Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Allocution prononcée par le Commissaire à la protection de la vie privée à la réunion de la communauté de l’accès à l’information et de la protection des renseignements personnels à l’occasion de la Semaine de la protection des données

Le 28 janvier 2025
Virtual

Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)

Bonjour et bonne Semaine de la protection des données!

Je suis heureux de souligner cette occasion en présence de professionnels de la protection de la vie privée du gouvernement fédéral. Vous êtes les championnes et champions de la protection de la vie privée dans vos organisations ainsi que des alliés indispensables pour nous aider à protéger et à promouvoir le droit fondamental à la vie privée.

Le travail que vous faites est essentiel pour assurer la conformité à la Loi sur la protection des renseignements personnels et aux directives du Conseil du Trésor ainsi que pour améliorer les pratiques de gestion des renseignements personnels de vos organisations. Le fait de soutenir le droit fondamental à la vie privée des individus suscite et maintient la confiance des Canadiennes et des Canadiens envers le fait que leurs renseignements personnels sensibles sont gérés avec le soin qu’ils méritent.

Cette année, le thème choisi par le Commissariat pour la Semaine de la protection des données est « Placez la protection de la vie privée au premier plan ». Ce thème fait référence au fait de s’attaquer de manière proactive aux problèmes de protection de la vie privée pour ainsi assurer la pérennité des programmes, des services et des systèmes de votre organisation et protéger ces derniers contre les préjudices, et d’établir une culture au sein de votre organisation qui accorde de l’importance à la protection de la vie privée.

À une époque où l’on recueille, partage, utilise et stocke plus de données que jamais auparavant, ces mesures d’atténuation sont hors de tout doute plus importantes que jamais. Cela est particulièrement vrai dans un contexte où les institutions fédérales se tournent vers des logiciels et des fournisseurs de services tiers ou y ont davantage recours, tirent parti de l’intelligence artificielle (IA) et explorent d’autres innovations fondées sur les données afin de mieux servir les clients et d’utiliser les ressources plus efficacement.

Ces objectifs sont importants et, en les poursuivant, nous devons insister sur le fait que l’innovation et la protection de la vie privée ne constituent pas un jeu à somme nulle. Tout comme les données servent à stimuler l’innovation, l’innovation doit servir à protéger les données. En tant qu’institutions fédérales, nous sommes au service de la population canadienne et il nous incombe de respecter les droits fondamentaux des personnes, y compris leur droit à la vie privée, afin de préserver la confiance du public.

Mes propos d’aujourd’hui porteront donc principalement sur la façon dont vos organisations peuvent placer la protection de la vie privée au premier plan et sur la façon dont le Commissariat peut vous aider en ce sens. Je vais également parler des tendances en matière de conformité et d’atteinte à la vie privée, et de ce que fait le Commissariat pour maximiser l’utilisation des ressources et améliorer la prestation des services.

Placer la protection de la vie privée au premier plan : évaluation des facteurs relatifs à la vie privée

Au moment d’adopter de nouvelles technologies et de concevoir et de moderniser des programmes et des services qui touchent des renseignements personnels, il est important de placer la protection de la vie privée au premier plan afin de s’attaquer de manière proactive aux problèmes de protection de la vie privée avant qu’ils ne surviennent.

À cette fin, les évaluations des facteurs relatifs à la vie privée, ou EFVP, constituent un outil important d’atténuation des risques. Elles peuvent aider les institutions à démontrer qu’elles sont responsables des renseignements personnels qui relèvent d’elles, qu’elles respectent la Loi sur la protection des renseignements personnels et qu’elles limitent le risque d’atteinte à la vie privée. Ces évaluations devraient être réalisées avant le lancement d’une nouvelle initiative ou lorsque l’on envisage d’apporter des modifications importantes à un programme existant qui a des répercussions sur la vie privée. Idéalement, ces évaluations devraient être réalisées dès les premières étapes afin de s’assurer que des mesures de protection de la vie privée sont intégrées dès le départ.

C’est ce que nous entendons lorsque nous parlons de protection de la vie privée dès la conception. Il s’agit de créer dans votre organisation une culture de protection de la vie privée qui valorise la protection des données en prenant en compte et en atténuant les risques d’atteinte à la vie privée dès le début de toute initiative.

À titre d’exemple, le fait de limiter la collecte de renseignements au strict nécessaire pour un nouveau programme, de définir une période de conservation et d’éliminer les renseignements en conséquence, ainsi que de planifier la façon dont les données seront protégées peut réduire le risque que des problèmes de protection de la vie privée surviennent à la dernière minute et aient une incidence sur le lancement d’un programme. Cette approche peut aussi éviter de devoir refaire en vue d’intégrer la protection de la vie privée dans la conception.

Il existe d’autres mesures pour atténuer les risques, notamment renforcer la protection des identifiants des employés, en installant les correctifs de sécurité dès qu’ils sont offerts. Par expérience, la non-disponibilité de ces correctifs a souvent été la source d’atteintes qui auraient probablement pu être évitées. De plus, il faut aussi instaurer une authentification multifacteur, former adéquatement les employés, mettre en œuvre un programme rigoureux de gestion de la protection des renseignements personnels et investir dans la cybersécurité pour empêcher tout accès non autorisé.

Le Secrétariat du Conseil du Trésor (SCT) a récemment mis à jour ses instruments de politique relatifs aux EFVP. Le SCT a consulté le Commissariat tout au long de l’élaboration de ces mises à jour et a accepté bon nombre de ses recommandations.

Par exemple, les nouvelles exigences précisent que les modifications majeures apportées aux programmes par le recours à des entrepreneurs tiers ou à la prise de décision automatisée visée par la Directive sur la prise de décisions automatisée devrait déclencher la nécessité d’une EFVP complète.

Les exigences mettent également en place une approche officialisée pour la réalisation d’EFVP pluri-institutionnelles et renforcent la transparence au moyen du nouveau modèle de publication des résumés Web des EFVP. De plus, les institutions sont tenues de documenter, d’examiner et de mettre à jour chaque année leurs mesures d’atténuation des risques.

Le Commissariat a également facilité la présentation des EFVP. L’an dernier, nous avons lancé une version mise à jour du formulaire qui permet aux institutions de présenter des EFVP en ligne en toute sécurité par l’intermédiaire de notre site Web, ce qui réduit ainsi le risque qu’une EFVP soit envoyée à la mauvaise boîte de réception. Les documents de niveau Protégé B ou inférieur y sont acceptés. Ce nouveau moyen permet aussi aux institutions d’ajouter facilement, à un moment ultérieur, des documents en lien avec des EFVP qui ont déjà été présentées.

Si vous avez des questions sur les mises à jour apportées à la politique ou si vous souhaitez obtenir des conseils à tout moment au cours de la réalisation d’une EFVP, vous pouvez consulter nos spécialistes de la Loi sur la protection des renseignements personnels.

Placer la protection de la vie privée au premier plan : IA générative

L’IA générative est en train de transformer le mode de fonctionnement de nombreuses institutions fédérales. Une autre façon de placer la protection de la vie privée au premier plan est de consulter notre document Principes pour des technologies de l’intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée. Produit en collaboration avec nos homologues des provinces et des territoires, ce document offre des conseils importants aux organisations qui développent, fournissent ou utilisent l’IA générative.

Afin de mieux comprendre les répercussions de l’IA générative sur la protection de la vie privée et d’y remédier, le Commissariat s’efforce de donner l’exemple dans le domaine en renforçant ses capacités internes et en participant à des forums nationaux et internationaux.

De plus, la Direction de l’analyse de la technologie du Commissariat évalue actuellement comment les employés pourraient tirer parti en toute sécurité des gains d’efficacité que peut offrir l’IA, tout en veillant à ce que la protection de la vie privée soit prise en compte dès la conception.

Faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, en particulier dans le domaine de l’IA et de l’IA générative, fait partie des priorités stratégiques qui guident mon mandat jusqu’en 2027.

L’intégration de l’IA dans les applications utilisées par les individus, les entreprises et, de plus en plus, par les ministères et organismes du gouvernement, offre de nombreux gains d’efficacité et avantages, mais présente également de nouveaux risques.

Les principales préoccupations en matière de protection de la vie privée ont trait à la collecte et à l’utilisation des renseignements personnels pour l’entraînement des systèmes d’IA, à la transparence et au caractère explicable des sources de données et des processus décisionnels de l’IA, aux mécanismes de consentement, à l’exactitude des décisions, notamment celles qui sont générées au moyen d’inférences, et au risque de biais.

Pour les organisations qui utilisent l’IA générative, nous avons insisté sur la nécessité de veiller à ce que les solutions fournies par des fournisseurs de services tiers respectent les normes de protection de la vie privée et à ce que le contenu généré par l’IA soit désigné comme tel. Les institutions doivent faire preuve de transparence au sujet de leur utilisation de l’IA et être tenues responsables de toute décision générée au moyen de l’IA à propos d’individus, qu’il s’agisse d’accorder le statut d’immigrant ou d’autoriser le versement de prestations d’assurance-emploi à quelqu’un.

Placer la protection de la vie privée au premier plan : vie privée des employés

À cet égard, je tiens à dire quelques mots sur la protection de la vie privée dans le milieu de travail et l’utilisation de plateformes de dotation numériques.

Même s’il est raisonnable, voire même nécessaire de recueillir un certain nombre de renseignements pour gérer la relation employeur-employé, la collecte excessive de renseignements personnels peut avoir des répercussions disproportionnées sur la vie privée des employés.

Pour placer la protection de la vie privée au premier plan dans le milieu de travail, il convient de garder à l’esprit quelques points clés :

  • Ne recueillir que les renseignements personnels nécessaires aux fins déterminées et procéder de façon honnête et licite. Rédiger des politiques claires, qui précisent quels sont les renseignements qui seront recueillis, la raison de la collecte et les parties prenantes auxquelles ils seront communiqués, et transmettre ces politiques aux employés avant de les mettre en pratique.
  • Dans un milieu de travail hybride, des technologies comme les entrevues vidéo en direct, les plateformes de dotation asynchrones et les outils d’IA sont de plus en plus utilisés. Ces innovations devraient donner lieu à une mise à jour des analyses de la protection de la vie privée, et les contrats conclus par l’intermédiaire des plateformes de dotation doivent comporter des clauses sur la propriété, la conservation et la protection des données.
  • Tout recours à des outils d’IA dans le cadre d’un processus de dotation sera probablement assujetti à la Directive sur la prise de décisions automatisée du Secrétariat du Conseil du Trésor, et nécessitera donc une évaluation de l’incidence algorithmique.

Si vous avez des questions sur les plateformes de dotation numériques ou des préoccupations concernant la protection de la vie privée en milieu de travail, je vous invite à communiquer avec le Commissariat et le SCT pour obtenir des conseils.

Placer la protection de la vie privée au premier plan : passation de marchés

J’espère que certains d’entre vous ont eu la chance d’assister au webinaire sur la protection de la vie privée dans la passation de marchés tenu à l’occasion du début de la Semaine de la protection des données, que nous avons organisé la semaine dernière par l’entremise de l’École de la fonction publique du Canada et en collaboration avec le SCT.

Conçu pour les fonctionnaires qui participent à l’approvisionnement ainsi que pour les responsables de la protection de la vie privée, le webinaire était une occasion de mieux faire connaître les processus d’approvisionnement et d’améliorer les pratiques de protection de la vie privée lors de la passation de marchés, le tout, en mettant l’accent sur le traitement sûr et efficace des renseignements personnels des Canadiennes et des Canadiens.

Pour les personnes qui n’ont pas pu y participer, il comportait plusieurs points importants à retenir qui méritent d’être répétés et qui peuvent vous aider à placer la protection de la vie privée au premier plan lors de la passation de marchés.

Il est important que les institutions incluent des clauses précises visant la protection de la vie privée dans leurs marchés avec des fournisseurs de services tiers, des clauses qui énoncent certaines obligations, notamment :

  • l’obligation de signaler toute atteinte à l’institution responsable du marché;
  • l’obligation d’assurer la coordination avec l’institution responsable du marché pour répondre aux demandes d’accès;
  • des précisions sur les mesures de protection administratives et techniques et les périodes de conservation du fournisseur de services tiers;
  • les restrictions régissant la communication subséquente de renseignements personnels par le fournisseur de services tiers. 

Pour être très efficace lorsque vous rédigez des contrats, consultez les experts en protection de la vie privée, les juristes ainsi que les responsables de la cybersécurité et de la technologie de votre institution.

Un autre point à retenir est l’importance de faire preuve de diligence raisonnable envers les fournisseurs de services tiers.

Lorsqu’une institution fédérale conclut un marché avec une organisation du secteur privé, elle doit prendre des mesures suffisantes pour s’assurer que l’organisation du secteur privé respecte ses propres obligations prévues par la législation applicable sur la protection des renseignements personnels dans le secteur privé.

La diligence raisonnable de la part des institutions fédérales consiste à s’assurer que tous les renseignements personnels recueillis par le fournisseur ou échangés entre le fournisseur et l’institution sont protégés adéquatement, que les EFVP ont été effectuées, et que le fournisseur peut expliquer comment il se conformera aux lois sur la protection des renseignements personnels, plutôt que de simplement affirmer qu’il le fera. Le degré de diligence raisonnable requis devrait être proportionnel à la quantité de renseignements personnels dont il est question dans un marché et à la sensibilité de ceux-ci.

Soyez particulièrement vigilants si vous avez recours à un tiers qui fournit des services de reconnaissance faciale ou d’autres applications d’IA susceptibles d’avoir utilisé des renseignements personnels pour entraîner ses outils, à des fournisseurs de données commerciales, à des services de renseignements de source ouverte et à des services en lien avec la surveillance à grande échelle.

Tendances en matière de conformité

Au cours des dernières années, nous avons constaté que les enquêtes menées sur des partenariats public-privé et des relations contractuelles étaient souvent liés aux technologies numériques. Nous avons constaté que ces relations peuvent présenter des complications et des risques supplémentaires sur le plan de la vie privée et donner lieu à des enquêtes parallèles en vertu des lois fédérales sur la protection des renseignements personnels dans les secteurs public et privé.

En effet, le Commissariat mène des enquêtes sur les partenariats public-privé et les relations visant la passation de marchés, notamment notre enquête sur l’application ArriveCAN. Nous menons aussi des enquêtes simultanées sous le régime de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques à la suite d’une cyberattaque qui a compromis les données des employés du gouvernement fédéral ayant eu recours aux services de réinstallation retenus par le gouvernement au cours des vingt dernières années.

Pour ce qui est des tendances globales en matière de conformité, au cours des derniers mois, nous avons constaté une augmentation considérable du nombre de plaintes déposées en vertu des deux lois qui nous concernent. Depuis avril, le nombre de plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques a augmenté de 22 % par rapport à la même période l’an dernier.

Plus de la moitié des plaintes déposées en vertu de la Loi sur la protection des renseignements personnels au cours du dernier exercice concernaient les délais, en d’autres termes, le temps que prennent les institutions pour répondre aux demandes d’accès aux renseignements personnels.

De plus, environ le tiers des plaintes déposées jusqu’à présent cette année concerne l’application d’exemptions pour refuser de communiquer les renseignements demandés ou des allégations de dossiers manquants.

Les autres plaintes concernent des allégations de collecte, d’utilisation et de communication non autorisées de renseignements personnels.

Le Commissariat a adopté un processus de règlement rapide pour tenter de traiter la plupart des plaintes au moyen d’un processus inspiré de la médiation.

Ce processus, qui consiste notamment à mobiliser certaines parties prenantes et à mener des négociations, demeure un outil important pour traiter les plaintes individuelles de manière plus efficace et plus rapide et à la plus grande satisfaction de toutes les parties concernées.

En 2023-2024, 87 % des plaintes déposées en vertu de la Loi sur la protection des renseignements personnels ont été résolues au moyen d’un règlement rapide ou d’une enquête sommaire, qui sont des enquêtes plus simples sur des plaintes moins complexes et non systémiques. Les enquêtes sommaires se terminent par la publication d’un court rapport ou d’une lettre de conclusions, plutôt que d’un rapport d’enquête complet.

Cela dit, il y a encore un certain nombre de cas qui portent sur des technologies émergentes complexes et des problèmes systémiques, des cas qui nécessitent de plus en plus une analyse technique approfondie.

Malheureusement, ces cas ont entraîné une augmentation de l’arriéré des plaintes que nous nous efforçons de réduire en améliorant l’efficacité de nos processus.

Atteintes

Avant de parler plus en détail de ces travaux, je souhaite aborder la question des atteintes dans le secteur public.

Nous constatons une augmentation du nombre des atteintes à la sécurité des données et de leurs répercussions, notamment celles causées par des cyberattaques. Ces atteintes sont une source constante de préoccupation en raison de leur complexité et de leur gravité croissantes.

En 2023-2024, le Commissariat a reçu 561 signalements d’atteinte à la vie privée de la part d’institutions fédérales, soit une hausse de 88 % comparativement à l’exercice précédent. Cette augmentation peut s’expliquer en partie par un plus grand nombre de signalements par Emploi et Développement social Canada (EDSC), étant donné que son mandat l’oblige à recueillir et à utiliser une grande quantité de renseignements personnels. Elle peut également refléter les efforts de détection des atteintes déployés par EDSC.

Nous savons aussi que les institutions fédérales représentent de plus en plus une cible de choix lors de cyberattaques. Même si nous sommes d’avis que les institutions fédérales n’ont pas toujours signalé comme il se doit ces atteintes, cette année, nous avons déjà ouvert trois enquêtes majeures sur des cyberattaques mettant en cause des institutions du gouvernement fédéral.

Tout récemment, des cyberattaques à l’Agence du revenu du Canada (ARC) ont causé plus de 31 000 atteintes. Celles-ci s’ajoutent aux cyberattaques survenues à EDSC et à l’ARC, qui ont fait l’objet d’un rapport spécial publié par le Commissariat en février dernier.

L’enquête a permis de conclure que les pirates informatiques ont eu recours au bourrage d’identifiants afin d’accéder de manière frauduleuse à des services gouvernementaux et de présenter des demandes de prestations ou de détourner des paiements à leur intention. L’attaque a compromis les renseignements financiers, banquiers et sur l’emploi de nature sensible de dizaines de milliers de Canadiennes et de Canadiens, donnant lieu à de nombreux cas de fraudes et de vols d’identité – dont un grand nombre de demandes frauduleuses pour la Prestation canadienne d’urgence dans le cadre de la COVID-19.

La deuxième enquête en cours porte sur une cyberattaque survenue à Affaires mondiales Canada (AMC) et au cours de laquelle des personnes non autorisées ont accédé au réseau privé virtuel de l’AMC. La troisième est celle que j’ai mentionnée plus tôt et qui concerne les renseignements personnels de fonctionnaires fédéraux ayant eu recours aux services de réinstallation retenus par le gouvernement au cours des vingt dernières années.

Pour aider les parties prenantes du secteur public à signaler les atteintes, nous avons lancé le printemps dernier un nouveau formulaire Web qui permet aux institutions fédérales de signaler les atteintes au Commissariat et au SCT en même temps. Nous encourageons fortement les institutions à utiliser ce formulaire Web pour signaler une atteinte substantielle à la vie privée.

Nous nous employons également à mettre la dernière main à un outil en ligne pour aider les organisations à déterminer si une atteinte présente un risque réel de préjudice grave, ce qui constitue le seuil de signalement des atteintes. Nous prévoyons de le déployer dans les prochaines semaines.

Nous savons que même les organisations qui ont mis en place des mesures de protection peuvent être touchées par une atteinte. C’est pourquoi une réaction efficace à une atteinte est également essentielle pour réduire les conséquences sur les Canadiennes et les Canadiens et préserver la confiance dans les institutions. Il convient aussi de noter que les atteintes ne surviennent pas uniquement en cas de non-respect de la loi et, bien souvent, le signalement d’une atteinte ne donne pas lieu à une enquête.

Il est important que les institutions signalent les atteintes dès qu’elles en prennent connaissance, même si elles n’ont pas encore établi avec certitude que l’atteinte satisfait au seuil de signalement. C’est d’autant plus important dans le cas d’atteintes d’envergure qui pourraient faire les manchettes ou qui l’ont déjà fait.

En signalant rapidement une atteinte, cela vous donne accès à nos conseils et à notre expertise pour vous permettre de réagir à un incident et donne au Commissariat une meilleure idée des risques actuels et émergents auxquels vous êtes exposés. Ainsi, le Commissariat sera mieux préparé à répondre aux questions des parlementaires, du public et des médias, et il pourra mieux vous aider à prévenir d’autres atteintes.

Restructuration du Commissariat

Avant de conclure, je tiens à vous parler des mesures que le Commissariat a prises à l’interne afin de pouvoir mieux vous aider et aider les autres parties prenantes.

Plus tôt ce mois-ci, j’ai dévoilé un plan de transformation visant à renforcer la capacité de mon organisation à protéger et à promouvoir efficacement le droit fondamental à la vie privée dans un monde numérique de plus en plus complexe et en constante évolution.

Les changements visent à renforcer davantage la collaboration et la cohésion au sein du Commissariat et à simplifier les processus, ce qui permettra d’adopter des approches plus intégrées, plus flexibles et plus stratégiques qui maximiseront l’incidence des activités du Commissariat sur la population canadienne.

Grâce à ces changements, nous pourrons notamment accorder une importance encore plus grande à nos priorités stratégiques, réagir plus rapidement et plus efficacement aux nouveaux enjeux, faire évoluer notre approche en matière de conformité, et harmoniser davantage nos travaux sur les plans juridique et des politiques ainsi que nos activités d’application de la loi et de services-conseils.

Le plan prévoit certains changements qui changeront la façon dont vous communiquez avec le Commissariat. Notamment, le Commissariat est passé de quatre secteurs à trois secteurs, chacun dirigé par un sous-commissaire.

Isabelle Gervais sera responsable du Secteur de la promotion de la conformité et de l’application de la loi. Elle continuera de superviser les activités d’application de la loi, et sa direction générale comprendra désormais la Direction des services-conseils à l’entreprise et la Direction des services-conseils au gouvernement.

Ces changements nous permettront d’assurer un meilleur équilibre entre notre travail proactif et réactif, et de créer des occasions d’obtenir plus rapidement des résultats en matière de conformité qui ont une plus grande incidence.

De plus, les changements nous permettront de s’attaquer plus efficacement aux nouveaux problèmes de protection des données et de tirer parti d’interventions proactives de façon plus stratégique en vue de favoriser la conformité. Ils permettront également une plus grande souplesse dans l’affectation des ressources et aideront à réduire les arriérés. L’objectif sera de faire un meilleur usage des outils à notre disposition pour tout ce qui touche les activités visant la conformité et l’application de la loi. Ces changements découlent de la première priorité stratégique du Commissariat, qui est de protéger et de promouvoir le droit à la vie privée de manière à optimiser les efforts déployés en permettant au Commissariat d’être plus efficace, de mieux s’adapter à la situation et d’être mieux préparé dans un contexte de protection de la vie privée en constante évolution.

Nous continuerons de respecter le « mur éthique » comme nous l’avons toujours fait, notamment en adoptant des procédures opérationnelles et de bonnes pratiques de gestion de l’information, en vue d’établir une distinction entre nos travaux d’application de la loi et nos activités de services-conseils. Que vous nous consultiez au sujet d’une initiative, que vous ayez besoin d’aide avec une EFVP ou que vous posiez des questions lors d’un atelier dirigé par le Commissariat, nous vous aiderons à gérer et à atténuer les risques d’atteinte à la vie privée dès le départ.

Si vous avez des questions, qu’elles portent ou non sur les changements, veuillez communiquer avec le Commissariat.

Un autre changement important consiste à regrouper le Secteur des services juridiques et la Direction des politiques, de la recherche et des affaires parlementaires, qui relèveront désormais de Marc Chénier, sous-commissaire et avocat général principal.

Cela permettra de mieux faire concorder notre fonction d’analyse avec nos services-conseils, et aidera à favoriser et à garantir une réponse plus harmonisée aux enjeux d’ordre juridique et politique qui pourraient survenir.

Le sous-commissaire Richard Roulx continuera de diriger le Secteur de la gestion intégrée, et celui-ci portera désormais le nom de Secteur des services habilitants et deviendra le centre des fonctions liées aux renseignements opérationnels du Commissariat. Plus précisément, la Direction de la planification des opérations, du rendement, de la vérification et de l’évaluation assumera ces fonctions.

Je trouve stimulante la nouvelle voie à suivre pour le Commissariat, et j’ai hâte de continuer à travailler avec vous tous et toutes dans la communauté d’accès à l’information et de protection des renseignements personnels (AIPRP). Je suis convaincu que les changements nous permettront de mieux servir nos parties prenantes en optimisant nos programmes et services ainsi qu’en diminuant les pressions liées à la conformité.

Conclusion

Pour conclure, je vous invite à prendre du temps cette semaine pour réfléchir à la façon dont votre organisation place la protection de la vie privée au premier plan lorsqu’elle adopte de nouvelles technologies comme l’IA générative ou qu’elle met en œuvre de nouveaux programmes.

Réalisez-vous des EFVP avant le lancement d’une nouvelle technologie? Faites-vous preuve de diligence raisonnable lorsque vous retenez les services d’entrepreneurs tiers? Faites-vous tout ce qui est en votre pouvoir pour bien gérer la confidentialité dans la relation employeur-employé?

En tant que professionnels de la protection de la vie privée, vous jouez un rôle important dans la création d’une culture de la protection de la vie privée dans votre organisation, où le respect de la vie privée est valorisé et où la protection des données est prise au sérieux.

La collaboration est au cœur de nos travaux, et la communauté de l’AIPRP est un partenaire précieux lorsqu’il s’agit de protéger et de promouvoir la protection de la vie privée dans l’ensemble du gouvernement.

Pour veiller à ce que le public ait confiance dans nos institutions fédérales, les individus doivent avoir l’assurance que leurs données sont traitées adéquatement; vous jouez tous et toutes un rôle important à cet égard.

Encore une fois, bonne Semaine de la protection des données! Je répondrai volontiers à quelques questions.

Date de modification :