Intégrer la protection de la vie privée dans les projets pilotes
Le 1er février 2022
Les Bulletins de la Loi sur la protection des renseignements personnels sont destinés à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à communiquer cette information à vos collègues.
Avant de mettre sur pied une initiative ou de recourir à une nouvelle technologie, les institutions mènent parfois un projet pilote. Ce type de projet peut être utile pour vérifier si l’initiative atteindra vraisemblablement les objectifs établis ou pour mettre à l’essai la technologie avant de la déployer à plus grande échelle. Il peut également servir à cerner les lacunes ou les risques et à définir les mesures qu’il faudra prendre à cet égard.
Les projets pilotes peuvent entraîner la collecte, l’utilisation, la communication et la conservation de renseignements personnels. Lorsque des renseignements personnels sont en cause dans de tels projets, il faut évaluer les risques pour la vie privée. Cela peut être fait en tenant compte du contexte, de l’ampleur et du niveau de risque des projets.
Point à retenir : Même si un projet pilote est de courte durée, il est important de rappeler que les institutions doivent toujours se conformer aux lois et aux politiques en vigueur. Plus précisément, les institutions doivent s’assurer que les projets pilotes respectent :
- les exigences prévues par la Loi sur la protection des renseignements personnels;
- la loi habilitante de l’institution;
- les politiques et les directives du gouvernement du Canada et du Secrétariat du Conseil du Trésor du Canada (SCT).
Projets pilotes et évaluations des facteurs relatifs à la vie privée
Une évaluation des facteurs relatifs à la vie privée (EFVP) est un processus de gestion des risques qui aide les institutions à s’assurer qu’elles respectent les exigences de la loi et à déterminer l’incidence éventuelle de leurs programmes et de leurs activités sur la vie privée d’individus.
Il faut généralement effectuer une EFVP si un programme ou une activité – qu’il s’agisse d’une initiative permanente ou d’un projet pilote – a une incidence sur la vie privée d’individus. Les institutions doivent établir si une EFVP est requise selon la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT et, le cas échéant, en réaliser une avant de lancer un projet pilote.
Le processus d’EFVP est conçu de manière à être souple et évolutif. La durée et la complexité de votre processus varieront selon l’ampleur, la complexité et le niveau de risque de votre projet pilote. Une EFVP portant sur un projet peu complexe, à faible risque et de courte durée devrait permettre d’examiner tous les éléments clés du processus d’EFVP. Toutefois, vous pourriez faire les constatations suivantes :
- les parties qui doivent participer au processus sont peu nombreuses;
- il n’est peut-être pas nécessaire de consulter les intervenants;
- les flux d’information à schématiser sont limités;
- il y a peu d’éléments à décrire;
- l’incidence sur la vie privée d’individus est minime, si bien qu’il y a peu de recommandations à analyser;
- le rapport d’EFVP final est plus court.
Le document intitulé Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée peut orienter les institutions dans le cadre du processus d’EFVP.
À noter qu’il est important de vous assurer que vous avez l’autorisation légale pour votre projet pilote avant de déterminer si vous devez mener une EFVP. En l’absence de cette autorisation, vous ne devriez pas aller de l’avant avec l’initiative.
Réduire les risques au cours d’un projet pilote
Les institutions peuvent prendre un certain nombre de mesures pour réduire les risques d’atteinte à la vie privée lorsqu’elles mènent des projets pilotes, notamment les suivantes :
- Suivre le processus de gestion des risques approprié avant de lancer le projet pilote, comme une EFVP ou un protocole de protection des renseignements personnels.
- Établir s’il est nécessaire de conclure des ententes de communication d’information ou de prévoir des dispositions en matière de protection de la vie privée dans les marchés conclus avec des tiers.
- Prévoir de quelle façon les renseignements personnels seront traités, conservés ou détruits si le projet pilote ne se transforme pas en un programme permanent.
- Établir si la phase d’essai nécessite l’utilisation de renseignements personnels et, le cas échéant, préciser la quantité de renseignements à recueillir.
- S’assurer que le public est avisé de la façon dont les renseignements personnels seront recueillis et à quelles fins. Au besoin, afficher de l’information concernant le projet pilote sur le site Web grand public de l’institution.
- Obtenir un consentement valable pour la collecte, l’utilisation, la communication et la conservation des renseignements personnels lorsque l’obtention du consentement est exigée au titre de la Loi sur la protection des renseignements personnels.
Demander l’aide d’experts de la protection de la vie privée
Nous encourageons les institutions à consulter leur bureau d’accès à l’information et de la protection des renseignements personnels (AIPRP) bien avant de lancer un projet pilote. Les institutions peuvent aussi consulter la Direction des services-conseils au gouvernement du Commissariat. Le personnel de cette dernière sera heureux de répondre à leurs questions et de leur donner des conseils dès le début de l’élaboration et tout au long du cycle de vie de leurs programmes et de leurs activités. Pour plus d’information, veuillez communiquer avec la Direction des services-conseils au gouvernement à l’adresse scg-ga@priv.gc.ca.Ne manquez pas nos prochains Bulletins de la LPRP en vous abonnant à notre fil RSS.
- Date de modification :