Rôle des Évaluations des facteurs relatifs à la vie privéeDeuxième forum annuel de la gestion de l'information gouvernementaleLe 10 mars 2004 Stuart Bloomfield IntroductionOn m'a demandé de vous parler ce matin des Évaluations des facteurs relatifs à la vie privée (ÉFVP), qu'il faut désormais mener à l'égard de tous les nouveaux projets gouvernementaux supposant la collecte, l'utilisation et la communication de renseignements personnels. Au cours des quelque 20 prochaines minutes, j'aborderai quatre sujets :
Rôle du Commissariat à la protection de la vie privée du CanadaAvant d'aborder ces sujets, il serait peut-être justifié à ce stade d'aborder brièvement, pour les gens qui ne connaissent pas le Commissariat à la protection de la vie privée, qui nous sommes et ce que nous faisons. En quelques mots, la commissaire à la protection de la vie privée est un ombudsman — défendeur indépendant du droit à la protection des renseignements personnels des Canadiens et Canadiennes. Ce rôle comprend la supervision et l'application de deux lois fédérales relatives à la protection de la vie privée, soit la Loi sur la protection des renseignements personnels, qui s'applique à toutes les institutions fédérales, et la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques, qui élargit les droits des particuliers relatifs à la protection des renseignements personnels au secteur privé assujetti aux lois fédérales. Le Commissariat a pour mission de veiller à ce que la collecte et le traitement des renseignements personnels, dans les secteurs public et privé, n'empiètent pas sur les droits à la vie privée des Canadiens et Canadiennes. Cela signifie, certes, l'instruction et le traitement de plaintes, mais aussi la conduite de vérifications, des travaux de recherche sur des questions liées à la protection des renseignements personnels, la sensibilisation et l'éducation du public et la prestation de conseils au Parlement, à l'administration fédérale et au secteur privé sur des questions relatives à la protection de la vie privée. En gros, nous sommes un chien de garde chargé de suivre de près tout ce qui peut avoir une incidence sur les droits à la vie privée des Canadiens et Canadiennes, ce qui explique pourquoi, bien entendu, nous nous intéressons aux initiatives gouvernementales qui supposent la collecte, l'utilisation et la communication de renseignements personnels. Raisons justifiant la conduite d'ÉFVPPour bien comprendre les raisons pour lesquelles le gouvernement a adopté cette politique, il pourrait être utile de revenir sur ce que nous entendons par « vie privée ». On définit souvent la protection de la vie privée par « le droit de contrôler l'accès à sa personne et aux renseignements la concernant ». Autrement dit, le droit à la vie privée est le droit des gens de décider quels renseignements ils communiquent, en quelle quantité, à qui et à quelle fin. Il est donc manifeste que le degré de contrôle que quelqu'un peut exercer à l'égard des renseignements personnels le concernant dépend du contexte dans lequel l'échange a lieu. Dans un contexte commercial, par exemple, les parties décident d'elles-mêmes de faire des transactions et de définir les conditions de l'échange selon leurs intérêts respectifs. Autrement dit, la communication de renseignements personnels entre en ligne de compte dans l'échange en tant qu'élément à négocier. S'agissant du gouvernement, toutefois, la nature de la relation est fort différente. Les particuliers ont rarement « le gros bout du bâton » en ce qui concerne la collecte et l'utilisation, par le gouvernement, de leurs renseignements personnels. Lorsqu'un organisme ou un programme gouvernemental a besoin de renseignements personnels pour mener sa mission, il obtiendra les renseignements en question. Puisque que les citoyens ne sont pas en position de force dans leurs rapports avec le gouvernement, ce dernier a une relation de confiance particulière avec les citoyens — une obligation ou mandat fiduciaire de protéger les renseignements personnels qu'il détient. Par conséquent, la conduite d'ÉFVP représente une façon pour les institutions fédérales d'honorer ce mandat et, ce faisant, de gagner la confiance de leurs clients et du public en général. Quelle place les ÉFVP tiennent-elles alors dans ce contexte ? Elles fournissent aux ministères une façon de prévoir les effets d'une proposition sur la vie privée, d'évaluer le respect des dispositions législatives et des principes relatifs à la protection des renseignements personnels et de déterminer les mesures qui sont nécessaires pour éliminer ou atténuer les incidences négatives. En bref, les ÉFVP sont un outil de gestion du risque en matière de protection de la vie privée. On évalue les risques d'intrusion dans la vie privée en examinant les éléments ou aspects opérationnels particuliers d'un programme donné en fonction d'un ensemble de principes relatifs à la protection de la vie privée, principes qui sont énoncés dans les Lignes directrices sur les évaluations des facteurs relatifs à la vie privée. On voit si les principes sont respectés essentiellement en posant des questions. Par exemple, un principe fondamental de la protection de la vie privée veut que seuls les renseignements nécessaires à la conduite d'une activité donnée soient demandés aux particuliers. Voilà qui diffère assez des dispositions de la Loi sur la protection des renseignements personnels, qui prévoit seulement que les renseignements réunis doivent avoir trait à un programme ou une activité gouvernemental. Dans une évaluation, les renseignements recueillis peuvent se rapporter à un programme ou une activité gouvernemental, mais, s'ils ne sont pas nécessaires, vous venez de relever un risque relatif à la vie privée. En posant les bonnes questions — c.-à-d. si les renseignements demandés sont vraiment nécessaires, si l'usage est conforme à la fin décrite, si la conservation cadre avec l'utilisation, etc. —, l'évaluation contribue donc à la mise en oeuvre de principes équitables relatifs à la gestion de l'information. En résumé, les ÉFVP remplissent les rôles suivants :
En procédant à des ÉFVP et tenant compte des conseils que renferment celles-ci, les ministères peuvent :
L'on ne saurait sous-estimer ce qui pourrait en coûter aux ministères qui négligent de mener une ÉFVP lorsqu'ils le devraient. Il suffit de se rappeler la tristement célèbre histoire du Fichier longitudinal sur la main-d'oeuvre de DRHC, dont la destruction ultérieure, à la suite de nombreuses plaintes émanant du public, a coûté des millions de dollars au ministère. On peut penser que si DRHC avait procédé à une ÉFVP avant de constituer le fichier, il aurait évité la publicité négative et les pertes financières. Conduite de l'ÉFVPEn ce qui concerne la conduite de l'ÉFVP comme telle, le respect de la Politique suppose, à tout le moins, que le personnel du ministère visé connaisse la Politique et les conditions s'y rattachant. À cette fin, nous encourageons les ministères à faire connaître les principes de la Politique à leurs employés et à définir les rôles des différentes catégories d'employés dans le recensement, l'examen et la désignation des projets susceptibles de justifier une évaluation. Il incombe habituellement aux gestionnaires de programme ou de projet de déterminer quels projets sont susceptibles de justifier une évaluation, étant donné que ceux-ci, souvent, connaissent le mieux les éléments du programme et (ou) projet dont ils sont responsables. Il est donc extrêmement important que les gestionnaires sachent quels éléments rechercher quand ils déterminent quels projets devraient être soumis à une ÉFVP. Quand on parle des éléments à rechercher, la Politique énumère plusieurs indicateurs qui devraient signaler aux gestionnaires de projet la nécessité de mener une ÉFVP. Si, dans bien des cas, la nécessité sera évidente, dans d'autres, elle pourrait se faire plus discrète. À cet égard, nous recommandons que les ministères assujettissent le programme au questionnaire figurant dans les Lignes directrices. Les réponses aux questions souvent feront ressortir des problèmes que les indicateurs, à première vue, pourraient ne pas révéler. Au-delà de la désignation des projets et (ou) programmes susceptibles de justifier une ÉFVP, les ministères devraient instaurer des structures pour l'examen des initiatives afin de déterminer, au moyen d'une évaluation préliminaire des éléments du programme et (ou) du projet, s'il convient d'engager des ressources en vue de la conduite d'une véritable ÉFVP. Des ministères ont déjà constaté ce besoin et pris des mesures en vue de l'instauration de telles structures, en déplaçant des employés des services juridiques, du bureau d'accès à l'information et de la protection de la vie privée et des services de technologie de l'information et les chargeant d'examiner expressément les projets dans ce but. Nous croyons qu'il s'agit d'une approche sensée, dont tous les ministères devraient s'inspirer. Une fois qu'il a été décidé de mener une ÉFVP, il s'agira ensuite de déterminer si les travaux seront effectués à l'interne ou avec l'aide de consultants de l'extérieur. La décision à cet égard dépendra d'un certain nombre de facteurs — ressources financières, disponibilité d'experts à l'interne, temps, etc. La décision de procéder à l'interne ou à l'externe ne doit pas nécessairement exclure le recours à des ressources internes ou externes. Les ÉFVP sont une entreprise conjointe, certes, mais qui font appel à tout un éventail de compétences, notamment des gestionnaires de programme, des spécialistes techniques et des conseillers juridiques et conseillers en matière de protection de la vie privée. Des ministères compteront déjà de ces gens parmi leur personnel, tandis que d'autres types de compétences pourraient n'être disponibles qu'à l'externe. L'important, c'est de recruter les compétences nécessaires pour faire un bon travail, et cela pourrait, dans certains cas, nécessiter le recours à des consultants de l'extérieur. Rôle du Commissariat à la protection de la vie privéeLa Politique, bien entendu, oblige les ministères à consulter le Commissariat au sujet de tous les projets pour lesquels une ÉFVP aura été menée. Notre rôle à cet égard ne consiste pas à approuver ou rejeter les projets — mais bien à évaluer la mesure dans laquelle les ministères ont mené une bonne évaluation des incidences au plan des renseignements personnels d'un projet et de fournir des conseils, s'il y a lieu, en vue d'améliorer la procédure à l'avenir. Il en résulte un moyen concerté, impartial, de promouvoir les objectifs de la Politique. Dès la réception d'un document concernant une ÉFVP, le dossier est confié à un agent d'examen des projets. La première tâche de cet agent consiste à déterminer si le dossier contient toute la documentation permettant un bon examen du projet et si le rapport a été établi conformément aux Lignes directrices. Cet examen débouche sur la production d'un rapport d'évaluation préliminaire qui recense les lacunes et omissions, s'il y a lieu, dans les documents fournis. De quels facteurs le Commissariat tiendra-t-il compte dans l'examen d'une évaluation ? De plusieurs choses :
Si l'évaluation préliminaire de l'ÉFVP concluait qu'il manque des données ou que des risques n'ont pas été relevés ou abordés comme il se doit, le Commissariat en informera le ministère. Sauf en cas de craintes relatives à la sécurité, le ministère sera informé par courriel. Le Commissariat pourraient également tenir des réunions visant la discussion de préoccupations ou la résolution de problèmes. Notre expérience à ce jourDepuis l'entrée en vigueur de la Politique sur l'évaluation des facteurs relatifs à la vie privée, en mai 2002, le Commissariat a reçu quelque 90 ÉFVP préliminaires et finales. Omissions fréquentesÀ ce jour, le Commissariat a, pour toutes les ÉFVP finales et, certainement, toutes les ÉFVP préliminaires, dû contacter le ministère visé pour obtenir des renseignements supplémentaires. Parmi les renseignements que les ministères oublient fréquemment de nous fournir, mentionnons :
Pour ce qui est de l'omission d'un plan d'action, il arrive souvent qu'un dossier d.ÉFVP énumère une série de recommandations pour l'atténuation des risques qui ont été relevés, mais sans indiquer comment les recommandations seront mises en oeuvre. De plus, il n'y a souvent pas d'indice dans le dossier qui permettrait de savoir si le ministère a accepté les recommandations en question. Cela s'avère particulièrement vrai dans les cas où l'ÉFVP a été établie par un consultant. Faute d'un plan d'action énonçant précisément ce que le ministère a l'intention de faire pour atténuer des risques donnés, nous avons devant nous que des propositions. Il importe donc que les ministères gardent en tête que l'ÉFVP n'est pas une fin en soi, mais bien un outil visant à fournir des orientations sur les mesures à prendre pour qu'un projet tienne davantage compte des considérations relatives à la protection des renseignements personnels. Autrement dit, le plan d'action est le résultat logique et attendu d'un processus d'examen de l'ÉFVP. Quoi qu'il en soit, nous demandons aux ministères de nous dire ce qu'ils ont l'intention de faire à l'égard des recommandations découlant de l'ÉFVP. Nous encourageons donc fortement les ministères à inclure un plan d'action dans leurs ÉFVP finales, ce qui nous aidera à terminer le processus d'examen. Même si l'ÉFVP, qu'elle soit ou non menée dans les règles de l'art, devrait consister en un document « autonome », nous demandons fréquemment des documents de base pour nous aider à mener notre propre examen. Ce sont :
Ces documents ne doivent pas nécessairement figurer intégralement dans le dossier, mais devraient être disponibles sur demande. Problèmes courants associés aux analyses des facteurs relatifs à la vie privée
Risques relatifs à la protection de la vie privée propres à l'initiative GEDLa plupart des ÉFVP que nous avons reçues concernaient des initiatives ou des projets relatifs à la prestation de services électroniques aux particuliers au moyen d'Internet. Dans notre examen de ces projets, nous avons relevé un certain nombre de risques relatifs à la vie privée qui sont courants. Ces risques, et les mesures correctives s'y rapportant, sont les suivants :
ConclusionEn résumé, même s'il existe encore des écarts considérables dans la qualité des rapports reçus, la Division des évaluations des facteurs relatifs à la vie privée a constaté une amélioration générale dans la rigueur et le professionnalisme apportés à l'élaboration des ÉFVP depuis l'entrée en vigueur de la Politique. Cette amélioration dans la qualité des documents envoyés montre que les ministères connaissent et assimilent de plus en plus les exigences de la Politique. L'effet favorable le plus important que nous ayons constaté au cours des 21 derniers mois et que l'on peut attribuer à la Politique est le fait que les fonctionnaires fédéraux de tous les niveaux sont plus conscients de l'importance de la protection des renseignements personnels et de la façon dont celle-ci influe sur leurs opérations quotidiennes. De plus en plus, nous voyons la protection de la vie privée comme un élément essentiel dans la conception, la mise au point et la mise en oeuvre de programmes et de services gouvernementaux, qui font d'ailleurs l'apanage de la Politique de l'ÉFVP. Je vous remercie. |
Date de diffusion : 2004-04-01 |
Avis importants |