Sélection de la langue

Recherche

Rapports annuels fédéraux sur la protection des renseignements personnels

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Article 72 de la Loi sur la protection des renseignements personnels

RAPPORT FINAL

2009


La présente vérification a été effectuée en conformité avec les pratiques, les politiques et le mandat législatif du Commissariat à la protection de la vie privée du Canada.

Pour obtenir des exemplaires de rapports ou d’autres publications du Commissariat à la protection de la vie privée :

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3

Téléphone : 613-995-8210 ou 1-800-282-1376
Télécopieur : 613-947-8210
Courriel : publications@priv.gc.ca


Points saillants

Champs d’examen

Nous nous sommes penchés sur la mesure dans laquelle les institutions fédérales respectaient les exigences du Secrétariat du Conseil du Trésor (SCT) en matière de production de rapports annuels ministériels au Parlement sur la protection des renseignements personnels (RAPRP). Pour évaluer la conformité, nous avons effectué une vérification des RAPRP de 2006-2007 présentés par les 25 organismes fédéraux les plus touchés par la question des renseignements personnels et huit autres rapports choisis au hasard (voir l’annexe 1).

Pertinence

Les RAPRP permettent de savoir de quelle façon s’y prennent les organismes fédéraux pour protéger les renseignements personnels des Canadiennes et des Canadiens dans le cadre de l’exécution de leurs programmes. La vérification tombe aussi à point, compte tenu de l’adoption de la Loi fédérale sur la responsabilité en décembre 2006. Cette loi a une portée plus large que la Loi sur la protection des renseignements personnels et porte à 250 le nombre d’organismes visés. Cela signifie qu’un plus grand nombre d’organismes doivent fournir des RAPRP, aux termes de la Loi sur la protection des renseignements personnels, concernant la façon dont elles administrent leurs activités de protection de la vie privée. Il est donc essentiel que nous nous assurions de la qualité et de la pertinence des renseignements fournis dans ces rapports.

Dans un rapport de 2006 sur la réforme de la Loi sur la protection des renseignements personnels, le Commissariat à la protection de la vie privée (CPVP) a fait valoir le besoin de renforcer les exigences énoncées à l’article 72 de la Loi en matière de production de rapports. On y affirmait que la Loi sur la protection des renseignements personnels devait garantir une amélioration de la transparence, de la reddition de comptes et de la surveillance des activités des institutions fédérales, par l’entremise, entre autres, d’exigences plus strictes en matière de présentation de rapports au Parlement.

Constatations

Des 170 organismes qui devaient présenter un RAPRP pour 2006‑2007, seulement quatre ne l’ont pas fait. La plupart des institutions fédérales ayant fait l’objet de la présente vérification respectaient la plupart, voire la totalité, des exigences obligatoires du SCT en matière de production de RAPRP. Cependant, certains rapports ne contenaient même pas ce que nous pourrions qualifier de renseignements « de base ». Ils ne contenaient pas de description claire des pratiques organisationnelles en matière de protection de la vie privée ou de l’approche adoptée par l’organisme pour faire face aux risques associés aux renseignements personnels qu’elle recueille.

Seulement trois des rapports examinés ne se contentaient pas de fournir des renseignements de base et contenaient des descriptions détaillées des mesures de protection de la vie privée prises par l’organisme. On y décrivait non seulement les mesures prises, mais aussi la façon dont elles avaient été mises en œuvre et les raisons pour lesquelles elles l’avaient été. Ces rapports plus complets donnaient une idée beaucoup plus claire des activités de l’organisme en matière de protection de la vie privée.

Les institutions fédérales n’ont pas à divulguer les atteintes à la vie privée dans leur RAPRP. En exigeant cette information, l’obligation des institutions de rendre compte au sujet de leurs pratiques en matière de protection de la vie privée serait améliorée. La commissaire a recommandé que la Loi sur la protection des renseignements personnels soit modifiée de façon à exiger le signalement des atteintes à la vie privée.

Les RAPRP ne sont pas toujours facilement accessibles sur le Web. Seulement 16 des 33 organismes visés par la vérification affichent leurs rapports annuels sur la Loi sur la protection des renseignements personnels sur leur site Web. De plus, même si les rapports annuels étaient publiés sur Internet, ils étaient souvent difficiles à trouver ou désuets.

Introduction

1. Parmi les difficultés en matière de protection de la vie privée auxquelles le gouvernement fédéral fait actuellement face, mentionnons les technologies envahissantes, le partage et le forage des données, les intérêts commerciaux pour les renseignements personnels et les préoccupations en matière de sécurité nationale.

2. Les attentes du gouvernement fédéral en matière de protection de la vie privée sont énoncées, en partie, dans la Loi sur la protection des renseignements personnels du Canada. Les ministères et organismes doivent produire, chaque année, un rapport aux termes de l’article 72 de la Loi sur la façon dont ils administrent celle-ci. Pour s’acquitter de leurs obligations en matière de production de rapports, les ministères et organismes doivent satisfaire aux exigences établies par le Secrétariat du Conseil du Trésor (SCT). On doit donc garantir une reddition de comptes efficace, de même que de la transparence en ce qui concerne la façon dont les ministères et organismes traitent les renseignements personnels dans le cadre de l’exécution de leurs programmes pour garantir aux Canadiennes et aux Canadiens le respect de leur vie privée.

Objet de la vérification

3. La vérification visait principalement à déterminer la mesure dans laquelle les institutions fédérales respectent les exigences en matière de production de rapports établies ou prévues par le SCT.

4. Plus précisément, nous avons évalué les rapports annuels sur la Loi sur la protection des renseignements personnels produits par 33 institutions (voir l’annexe 1) selon les huit exigences obligatoires et sept exigences facultatives en matière de production de rapports énoncées par le SCT (voir l’annexe 2). L’évaluation a porté sur les rapports annuels de 2006‑2007 puisque certains organismes n’avaient pas encore déposé leur rapport pour 2007‑2008 au moment du travail sur le terrain.

Observations and recommandations

Le SCT collabore avec les ministères pour préserver et améliorer les pratiques de ces derniers en matière de gestion de la vie privée.

5. À titre de ministre désigné dans la Loi sur la protection des renseignements personnels, le président du Conseil du Trésor détermine les politiques et les lignes directrices en matière de gestion des renseignements personnels au sein des ministères et organismes. Ces politiques et lignes directrices sont très larges et vont bien au-delà des initiatives de base en matière de protection de la vie privée dans le cadre de la prestation de services.

6. Si le SCT est responsable de l’élaboration des politiques et des lignes directrices en matière de protection de la vie privée, il incombe aux institutions fédérales qui utilisent des renseignements personnels dans le cadre de l’exécution de leurs programmes et de la prestation de leurs services de traiter ces renseignements personnels de façon responsable au jour le jour. Les institutions sont responsables de la gestion des renseignements personnels et doivent prendre dans les meilleurs délais des mesures efficaces pour corriger toute lacune décelée.

7. Le SCT, en collaboration avec le CPVP, surveille activement et soutient les ministères afin de les aider à faire face aux faiblesses et risques particuliers, à combler les lacunes, et à régler tout autre problème important qui pourrait survenir. Pour ce faire, le SCT collabore avec les ministères dans le but d’améliorer leurs cadres de gestion de la protection de la vie privée et de les aider à prendre les mesures appropriées quand des atteintes à la vie privée surviennent.

8. Les institutions fédérales doivent, aux termes de l’article 72 de la Loi sur la protection des renseignements personnels, présenter au Parlement des rapports annuels concernant l’administration de la Loi sur la protection des renseignements personnels. Pour l’exercice de déclaration 2006-2007, le SCT a établi une série d’exigences concernant la production de ces rapports (rapport de mise en œuvre no 107), exigences que les organismes ont dû mettre en application (voir l’annexe 2). Les institutions décident de la structure du rapport et de la forme qu’elles lui donneront.

La majorité des organismes censés présenter un rapport l’ont fait, et la plupart d’entre eux respectaient les exigences de base du SCT

9. Un organisme qui ne présente pas de rapport annuel sur son administration de la Loi sur la protection des renseignements personnels se trouve en situation de non-respect de la Loi. Nous avons constaté que 166 des 170 institutions qui devaient présenter un rapport l’ont fait. Des quatre institutions qui ne l’ont pas fait, deux nous ont dit qu’elles ne se rendaient pas compte qu’elles devaient le faire. Une troisième était une institution nouvellement créée, pas encore opérationnelle, tandis que la quatrième n’avait pas réussi à terminer le rapport à temps.

10. La plupart des institutions avaient respecté les exigences en matière de production de rapports fournies dans le rapport de mise en œuvre no 107 (voir l’annexe 2). Les entités avaient fourni les renseignements ou « éléments » exigés obligatoirement. Nous avons toutefois constaté qu’il existait des écarts importants entre la qualité et le contenu des rapports produits par les divers organismes faisant partie de notre échantillon.

Peu de rapports donnaient une idée claire des activités ministérielles en matière de protection de la vie privée

11. Les rapports annuels visent, en bout de ligne, à rendre compte de façon pertinente des pratiques en matière de protection de la vie privée et à améliorer ces pratiques. Il ne s’agit pas seulement de respecter les exigences de base en matière de production de rapports. Le SCT souhaite que les rapports annuels sur la protection des renseignements personnels contiennent des renseignements qui permettront au Parlement et au grand public de comprendre ce que font les organismes avec les renseignements personnels qu’ils possèdent et la façon dont ils gèrent les risques connexes. Pourtant, dans bien des cas, les rapports ne le permettaient pas.

12. Des 33 rapports annuels examinés, 27 contenaient une description « de base » des activités de l’organisme en matière de protection de la vie privée. Quatre contenaient une description « plus détaillée ». Cependant, aucun organisme fédéral faisant partie de notre échantillon n’a fourni un rapport que l’on pourrait qualifier d’« exemplaire ». En outre, à notre avis, deux organismes n’ont pas du tout satisfait aux exigences en matière de production de rapports et ont obtenu la cote « incomplet ». Le tableau 1 contient un résumé des cotes accordées à chaque organisme.

13. Les institutions à qui nous avons attribué la cote « de base » satisfaisaient à la plupart des éléments exigés dans les rapports par le SCT. Cependant, les renseignements que contenaient les rapports présentaient rarement des renseignements qui allaient au delà des information de base. Ces rapports contenaient rarement des renseignements détaillés sur les pratiques organisationnelles de protection de la vie privée. Ils ne contenaient pas non plus d’autres types de renseignements clés, comme les risques en matière de protection de la vie privée associés aux activités du ministère.

14. Pour voir des exceptions notoires et des exemples de rapports plus détaillés, consulter le tableau 2.

15. Les deux rapports incomplets ne répondaient pas entièrement (ou pas du tout) à au moins cinq des huit exigences obligatoires. Dans le cas de l’un des deux organismes, le rapport d’une seule page était particulièrement préoccupant puisque cet organisme possède une grande quantité de renseignements personnels sur les Canadiennes et les Canadiens. L’organisme en question a été incapable non seulement de rendre compte de son administration de la Loi sur la protection des renseignements personnels, mais aussi de donner un aperçu de ses pratiques en matière de protection de la vie privée.

16. Même si la présente vérification ne portait pas sur les rapports pour 2007‑2008, nous avons examiné les rapports des deux organismes pour 2007-2008 et avons constaté que leur qualité s’est améliorée et qu’ils pourraient maintenant être considérés comme des rapports « de base ».

Certaines institutions ne respectent pas toutes les exigences obligatoires en matière de production de rapports

17. Pour rendre des comptes au sujet de leur administration de la Loi sur la protection des renseignements personnels, les institutions fédérales devaient fournir des détails sur les huit éléments « obligatoires » mentionnés à l’annexe 2. Sept autres exigences s’appliquaient aux institutions qui avaient entrepris certaines activités pendant l’année. Ensemble, ces 15 exigences en matière de production de rapports visent à garantir la reddition de comptes en ce qui concerne les responsabilités énoncées dans la Loi et à permettre de mieux comprendre de quelle façon les enjeux en matière de protection de la vie privée sont traités dans le contexte de l’exécution des programmes et de la prestation des services gouvernementaux.

18. Des 33 rapports annuels sur la protection des renseignements personnels qui ont été examinés, 19 ne contenaient pas au moins l’un des éléments obligatoires. Les éléments manquants n’étaient pas toujours les mêmes; certains cas étaient plus préoccupants que d’autres. Parmi les éléments les plus souvent absents des rapports annuels, mentionnons les suivants :

  • un aperçu des types de communications faites en vertu des paragraphes 8(2)(a) à 8(2)(m) de la Loi sur la protection des renseignements personnels pendant l’exercice financier;
  • une description de toute activité d’évaluation des facteurs relatifs à la vie privée;
  • le rapport de toute nouvelle activité de partage des renseignements personnels par l’entremise de banques de données à l’interne, ainsi qu’avec d’autres organismes.

19. Recommandation : Le SCT devrait s’assurer, à tout le moins, que les RAPRP des institutions contiennent des renseignements au sujet de tous les éléments obligatoires, afin de brosser un portrait de la façon dont les renseignements personnels sur les Canadiennes et les Canadiens sont gérés dans le contexte de l’exécution des programmes.

20. Réponse du Secrétariat du Conseil du Trésor : « Chaque année, le SCT fournit à toutes les institutions une rétroaction sur la qualité et le contenu de leurs rapports annuels. Cette rétroaction contient notamment un résumé détaillé des exigences en matière de production de rapports qui n’ont pas été respectées. »

Les statistiques sur les demandes de communication de renseignements personnels ne présentent aucune tendance au fil du temps.

21. Les résidents permanents et les citoyens du Canada peuvent, aux termes de l’article 12 de la Loi sur la protection des renseignements personnels, accéder à des renseignements personnels qui les concernent et qui sont contenus dans des fichiers de renseignements personnels fédéraux. Selon les exigences de la Loi, les institutions fédérales doivent traiter les demandes de communication de renseignements personnels dans les 30 jours suivant leur réception, bien que certaines dispositions prévoient une prorogation de ce délai jusqu’à 60 jours. (Si une institution ne répond pas à la demande de communication de renseignements personnels d’une personne dans les délais prévus par la Loi, cette personne peut déposer une plainte au Commissariat, plainte que le CPVP enregistre et à laquelle il donne suite au nom de la personne.)

22. Afin de déterminer si les institutions fédérales répondent aux demandes de communication de renseignements personnels en temps opportun, le SCT a exigé que chaque institution fournisse une copie de son rapport statistique dans son RAPRP de 2006-2007. Ces statistiques doivent rendre compte, entre autres, du nombre de demandes de communication de renseignements personnels présentées, du temps qu’il a fallu pour y répondre, et des coûts que cela a engendré. Un seul des 33 rapports examinés ne contenait pas ces données statistiques obligatoires. Étant donné que les données ne concernaient que la période couverte par le rapport, elles ne permettaient pas de savoir si l’organisme répondait de façon de plus en plus efficace à ces demandes au fil du temps, ni si des modifications apportées aux politiques ou aux processus avaient permis d’améliorer de façon mesurable le nombre de demandes traitées ou le temps requis pour répondre à une demande. Des données sur ces tendances pourraient permettre aux institutions d’améliorer la façon dont ils affectent leurs ressources.

23. Recommandation : Le SCT devrait exiger des ministères qu’ils fournissent, dans leur RAPRP, des données pluriannuelles concernant les demandes de communication de renseignements personnels.

24. Réponse du Secrétariat du Conseil du Trésor : « Le SCT admet qu’il peut être utile de procéder à des analyses des tendances statistiques et est convaincu que son projet actuel de révision des statistiques permettra au gouvernement fédéral de compiler des données plus intéressantes, d’analyser les tendances et de mieux comprendre, de façon générale, son programme d’accès à l’information et de protection des renseignements personnels. »

Certains organismes ne se contentent pas de fournir que des renseignements de base dans leurs rapports

25. Dans le cadre de notre examen des RAPRP, nous avons trouvé plusieurs exemples de pratiques exemplaires, notamment les rapports présentés par Statistique Canada, par la Société canadienne des postes et par le Service correctionnel du Canada. Ces organismes ne se sont pas contentés de fournir des renseignements de base et ont abordé les questions liées à la protection de la vie privée de façon plus approfondie et plus détaillée. D’autres ministères ont fourni des renseignements sur certaines questions, comme les atteintes à la vie privée, ce qui n’est pas exigé ni recommandé par aucune loi ou politique.

Tableau 1 : Évaluation des rapports annuels de 2006-2007 sur l’administration de la Loi sur la protection des renseignements personnels

Légende des cotes

Évaluation des rapports annuels de 2006-2007

De base :
L’institution respecte la plupart, voire la totalité, des exigences obligatoires, plus particulièrement celles qui nous semblent les plus importantes. (Nous n’avons pas pénalisé, par exemple, les institutions qui n’ont pas décrit leur mandat; il s’agit, à notre avis, d’une omission peu importante.)

Plus détaillé :
L’institution respecte toutes les exigences de base et fournit, pour certains de ces éléments, des détails qui permettent d’avoir un aperçu de ses pratiques en matière de protection de la vie privée.

Exemplaire :
L’institution doit respecter toutes les exigences de base et fournir, pour la plupart, des détails qui permettent d’avoir un aperçu de ses pratiques en matière de protection de la vie privée, de même que des risques et des enjeux connexes.

Incomplet :
Les entités qui ne respectaient pas au moins une des exigences obligatoires importantes se voyaient attribuer la cote « incomplet ».

Tableau 2 : Exemples de rapports plus détaillés sur la protection des renseignements personnels

Pratiques en matière de protection de la vie privée et couplage de données – Statistique Canada

Dans son rapport annuel sur l’accès à l’information et la protection des renseignements personnels, Statistique Canada explique clairement ses pratiques et mesures de contrôle en matière de protection de la vie privée. Les renseignements fournis sur les processus et les protocoles de protection de la vie privée sont particulièrement dignes de mention et vont beaucoup plus loin que les exigences de base du SCT. Par exemple, les normes actuelles exigent uniquement que les institutions rendent compte du nombre de nouvelles activités de partage et de couplage de données entreprises pendant l’exercice et fournissent une brève description de chacune. Dans son rapport de 2006‑2007, Statistique Canada décrit en détail toutes les activités approuvées de couplage de données, en plus de fournir des renseignements sur l’objectif de ces activités et sur les mesures de contrôle mises en place pour garantir la protection des renseignements personnels.

Description du programme de protection des renseignements personnels et des solutions aux problèmes – Société canadienne des postes

Dans le rapport annuel de Postes Canada, il est écrit que la protection des renseignements personnels constitue un élément essentiel des activités de l’organisme. On y trouve les grandes lignes des initiatives en matière de protection des renseignements personnels entreprises pendant l’exercice, ainsi que des initiatives prévues pour l’exercice à venir. Dans la description qu’elle fait de son programme de protection des renseignements personnels, la Société canadienne des postes met l’accent sur les rôles et responsabilités en matière de protection des renseignements personnels, sur les programmes de formation et de sensibilisation, et sur les mesures d’atténuation des risques qui lui permettent de s’acquitter de ses responsabilités envers le grand public et aux termes de la Loi sur la protection des renseignements personnels. Dans son rapport, Postes Canada traite aussi, en détail, des enjeux en matière de protection des renseignements personnels auxquels il a fait face pendant l’exercice et des solutions qu’il a trouvées à ces problèmes.

Signalement des atteintes à la vie privée – Service correctionnel du Canada

Nous avons constaté que, dans son rapport annuel de 2005‑2006, le Service correctionnel du Canada a identifié les pratiques et les protocoles de gestion qu’il avait mis en place pour faire face aux atteintes à la sécurité et à la confidentialité des renseignements personnels qu’il possède. Le Service mentionne aussi le nombre d’atteintes à la vie privée signalées et souligne que des mesures correctives avaient été prises pour empêcher que de telles atteintes se produisent de nouveau. Il s’agit là d’une pratique exemplaire puisque, à l’heure actuelle, ni les directives de mise en œuvre du Conseil du Trésor, ni la Loi sur la protection des renseignements personnels n’exigent le signalement des atteintes à la vie privée.  

Le signalement des atteintes à la vie privée n’est pas obligatoire

26. Le SCT a élaboré à l’intention des ministères fédéraux un guide très utile sur les atteintes à la vie privée (Lignes directrices sur les atteintes à la vie privée — 2007). Soulignons que les institutions fédérales ne sont pas obligées de signaler les atteintes à la vie privée dans leur rapport annuel. Toutefois, en surveillant les atteintes à la vie privée et en les signalant dans leurs RAPRP, les institutions fédérales seront mieux informées et plus aptes à gérer et prévenir des atteintes éventuelles. La commissaire a recommandé que la Loi sur la protection des renseignements personnels soit modifiée pour y inclure le signalement obligatoire des atteintes.

27. Recommandation : Le SCT devrait exiger des ministères qu’ils signalent, dans leurs RAPRP, les atteintes à la vie privée, de même que les mesures prises pour éviter que de telles atteintes ne se reproduisent dans l’avenir.

28. Réponse du Secrétariat du Conseil du Trésor : « Le SCT se penchera sur la question du signalement des atteintes à la vie privée dans le cadre de son évaluation en cours des instruments de politique de protection de la vie privée en application de la Loi sur la protection des renseignements personnels. Le SCT tente actuellement de renforcer les « Lignes directrices sur les atteintes à la vie privée » de 2006 en y ajoutant d’autres exigences, qui permettront de garantir que les pratiques mises en place par les institutions fédérales assurent la protection des renseignements personnels et que, en cas d’atteinte à la vie privée, les institutions disposent d’un plan d’action pour remédier à la situation et, notamment, d’une marche à suivre pour aviser la personne concernée et le CPVP. »

Les RAPRP ne sont pas faciles d’accès pour le grand public

29. Pour que les rapports annuels sur la protection des renseignements personnels soient des mécanismes efficaces de reddition de comptes, ils doivent être accessibles au grand public. Nous avons constaté que seulement la moitié des organismes (16 sur 33) avaient publié leurs rapports annuels concernant la Loi sur la protection des renseignements personnels sur leur site Web. Même quand les rapports annuels étaient publiés sur le site Web, ils étaient souvent difficiles à trouver ou dépassés date (cinq organismes n’avaient pas publié le rapport de 2006‑2007). Quiconque peut obtenir une copie des rapports déposés à la Chambre des communes en en faisant la demande par écrit, mais il s’agit là d’un processus complexe et peu pratique pour la plupart des membres du grand public.

30. Recommandation : Le SCT devrait exiger des ministères qu’ils rendent publics leurs rapports annuels sur la protection des renseignements personnels sur leur site Web.

31. Mesures prises par le Secrétariat du Conseil du Trésor : « Le SCT reconnaît que le fait d’afficher les rapports annuels sur le site Web des institutions aidera à sensibiliser davantage le public au programme de protection de la vie privée du gouvernement. Pour la période de déclaration 2008-2009 et les périodes subséquentes, le SCT recommande aux institutions d’afficher en ligne des copies de leurs rapports annuels afin d’en faciliter l’accès et de promouvoir la transparence. »

Conclusion

32. Presque tous les organismes fédéraux faisant partie de notre échantillon respectaient les exigences obligatoires de base en ce qui concerne la production de rapports sur les questions liées à la vie privée visées par la Loi sur la protection des renseignements personnels. La plupart des ministères ont fourni les éléments obligatoires et se sont ainsi conformés aux exigences du SCT en matière de production de rapports. Cependant, mis à part quelques cas exceptionnels, les ministères n’ont pas fourni des renseignements suffisamment détaillés dans leurs RAPRP pour permettre au Parlement et au grand public en général d’avoir une idée précise de la façon dont ils gèrent leurs programmes de protection de la vie privée.

33. La présente vérification ne visait pas à évaluer précisément la qualité ou la pertinence des exigences du SCT en matière de production de RAPRP. Cependant, nous avons constaté que quelques organismes ne se sont pas contentés de respecter les exigences de base. Nous pouvons donc conclure que, si les ministères prennent la peine de faire un effort pour satisfaire aux exigences du SCT en matière de production de rapports, ils réussissent présenter l’état de la situation sur la reddition de comptes en ce qui concerne l’administration des questions liées à la protection de la vie privée.

À propos de la vérification

Autorité

Cette vérification a été effectuée aux termes de l’article 37 de la Loi sur la protection des renseignements personnels, qui confère au CPVP l’autorité d’examiner les pratiques des organismes gouvernementaux en matière de traitement des renseignements personnels.

Objectif

Déterminer la mesure dans laquelle certaines institutions fédérales ont respecté les exigences en matière de rapport sur leur traitement des renseignements personnels des Canadiennes et Canadiens dans leur RAPRP de 2006-2007.

Portée et approche

Les exigences en matière de production de rapports formulées dans les rapports de mise en œuvre nos 106 et 107 du SCT s’appliquent à tous les ministères, sociétés d’État et organismes gouvernementaux visés par la Loi sur la protection des renseignements personnels. La vérification a porté sur les 25 institutions fédérales qui recueillent, utilisent et communiquent le plus souvent des renseignements personnels, de même que sur huit autres institutions visées par la Loi et choisies au hasard. Pour choisir les 25 premières institutions, nous nous sommes fondés sur des paramètres bien précis, comme la quantité de renseignements personnels qu’elles traitent et leur degré de sensibilité, les preuves d’un investissement important dans un système ou dans un programme, de même que les résultats d’examens antérieurs, y compris les résultats illustrant un non-respect possible de la Loi.

Critères

Les attentes étaient les suivantes :

  • Les rapports annuels sur la protection des renseignements personnels devaient contenir tous les éléments obligatoires exigés par le SCT et énoncés dans les rapports de mise en œuvre nos 106 et 107.
  • Les renseignements fournis dans les RAPRP en réponse aux éléments obligatoires devaient donner une idée claire de la façon dont les ministères et organismes gèrent leurs programmes.

Équipe de vérification

Directeurs généraux : Trevor Shaw / Steven Morgan

Navroze Austin
Paul Zind

Annexe 1 : Institutions fédérales incluses dans la vérification

  • Affaires étrangères et du Commerce international Canada
  • Affaires indiennes et du Nord Canada
  • Agence canadienne de développement international
  • Agence des services frontaliers du Canada
  • Agence du revenu du Canada
  • Agriculture et Agroalimentaire Canada
  • Anciens combattants Canada
  • Bureau du vérificateur général Canada
  • Centre d'analyse des opérations et déclarations financières du Canada
  • Citoyenneté et Immigration Canada
  • Commission de la fonction publique Canada
  • Commission de l'immigration et du statut de réfugié du Canada
  • Conseil national de recherches Canada
  • Défense nationale et les Forces canadiennes
  • Élections Canada
  • Environnement Canada
  • Exportation et développement Canada
  • Gendarmerie royale du Canada
  • Industrie Canada
  • Ministère de la Justice Canada
  • Ministère des Finances Canada
  • Patrimoine canadien
  • Pêches et des Océans Canada
  • Ressources humaines et du Développement des compétences Canada
  • Ressources naturelles Canada
  • Santé Canada
  • Sécurité publique Canada
  • Service canadien du renseignement de sécurité
  • Service correctionnel du Canada
  • Société canadienne des postes
  • Statistique Canada
  • Transport Canada
  • Travaux publics et des Services gouvernementaux Canada

Annexe 2 : Exigences du SCT en matière de production de rapports — rapport de mise en œuvre no 107

Éléments du rapport

  1. Introduction, y compris le mandat de votre institution et un sommaire de ses activités en matière de protection des renseignements personnels, au cours de l'exercice financier, à savoir que l'institution n'a traité aucune demande ni autre activité que vous souhaitez mettre en évidence. (obligatoire)
  2. Description de la façon dont l'institution est structurée dans le but de s'acquitter de ses responsabilités relatives à la Loi sur la protection des renseignements personnels. (obligatoire)
  3. Un exemplaire de l'ordonnance de délégation de pouvoirs dans laquelle sont indiqués les pouvoirs, les fonctions et les attributions délégués par l'administrateur de l'institution et à qui ils ont été délégués, ou une déclaration précisant qu'il n'y a pas eu de délégation de pouvoirs. (obligatoire)
  4. Rapport statistique. (obligatoire)
  5. Interprétation du rapport statistique, telle que la description des tendances significatives et les détails sur le traitement des demandes, l'application des exceptions et des exclusions, les délais et les prorogations. (obligatoire)
  6. Un sommaire des modifications/améliorations importantes apportées aux activités, aux politiques, aux procédures, à la protection des renseignements personnels, etc. (obligatoire, s’il y a lieu)
  7. Aperçu des politiques et des procédures de l'institution associées à la Loi sur la protection des renseignements personnels mises en application ou modifiées au cours de l'exercice financier. (obligatoire, s’il y a lieu)
  8. Description des activités de sensibilisation et de formation associées à la protection des renseignements personnels, au cours de l'exercice financier, y compris les séances d'information et de sensibilisation. Préciser le nombre de séances et de participants. (obligatoire, s’il y a lieu)
  9. Renseignements sur les évaluations des facteurs relatifs à la vie privée (EFVP) et les EFVP préliminaires :
    • le nombre d'EFVP et d'EFVP préliminaires entreprises;
    • le nombre d'EFVP et d'EFVP préliminaires terminées;
    • une brève description de chaque EFVP terminée et le lien à son sommaire à partir de votre site Web;
    • le nombre d'EFVP envoyées au Commissariat à la protection de la vie privée (obligatoire)
  10. Un aperçu des types de communications faites en vertu du paragraphe 8(2) de la Loi sur la protection des renseignements personnels pendant l'exercice financier. Nota : Aucune donnée statistique n'est requise – seulement un bref sommaire de tous les types de communications faites en vertu du paragraphe 8(2) au cours de l'année visée par la production de rapport. (obligatoire)
  11. Le nombre de nouvelles activités de couplage et de partage de données entreprises (y compris les activités à l'interne entre les différentes unités de l'institution) et une brève description de chacune. (obligatoire)
  12. Incidence sur la vie privée des initiatives législatives, stratégiques et de prestation de services, des ententes de couplage et de partage des données. (obligatoire, s’il y a lieu)
  13. Description des changements importants mis en œuvre (le cas échéant) en raison des préoccupations soulevées par le Commissariat à la protection de la vie privée (CPVP), notamment dans son rapport annuel au Parlement, dans l'examen des EFVP ou encore dans les autres examens ou évaluations portant sur la manière dont votre institution gère l'application de la Loi sur la protection des renseignements personnels. (obligatoire, s’il y a lieu)
  14. Préciser si votre institution a reçu une ou plusieurs plaintes concernant la protection des renseignements personnels et faire la synthèse des enjeux clés soulevés au moment des plaintes et/ou des enquêtes, au cours de l'exercice financier. (obligatoire, s’il y a lieu)
  15. Énumération des appels interjetés à la Cour, pendant l'exercice, à savoir les demandes présentées à la Division de première instance de la Cour fédérale ou à la Cour d'appel fédérale. (obligatoire, s’il y a lieu)
Date de modification :