Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée
Les institutions fédérales peuvent dorénavant utiliser le nouveau formulaire en ligne de présentation des EFVP pour envoyer des EFVP et des documents connexes au Commissariat à la protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor du Canada.
Une fois que vous avez rempli votre EFVP, rendez-vous à Présenter une évaluation des facteurs relatifs à la vie privée pour accéder au formulaire en ligne.
Section 1 – Objet
Le présent guide donne des orientations aux institutions fédérales sur la manière de se conformer à la Loi sur la protection des renseignements personnels (LPRP) et de gérer efficacement les risques d’atteinte à la vie privée dans le cadre du processus d’évaluation des facteurs relatifs à la vie privée (EFVP). Il présente les principaux concepts et explique comment une institution peut évaluer ses programmes et ses activités, y compris les exigences prévues par la loi et les principes de protection de la vie privée à prendre en compte.
En outre, le guide clarifie le rôle du Commissariat à la protection de la vie privée du Canada dans le processus d’EFVP et expose ses attentes à l’égard des institutions fédérales en ce qui concerne les EFVP qu’il reçoit.
Section 2 – Contexte
À l’ère numérique, il est devenu beaucoup plus facile de recueillir, de stocker, d’analyser et de partager d’énormes quantités de renseignements personnels. De nombreux Canadiens se sont habitués à vivre et à travailler sur des réseaux connectés en ligne. De plus, la numérisation a créé pour les organisations de nouvelles possibilités d’accomplir plus efficacement leurs tâches. À mesure que le contexte de la protection de la vie privée évoluera, l’ensemble des politiques du Secrétariat du Conseil du Trésor (SCT), dont la Directive sur l’évaluation des facteurs relatifs à la vie privée, pourrait aussi faire l’objet d’une révision. Les stratégies de données, le gouvernement ouvert et la politique du « gouvernement à guichet unique » sont également sur le point de transformer le mode de fonctionnement du gouvernement.
Les institutions fédérales détiennent beaucoup plus de renseignements personnels aujourd’hui qu’en 1983, année de l’entrée en vigueur de la LPRP. Bien que l’utilisation novatrice et accrue des renseignements personnels puisse procurer des avantages économiques et sociaux supplémentaires, elle accroît aussi les risques d’atteinte à la vie privée.
Nous ne pouvons pas simplement sacrifier le droit à la vie privée au profit de l’innovation, de l’efficacité ou de gains commerciaux. Les Canadiens sont d’accord. La très grande majorité d’entre eux, soit 92 %, sont préoccupés par la protection de leur vie privéeNote de bas de page 1, ce qui semble indiquer que de bonnes pratiques en la matière sont non seulement exigées par la loi, mais aussi essentielles pour assurer la confiance du public envers nos institutions.
Nous savons que ce n’est pas toujours facile. En effet, il est devenu plus difficile que jamais de savoir avec certitude si les renseignements détenus par une institution fédérale combinés avec d’autres renseignements – par exemple des renseignements accessibles sur Internet ou détenus par une autre institution fédérale ou un tiers – pourraient être utilisés pour identifier un individu. Ainsi, davantage de renseignements pourraient être admissibles à une protection à titre de « renseignements personnels », même s’ils ne permettent pas en soi d’identifier directement un individu.
Dans le contexte actuel, l’évaluation des risques d’atteinte à la vie privée éventuels est plus importante que jamais.
Les EFVP font actuellement l’objet d’une directive du SCT, mais nous avons recommandé au Parlement de modifier la LPRP afin d’obliger les institutions fédérales à :
- réaliser des EFVP pour les programmes nouveaux ou ayant subi des modifications importantes nécessitant la collecte, l’utilisation ou la communication de renseignements personnels;
- présenter leur rapport d’EFVP au Commissariat avant de mettre en œuvre un programme ou une activité.
Effectuées correctement et avant le lancement d’une initiative, les EFVP peuvent aider à s’assurer que l’institution respecte les exigences prévues par la loi et qu’elle réduit ou élimine l’incidence sur la vie privée avant qu’un problème ne survienne. Dans d’autres régions du monde, comme en Europe, les EFVP deviennent la norme prévue par la loi.
Section 3 – Rôle du Commissariat
Direction des services-conseils au gouvernement
La Direction des services-conseils au gouvernement (SCG) du Commissariat donne des conseils aux institutions fédérales concernant des programmes et des activités particuliers nécessitant la collecte, l’utilisation ou la communication de renseignements personnels. Elle donne ces conseils dans différents contextes :
- consultations;
- examen des rapports d’EFVP, les ententes de communication d’information et les déclarations en vertu de l’alinéa 8(2)m) et du paragraphe 9(4) de la LPRP;
- prestation de services-conseils.
Services-conseils et examen des rapports
Le Commissariat est heureux d’offrir des services-conseils sur les EFVP dès le début du processus. Cependant, les institutions fédérales n’ont pas besoin d’effectuer une EFVP pour discuter avec lui des facteurs relatifs à la vie privée. Le Commissariat peut leur donner des conseils et des orientations plus informels et proactifs concernant les programmes et les activités susceptibles d’avoir une incidence sur la vie privée d’individus.
Conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée, les institutions doivent présenter au Commissariat leurs rapports d’EFVP remplis en même temps qu’elles les transmettent au SCT. Toutefois, les institutions ont tout intérêt à consulter le Commissariat bien avant de terminer leur rapport. Le Commissariat est heureux de participer à des discussions informelles, de répondre aux questions et de donner des conseils aux institutions dès le début de l’élaboration et tout au long du cycle de vie de leurs programmes et de leurs activités.
Conseil : N’hésitez pas à communiquer avec avec l’équipe des services-conseils au gouvernement du Commissariat à toute étape du processus pour obtenir de l’aide afin de cerner les problèmes de conformité, les risques d’atteintes à la vie privée et les éventuelles stratégies d’atténuation.
Une fois le rapport d’EFVP terminé, le Commissariat examine la version finale et formule par écrit des recommandations dans les cas où il aurait soulevé des risques ou lacunes supplémentaires. Il n’approuve pas, ni n’appuie, ni n’autorise les rapports d’EFVP, les programmes ni les activités du gouvernement.
Le Commissariat examine tous les rapports d’EFVP qu’il reçoit, mais il utilise un processus de tri pour déterminer ceux qui feront l’objet d’un examen secondaire et de recommandations officielles.
Notre processus de tri tient compte de facteurs tels que :
- la sensibilité des renseignements personnels;
- le nombre d’individus touchés;
- l’intérêt éventuel du Parlement ou du public pour le sujet;
- l’utilisation éventuelle d’une nouvelle technologie;
- le lien éventuel entre l’initiative et l’une des priorités stratégiques du Commissariat.
Avec votre rapport d’EFVP, vous devriez présenter au Commissariat certains documents pertinents, par exemple les ententes d’échange de renseignements et les évaluations de sécurité. Au besoin, le Commissariat pourrait demander des documents supplémentaires, des rencontres en personne ou des visites des lieux. Il est heureux de donner des conseils et de répondre aux questions avant et pendant le processus d’EFVP.
Bien que le Commissariat joue un rôle lors de l’examen des rapports d’EFVP, la responsabilité en matière de respect de la vie privée incombe entièrement au premier dirigeant de l’institution fédérale ou à l’agent responsable en vertu de l’article 10 de la LPRP.
Conseil : Le Commissariat peut formuler publiquement ses observations, notamment dans son rapport annuel au Parlement, concernant les conseils donnés aux institutions sur les risques d'atteinte à la vie privée associés à leurs programmes et à leurs activités et préciser si ces conseils ont été acceptés.
Comment joindre la Direction des services-conseils au gouvernement du Commissariat
- Par courriel : scg-ga@priv.gc.ca
- Par la poste :
Directrice des Services-conseils au gouvernement
Commissariat à la protection de la vie privée
30, rue Victoria
Gatineau (Québec) K1A 1H3
Section 4 - Évaluations des facteurs relatifs à la vie privée
Il est important de vous assurer que vous avez l’autorisation légale pour votre programme ou votre activité avant de déterminer si vous devez mener une EFVP. En l’absence de cette autorisation, vous ne devriez pas aller de l’avant avec l’initiative. Les orientations et les conseils donnés dans le présent guide supposent que la loi vous autorise à recueillir, à utiliser et à communiquer des renseignements dans le cadre de votre projet.
Qu’est-ce qu’une EFVP? Quel en est l’objet?
Une EFVP est un processus de gestion des risques qui aide les institutions à s’assurer qu’elles respectent les exigences de la loi et à déterminer l’incidence éventuelle de leurs programmes et de leurs activités sur la vie privée d’individus.
Avant tout, une EFVP constitue un moyen d’aider à assurer la conformité :
- aux exigences prévues par la LPRP;
- à la loi habilitante de l’institution ou du programme;
- aux exigences des politiques et des directives du SCT et du gouvernement du Canada.
En respectant les exigences susmentionnées, vous atténuez le risque de collecte, d’utilisation, de communication, de conservation ou de retrait inappropriés ou non autorisés de renseignements personnels.
Les programmes et les activités doivent être conformes aux exigences prévues par la loi et la politique, mais ils devraient aussi être conçus de façon à intégrer les pratiques exemplaires et à réduire le plus possible l’incidence sur la vie privée d’individus. Par exemple, vous devriez vous efforcer d’atténuer le risque qu’un individu subisse un préjudice – par exemple un vol d’identité, une atteinte à sa réputation ou à son intégrité physique ou encore une détresse –, par suite du traitement de ses renseignements personnels dans le cadre de votre programme ou de votre activité. L’EFVP n’éliminera peut-être pas entièrement ce type de risques, mais elle devrait aider à les déterminer et à les gérer. Il y a souvent plus d’une façon de concevoir un projet. L’EFVP peut vous aider à déterminer le moyen de remplir un objectif légitime en portant le moins possible atteinte à la vie privée.
Les EFVP constituent un système d’alerte rapide permettant aux institutions de déterminer et d’atténuer les risques aussi rapidement et complètement que possible. Il s’agit d’un outil essentiel pour les décideurs, car ces évaluations leur permettent de traiter les enjeux à l’interne de manière proactive au lieu d’attendre des plaintes, une intervention externe ou une mauvaise presse.
Une EFVP efficace peut vous aider à établir un lien de confiance avec les Canadiens, car elle montrera que l’organisation fait preuve de diligence raisonnable et qu’elle respecte les exigences prévues par la loi et les politiques ainsi que les pratiques exemplaires en matière de protection de la vie privée.
Un rapport d’EFVP documente le processus d’évaluation. Il tire sa valeur réelle des analyses effectuées au cours du processus consistant à répondre aux questions de l’EFVP.
Conseil : Les institutions devraient assurer la conformité à la LPRP. Même si un programme ou une activité est conforme à cette loi, vous devriez déterminer et gérer les risques d’incidence négative sur la vie privée d’individus. Dans la mesure du possible, éliminez entièrement cette incidence.
Une EFVP n’est pas :
- une liste de contrôle superficielle portant sur les exigences prévues par la loi;
- un exercice ponctuel;
- un outil de marketing ne montrant que les avantages d’un projet;
- une justification de politiques déjà décidées ou de pratiques déjà en place;
- un processus nécessairement long et complexe exigeant beaucoup de ressources.
Quand faut-il effectuer une EFVP?
Les EFVP sont obligatoires en vertu de la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT. Elles sont exigées par la politique depuis 2002.
Il faut généralement effectuer une EFVP si votre programme ou votre activité est susceptible d’avoir une incidence sur la vie privée d’individus. La Directive sur l’évaluation des facteurs relatifs à la vie privée oblige les institutions à effectuer une EFVP :
- lorsque des renseignements personnels peuvent être utilisés dans le cadre d’un processus décisionnel touchant directement un individu;
- lorsque des modifications importantes sont apportées à des programmes ou à des activités déjà en place dans lesquels des renseignements personnels peuvent être utilisés à des fins administratives (c’est-à-dire dans le cadre d’un processus décisionnel touchant directement un individu);
- lorsque la sous-traitance ou le transfert d’un programme ou d’une activité à un autre ordre de gouvernement ou au secteur privé constitue une modification importante à ce programme ou à cette activité.
Selon la définition figurant dans la LPRP, l’expression « renseignements personnels » désigne les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable. Exemples de renseignements personnels : nom, adresse, antécédents professionnels, empreintes digitales, diagnostics médicaux et opinions personnelles.
Utiliser des renseignements personnels à des fins administratives signifie, par exemple, utiliser des renseignements personnels :
- pour décider si un individu peut entrer au pays;
- pour déterminer si un individu est admissible à un service social;
- pour faire enquête sur un individu concernant un éventuel méfait.
Vous pouvez décider de mener une EFVP pour les programmes ou activités de votre institution nouveaux ou ayant subi des modifications importantes dans le cadre desquels aucune décision n’est prise concernant les individus. La Directive sur l’évaluation des facteurs relatifs à la vie privée encourage les institutions à tenir une EFVP si elles estiment que leur programme ou leur activité aura une incidence sur la vie privée d’individus et qu’il faudrait évaluer et atténuer des risques d’atteinte à la vie privée. L’EFVP n’est pas forcément obligatoire dans ces circonstances, mais une évaluation approfondie des risques d’atteinte à la vie privée au moyen d’une EFVP vous aidera à élaborer des programmes conformes à la loi et respectueux de la vie privée.
Consultez la section « Évaluation préliminaire des risques » ci après pour vous aider à déterminer l’incidence éventuelle de votre programme ou de votre activité sur la vie privée et avoir une bonne idée du niveau de risque. Sur la base de cette évaluation, vous pourrez choisir de mener une EFVP même en l’absence d’une utilisation de renseignements personnels à des fins administratives. Les institutions devraient examiner chaque projet individuellement pour décider si une EFVP est justifiée.
Conseil : Il est important d’évaluer l’incidence des initiatives, tant anciennes que nouvelles, sur la vie privée d’individus. Dans la mesure où les ressources le permettent, effectuez une EFVP pour les projets existants, même ceux qui étaient en place avant que le SCT commence à exiger ces évaluations. Commencez par les programmes et les activités présentant le risque le plus élevé.
Version textuelle de la figure 1
Utilisez ce diagramme pour déterminer si vous devez mener une EFVP
- DÉPART
- Est-ce que le programme ou l’activité comporte des renseignements personnels?
- Si non : Une EFVP n’est probablement pas nécessaire.
- Si oui : Des renseignements personnels sont-ils utilisés dans un processus décisionnel touchant directement un individu?
- Si non : Le programme ou l’activité aura-t-il une incidence sur la vie privée et les risques d’atteinte devraient-ils être évalués et atténués?
- Si non : Une EFVP n’est probablement pas nécessaire.
- Si oui : Effectuez une EFVP.
- Si oui : Est-ce qu’une EFVP a déjà été menée pour ce programme ou cette activité?
- Si non : Effectuez une EFVP.
- Si oui : Est-ce que quelque chose a changé?
- Si non : Mettre à jour l’EFVP n’est probablement pas nécessaire.
- Si oui : Mettez à jour l’EFVP.
- Si non : Le programme ou l’activité aura-t-il une incidence sur la vie privée et les risques d’atteinte devraient-ils être évalués et atténués?
Documentation de la décision
Si vous décidez de ne pas effectuer d’EFVP, documentez votre décision et votre justification. À titre de pratique exemplaire, vous devriez déterminer et gérer l’incidence de vos programmes et activités sur la vie privée d’individus, même lorsque vous ne faites pas d’EFVP en bonne et due forme.
Autres évaluations et procédures
Déterminez si vous devriez avoir recours à d’autres évaluations ou procédures officielles en plus ou au lieu d’effectuer une EFVP.
Alors que les EFVP se concentrent sur le respect de la vie privée et les risques d’atteinte connexes découlant des programmes et des activités, d’autres évaluations portent sur des aspects différents. Par exemple :
- Les évaluations et autorisations de sécurité examinent des pratiques de sécurité et des mesures de contrôle afin de déterminer dans quelle mesure celles ci ont été mises en œuvre comme il se doit, dans quelle mesure elles atteignent les résultats escomptés, et s’il y a lieu d’accepter le risque résiduel connexe.
- Les évaluations de l’incidence sur les activités permettent de déterminer et de hiérarchiser les services et les biens essentiels d’une institution afin d’aider à choisir les mesures appropriées pour faire face au risque pesant sur leur disponibilité.
- Les évaluations algorithmiques de l’incidence permettent de déterminer et d’atténuer les risques associés au déploiement d’un système de prise de décision automatiséeNote de bas de page 2.
Consultez l’ensemble des politiques du SCT pour déterminer si d’autres évaluations ou procédures peuvent être nécessaires.
Conseil : Si les types de questions posées dans la Directive sur l’évaluation des facteurs relatifs à la vie privée ou dans le présent guide ne semblent pas convenir dans le cas de votre projet, une EFVP n’est peut-être pas le type d’évaluation à effectuer! Vous pouvez toujours communiquer avec le Commissariat pour discuter de vos préoccupations.
Que devrait comprendre une EFVP?
La Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT indique les éléments qui doivent figurer dans un rapport d’EFVP. Consultez-la pour vous assurer que votre EFVP respecte les exigences.
En général, votre rapport d’EFVP devrait comprendre :
- une description de l’activité ou du programme prévu et des objectifs visés;
- une évaluation du respect des exigences en matière de vie privée dans le cadre de votre programme ou de votre activité, et de son incidence éventuelle sur la vie privée d’individus;
- les mesures prévues pour réduire l’incidence sur la vie privée et se conformer à la LPRP, aux politiques, aux directives et aux lignes directrices applicables du SCT ainsi qu’aux pratiques exemplaires.
Outre les exigences du SCT, le présent guide énonce les exigences prévues par la LPRP et les pratiques exemplaires que les institutions devraient prendre en compte au cours du processus d’EFVP. L’analyse ci après a pour but d’aider les institutions à évaluer de manière approfondie et à atténuer les risques d’atteinte à la vie privée. Que vous suiviez ou non les étapes prévues dans le présent guide, le Commissariat s’attend à ce que vous analysiez rigoureusement l’incidence de vos initiatives sur la vie privée d’individus.
Le processus d’EFVP est conçu de manière à être souple et évolutif. La durée et la complexité de votre processus varieront selon l’ampleur, la complexité et le niveau de risque de votre projet.
Comment effectuer une EFVP?
Point à retenir : Pas de panique! L’EFVP est un outil qui vous aidera à évaluer l’incidence sur la vie privée d’individus de votre programme et à cerner d’éventuels problèmes de conformité. Si vous connaissez votre programme, vous pouvez effectuer une EFVP.
Phase de planification
Déterminez l’autorisation légale pour le programme ou l’activité.
Établissez des priorités.
- Commencez par les programmes et les activités susceptibles de comporter le risque le plus élevé.
Commencez tôt.
- Amorcez votre EFVP avant d’entreprendre des activités ou des programmes nouveaux ou ayant subi des modifications importantes, sauf dans des cas exceptionnels.
- Vous devriez amorcer le processus d’EFVP assez tôt dans l’élaboration de votre projet pour qu’il soit encore possible d’influer sur la conception de celui-ci.
- Par exemple, s’il y a une incidence négative importante sur la vie privée d’individus, vous voudrez peut-être revoir l’approche adoptée pour votre projet.
- Il est préférable de déterminer et d’atténuer l’incidence sur la vie privée avant qu’elle ne survienne, au lieu de trouver des solutions après coup.
- N’oubliez pas que votre rapport d’EFVP peut être un document évolutif que vous ajusterez à mesure que les détails du projet deviendront clairs.
- Vous devriez analyser les risques d’atteinte à la vie privée tout au long de votre programme ou de votre activité. L’EFVP est un outil qui sert à guider et à documenter cette analyse.
- Rassemblez toute information publiée, les documents relatifs à l’analyse de rentabilisation, les évaluations existantes, les analyses ou les avis juridiques concernant votre projet en particulier ou la protection de la vie privée au sein de votre institution de façon générale.
- Recueillez les spécifications techniques ou les conceptions de système actuelles ou provisoires pour faciliter le processus d’EFVP.
- Dans la mesure du possible, communiquez avec d’autres institutions qui gèrent des initiatives similaires pour lesquelles elles ont peut-être mené des EFVP.
- Utilisez votre EFVP pour vous aider à adopter une approche de protection de la vie privée dès la conception et pour faire en sorte que cet aspect constitue un élément essentiel du programme ou de l’activité en question.
Définissez adéquatement la portée de l’EFVP pour vous assurer de couvrir les aspects ayant une incidence sur la vie privée d’individus.
- Pensez aux aspects que couvrira l’EFVP, au niveau de détail requis et aux aspects qui ne relèvent pas de sa portée.
- Assurez-vous que votre rapport d’EFVP explique clairement ce qui est évalué et ce qui ne l’est pas, et qu’il couvre tous les aspects de l’initiative susceptibles d’avoir une incidence sur la vie privée.
- En fonction de la portée, estimez le temps qu’il vous faudra pour effectuer votre EFVP ainsi que le budget et les autres ressources nécessaires.
Conseil : Définissez adéquatement la portée de votre projet
- Au Commissariat, nous avons reçu des EFVP dont la portée se situait au niveau de l'architecture des programmes, si bien qu’il y avait très peu de détails concernant le programme ou l’activité et les risques en découlant. La portée de ces EFVP était trop large!
- Nous avons également reçu des EFVP où la moitié du programme ou de l’activité (parfois la partie la plus controversée ou présentant le risque le plus élevé) était exclue de la portée. La portée de l’EFVP était trop étroite!
Faites appel aux bonnes personnes.
- Quels intervenants devez-vous consulter?
- Quand et comment devraient-ils participer à l’EFVP?
- Qui rédigera le rapport d’EFVP au final?
- Qui sera responsable de la mise en œuvre des recommandations et devra en rendre compte?
Parmi les principaux intervenants, mentionnons :
- le personnel du programme (c’est-à-dire la ou les personnes responsables de l’élaboration et de l’exécution du programme ou de l’activité);
- le personnel chargé de la protection de la vie privée, notamment votre groupe d’accès à l’information et de protection des renseignements personnels (AIPRP) et votre chef de la protection des renseignements personnels, le cas échéant;
- les conseillers juridiques internes;
- le personnel de la gestion de l’information (GI), de la technologie de l’information (TI) et de la sécurité, au besoin;
- le personnel de première ligne, au besoin;
- les tiers du secteur privé, s’ils participent au programme ou à l’activité;
- le haut fonctionnaire ou le membre de la direction responsable, au sein de l’institution, des activités ou des programmes nouveaux ou ayant subi des modifications importantes (conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée);
- le responsable de l’institution fédérale ou l’agent responsable en vertu de l’article 10 de la LPRP (selon la Directive sur l’évaluation des facteurs relatifs à la vie privée).
Vous n’avez peut-être pas à mobiliser toutes les parties susmentionnées pour chaque EFVP, mais faites participer à tout le moins le personnel compétent du programme et de la protection de la vie privée à toute EFVP.
Conseil : Si un consultant effectue votre EFVP, assurez-vous que votre institution dispose des capacités nécessaires pour mettre en œuvre les recommandations et dialoguer avec le Commissariat une fois le contrat terminé.
EFVP pluri-institutionnelles :
Lorsque deux institutions ou plus ont l’intention de lancer une initiative commune ou d’échanger des renseignements, il peut s’avérer économique et souhaitable de mener une EFVP pluri-institutionnelle.
Ce type d’EFVP aide à brosser un tableau complet d’un programme ou d’une activité, alors que ce tableau ne serait peut-être pas clair autrement.
Lorsque différentes institutions effectuent des EFVP distinctes portant sur des éléments restreints d’un projet commun, il est parfois plus difficile de voir la situation dans son ensemble.
Les EFVP pluri-institutionnelles aident à atténuer le risque de lacunes ou de manque d’uniformité.
Les rapports des EFVP pluri-institutionnelles devraient indiquer clairement quelle partie est responsable de la gestion des risques. Désignez toujours une institution responsable de l’EFVP dans son ensemble.
Conseil : Idéalement, les institutions procéderont à une EFVP pluri-institutionnelle quand elles participent à l’exécution d’une activité ou d’un programme partagé. Lorsque les institutions n’effectuent pas d’EFVP pluri-institutionnelle, elles devraient à tout le moins travailler en étroite collaboration avec les partenaires du programme ou de l’activité afin d’effectuer des EFVP distinctes dont la portée est clairement définie.
Consultez le Commissariat.
- La Direction des SCG du Commissariat donne des conseils aux institutions concernant des activités et des programmes ponctuels nécessitant la collecte, l’utilisation ou la communication de renseignements personnels, notamment tout au long du processus d’EFVP.
- Pour en savoir plus, consultez la section 3 – « Rôle du Commissariat ».
- En vertu de la politique du SCT, les institutions sont tenues de communiquer avec le Commissariat pour discuter des programmes ou des activités, nouveaux ou existants, susceptibles d’avoir une incidence sur la vie privée d’individus, qu’une EFVP soit prévue ou non.
À la fin de la phase de planification, vous devriez avoir défini la portée de l’EFVP et déterminé les ressources nécessaires, les personnes qui doivent participer au processus et l’échéancier du processus.
Processus d’EFVP
Version textuelle de la figure 2
Processus d’EFVP
- Confirmer le besoin de mener une EFVP
- Planifier
- Consulter (inclure le CPVP)
- Évaluer la nécessité et la proportionnalité
- Cerner et évaluer les risques particuliers
- Créer des mesures d’atténuation
- Obtenir l’approbation
- Présenter les documents au SCT et au CPVP
- Faire un suivi continu
Phase d’analyse des risques
Toutes les activités de votre institution comportent un risque quelconque. Les institutions gèrent les risques en les cernant, en les analysant, puis en déterminant s’il faut les atténuer.
L’analyse des risques peut vous aider à faire des choix lorsque vos options comportent différents types et niveaux de risque. Elle vous donne également la possibilité de déterminer les problèmes les plus graves et les plus probables. Pour chaque risque, il faut calculer :
- la probabilité que l’incident se produise;
- l’ampleur de son incidence sur la vie privée ou du préjudice subi s’il se matérialisait.
L’EFVP met l’accent sur les atteintes à la vie privée, plus précisément sur le risque d’atteinte à la vie privée d’individus et aux droits que leur confère la LPRP. Par conséquent, votre analyse de l’incidence des risques devrait prendre en compte le type de préjudice qu’une personne pourrait subir si le risque se matérialisait. Par exemple, la réputation, la situation financière ou le bien-être émotionnel de la personne seraient-ils menacés?
La probabilité qu’un risque se matérialise peut aller de très forte (l’événement se produit régulièrement) à très faible (l’événement ne se produit presque jamais).
Si vous avez déterminé que votre programme ou votre activité peut avoir une incidence négative sur la vie privée d’individus, il y a aussi un risque que votre institution ne respecte pas les obligations lui incombant en vertu de la LPRP. Remédiez immédiatement à toute non-conformité à la loi.
Conseil : Peu importe leur volume, les renseignements personnels traités de façon inappropriée peuvent avoir une incidence imprévue sur la vie privée des individus.
Conseil : Afin de vous aider à déterminer les risques d’atteinte à la vie privée, ayez recours à des outils visuels, par exemple des organigrammes, pour documenter la façon dont vous utiliserez les renseignements dans le cadre d’un projet.
Évaluation préliminaire des risques
Au moment d’évaluer l’incidence de votre programme ou de votre activité sur la vie privée, il est judicieux de procéder à une évaluation préliminaire des risques. Vous pourrez ainsi déterminer plus facilement cette incidence et avoir une bonne idée du niveau de risque. Plus votre programme ou votre activité comporte des risques d’atteinte à la vie privée, plus vous devrez analyser et atténuer ces risques.
Facteurs de risque
Au cours de l’évaluation préliminaire, examinez les facteurs de risque suivants :
- la quantité de renseignements personnels visés;
- le niveau de sensibilité des renseignements personnels en question;
- la sensibilité du contexte dans lequel le programme ou l’activité sera mis en œuvre;
- la taille de la population touchée;
- la vulnérabilité de la population touchée;
- le type d’incidence éventuelle sur les individus;
- la durée ou la permanence du programme ou de l’activité;
- la présence éventuelle de facteurs de risque supplémentaires dans le cadre du programme ou de l’activité :
- utilisation de renseignements personnels à des fins secondaires;
- communication de renseignements personnels à l’extérieur de l’institution;
- profilage ou prédictions comportementales;
- prise de décision automatisée;
- surveillance systémique d’individus;
- collecte de renseignements personnels sans que l’intéressé en soit avisé et qu’il y ait consenti;
- couplage de données (appariement de renseignements personnels non liés).
Conseil : Vous devriez envisager l’incidence que pourrait avoir votre initiative sur le droit à la vie privée de différents groupes. Par exemple, vous pourriez effectuer une analyse comparative entre les sexes plus (ACS+) pour déterminer l’incidence éventuelle des politiques, des programmes et des initiatives sur divers groupes de femmes, d’hommes et de personnes non binaires du point de vue de la vie privée.
Version textuelle de la figure 4
Évaluation préliminaire des risques
Le niveau de risque de votre programme est fondé sur la somme de tous les facteurs de risque. Chaque facteur de risque augmente ou diminue le niveau global de risque du programme. | |
Faible risque | Risque élevé |
---|---|
Comprend un nombre limité de renseignements personnels | Comprend une grande quantité de renseignements personnels |
Ne comprend pas de renseignements personnels sensibles | Comprend des renseignements personnels sensibles tels le NAS, des renseignements financiers, médicaux ou relatifs aux enfants |
Le contexte n’est pas sensible | Le contexte est sensible |
Les renseignements personnels de quelques individus sont touchés | Les renseignements personnels de beaucoup d’individus sont touchés |
Les renseignements personnels de populations vulnérables ne sont pas touchés | Les renseignements personnels d’un groupe de personnes vulnérables ou plus sont touchés |
A une incidence limitée sur les individus (p. ex. enjeux faibles) | A une incidence majeure sur les individus (p. ex. grands enjeux) |
Ponctuel ou à court terme | À long terme |
Ne comporte pas de facteurs de risque supplémentaires (voir facteurs de risque supplémentaires ci-dessus) | Comporte un facteur de risque supplémentaire ou plus (voir facteurs de risque supplémentaires ci-dessus) |
Programmes ou activités peu complexes à faible risque
Comme nous l’avons déjà mentionné, le processus d’EFVP est conçu de manière à être souple et évolutif. La durée et la complexité de votre processus varieront selon l’ampleur, la complexité et le niveau de risque de votre projet. Si, à la lumière de la documentation que vous avez réunie et de votre évaluation préliminaire des risques, vous avez déterminé qu’il s’agit d’une initiative peu complexe à faible risque, vous pourriez effectuer une EFVP simple et produire un court rapport d’évaluation.
Même dans le cas d’une EFVP portant sur un programme peu complexe à faible risque, Il faut examiner tous les éléments clés de manière suffisamment détaillée. Toutefois, vous pourriez faire les constatations suivantes :
- les parties qui doivent participer au processus sont peu nombreuses;
- il n’est peut-être pas nécessaire de consulter les intervenants;
- les flux d’information à schématiser sont limités;
- il y a peu d’éléments à décrire;
- l’incidence sur la vie privée d’individus est minime, si bien qu’il y a peu de recommandations à analyser;
- le rapport final est plus court.
Si vous consultez le Commissariat dès le début du processus, il pourra vous donner des conseils sur la façon d’effectuer une EFVP appropriée.
Questions pour les programmes et activités à risque élevé : nécessité, efficacité, proportionnalité et atteinte à la vie privée minimale
La mise en œuvre de programmes ou d’activités du gouvernement portant atteinte à la vie privée d’individus a fait ressortir l’importance de bien évaluer dès le départ les risques en la matière de nature générale que comportent certaines initiatives ainsi que leur incidence pour la société. Vous devriez évaluer les programmes ou les activités à risque élevé ou portant atteinte à la vie privée dans le contexte de leur incidence éventuelle sur la vie privée. Pour les besoins de cette évaluation, vous devriez poser des questions d’approfondissement concernant la nécessité du programme et la proportionnalité de son incidence par rapport aux avantages escomptés. Posez ces questions dès le début du processus d’EFVP et non de façon accessoire après l’élaboration du programme ou de l’activité.
Si, à la lumière de votre évaluation préliminaire des risques, vous estimez qu’il s’agit d’un programme ou d’une activité à risque élevé, vous devriez :
- montrer que le programme ou l’activité portant atteinte à la vie privée est nécessaire pour répondre à un besoin particulier;
- déterminer s’il existe un lien logique entre le programme ou l’activité en question et un objectif public urgent et important et, le cas échéant, l’expliquer de manière claire et précise;
- éviter de simplement répéter l’énoncé du mandat de l’institution, par exemple « application de la loi » ou « contrôle à la frontière »;
- lorsque la nécessité de l’initiative a été établie, examiner la nécessité de chaque renseignement personnel à recueillir en vous demandant :
- si chaque renseignement personnel ou catégorie de renseignements personnels est nécessaire pour remplir l’objectif visé;
- vous assurer que l’activité ou le programme proposé a de bonnes chances de permettre de remplir efficacement l’objectif public urgent et important en vous demandant :
- si cette activité ou ce programme a été conçu avec soin de manière à remplir l’objectif en question;
- déterminer si l’atteinte à la vie privée causée par le programme ou l’activité est proportionnelle à l’avantage obtenu :
- plus l’incidence sur la vie privée est importante, plus l’objectif public devrait être urgent et important;
- déterminer s’il existe un moyen de remplir le même objectif en portant moins atteinte à la vie privée;
- avoir des données probantes justifiant l’utilisation d’activités ou de technologies portant atteinte à la vie privée en vous demandant :
- s’il y a des données empiriques à l’appui de l’initiative;
- si votre institution peut montrer que ces mesures sont efficaces pour répondre aux besoins énoncés;
- si des données empiriques montrent que d’autres moyens portant moins atteinte à la vie privée ne permettraient pas de remplir les objectifs visés par l’initiative.
Si votre institution ne peut expliquer clairement le lien logique entre la collecte, l’utilisation ou la communication de renseignements personnels proposée dans le cadre de votre initiative et un objectif public urgent et important, il ne faudrait pas aller de l’avant avec l’initiative. En pareil cas, l’institution devrait réexaminer les objectifs visés et vérifier de nouveau si la loi lui confère le pouvoir de mener l’initiative. Avant de mettre en œuvre un programme ou une activité à risque élevé, vous devriez faire la preuve de sa nécessité, de son efficacité, de la proportionnalité de son incidence par rapport aux avantages escomptés et d’une atteinte minimale à la vie privée.
Conseil : Les questions énoncées ci dessus sont nécessaires pour évaluer une initiative à risque élevé, mais il est utile de les poser au début de tout projet. Elles peuvent vous aider à vous assurer de prendre en compte dès l’étape de la conception les principaux facteurs relatifs à la protection de la vie privée.
Version textuelle de la figure 5
Feuille de route pour les programmes à haut risque
Si votre analyse préliminaire vous a permis de déterminer que votre programme ou votre activité est à haut risque, suivez la feuille de route ci-dessous.
- Étape 1. Examinez les répercussions de votre programme sur le droit à la vie privée et sur d’autres valeurs et droits fondamentaux le plus tôt possible dès son élaboration
- Étape 2. Posez des questions clés pour évaluer la nécessité, l’efficacité, la proportionnalité et le caractère intrusif minimal de votre initiative
- Étape 3. Documentez les raisons qui justifient la poursuite d’activités intrusives ou qui portent atteinte à la vie privée en utilisant des preuves empiriques
- Étape 4. Assurez-vous que les programmes et activités à haut risque sont nécessaires, efficaces, proportionnels et les moins intrusifs possibles avant leur implantation
Analyse des risques sous l’angle des principes de protection de la vie privée
Si vous élaborez un projet nécessitant la collecte, l’utilisation ou la communication de renseignements personnels, vous devez vous conformer à la LPRP. Votre EFVP devrait montrer clairement que votre initiative respecte les exigences prévues par la loi et par les politiques du gouvernement du Canada. Après vous être assuré de la conformité à la loi et à la politique, vous devriez vous efforcer de réduire le plus possible l’atteinte à la vie privée découlant de votre initiative.
Nous vous recommandons d’évaluer votre programme en fonction des principes ci après au moment d’analyser les risques d’atteinte à la vie privée d’individus et de proposer des mesures d’atténuation. Ces principes, qui s’inspirent des Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel adoptées par l’OCDE, ont servi de modèle et de base pour les lois sur la protection de la vie privée et des données partout dans le monde. Ils constituent un cadre utile pour votre analyse. Pour chacun des principes, déterminez si votre projet respecte les exigences pertinentes des dispositions de la LPRP et les exigences de la politique, puis déterminez toute incidence sur la vie privée ainsi que les mesures d’atténuation possibles. Selon la nature de votre initiative, vous pourriez faire un examen plus approfondi à l’égard de certains principes. Signalons que les listes sous chaque principe ne sont pas exhaustives. Vous pourrez avoir d’autres questions ou mesures pour votre institution. Encore une fois, le Commissariat s’attend à ce que vous analysiez rigoureusement l’incidence de votre initiative sur la vie privée.
Organisation de coopération et de développement économiques (OCDE) : L’OCDE est un forum où des gouvernements unissent leurs efforts pour relever les défis économiques, sociaux et environnementaux découlant de la mondialisation. Depuis plusieurs dizaines d’années, elle joue un rôle de premier plan en faisant valoir le respect de la vie privée comme valeur fondamentale et condition nécessaire à la libre circulation des données de caractère personnel au delà des frontières. En 1980, l’OCDE a publié les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, toute première série de principes de protection de la vie privée reconnue à l’échelle internationale. À titre de membre de cette organisation, le Canada s’est engagé à mettre en œuvre ces principes sur son territoire pour assurer la protection de la vie privée et des libertés individuelles en ce qui a trait aux données de caractère personnel.
Pour en savoir plus sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, consultez les OECD Privacy Guidelines.
Responsabilité
Exigences de la loi : art. 3.1 de la LPRP
Exigences des politiques : Politique sur la protection de la vie privée et Directive sur les pratiques relatives à la protection de la vie privée
Ce que l’on entend par « responsabilité » : Nommer un responsable du traitement des renseignements personnels au sein de votre institution, définir des principes et procédures de protection de la vie privée et élaborer une formation en la matière.
Questions à considérer :
- Qui est responsable, au sein de votre institution, de la conformité à la LPRP et aux pratiques exemplaires en matière de protection de la vie privée?
- De quelles politiques et procédures votre institution dispose-t-elle pour protéger la vie privée?
- De quelles politiques et procédures disposez-vous pour protéger la vie privée dans le cadre de cette initiative en particulier?
- Comment vous assurez-vous que le personnel reçoit une formation sur la protection de la vie privée?
- De quels outils disposez-vous pour surveiller l’accès aux renseignements personnels par les employés participant à la gestion de ceux-ci?
- Quel est le processus en place afin de recevoir et d’évaluer les plaintes et les demandes d’information concernant la protection de la vie privée et y répondre?
Exemples de risques :
- Certains individus ne savent peut-être pas à qui s’adresser s’ils ont des questions ou des problèmes concernant la protection de la vie privée.
- Le personnel ne sait peut-être pas comment protéger la vie privée. Il est possible que les facteurs relatifs à la vie privée ne soient pas relevés ni communiqués à la personne responsable de la conformité à la LPRP.
Exemples de mesures d’atténuation :
- Faire connaître l’identité de la personne responsable des pratiques de traitement des renseignements personnels au sein de votre institution.
- Élaborer et mettre en œuvre des politiques et des procédures de traitement des renseignements personnels pour votre institution et vos initiatives particulières selon les besoins.
- Former le personnel et lui communiquer de l’information sur les politiques et les pratiques de l’institution.
- Surveiller le traitement des renseignements personnels au sein de votre institution.
- Élaborer un processus afin de recevoir et d’évaluer les plaintes et les demandes d’information concernant la protection de la vie privée et d’y répondre.
Limitation de la collecte
Exigences de la loi : art. 4 de la LPRP
Exigences des politiques : Directive sur les pratiques relatives à la protection de la vie privée et Directive sur le numéro d’assurance sociale
Ce que l’on entend par « limitation de la collecte » : Recueillir les renseignements personnels seulement s’ils sont directement utiles à votre initiative et nécessaires pour remplir les objectifs visés.
Questions à considérer :
- Pourquoi avez-vous besoin de recueillir ce renseignement personnel ou cette catégorie de renseignements personnels?
- Avez-vous vraiment besoin des renseignements ou souhaitez-vous simplement les avoir « au cas où »?
- Est-ce qu’une loi ou un règlement en particulier vous autorise à recueillir les renseignements?
Exemples de risques :
- Les renseignements personnels d’un individu pourraient être recueillis alors qu’ils n’ont aucun lien avec un programme ou une activité et qu’ils ne leur sont pas nécessaires.
- La collecte des renseignements personnels pourrait ne viser aucune fin déterminée.
Exemples de mesures d’atténuation :
- Recueillir des renseignements personnels uniquement à des fins clairement déterminées et recueillir uniquement ceux nécessaires à ces fins.
- Utiliser dans la mesure du possible des renseignements qui ne permettent pas d’identifier des individus.
- Concevoir les formulaires et les systèmes de sorte que seuls les renseignements nécessaires soient susceptibles d’être recueillis.
- Établir une nette distinction entre les renseignements obligatoires et ceux qui sont facultatifs.
- Procéder à une minimisation des données afin de remettre en question la nécessité de chaque renseignement personnel ou catégorie de renseignements personnels.
- En cas de collecte excessive de renseignements personnels, éliminer ou renvoyer les renseignements visés de façon appropriée dès que possible.
Conseil : Même les renseignements personnels accessibles au public devraient être recueillis seulement s’ils ont un lien direct avec le programme ou l’activité de l’institution.
Collecte directe et détermination des fins de la collecte
Exigences de la loi : par. 5(1), (2) et (3) de la LPRP
Exigences de la politique : Directive sur les pratiques relatives à la protection de la vie privée
Ce que l’on entend par « collecte directe » et « détermination des fins de la collecte » : Lorsqu’il s’agit de recueillir des renseignements personnels d’un individu, obtenez-les directement auprès de l’intéressé dans la mesure du possible et indiquez-lui pourquoi vous en avez besoin.
Questions à considérer :
- Auprès de qui les renseignements personnels de l’individu seront-ils recueillis?
- Le cas échéant, pourquoi recueillez-vous des renseignements personnels d’un individu auprès d’autres personnes ou sources?
- Comment l’individu sera-t-il informé des fins de la collecte de ses renseignements personnels?
Exemples de risques :
- Il est possible que des individus ne soient pas au courant de la collecte de leurs renseignements personnels ou encore de leur utilisation et de leur communication ultérieures.
- Les renseignements recueillis auprès d’autres sources peuvent être inexacts, périmés ou incomplets. Un individu ne pourra mettre à jour ses renseignements s’il n’est pas au courant de leur collecte.
- La collecte des renseignements personnels pourrait ne viser aucune fin déterminée.
Exemples de mesures d’atténuation :
- Veiller à recueillir les renseignements personnels auprès de sources fiables.
- Aviser les individus des fins de la collecte, de l’utilisation et de la communication de leurs renseignements personnels.
- Dans la mesure du possible, aviser les individus avant la collecte ou au moment de celle ci.
- Mettre en place un processus afin de répondre aux demandes de modification ou de correction des renseignements personnels.
- Aviser les individus des procédures en place afin de faire corriger leurs renseignements personnels.
Conservation
Exigences de la loi : par. 6(1) de la LPRP et par. 4(1) et (2) du Règlement sur la protection des renseignements personnels
Exigences de la politique et autre : Directive sur les pratiques relatives à la protection de la vie privée et guide du Commissariat à la protection de la vie privée intitulé Conservation et retrait des renseignements personnels : Principes et pratiques exemplaires
Ce que l’on entend par « conservation » : Ne garder les renseignements personnels qu’aussi longtemps que nécessaire.
Questions à considérer :
- Pendant combien de temps avez-vous besoin de conserver les renseignements personnels?
- Est-ce qu’une loi ou un règlement en particulier vous autorise à conserver les renseignements personnels?
- Comment en serez-vous informé lorsque les renseignements auront atteint la fin de leur période de conservation?
- Sous quelle forme et quel format les renseignements seront-ils conservés?
Exemples de risques :
- Les renseignements personnels pourraient être conservés plus longtemps que nécessaire simplement « au cas où ».
- Les renseignements personnels ne sont peut-être pas conservés assez longtemps pour que les individus puissent y avoir accès.
- Les renseignements personnels conservés pendant longtemps peuvent devenir inexacts ou périmés.
Exemples de mesures d’atténuation :
- Établir des périodes de conservation minimale et maximale.
- Disposer d’une autorisation de disposition de documents (ADD) ou d’une mesure provisoire appropriée.
- Désidentifier les renseignements conservés, s’il y a lieu.
- Limiter l’accès aux renseignements personnels qui doivent être conservés, mais qui ne sont plus utilisés.
- Configurer les systèmes de manière à supprimer les renseignements personnels à la fin de la période de conservation ou à signaler la fin de cette période pour permettre d’examiner la situation.
- Effectuer des vérifications périodiques ou ponctuelles de vos fonds de renseignements pour vous assurer que les renseignements personnels ne sont pas conservés au-delà des périodes établies.
Conseil : En conservant les renseignements plus longtemps que nécessaire, on peut accroître le risque d’atteinte à la sécurité des données et l’exposition à ce risque.
Conseil : Au moment de déterminer la période de conservation appropriée et de savoir si le moment est venu de procéder au retrait de renseignements personnels, toute institution devrait prendre compte les aspects suivants :
- Pour déterminer pendant combien de temps certains renseignements personnels devraient être conservés, il est généralement utile d’examiner les fins pour lesquelles ils ont été recueillis en premier lieu.
- Les renseignements personnels utilisés pour prendre une décision touchant un individu doivent être conservés pendant la période prévue par la loi ou, en l’absence d’exigences législatives, pendant une période raisonnable de sorte que l’intéressé puisse y avoir accès afin de comprendre les fondements de la décision et, éventuellement, de la contester.
- Si le fait de conserver les renseignements personnels plus longtemps devait porter préjudice à l’intéressé, voire accroître le risque d’atteinte à la sécurité des données et l’exposition à ce risque, l’institution devrait procéder à leur retrait en toute sécurité.
Exactitude
Exigence de la loi : par. 6(2) de la LPRP
Exigence de la politique : Directive sur les pratiques relatives à la protection de la vie privée
Ce que l’on entend par « exactitude » : Lorsque vous utilisez des renseignements personnels pour prendre une décision touchant directement un individu, veiller à ce que les renseignements utilisés soient exacts.
Questions à considérer :
- Comment assurez-vous la qualité des données?
- Comment les individus peuvent-ils faire corriger leurs renseignements personnels?
Exemples de risques :
- Les renseignements personnels détenus par une institution peuvent être inexacts, périmés ou incomplets.
- Une institution peut prendre des décisions touchant directement un individu en fonction de renseignements personnels inexacts, périmés ou incomplets.
- Des renseignements personnels inexacts, périmés ou incomplets peuvent être communiqués à des tiers.
- Les individus ne savent peut-être pas qu’ils ont le droit de faire corriger les renseignements personnels détenus par une institution.
- Les renseignements personnels inexacts peuvent avoir des conséquences négatives pour l’intéressé.
Exemples de mesures d’atténuation :
- Vérifier périodiquement l’exactitude des renseignements recueillis.
- Surveiller les modifications apportées aux renseignements personnels pour s’assurer qu’elles sont autorisées.
- Mettre en place un processus afin de répondre aux demandes de modification ou de correction des renseignements personnels.
- Aviser les individus des procédures en place afin de faire corriger leurs renseignements personnels.
- En cas de refus d’une demande de correction, informer les demandeurs des motifs du refus et des recours à leur disposition.
- Permettre aux individus d’annoter leurs renseignements personnels si leur demande de correction a été refusée.
Retrait
Exigences de la loi : par. 6(3) de la LPRP
Exigences de la politique et autre : Directive sur les pratiques relatives à la protection de la vie privée et guide du Commissariat à la protection de la vie privée intitulé Conservation et retrait des renseignements personnels : Principes et pratiques exemplaires
Ce que l’on entend par « retrait » : Prendre soin d’empêcher l’accès non autorisé au moment du retrait ou du transfert des renseignements personnels.
Questions à considérer :
- Comment procédera-t-on au retrait des renseignements?
- Existe-t-il des moyens de procéder au retrait de renseignements sous divers formats (p. ex. papier ou numérique)?
- Les renseignements sont-ils visés par une ADD?
Exemples de risques :
- Le retrait des renseignements personnels est effectué de façon inappropriée et ceux ci peuvent être consultés ou communiqués sans autorisation.
- On ne procède pas au retrait de toutes les copies.
Exemples de mesures d’atténuation :
- Mettre en place des procédures pour le retrait ou la destruction sécuritaires des renseignements personnels ou bien de l’équipement ou des dispositifs utilisés pour leur stockage.
- Disposer d’une ADD ou d’une mesure provisoire appropriée.
- Configurer les systèmes de manière à supprimer les renseignements personnels à la fin de la période de conservation.
- Au moment du retrait de l’équipement ou des dispositifs utilisés pour le stockage des renseignements personnels (comme les classeurs, les ordinateurs, les disques durs externes, les téléphones cellulaires et les bandes audio), supprimer tous les renseignements stockés.
Limitation de l’utilisation
Exigences de la loi : art. 7 de la LPRP
Exigences de la politique : Directive sur les pratiques relatives à la protection de la vie privée
Ce que l’on entend par « limitation de l’utilisation » : Limiter votre utilisation des renseignements personnels d’un individu aux fins que vous avez déterminées.
Questions à considérer :
- Quels renseignements personnels seront utilisés et à quelles fins?
- Les renseignements seront-ils utilisés :
- aux fins pour lesquelles ils ont été recueillis?
- pour des usages compatibles avec ces fins?
- aux fins pour lesquelles ils ont été communiqués à l’institution?
- ou obtiendrez-vous le consentement d’un individu?
- Est-ce qu’une loi ou un règlement en particulier vous autorise à utiliser les renseignements de cette façon?
Exemples de risques :
- Les renseignements personnels fournis à des fins déterminées peuvent être utilisés de façon inappropriée à des fins secondaires.
- Une institution peut utiliser des renseignements personnels d’une manière contraire aux attentes raisonnables de l’intéressé.
Exemples de mesures d’atténuation :
- Informer les individus des utilisations prévues de leurs renseignements personnels.
- Disposer de mesures afin de limiter la façon dont les renseignements personnels peuvent être utilisés.
- Disposer de processus appropriés afin d’obtenir un consentement au besoin.
- Documenter la raison pour laquelle vous considérez certaines utilisations secondaires comme des usages compatibles avec les fins déterminées.
Conseil : La définition de l’expression « usage compatible » devrait être interprétée de façon restrictive puisqu’il s’agit d’une exception à l’exigence relative à l’obtention du consentement. Cette approche cadre avec le statut quasi constitutionnel de la LPRP et le droit à la vie privée qu’elle protège. On entend par « usage compatible » une utilisation ayant un lien raisonnable et direct avec les fins initiales pour lesquelles les renseignements ont été obtenus ou recueillis. Autrement dit, les fins initiales et les fins proposées sont si étroitement liées que l’on s’attendrait à ce que les renseignements servent à l’usage compatible, même si celui ci n’a pas été expressément mentionné.
Limitation de la communication
Exigences de la loi : par. 8(1) et (2) de la LPRP
Exigences des politiques et autres : Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels, Document d’orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché, Directive sur les pratiques relatives à la protection de la vie privée et Politique sur la protection de la vie privée
Ce que l’on entend par « limitation de la communication » : Limiter la communication des renseignements personnels des individus.
Questions à considérer :
- Quels renseignements personnels seront communiqués, à quelles fins et à qui?
- Est-ce que l’intéressé consent à la communication de ses renseignements personnels ou leur communication fait-elle l’objet d’une exception?
- Comment se fera la communication des renseignements?
- Avez-vous conclu des ententes de communication d’information avec des tiers auxquels les renseignements seront communiqués? Le cas échéant, ces ententes renferment-elles des dispositions en matière de sécurité et de protection de la vie privée?
- Est-ce qu’une loi ou un règlement en particulier vous autorise à communiquer les renseignements de cette façon?
Exemples de risques :
- La communication pourrait avoir lieu sans autorisation prévue par la loi et sans le consentement de l’intéressé.
- Des renseignements personnels inexacts, incomplets ou périmés pourraient être communiqués à des tiers.
- Il se peut que des tiers ne protègent pas de manière adéquate les renseignements personnels qui ont été communiqués.
- Il est possible que les renseignements personnels fassent l’objet d’une utilisation ou d’une communication ultérieure non autorisée.
Exemples de mesures d’atténuation :
- Informer les individus de toute communication prévue de leurs renseignements personnels.
- Disposer de mesures limitant la communication de renseignements personnels.
- Mettre en place des processus appropriés afin d’obtenir un consentement, au besoin.
- Dans les contrats conclus avec des tiers auxquels les renseignements sont communiqués, prévoir des exigences contraignantes en matière de sécurité et de protection de la vie privée.
- Utiliser des mesures appropriées pour protéger les renseignements personnels durant leur transmission.
Mesures de protection
Exigences de la loi : art. 7 et 8Note de bas de page 3 de la LPRP
Exigences des politiques et autres : Politique sur la sécurité du gouvernement, Directive sur la gestion de la sécurité, Directive sur la gestion de l’identité, La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33) et Directive sur les pratiques relatives à la protection de la vie privée
Ce que l’on entend par « mesures de sécurité » : Prendre des mesures pour s’assurer que les renseignements personnels sont protégés de façon appropriée contre une consultation, une utilisation ou une communication non autorisées.
Questions à examiner :
- Quelles mesures de sécurité et de contrôle d’accès protégeront les renseignements personnels contre la perte ou le vol et contre une consultation, une communication, une copie, une utilisation ou une modification non autorisées, que ce soit durant leur transmission ou leur stockage?
- Comment votre institution améliore-t-elle les mesures de protection dans le cas des renseignements personnels particulièrement sensibles?
- Comment votre institution détectera-t-elle une atteinte et comment interviendra-t-elle le cas échéant?
- Les renseignements personnels sont-ils transférés ou conservés à l’extérieur du Canada?
Exemples de risques :
- Des personnes n’ayant pas besoin de connaître des renseignements personnels peuvent y avoir accès.
- Une institution ne pourra peut-être pas détecter une atteinte et intervenir le cas échéant.
- Des renseignements désidentifiés peuvent permettre d’identifier un individu si on les combine avec d’autres renseignements, notamment des renseignements accessibles au public.
Exemples de mesures d’atténuation :
- Avoir recours à des mesures de protection physiques (restriction de l’accès et verrouillage), organisationnelles (formation et procédures) et techniques (pistes de vérification et chiffrement) appropriées afin de protéger les renseignements personnels.
- Avoir recours à des mesures de protection variées selon la sensibilité des renseignements, leur quantité, leur distribution, leur format et la méthode de stockage.
- Utiliser dans la mesure du possible des renseignements anonymes ou désidentifiés.
- Mettre à profit les technologies améliorant la protection de la vie privée, lorsqu’elles sont accessibles.
- Mettre en place des mesures afin de détecter les atteintes à la vie privée ainsi qu’une procédure d’intervention le cas échéant.
- Dans les ententes conclues avec des tiers auxquels les renseignements sont communiqués, prévoir des exigences contraignantes en matière de sécurité et de protection de la vie privée.
- Réaliser des évaluations de sécurité appropriées.
- Tester en continu les mesures de protection pour s’assurer qu’elles fonctionnent bien.
Conseil : La mesure de protection de la vie privée la plus efficace consiste en premier lieu à ne pas recueillir de renseignements personnels s’ils ne sont pas nécessaires.
Conseil : L’objectif d’une EFPV est de déterminer le niveau de protection le plus approprié dans des circonstances particulières, et non de maximiser la sécurité des renseignements.
Transparence
Exigences de la loi : art. 9, 10 et 11 de la LPRP
Exigences de la politique : Directive sur les pratiques relatives à la protection de la vie privée et Politique sur la protection de la vie privée
Ce que l’on entend par « transparence » : Présenter de façon transparente, claire et directe le traitement des renseignements personnels.
Questions à considérer :
- Est-ce que les individus sont informés :
- de la nature des renseignements personnels demandés?
- des fins visées et des pouvoirs connexes?
- des conséquences de ne pas fournir les renseignements?
- de la façon dont leurs renseignements personnels seront utilisés, communiqués et protégés?
- de la durée de conservation des renseignements en question?
- de leur droit éventuel de consulter leurs renseignements et de les faire corriger?
- De quelle façon sont-ils informés (p. ex. affiches, formulaires, avis de confidentialité ou fichiers de renseignements personnels (FRP))?
Exemples de risques :
- Les individus pourraient ne pas être au courant de la collecte, de l’utilisation et de la communication de leurs renseignements personnels.
- Les avis pourraient ne pas être facilement accessibles à tous les individus.
- Une information importante sur la protection de la vie privée pourrait être enfouie dans une politique longue et complexe.
Exemples de mesures d’atténuation :
- Rendre facilement accessible et compréhensible l’information concernant vos pratiques en matière de traitement des renseignements personnels.
- Offrir l’information par plusieurs moyens et s’assurer qu’elle est uniforme sous tous les formats (p. ex. affiches, ou avis écrits ou verbaux).
- Dans la mesure du possible, informer les individus de vos pratiques avant la collecte ou au moment de celle ci.
- Veiller à ce que le public ait accès au résumé de votre EFVP.
Avis ou consentement : Dans certains secteurs d’activité du gouvernement, il n’est ni réaliste ni approprié d’obtenir un consentement des individus pour traiter leurs renseignements personnels. Par exemple, en l’absence de certains types de renseignements personnels, le gouvernement ne peut offrir certains services ou accomplir certaines fonctions de façon efficace. En pareil cas, les institutions fédérales s’appuient généralement sur l’autorisation conférée par la loi, et non sur le consentement, pour les activités portant sur les renseignements. Lorsqu’elles ne demandent pas le consentement, les institutions devraient fournir un avis clair à cet égard. Plus précisément, il n’est pas nécessaire d’obtenir un consentement si les renseignements personnels sont utilisés aux fins pour lesquelles ils ont été recueillis, si leur utilisation est compatible avec les fins initiales ou s’ils sont utilisés à des fins pour lesquelles ils peuvent être communiqués à l’institution en vertu du paragraphe 8(2) de la LPRP.
S’il faut obtenir un consentement, par exemple dans le cas d’une utilisation secondaire de renseignements personnels, l’institution devrait prendre en compte :
- la façon dont le consentement est obtenu (de vive voix, par écrit, etc.);
- la forme de consentement (implicite ou explicite) qui peut être appropriée compte tenu de la sensibilité des renseignements et des attentes raisonnables de l’individu;
- les conséquences si l’individu refuse de donner son consentement.
L’institution devrait obtenir un consentement explicite dans la mesure du possible, en particulier dans les cas où les renseignements personnels ou le contexte seront probablement considérés comme sensibles. En outre, elle devrait permettre aux individus de retirer leur consentement en tout temps, sous réserve des restrictions prévues par la loi ou un contrat et d’un préavis raisonnable, et les informer des conséquences de ce retrait. Si le retrait n’est pas envisageable, l’institution devrait le signaler au moment de l’obtention du consentement.
Pour en savoir plus, reportez-vous aux articles 7 et 8 de la LPRP et à la Directive sur les pratiques relatives à la protection de la vie privée.
Conseil : La publication fédérale Renseignements sur les programmes et les fonds de renseignements vise à offrir à la population un index des renseignements personnels conservés par les institutions fédérales assujetties à la LPRP.
Accès aux renseignements personnels
Exigences de la loi : art. 12 de la LPRP
Exigences des politiques : Directive sur les demandes de renseignements personnels et de correction des renseignements personnels et Politique sur la protection de la vie privée
Ce que l’on entend par « accès aux renseignements personnels » : Accorder à tout individu, peu importe s’il se trouve au Canada ou à l’étranger, le droit d’accéder aux renseignements personnels le concernant dont vous disposez ainsi que le droit de demander la correction de ceux-ci.
Questions à examiner :
- Quel est le processus en place pour évaluer les demandes d’accès et de correction présentées par un individu, peu importe s’il se trouve au Canada ou à l’étranger, et pour y répondre en temps utile?
- De quelle façon tout individu, peu importe s’il se trouve au Canada ou à l’étranger, sera-t-il informé de son droit d’accès et de correction?
Exemples de risques :
- Des lacunes dans les processus et les systèmes peuvent faire en sorte que l’institution accuse des retards dans le traitement des demandes d’accès ou de correction ou encore qu’elle refuse indûment de communiquer les renseignements personnels.
- Les individus ignorent peut-être qu’ils ont le droit d’accéder aux renseignements personnels les concernant dont une institution dispose et de demander de les faire corriger.
Exemples de mesures d’atténuation :
- Élaborer et documenter un processus pour répondre aux demandes d’accès et de correction.
- Informer les individus de leur droit d’accéder à leurs renseignements personnels et de demander de les faire corriger.
- Configurer les systèmes de manière à permettre de récupérer les renseignements personnels des individus sans déployer d’efforts déraisonnables.
- Établir des procédures pour valider l’identité des individus qui demandent d’accéder à des renseignements personnels.
- En cas de refus d’une demande de correction, informer l’individu des motifs du refus et des recours à sa disposition.
- Permettre aux individus d’annoter leurs renseignements personnels si leur demande d’accès ou de correction a été refusée.
- Établir un processus pour informer les tiers si des renseignements inexacts leur ont été transmis.
Conseil : Les exceptions à l’obligation de donner accès aux renseignements personnels devraient être interprétées de la façon la plus stricte possible.
Phase d’atténuation des risques
Maintenant que vous avez déterminé les risques d’atteinte à la vie privée associés au programme ou à l’activité de votre institution, vous devez décider de la façon d’y réagir. Votre approche et vos processus en matière de gestion des risques seront propres à votre institution et varieront selon plusieurs éléments :
- le mandat;
- les priorités;
- l’exposition au risque;
- la culture du risque organisationnelle;
- la capacité à gérer les risques;
- les intérêts des partenaires et des intervenants.
Le niveau de risque évalué avant la prise en compte des mesures de contrôle en place et des réactions au risque constitue le niveau de risque « inhérent ». Le niveau de risque qui subsiste après leur prise en compte constitue le niveau de risque « résiduel ». Vous pouvez prévoir plus d’une mesure pour atténuer chaque risque en particulier, par exemple jumeler une politique à un programme de formation et à une fonction de vérification. Idéalement, le risque résiduel est faible.
Les risques ne sont pas tous égaux. S’il y a un risque que votre institution ne se conforme pas à la loi, vous devez le gérer entièrement sans tarder. Toutefois, même les programmes conformes à la loi peuvent porter atteinte à la vie privée. S’il y a encore un risque que votre initiative ait une incidence sur la vie privée d’individus, vous devriez vous efforcer d’atténuer ou d’éliminer ce risque et déterminer si le risque restant est justifié.
Les institutions devraient envisager d’intégrer la gestion des risques d’atteinte à la vie privée dans leur approche plus générale de gestion des risques.
Plan d’action
Il est peu judicieux d’investir du temps ou des ressources dans un processus d’EFVP si l’on ne prend aucune mesure par la suite. Un plan d’action peut vous aider à suivre et à gérer les décisions que vous avez prises à la suite de l’EFVP et à vous assurer que les plans visant à atténuer les risques d’atteinte à la vie privée sont réellement mis en œuvre. Pour chaque mesure prévue, préciser :
- le secteur de l’institution ou les membres de l’équipe de projet qui sont responsables de sa mise en œuvre;
- l’échéancier estimatif pour la réalisation.
Vous pourrez actualiser le plan tout au long de la mise en œuvre des mesures afin de permettre le suivi des progrès.
Phase de rédaction
Après avoir évalué et atténué les risques associés à votre programme ou à votre activité, vous devrez documenter les résultats dans un rapport d’EFVP. Comme nous l’avons mentionné, la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT définit les éléments qui doivent figurer dans votre rapport d’EFVP. Nous vous encourageons à y inclure des renseignements supplémentaires, s’il y a lieu. Le format du rapport d’EFVP peut varier en fonction des besoins.
Pratiques exemplaires relatives aux rapports d’EFVP
- Soyez précis.
- Évitez le jargon et limitez l’usage d’acronymes.
- Soyez concis : « beaucoup de contenu, peu de mots ».
- Mettez l’accent sur l’action : qu’avez-vous l’intention de faire?
- Utilisez des outils visuels, comme des tableaux ou des diagrammes, s’il y a lieu.
- Structurez votre rapport de manière à en faciliter la lecture et à réduire la nécessité de répéter des explications et du contenu.
- Créez un répertoire interne des EFVP afin qu’elles soient bien organisées et accessibles pour permettre leur consultation ultérieure.
Phase d’approbation
Vous devrez ensuite obtenir des approbations à l’interne, conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée. Les énoncés faisant état des approbations devraient indiquer que les représentants de votre institution acceptent le risque résiduel une fois les mesures d’atténuation en place. C’est à l’institution qu’incombe la responsabilité de s’assurer du respect de toutes les exigences prévues par la Directive.
Conseil : Le Commissariat à la protection de la vie privée du Canada n’approuve pas, ni n’appuie, ni n’autorise les EFVP, ni les initiatives ou les programmes du gouvernement. Cependant, il examine les rapports d’EFVP finaux présentés par les institutions du secteur public et formule des recommandations lorsqu’il décèle d’autres risques ou lacunes.
Phase de production de rapports
La politique du SCT exige que les institutions rendent publiques certaines sections des rapports d’EFVP (conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée). En plus de donner aux individus une idée de la façon dont le gouvernement utilise leurs renseignements personnels, les rapports publics favorisent la confiance à l’égard des activités de l’institution.
Les rapports d’EFVP (ou leur résumé) devraient être clairs, précis et compréhensibles de façon générale, mais particulièrement lorsqu’ils sont rendus publics. Les institutions devraient afficher sur leur site Web à tout le moins le résumé de leurs rapports d’EFVP. Celui-ci peut être accompagné d’un lien menant à la description du FRP pertinent sur le site Renseignements sur les programmes et les fonds de renseignements. Vous pourriez avoir à retravailler les résumés avant de les afficher en ligne pour protéger des éléments comme la confidentialité commerciale, la vie privée des individus, la sécurité des renseignements et le privilège juridique.
Phase d’examen
L’analyse des risques d’atteinte à la vie privée est un processus continu qui ne prend pas fin au moment de l’approbation de l’EFVP. Vous devriez évaluer régulièrement les facteurs relatifs à la vie privée (mesures de contrôle, risques, etc.) à mesure que le contexte évolue. Les institutions devraient notamment déterminer si les mesures mises en œuvre atténuent comme prévu les risques d’atteinte à la vie privée. La gestion continue de ces risques peut être intégrée à la stratégie globale de gestion des risques de votre institution.
Vous devriez considérer les rapports d’EFVP comme des documents évolutifs. Au cours de la mise en œuvre du projet, il serait judicieux de prévoir dans votre plan de projet un ou plusieurs « points de contrôle de l’EFVP », qui vous aideront à déterminer si des changements importants se sont produits depuis la réalisation de l’évaluation en question. Par exemple, des changements technologiques ou la mise en œuvre d’autres programmes connexes peuvent engendrer de nouveaux risques que vous devriez déterminer et atténuer.
Dans le cas des changements relativement mineurs, il suffit parfois de modifier l’EFVP ou d’y joindre un bref addenda. Dans les deux cas, vous devriez clairement noter les modifications pertinentes et en analyser l’incidence (le cas échéant). Si des améliorations considérables entraînent une nouvelle incidence importante sur la vie privée qui n’a pas été prise en compte dans l’EFVP, vous devriez effectuer une nouvelle EFVP, conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée.
Remerciements
Nous souhaitons souligner le travail de nos collègues canadiens et étrangers dans le domaine des EFVP. Les orientations qu’ils ont publiées ont été une source d’inspiration inestimable. Plus précisément, nous souhaitons remercier les organisations suivantes :
- Commission de protection des données de l’Irlande;
- Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario;
- Commissariat à l’information de l’Australie;
- Commissariat à l’information et à la protection de la vie privée de Terre-Neuve-et-Labrador;
- Commissariat à la protection de la vie privée de la Nouvelle-Zélande;
- Département de la Sécurité intérieure des États-Unis.
Avertissement
Le présent guide vise à servir d’outil aux institutions fédérales pour déterminer la meilleure façon de se conformer à la LPRP. Aucun élément de ce document ne devrait être considéré comme un obstacle ou une entrave à l’exercice du pouvoir discrétionnaire du Commissariat à la protection de la vie privée du Canada dans l’exercice de ses responsabilités, particulièrement en ce qui concerne l’examen d’une plainte déposée en vertu de la LPRP ou une vérification ou un examen effectué en vertu de cette loi.
- Date de modification :