Évaluation des facteurs relatifs à la vie privée des programmes, plans et politiques
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Octobre 2007
Le rapport de vérification présenté ici a été réalisé conformément au mandat législatif, aux politiques et aux pratiques du Commissariat à la protection de la vie privée du Canada. Ces politiques et ces pratiques respectent les normes de vérification recommandées par l'Institut canadien des comptables agréés.
Ce rapport se trouve dans notre site Web, www.priv.gc.ca.
Pour obtenir des copies de ce rapport ou d’autres publications du Commissariat à la protection de la vie privée, veuillez vous adresser au :
Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3
Téléphone : 613 995-8210, ou 1-800-282-1376
Télécopieur : 613 947-8210
Courriel: publications@priv.gc.ca
This document is also available in English
Principales conclusions
1.1 Il s’est maintenant écoulé cinq ans depuis l’entrée en vigueur de la Politique d’évaluation des facteurs relatifs à la vie privée (ÉFVP) du gouvernement du Canada. Notre vérification a permis de constater que certaines institutions gouvernementales ont fait de grands efforts pour appliquer la directive, mais qu’il faut encore d’autres efforts pour que la Politique atteigne l’effet désiré, soit celui de mieux faire connaître et comprendre les répercussions sur la vie privée des programmes et des services. Bien que nous n’ayons pas relevé de cas flagrants de non conformité, en général, les institutions ne respectent pas entièrement leur engagement à l’égard de la Politique. Les ÉFVP ne sont pas toujours réalisées comme elles devraient l’être.
1.2 La mesure dans laquelle les organismes gouvernementaux gèrent convenablement les questions relatives à la vie privée dans le cadre de leurs activités dépend de la maturité de l’environnement d’ÉFVP de l’organisme en question (notamment du cadre de contrôle de gestion mis en place pour guider l’évaluation des initiatives de services spécifiques par rapport à la vie privée d’une personne). Bien que des cadres officiels ou des infrastructures administratives aient été mis en place dans la plupart des organismes, les mesures de contrôle connexes sont souvent faibles.
1.3 Même si l’objectif principal de la Politique est de veiller à ce que la protection de la vie privée soit un facteur clé de l’analyse initiale des objectifs et activités d’un projet, les ÉFVP sont souvent réalisées bien après la mise en œuvre d’un programme. Dans certains cas, les ÉFVP n’ont pas été réalisées du tout (malgré des problèmes potentiels évidents liés à l’exécution des programmes ou à la prestation des services). Bien que les préoccupations au sujet de la protection de la vie privée ressortent clairement de l’analyse des menaces et des risques des nouveaux projets informatiques, on accorde beaucoup moins d’égards à la protection de la vie privée pour les projets nécessitant la circulation de renseignements personnels entre les institutions et les administrations.
1.4 Les normes actuelles en matière de communication et de rapports pour les ÉFVP donnent peu de garantie ou d’information aux Canadiennes et aux Canadiens qui souhaitent comprendre les répercussions qu’ont sur leur vie privée les services ou les programmes gouvernementaux. Seuls quelques organismes gouvernementaux publient et mettent à jour régulièrement dans leur site Web les résultats de leurs rapports d’ÉFVP. Lorsqu’il s’agit de sommaires, ils omettent souvent de révéler les répercussions sur la vie privée des nouveaux modes de livraison (et la façon dont les questions connexes sont résolues).
1.5 Bien que l’application des lignes directrices du Conseil du Trésor encourage les organismes fédéraux à tenir compte des répercussions sur la vie privée au moment de la conception de chacun des programmes, la politique ne fournit pas en soi l’assurance que l’on évalue les facteurs relatifs à la vie privée ayant trait aux initiatives stratégiques pangouvernementales. Conscient des répercussions éventuelles sur la vie privée des politiques et des plans proposés, le Cabinet aurait ainsi l’occasion d’ajuster ou de modifier rapidement les programmes en vue de protéger les renseignements personnels des Canadiennes et des Canadiens et de réduire les coûts associés aux changements de programme.
1.6 Pour assurer l’évaluation adéquate des effets supplémentaires résultant de l’influence combinée des divers organismes gouvernementaux (ou des mesures prises au sein d’un même ministère), les ÉFVP devraient tenir compte des effets cumulatifs sur la vie privée qui peuvent résulter d’un programme lorsqu’il est combiné à d’autres projets ou activités qui ont été ou qui seront réalisés.
1.7 Pour assurer la réalisation des objectifs initiaux de la Politique d’évaluation des facteurs relatifs à la vie privée et continuer à gagner la confiance des Canadiennes et des Canadiens, il serait maintenant opportun de revoir la Politique. L’examen de la Politique par le Conseil du Trésor du Canada devrait comprendre un examen des rôles du Secrétariat du Conseil du Trésor (SCT) et du Commissariat à la protection de la vie privée du Canada (CPVP), de même que la création d’instruments qui aideront les organismes fédéraux à simplifier les activités et les rapports d’ÉFVP.
Antécédents et autres observations
1.8 Le gouvernement fédéral a indiqué son engagement à l’égard de la protection de la vie privée dans ses propres activités et des principes généraux du traitement équitable de l’information. Selon le Secrétariat du Conseil du Trésor, le gouvernement « [a] pris l'engagement de protéger les renseignements personnels des Canadiennes et des Canadiens dans la prestation des services ? Cela signifie qu'il faut s'assurer de tenir compte des questions de confidentialité dès la première étape de conception des services, instaurer la confiance de la population canadienne envers la façon dont le gouvernement du Canada traite les renseignements personnels et veiller à ce que les ministères et les organismes appliquent de façon uniforme les dispositions de la Loi sur la protection des renseignements personnels lorsqu'ils offrent des services en direct. »
1.9 Pour atteindre ces objectifs, le gouvernement du Canada a présenté sa politique d’évaluation des facteurs relatifs à la vie privée en mai 2002. La Politique prévoit spécifiquement que des ÉFVP seront réalisées pour toutes les nouvelles initiatives qui présentent des risques d’entrave à la vie privée et que les résultats de cette analyse (de même que les mesures proposées pour corriger les risques cernés), seront acheminés au CPVP pour examen et commentaire. La Politique exige que les organismes gouvernementaux qui réalisent des ÉFVP en publient un sommaire sur leur site Web externe.
Le gouvernement a répondu. En général, les ministères et les organismes gouvernementaux soumis à cette vérification ont accepté nos recommandations. Leurs réponses, y compris les mesures prises (ou les plans mis en place) pour tenir compte de nos recommandations, figurent dans ce rapport de vérification.
Introduction
L’importance de l’évaluation des facteurs relatifs à la vie privée
1.10 Les sondages d’opinion publique démontrent que les Canadiennes et les Canadiens sont inquiets pour leur vie privée lorsque leurs renseignements personnels sont utilisés dans le contexte de nouveaux services gouvernementaux ou des services en place. Comme l’indiquait un sondage récent, la majorité des Canadiennes et des Canadiens sont d’avis que la protection des renseignements personnels sera l’un des plus grands enjeux auxquels notre pays sera confronté au cours des dix prochaines années.
1.11 Les risques éventuels d’entrave à la vie privée associés aux programmes ou services qui ont recours à des renseignements personnels comprennent le vol d’identité, le couplage ou le forage inapproprié des données et les communications non souhaitées. Des risques d’entrave à la vie privée peuvent également se présenter lorsque les renseignements circulent au sein d’un organisme, ou passent d’un organisme ou d’une administration à un autre. Les risques d’entrave à la vie privée inhérents à ces activités doivent être connus, évalués et résolus afin que le gouvernement respecte la vie privée des personnes. La Politique d’évaluation des facteurs relatifs à la vie privée est l’un des principaux outils qui permettra de relever ce défi.
1.12 L’évaluation des facteurs relatifs à la vie privée (ÉFVP) est un processus officiel qui aide les ministères et les organismes à tenir compte des effets des nouveaux programmes ou des nouveaux services (ou des politiques et plans proposés) sur la vie privée. À titre d’outil de gestion utilisé à l’étape de la planification d’un projet de programme ou de service, les ÉFVP aident les organismes à réfléchir davantage aux répercussions que peut avoir une proposition donnée sur la vie privée, et à réduire le risque d’une restructuration coûteuse des programmes, services ou processus.
1.13 Les conséquences d’une mauvaise analyse des facteurs relatifs à la vie privée ont été illustrées dans le rapport annuel 1999-2000 du CPVP par le projet de Fichier longitudinal sur la main-d’œuvre, une énorme banque de données reliant les renseignements de deux ministères fédéraux de même que des gouvernements provinciaux et territoriaux. Le regroupement de vastes bases de données personnelles, des systèmes informatiques puissants et des liens de plus en plus étroits avec les programmes sociaux des gouvernements et le secteur privé ont soulevé de grandes inquiétudes à l’égard de la protection de la vie privée. L’incapacité du gouvernement à bien évaluer et à atténuer ces inquiétudes, ou à prévoir la réaction du public à ce programme a mené au démantèlement fort dispendieux du système. Bien que cela se soit passé il y a presque huit ans et avant l’entrée en vigueur de la politique sur les ÉFVP, cet échec a été un moment déterminant pour la protection des renseignements personnels au sein du gouvernement fédéral et présente un exemple de choix des risques associés à une mauvaise planification des facteurs relatifs à la vie privée.
Outils d’intégration des facteurs relatifs à la vie privée
1.14 En mai 2002, le gouvernement du Canada présentait une politique sur l’évaluation des facteurs relatifs à la vie privée. La politique a été adoptée pour garantir aux Canadiennes et aux Canadiens que les principes de protection des renseignements personnels seraient pris en compte lorsque des projets de programmes et de services soulèvent des problèmes de protection de la vie privée à l’étape de la conception, de la mise en place et ou du fonctionnement. La Politique prévoit la création et le maintien des évaluations des facteurs relatifs à la vie privée et oblige les organismes gouvernementaux à communiquer les résultats des ÉFVP au Commissariat à la protection de la vie privée et au public.
1.15 Le processus d’évaluation des facteurs relatifs à la vie privée est actuellement le modèle le plus complet pour évaluer les effets d’un projet spécifique de prestation de service sur la vie privée d’une personne et constitue donc l’élément central du régime de conformité à la protection de la vie privée du gouvernement fédéral. Même si le processus d’évaluation ne visait pas l’élaboration de nouvelles lois, la Politique stipule que les institutions doivent démontrer que la collecte, l’utilisation et la communication des renseignements personnels respectent la Loi sur la protection des renseignements personnels (plus précisément les articles 4 à 8) de même que les dix principes régissant la protection des renseignements personnels annexés à la Loi sur la protection des renseignements personnels et les documents électroniques.
1.16 En plus de la politique sur les ÉFVP, le Secrétariat du Conseil du Trésor a publié les Lignes directrices sur l’évaluation des facteurs relatifs à la vie privée pour aider les organismes gouvernementaux à adapter la Politique aux besoins de leurs propres programmes et services, tout en fournissant un cadre de gestion des risques d’entrave à la vie privée.
Place de l’évaluation des facteurs relatifs à la vie privée dans le cycle de vie du programme
1.17 Combinée aux analyses sociales, économiques, environnementales et opérationnelles, l’évaluation des facteurs relatifs à la vie privée vise à faciliter le processus de prise de décisions à la base des projets d’exécution de programmes et de prestation de services. Il s’agit d’un instrument qui permet à un décideur d’analyser systématiquement les facteurs relatifs à la vie privée des programmes, des plans ou des politiques proposés. L’application rigoureuse de cet instrument augmentera la possibilité d’anticiper, de prévenir ou d’atténuer les répercussions défavorables ou d’améliorer les répercussions positives associées à l’utilisation des renseignements personnels.
1.18 En vertu de la politique sur les ÉFVP, les organismes doivent amorcer une évaluation des facteurs relatifs à la vie privée et en définir la portée dès les premières étapes de la conception ou de la restructuration d’un programme ou d’un service de manière à influer sa mise en œuvre. Toutefois, l’évaluation des facteurs relatifs à la vie privée ne se termine pas après la conception du projet; il s’agit d’un processus itératif qui sera maintenu pendant tout le cycle de vie des initiatives gouvernementales. Le produit final d’une ÉFVP est l’assurance que toutes les questions relatives à la protection de la vie privée auront été cernées et résolues.
Responsabilités fédérales associées à l’application de la Politique
1.19 Les ministres et autres administrateurs généraux désignés par décret ont la responsabilité de faire en sorte que leur institution se conforme à la Loi sur la protection des renseignements personnels, à son Règlement, et à ses politiques connexes. La Politique d’évaluation des facteurs relatifs à la vie privée s’applique à tous les organismes gouvernementaux figurant à l’annexe de la Loi. Elle stipule :
Les sous-ministres et les autres administrateurs généraux des institutions ont la responsabilité ? de déterminer si les initiatives peuvent avoir une incidence sur la vie privée des Canadiens et s'il y a lieu de procéder à des évaluations des facteurs relatifs à la vie privée, ainsi que d'intégrer et d'équilibrer les exigences en matière de protection de la vie privée et les autres exigences relatives à la législation et aux politiques.
1.20 Au sein des institutions gouvernementales, les gestionnaires de programmes et de projets, les experts en politique relative à la vie privée, les conseillers juridiques et les spécialistes d’un secteur d’activité sont souvent chargés de préparer et de mettre à jour les ÉFVP. Les bureaux d’accès à l’information et de protection des renseignements personnels (AIPR) au sein des institutions jouent souvent un rôle essentiel dans la préparation, la révision et l’approbation des ÉFVP.
1.21 À titre de haute fonctionnaire du Parlement, la commissaire à la protection de la vie privée du Canada a le pouvoir, en vertu de la Loi sur la protection des renseignements personnels, de superviser la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels par les institutions gouvernementales assujetties à la Loi. Conformément à la Politique d’évaluation des facteurs relatifs à la vie privée, le CPVP doit être informé de toutes les évaluations des facteurs relatifs à la vie privée réalisées et peut fournir des conseils et des orientations aux institutions concernant les risques d’entrave éventuelle à la protection de la vie privée.
1.22 Le Secrétariat du Conseil du Trésor est chargé d’interpréter la Politique, de conseiller les institutions et de vérifier la conformité. Les institutions qui désirent obtenir une approbation préliminaire de projet et du financement doivent inclure les résultats de l’ÉFVP dans leur demande ou leur énoncé de projet. Des analystes du SCT sont affectés à chacune des institutions et ceux-ci peuvent exiger une ÉFVP s’il y a lieu.
Énoncés de politiques du Secrétariat du Conseil du Trésor du Canada sur l’évaluation des facteurs relatifs à la vie privée (2002)
Le Secrétariat du Conseil du Trésor du Canada présentait sa Politique d’évaluation des facteurs relatifs à la vie privée le 2 mai 2002. Bien que la politique elle-même n’ait pas subi de changements importants depuis son entrée en vigueur, les obligations fédérales de communication annuelle ont été mises à jour à plusieurs reprises dont en 2006. L’énoncé de politiques sur l’évaluation des facteurs relatifs à la vie privée 2002 figure ci-dessous.
Énoncé de politiques
Le gouvernement du Canada s'engage à protéger les renseignements personnels des Canadiens. Le respect de la vie privée, tout comme d'autres facteurs pertinents liés à la législation et aux politiques, fait partie intégrante de la conception, de la mise en œuvre et de l'évolution de tous les programmes et services. Même si on les associe souvent à la prestation électronique des services, les évaluations des facteurs relatifs à la vie privée offrent un cadre cohérent qui permet de déterminer les risques d'entrave à la vie privée que peut poser tout mode de prestation de services, que ce soit en personne, par courrier, par téléphone ou en direct.
Il incombe aux institutions de montrer que la collecte, l'utilisation et la communication de renseignements personnels qu'ils effectuent respectent les dispositions de la Loi sur la protection des renseignements personnels et les principes de protection de la vie privée durant toutes les phases de lancement, d'analyse, de conception, de développement, de mise en œuvre et de suivi qui se rattachent aux activités d'exécution des programmes et de prestation de services.
Les institutions sont également tenues de faire connaître aux Canadiens la raison pour laquelle elles recueillent des renseignements personnels et de quelle façon elles comptent les utiliser et les communiquer. En outre, elles doivent leur expliquer les répercussions que les nouveaux modes électroniques d'exécution des programmes et de prestation des services auront sur leur vie privée et la manière dont les problèmes qui en découlent seront réglés. Ainsi, les Canadiens pourront prendre des décisions éclairées au sujet du mode de prestation de service qu'ils souhaitent utiliser pour entretenir des rapports avec le gouvernement fédéral et ils auront la certitude que les renseignements personnels qui les concernent sont protégés, quel que soit le mode de prestation de services qu'ils choisissent.
Par conséquent, le gouvernement a pour politique :
- de s'assurer que la protection de la vie privée constitue un élément central de l'élaboration initiale des objectifs des programmes et des services, ainsi que de toutes les activités subséquentes;
- de s'assurer que la responsabilité en matière de protection de la vie privée est clairement intégrée aux fonctions des gestionnaires de programme et de tout autre intervenant, y compris ceux d'autres institutions, administrations et secteurs;
- d'offrir aux décideurs l'information dont ils ont besoin pour prendre des décisions pleinement éclairées en matière de politique, de programmes, de conception de systèmes et d'approvisionnement, en s'appuyant sur une compréhension des répercussions et des risques d'entrave à la vie privée, ainsi que des moyens pour éviter ou atténuer ces risques;
- de réduire le risque d'avoir à mettre un terme à un programme ou à un service après sa mise en œuvre, ou encore d'avoir à le modifier considérablement, afin de respecter les exigences en matière de protection de la vie privée;
- de fournir de la documentation sur les processus opérationnels et sur la circulation des renseignements personnels aux employés des ministères et des organismes qui l'appliqueront et l'examineront, cette documentation devant servir d'information de base pour consulter les clients, la commissaire à la protection de la vie privée et d'autres intervenants;
- de mieux faire connaître les pratiques saines de protection de la vie privée qui se rattachent à l'exécution des programmes et à la prestation des services, en informant la commissaire à la protection de la vie privée et le public de toutes les propositions de programmes et de services nouveaux ou modifiés, qui soulèvent des questions relativement au respect de la vie privée.
[Le texte complet de la Politique d’évaluation des facteurs relatifs à la vie privée est disponible sur le site Web du Secrétariat du Conseil du Trésor, http://www.tbs-sct.gc.ca]
Examens antérieurs
1.23 En juin 2004, le SCT a commandé un examen semestriel indépendant portant sur un nombre limité de ministères pour déterminer l’incidence de la Politique d’ÉFVP sur la promotion de pratiques exemplaires en matière de protection des renseignements personnels. L’étude a souligné que la Politique semblait avoir l’effet escompté d’améliorer la conformité aux lois sur la protection des renseignements personnels, mais elle a également cerné de nombreux problèmes qui devaient être réglés, y compris :
- un manque d’expertise tant au gouvernement que dans l’industrie relativement à la réalisation des évaluations des facteurs relatifs à la vie privée;
- des problèmes de coordination et d’intégration des contributions des intervenants au sein des ministères;
- des difficultés d’harmonisation des ÉFVP par rapport aux autres politiques du gouvernement du Canada, telles que les politiques sur la sécurité, le couplage des données et le numéro d’assurance sociale;
- des retards concernant la publication des sommaires des ÉFVP;
- l’incapacité des ministères à appuyer les observations réalisées dans le cadre des ÉFVP à l’aide de preuves documentées.
1.24 L’étude a également indiqué qu’il n’existait aucune source de renseignements fiable sur le nombre d’ÉFVP réalisées et qu’il semblait n’y avoir aucun mécanisme en place pour s’assurer que les ÉFVP ou les ÉFVP préliminaires étaient réalisées au besoin. Enfin, l’étude a souligné que les ministères ne semblaient pas avoir suivi de manière appropriée la mise en place des mesures de réduction des risques relevés dans le cadre du processus relatif aux ÉFVP.
Objectif de la vérification
1.25 Cette vérification portait principalement sur l’évaluation des pratiques du gouvernement fédéral en matière d’évaluation des facteurs relatifs à la vie privée, y compris le respect des exigences et des objectifs de la politique du SCT sur les ÉFVP et, par extension, le respect de la Loi sur la protection des renseignements personnels et des principes relatifs à l’équité dans la gestion des renseignements personnels. Nous avons examiné le respect de quatre critères principaux (voir Au sujet de la vérification à la fin de ce rapport) par les neuf institutions suivantes :
- Affaires indiennes et du Nord Canada
- Agence du revenu du Canada
- Anciens combattants Canada
- Citoyenneté et Immigration Canada
- Gendarmerie royale du Canada (GRC)
- Ressources humaines et Développement social Canada (RHDSC)
- Santé Canada
- Service Canada (un projet de RHDSC)
- Service correctionnel du Canada
1.26 En plus de la vérification approfondie de ces neuf entités, nous avons mené une étude auprès de 47 institutions supplémentaires assujetties à la Politique et à la Loi sur la protection des renseignements personnels, dans laquelle nous leur avons demandé de procéder à une autoévaluation fondée sur les quatre critères d’évaluation utilisés dans notre examen principal.
1.27 Nous avons examiné les rôles et responsabilités de deux organismes fédéraux ayant des responsabilités interministérielles, soit le Secrétariat du Conseil du Trésor et le Bureau du Conseil privé, ainsi que ceux du Commissariat.
1.28 Bien que les résultats de notre vérification soient, pour la plupart, regroupés, nous avons relevé plusieurs exemples de pratiques exemplaires en matière d’évaluation des facteurs relatifs à la vie privée dans le but de mettre en évidence les possibilités d’amélioration des pratiques des ministères et organismes. Pour un complément d’information sur les objectifs, la portée, la démarche et les critères utilisés pour notre vérification, voir la section Au sujet de la vérification qui se trouve à la fin de ce rapport.
Observations
La mise en oeuvre de la politique est loin d’être terminée
1.29 Notre vérification permet de conclure que les organismes fédéraux, en général, ont mis du temps à appliquer la Politique. Bien que nous n’ayons relevé aucun cas grave de non-conformité dans l’un ou l’autre des ministères visés (ou dans toute l’administration fédérale), dans l’ensemble, les institutions gouvernementales ne respectent pas pleinement leurs engagements en vertu des lignes directrices. Le processus d’évaluation des facteurs relatifs à la vie privée vise essentiellement à s’assurer que les questions relatives à la protection de la vie privée seront prises en compte dès la conception ou l’élaboration des programmes et que les risques cernés seront atténués avant leur mise en œuvre. Dans les faits, cependant, l’application de la Politique est loin d’être terminée.
1.30 Dans le cadre de l’examen des pratiques d’ÉFVP d’un ministère, qui comprenait l’évaluation du respect de la Politique d’ÉFVP, nous avons axé nos demandes de renseignements sur les responsabilités principales des institutions à l’égard de la Politique et des Lignes directrices, soit :
- Effectuer des ÉFVP, au moment de la conception, pour tous les nouveaux programmes et services (ainsi que pour les programmes et services restructurés en profondeur) qui présentent des risques d'entrave à la vie privée;
- Fournir au Commissariat à la protection de la vie privée une copie de l’ÉFVP finale, approuvée par l’administrateur général, avant la mise en œuvre de l’initiative, du programme ou du service;
- Mettre en place une évaluation des risques et des mesures d’atténuation des problèmes relevés de protection de la vie privée et s’assurer que les mesures visant à réduire les risques sont mises en place;
- Rendre publics les résumés des ÉFVP.
Un complément d’information sur cette démarche et sur le mode de sélection des ministères et organismes à la fin de ce rapport, dans la section Au sujet de la vérification.
La mise en place des cadres de gestion nécessaires est variable
1.31 La façon dont une institution aborde les questions relatives à la vie privée soulevées par ses activités est souvent influencée par les systèmes de gestion qu’elle a mis en place pour guider l’évaluation de projets spécifiques de prestation de service relativement à la protection de la vie privée. Le respect par les ministères de la Politique d’ÉFVP suppose l’existence d’une infrastructure administrative qui vient appuyer les objectifs et les exigences de la Politique. L’absence d’un tel cadre – ou la faiblesse des contrôles quand un tel processus est en place – risque d’avoir des répercussions directes et mesurables sur l’efficacité et la qualité des évaluations des facteurs relatifs à la vie privée et sur la mesure dans laquelle chaque entité respecte la Politique.
1.32 Comme les ministères et les organismes doivent se conformer à la Politique, il incombe aux administrateurs généraux de mettre en place les systèmes nécessaires. Les éléments clés d’une bonne infrastructure devraient comprendre, entre autres :
- La mise en place de programmes d’information pour le personnel et les autres intervenants sur les objectifs et exigences de la Politique;
- La définition des responsabilités et de la responsabilisation des programmes;
- La présence d’un système pour signaler efficacement tous les nouveaux projets qui pourraient nécessiter une ÉFPV ou une ÉPFVP;
- La présence d’une entité composée du personnel-cadre chargé de la révision et de l’approbation des projets d’ÉFVP ou d’ÉPFVP;
- L’existence d’un système efficace de vérification de la conformité;
- Les ressources nécessaires pour l’exécution des obligations du ministère en vertu de la Politique.
L’annexe A décrit les grandes lignes du processus générique pour les évaluations des facteurs relatifs à la vie privée.
Annexe A : Processus générique (avec éléments clés) des évaluations des facteurs relatifs à la vie privée
1.33 Bien que le CPVP ait remarqué une amélioration importante de la qualité et de l’exhaustivité des ÉFVP depuis l’entrée en vigueur de la Politique, les ÉFVP et ÉPFVP que reçoit maintenant le Commissariat comportent encore des omissions communes et des manquements au niveau de la documentation et de l’analyse (voir L’exhaustivité des évaluations est variable mais elle s’améliore). Même si les causes de tels manquements et omissions varient selon l’institution, nous croyons qu’ils sont souvent attribuables aux faiblesses du processus (c.-à-d. les lacunes au niveau ministériel de l’architecture administrative qui soutient la Politique d’ÉFVP) et au manque de ressources affectées aux ÉFVP.
1.34 Afin d’établir une référence raisonnable pour l’évaluation des cadres de contrôle de gestion, le CPVP a mis sur pied un modèle de maturité du processus d’ÉFVP. Ce modèle – dérivé des objectifs de contrôle dans le domaine de l’information et des technologies connexes (OCITC) et validé par les attributs objectifs d’un cadre de contrôle de gestion efficace décrit au paragraphe 1.32 – comporte cinq niveaux progressifs de maturité et classe chaque institution selon la normalisation de ses processus. Le modèle, illustré à l’annexe C, peut être utilisé non seulement pour mesurer la maturité de l’environnement des ÉFVP de chaque institution, mais aussi comme un indicateur du degré de conformité probable de chacune d’entre elles.
1.35 Les environnements d’ÉFVP continuent à évoluer. Sur les neuf entités que nous avons examinées dans le cadre de nos vérifications détaillées, seules trois avaient ce que nous pourrions décrire comme un environnement d’ÉFVP bien géré et mesurable (niveau 4). À l’opposé, quatre des neuf entités examinées avaient un environnement d’ÉFVP que nous jugeons largement aléatoire, ou reconnu mais intuitif (niveaux 1 et 2). Ceci est surprenant, car la Politique d’EFVP est en vigueur depuis maintenant cinq ans et les institutions en question supervisent des programmes qui nécessitent le traitement d’un très grand nombre de renseignements personnels. Les deux autres entités se classent dans la catégorie 3, c’est-à-dire qu’elles ont défini un processus d’ÉFVP, qu’elles ont préparé des lignes directrices officielles pour l’ensemble de leurs activités, mais qu’elles manquent de mesures adéquates en matière de contrôle et de supervision.
1.36 Les résultats de notre vérification approfondie sont conformes aux renseignements que nous avons recueillis dans le cadre de notre étude. Dans les 47 organismes fédéraux que nous avons sondés, 89 % des répondants ont indiqué qu’ils se servaient des renseignements personnels pour leurs programmes et services. Lorsqu’on leur a demandé si leur organisme possédait un cadre de gestion officiel pour appuyer la réalisation des ÉFVP, plus de 69 % des répondants ont répondu par la négative. Plus précisément, 29 % des répondants qui ont procédé à l’autoévaluation se sont donnés une cote de niveau 1 (initial/aléatoire) pour le modèle de maturité du processus d’ÉFVP et 54 %, une cote de niveau 2 (reconnu mais intuitif). Seulement une institution parmi notre échantillonnage déclare avoir élaboré un processus d’ÉFVP optimal (soit le niveau 5 du modèle de maturité des ÉFVP).
1.37 L’annexe B illustre pour un moment donné les environnements d’ÉFVP du gouvernement, et est fondée sur les résultats combinés de l’étude et de la vérification. Nous croyons que ces résultats reflètent assez fidèlement la situation actuelle dans les organismes fédéraux, mais l’illustration n’a pas été conçue pour représenter de manière statistique ou scientifique toutes les institutions assujetties à la Loi sur la protection des renseignements personnels.
Annexe B : Processus de maturité des ÉFVP fédérales par rapport à la courbe de répartition
Environnement fédéral des ÉFVP |
|
---|---|
Où le gouvernement peut raisonnablement espérer se situer |
Annexe C : Modèle de maturité des évaluations des facteurs relatifs à la vie privée
Le niveau de maturité du processus d’ÉFVP des organismes que nous avons vérifiés varie en fonction de nombreux facteurs, les influences les plus importantes étant : la culture organisationnelle, les ressources humaines (particulièrement celles affectées à la politique de protection des renseignements personnels) et la présence ou l’absence de supervision interne. En général, les organismes qui ont une importante culture de la confidentialité et qui sont sensibilisés aux problèmes associés à la protection des renseignements personnels étaient plus susceptibles d’avoir des processus matures de gestion des ÉFVP. À l’opposé, les organismes qui sont moins sensibilisés à la protection des renseignements personnels avaient des processus d’ÉFVP moins matures. Comme on pouvait s’y attendre, les organismes qui ont fait l’objet de vérification, inspection ou analyse publique antérieure étaient plus susceptibles d’avoir effectué des examens internes de leur infrastructure d’ÉFVP dans le but d’en améliorer le processus.
Niveau de maturité | Statut de l’environnement des ÉFVP | |
---|---|---|
0 | Inexistant | L’organisme ne reconnaît pas la nécessité de procéder à des évaluations des facteurs relatifs à la vie privée (ÉFVP). La vie privée (y compris le traitement adéquat des renseignements personnels en général) ne fait pas partie de la culture de l’organisme. Le risque de non-conformité à la Politique et de manquements ou d’incidents à l’égard de la protection des renseignements personnels est très grand. Dans un tel environnement, peu d’ÉFVP, s’il en est, sont réalisées en temps opportun. |
1 | Initial/aléatoire | L’organisme reconnaît l’existence de la politique gouvernementale et de la nécessité d’une infrastructure administrative pour gérer le processus d’ÉFVP au sein de l’organisme. L’approche de l’organisation à l’égard du respect des exigences de la Politique est aléatoire et manque de direction officielle, d’orientation ou de supervision de la part de la haute direction. Les irrégularités dans la manière dont les ÉFVP sont réalisées n’ont pas encore été étudiées ni cernées. Les employés ne sont pas sensibilisés à leurs responsabilités tant au sein de leur organisme que par rapport à la mise en œuvre de la Politique d’ÉFVP dans l’ensemble du gouvernement. Dans un tel environnement, certaines ÉFVP peuvent être réalisées, mais plusieurs ne le sont pas, et la qualité de l’évaluation des facteurs relatifs à la vie privée laisse probablement à désirer. |
2 | Reconnu, mais intuitif | L’organisme a mis en place un cadre d’ÉFVP mais il manque parfois des éléments essentiels pour appuyer les objectifs et les exigences de la Politique. Le contrôle du processus d’ÉFVP affiche certaines faiblesses et celles-ci n’ont pas été cernées adéquatement ni soulevées par la direction; les répercussions de telles faiblesses peuvent être importantes. La direction peut ou non être consciente de ses obligations en vertu de la Politique. Les employés peuvent ne pas connaître leurs responsabilités à l’égard du processus d’ÉFVP. La qualité des ÉFVP et la manière dont elles sont réalisées (y compris leur absence) dépendent des connaissances et de la motivation des employés. |
3 | Processus défini d’ÉFVP | L’organisme a mis en place et documenté un processus d’ÉFVP officiel. La direction connaît pleinement ses responsabilités en matière d’ÉFVP et a commencé à appliquer des lignes directrices sur l’ÉFVP à l’ensemble de ses activités. Cependant, le processus n’est pas encore normalisé et le contrôle présente encore des faiblesses. Bien que la direction compose de manière attendue avec la plupart des problèmes de protection de la vie privée qui découlent de ses activités, il reste encore certaines faiblesses dans le processus d’ÉFVP qui pourraient avoir de graves répercussions. Les employés connaissent leurs responsabilités, mais l’organisme manque les ressources nécessaires pour s’acquitter des obligations du ministère en vertu de la Politique. |
4 | Géré et mesurable | L’organisme a mis en place et documenté un processus d’ÉFVP officiel. La direction connaît très bien ses responsabilités en la matière et satisfait aux exigences et aux obligations prévues par la Politique. Les responsabilités et la responsabilisation ont été officiellement définies et la direction et les employés participent de manière proactive à tous les aspects du processus d’ÉFVP. Des programmes sont en place en vue d’informer le personnel et les autres intervenants des objectifs et des exigences de la Politique, et des ressources adéquates ont été affectées pour faire face aux obligations du ministère en vertu de la Politique. Un système efficace d’établissement de rapports concernant tous les nouveaux projets exigeant une ÉFVP ou une ÉPFVP a été mis en place. La plupart des ÉFVP sont de grande qualité et réalisées s’il y a lieu et en temps opportun. |
5 | Optimal | L’organisme a intégré l’évaluation des facteurs opérationnels relatifs à la vie privée dans le cadre général de gestion des risques de l’organisme (au centre duquel se trouve un processus officiel d’ÉFVP). Des contrôles effectués à l’échelle de l’organisme assurent une surveillance continue et efficace de la conformité au processus d’ÉFVP de l’organisme et à la politique du Conseil du Trésor. Une personne ou un organisme est chargé de surveiller le respect de la Politique, et un organisme composé d’employés expérimentés doit examiner les candidats aux ÉFVP ou aux ÉPFVP et les approuver une fois les évaluations réalisées. L’organisme effectue un suivi du rendement touchant les principaux aspects financiers, opérationnels et des ressources humaines liés aux activités d’ÉFVP et les résultats des ÉFVP sont intégrés à la gestion continue des projets. |
1.38 L’évaluation des facteurs relatifs à la vie privée n’est pas bien intégrée aux activités.Dans notre échantillonnage, le processus d’ÉFVP était loin d’être complètement intégré à l’ensemble des stratégies de gestion du risque des entités (bien qu’il semble émerger des liens plus officiels avec les centres des principaux programmes, surtout en ce qui concerne la technologie de l’information).
Les pratiques d’évaluation des facteurs relatifs à la vie privée varient
1.39 Parmi les entités qui ont des environnements d’ÉFVP relativement bien définis, nous avons observé la présence de l’une de deux approches récurrentes de la gestion des facteurs relatifs à la vie privée. Dans la première (que l’on pourrait appeler le modèle d’AIPRP actif), les spécialistes des ÉFVP ou de la protection de la vie privée de l’organisme au sein de l’unité de l’accès à l’information et de la protection des renseignements personnels (AIPRP) agissent comme des promoteurs, des éducateurs, des défenseurs de la protection de la vie privée et, en bout de ligne, comme des responsables de la conformité au sein du processus d’évaluation des facteurs relatifs à la vie privée. Dans la seconde (le modèle d’AIPRP passif), l’unité de l’AIPRP se limite à un rôle de consultant, qui offre conseils et orientations sur demande. Dans ce dernier modèle, les gestionnaires de programme contrôlent le lancement et l’achèvement des ÉFVP (une structure appropriée quand ces gestionnaires sont responsables de l’exécution des programmes).
1.40 Bien que chacune des approches comporte des avantages opérationnels, le modèle d’AIPRP actif semble mieux réussir à sensibiliser les employés aux exigences de la Politique et à obtenir le soutien de la haute direction en matière d’ÉFVP. Dans de nombreux cas, le modèle d’AIPRP passif était synonyme d’absence de professionnels de politique affectés à la protection de la vie privée. Par conséquent, les ressources affectées aux responsabilités relatives aux ÉFVP étaient insuffisantes par rapport à celles affectées aux demandes d’accès à l’information (exigence imposée par la loi c. l’exigence en vertu d’une politique).
1.41 Le respect de la Politique exigeant des compétences supérieures à celles détenues par les unités d’AIPRP de la plupart des institutions gouvernementales, il semble naturel que les responsabilités relatives au processus d’ÉFVP demeurent partagées. Toutefois, les responsabilités de chaque groupe devraient être clairement définies, bien comprises et bien appliquées – il s’agit d’un rôle important de la haute direction.
1.42 Compte tenu du caractère unique de la plupart des institutions fédérales et des différences de structures de programmes et d’activités, il serait difficile d’élaborer ou de mettre en place un modèle commun unique ou un seul cadre administratif pour mieux appuyer la Politique d’ÉFVP. Les modèles d’ÉFVP devraient généralement refléter la nature des activités de chaque institution, en incorporant les éléments de contrôle essentiels décrits à l’annexe A et en tenant compte des contraintes en matière de ressources.
Les cadres de certains ministères n’ont pas assez d’éléments de contrôle essentiels
1.43 Une sélection préalable inadéquate des projets peut nuire au respect de la Politique. La faiblesse la plus courante que nous avons observée sur le plan du contrôle dans les systèmes de gestion examinés était l’absence d’un processus de sélection obligatoire et officiel (pour tous les programmes, services, plans et politiques) en vue de cibler les candidats éventuels pour les ÉFVP et ÉPFVP. En effet, 64 % des répondants ont indiqué qu’ils n’avaient pas de politiques ou de processus en place permettant de cerner toutes les activités exigeant une évaluation des facteurs relatifs à la vie privée.
1.44 En l’absence de présélection – qui est essentiellement le point de départ de toute analyse des facteurs relatifs à la vie privée – les organisations n’évaluent pas convenablement le niveau de risque d’entrave à la vie privée d’une proposition, et ainsi omettent souvent de réaliser une ÉFVP. S’il n’y a pas de mécanisme officiel permettant d’évaluer les besoins en matière d’ÉFVP, les institutions gouvernementales peuvent contourner les obligations prévues dans la politique du gouvernement, sciemment ou non, sans conséquence grave.
1.45 En ce moment, il faut faire une présentation au Conseil du Trésor pour autoriser ou modifier les modalités et conditions des programmes de subventions ou de contributions, recommander l’approbation des décrets qui ont des répercussions sur les ressources ou la gestion, et mettre en place un projet ou une initiative dont les coûts dépasseraient le pouvoir délégué d’un ministère. Une présentation au Conseil du Trésor est un document officiel déposé par un ministre au nom de son ministère, demandant une approbation ou une autorisation du Conseil du Trésor pour mettre en œuvre une proposition que l’institution gouvernementale ne pourrait pas entreprendre autrement (ou qui dépasserait son pouvoir délégué). Dans une présentation standard, les institutions gouvernementales doivent évaluer la nécessité d’effectuer une ÉFVP et fournir le rapport final avant de recevoir du financement.
1.46 Même si les exigences en matière d’ÉFVP associées à la présentation permettent de s’assurer que les propositions importantes ou sur le point d’être financées n’iront pas de l’avant sans que l’on ait tenu compte des répercussions possibles sur la vie privée, le processus de présentation n’insiste pas suffisamment sur les changements apportés aux programmes ou les nombreuses mini initiatives entreprises au sein des grands programmes approuvés. Ces plus petites initiatives ou ces changements aux programmes, surtout quand ils sont combinés, peuvent avoir de graves répercussions sur la vie privée et devraient donc pouvoir faire l’objet d’une ÉFVP.
1.47 Bien que les ÉFVP nécessaires au financement des projets demeurent un contrôle externe essentiel pour l’application de l’analyse des facteurs relatifs à la vie privée aux propositions de projets, une « sélection » plus efficace signifierait une intégration plus complète de l’évaluation des facteurs relatifs à la vie privée à la planification des activités et des programmes des institutions gouvernementales. Compte tenu de la complexité inhérente à l’analyse du besoin d’une évaluation des facteurs relatifs à la vie privée, la présélection des projets devrait être considérée comme un processus en soi et non comme une simple tâche administrative.
1.48 Les éléments de contrôle essentiels du processus de sélection pourraient prendre les formes suivantes : programmes continus de sensibilisation des employés, recoupements administratifs intégrés entre l’analyse des ÉFVP et d’autres outils d’atténuation du risque (p. ex., évaluations de la menace et des risques en TI ou documents de l’analyse de rentabilisation), ou établissement de pouvoirs interfonctionnels (p. ex., politique de protection des renseignements personnels ou AIPRP) pour l’approbation des programmes.
1.49 L’utilisation d’un système de suivi centralisé pour les programmes qui nécessitent l’utilisation de renseignements personnels peut faciliter la surveillance des activités d’ÉFVP à l’échelle du ministère et permettre de déterminer si l’organisme a bien cerné les candidats aux ÉFVP ou aux ÉPFVP.
Lacunes et retards
1.50 Les systèmes de suivi présentent de graves lacunes. Nous n’avons pas pu établir dans quelle mesure les évaluations des facteurs relatifs à la vie privée du gouvernement n’étaient pas réalisées en temps opportun, car la plupart des ministères fédéraux n’ont pas de systèmes adéquats pour faire le suivi des cas qui exigent ou qui ont exigé des ÉFVP.
1.51 Au cours de notre vérification, de nombreux organismes ont commencé à instaurer de telles applications ou à recueillir les données de base nécessaires à l’établissement d’un tel système. Nous croyons que la mise en place d’un inventaire complet de programmes, même si cela prend beaucoup de temps et de ressources, permettrait de déceler sur les oublis possibles en matière d’ÉFVP et de baliser les risques éventuels pour la protection de la vie privée associés aux programmes déjà en place.
1.52 Malgré l’absence de données de base sur les oublis en matière d’ÉFVP, les preuves non scientifiques nous mènent à croire que le nombre d’omissions possibles n’est pas important en comparaison du nombre total d’initiatives gouvernementales qui prévoient l’utilisation de renseignements personnels et que les cas d’omission sont beaucoup moins nombreux depuis la mise en place de cadres de contrôle de gestion pour les ÉFVP au sein des institutions gouvernementales. Dans une certaine mesure, le processus de présentation au Conseil du Trésor fournit l’assurance que les grands projets ou les projets exceptionnels ont fait l’objet d’une évaluation des facteurs relatifs à la vie privée de recevoir du financement.
1.53 Les changements apportés aux programmes peuvent entraîner des risques pour la protection de la vie privée. S’il y a une exception à cette règle, elle se retrouve principalement dans les changements apportés à l’exécution des programmes où la prestation des services déjà en place, car les exigences définies à l’interne pour les ÉFVP ne sont pas claires à cet égard et les pratiques ne font généralement l’objet d’aucune surveillance. Bien que la politique du Conseil du Trésor et les lignes directrices qui l’accompagnent fournissent des directives générales sur le moment où les institutions doivent entreprendre une ÉFVP, celles-ci peuvent être difficiles à interpréter dans un contexte de changements apportés aux programmes, en particulier ceux qui touchent des systèmes informatiques en place.
1.54 L’échange d’information peut entraîner des risques pour la protection de la vie privée. En plus des préoccupations liées à la protection de la vie privée qui découlent de l’analyse de la menace et des risques des projets de TI, on accorde peu d’égards à la protection des renseignements personnels dans le cadre de projets où des renseignements personnels seront transmis au sein d’une institution ou d’une institution ou administration à une autre. Dans de tels cas, la responsabilisation relative aux évaluations des facteurs relatifs à la vie privée incombe à plus d’une institution et les responsabilités en vertu de la Loi tendent à être limitées au lieu d’être partagées. Bien que la Politique traite clairement du besoin de réaliser une ÉFVP dans les cas où les programmes ou services sont donnés en sous-traitance ou dévolus à un autre organisme, celle-ci ne contient aucune exigence précise à ce sujet dans les cas de partage de renseignements (une activité régie par des politiques connexes sur le couplage et la protection des données).
1.55 Comme les programmes et les initiatives ministériels sont de plus en plus intégrés, et que le partage des données au sein du gouvernement est de plus en plus répandu, les risques d’effractions à la protection de la vie privée ou de pratiques inappropriées de traitement des renseignements personnels augmentent en conséquence. En ce moment, il semble y avoir un manque de directives politiques sur la question des ÉFVP lorsque plusieurs organismes, portefeuilles, programmes ou juridictions sont en cause. Les protocoles d’entente (PE) entre les organismes, bien qu’ils soient utiles pour définir les modalités des ententes de partage de renseignements, ne font pas nécessairement en sorte que tous les risques d’entrave à la vie privée associés au partage de l’information soient limités au maximum. Nous avons observé dans plusieurs cas que les PE interministériels de partage d’information étaient périmés depuis longtemps et ne fournissaient pas une protection adéquate pour les atteintes à la protection de la vie privée.
1.56 L’annexe D traite de la nature de certaines omissions de produire des ÉFVP observées pendant notre vérification. Les causes sous-jacentes (de même que d’autres problèmes de rendement connexes) seront traitées plus loin dans notre rapport (voir Principaux facteurs contribuant aux écarts de rendement).
1.57 Les ÉFVP sont parfois réalisées après coup. Le moment où les ÉFVP sont amorcées pour les projets qui comportent des risques connus ou anticipés à la protection de la vie est tout aussi important que la question des omissions. Au cours de notre vérification, nous avons observé de nombreux cas où les ÉFVP ont été amorcées bien après la conception ou la planification d’un projet. Bien que dans de rares cas ces retards aient été causés par le manque de renseignements nécessaires pour réaliser l’ÉFVP, dans la plupart des cas les retards n’étaient pas attribuables à des difficultés de rassembler les données.
Annexe D :Nature des omissions à produire des évaluations des facteurs relatifs à la vie privée
Les exemples suivants illustrent des cas d’omissions possibles ou connues observées au cours de notre vérification. Ils visent à mettre en évidence les secteurs au sein du gouvernement où des efforts supplémentaires sont nécessaires pour protéger les renseignements personnels.
- Changements aux systèmes
D’importants changements apportés aux systèmes ou aux processus administratifs qui touchent la séparation des renseignements personnels ou les mesures de sécurité utilisées pour gérer et contrôler l’accès aux renseignements personnels peuvent entraîner des risques pour la vie privée. À titre d’exemple, mentionnons le cas de l’automatisation de systèmes comportant des renseignements personnels autrefois conservés sur papier. Les changements aux systèmes peuvent également inclure l’augmentation de la collecte de renseignements personnels à des fins d’admissibilité ou d’intégration, ou la mise en place de codes d’utilisateurs communs à des fins administratives. Un bon moyen de s’assurer que les considérations relatives à la vie privée sont prises en compte pendant le processus de mise en œuvre est de réaliser des évaluations des facteurs relatifs à la vie privée au tout début d’une restructuration de système.
- Programmes mis en place avant l’entrée en vigueur de la Politique
Bien que la Politique soit entrée en vigueur au mois de mai 2002, elle vise à renforcer la protection de la vie privée au cours de l’exécution de tous les programmes et de la prestation de tous les services du gouvernement, quel que soit le moment où ils ont été mis en place. Les évaluations des facteurs relatifs à la vie privée fournissent le moyen de repérer les risques d’entrave à la vie privée inhérents à toutes les activités de programmes et peuvent être utilisées pour l’analyse des programmes déjà en place. Ceci est aussi important que l’étude des effets cumulatifs des programmes et des services sur la protection des renseignements personnels. Les systèmes ou les projets de prestation de services mis en place avant mai 2002 doivent être conformes à la loi. En conséquence, les évaluations des facteurs relatifs à la vie privée doivent servir à mieux comprendre les effets connexes sur la vie privée et à assurer la conformité des programmes par rapport à la Loi.
- Partage de renseignements personnels
Les activités de couplage des données, ou le partage de renseignements personnels entre les programmes, organismes ou juridictions, devraient toujours faire l’objet d’une évaluation des facteurs relatifs à la vie privée. Seule une analyse détaillée permet à un organisme de comprendre les risques et les obligations associés à de telles activités et les mesures préventives qui doivent être mises en place pour atténuer ces risques. Bien que la Loi sur la protection des renseignements personnelsne vise que les institutions fédérales, la plupart des gouvernements provinciaux et territoriaux sont assujettis à des lois et politiques similaires qui régissent la collecte, l’utilisation et la communication des renseignements personnels. Les ÉFVP peuvent aider à discerner les exigences de ces diverses lois et à assurer le respect des dispositions des lois et politiques fédérales. Bien qu’ils soient utiles pour définir les modalités des ententes de partage de renseignements, les protocoles d’entente entre les organismes ne garantissent pas nécessairement que tous les risques d’entrave à la vie privée associés au partage des renseignements seront entièrement atténués ou que les mesures de protection de la vie privée seront révisées périodiquement et appliquées.
- Programmes pilotes
Les études de faisabilité, exécutées dans un environnement de test sécurisé ou à l’aide de données fictives, pourraient ne pas être assujetties à la Politique d’ÉFVP. Toutefois, si un organisme compte utiliser tôt ou tard des données réelles dans le cadre de l’exécution de ce programme, il faudrait procéder à une évaluation des facteurs relatifs à la vie privée, idéalement au moment de la conception du programme. Toute initiative comportant l’utilisation des données réelles de personnes identifiables, même limitée (supposons à l’échelle régionale) ou au cours d’essais (nommés à l’interne pilotes ou prototypes), nécessite une ÉFVP et devrait être conforme à la Loi sur la protection des renseignements personnels.
- Au-delà des initiatives de prestation électronique de services
Afin d’assurer que les considérations en matière de protection de la vie privée jouent un rôle central dans l’orientation des projets d’exécution de programmes ou de prestation de services, les gestionnaires de programmes ne disposent peut-être d’aucun outil supérieur à la sensibilisation. Une sensibilisation générale aux exigences de la Politique est souvent la première étape qui permet aux gestionnaires de programmes d’évaluer pleinement les conséquences sur la vie privée de leurs plans et priorités dès la conception de ces initiatives. Bien que les risques d’entrave à la vie privée associés à la prestation électronique des services soient de plus en plus faciles à cerner, de tels risques peuvent être associés à d’autres activités de programme, y compris les consultations publiques, la recherche et l’élaboration des politiques.
1.58 Dans plusieurs institutions, nous avons relevé des cas où les évaluations des facteurs relatifs à la vie privée avaient été réalisées bien après la mise en place complète d’un projet. Même si la Politique incite à l’analyse des facteurs relatifs à la vie privée pendant tout le cycle de vie d’un programme, le défaut de procéder à une telle analyse avant la mise en œuvre du programme pourrait être perçu, à juste titre, comme un cas d’omission (notamment en raison de l’esprit dans lequel la Politique a été élaborée). Ceci peut être problématique, non seulement en raison de l’objectif initial de la Politique de placer les considérations relatives à la protection de la vie privée au cœur des nouveaux programmes, mais également en raison de la forte possibilité d’atteinte à la protection de la vie privée en l’absence de toute analyse détaillée.
1.59 La substance avant la forme. Il est très important de faire remarquer que même si nous avons examiné la rapidité de production des ÉFVP par rapport à la date de mise en œuvre d'un projet, cette façon de faire pourrait accorder involontairement une attention plus importante à la production des évaluations des facteurs relatifs à la vie privée qu’au processus lui-même comme outil de gestion du risque.
1.60 Bien qu’idéalement une ÉFVP doive servir d’outil pour guider l’élaboration des programmes, à notre avis, un rapport d’ÉFVP publié peu après la mise en œuvre d’un projet et qui traite de manière adéquate des mesures prises pour cerner et atténuer les risques d’entrave à la vie privée est probablement supérieur à un rapport produit « à temps » qui omet de traiter de ces mesures. Malheureusement, comme l’évaluation des facteurs relatifs à la vie privée est une activité qui porte sur de longues périodes, il a été difficile d’évaluer quand l’analyse a été amorcée pour les projets examinés. Malgré l’imperfection de cet aspect de la vérification, les observations décrites ci-dessus restent vraies et méritent d’être prises en compte.
L’exhaustivité des évaluations est variable mais elle s’améliore
1.61 Dans notre rapport annuel 2005-2006 au Parlement, nous notions avec satisfaction que beaucoup d’ÉFVP étaient plus précises et plus approfondies (par rapport à celles que nous avons reçues peu après l’entrée en vigueur de la Politique). Malgré ce progrès significatif, il y a encore beaucoup de place à l’amélioration.
1.62 Bien qu’il y ait souvent des similarités dans les types de risques d’entrave à la vie privée cités (et les pratiques générales d’atténuation du risque), compte tenu de la diversité des projets, il est important que les ÉFVP énoncent des recommandations spécifiques sur le type de renseignements recueillis et de systèmes utilisés. Même si les énoncés génériques concernant la responsabilisation en matière de protection des renseignements personnels sont utiles pour comprendre les principes de gestion qui guideront les activités à venir, leur suivi et leur efficacité sont difficiles à évaluer. Le CPVP préfère constater une approche plus spécifique et plus proactive de l'atténuation des risques à la vie privée et a ainsi recommandé la publication de directives exécutoires, de protocoles et de procédures documentées.
1.63 Dans le même ordre d’idées, les ÉFVP présentées dans le passé ne comportaient pas de directives pour la déclaration des atteintes à la protection de la vie privée (c.-à-d. le processus suivi par les institutions pour informer les personnes visées que leurs renseignements personnels ont été communiqués de manière inappropriée). Nous continuons de recommander que chaque institution mette en place des politiques et des processus clairs pour guider son personnel dans les cas de pertes de renseignements personnels ou de risques pour la protection de la vie privée.
1.64 Enfin, certaines ÉFVP ne contiennent toujours pas de plans d’action détaillés pour la mise en place de stratégies de protection de la vie privée. Ces stratégies sont importantes pour aider le CPVP à bien comprendre la manière dont les risques décelés d’entrave à la vie privée ont été abordés et pour assurer une responsabilisation relativement à l’atténuation des risques.
Les enjeux relatifs à la protection de la vie privée ne sont pas abordés rapidement
1.65 Dans le cadre de notre vérification, nous avons tenté d’examiner dans quelle mesure les plans d’atténuation du risque des ministères (et les recommandations du Commissariat à la protection de la vie privée) d’un échantillonnage d’ÉFVP réalisées au cours des cinq dernières années avaient été mis en œuvre. Les résultats de notre travail, qui ne sont peut-être pas représentatifs des ÉFVP dans tout le gouvernement, indiquent que les institutions prennent en général beaucoup de temps à se pencher sur les risques d’entrave à la vie privée associés aux programmes et aux services.
1.66 Bien que la majorité des problèmes « à risque élevé » de notre échantillonnage semblaient avoir été réglés avant la mise en œuvre du programme (ou dans un laps de temps raisonnable par la suite lorsque les ÉFVP sont réalisées après la mise en œuvre du projet), un grand nombre d’enjeux, qualifiés par les ministères comme des « risques moyens », sont encore présents un an, et parfois plus, après la mise en place des programmes. Certains enjeux « à risque élevé » ne sont toujours pas réglés non plus, et nous avons jugé insatisfaisant, au moment de notre vérification, le progrès réalisé pour les régler.
1.67 Sans vouloir sous-estimer l’ampleur et la complexité de certaines initiatives ou le fait que l’application de certaines recommandations exige beaucoup de temps et d’investissements, les institutions n’ont pas semblé suivre de près la mise en œuvre des observations relatives aux ÉFVP, s’exposant ainsi que leur clientèle à des risques éventuels dans certains cas.
La communication et la divulgation des risques d’entrave à la vie privée laissent à désirer
1.68 Conformément à la Politique en place, les institutions doivent fournir une copie de toutes leurs évaluations des facteurs relatifs à la vie privée à la commissaire à la protection de la vie privée. Cette notification doit se produire assez tôt, avant la mise en place de l’initiative, du programme ou du service. La notification préalable a pour but de permettre à la commissaire d’examiner les enjeux et, au besoin, de donner des conseils au chef de l’institution. Pour compléter cette exigence et pour favoriser une meilleure compréhension de la façon dont les enjeux relatifs à la vie privée concernant le programme ou le service ont été réglés, les institutions doivent rendre accessibles au public en temps utile les résumés de leurs évaluations des facteurs relatifs à la vie privée.
1.69 Compte tenu de la nature même du processus, qui est relativement discret et autogéré, les exigences de la Politique en matière de notification et d’information du public demeurent des outils importants de responsabilisation à l’égard du centre de décision et du grand public.
1.70 Notre vérification a révélé que, dans certains cas, les ÉFVP ne sont pas remis à la commissaire d’une façon qui lui permettrait d’offrir ses conseils, s’il y a lieu, aux chefs des institutions avant la mise en œuvre du programme ou du service. L’absence de notification en temps opportun a un effet important sur le régime de suivi et de conformité des ÉFVP dans tout le gouvernement.
1.71 En ce sens, il serait malhonnête de notre part de ne pas reconnaître les effets des retards d’examens des ÉFVP au Commissariat à la protection de la vie privée. Bien que le Secrétariat du Conseil du Trésor suggère une norme de six semaines pour la révision des ÉFVP remises au CPVP, dans de nombreux cas, le Commissariat ne fournit ses commentaires que 18 mois après la réception de l’ÉFVP. Ces retards sont attribuables au manque de ressources. Bien que la Politique d’ÉFVP soit entrée en vigueur en mai 2002, la fonction d’examen des ÉFVP au CPVP n’a pas été financée avant 2006 (et n’a eu qu’un seul employé à temps plein affecté à la vérification des ÉFVP pendant les deux années antérieures). Au moment de la rédaction de ce rapport, le CPVP procédait à l’embauche de trois agents d’examen des ÉFVP et avait retenu les services de professionnels à contrat pour réduire le nombre des rapports en attente. Le Commissariat utilise en ce moment une approche fondée sur le risque, accélérant le processus de révision des projets jugés particulièrement délicats en matière de protection de la vie privée.
1.72 Les renseignements contenus dans les rapports annuels sont insuffisants. En plus des exigences de notification mentionnées ci-dessus, les institutions fédérales doivent démontrer que leur collecte, utilisation et communication des renseignements personnels respectent la Loi sur la protection des renseignements personnels. Elles y arrivent, en partie, par des rapports destinés au public tels qu’Info Source et les Rapports annuels sur les lois sur l’accès à l’information et la protection des renseignements personnels. Bien que ces rapports soient conçus pour assurer un suivi actif et continu des activités d’ÉFVP, la carte de pointage des évaluations des facteurs relatifs à la vie privée ne porte que sur trois points : le nombre d’ÉFVP amorcées pendant l’année, le nombre d’ÉFVP terminées pendant l’année, et le nombre d’ÉFVP présentées au CPVP pour examen. Ces résumés statistiques contribuent peu à renforcer la responsabilisation et la communication à l’égard du public et ne semblent pas fournir suffisamment d’informations au SCT pour lui permettre de bien jouer son rôle de gardien et de surveillant.
1.73 La faiblesse des renseignements nuit à la participation du public. Comme nous le mentionnions plus haut, afin de mieux faire connaître la façon dont les enjeux de protection de la vie privée liés aux programmes ou aux services ont été réglés, les institutions doivent rendre accessibles au public les résumés des résultats de leurs ÉFVP en temps utile. Cependant, au moment où nous avons commencé cette vérification, seule une minorité d’institutions publiaient et mettaient à jour sur leur site Web les résultats de leurs rapports d’ÉFVP. Parmi les neuf entités visées par la vérification approfondie, seules quatre avaient rendu publics les résumés de leur ÉFVP. L’inventaire des résumés disponibles en ligne était incomplet pour trois de ces organismes.
1.74 Parmi les 47 organismes gouvernementaux que nous avons sondés, seuls 25 % des répondants ont dit avoir mis leurs résumés d’ÉFVP à la disposition du public en les publiant sur leurs sites Web externes. Cinquante pour cent des répondants ont indiqué que les résumés d’ÉFVP n’étaient pas du tout rendus publics.
1.75 Compte tenu du fait que certains éléments des ÉFVP doivent être protégés en vertu de la Loi sur l’accès à l’information ou de la Loi sur la protection des renseignements personnels, ou que, dans certains cas, les évaluations contiennent de l’information qui augmenterait la vulnérabilité des systèmes ou des mesures de sécurité, on peut se demander si les normes actuelles de communication ont une valeur ou offre un certain réconfort à une citoyenne ou un citoyen qui désire comprendre les répercussions sur sa vie privée d’un service ou un programme spécifique du gouvernement.
1.76 La qualité des résumés des ÉFVP examinés laissait à désirer. Bien que le Conseil du Trésor recommande que les résultats des résumés des ÉFVP prennent la forme de sommaires – dégageant les répercussions sur la vie privée des nouveaux modes d’exécution de programmes ou de prestation de services et les mesures adoptées pour atténuer les risques – aucun des résumés ministériels que nous avons examinés en ligne ne contenait plus qu’une description de projet et une conclusion ou un avis de non-responsabilité formulé à peu près comme suit : « [?] les exigences essentielles en matière de protection des renseignements personnels ont été respectées et un plan d’action visant à renforcer la protection de la vie privée des Canadiennes et des Canadiens a été adoptés ». N’étant pas certains qu’un tel sommaire serait acceptable en vertu de la Politique, nous avons comparé des sommaires ministériels avec ceux du Secrétariat du Conseil du Trésor lui-même. Résultat : les sommaires ministériels présentent de grandes lacunes.
Pratiques exemplaires
1.77 Certains ministères fédéraux ont des pratiques exemplaires. Certains ministères ont mis en place les processus nécessaires à la mise en œuvre de la Politique et réalisent à temps les évaluations des facteurs relatifs à la vie privée. Nous avons trouvé de bons exemples de gouvernance, de mécanismes de sélection des projets, de plans de directives et de formation et de programmes de sensibilisation dans certains des ministères et institutions que nous avons évalués (voir l’annexe E).
1.78 Dans l’ensemble, un ministère – Ressources humaines et Développement social Canada (y compris l’initiative Service Canada) – se démarquait. L’organisme a mis en place un cadre stratégique de gestion de la protection de la vie privée (qui fournit une infrastructure générale pour la gestion des renseignements personnels et la protection de la vie privée) et un processus d’ÉFVP bien structuré. Depuis l’entrée en vigueur de la Politique en 2002, ces organismes ont mis sur pied des directives exhaustives qui complètent les lignes directrices du SCT, élaboré des outils pour aider les gestionnaires de programmes à réaliser des ÉFVP, lancé des campagnes de sensibilisation et mis en place un processus permettant de bien cibler et de choisir les candidats aux ÉFVP et aux ÉPFVP.
Annexe E : Pratiques exemplaires en matière d’évaluation des facteurs relatifs à la vie privée
Sensibilisation à la protection de la vie privée – Citoyenneté et Immigration Canada
La Division de l'administration des droits du public de Citoyenneté et Immigration saisit chaque occasion de parler de la protection des renseignements personnels. Elle a favorisé la création d’un « Réseau des coordonnateurs de l’AIPRP », un forum de communications sur les questions de base auquel participe du personnel responsable de l’AIPRP de chaque direction du Ministère. En plus des rapports mensuels publiés en ligne sur le site du Ministère dans la zone sur l’AIPRP et la protection de la vie privée, la Division organise une conférence annuelle ou une journée de réflexion des coordonnateurs de l’AIPRP qui réunit les agents de la protection de la vie privée de l’administration centrale et des régions, et tient des ateliers et des discussions articulés autour des besoins connus des participants. La sensibilisation de la haute direction est maintenue par de fréquentes présentations au Comité de gestion du Ministère.
Planification stratégique et gouvernance – Ressources humaines et Développement social Canada
Le cadre de gestion de la protection de la vie privée (CGPVP) du Ministère a été mis en place à la fin de l’an 2000 à titre de point de départ stratégique pour la gestion des renseignements personnels conservés par l’organisme. Le CGPVP, en lien avec les initiatives de planification stratégiques et de gouvernance, analyse le recours aux renseignements personnels dans le cadre des activités, de l’administration et de la recherche afin que tous les enjeux concernant la protection de la vie privée soient cernés et atténués par un ensemble de directives interreliées, de pratiques exemplaires et d’outils (y compris les ÉFVP). Un comité chargé du cadre de gestion de la protection de la vie privée dirige la mise en place dans tout le ministère du cadre de gestion de la protection de la vie privée, tant dans les programmes que d’un programme à l’autre. Le comité, composé des directeurs généraux, de coordonnateurs de l’accès à l’information et de la protection des renseignements personnels, de chefs de la vérification interne de même que de représentants des services juridiques et des régions, se réunit à tous les mois. Les évaluations des facteurs relatifs à la vie privée sont examinées et approuvées par le comité avant d’être présentées au sous-ministre pour signature.
Sélection des projets – Gendarmerie royale du Canada
Le service du DPI de l’administration centrale de la GRC, situé à Ottawa, a mis en place un système de contrôles pour faciliter le choix des systèmes de TI nouveaux ou modifiés qui feront l’objet d’une évaluation des facteurs relatifs à la vie privée. Agissant comme un contrôleur de la conception et de la mise en œuvre des nouveaux projets, le service du DPI nomme un gestionnaire de projet qui supervise toutes les activités de mise en œuvre. Le processus de contrôle repose sur une série de critères de sélection supplémentaires qui requièrent une approbation au niveau de la direction d’un comité d’examen des projets avant qu’un projet puisse aller de l’avant. Trois des mesures de contrôle visent les ÉFVP et prévoient l’approbation du gestionnaire de projet, une consultation avec le propriétaire de l’entreprise et l’examen de l’AIPRP. Les projets qui n’ont pas reçu ces approbations ne vont pas plus loin. Bien que la responsabilité du service du DPI soit actuellement limitée aux systèmes nationaux, ces systèmes représentent la grande majorité des processus de TI qui relève de la GRC. L’adoption de procédures similaires au niveau régional fait actuellement l’objet de discussions.
Orientation et formation – Santé Canada
Une sensibilisation générale aux exigences des politiques relatives à la protection des renseignements personnels représente souvent la première étape pour s’assurer que les gestionnaires de programmes tiennent compte des répercussions sur la vie privée au moment de l’élaboration de leurs plans et priorités. Le nouveau plan de formation de Santé Canada sur la protection des renseignements personnels et les évaluations des facteurs relatifs à la vie privée présente une introduction étape par étape aux concepts de base des pratiques équitables en matière de traitement des renseignements personnels, fait connaître les responsabilités et la responsabilisation du Ministère, intègre les principes de protection de la vie privée aux grandes lignes des exigences de la Politique concernant les ÉFVP, et offre aux gestionnaires de programmes des outils importants et pratiques pour la protection des renseignements personnels. Le programme de formation permet également aux gestionnaires de programmes qui le suivent d’analyser et de préparer une ÉFVP visant des projets réels envisagés ou en cours.
Recommandations
Principaux éléments contribuant à l’écart de rendement
1.79 Bien que la Politique d’ÉFVP du gouvernement du Canada commence à avoir l’effet escompté, à savoir de mieux faire connaître et comprendre les répercussions sur la vie privée associées à l’exécution des programmes et à la prestation des services, cinq ans après son entrée en vigueur, nous nous serions attendus à ce que l’appui envers l’initiative ait progressé davantage dans les ministères. Dans l’ensemble, l’engagement à l’égard de la Politique est très variable. Certains organismes possèdent des infrastructures d’ÉFVP bien établies, tandis que d’autres ne font que commencer à mettre sur pied les systèmes de base nécessaires pour appuyer le processus entourant les ÉFVP. En nous fondant sur notre travail de vérification, nous croyons que plusieurs facteurs principaux ont contribué à cet écart.
Manque d’infrastructure et d’appui de la direction
1.80 Nous nous serions attendus à ce que la haute direction ait manifesté plus clairement son engagement envers la Politique, premièrement en rappelant l’importance de la protection de la vie privée dans l’exécution des programmes et la prestation des services, et deuxièmement, en exprimant formellement les résultats attendus d’une évaluation des facteurs relatifs à la vie privée. Nous nous serions également attendus à ce que les organismes aient alloué des ressources et un personnel suffisants pour répondre aux exigences de la Politique et faire en sorte que les engagements et les résultats attendus de la Politique soient respectés.
1.81 Les agents de l’accès à l’information et de la protection des renseignements personnels jouent un rôle important. Ils doivent en effet rappeler à la haute direction ses obligations en vertu de la Politique. Ils jouent également un rôle clé dans la conception et le soutien des processus d’ÉFVP au sein de leurs organismes respectifs. Dans certaines institutions fédérales, toutefois, nous avons remarqué que la haute direction n’avait pas été informée officiellement par l’AIPRP des exigences relatives aux ÉFVP depuis l’entrée en vigueur de la Politique en 2002. Bien que nous n’avons pas pu dire dans quelle mesure les tentatives de création d’une infrastructure d’ÉFVP ont soulevé la résistance de la haute direction, il est évident que, sans son appui, une telle infrastructure serait difficile à mettre en place et à conserver.
1.82 Outre les ressources nécessaires au respect de la Politique dans son intégralité, le facteur le plus important pour assurer le succès d’une évaluation de projets spécifiques de prestation de services relativement à la protection de la vie privée consiste en la présence d’un cadre efficace de contrôle de la gestion. L’absence d’un tel cadre risque d’avoir des répercussions directes et mesurables sur l’efficacité et la qualité des évaluations des facteurs relatifs à la vie privée et sur le degré de conformité à la Politique.
1.83 Recommandation : Les administrateurs généraux de tous les organismes gouvernementaux assujettis à la Politique devraient réaffirmer leur engagement à l’égard de la protection de la vie privée et s’assurer que leur organisme applique pleinement les lignes directrices du SCT. Ils devraient s’assurer que leur organisme a mis en place une infrastructure administrative adéquate pour la réalisation des ÉFVP et a alloué les ressources nécessaires à l’application de la Politique. Cette infrastructure administrative devrait :
- Déterminer et documenter toutes les propositions qui peuvent présenter des risques d’entrave à la vie privée;
- établir une structure efficace de responsabilisation organisationnelle;
- élaborer et mettre en œuvre un système de suivi de tous les projets assujettis à la Politique et des ÉFVP détaillées qui ont été réalisées;
- fournir des directives internes et des programmes de formation à l’intention des gestionnaires et du personnel qui participent à la préparation et à l’orientation des programmes, des plans et des politiques;
- établir des procédures relativement au contrôle de la qualité, aux consultations, aux communications, aux suivis et à l’évaluation des ÉFVP.
Réponse du Secrétariat du Conseil du Trésor (SCT) :
Le SCT s’engage entièrement à appuyer les institutions qui visent à se conformer à la Loi sur la protection des renseignements personnels et aux exigences des politiques sur la protection des renseignements personnels. À cette fin, le SCT s’assurera que les institutions ont les outils et les directives en matière de politiques dont elles ont besoin pour concevoir et mettre en œuvre des pratiques efficaces de gestion dans le domaine de la protection de la vie privée et pour se conformer aux exigences de la Loi. De plus, les exigences précises liées à la conformité à la Loi sur la protection des renseignements personnels et ses politiques continueront d’être évaluées par l’entremise du Cadre de responsabilisation de gestion.
Intégration limitée à la prise de décisions et à l’analyse des effets
1.84 Les institutions gouvernementales considèrent souvent que les ÉFVP sont une obligation séparée et distincte au lieu d’un outil spécialisé de gestion des risques. À ce titre, l’évaluation des facteurs relatifs à la vie privée n’a pas encore été intégrée aux autres instruments de planification stratégique qui influent sur l’élaboration des programmes, des plans et des politiques.
1.85 Le moment choisi pour effectuer les ÉFVP et la rigueur avec laquelle elles sont parfois réalisées laissent à penser que certains organismes considèrent la protection de la vie privée comme une réflexion subséquente à l’exécution des programmes et à la prestation des services. Indépendamment d’autres facteurs, la préparation d’une ÉFVP plusieurs années après la mise en place d’un projet laisse croire qu’un ministère procède à une vérification uniquement pour satisfaire aux obligations d’une politique (au lieu de se servir de l’analyse des facteurs relatifs à la vie privée pour guider l’élaboration d’un programme). Ceci est plus particulièrement vrai dans les cas où il faut beaucoup de temps pour donner suite aux conclusions des ÉFVP et dans ceux où les ÉFVP ne sont pas réalisées à l’égard de propositions pouvant présenter des risques d’entrave à la vie privée. Bien que nous sachions qu’il est parfois difficile de procéder à des analyses approfondies des risques d’atteinte à la vie privée quand les détails d’un programme n’ont pas encore été réglés, ce n’est pas la raison principale que nous avons observée dans les cas d’omission et de retards de présentation des ÉFVP.
1.86 Recommandation : Les organismes fédéraux assujettis à la Politique d’ÉFVP devraient chercher à mieux intégrer l’analyse de la protection de la vie privée, y compris la nécessité de faire des ÉFVP, à leur approche globale de la gestion du risque en liant les exigences de la Politique d’ÉFVP aux activités de programmes et aux processus administratifs. La haute direction devrait utiliser les évaluations des facteurs relatifs à la vie privée parallèlement à d’autres analyses sociales et économiques pour orienter l’élaboration des programmes, des services, des plans et des politiques.
Réponse du Secrétariat du Conseil de Trésor (SCT) :
Dans le cadre de son examen des politiques en matière de protection des renseignements personnels, le SCT étudie actuellement des moyens d’intégrer l'analyse des facteurs relatifs à la vie privée aux priorités et responsabilités plus larges des organismes. La politique du SCT en matière de protection des renseignements personnels tentera d’harmoniser les besoins en matière d'ÉFVP aux responsabilités prévues par la loi, afin de réduire les activités redondantes et de simplifier le processus d'ÉFVP. Actuellement, la démarche entreprise au moyen du Cadre de responsabilisation de gestion fournit une évaluation des facteurs relatifs à la vie privée au sein d’un contexte de gestion élargi, et le SCT entend tabler sur ce processus.
Les ressources sont limitées
1.87 Compte tenu des niveaux de maturité des cadres institutionnels de gestion des ÉFVP, il n’a pas été surprenant d’apprendre qu’aucun des organismes que nous avons vérifiés n’avait encore défini de mesures intégrées de communications du rendement relativement aux finances, aux ressources humaines ou activités pour les ÉFVP. À l’exception des dépenses de sous-traitance et de consultation, les coûts de réalisation des ÉFVP n’étaient, en général, pas bien définis et étaient plutôt comptabilisés comme des « frais généraux ».
1.88 Gestion limitée des ressources. Bien que les coûts relatifs aux unités d’AIPRP des institutions soient généralement connus et gérés, le calcul des coûts n’est pas utilisé pour les ÉFVP ou les activités associées à la protection de la vie privée. Cette gestion déficiente des ressources peut avoir un effet important sur la qualité des ÉFVP, car les organismes ne semblent pas en mesure d’évaluer de manière adéquate si les ressources affectées aux ÉFVP sont suffisantes ou non pour satisfaire à leurs obligations en vertu de la Politique.
1.89 En raison de la relation de cause à effet entre l’investissement de ressources et la qualité de la production, le sous-financement des unités d’AIPRP, et plus précisément des activités d’ÉFVP (par rapport à celles associées à l’accès à l’information) semble vraiment poser problème. À mesure que les ÉFVP seront davantage liées aux pratiques générales de gestion du risque des ministères, nous nous attendons à ce que les coûts qui y sont associés soient examinés de plus près.
1.90 Il y a pénurie de professionnels de la protection de la vie privée au gouvernement. Malgré le manque de mesures de rendement pour les ÉFVP, notre expérience nous donne à penser que, dans le cas de la politique sur la protection de la vie privée, et en particulier dans le cas des évaluations des facteurs relatifs à la vie privée, le gouvernement manque de ressources qualifiées. Nous croyons que cette pénurie a de graves répercussions sur le succès de la mise en œuvre de la Politique.
1.91 Dans presque tous les cas, nous avons été surpris du très petit nombre de personnes à temps plein affectées à la politique de protection des renseignements personnels et aux ÉFVP. En général, les organismes qui ont fait l’objet d’une vérification avaient des compléments d’effectif de 11 000 à 44 000 équivalents temps plein (et des services d’AIPRP composés de 37 à 78 personnes). Dans ces mêmes institutions toutefois, le personnel affecté à la politique de protection des renseignements personnels ou aux ÉFVP ne comptait que de 2 à 14 personnes. De toute manière, même en tenant compte du rôle que joue le conseiller juridique, les gestionnaires de programmes et les experts techniques en matière de protection de la vie privée, on voit bien que la somme des ressources humaines affectées aux évaluations des facteurs relatifs à la vie privée est extrêmement limitée.
1.92 Le manque de ressources n’est pas limité aux ministères responsables et aux organismes. En ce qui concerne les évaluations des facteurs relatifs à la vie privée, le rôle du Commissariat à la protection de la vie privée est d’étudier les ÉFVP de tout le gouvernement et de formuler des commentaires, au besoin, avant la mise en place des programmes ou des services. Au moment de notre vérification, le CPVP n’avait qu’un seul agent d’examen des ÉFVP à temps plein et accusait un retard de près de deux ans. Le Commissariat s’active actuellement à reconstruire sa capacité de vérification et d’examen dans le but de traiter davantage les ÉFVP en temps opportun et en collaboration avec les organismes gouvernementaux (voir aussi le paragraphe 1.71).
1.93 En raison du manque de personnel affecté aux ÉFVP, les organismes gouvernementaux comptent énormément sur les services professionnels d’agents contractuels. Bien que la qualité du travail confié en sous-traitance soit généralement bonne, l’évaluation des facteurs relatifs à la vie privée demande une grande compréhension des processus d’affaires et de la circulation des données propres à chaque organisme. Dans de nombreux cas, seuls les responsables des programmes et les agents de l’AIPRP possèdent ces connaissances. En confiant les ÉFVP à des sous-traitants, les institutions sont moins susceptibles de mettre en place les ressources internes nécessaires pour procéder à ces évaluations et peuvent négliger certains des risques d’entrave à la vie privée associés aux plans ou aux programmes que seul une introspection ou un auto-examen aurait permis de relever.
1.94 Recommandation : Les organismes fédéraux assujettis à la Politique d’ÉFVP devraient déterminer si leurs ressources actuelles sont suffisantes pour remplir leurs obligations en vertu de la Politique. En même temps, la haute direction devrait commencer à élaborer des mesures intégrées de communication du rendement relativement aux finances, aux ressources humaines ou aux activités pour les ÉFVP de manière à mieux comprendre tous les coûts liés aux plans et aux priorités au moment de demander du financement pour des projets.
En mai 2002, le Secrétariat du Conseil du trésor s’est engagé à entreprendre un examen complet des dispositions et des activités liées à la Politique d’ÉFVP au plus tard cinq ans après son entrée en vigueur. L’examen devrait également porter sur les moyens de simplifier le processus et les exigences pour diminuer la pression sur les ressources au sein du gouvernement.
Réponse Secrétariat du Conseil du Trésor (SCT) :
Le SCT approuve la recommandation de la commissaire à la protection de la vie privée et examinera des options pour simplifier le processus d'ÉFVP et ses exigences, pour que les ressources soient mieux gérées et les contraintes de temps atténuées. Il s’agit, dans l’optique actuelle du SCT, d’une question prioritaire qui doit être traitée afin de maintenir la politique à long terme.
Les exigences en matière d’ÉFVP doivent être simplifiées
1.95 Compte tenu des ressources importantes qui sont nécessaires pour la réalisation d’une ÉFVP et de la pénurie de telles ressources dans tout le gouvernement, il convient de voir comment on peut continuer à réaliser une certaine analyse des facteurs relatifs à la vie privée tout en réduisant au minimum l’impact sur la capacité des programmes et de l’AIPRP. En plus des protocoles relatifs aux ÉFVP et ÉPFVP au sein des institutions, on pourrait envisager de créer une troisième structure de rapport (ou un examen de la protection de la vie privée) pour les projets plus modestes pour lesquels il n’est pas rentable ou opportun d’effectuer une ÉFVP complète. Un tel processus n’empêcherait pas ou ne remplacerait pas le recours aux ÉFVP, mais il pourrait servir à simplifier les exigences administratives liées aux ÉFVP et à atteindre un équilibre entre la nécessité d’entreprendre certaines analyses des facteurs relatifs à la vie privée dès la conception des programmes et d’autres facteurs opérationnels importants.
1.96 Dans d’autres cas, comme les projets de services ou de systèmes partagés dans lesquels les entités utilisent des approches identiques ou similaires pour la collecte, l’utilisation et la communication des renseignements personnels, des évaluations génériques pourraient être utilisées. Les systèmes de planification des ressources organisationnelles et de gestion normalisée des dossiers seraient vraisemblablement des candidats idéaux pour des évaluations génériques des facteurs relatifs à la vie privée.
1.97 Nous croyons savoir que le Secrétariat du Conseil du Trésor travaille actuellement à un projet de renouvellement de ses politiques en matière de protection de la vie privée qui permettra, entre autres choses, d’harmoniser les exigences des politiques avec les risques associés aux projets. On s’attend à ce que l’établissement d’une norme sur les risques d’entrave à la vie privée, qui servira de guide pour l’établissement des nouvelles exigences des politiques et des stratégies de gestion du risque, contribuera beaucoup à simplifier les exigences de communication entourant le processus actuel d’évaluation des facteurs relatifs à la vie privée.
Réponse du Secrétariat du Conseil du Trésor (SCT):
Le SCT approuve la recommandation de la commissaire à la protection de la vie privée et s’engage à fournir l’orientation et la structure de politique nécessaires pour permettre aux institutions de mieux gérer les risques concernant la vie privée. Le SCT simplifie actuellement les exigences de la politique d’ÉFVP, afin que les institutions puissent traiter les risques concernant la vie privée d’une façon proportionnelle aux risques associés aux projets plus importants. Cela améliorera la gestion des ressources et permettra aux institutions de se concentrer sur des domaines de risques particuliers.
Il faut améliorer la formation
1.98 Au niveau opérationnel, certains organismes ont mis en place de bonnes directives et une bonne formation pour appuyer leurs efforts relativement à l’évaluation des facteurs relatifs à la vie privée. Avec les lignes directrices et les outils d’apprentissage en ligne fournis par le Secrétariat du Conseil du trésor et la possibilité de consulter le Commissariat à la protection de la vie privée, il y a suffisamment d’informations techniques pour produire des ÉFVP exhaustives et solides. Cependant, il faut d’autres formations et directives pour sensibiliser les gestionnaires de programme à leurs responsabilités en vertu de la Politique et leur donner les connaissances et les compétences nécessaires en matière de protection de la vie privée pour réaliser des ÉFVP.
1.99 Comme l’évaluation des facteurs relatifs à la vie privée est une composante essentielle du processus d’élaboration des politiques et des programmes du gouvernement fédéral, nous nous serions attendus à ce que le Secrétariat du Conseil du Trésor, de concert avec l’École de la fonction publique du Canada (le principal organisme de formation des cadres supérieurs du gouvernement fédéral) tienne compte de la Politique dans sa gamme de cours. À ce jour, seuls certains cours sont offerts sur le processus d’évaluation des facteurs relatifs à la vie privée, mais l’École n’a pas encore entièrement évalué la manière dont la Politique pourrait être abordée dans le cadre de son programme de cours.
1.100 Recommandation : En raison du besoin évident de formation en matière de protection de la vie privée dans tout le gouvernement, le Secrétariat du Conseil du Trésor, avec l’aide de l’École de la fonction publique du Canada, devrait déterminer comment la Politique d’évaluation des facteurs relatifs à la vie privée devrait être abordée dans les cours offerts aux cadres supérieurs de la fonction publique fédérale. Nous croyons que le gouvernement devrait envisager un investissement stratégique dans la formation sur la protection de la vie privée et, à tout le moins, que les cours actuels sur les politiques et programmes traitent de la Politique d’ÉFVP.
Réponse du Secrétariat du Conseil du Trésor du Canada (SCT) :
Le SCT continuera de saisir les occasions de miser sur ses initiatives de formation et de sensibilisation existantes, y compris celles s’adressant à la haute direction, et il étudiera des options pour la prestation d’une formation en matière de protection de la vie privée par l’École de la fonction publique du Canada. La formation est une partie intégrante du processus de renouvellement des politiques en matière de protection des renseignements personnels ainsi que du plan connexe de mise en œuvre des éléments de la politique d’ÉFVP révisée.
Il y a absence de vérification et d’évaluation internes
1.101 La Politique d’ÉFVP stipule que l’application de la Politique devrait être surveillée, en partie, par des vérifications internes. Bien que certains organismes aient amorcé ou entrepris des révisions internes en matière de protection de la vie privée au cours des cinq dernières années, y compris des évaluations des renseignements personnels en leur possession, aucun n’a réalisé de vérifications exhaustives de sa conformité à la Politique d’ÉFVP ou des activités d’ÉFVP de son ministère. Bien que les services d’AIPRP de certains ministères aient récemment commencé à assumer de plus grandes responsabilités à l’égard de la surveillance des activités d’ÉFVP, la tenue de vérifications internes compléterait et améliorerait les activités de contrôle et permettrait de s’assurer que les risques cernés dans le cadre du processus d’ÉFVP sont suffisamment atténués.
1.102 Recommandation : La direction générale de la vérification interne de toutes les institutions fédérales assujetties à la Politique devrait chercher à inclure le résultat des examens portant sur la protection de la vie privée et les ÉFVP dans leurs plans et priorités futurs et à tenir compte des observations contenues dans le présent rapport.
Réponse du Secrétariat du Conseil du Trésor du Canada (SCT) :
Les institutions dont les analyses du niveau de risque le justifieront seront invitées à mener des vérifications internes de leurs pratiques de traitement des renseignements personnels et de leur structure de gestion de la protection de la vie privée, y compris du processus d’ÉFVP.
Questions de politique
Le rôle et les responsabilités du CPVP et du SCT doivent être révisés
1.103 Il est important de comprendre que la commissaire à la protection de la vie privée du Canada est une haute fonctionnaire du Parlement qui est indépendante, et non pas le bras droit ou le prolongement du gouvernement ou du Conseil du Trésor. Le CPVP a le pouvoir discrétionnaire d’examiner ou non toutes les Évaluations des facteurs relatifs à la vie privée (ÉFVP), et il n’est pas obligé de transmettre ses commentaires à un ministère. Nous faisons des commentaires sur les ÉFPV lorsque nous l'estimons nécessaire. De même, un ministère peut aller de l’avant avec un projet même si le CPVP n’a pas approuvé une ÉFVP (laquelle doit être signée par l’administrateur général et envoyée au CPVP).
1.104 L’intention de la politique de l'ÉFPV est de s'assurer que la commissaire à la protection de la vie privée est informée et de démontrer (à la satisfaction de la commissaire) que les risques d’atteinte à la protection des renseignements personnels ont été identifiés et pris en compte. Toutefois, les ministères qui soumettent leur ÉFPV au CPVP s’attendent, ou désirent logiquement recevoir une rétroaction. Ils perçoivent généralement les commentaires et les recommandations du CPVP comme une « valeur ajoutée » de même qu'une façon de s'assurer que leur ÉFPV est correctement réalisée. Cependant, il y a un risque que le CPVP soit perçu de facto comme un contrôleur de qualité, ce qui n’est pas le but de la politique, tout en étant incompatible avec l’impartialité du CPVP. Tout ce qui est fait ou non en matière des ÉFVP relève de l'entière responsabilité des ministères et organismes.
1.105 La Politique d’ÉFVP suggère que le CPVP devrait participer dès les premières étapes de l’élaboration d’une évaluation des facteurs relatifs à la vie privée. Cette intervention permet au CPVP d’analyser les étapes suivies pour trouver des solutions aux préoccupations touchant la protection de la vie privée, de s’assurer qu’une autorité compétente est en place pour permettre la collecte des renseignements personnels des Canadiennes et des Canadiens, et de vérifier si les règlements et les principes de la Loi sur la protection des renseignements personnels sont respectés.
1.106 Même si les administrateurs généraux ont toujours été responsables de la réalisation des ÉFVP, nous avons constaté au cours des dernières années que la qualité des ÉFVP et le respect de la Politique sont davantage perçus comme une responsabilité partagée. En pratique, en raison des ressources limitées du Commissariat et étant donné que les ÉFVP sont souvent déposées ou révisées à l’approche de la mise en œuvre d’un programme, le CPVP est devenu dans les faits un dépositaire des ÉFVP après leur mise en œuvre plutôt qu’un expert-conseil en la matière.
1.107 Le rôle de la commissaire à la protection de la vie privée devrait évoluer. À la lumière de ces faits nouveaux, on doit se demander si la commissaire à la protection de la vie privée devrait continuer de jouer un rôle dans la révision de toutes les évaluations des facteurs relatifs à la vie privée. D’autres instruments d’application ou exigences en matière de rapport pourraient-ils favoriser davantage le respect de la Politique? Le CPVP pourrait-il participer davantage au processus d’ÉFVP dès le départ, par le biais de consultations, de sensibilisation et de participation aux projets de formation, de manière à mieux utiliser ses ressources limitées et mieux s’acquitter de son mandat d’ombudsman de la protection de la vie privée?
1.108 La formule actuelle permet à la commissaire à la protection de la vie privée d’occuper une place importante dans ce qui pourrait bien être l’élément le plus central du régime de conformité à la protection de la vie privée du gouvernement fédéral. L’obligation de présenter toutes les ÉFVP au CPVP pour un examen détaillé mène non seulement à la communication des activités institutionnelles qui touchent la vie privée (comme les activités de collecte de renseignements), mais fait aussi appel à la capacité d’amener les institutions à tenir compte de la protection de la vie privée dans l’élaboration des programmes (si ce n’est pas carrément de respecter la Politique).
1.109 Bien que le processus d’examen des ÉFVP contribue très certainement à l’amélioration de la qualité et à l’exhaustivité de l’analyse de la protection de la vie privée dans les institutions, on peut débattre que cette analyse est, en soi, secondaire par rapport aux fonctions d’information et d’application de la loi du CPVP décrites ci-haut. À mesure que les organismes acquerront des compétences pour réaliser des ÉFVP – en supposant des investissements importants pour la formation et l’appui – la contribution des examens du CPVP à l’égard de la qualité et de l’exhaustivité pourrait devenir moins importante avec le temps.
1.110 Au moment de l’examen d’autres modèles qui préservent les rôles d’information et d’application du CPVP associés aux ÉFVP, on pourrait envisager un système qui permettrait aux organismes de ne présenter au Commissariat qu’un avis sommaire de projets et d’ÉFVP plutôt que des ÉFVP et des ÉPFVP exhaustives. Dans les faits, une telle communication se produit déjà dans les cas de protection de la vie privée les plus délicats. Les institutions communiquent alors avec le CPVP, avant l’élaboration des programmes, pour discuter des initiatives projetées et des risques qu’elles pourraient représenter pour la protection de la vie privée. S’ils sont bien conçus et bien produits, ces préavis pourraient permettre une meilleure surveillance et application, car la commissaire pourrait exiger la présentation des ÉFVP dignes d’intérêt et les revoir, procéder au suivi des conclusions et recommandations et effectuer des vérifications de conformité pangouvernementales ou d’organismes spécifiques.
1.111 Il faut examiner la nécessité d’un registre fédéral des évaluations des facteurs relatifs à la vie privée. Si on opte pour un modèle de gouvernance selon lequel les organismes ne présenteraient au CPVP qu’un avis de projets comportant l’utilisation de renseignements personnels, le SCT pourrait déterminer s’il serait souhaitable de mettre sur pied une base de données centrale ou un registre des évaluations des facteurs relatifs à la vie privée. Ce registre aurait pour but de fournir à tout le gouvernement un seul guichet d’accès aux ÉFVP et aux projets plus menaçants pour la protection de la vie privée, quelle qu’en soit l’autorité responsable. Le registre pourrait être utilisé par le public pour mieux comprendre le sujet et les répercussions sur la vie privée des projets gouvernementaux et par des organismes tels que le Secrétariat du Conseil du Trésor et le Commissariat à la protection de la vie privée pour surveiller les activités d’ÉFVP. Le registre pourrait également rehausser la capacité de gestion de projet des organismes et contribuer à réduire ou éliminer les omissions relatives à la production d’ÉFVP.
1.112 L’idée d’un index, comme celui actuellement utilisé par les institutions fédérales pour l’évaluation environnementale stratégique et les résumés de l’étude d’impact de la réglementation (pour les nouveaux règlements), peut aussi améliorer la transparence des activités du gouvernement et favoriser une meilleure participation du public et des parlementaires aux questions relatives à la protection de la vie privée.
Réponse du Secrétariat du Conseil du Trésor (SCT):
Le SCT approuve la recommandation de la commissaire à la protection de la vie privée et travaillera à la création d’un point central d’accès à l’information sur l’ÉFVP. À court terme, le SCT concentrera ses efforts sur la conception d’un répertoire exhaustif d’ÉFVP pour accroître la surveillance de la politique et de l’application de la Loi sur la protection des renseignements personnels. Le SCT étudiera l’élaboration d’un répertoire à plus long terme.
Améliorer la surveillance et les obligations de divulgation
1.113 Il est essentiel de rehausser la transparence du processus d’évaluation des facteurs relatifs à la vie privée pour améliorer la qualité des analyses des facteurs relatifs à la vie privée au gouvernement. La divulgation publique et l’attention qui en découle pourraient faire en sorte qu’un plus grand soin sera accordé à la préparation des ÉFVP et que le Parlement et le public auront les renseignements nécessaires pour tenir des débats plus éclairés sur la protection de la vie privée. La divulgation publique peut également fournir une assurance de plus que les répercussions sur la vie privée sont bien prises en compte pendant l’élaboration des programmes, des plans et des politiques – chaque organisme étant responsable de la justesse de l’analyse des facteurs relatifs à la vie privée qui a été entreprise.
1.114 La Loi sur la protection des renseignements personnels oblige les institutions fédérales à rendre des comptes au public sur la collecte, l’utilisation et la communication des renseignements personnels en donnant des descriptions justes et à jour des fichiers de renseignements personnels dans Info Source. Pour assurer la conformité à la Loi et à la Politique d’ÉFVP, le Secrétariat du Conseil du Trésor surveille les divulgations des organismes dans Info Source de même que les rapports annuels des ministères au Parlement prévus à l’article 72 de la Loi sur la protection des renseignements personnels. Comme nous le soulignions plus tôt, toutefois, la carte de pointage des institutions en matière d’ÉFVP est modeste et donne peu de moyens de s’assurer que les organismes respectent la Politique. Cela fait contraste aux obligations de divulgation publique des institutions en vertu de la loi actuelle sur l’accès à l’information.
1.115 Recommandation : Pour améliorer la qualité de l’analyse des facteurs relatifs à la vie privée dans l’élaboration des programmes, plans et politiques, et pour mieux assurer la conformité à la Politique d’ÉFVP, le Secrétariat du Conseil du Trésor devrait se pencher sur la nécessité d’améliorer et d’élargir les obligations de rendre compte des évaluations des facteurs relatifs à la vie privée dans les rapports annuels des ministères. Les exigences révisées pourraient comprendre, à tout le moins, la divulgation :
- du nombre et de la nature des projets amorcés au cours de l’année qui comportent l’utilisation de renseignements personnels;
- de la nature des changements ou des restructurations de programmes qui pourraient avoir des répercussions sur la vie privée;
- de l’état d’avancement des ÉFVP pour chaque projet nommé ci-dessus;
- des références aux résumés des ÉFVP réalisées quand les évaluations des facteurs relatifs à la vie privée ont été terminées;
- des cas, s’il en est, où des programmes, services, plans ou politiques ont été mis en place pendant l’année sans évaluation des facteurs relatifs à la vie privée.
Le Secrétariat du Conseil du Trésor, à titre d’autorité centrale responsable de la surveillance de la conformité à la Politique d’ÉFVP, devrait également étudier les obligations de divulgation mentionnées ci-dessus pour renforcer son pouvoir de surveillance.
Réponse du Secrétariat du Conseil du Trésor (SCT) :
Le SCT est d’accord avec la recommandation de la commissaire à la protection de la vie privée et étudiera les options portant sur la révision des exigences en matière de rapport reliées aux ÉFVP tout en tenant compte des éléments identifiés par le CFVP. Le SCT s’engage également à améliorer les mécanismes de surveillance dans le cadre de son exercice de renouvellement des politiques. Cela signifie qu’il faut renforcer les mécanismes existant en matière de rapport pour s’assurer que l'information pertinente est accessible au CPVP et au SCT, afin de permettre à chaque organisation d'accomplir ses responsabilités législatives en matière de surveillance et de contrôle.
Nécessité d’une évaluation stratégique des facteurs relatifs à la vie privée
1.116 La politique actuelle du SCT relativement aux ÉFVP a été conçue pour évaluer les répercussions sur la vie privée des initiatives du gouvernement par programme, au moment de leur conception. Il faut toutefois s’occuper des répercussions plus vastes sur la vie privée des plans et politiques qui ne sont pas nécessairement abordées par les projets ou les services. Un processus non légiféré pour l’évaluation des facteurs relatifs à la vie privée des politiques et plans fédéraux présentés à l’étude du Cabinet, que l’on pourrait appeler « évaluation stratégique des facteurs relatifs à la vie privée », pourrait être utilisé pour ces initiatives.
1.117 Au cours des dernières années, le gouvernement du Canada a lancé de nombreux programmes qui pourraient avoir des répercussions graves sur la protection de la vie privée du public (ou entrepris des discussions pour les mettre en place), par exemple : le projet Gouvernement en direct, l’Accord sur la frontière intelligente, la création d’une liste de passagers indésirables et le lancement de Service Canada, pour n’en nommer que quelques-uns. En raison de l’ampleur et du caractère envahissant de telles initiatives, la mise en place de ces plans et d’autres projets du gouvernement (p. ex. la surveillance) devrait d’abord faire l’objet d’une analyse exhaustive des facteurs relatifs à la vie privée.
1.118 Même si le Commissariat à la protection de la vie privée, lors de ses comparutions devant les comités parlementaires et ses discussions bilatérales avec les organismes gouvernementaux, tente de présenter ses observations sur de tels plans au début du processus législatif, il est souvent trop tard, une fois qu’un projet de loi a été présenté à la Chambre des Communes, pour repenser aux approches relatives aux questions d’information. Selon la commissaire, l’intérêt public serait mieux servi si le CPVP intervenait plus tôt dans le processus et si les organismes disposaient de plus de temps pour régler les questions de protection de la vie privée.
1.119 Connaître les répercussions éventuelles sur la vie privée des politiques et plans proposés fournirait au Cabinet l’occasion de rajuster ou de modifier plus tôt les programmes pour protéger la vie privée des Canadiennes et des Canadiens de manière à réduire les coûts inhérents aux modifications de programmes. En l’absence d’outil stratégique d’évaluation des facteurs relatifs à la vie privée, nous croyons que les politiques du gouvernement sur la protection de la vie privée risquent de ne pas remplir leur promesse relativement à l’orientation des politiques, des plans et des programmes.
1.120 Recommandations : Le Bureau du Conseil privé, à titre d’autorité centrale responsable de la gestion du système de prise de décision du Cabinet, devrait étudier le besoin pour une évaluation stratégique des facteurs relatifs à la vie privée et le meilleur moyen d’intégrer les facteurs relatifs à la vie privée aux propositions soumises aux ministres et au Cabinet.
Réponse du Bureau du Conseil privé (BCP) :
Le gouvernement fédéral s’engage à protéger la vie privée au cours de ses propres activités, ainsi qu’à respecter les principes généraux de pratiques équitables de traitement de l'information. Le BCP appuie le processus d'évaluation des facteurs relatifs à la vie privée (ÉFVP) en vertu duquel les sous-ministres et les autres administrateurs généraux des organismes ont la responsabilité de déterminer si les initiatives ont des répercussions potentielles sur la vie privée des Canadiennes et des Canadiens, ainsi que d’équilibrer et d’intégrer les exigences en matière de protection de la vie privée aux autres prescriptions des lois et des politiques.
Cerner les questions relatives à la protection de la vie privée au tout premier stade du projet est certes l’idéal. Nous reconnaissons que cette information pourrait donner au Cabinet et aux administrateurs généraux l’occasion de modifier une initiative planifiée en vue de mieux protéger les renseignements personnels et d’éliminer les coûts additionnels liés à l’élaboration du programme.
Le BCP s’engage à travailler avec le Secrétariat du Conseil du Trésor, qui est responsable du processus de l’ÉFVP, à son projet de renouvellement des politiques en matière de protection de la vie privée pour s’assurer que les analyses des facteurs relatifs à la vie privée sont converties en propositions aux ministres et au Cabinet. Cette consultation tiendra aussi compte de la manière d’évaluer non seulement l’incidence de chaque programme, mais aussi du moyen d’être plus stratégique en considérant s’il y en a qui sont recommandés dans le rapport de la commissaire.
Évaluation des effets cumulatifs des plans et des politiques
1.121 On s’inquiète souvent des changements à long terme sur la protection de la vie privée d’une personne, attribuables non seulement à une mesure isolée, mais aux effets combinés de chaque intervention successive et interdépendante. En effet, les effets cumulatifs sur l’intégrité des renseignements personnels peuvent être importants du point de vue de la protection de la vie privée même quand les effets de chaque mesure successive, évalués indépendamment, sont jugés insignifiants.
1.122 Pour faire en sorte que les effets cumulatifs de l’influence combinée de diverses mesures soient évalués correctement, les ÉFVP devraient tenir compte des effets cumulatifs sur la vie privée qui pourraient résulter de la combinaison du programme à d’autres projets ou activités qui ont été ou seront réalisés. Actuellement, la Politique d’ÉFVP n’exige pas explicitement que l’on procède à une telle analyse dans les ÉFVP.
1.123 Bien que l’évaluation des répercussions cumulatives sur la vie privée soulève des difficultés (en raison de la complexité des problèmes et de la difficulté à obtenir des renseignements complets), les structures de comité déjà utilisées par de nombreux organismes pour analyser les ÉFVP offrent un cadre idéal pour entreprendre des consultations interministérielles. L’évaluation des effets cumulatifs est déjà considérée comme une pratique exemplaire pour réaliser des évaluations environnementales et est maintenant exigée par des lois fédérales lorsqu’une mesure est assujettie à un examen en vertu de la Loi canadienne sur l’évaluation environnementale.
1.124 Recommandation : Dans le cadre de son projet de renouvellement de ses politiques sur la protection de la vie privée, le Secrétariat du Conseil du Trésor devrait collaborer avec les institutions fédérales pour les encourager à tenir compte des effets cumulatifs sur la vie privée dans les ÉFVP, s’il y a lieu, et à élaborer des lignes directrices en la matière pour leur faciliter la tâche. Une attention similaire devrait être accordée aux organismes qui ont de nombreux portefeuilles ministériels (tel Sécurité publique et Protection civile) dans le but de coordonner les risques d’entrave à la vie privée associés aux programmes à grande échelle et de bien y réagir.
Réponse du Secrétariat du Conseil du Trésor du Canada (SCT) :
Le SCT approuve la recommandation de la commissaire à la protection de la vie privée et étudiera des moyens d’évaluer les effets cumulatifs sur la protection de la vie privée de programmes ou d’initiatives de grande envergure, y compris ceux en vigueur au sein d’entités comprenant de multiples organismes gouvernementaux, dans le cadre du processus d’ÉFVP.
Conclusion
1.125 Cinq ans se sont écoulés depuis l’entrée en vigueur de la Politique d’évaluation des facteurs relatifs à la vie privée. Les résultats généraux de notre vérification suggèrent que certains organismes ont fait de grands efforts pour appliquer la directive, mais qu’encore plus d’efforts sont nécessaires pour qu’elle produise les effets désirés. Il y a de grands écarts dans l’application de la Politique et de nombreux organismes ne font que commencer à mettre en place le cadre de gestion nécessaire au soutien du processus d’ÉFVP.
1.126 Bien que la Politique ait été élaborée dans le but que la protection de la vie privée soit un facteur clé de la formulation des objectifs et activités d’un projet, l’évaluation des facteurs relatifs à la vie privée n’est pas toujours réalisée au moment de la conception du programme. Dans certains cas, aucune ÉFVP n’est réalisée. Le processus d’ÉFVP de la plupart des organismes est loin d’être entièrement intégré à leur stratégie générale de gestion du risque et, dans pareils cas, n’a pas d’incidence sur l’élaboration des nouveaux programmes, plans et politiques.
1.127 Les principales raisons relevées pour l’application inégale de la Politique et les lacunes sur le plan du rendement sont : le manque d’infrastructures et de soutien de la direction, l’intégration limitée des ÉFVP au processus de prise de décisions stratégiques, le manque de ressources en matière de protection des renseignements personnels, le manque de capacité de formation, et l’absence d’évaluation et de surveillance internes.
1.128 Alors que le Secrétariat du Conseil du Trésor entreprend l’examen de la Politique, il devrait étudier la nécessité de simplifier le processus d’ÉFVP pour les projets comportant peu de risques et la nécessité d’exiger l’évaluation des effets cumulatifs des programmes et services dans le cadre du processus d’ÉFVP. Le SCT devrait également revoir le rôle du Commissariat à la protection de la vie privée dans le processus d’ÉFVP et tenter de renforcer les obligations de divulgation des organismes fédéraux en matière d’ÉFVP et de protection de la vie privée. Enfin, le SCT devrait étudier le meilleur moyen de renforcer le lien entre la Politique d’ÉFVP et les lois pertinentes et d’évaluer toutes les répercussions afférentes sur les ressources.
1.129 En plus des exigences relatives aux ÉFVP pour les nouveaux programmes et services (ou ceux qui ont été profondément restructurés), le Bureau du Conseil privé devrait penser à instaurer un processus permettant d’évaluer les répercussions éventuelles sur la vie privée des politiques et des plans présentés au Cabinet. Une évaluation stratégique des facteurs relatifs à la vie privée fournirait au gouvernement l’occasion de mieux évaluer les effets négatifs sur la vie privée des nouveaux plans et des nouvelles priorités avant leur mise en application au niveau du ministère ou du programme.
Au sujet de la vérification
Objectifs
- Déterminer si les institutions fédérales effectuent des évaluations des facteurs relatifs à la vie privée de manière efficace et conforme à la Politique.
Sous-objectifs :
- Déterminer dans quelle mesure les institutions pangouvernementales ont mis en place des cadres de contrôle de la gestion ou des infrastructures administratives pour appuyer le processus d’ÉFVP (y compris la capacité de déterminer les cas nécessitant une ÉFVP).
- Déterminer si les institutions ont officiellement établi toutes les activités nécessitant une évaluation des facteurs relatifs à la vie privée et si ces activités ont été étudiées et documentées suffisamment, conformément à la Politique et aux lignes directrices sur les ÉFVP.
- Déterminer si la surveillance du rendement est bien réalisée en ce qui concerne les aspects financiers, opérationnels et de ressources humaines des activités d’ÉFVP de chaque institution.
- Déterminer si les objectifs initiaux de la Politique ont été réalisés (compte tenu de la plus grande responsabilisation ou des obligations prévues dans la Loi sur la protection des renseignements personnels ou d’autres politiques connexes sur la protection de la vie privée) et examiner le rôle des institutions centrales dans la gestion pangouvernementale du processus d’ÉFVP.
Portée et approche
Même si la Politique s’applique à tous les ministères et organismes assujettis à la Loi sur la protection des renseignements personnels, la vérification a porté sur neuf ministères et organismes qui effectuent la collecte, l’utilisation et la communication de renseignements personnels. Pour choisir ces ministères, nous avons tenu compte de paramètres spécifiques, tels que le volume et la sensibilité des renseignements personnels traités, la preuve d’investissements importants dans des systèmes ou programmes, et le résultat d’examens antérieurs, y compris la preuve de non-conformité possible à la Politique selon l’évaluation du Commissariat des ÉFVP et des ÉPFVP présentées pour examen au cours des deux dernières années.
En plus du travail de vérification détaillée effectué sur ces neuf organismes, nous avons mené une étude auprès de 47 institutions supplémentaires assujetties à la Politique et à la Loi sur la protection des renseignements personnels, et leur avons demandé de procéder à une autoévaluation fondée sur les quatre critères d’évaluation utilisés dans notre examen préliminaire. Nous croyons que les résultats de l’étude, combinés aux constatations détaillées de la vérification, confèrent une profondeur accrue au rapport et permettent une meilleure évaluation générale de l’application de la Politique par le gouvernement fédéral.
Les ministères et organismes qui ont fait l’objet d’une vérification, de même que les critères de vérification mesurés, sont décrits au Tableau 1. Chacun des objectifs de vérification est accompagné d’une série de critères permettant de mesurer le rendement (voir le Tableau 2).
Certains renseignements quantitatifs de ce rapport sont basés notamment sur des données tirées de diverses sources fédérales. Nous sommes convaincus de l’exactitude des données dans le contexte de ce rapport. Toutefois, à moins d’indication contraire, les données n’ont pas été vérifiées.
Équipe de vérification
Commissaire adjoint : Raymond D’Aoust
Directeur : Trevor Shaw
Vérificateur principal et auteur du rapport : Navroze Austin
Bill Wilson, Breckenhill
Ned Eustace, Breckenhill
Tableau 1 – Ministères et organismes visés selon les objectifs de vérification
Institution fédérale | Objectifs de la vérification | |||
---|---|---|---|---|
1 a | 1 b | 1 c | 2 | |
Agence du revenu du Canada | ||||
Citoyenneté et Immigration Canada | ||||
Service correctionnel du Canada | ||||
Santé Canada | ||||
Ressources humaines et Développement social Canada | ||||
Affaires indiennes et du Nord Canada | ||||
Gendarmerie royale du Canada | ||||
Service Canada | ||||
Anciens Combattants Canada | ||||
Organisations centrales | ||||
Secrétariat du Conseil du Trésor | ||||
Bureau du Conseil privé | ||||
Commissariat à la protection de la vie privée |
Évalué par rapport à l’objectif Non évalué par rapport à l’objectif
Organismes sondés (autoévaluation)
Administration canadienne de la sûreté du transport aérien Affaires étrangères et Commerce international Canada Agence canadienne d’inspection des aliments Agence canadienne de développement international Agence de promotion économique du Canada atlantique Agence des services frontaliers du Canada Agriculture et Agroalimentaire Canada Banque de développement du Canada Bibliothèque et Archives Canada Bureau du Conseil privé Bureau du directeur des lobbyistes Centre canadien d’hygiène et de sécurité au travail Centre des armes à feu Canada Commission canadienne du blé Centre national des Arts |
Comité d’appel des pensions Comité des griefs des Forces canadiennes Commission canadienne des droits de la personne Commission de l’immigration et du statut de réfugié du Canada Commission de la fonction publique du Canada Commission des plaintes du public contre la GRC Commission des relations de travail dans la fonction publique Commission du droit d’auteur du Canada Commission nationale des libérations conditionnelles Conseil de la radiodiffusion et des télécommunications canadiennes Défense nationale École de la fonction publique du Canada Élections Canada Environnement Canada Exportation et Développement Canada |
Financement agricole Canada Industrie Canada Institut de recherche en santé du Canada Ministère de la Justice Canada Musée canadien de la nature Musée canadien des civilisations Musée des sciences et de la technologie du Canada Pêches et Océans Canada Postes Canada Résolution des questions des pensionnats indiens Canada Sécurité publique et Protection civile Canada Service canadien du renseignement de sécurité Société canadienne d’hypothèques et de logement Statistique Canada Transports Canada Travaux publics et Services gouvernementaux Canada Tribunal canadien des droits de la personne |
Tableau 2 – Critères de vérification
Objectif de la vérification | Critères |
---|---|
1 a |
|
1 b |
|
1 c |
|
2 |
Observations d’ordre général :
|
Supports de substitution
- PDF (762 Ko) Accessibilité non vérifiée
- Date de modification :