Cinq façons d’améliorer vos évaluations des facteurs relatifs à la vie privée
Le 25 janvier 2023
Les Bulletins de la Loi sur la protection des renseignements personnels sont destinés à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à communiquer cette information à vos collègues.
Une évaluation des facteurs relatifs à la vie privée (EFVP) est un processus de gestion des risques qui permet aux institutions de s’assurer qu’elles respectent les exigences prévues par la loi et de déterminer l’incidence qu’auront leurs programmes et leurs activités sur la vie privée d’individus. Conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor du Canada (la directive du SCT), les institutions fédérales doivent effectuer des EFVP d’une manière proportionnée au niveau de risque d’atteinte à la vie privée déterminé avant l’établissement d’une activité ou d’un programme nouveau ou ayant subi des modifications importantes renfermant des renseignements personnels (art. 5.2.1).
Des institutions fédérales demandent souvent au Commissariat à la protection de la vie privée du Canada de préciser ce qu’il faut inclure dans les rapports d’EFVP. L’annexe C de la directive du SCT énonce le contenu minimal à inclure dans chaque rapport d’EFVP. Les institutions fédérales doivent donc commencer par tenir compte de cette liste d’exigences de base au moment de décider des éléments à inclure.
Le présent bulletin a pour but de mettre en évidence cinq éléments des rapports d’EFVP qui sont souvent négligés ou qui ne sont pas adéquatement pris en compte. Même si certains de ces éléments ne font pas partie des exigences d’une EFVP de base, les inclure peut permettre de mener une EFVP plus rigoureuse. Ces éléments peuvent aussi améliorer la lisibilité pour les parties prenantes internes et les signataires, ainsi que pour le Commissariat, qui donne de la rétroaction sur les rapports d’EFVP.
Que vous décidiez de retenir ou non toutes les suggestions exposées ci-dessous, votre EFVP doit vous permettre d’analyser rigoureusement l’incidence de vos initiatives sur la vie privée. Pour plus d’information sur la manière d’effectuer une telle analyse, veuillez consulter notre document d’orientation intitulé : Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée.
Autorisation légale
L’autorisation légale est l’un des éléments de base de l’EFVP prévus par la directive du SCT (annexe C, section I(e)). Les institutions doivent déterminer correctement leur autorisation avant d’entreprendre l’initiative. Nous avons déjà vu des institutions avoir recours à l’article 4 de la Loi sur la protection des renseignements personnels (LPRP) pour justifier leur autorisation de recueillir des renseignements personnels. Cependant, l’article 4 établit la règle de collecte des renseignements personnels pour toutes les institutions : « Les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. » Cet article ne donne pas l’autorisation de recueillir des renseignements personnels.
Lorsque vous déterminez l’autorisation légale de votre institution, vous devez plutôt la trouver dans la loi qui régit votre institution, dans d’autres lois constitutives, comme la Loi sur la gestion des finances publiques, ou dans un autre instrument juridique, comme un décret, qui accorde expressément à votre institution l’autorisation de recueillir les renseignements personnels visés. Si vous n’êtes pas certain de détenir une autorisation légale, consultez le bureau de l’accès à l’information et de la protection des renseignements personnels ou les services juridiques de votre institution avant d’entreprendre votre initiative. Une fois que vous avez déterminé votre autorisation légale, votre EFVP devrait mentionner de façon précise la ou les sources qui vous permettent de procéder.
Portée
La directive du SCT ne prévoit pas explicitement que les institutions définissent la portée de leur EFVP. Il s’agit toutefois d’une étape essentielle pour garantir une analyse claire. Pour être en mesure de cerner les éléments de données visés, de saisir avec exactitude les flux de données et, à terme, de déterminer les risques d’atteinte à la vie privée, vous devez établir ce qui relève et ce qui ne relève pas de la portée de votre analyse. Par exemple, si votre EFVP ne porte que sur la fonction de traitement des plaintes d’une initiative, les risques seront différents de ceux d’une EFVP qui porte sur l’ensemble de l’initiative, laquelle englobe la fonction de traitement des plaintes. Une fois que vous avez déterminé la portée de votre EFVP, il est utile de la mentionner aux lecteurs au début du document. Vous pouvez aussi ajouter des renvois à des EFVP de programmes connexes, ce qui sera également utile.
Date de mise en œuvre
Idéalement, les EFVP sont réalisées bien avant le lancement d’un programme. Même si, selon la directive du SCT, les institutions fédérales ne sont pas tenues d’inclure la période de mise en œuvre d’une initiative dans un rapport d’EFVP, il s’agit d’un renseignement clé qui met en contexte l’ensemble du programme pour toute personne qui pourrait lire le document. De plus, ce renseignement est un élément important que le Commissariat doit comprendre lorsqu’il examine l’EFVP, afin d’orienter ses recommandations.
Plan d’action ou plan d’atténuation des risques
Les EFVP sont des outils qui permettent aux institutions de cerner les risques d’atteinte à la vie privée et d’élaborer des mesures d’atténuation pour réduire ou éliminer ces risques. Toutefois, les mesures d’atténuation ne sont pertinentes que si elles sont mises en œuvre. Un plan d’action est une stratégie utile pour s’assurer que les institutions mettent en œuvre ces mesures en temps opportun. Même si, selon la directive du SCT, les institutions sont tenues d’élaborer des plans ou des stratégies d’atténuation pour les risques élevés, nous avons constaté que ce genre de plan d’action présente un avantage dans tous les cas, comme nous l’expliquons ci-dessous.
On entend par « plan d’action » un résumé des éléments suivants :
- les risques et les mesures d’atténuation présentés dans l’EFVP;
- un échéancier ou une date de mise en œuvre pour ces mesures d’atténuation;
- le nom de la personne ou de l’équipe responsable de la mise en œuvre;
Ce plan d’action devient un outil de référence utile qui simplifie le suivi. Il permet de s’assurer que les mesures requises ont été prises et il améliore la responsabilisation parce qu’il définit clairement les rôles et les responsabilités. Il peut également vous permettre de satisfaire aux exigences énoncées à la section V de l’annexe C de la directive du SCT, qui vise à déterminer les mesures précises de conformité qui ont été prises ou qui sont à prendre pour répondre aux exigences énoncées aux articles 4 à 8 de la LPRP.
Documents complémentaires
Parmi les exigences de base, la directive du SCT précise qu’une EFVP devrait comprendre une liste de tous les autres documents qui ont servi ou qui ont rapport à l’EFVP de base. Même si, selon la directive du SCT, vous n’êtes pas tenus de le faire, vous pourriez annexer des copies de ces documents complémentaires à votre EFVP pour appuyer votre analyse et en faciliter l’examen. Cet ajout peut être utile si les documents sont étroitement liés à l’initiative et que le contenu de ceux-ci est en lien avec un enjeu de vie privée ou une mesure d’atténuation. Voici quelques exemples de documents pertinents : ententes d’échange de renseignements, politiques ou procédures institutionnelles mentionnées dans l’EFVP, copies d’avis de confidentialité ou de résumés d’évaluations de sécurité liées aux technologies.
Conclusion
Nous sommes conscients qu’il peut être difficile de produire un rapport d’EFVP. Cependant, nous savons également à quel point les EFVP peuvent être efficaces pour garantir que vos initiatives respectent les exigences prévues par la LPRP et les obligations énoncées dans l’ensemble de politiques sur la protection de la vie privée du SCT, et encouragent l’adoption de pratiques de protection de la vie privée qui renforcent la confiance du public envers le gouvernement.
Les institutions fédérales peuvent consulter la Direction des services-conseils au gouvernement du Commissariat au sujet des programmes et des activités ayant une incidence sur la vie privée, ainsi que sur le processus d’EFVP. Si vous souhaitez obtenir notre aide, n’hésitez pas à nous envoyer un courriel à l’adresse scg-ga@priv.gc.ca.
Les institutions fédérales peuvent aussi consulter la Division de la protection de la vie privée et des données du SCT afin d’obtenir des conseils sur les éléments dont il faut tenir compte dans l’ensemble de politiques sur la protection de la vie privée du SCT, y compris le processus d’EFVP. Vous pouvez communiquer avec cette division à l’adresse ippd-dpirp@tbs-sct.gc.ca.
Ne manquez pas nos prochains Bulletins de la LPRP en vous abonnant à notre fil RSS.
- Date de modification :