dans les cas d'ÉFVP pluri-institutionnelles, l'autorisation légale doit être documentée pour chacune des institutions fédérales impliquées dans le programme ou l'activité;
  6. Si la proposition s'applique à un nouveau fichier de renseignements personnels ou à une proposition pour effectuer des modifications importantes à un fichier de renseignements personnels existant. Les fichiers existants doivent être identifiés par leurs titres, leurs numéros d'enregistrement et leurs numéros de fichier.
  7. Une brève description du projet, de l'initiative ou du changement.
  8. Dans les cas d'ÉFVP pluri-institutionnelles, l'institution fédérale responsable doit décrire la démarche retenue afin de compléter et d'approuver les ou l'EFVP qui appuie le programme ou l'activité. Une ÉFVP pluri-institutionnelle devra à tout le moins identifier les institutions fédérales impliquées et veillera à ce que le rôle de chacune des institutions à l'égard du programme ou de l'activité soit suffisamment documenté dans l'ÉFVP pluri-institutionnelle ou autrement selon la démarche retenue.

Section II - Identification et catégorisation des secteurs de risque

L'ÉFVP de base doit inclure l'identification et la catégorisation préliminaire de risques tel que présentée ci-dessous. Afin d'établir une approche uniforme en ce qui concerne les catégories de risques et les échelles de risques pangouvernementale, les secteurs normalisés de risque ainsi que les échelles de risque présentés doivent être maintenus comme base pour une analyse préliminaire de risque.

L'échelle de risque chiffrée est présentée en ordre croissant :

  • Le premier niveau représente le niveau de risque le plus bas pour le secteur;
  • Le quatrième niveau représente le niveau de risque le plus haut pour le secteur.

Dans un premier temps, il faut évaluer chaque secteur indépendamment des autres. Dans un deuxième temps, il faut effectuer une synthèse des résultats individuels afin de déterminer si une analyse plus exhaustive est requise. Plus il y a de niveaux de risque 3 et 4, plus la pertinence d'effectuer une analyse approfondie des secteurs de risque concernés sera grande.

a) Type de programme ou d'activité Échelle de risque
- Programme ou activité qui ne nécessitent pas la prise d'une décision concernant un individu identifiable. 1
- Administration des programmes, des activités et des services. 2
- Conformité/Enquêtes réglementaires et exécution de la réglementation. 3
- Enquête criminelle et application de la loi ou sécurité nationale. 4
b) Type de renseignements personnels recueillis et contexte Échelle de risque
- Seules les données fournies directement par l'individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l'individu ou avec son consentement pour la communication pour autant que les données ne soient pas de nature délicate dans le contexte. 1
- Données personnelles fournies par l'individu avec le consentement d'utiliser des données détenues par une autre source pour autant que les données ne soient pas de nature délicate après la collecte. 2
- Le numéro d'assurance sociale, les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou encore le contexte de ceux ci est de nature délicate. Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l'individu concerné. 3
- Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate. 4
c) Participation des partenaires et du secteur privé au programme ou à l'activité Échelle de risque
- Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution) 1
- Avec d'autres institutions fédérales 2
- Avec d'autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et/ou municipaux 3
- Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé 4
d) Durée du programme ou de l'activité Échelle de risque
- Programme ou activité ponctuel. 1
- Programme à court terme. 2
- Programme à long terme. 3
e) Personnes concernées par le programme Échelle de risque
- Le programme touche certains employés à des fins administratives internes. 1
- Le programme touche tous les employés à des fins administratives internes. 2
- Le programme touche certains individus à des fins administratives externes. 3
- Le programme touche tous les individus à des fins administratives externes. 4
f) Technologie et vie privée
- Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, collecter ou traiter les renseignements personnels dans le but de soutenir le programme ou l'activité?
- L'activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des TI?
Questions spécifiques aux technologies et à la protection de la vie privée

- Indiquer si le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes :
  • Méthodes d'identification améliorées
  • Recours à la surveillance
  • Recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances
Une réponse affirmative à l'une ou l'autre des questions ci-haut indique la présence possible de risques et d'atteinte à la vie privée qui devront être évalués et, si requis, atténués.
g) Transmission des renseignements personnels Échelle de risque
- Les renseignements personnels sont utilisés au sein d'un système fermé (aucune connexion à Internet, à l'intranet ou à tout autre système. La distribution des documents papier est surveillée). 1
- Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système. 2
- Les renseignements personnels sont transférés à des dispositifs portatifs ou sont imprimés (clé USB, disquette, ordinateur portatif, ou tout transfert de renseignements personnels à un support de données différent.) 3
- Les renseignements personnels sont transmis à l'aide de technologies sans fil. 4

h) Le risque possible à l'individu ou à l'employé lors d'atteinte à la vie privée

i) Le risque possible à l'institution lors d'atteinte à la vie privée

Nota: En ce qui concerne les parties h) et i), les institutions fédérales peuvent consulter les Lignes directrices sur les atteintes à la vie privée afin d'obtenir des orientations supplémentaires.

Dans les cas d'ÉFVP pluri-institutionnelles, chacune des institutions fédérales impliquées est responsable, au minimum, de compléter les parties b), c), f), g), h) et i); alors que l'institution fédérale responsable doit compléter les parties a), d) et e).

Section III - Analyse des éléments de renseignements personnels du programme ou de l'activité

  1. Identifier chaque élément des renseignements personnels collectés (Par exemple : 1) nom, 2) adresse, etc.);
  2. Identifier chaque sous-élément des renseignements personnels associé à l'élément des renseignements personnels (Par exemple : 1) prénom, initiale, nom de famille, 2) rue, numéro civique, ville, province, code postal, etc.);
  3. Identifier sous quelle forme les renseignements personnels seront consignés que ce soit sur support papier, support électronique, enregistrement audio, image visuelle, prélèvement biologique humain ou autre (veuillez spécifier).

Dans les cas d'ÉFVP pluri-institutionnelles, chacune des institutions fédérales impliquées est responsable, au minimum, d'identifier les éléments de renseignements personnels collectés ou divulgués dans le cadre de leur participation au programme ou à l'activité pluri-institutionnelle.

Section IV – Flux des renseignements personnels du programme ou de l'activité

  1. Nommer la ou les sources des renseignements personnels recueillis et la manière, s'il y a lieu, dont les renseignements personnels seront crés.
  2. Nommer les utilisations et les divulgations internes et externes. Plus précisément, nommer les secteurs, les groupes et les individus qui auront accès aux renseignements personnels et les personnes auxquelles ces renseignements seront fournis ou communiqués. Inclure l'information pour les points suivants s'il y lieu :
    • L'institution fédérale responsable du programme ou de l'activité (donner le titre et le numéro du FRP)
    • Autre institution fédérale responsable du programme ou de l'activité (donner le titre et le numéro du FRP)
    • Institution gouvernementale non fédérale (de niveau provincial ou municipal, les conseils autochtones, les organisations d'États étrangers, les organisations internationales) ou le secteur privé
  3. Nommer l'endroit où circuleront les renseignements personnels et où ils seront entreposés et détenus
  4. Nommer l'endroit où les secteurs, groupes et individu auront accès aux renseignements personnels.

L'institution fédérale doit décider du format du flux des renseignements personnels.

Dans les cas d'ÉFVP pluri-institutionnelles, chacune des institutions fédérales impliquées est responsable, au minimum, de tracer le flux des renseignements personnels pour les renseignements personnels qui relèvent de l'institution. L'institution fédérale responsable sera responsable de tracer le flux des renseignements personnels entre ou parmi les institutions fédérales.

Section V – Analyse de la conformité relative à la protection de la vie privée

  1. Au minimum, l'analyse de la conformité relative à la protection de la vie privée doit couvrir les secteurs suivants et doit identifier les mesures précises de conformité prises ou à prendre pour chacun des secteurs nommés ci-dessus :
  2. Conservation (article 6 de la Loi sur la protection des renseignements personnels)
  3. Exactitude (paragraphe 6(2) de la Loi sur la protection des renseignements personnels)
  4. Usage (article 7 de la Loi sur la protection des renseignements personnels)
  5. Divulgation – (article 8 de la Loi sur la protection des renseignements personnels)
  6. Mesures de protection administratives, physiques et techniques
  7. Technologie et protection de la vie privée
  8. Indiquez tous les changements aux exigences d'affaires qui ont un impact sur le système/logiciel/programme et qui peuvent avoir un impact sur les contrôles d'accès courants et les pratiques de protection de la vie privée en ce qui concerne la création, la collection, la conservation, l'utilisation et/ou la divulgation ainsi que la disposition des renseignements personnels
  9. déterminer si les anciens systèmes et/ou les services existants qui doivent être maintenus ou modifiés sont actuellement conformes avec les obligations en ce qui concerne la protection de la vie privée
  10. identifier toutes activités de sensibilisation en ce qui concerne les obligations de protection de la vie privée dans le nouvel environnement électronique

Dans les cas d'ÉFVP pluri-institutionnelles, chacune des institutions fédérales impliquées est responsable, au minimum, de présenter les pratiques relatives à la protection de la vie privée pour les renseignements personnels qui relèvent de leur institution.

Section VI – Sommaire de l'analyse et les recommandations (le cas échéant)

  1. Documenter l'analyse découlant de l'identification et de la catégorisation préliminaire des risques. Cette analyse doit être proportionnée aux secteurs de risque découverts.

Section VII – Liste des documents complémentaires

  1. Énumérer tous les autres documents qui ont servi ou qui ont rapport à l'ÉFVP de base – ceux-ci n'ont pas à être annexés à l'ÉFVP de base

Section VIII - Approbation officielle

  1. Une indication que l'ÉFVP a été officiellement approuvée conformément au processus d'approbation de l'institution fédérale;
  2. Dans les cas d'ÉFVP pluri-institutionnelles, une indication que l'ÉFVP a été officiellement approuvée conformément au processus d'approbation de l'institution fédérale responsable.

Les sections ci-dessus et les renseignements s'y trouvant forment l'ÉFVP de base.

Annexe D – Évaluation de la conformité en matière de protection de la vie privée

Évaluation de la conformité en matière de protection de la vie privée

Les administrateurs généraux ou leurs délégués au niveau de sous-ministre adjoint peuvent, à leur discrétion, utiliser l’évaluation de la conformité en matière de protection de la vie privée pour les initiatives urgentes liées à la COVID-19 au lieu de mener une évaluation des facteurs relatifs à la vie privée complète en ce qui concerne les programmes nouveaux ou modifiés de manière importante. Dans le cas des initiatives qui se prolongent après le le 31 mars 2021, une évaluation des facteurs relatifs à la vie privée complète doit être complétée d’ici le 30 septembre 2021.

Les institutions sont encouragées à consulter et à tenir compte du Cadre pour l’évaluation par le gouvernement du Canada des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée du Commissariat à la protection de la vie privée en tant que pratiques exemplaires en matière de protection de la vie privée.

Les demandes d’enregistrement de fichiers de renseignements personnels (FRP) nouveaux ou modifiés pour les initiatives urgentes liées à la COVID-19 doivent être présentées au SCT au plus tard le 30 septembre 2021.

L’évaluation de la conformité en matière de protection de la vie privée doit être signée par l’administrateur général ou son délégué au niveau de sous-ministre adjoint et envoyée par courriel au Secrétariat du Conseil du Trésor du Canada (ippd-dpiprp@tbs-sct.gc.ca) et au Commissariat à la protection de la vie privée (scg-ga@priv.gc.ca) avant la mise en œuvre du programme si possible.

Partie 1 : Consultation

1. Le bureau de l’accès à l’information et de la protection des renseignements personnels de l’institution a été consulté dans l’élaboration de la présente évaluation de la conformité en matière de protection de la vie privée.

2. Le Commissariat à la protection de la vie privée du Canada (CPVP) a été avisé de cette initiative.

 

S’il n’a pas été possible d’aviser le CPVP avant la mise en œuvre de l’initiative, veuillez expliquer pourquoi.

Partie 2 : Renseignements généraux
1. Institution et initiative

Nom de l’institution

Nom de l’initiative, du programme ou de l’activité.

2. Représentants chargés de remplir l’évaluation de la conformité en matière de protection de la vie privée.

Cadre supérieur responsable du secteur de programme

Nom, titre, adresse de courriel et numéro de téléphone.

Représentant délégué en matière de protection de la vie privée

 

3. Initiative pluri-institutionnelle (s’il y a lieu) En ce qui concerne les initiatives pluri-institutionnelles, nommer une institution qui aura la responsabilité générale des considérations liées à la protection de la vie privée pour contribuer à réduire les lacunes et les incohérences.

Institution générale, direction générale, direction.

Nom, titre, adresse de courriel et numéro de téléphone.

Partie 3 : Vue d’ensemble
1. À propos de l’initiative, du programme ou de l’activité Présentez un bref aperçu de l’initiative, du programme ou de l’activité. Décrivez brièvement le but que cette initiative, ce programme ou cette activité servira à atteindre. Veuillez également décrire les activités qui impliquent des renseignements personnels et donner une description de haut niveau des renseignements personnels concernés.

 

2. Justification pour l’utilisation de l’évaluation de la conformité en matière de protection de la vie privée plutôt que de mener une évaluation des facteurs relatifs à la vie privée complète.

 

Partie 4 : Autorité légale, collecte et avis.

1. La collecte proposée de renseignements personnels est autorisée en vertu de la loi.

Dressez la liste des autorités légales pour la collecte des renseignements personnels :

2. La collecte des renseignements personnels est directement liée à un programme ou à une activité.

Veuillez indiquer le nom du programme ou de l’activité ainsi que le nom de la loi habilitante.

3a. L’initiative, le programme ou l’activité collecte des renseignements personnels directement auprès de la personne.

OU

3b. Les renseignements personnels pour cette initiative, ce programme ou cette activité sont recueillis par une autre institution ou entité gouvernementale puis divulgués par la suite à l’initiative, au programme ou à l’activité.

⬜  L’autorité légale de collecter les renseignements personnels par d’autres entités a été vérifiée.

Veuillez décrire la collecte indirecte (par exemple, comment les individus sont informés de la manière dont les renseignements personnels sont collectés, l’objectif de la collecte et la manière dont les renseignements personnels seront utilisés, divulgués ou échangés).

4. Lorsque les renseignements personnels sont collectés directement auprès des personnes, celles-ci recevront, avant la collecte, un avis de confidentialité qui indiquera le but de la collecte et la manière dont les renseignements personnels seront utilisés, divulgués ou échangés.

5a. Au moins un fichier de renseignements personnels existe pour cette activité. Veuillez en dresser la liste ci-dessous.

OU

5b. Il faut modifier ou créer un fichier de renseignements personnels pour cette activité.

Partie 5 : Flux de données – Collecte, utilisation, divulgation, conservation et retrait de renseignements personnels.

Cette section devrait décrire le « cycle de vie » des renseignements personnels (la collecte, l’utilisation, la divulgation, la conservation et le retrait). Elle devrait également inclure les renseignements sur l’identification des partenaires qui gèrent les renseignements personnels dans le cadre de l’administration d’un programme ou d’une activité.

1. Renseignements personnels collectés

Indiquer chaque élément des renseignements personnels recueillis. Les renseignements collectés doivent être directement liés au programme, à l’activité ou à l’initiative et manifestement nécessaires à ceux-ci.
Par exemple :

  • Nom du demandeur du programme
  • Adresse
  • Adresse de courriel
  • Statut d’emploi

2. Méthode de collecte

Indiquer comment les renseignements personnels seront collectés (par exemple, à partir d’une application en ligne, par téléphone ou d’une autre façon).

3. Recueilli pour la première fois par

Indiquer qui collectera les renseignements personnels (par exemple, le gouvernement ou une application automatisée).

Dans le cas où les renseignements personnels seront collectés par une autre entité, veuillez expliquer la manière dont ils seront recueilli et comment ils seront transmis à l’institution gouvernementale.

4. Format de la collecten

Par exemple, sur papier, sous forme électronique, enregistrements audio, enregistrements d’images visuelles ou échantillons biologiques d’origine humaine.

5. Méthode de transmission

Par exemple, courriel régulier, courriel encrypté ou protocole SSL.

6. But de la collecte

Indiquer le but de la collecte de chaque élément des renseignements personnels.

7. Utilisations

Indiquer les programmes qui utilisent les renseignements personnels ainsi que toute nouvelle utilisation des renseignements personnels. Les renseignements personnels ne devraient servir qu’aux fins pour lesquelles ils ont été recueillis, à des fins conformes à ces fins ou conformément au paragraphe 8(2) de la Loi sur la protection des renseignements personnels ou toute autre autorité légale. Veuillez décrire la façon dont les renseignements sont utilisés, par exemple :

  • Le Laboratoire national de microbiologie utilise des taches de sang séché à des fins de diagnostic.
  • Emploi et Développement social Canada utilise des renseignements sur le revenu pour déterminer si une personne est admissible pour recevoir une prestation.

8. Divulgation de renseignements personnels

Indiquer les tiers externes à qui les renseignements personnels sont communiqués et l’autorité pour les communiquer. Par exemple :

  • Autre institution fédérale. Veuillez indiquer le titre et le numéro du fichier de renseignements personnels existant.
  • Institution non fédérale (par exemple, gouvernements ou conseils provinciaux ou territoriaux, municipaux ou autochtones, organisation d’un État étranger, organisation internationale ou université).
  • Partenaire du secteur privé.

9. Partenaires du secteur privé

⬜  La protection de la vie privée et des renseignements personnels a été abordée dans le contrat conclu avec le tiers du secteur privé, y compris l’autorité légale, le but et les limites, les périodes de conservation et les mesures de protection.

10. Accès

Indiquer les groupes de personnes qui auront accès aux renseignements personnels et comment ils y auront accès.

11. Conservation et retrait

⬜  Les renseignements personnels qui ne sont pas utilisés à des fins administratives feront l’objet d’un retrait lorsqu’ils ne seront plus nécessaires;
⬜  Les renseignements personnels utilisés à des fins administratives seront conservés conformément à la Loi sur la protection des renseignements personnels et son règlement; et
⬜  Des procédures sont en place pour assurer un retrait sécuritaire. Indiquer où les renseignements personnels seront entreposés ou conservés.

Indiquer le calendrier de conservation et de destruction et les autorités associées aux renseignements personnels (par exemple, autorisations de disposition des documents ou autorisations pluri-institutionnelles de disposer de documents).

Partie 6. Risque, atténuation et mesures de protection.

1. Le personnel a été formé adéquatement et conformément aux exigences relatives à la protection des renseignements personnels.

2. L’institution a mis un plan en place concernant les atteintes à la vie privée.

3. Une évaluation de la sécurité a été menée.

4. Les mesures de contrôle physiques et techniques suivantes ont été mises place pour éviter tout accès non autorité aux renseignements personnels.

  •  
  •  
  •  

5. Des renseignements dépersonnalisés ou agrégés sont utilisés dans la mesure du possible.

6. Identifier les principaux risques et leurs mesures d’atténuation. Tenez comptes des risques spécifiques associés aux renseignements de nature délicate, comme les données de localisation, les renseignements de santé et les renseignements financiers.

Indiquer qui est responsable des mesures d’atténuation et présenter un calendrier approximatif de mise en œuvre de chacune des mesures.

Les renseignements comme les données de localisation, les renseignements de santé et les renseignements financiers ont des considérations liées à la vie privée spécifiques.

Dresser la liste des principaux risques
Risque principal :
Mesure d’atténuation :
Responsable :
Échéancier de mise en œuvre :

Partie 7. Transparence

1. L’institution a mis en place un processus pour recevoir et répondre aux plaintes et aux demandes de renseignements liées à la protection de la vie privée.

2. Un sommaire de la présente évaluation de la conformité en matière de protection de la vie privée sera publié en ligne.

3. L’utilisation de l’évaluation de la conformité en matière de protection de la vie privée au lieu de mener une ÉFVP complète sera indiquée dans le rapport annuel au Parlement de l’institution sur l’administration de la Loi sur la protection des renseignements personnels.

Partie 8. Approbation

Dans le cas d’une initiative pluri-institutionnelle, l’administrateur général ou son délégué au niveau de sous ministre adjoint de l’institution responsable approuvera l’évaluation de la conformité en matière de protection de la vie privée.

Administrateur général ou délégué au niveau de sous-ministre adjoint

Date

© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, 2017,
ISBN : 978-0-660-09673-5

Date de modification :