Politique d’évaluation des facteurs relatifs à la vie privée de Statistique Canada

Introduction

En mai 2002, le Secrétariat du Conseil du Trésor du Canada a approuvé la Politique d’évaluation des facteurs relatifs à la vie privée ainsi que les Lignes directrices sur l’évaluation des facteurs relatifs à la vie privée — Cadre de gestion des risques d’entrave à la vie privée.

L’évaluation des facteurs relatifs à la vie privée (EFVP) permet aux personnes responsables de la collecte, de l’utilisation ou de la communication de renseignements personnels d’évaluer les risques associés à ces activités liées à la vie privée, à la confidentialité ou à la sécurité, et d’élaborer des mesures visant à réduire et, lorsque c’est possible, à éliminer les risques mis en évidence.

Énoncé de politique

Statistique Canada soumettra à une EFVP toute modification importante d’une activité nouvelle ou considérablement remaniée en matière de collecte, d’utilisation ou de communication de renseignements personnels qui comporte des risques à l’égard de la vie privée, de la confidentialité ou de la sécurité des données.

Haut de la page

Processus d’EFVP

Lorsque le Bureau se livrera à différentes activités de collectes, d’utilisations ou de communications de renseignements personnels présentant des similitudes entre elles, il les soumettra à des EFVP génériques. Selon les circonstances, il pourrait élaborer un certain nombre d’EFVP génériques afin d’examiner les activités liées à un secteur de programme statistique, aux ressources humaines, aux finances, au marketing et à d’autres programmes qui font intervenir la collecte, l’utilisation ou la communication de renseignements personnels.

Dans les cas où une EFVP générique approuvée ne tient pas compte des risques particuliers en matière de vie privée, de confidentialité et de sécurité qui sont associés à une activité nouvelle ou remaniée en matière de collecte, d’utilisation ou de communication de renseignements personnels, le secteur de programme concerné déterminera, à l’un des premiers stades du cycle de planification, s’il est nécessaire de réaliser une EFVP particulière.

Le statisticien en chef approuve la recommandation du directeur du secteur de programme de réaliser une EFVP particulière ou d’appliquer une EFVP générique approuvée pour l’activité nouvelle ou considérablement remaniée en matière de collecte, d’utilisation ou de communication de renseignements personnels. La décision de réaliser une EFVP et l’approbation du rapport d’EFVP relèvent du statisticien en chef. Tout rapport d’EFVP approuvé doit être envoyé au Commissaire fédéral à la protection de la vie privée et un résumé du rapport d’EFVP sera diffusé à l’intention du public sur le site Web de Statistique Canada.

Le processus d’EFVP est décrit dans le document Lignes directrices à l’intention des gestionnaires concernant les évaluations des facteurs relatifs à la vie privée.

Haut de la page

Définitions

L’évaluation des facteurs relatifs à la vie privée (EFVP) est un processus global qui sert à déterminer les risques que présentent la collecte, l’utilisation ou la communication de renseignements personnels en ce qui concerne la protection de la vie privée, la confidentialité et la sécurité. En outre, elle vise à définir les mesures adoptées pour réduire et, lorsque c’est possible, éliminer les risques mis en évidence. Le processus d’EFVP garantit que l’on détermine, au début de toute initiative nouvelle en matière de programmes ou de prestation de services, les mesures requises pour protéger la vie privée et assurer la confidentialité et la sécurité des renseignements personnels. De plus, une EFVP indique au public la manière dont on protège la vie privée des particuliers et comment on s’assure que les renseignements les concernant sont gardés confidentiels et sont protégés contre l’accès non autorisé.

On entend par vie privée le droit d’être laissé tranquille, d’être libre d’interférences et d’intrusions. Pour un particulier, cela comprend le droit de déterminer quand, comment et dans quelle mesure l’information à son sujet sera communiquée à d’autres personnes. De par sa nature, la collecte de renseignements auprès des répondants correspond à une intrusion dans la vie privée.

La confidentialité consiste en une relation de confiance implicite entre la personne qui fournit des renseignements et la personne ou l’organisme qui les recueille. Cette relation se fonde sur l’assurance que ces renseignements ne sont communiqués à personne sans le consentement de l’intéressé. En vertu de la Loi sur la statistique, les renseignements qui permettent d’identifier une personne, une entreprise ou une institution ne peuvent être communiqués sans qu’elle le sache ou qu’elle y consente.

On entend par sécurité le processus qui consiste à protéger l’information en évaluant les menaces et les risques qui pèsent sur la confidentialité, l’intégrité et la disponibilité des données. Elle comporte l’application d’accords technologiques et administratifs qui visent à restreindre l’accès aux renseignements confidentiels et à empêcher leur communication non autorisée.

On entend par renseignements personnels, en vertu de la Loi sur la protection des renseignements personnels fédérale (article 3), des renseignements, quel que soit leur forme ou leur support, concernant une personne identifiable, notamment les renseignements relatifs à son âge, à sa date de naissance, à son état matrimonial, à son niveau de scolarité, à son dossier médical, à son adresse ou à tout numéro ou symbole, ou toute autre indication identificatrice qui lui est propre.

Haut de la page

EFVP générique

Étant donné que bon nombre de secteurs de programmes statistiques, y compris les programmes d’analyse, présentent des similitudes marquées en ce qui concerne la collecte, l’utilisation et la communication des renseignements personnels, Statistique Canada a élaboré une EFVP générique qui couvre explicitement les risques que ces activités ont en commun sur les plans de la confidentialité, de la vie privée et de la sécurité. Selon les besoins, on pourrait élaborer d’autres EFVP génériques.

Dans le cas de la collecte, de l’utilisation et de la communication de renseignements personnels autorisées en vertu de la Loi sur la statistique, l’EFVP générique consiste en ce qui suit :

1. une évaluation générique des 10 principes de protection de la vie privée qui régissent les enquêtes de Statistique Canada;
2. des descriptions du cheminement des données relativement à la collecte, à l’utilisation et à la communication de renseignements personnels;
3. une évaluation des menaces et des risques associés à la collecte, à l’utilisation et à la communication de renseignements personnels.

Haut de la page

EFVP particulière

Dans les cas où une EFVP générique approuvée ne tient pas compte des répercussions sur la vie privée des activités nouvelles ou considérablement remaniées en matière de collecte, d’utilisation ou de communication de renseignements personnels, on réalisera une EFVP particulière. Lorsqu’une EFVP particulière est terminée et approuvée, un résumé du rapport sera affiché sur le site Web de Statistique Canada.

Une EFVP particulière peut consister en ce qui suit :

1. une évaluation particulière des 10 principes de protection de la vie privée;
2. une description particulière du cheminement des données relativement à la collecte, à l’utilisation ou à la communication de renseignements personnels;
3. une évaluation particulière des menaces et des risques associés à la collecte, à l’utilisation ou à la communication de renseignements personnels.

Haut de la page

Rôles et responsabilités

Directeur

Le directeur du secteur de programme est responsable de l’examen de toutes les activités nouvelles ou considérablement remaniées en matière de collecte, d’utilisation et de communication de renseignements personnels, ce qui vise à déterminer si le programme ou le système proposé est conforme à une EFVP générique déjà approuvée.

Concernant chaque activité nouvelle ou considérablement remaniée en matière de collecte, d’utilisation ou de communication de renseignements personnels, le directeur du secteur de programme indique au statisticien en chef si une EFVP générique s’applique ou s’il est nécessaire de réaliser une EFVP particulière. Le formulaire comportant la recommandation du directeur du secteur de programme doit être envoyé au directeur des Services d’accès et de contrôle des données (SACD), qui le transmettra au statisticien en chef. (On trouve une copie de ce formulaire dans le document Lignes directrices à l’intention des gestionnaires concernant les évaluations des facteurs relatifs à la vie privée.)

En cas de doute concernant l’applicabilité d’une EFVP générique en ce qui concerne les préoccupations en matière de vie privée associées à une activité nouvelle ou considérablement remaniée, le directeur du secteur de programme peut opter pour la réalisation d’une évaluation préliminaire des facteurs relatifs à la vie privée. Les résultats de cette évaluation préliminaire devraient aider à déterminer si une EFVP particulière s’impose.

Pendant l’élaboration d’une EFVP particulière, le directeur du secteur de programme consulte le Groupe d’examen des EFVP et les SACD. Le rapport de l’EFVP particulière doit être soumis au Groupe d’examen des EFVP pour qu’il l’examine avant de le soumettre à l’approbation du statisticien en chef.

Une fois le rapport de l’EFVP particulière achevé, le directeur du secteur de programme fournit au directeur des SACD un résumé bilingue du rapport de l’EFVP approuvé, pour diffusion sur le site Web de Statistique Canada.

Haut de la page

Directeur de la Division des services d’accès et de contrôle des données (SACD)

• Le directeur (SACD) fournit des conseils et une aide aux secteurs de programmes concernant les exigences de la Politique d’évaluation des facteurs relatifs à la vie privée, les lignes directrices sur l’EFVP et la législation connexe.

• Il avise le Groupe d’examen des EFVP de la proposition du directeur du secteur de programme d’appliquer une EFVP générique ou de réaliser une EFVP particulière et, si nécessaire, prend les dispositions requises pour que le personnel du secteur de programme assiste à une réunion tenue par le Groupe d’examen des EFVP en vue de discuter du processus de l’EFVP.

Une fois que le statisticien en chef a approuvé la proposition du secteur de programme concernant la tenue d’une EFVP particulière

• Le directeur (SACD) s’assure qu’on informe le Commissariat à la protection de la vie privée de la décision du Bureau.

• Il facilite les relations entre le secteur de programme et le personnel du Commissariat à la protection de la vie privée. Ces relations pourront consister en la tenue de séances d’information et la présentation d’ébauches de documents pertinents, y compris de rapports.

• Il s’assure que l’on consulte le conseiller juridique du Bureau au sujet des questions sur les EFVP qui nécessitent une interprétation et des conseils juridiques.

• Il agit comme secrétaire du Groupe d’examen des EFVP, qui est un sous-comité du Comité de la confidentialité et des mesures législatives.

• Il veille à ce que les activités du Bureau en matière d’EFVP soient comprises dans le rapport annuel au Parlement de Statistique Canada portant sur l’accès à l’information et la protection des renseignements personnels.

Haut de la page

Directeur de la Division des communications et des services de bibliothèque (DCSB)

• Le directeur de la DCSB examine le résumé du rapport final de l’EFVP particulière, qui doit être diffusé sur le site Web de Statistique Canada.

Chef de la Sécurité informatique de la Division des services de technologie informatique (DSTI)

• Le chef de la Sécurité informatique aide à réaliser l’évaluation des menaces et des risques de l’EFVP particulière et fournit des conseils sur les mesures à prendre pour réduire les risques.

Haut de la page

Groupe d’examen des EFVP (sous-comité du Comité de la confidentialité et des mesures législatives)

• Le Groupe d’examen des EFVP élabore des lignes directrices et des procédures pour les EFVP génériques et particulières.

• Il offre des conseils aux directeurs de secteurs de programmes concernant la réalisation d’une EFVP.

• Il examine tous les formulaires de recommandation d’EFVP présentés par le directeur (SACD).
  
  
• Il examine tous les documents et rapports d’EFVP particulière que lui soumet le directeur du secteur de programme.
  
  
• Une fois qu’un rapport d’EFVP particulière a été examiné et qu’on a établi que l’évaluation satisfait à la Politique d’évaluation des facteurs relatifs à la vie privée, il recommande au statisticien en chef adjoint des Services de gestion de soumettre le rapport d’EFVP particulière au Comité des politiques pour qu’il y soit étudié et approuvé par le statisticien en chef.

Statisticien en chef adjoint des Services de gestion

• Sur la recommandation du Groupe d’examen des EFVP, et en tant que président du Comité de la confidentialité et des mesures législatives, le statisticien en chef adjoint des Services de gestion soumet le rapport d’EFVP particulière au Comité des politiques pour examen et approbation par le statisticien en chef.

Statisticien en chef

• Le statisticien en chef approuve toutes les recommandations portant sur la réalisation d’une EFVP particulière ou la mise en œuvre d’une EFVP générique approuvée pour chaque activité nouvelle ou considérablement remaniée en matière de collecte, d’utilisation ou de communication de renseignements personnels.

• Il approuve tous les rapports d’EFVP particulière préparés en vertu de la présente politique ainsi que leur présentation ultérieure au Commissaire fédéral à la protection de la vie privée.

Demandes de renseignements

Toutes les demandes de renseignements concernant la présente politique doivent être adressées au directeur de la Division des services d’accès et de contrôle des données.