Plan d’action en matière de protection des renseignements personnels 2.0

Sommaire

  • À l’automne 2010, le Commissariat à la protection de la vie privée du Canada a mené une enquête à la suite d’une plainte déposée contre Anciens Combattants Canada (ACC), en vertu de la Loi sur la protection des renseignements personnels, qui a soulevé beaucoup de questions quant à la façon dont les renseignements personnels sont traités par le Ministère.
  • ACC a pris immédiatement des mesures pour régler ces questions et a préparé un plan d’action comportant 10 points afin d’atténuer les risques immédiats, en mettant en place des structures de gouvernance clés, en offrant une formation obligatoire et en élaborant des politiques clés pour le Ministère. De plus, le plan d’action a institué une surveillance proactive et des mesures raffinées pour contrôler l’accès aux systèmes d’information électronique d’ACC.
  • Même si les principaux points du plan d’action en matière de protection des renseignements personnels ont été mis en œuvre avant mars 2011, ACC reconnaît que la gestion des renseignements personnels requiert une vigilance continue et un engagement résolu à assurer le maintien d’une culture soutenue de la vie privée, qui est au cœur du travail accompli par le Ministère.
  • Afin d’atteindre cet objectif et de poursuivre sur la lancée de son plan comportant 10 points, ACC lance un plan d’action en matière de protection des renseignements personnels 2.0. Ce plan s’inspirera du succès des produits livrables qui ont été mis en œuvre dans le contexte du plan original, et visera à intégrer entièrement la protection des renseignements personnels dans le cadre de gestion global du Ministère. Cela requiert d’examiner la protection des renseignements personnels dans le contexte de cinq principaux secteurs de gestion et d’activités clés :

Formation et sensibilisation

  • Offrir une formation renouvelée en matière des principes de protection des renseignements personnels aux employés d’ACC, ainsi que de la formation ciblée pour promouvoir un dialogue sur les pratiques en matière de protection des renseignements personnels.
  • Lancer des activités de sensibilisation à l’intention des clients d’ACC et de la communauté des anciens combattants/vétérans pour promouvoir une compréhension de leurs droits et des obligations du Ministère à l’égard de la Loi sur la protection des renseignements personnels.

Gouvernance

  • Continuer à tenir régulièrement des réunions du Comité ministériel sur la protection des renseignements personnels pour se pencher et fournir des conseils sur les priorités ministérielles et les risques en matière de protection des renseignements personnels.
  • Mettre l’accent sur la préparation de lignes directrices en matière de protection des renseignements personnels pour atténuer les risques à cet égard au cours de la phase de planification.

Administration et pratiques

  • Rationaliser les formulaires de consentement et clarifier les déclarations en matière de protection des renseignements personnels afin d’augmenter la transparence à l’égard des pratiques d’ACC en matière de gestion des renseignements personnels.
  • Effectuer des examens et des évaluations de la protection des renseignements personnels relativement aux principales initiatives de transformation (Mon dossier à ACC) et à d’autres programmes et activités d’ACC.

Surveillance et évaluation

  • Surveiller et évaluer l’atteinte des objectifs en matière de protection des renseignements personnels, en ce qui concerne la conformité à la Loi sur la protection des renseignements personnels et à la gestion des renseignements personnels.
  • Prendre des mesures à l’égard des résultats et les recommandations découlant de la vérification menée par le Commissariat à la protection de la vie privée au sujet des pratiques d’ACC en matière de protection des renseignements personnels.

Établissement de rapports et détermination des priorités

  • Rendre compte régulièrement des résultats des activités de surveillance et d’évaluation à la haute direction du Ministère ainsi qu’au public au moyen du rapport annuel d’ACC sur la mise en application de la Loi sur la protection des renseignements personnels.
  • Le plan d’action en matière de protection des renseignements personnels 2.0 continuera en outre à favoriser une meilleure compréhension de la protection de la vie privée et de l’importance de protéger les renseignements personnels à tous les échelons au sein du Ministère. La phase II du plan de gestion du rendement pour la protection des renseignements personnels met en relief les résultats stratégiques, les principales priorités, ainsi que des activités continues pour chaque secteur de gestion. Il présente aussi des indicateurs de rendement pour s’assurer que des mesures quantitatives sont disponibles afin d’évaluer les résultats souhaités.
  • Le plan d’action en matière de protection des renseignements personnels 2.0 sera mis en œuvre au cours de l’exercice 2012-2013.

Le tableau suivant présente un résumé des activités prioritaires et de l’échéancier pour la mise en œuvre du plan :

Aperçu des activités prioritaires et des produits livrables pour 2012 - 2013
Activités prioritaires T1 T2 T3 T4
1) Formation et sensibilisation
Élaboration du matériel de formation en ce qui concerne les principes de protection des renseignements personnels x      
Production de présentation vidéo en matière de protection des renseignements personnels x      
Préparation d’activités de sensibilisation à l’intention des clients d’ACC et de la communauté des anciens combattants/vétérans. x x x  
Présentation de modules de formation renouvelés en même temps que la formation continue. x x x x
2) Gouvernance (Réunions mensuelles )
Tenir régulièrement des réunions du Comité ministériel sur la protection des renseignements personnels. x x x x
Fournir des conseils stratégiques en matière de protection des renseignements personnels à l’égard des priorités ministérielles et des secteurs à risque comme ceux qui ont trait à la transformation d’ACC. x x x x
3) Administration et pratiques - Examen des formulaires de consentement
Rationaliser les formulaires de consentement – clarification de l’utilisation du consentement par rapport à un avis approprié. x      
Mise en œuvre et activités de suivi   x    
3) Administration et pratiques - Examen intégrant l’optique de la protection des renseignements personnels
Compléter les révisions aux descriptions dans les fichiers de renseignements personnels. x    
Soutien et coordination des examens et des évaluations de la protection des renseignements personnels relativement aux principales initiatives de transformation (Mon dossier à ACC) et à d’autres programmes et activités d’ACC. x x x x
4) Surveillance et évaluation - Examen annuel des fichiers de renseignements personnels (FRP)
Évaluation complète de l’état actuel des FRP, y compris des ententes de partage connexes, pour déterminer les révisions qui s’imposent. x x    
Mise en œuvre des mesures de suivi requises     x x
4) Surveillance et évaluation - Examen de la protection des renseignements personnels
- Prendre des mesures à l’égard des résultats et recommandations découlant de la vérification menée par le Commissariat à la protection de la vie privée au sujet des pratiques d’ACC en matière de protection des renseignements personnels. x x  
Mettre en œuvre les mesures de suivi requises. x x
5) Établissement de rapports et détermination des priorités
Établir tous les rapports législatifs et liés aux politiques (statistiques relatives aux demandes de renseignements personnels, Info Source, FRP, rapports annuels au Parlement). x x
Renforcer et assurer la production régulière de rapports au Comité ministériel sur la protection des renseignements personnels et au Comité de la haute direction, relativement au tableau de bord pour la gestion des renseignements personnels. (Rapports mensuels) x x x x

Renseignements généraux

  • L’enquête menée par le Commissariat à la protection de la vie privée concernant une plainte déposée contre Anciens Combattants (ACC) en vertu de la Loi sur la protection des renseignements personnels a soulevé des préoccupations concernant la gestion des renseignements personnels à ACC. Elle a de plus établi la nécessité de resserrer les mécanismes de contrôle des renseignements personnels.
  • En réponse aux préoccupations soulevées quant à la protection des renseignements personnels, ACC a élaboré et mis en œuvre un plan d’action connexe en 10 points de manière à écarter les risques immédiats ainsi qu’à établir des politiques et des structures de gouvernance clés au sein du Ministère. Le Plan d’action en matière de protection des renseignements personnels du Ministère comprend ce qui suit :
    • Établissement d’un mécanisme de surveillance proactive de ses systèmes d’information électroniques;
    • Recours aux services d’un expert de la protection des renseignements personnels et d’un expert technique qui contribueront à préciser les contrôles d’accès au Réseau de prestation des services à la clientèle (RPSC). .
    • Examen de 2 800 comptes d’utilisateurs ayant permis de préciser la matrice des droits d’accès au RPSC de façon à réduire le nombre d’utilisateurs;
    • Prestation d’une formation obligatoire sur les nouvelles procédures et politiques liées au traitement des renseignements personnels;
    • Exécution d’une évaluation indépendante;
    • Coopération avec le commissaire à la protection de la vie privée par rapport à leur évaluation. Continuer les travaux pour veiller à ce qu’ACC y soit bien préparé.
  • Des progrès notables ont été réalisés depuis la publication du Plan d’action en matière de protection des renseignements personnels en 2011 (voir l’annexe A), mais le Ministère s’est concentré sur le renforcement continu des initiatives existantes et l’étude de moyens d’améliorer son cadre de gestion des renseignements personnels. Les travaux menés se sont conclus par la diffusion et la mise en œuvre du Plan d’action en matière de protection des renseignements personnels 2.0.

Contexte actuel

  • Le Plan d’action en matière de protection des renseignements personnels en 10 points de 2010 est incorporé dans le nouveau Plan d’action en matière de protection des renseignements personnels 2.0, qui le remplace d’ailleurs. Ce dernier repose sur les réalisations accomplies à ce jour et vise à développer davantage les cinq (5) secteurs clés ci-dessous dans le cadre de la stratégie globale et continue du Ministère en matière de gestion des renseignements personnels :
    1. Formation et sensibilisation : Accroître les activités de formation et de sensibilisation ciblées qui favorisent le dialogue sur les pratiques relatives à la protection de la vie privée.
    2. Gouvernance : Renforcer la gouvernance et la planification stratégique en matière de gestion des renseignements personnels.
    3. Administration et pratiques : Continuer à améliorer de saines pratiques relativement à la protection des renseignements personnels tout assurant l’exécution des tâches essentielles liées au respect de la Loi sur la protection des renseignements personnels ainsi qu’aux politiques et aux directives du Secrétariat du Conseil du Trésor.
    4. Surveillance et évaluation : Assurer une surveillance active et évaluer si les résultats souhaités sont atteints en ce qui touche le respect de la Loi sur la protection des renseignements personnels et l’amélioration de la gestion des renseignements personnels
    5. Établissement de rapports et détermination des priorités : Veiller à ce que les résultats de la surveillance et de l’évaluation soient intégrés dans les structures hiérarchiques habituelles au sein de la structure générale de gouvernance du Ministère
  • Le Plan d’action en matière de protection des renseignements personnels 2.0 permet de continuer à mieux comprendre la question des renseignements personnels et la nécessité d’en assurer la protection à l’échelle ministérielle. Il cherche également à tenir compte de tous les aspects de l’administration de la Loi sur la protection des renseignements personnels dans l’approche de gestion adoptée.

Annexe A

Plan d'action en matière de la protection de la vie privée en 10 points
Point Action d'état
1) Examiner en détails l'accès aux systèmes
Un examen détaillé d'environ 2 800 comptes d'utilisateurs du Réseau de prestation des services à la clientèle (RPSC).
complété mars 2011
2) Communiquer la politique en matière de discipline
Une politique et des lignes directrices renforcées en matière de discipline ont été établies et communiquées au personnel.
complété octobre 2010
3) Introduire une étape de protection de la vie privée dans la démarche de rédaction des notes d'information
Les nouvelles procédures concernant l'utilisation appropriée des renseignements des clients aux fins de la préparation de notes d'information et d'autres documents utilisés au Ministère.
complété octobre 2010
4) Nommer un expert en systèmes externe
Des experts externes en systèmes informatiques de gestion de l'information ont examiné les systèmes du Ministère et formulé des recommandations sur les changements à y apporter.

NOTE : Le Ministère a déjà complété la majorité des mesures pour répondre aux recommandations.
complété novembre 2010
5) Nommer un expert externe en protection de la vie privée
Des experts en matière de gestion de l’information et de protection des renseignements personnels ont examiné les processus ministériels et y ont recommandé des modifications afin de s’assurer que les renseignements sont protégés et leur accès contrôlé.
complété janvier 2011
6) Améliorer la surveillance des systèmes électroniques
Une équipe surveille et examine de manière proactive qui a accès à l'information et enquête pour s’assurer de la protection des renseignements personnels des clients. Dans l'éventualité d'un accès inapproprié, des mesures disciplinaires seront prises.
complété (l’activité continue)
7) Fournir une formation obligatoire en matière de protection des renseignements personnels
Un programme de formation obligatoire a été instauré en octobre 2010. On y aborde le principe de « l’accès sélectif (besoin de savoir) », la nécessité d'obtenir le consentement du client lorsqu'on échange des renseignements et la gamme des mesures disciplinaire qui seront prises en cas d'atteinte à la vie privée.

NOTE : L'Hôpital Sainte-Anne, hôpital agréé, a ses propres programmes en matière de protection de la vie privée et de confidentialité des renseignements sur les clients (environ 1200 employés travaillent à l’Hôpital St-Anne).
complété novembre 2010
8) Fournir une formation approfondie sur les politiques et procédures du gouvernement en matière de protection de la vie privée
Une formation approfondie sur les nouvelles politiques, lignes directrices et procédures a été entreprise en janvier 2011.
complété juillet 2011
9) Effectuer une évaluation indépendante annuelle
La première évaluation indépendante de la conformité par ACC à la Loi sur la protection des renseignements personnels et à la Loi sur l'accès à l'information a été complétée par Services de vérification Canada en août 2011.
complété août 2011
10) Se préparer pour l'évaluation de la commissaire à la protection de la vie privée
Le Commissariat à la protection de la vie privée mène une vérification sur la protection des renseignements personnels au sein du Ministère.
complété avril 2012 (l’activité continue)
Date de modification :