Directive sur les évaluations des facteurs relatifs à la vie privée

[ Version RTF (RTF, 294.49 Ko) | Version PDF (PDF, 41.5 Ko) ]

1. Directive sur les évaluations des facteurs relatifs à la vie privée

1.1 La présente directive entre en vigueur le 6 mars 2012.

2. Application

2.1 La présente directive s'applique à toutes les divisions qui gèrent des programmes statistiques et non statistiques comprenant la collecte, l'utilisation ou la divulgation de renseignements personnels.

3. Contexte juridique

3.1 La Loi sur la protection des renseignements personnels a pour objectif d'assurer la protection des renseignements personnels relevant des institutions fédérales et le droit d'accès des individus aux renseignements personnels qui les concernent.

L'évaluation des facteurs relatifs à la vie privée (EFVP), qui vient appuyer la Loi sur la protection des renseignements personnels, est un processus d'évaluation qui permet aux personnes responsables de la collecte, de l'utilisation ou de la divulgation de renseignements personnels d'évaluer les risques au chapitre de la protection de la vie privée, de la confidentialité ou de la sécurité associés à ces activités et d'élaborer des mesures visant à réduire ou à éliminer les risques déterminés.

La Directive sur l'évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor (SCT) du Canada décrit les étapes requises pour la réalisation des EFVP.

4. Définitions

4.1 Les définitions à utiliser pour l'interprétation de la présente directive figurent à l'annexe A.

5. Énoncé de la directive

5.1 Objectif

5.1.1 Statistique Canada mettra au point et appliquera une EFVP générique pour évaluer les risques relatifs à la protection de la vie privée liés à un programme statistique courant.

5.1.2 Statistique Canada réalisera une évaluation des facteurs relatifs à la vie privée particulière pour toutes les activités de collecte, d'utilisation ou de divulgation de renseignements personnels, nouvelles ou substantiellement remaniées, posant des risques au chapitre de la protection de la vie privée, de la confidentialité ou de la sécurité des données, pour le cas où une EFVP générique ou déjà existante ne tiendrait pas compte de façon appropriée des risques.

5.2 Résultats attendus

5.2.1 Une EFVP générique fournit un mécanisme efficace pour donner suite aux risques courants liés aux programmes statistiques.

5.2.2 En réalisant une évaluation des facteurs relatifs à la vie privée, pour toutes les activités de collecte, d'utilisation ou de divulgation de renseignements personnels, nouvelles ou substantiellement remaniées, posant des risques au chapitre de la protection de la vie privée, de la confidentialité ou de la sécurité des données, Statistique Canada fait preuve de diligence dans la protection des renseignements personnels et se conforme à la directive du SCT.

5.2.3 Dans les cas où des activités de collecte, d'utilisation ou de divulgation de renseignements personnels substantiellement similaires ont lieu dans le cadre de programmes statistiques, l'évaluation générique des facteurs relatifs à la vie privée de Statistique Canada s'appliquera, afin d'assurer la conformité à la directive du SCT.

6. Exigences

Directeur, Division de la gestion de l'information (DGI)

Le directeur, Division de la gestion de l'information (DGI), détient les pouvoirs délégués pour assurer la conformité à la Directive sur l'évaluation des facteurs relatifs à la vie privée du Conseil du Trésor. Il est chargé de s'assurer que les spécialistes de la protection de la vie privée de la Division :

6.1.1 Fournissent des conseils et de l'aide aux secteurs de programme concernant les exigences de la Directive sur l'EFVP du SCT, les lignes directrices sur l'EFVP et les dispositions législatives connexes.

6.1.2 Fournissent une copie des EFVP au SCT ou au Commissariat à la protection de la vie privée (CPVP) du Canada, par suite de leur approbation par le statisticien en chef.

6.1.3 Affichent dans le site Web de Statistique Canada un sommaire de chaque EFVP approuvée.

6.1.4 Aident les autres divisions à passer en revue et à mettre à jour les EFVP qui ont été réalisées précédemment, au besoin.

6.1.5 Élaborent des fichiers de renseignements personnels (FRP), les enregistrent auprès du Secrétariat du Conseil du Trésor et les incluent dans le chapitre d'Info Source concernant Statistique Canada si l'EFPV concerne des renseignements personnels qui ne sont pas liés à un FRP courant.

6.2 Cadres supérieurs (directeurs et niveaux plus élevés)

En dirigeant les gestionnaires d'une division, le directeur doit :

6.2.1 Passer en revue toutes les activités de collecte, d'utilisation et de divulgation de renseignements personnels, nouvelles ou substantiellement remaniées, afin de déterminer si le programme ou le système proposé est conforme à une EFVP générique ou existante;

6.2.2 Élaborer, à une étape précoce du processus de planification, une évaluation des facteurs relatifs à la vie privée particulière, avec le soutien des spécialistes de la protection de la vie privée de la Division de la gestion de l'information, dans les cas où une EFVP générique ne tient pas compte de tous les risques au chapitre de la protection de la vie privée, de la confidentialité et de la sécurité;

6.2.3 Informer les agents de la protection de la vie privée de la Division de la gestion de l'information de tout nouveau programme ou activité (ou du remaniement substantiel d'un programme ou d'une activité existante), dans le cadre duquel des renseignements personnels sont recueillis ou utilisés. Ils seront ainsi avisés de la nécessité possible d'une nouvelle EFVP ou d'un nouveau FRP (fichier de renseignements personnels), ou d'une mise à jour de l'un des deux.

Nota : Les détails opérationnels liés aux évaluations des facteurs relatifs à la vie privée sont fournis à l'annexe B.

6.3 Directeur général, Direction de l'informatique

Le directeur général, Direction de l'informatique, est responsable de s'assurer que les employés :

6.3.1. Aident à la tenue d'une évaluation de la menace et des risques pour les TI d'une EFVP particulière, au besoin, et fournissent des conseils sur les mesures d'atténuation liées à la sécurité des TI.

6.4 Statisticiens en chef adjoints

En tant que conseillers du statisticien en chef, les statisticiens en chef adjoints :

6.4.1 Recommandent l'approbation, par le statisticien en chef, des évaluations des facteurs relatifs à la vie privée particulières réalisées dans leurs secteurs respectifs.

6.5 Statisticien en chef

Le statisticien en chef :

6.5.1 Approuve l'évaluation générique des facteurs relatifs à la vie privée de Statistique Canada, y compris les modifications qui y sont apportées, et toutes les évaluations des facteurs relatifs à la vie privée particulières réalisées à Statistique Canada.

6.6 Dirigeant principal de la vérification

En tant qu'agent responsable des fonctions de vérification interne à Statistique Canada, le dirigeant principal de la vérification :

6.6.1 S'assure, périodiquement et de façon continue, de la conformité à la présente directive au moyen de vérifications de la conformité axées sur les risques.

7. Conséquences

7.1 Les conséquences du non-respect de la présente directive peuvent comprendre des suivis informels et des demandes officieuses de la part du directeur de la Division de la gestion de l'information, ainsi que des vérifications internes ou des instructions officielles de la part des cadres supérieurs de Statistique Canada concernant les correctifs à apporter.

7.2 Les conséquences du non-respect de la Directive sur l'évaluation des facteurs relatifs à la vie privée du SCT se refléteront dans l'évaluation de Statistique Canada par le SCT, en vertu du programme du Cadre de responsabilisation de gestion.

8. Références

8.1 Lois et règlements pertinents pour la présente directive :

Loi sur la statistique

Loi sur la protection des renseignements personnels

8.2 Instruments stratégiques et publications connexes :

Politique sur la sécurité du gouvernement (Secrétariat du Conseil du Trésor)

Politique sur la protection de la vie privée (Secrétariat du Conseil du Trésor)

Directive sur les pratiques relatives à la protection de la vie privée (Secrétariat du Conseil du Trésor)

Directive sur l'évaluation des facteurs relatifs à la vie privée (Secrétariat du Conseil du Trésor)

Directive sur les demandes de renseignements personnels et de correction (Secrétariat du Conseil du Trésor)

Directive sur le numéro d'assurance sociale (Secrétariat du Conseil du Trésor)

Directive sur les rôles et responsabilités en matière de gestion de l'information (Secrétariat du Conseil du Trésor)

Politique sur la protection des renseignements personnels et la confidentialité (Statistique Canada)

Directive sur l'accès à l'information et la protection des renseignements personnels (Statistique Canada)

Évaluation générique des facteurs relatifs à la vie privée pour les enquêtes de Statistique Canada (Statistique Canada)

9. Demandes de renseignements

Les demandes de renseignements portant directement sur la présente directive doivent être soumises au directeur, Division de la gestion de l'information.


Annexe A – Définitions

Évaluation des facteurs relatifs à la vie privée (EFVP) – Processus global qui sert à déterminer les risques que présentent la collecte, l'utilisation ou la divulgation de renseignements personnels au chapitre de la protection de la vie privée, de la confidentialité et de la sécurité. En outre, elle vise à définir les mesures adoptées pour réduire et, si possible, éliminer les risques déterminés. Le processus d'EFVP garantit que l'on détermine, au début de toute initiative nouvelle en matière de programmes ou de prestation de services, les mesures requises pour protéger la vie privée et assurer la confidentialité et la sécurité des renseignements personnels. De plus, une EFVP permet de montrer au public la manière dont on protège la vie privée des particuliers et la manière dont on veille à ce que les renseignements les concernant sont gardés confidentiels et sont protégés contre l'accès non autorisé.

Protection de la vie privée – Droit de se retirer et de ne pas être sujet à une quelconque forme de surveillance et d'intrusion. Lorsqu'ils choisissent d'« envahir » la vie privée d'une personne, les gouvernements ont des obligations relativement à la collecte, à l'utilisation, à la divulgation et à la conservation des renseignements personnels. Le terme protection de la vie privée a trait généralement à des renseignements concernant des particuliers.

Confidentialité – Protection contre la divulgation de renseignements personnels identifiables concernant une personne, une entreprise ou une organisation. La confidentialité suppose une relation de « confiance » entre le fournisseur des renseignements et l'organisation qui les recueille; cette relation s'appuie sur l'assurance que ces renseignements ne seront pas divulgués sans l'autorisation de la personne ou sans l'autorité législative appropriée.

Sécurité – Dispositions fondées sur l'évaluation de la menace et des risques qu'utilisent les organisations pour empêcher l'obtention ou la divulgation inappropriée de renseignements confidentiels. Les mesures de sécurité protègent aussi l'intégrité, la disponibilité et la valeur des fonds de renseignements. La sécurité englobe les protections matérielles, comme l'accès restreint aux zones où les renseignements sont entreposés et utilisés et les autorisations de sécurité des employés, ainsi que les protections technologiques utilisées pour empêcher l'accès électronique non autorisé.

Renseignements personnels – En vertu de la Loi sur la protection des renseignements personnels fédérale (article 3), renseignements, quel que soit leur forme ou leur support, concernant une personne identifiable, notamment les renseignements relatifs à son âge, à sa date de naissance, à son état matrimonial, à son niveau de scolarité, à son dossier médical, à son adresse ou à tout numéro, symbole ou particularité qui lui est propre.

Fichier de renseignements personnels – Description de renseignements personnels classés et marqués de façon à pouvoir être retrouvés par référence au nom d'un particulier ou à un numéro, symbole et autre particularité qui lui est propre. Les renseignements personnels décrits dans le fichier de renseignements personnels sont sous la garde d'une institution gouvernementale.

Annexe B – Procédures à suivre pour une évaluation des facteurs relatifs à la vie privée

Une évaluation des facteurs relatifs à la vie privée (EFVP) est un processus d'évaluation qui permet aux responsables de la collecte, de l'utilisation et de la divulgation de renseignements personnels d'évaluer les risques au chapitre de la protection de la vie privée, de la confidentialité et de la sécurité qui pourraient se poser et d'élaborer des mesures d'atténuation visant à éliminer ou à réduire les risques déterminés.

La Directive sur l'évaluation des facteurs relatifs à la vie privée (EFVP) du Conseil du Trésor exige que tous les ministères fédéraux qui entreprennent de mettre au point des programmes nouveaux ou substantiellement remaniés pour la collecte, l'utilisation ou la divulgation de renseignements personnels procèdent à une évaluation des facteurs relatifs à la vie privée pour cette activité.

En raison de la similarité des procédures d'une enquête à l'autre, l'Évaluation générique des facteurs à la vie privée pour les enquêtes de Statistique Canada englobe la majeure partie des enquêtes de Statistique Canada auprès des ménages et des entreprises, ainsi que la réception et l'utilisation de données administratives à des fins statistiques. L'EFVP générique décrit en détail comment Statistique Canada applique les dix principes de la protection de la vie privée et comprend une évaluation de la menace et des risques qui est axée sur les principales méthodes de collecte de données de l'agence.

Toutefois, dans le cas des enquêtes pour lesquelles on ne peut procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) générique en raison de risques relatifs à la vie privée accrus ou particuliers au chapitre de la protection de la vie privée, une EFVP spécifique doit être préparée. Celle-ci ne doit porter que sur les risques non compris dans l'EFVP générique.

Aux termes de la directive du Conseil du Trésor sur l'EFVP, la collecte, l'utilisation et la divulgation de renseignements personnels dans le contexte de programmes et de services administratifs nouveaux ou ayant fait l'objet de modifications, par exemple, en matière de ressources humaines et de commercialisation, peuvent nécessiter une évaluation des facteurs relatifs à la vie privée.

Les procédures qui suivent doivent être appliquées par les gestionnaires de programmes statistiques et non statistiques.

Étape 1. Détermination de la nécessité d'une évaluation des facteurs relatifs à la vie privée

Un secteur de programme peut communiquer avec un spécialiste de la protection de la vie privée de la Division de la gestion de l'information pour discuter du programme, des services ou de l'enquête. Si on juge que l'Évaluation générique des facteurs relatifs à la vie privée pour les enquêtes de Statistique Canada tient compte de tous les risques connus au chapitre de la protection de la vie privée, aucune autre mesure n'est requise. Il se peut aussi qu'une EFVP particulière existante tienne compte de tous les risques connus.

Étape 2. Quand une évaluation des facteurs relatifs à la vie privée est nécessaire

À partir du modèle d'évaluation des facteurs relatifs à la vie privée de base du Conseil du Trésor, le gestionnaire de programme doit élaborer une première ébauche d'EFVP. Cette ébauche sera passée en revue par un spécialiste de la protection de la vie privée de la Division de la gestion de l'information. Il y aura probablement plusieurs échanges au cours de la période d'élaboration de l'EFVP.

Étape 3. Quand une évaluation des facteurs relatifs à la vie privée est terminée

En vertu de la directive du Conseil du Trésor, le responsable d'une institution fédérale doit approuver l'EFVP finale. Par conséquent, les divisions sont chargées de rédiger la note de service de leur statisticien en chef adjoint au statisticien en chef demandant l'approbation de l'EFVP.

Selon la nature du programme visé par l'EFVP, le statisticien en chef peut donner lui-même son approbation ou décider qu'un examen et une approbation par le Comité des politiques sont requis.

Étape 4. Quand une évaluation des facteurs relatifs à la vie privée est approuvée

La Division de la gestion de l'information prendra les dispositions suivantes :

  • envoi des copies de l'EFVP approuvée au Conseil du Trésor et au Commissariat à la protection de la vie privée du Canada;
  • préparation d'un sommaire de l'EFVP et affichage dans le site Web de Statistique Canada.
Date de modification :