Pourquoi penser à la protection de la vie privée? : Guide du processus d'évaluation des facteurs relatifs à la vie privée

Les institutions gouvernementales ont besoin de renseignements personnels pour remplir leurs fonctions; par exemple, pour traiter les versements d'assurance-emploi ou d'impôt sur le revenu, faire le suivi des épidémies ou déterminer qui représente une menace à la sécurité nationale.

Les Canadiens et les Canadiennes apprécient l'efficacité dans la prestation de services qui servent l'intérêt national — mais ils sentiront que leurs droits ont été bafoués si leurs renseignements personnels deviennent publics ou, pire encore, tombent entre de mauvaises mains.

Le Commissariat à la protection de la vie privée a pour mission de protéger et de promouvoir le droit à la vie privée de la population canadienne.

Le Commissariat tient à ce que la société, comme le gouvernement,  tire profit de services publics de qualité, tout en protégeant la vie privée des Canadiennes et des Canadiens.

Pour cet effet, les institutions fédérales peuvent effectuer des ÉFVP – des évaluations des facteurs relatifs à la vie privée. Une ÉFVP aide les organisations à élaborer les programmes les plus efficaces avec un minimum d'incidence sur la protection de la vie privée. Effectuer l'ÉFVP tôt dans le processus d'élaboration d'une initiative ou d'une activité permet de déceler et de régler les risques d'atteinte à la vie privée.

Une bonne ÉFVP peut aider une organisation à gagner ou maintenir la confiance de la population canadienne.

Si votre organisation souhaite élaborer un programme respectueux de la vie privée, le CPVP est là pour vous aider. Le CPVP veut être en mesure de comprendre votre initiative et d'émettre des recommandations pour limiter les risques d'atteinte à la vie privée. Il peut aussi vous conseiller a priori; par exemple :

Quand l'ÉFVP est-elle nécessaire?
Quelle présentation est appropriée?
Quels renseignements additionnels seront nécessaires?

Pour répondre à ces questions, le document « Nos attentes »  vous fournira les lignes directrices sur les types de renseignements nécessaires pour compléter une évaluation des facteurs relatifs à la vie privée, ainsi que ce que le Commissariat recherche dans le cadre d'un examen.

Sachez que les ÉFVP ne sont pas approuvées par le CPVP.

Les institutions fédérales effectuent les ÉFVP conformément à la Directive du Secrétariat du Conseil du Trésor.

Les lignes directrices du CPVP complètent cette Directive.
Aussi, un exemplaire de l'ÉFVP de base telle qu'approuvée sera présentée au CPVP et au Secrétariat du Conseil du Trésor simultanément. Selon la Directive, les responsables au Secrétariat du Conseil du Trésor veilleront à ce que l'ÉFVP de base renferme tous les documents requis. Ils procéderont aussi à l'examen de toute banque de renseignements personnels et les approuveront si elles respectent les dispositions de la Loi sur la protection des renseignements personnels.
Bien que le CPVP n'ait pas à approuver votre travail, nous procèdons à l'examen des ÉFVP et des documents connexes, en plus d'émettre des commentaires et des recommandations ou d'offrir des conseils et un service de consultation.

Le document « Nos attentes » explique en détails les rôles respectifs du CPVP et du SCT, en plus d'aborder les questions principales à prendre en compte :

• le critère en quatre parties
• les dix principes de protection de la vie privée
• les plans d'action
• lignes directrices sur les ÉFVP pluri-institutionnelles
• les aide-mémoire pour la présentation des ÉFVP et des documents connexes.

D'abord, le critère en quatre parties demande aux ministères de répondre aux quatre questions suivantes afin d'évaluer la limite raisonnable des droits et libertés dans une société libre et démocratique.

La première partie permet de déterminer s'il est possible de faire la preuve que la mesure est nécessaire pour répondre à un besoin particulier. Le CPVP demande qu'on explique en quoi les activités de collecte, d'utilisation et de communication des renseignements personnels seront le moins envahissantes possible.

Deuxièmement, la mesure est-elle susceptible d'être efficace pour répondre à ce besoin? Le CPVP cherche des preuves concrètes que les activités proposées répondront au dit besoin – qu'il s'agisse de statistiques, des résultats d'un essai ou d'information similaire.

Troisièmement, l'atteinte à la vie privée est-elle proportionnelle à l'avantage qui en découlera? Le CPVP a pour mission de protéger et de promouvoir le droit à la vie privée des Canadiennes et des Canadiens, alors il tient à connaître toutes les répercussions envisagées.

Enfin, existe-t-il un autre moyen moins envahissant qui pourrait permettre d'atteindre le même objectif? Autrement dit, peut-on atteindre le même objectif  par un moyen qui recourt à moins de renseignements personnels et qui comporte moins de risques? Si  c'est impossible, le CPVP  demandera des explications.

Après avoir répondu aux questions du critère en quatre parties, il faut aussi démontrer que les renseignements que détient le gouvernement sont en sécurité. Il est utile d'examiner les risques de l'initiative en rapport aux dix principes universels relatifs à la protection de la vie privée et à l'équité dans le traitement de l'information du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. Ces principes permettent d'assurer que l'architecture d'un programme tient compte de la protection de la vie privée. Voici les dix principes :

• Responsabilité — une structure administrative doit surveiller la conformité aux principes. Les institutions doivent prévoir la formation adéquate sur les questions de protection de la vie privée et fournir des preuves de consultation auprès des directions des services juridiques et de la protection des renseignements personnels.
• Déterminer les fins de la collecte — les institutions doivent démontrer que la collecte de renseignements est raisonnable et nécessaire aux fins d'un programme ou d'une activité. La Loi sur la protection des renseignements personnels limite la collecte aux renseignements directement nécessaires à l'opération d'un programme ou d'une activité.
• Consentement — en général, la collecte, l'utilisation et la communication de renseignements doit se faire au su et avec le consentement de la personne concernée. Bien sûr, dans le secteur public, les institutions fédérales peuvent parfois recueillir des renseignements sans le consentement de la personne concernée en raison d'une autorisation légale.
• Limiter la collecte — la collecte de renseignements personnels doit être limitée a ce qui est nécessaires aux fins identifiées.  Le Commissariat s'attend à ce que la collecte de chaque donnée soit clairement justifiée.
• Limiter l'utilisation, la communication et la conservation — les renseignements personnels ne doivent pas être utilisés ou communiqués à d'autres fins que celles pour lesquelles ils ont été recueillis, sauf si la personne concernée y consent ou que la loi le requiert et l'autorise. De plus, les renseignements personnels ne doivent être conservés qu'aussi longtemps que nécessaire aux fins prévues et conformément aux périodes de conservations  énoncées dans les règlements de la Loi sur la protection des renseignements personnels.
• Exactitude — les renseignements personnels doivent être aussi exacts, complets et à jour que nécessaire.
• Mesures de sécurité — les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
• Transparence — les institutions doivent faire en sorte que des renseignements précis sur leurs politiques et pratiques concernant la gestion des renseignements personnels soient facilement accessibles.
• Accès — la Loi sur la protection des renseignements personnels accorde aux personnes le droit d'accéder à leurs renseignements que possède le gouvernement et à demander à ce que des corrections y soient apportées.
• Possibilité de porter plainte à l'égard du non-respect des principes — les institutions doivent instaurer des procédures de réception des plaintes et des demandes de renseignements concernant leurs politiques et leurs pratiques de gestion des renseignements personnels et y donner suite.

Les dix principes évaluent les risques associés à un programme de manière approfondie et logique.

Idéalement, les institutions gouvernementales devraient prouver qu'elles ont tenu compte de chaque principe.

Notez que l'Évaluation générale de la menace et des risques préparée pour une initiative doit aborder les risques en matière de protection de la vie privée identifiés dans une ÉFVP.

La troisième section du document « Nos attentes » porte sur le plan d'action et fait valoir que l'évaluation des facteurs relatifs à la vie privée est un document évolutif.

Plus précisément, les ÉFVP sont efficaces dans la mesure où les risques sont recensés de manière continue et que des mesures d'atténuation sont adoptées en conséquence. Le plan d'action comprend un calendrier à cet effet en tenant compte des restrictions en termes de ressources et de temps, de même qu'un calendrier des vérifications ou des évaluations de la conformité, de façon à ce que l'institution puisse faire le rapport de ses succès  ou ajuster son plan d'action en fonction de nouvelles réalités.

Le plan d'action devrait être sous la responsabilité d'une personne ou d'un groupe,  être soumis à des révisions et, au besoin, à des mises à jour.

Si l'ÉFVP est issue du travail conjoint de multiples institutions, il importe que l'une d'entre elles assume un rôle de leader, afin de garantir une communication cohérente avec le CPVP et une recensement efficace des risques relatifs à la vie privée pour l'ensemble des institutions.

Enfin, le document « Nos attentes » renferme deux aide-mémoire pour vous aider à préparer l'ÉFVP. Le premier porte sur le matériel à inclure pour garantir une évaluation approfondie sans devoir demander d'information additionnelle.

• Une lettre d’accompagnement signée par une personne investie des pouvoirs délégués appropriés.
• Un survol détaillé du projet comprenant les objectifs, motifs, clients et approches, de même que les programmes ou partenaires impliqués.
• Une liste des intervenants et de leurs rôles et responsabilités.
• Une liste de tous les éléments de données se rapportant à des renseignements personnels de même qu’une description de la circulation des données.
• Une liste des lois et politiques pertinentes qui régissent le projet afin de démontrer l’autorisation légale de recueillir des renseignements personnels.
• Une analyse des facteurs relatifs à la vie privée désignant les risques associés au projet.  
• Un plan détaillé énonçant les mesures d’atténuation des risques qui seront prises, ainsi que les risques résiduels ou actuels qui ne peuvent être traités, et la raison y afférente.
• Un aperçu d’une stratégie de communication centrée sur la protection de la vie privée, si une telle stratégie est jugée appropriée.
• Des détails sur les procédures internes relatives aux actions concernant les atteintes à la vie privée, les demandes d'accès ou de corrections et les plaintes.

Le second aide-mémoire porte sur les documents essentiels à une analyse approfondie. Sans ces documents, il est possible que de graves risques d'atteinte à la vie privée ne soient pas décelés, ce qui pourrait compromettre le droit à la vie privée des Canadiennes et des Canadiens :

• Les politiques et procédures propres au projet.
• Un résumé des risques d'atteinte à la vie privée désignés dans toute évaluation de la menace et des risques, et un compte rendu de toutes les mesures en conséquence.
• Une copie de tout instrument juridique, accord ou protocole d’entente utilisé pour définir les droits et responsabilités.
• Des copies des contrats conclus avec les tiers relativement à l'échange de renseignements.
• Des copies de tout formulaire utilisé pour recueillir des renseignements personnels.
• Des copies de tous les documents de sensibilisation du public portant sur la gestion des renseignements personnels.

Dès qu'une organisation aura analysé son initiative en fonction du critère en quatre points et des dix principes de protection de la vie privée, et élaboré un plan d'action, le CPVP entreprendra son examen de l'ÉFVP.

D'abord, le CPVP procède au triage du dossier pour évaluer le degré de risque.

Le CPVP évalue la nature des renseignements. Par exemple, s'agit-il de données biométriques? De données générales? Ensuite, il évalue le risque d'ensemble.

Les dossiers d'ÉFVP sont assignés à un agent d'examen qui pourrait communiquer avec l'organisation pour prévoir une consultation. Ces rencontres s'avèrent souvent utiles pour le CPVP et l'organisation à mieux comprendre l'initiative et éventuellement à identifier des éléments comportant un risque élevé qui auraient été omis.

Au besoin, l'agent d'examen consultera les experts du CPVP sur les questions juridiques, politiques ou techniques.

Après l'examen, le CPVP transmet ses commentaires ou recommandations à l'organisation et lui demande d'agir en conséquence.

Cette vidéo tire à sa fin. Je tiens à vous rappeler que le CPVP vous encourage à être proactif et à communiquer avec nous le plus tôt possible dès qu'un risque élevé est identifié afin que vous puissiez profiter rapidement de conseils pratiques.

Le CPVP tient à ce que les institutions accordent une grande importance à la protection de la vie privée afin que toute préoccupation soit traitée avant la perte ou la fuite de renseignements personnels, avant qu'on ait porté atteinte à la vie privée des gens ou perdu leur confiance.

L'évaluation des facteurs relatifs à la vie privée vous aide à prendre des décisions éclairées. Grâce à nos recommandations, vous renforcerez votre cadre de protection de la vie privée et, par conséquent, gagnerez en crédibilité aux yeux de la population.