Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Évaluation des facteurs relatifs à la vie privée – Survol

Les évaluations des facteurs relatifs à la vie privée (EFVP) permettent de cerner, d’atténuer et de surveiller les risques d’atteinte à la vie privée dans le cadre d’activités ou de programmes nouveaux ou ayant subi des modifications importantes. Conformément à la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor, les institutions fédérales doivent effectuer des EFVP :

  • lorsque des renseignements personnels peuvent être utilisés dans le cadre d’un processus décisionnel touchant directement un individu;
  • lorsque des modifications importantes sont apportées à des programmes ou à des activités déjà en place dans lesquels des renseignements personnels peuvent être utilisés à des fins administratives;
  • lorsque la sous-traitance ou le transfert d’un programme ou d’une activité à un autre palier de gouvernement ou au secteur privé constitue une modification importante à ce programme ou à cette activité;
  • lorsque des activités ou des programmes nouveaux ou ayant subi des modifications importantes auront une incidence sur la vie privée en général, même si aucune décision n’est prise concernant les individus.

10 étapes clés du processus d’EFVP

  1. Assurez-vous d’avoir l’autorisation légale pour votre programme ou activité. Les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou activités.
  2. Communiquez avec votre bureau de l’accès à l’information et de la protection des renseignements personnels afin de déterminer si une EFVP ou un autre type d’évaluation de la protection de la vie privée est approprié. Faites appel aux principales parties prenantes, comme les services juridiques et l’équipe de technologie de l’information.
  3. Déterminez la portée de votre EFVP.
  4. Consultez le Commissariat à la protection de la vie privée du Canada dès le début du processus.
  5. Décrivez et consignez la nature des renseignements personnels recueillis, leur mode de collecte, d’utilisation, de transmission et de stockage, ainsi que les mesures de protection en place contre une consultation ou une communication non autorisée.
  6. Pour les initiatives ou les technologies intrusives ou portant atteinte à la vie privée, évaluez les critères suivants :
    • Nécessité – À quel besoin l’obtention des renseignements personnels répond-elle?
    • Efficacité – Les renseignements personnels recueillis répondront-ils à ce besoin?
    • Proportionnalité – Le besoin est-il proportionnel à l’atteinte potentielle à la vie privée?
    • Atteinte à la vie privée – Existe-t-il une option moins attentatoire à la vie privée?
  7. Élaborez un plan d’action pour mettre en œuvre les mesures d’atténuation, en définissant les rôles, les responsabilités et les échéances.
  8. Présentez votre EFVP au Commissariat et au Secrétariat du Conseil du Trésor (SCT).
  9. Tenez compte des recommandations qui vous seront faites.
  10. Surveillez régulièrement les enjeux liés à la protection de la vie privée. Les EFVP doivent être mises à jour au fil du temps, en fonction de l’évolution de la circulation des renseignements.

Les principes fondamentaux de protection de la vie privée dont il faut tenir compte

  • Responsabilité : Nommez une personne qui sera chargée des pratiques relatives au traitement des renseignements personnels.
  • Limitation de la collecte : Ne recueillez que les renseignements personnels qui ont un lien direct avec un programme et qui sont nécessaires pour en atteindre l’objectif.
  • Collecte directe et détermination des fins de la collecte : Recueillez des renseignements personnels directement auprès de l’individu et l’informer des fins auxquelles ils sont destinés.
  • Conservation : Ne conservez les renseignements personnels qu’aussi longtemps que nécessaire. (Selon le Règlement sur la protection des renseignements personnels, les renseignements doivent être conservés au moins deux ans après la dernière fois où ils ont été utilisés à des fins administratives.)
  • Exactitude : Les institutions doivent prendre des mesures raisonnables pour garantir l’exactitude des renseignements personnels.
  • Retrait : Les institutions doivent procéder au retrait des renseignements personnels de façon sécuritaire et selon les exigences en matière de disposition de documents.
  • Limitation de l’utilisation : Les institutions ne doivent utiliser les renseignements personnels qu’aux fins auxquelles ils ont été recueillis de même que pour les usages qui sont compatibles avec ces fins.
  • Limitation de la communication : La communication des renseignements personnels doit être limitée et conforme à la fin initiale de la collecte ou à un usage compatible, ou doit se faire avec le consentement de l’individu qu’ils concernent.
  • Mesures de protection : Les institutions doivent prendre des mesures pour protéger adéquatement les renseignements personnels contre une consultation, une utilisation ou une communication inappropriées.
  • Transparence : Faire preuve de transparence et de clarté sur la manière dont les renseignements personnels seront traités, par exemple dans les énoncés de confidentialité. Publier les résumés des EFVP.
  • Accès : Tout individu a le droit de se faire communiquer sur demande les renseignements personnels qui le concernent et de demander la correction de ceux-ci, le cas échéant. Élaborer et documenter un processus pour répondre aux demandes.

Pour de plus amples détails sur la préparation d’une EFVP, veuillez consulter le Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée du SCT.

Supports de substitution

Date de modification :