Directive relative aux politiques de protection des renseignements personnels sur les sites Web du gouvernement du Canada

Toute institution assujettie à la Loi sur la protection des renseignements personnels doit faire en sorte que chaque fois que des renseignements personnels sont recueillis, ce soit en conformité des exigences de ladite Loi. Ces exigences s'appliquent autant aux renseignements saisis par des moyens électroniques qu'aux renseignements recueillis sur des supports papier. Lorsque des renseignements personnels sont saisis par des moyens électroniques, la personne concernée doit être adéquatement informée de ses droits, au même titre que si les données étaient saisies par des moyens traditionnels.

L'une des différences entre les communications électroniques et les communications sur support papier est que dans le cas des premières, il ne sera peut-être pas évident aux yeux de l'intéressé(e) que des renseignements personnels le(la) concernant sont en train d'être saisis au cours d'une interaction. C'est pourquoi chaque site Web doit inclure une politique de protection des renseignements personnels, même si aucun renseignement personnel n'est saisi par l'entremise de ce site.

La politique de protection des renseignements personnels sur les sites Web de chaque institution devrait être élaborée conjointement par les secteurs chargés de la technologie de l'information, de la sécurité informatique, de la protection de la vie privée et des renseignements personnels, des communications et de la gestion de l'information.

Emplacement

Un lien donnant accès à la politique de protection des renseignements personnels devrait être affiché clairement sur chaque page d'accueil et sur la carte de chaque site, de même que sur chaque page où des renseignements personnels sont demandés ou sur chaque page offrant un lien pour transmettre des messages à l'institution. Tout écart par rapport à la politique de protection des renseignements personnels sur les sites Web de l'institution doit être souligné, le cas échéant, et il faut obtenir le consentement éclairé et sans équivoque de l'intéressé(e) pour utiliser les renseignements personnels à des fins autres que celles qui sont indiquées dans la politique. De plus, chaque site où des renseignements personnels sont demandés doit comporter une déclaration complète précisant comment ces renseignements personnels seront utilisés, quelles sections du formulaire à remplir sont facultatives ou obligatoires, pendant combien de temps et à quel endroit (dans quel fichier de renseignements personnels) les renseignements seront conservés et comment les intéressé(e)s peuvent avoir accès aux renseignements personnels les concernant.

Description du contenu

La politique de protection des renseignements personnels sur les sites Web de chaque institution doit comporter les éléments suivants :

- le nom de l'organisme et comment on peut communiquer avec lui, et notamment le nom ou le titre d'une personne-ressource qui peut répondre à toute préoccupation au sujet de la protection des renseignements personnels sur le site Web (il s'agit habituellement du coordonnateur de la protection des renseignements personnels);

- une description claire de tout renseignement personnel qui est saisi automatiquement, une déclaration précisant que cette information est protégée en vertu de la Loi sur la protection des renseignements personnels, les fins auxquelles servira l'information, qui y aura accès, pendant combien de temps et à quel endroit elle sera conservée et comment les intéressé(e)s peuvent avoir accès et demander des corrections aux renseignements personnels les concernant;

- une déclaration expliquant que si l'utilisateur choisit de fournir des renseignements personnels par courriel ou par d'autres moyens, ces renseignements seront protégés en vertu de la Loi sur la protection des renseignements personnels et qu'ils ne serviront qu'aux fins expresses pour lesquelles ils ont été fournis (par exemple pour répondre à une demande précise) ou si la loi l'exige, combien de temps et à quel endroit ils seront conservés et comment y avoir accès et demander des corrections;

- une déclaration stipulant que des renseignements non identifiables ou des données statistiques peuvent être saisis à des fins de vérification, pour maximiser l'efficacité, ou pour toute autre fin précisée, le cas échéant; 

- une explication de toutes les utilisations qui pourront être faites des renseignements à des fins de sécurité, par exemple pour déceler des tentatives d'intrusion, pour repérer la source d'un virus informatique ou pour contrôler l'accès au système; 

- une déclaration indiquant, s'il y a lieu, que des « témoins » [« cookies »] ou toute autre donnée seront placés sur l'ordinateur de l'utilisateur, et de quelle façon ils seront utilisés;

- une description de toute technologie permettant de renforcer la protection des renseignements personnels qui est utilisée ou accessible (p. ex. l'Infrastructure à clé publique (ICP) ou « SSL – Secure Socket Layer »);

- une déclaration précisant que tout particulier insatisfait de la réponse qu'il a reçue de l'institution au sujet de ses préoccupations concernant la protection des renseignements personnels sur le site Web peut communiquer avec le Commissariat à la protection de la vie privée.

La politique de protection des renseignements personnels sur les sites Web de l'institution devrait comporter une déclaration au sujet des liens donnant accès à d'autres sites qui ne sont pas visés par ladite politique ou par toute politique institutionnelle portant expressément sur la saisie en direct de renseignements auprès d'enfants. Les institutions doivent rappeler aux utilisateurs que sauf indication contraire, ni les systèmes électroniques ni le courriel ne constituent des méthodes sécuritaires de transmission des renseignements et qu'il n'est pas recommandé de transmettre par des moyens électroniques des renseignements personnels de nature délicate. Dans certains cas, les institutions peuvent avoir recours à un fournisseur de services de l'extérieur qui fera office de webmestre, et offrir un lien permettant de lui envoyer des messages. Dans ces circonstances, le marché du fournisseur de services de l'extérieur devrait exiger qu'il traite les renseignements personnels comme si ceux-ci étaient assujettis à la Loi sur la protection des renseignements personnels. De plus, l'institution doit expliquer clairement aux utilisateurs qu'ils envoient de l'information à l'extérieur de l'institution.

La politique doit donner suffisamment de détails pour que les utilisateurs comprennent quels renseignements seront saisis et à quel moment, et qu'ils puissent prendre la décision éclairée de demeurer ou non sur le site.

Vous pouvez adresser vos questions au sujet de ces lignes directrices au coordonnateur de la protection des renseignements personnels de votre institution, qui pourra les acheminer à l'agent de portefeuille de votre institution à la Division de l'information et de la politique de sécurité du Secteur des opérations gouvernementales du Secrétariat du Conseil du Trésor.

Exemple A (Cet exemple s'adresse à une institution idéale qui ne saisit pas automatiquement de renseignements personnels; qui n'utilise pas de « témoins » ou un webmestre extérieur; qui utilise un logiciel de surveillance de sécurité et qui participe à l'ICP.)

Le gouvernement du Canada et le ministère X sont déterminés à offrir des sites Web qui respectent la vie privée des visiteurs. Cette page résume la politique et les pratiques du ministère X en ce qui concerne la protection des renseignements personnels sur ses sites Web.

- Les sites Web du ministère X ne saisissent pas automatiquement de renseignements personnels vous concernant expressément comme votre nom, votre numéro de téléphone ou votre adresse électronique.

Nous aurons accès à ce genre de renseignements uniquement si vous nous les fournissez en nous envoyant un message par courriel ou en les inscrivant dans une section protégée du site.

- Tous les renseignements personnels créés, conservés ou saisis par le ministère sont protégés en vertu de la Loi sur la protection des renseignements personnels du gouvernement fédéral. Cela signifie qu'à

chaque point de saisie, on vous demandera votre consentement avant de recueillir des renseignements vous concernant et on vous informera des fins pour lesquelles ces renseignements sont saisis et de la façon dont vous pouvez exercer votre droit d'accès à ces renseignements.

- Le ministère X utilise un logiciel qui surveille la transmission des données sur le réseau pour déceler toute tentative non autorisée de télécharger ou de modifier des renseignements, ou de causer d'autres dommages. Ce logiciel reçoit et inscrit le protocole Internet (PI) de l'ordinateur qui est entré en communication avec notre site Web, la date et l'heure de la visite et les pages consultées. Nous n'essayons pas d'établir de liens entre ces PI et l'identité des personnes qui visitent notre site, à moins que nous n'ayons décelé une manœuvre visant à endommager le site.

- Le ministère X n'utilise normalement pas de « témoins » [« cookies »] pour déterminer comment ses visiteurs utilisent ce site ou les sites qu'ils ont visités précédemment. Avant d'utiliser un « témoin », nous vous en informerons afin que vous ayez la possibilité de le refuser. (Un « témoin » est un fichier qui peut être placé à votre insu sur votre unité de disque dur et qui sert à surveiller les visites que vous faites à un site.)

- L'information relative à chaque visiteur est utilisée par le personnel du ministère X qui en a besoin pour répondre à vos demandes ou assurer la sécurité du système. C'est uniquement si votre demande concerne un autre ministère que nous transmettrons à celui-ci l'information que vous nous fournissez. Nous n'utilisons pas cette information pour créer des profils individuels, et nous ne la divulguons à personne à l'extérieur du gouvernement fédéral.

- Le ministère X participe au projet d'Infrastructure à clé publique (ICP) du gouvernement du Canada, qui vous permet de communiquer avec lui sous le sceau de la confidentialité. Vous trouverez d'autres renseignements sur l'ICP et sur la façon de l'utiliser ici.

Si vous avez des questions ou des commentaires au sujet de cette politique ou de la façon dont le ministère X applique la Loi sur la protection des renseignements personnels, n'hésitez pas à vous adresser au coordonnateur de la protection des renseignements personnels par courriel à (lien), par téléphone au (XXX) XXX-XXXX ou par écrit à XXXX. Si notre réponse à vos préoccupations au sujet de la protection des renseignements personnels ne vous satisfait pas, vous pouvez communiquer avec le Commissariat à la protection de la vie privée (lien).

Exemple B: (Cet exemple s'adresse à une institution qui ne saisit pas automatiquement de renseignements personnels; qui utilise des « témoins » à certains endroits; qui utilise un webmestre extérieur; qui utilise un logiciel de surveillance de sécurité; et qui ne participe pas à l'ICP).

Le gouvernement du Canada et le ministère Y sont déterminés à offrir des sites Web qui respectent la vie privée des visiteurs. Cette page résume la politique et les pratiques du ministère Y en ce qui concerne la protection des renseignements personnels sur ses sites Web.

- Les sites Web du ministère Y ne saisissent pas automatiquement de renseignements personnels vous concernant expressément comme votre nom, votre numéro de téléphone ou votre adresse électronique.

Nous aurons accès à ce genre de renseignements uniquement si vous nous les fournissez en nous envoyant un message par courriel ou en les inscrivant dans une section protégée du site.

- Tous les renseignements personnels conservés ou saisis par le Ministère sont protégés en vertu de la Loi sur la protection des renseignements personnels. Cela signifie qu'à chaque point de saisie, on vous demandera votre consentement avant de recueillir des renseignements vous concernant et on vous informera des fins pour lesquelles ces renseignements sont saisis et de la façon dont vous pouvez exercer votre droit d'accès à ces renseignements.

- Le ministère Y utilise un logiciel qui surveille la transmission des données sur le réseau pour déceler toute tentative non autorisée de télécharger ou de modifier des renseignements ou de causer d'autres dommages. Ce logiciel reçoit et inscrit le protocole Internet (PI) de l'ordinateur qui est entré en communication avec notre site Web, la date et l'heure de la visite et les pages consultées. Nous n'essayons pas d'établir de liens entre ces adresses et l'identité des personnes qui visitent notre site, à moins que nous n'ayons décelé une manœuvre visant à endommager le site.

- Le ministère Y utilise à l'occasion des « témoins » afin de déterminer comment les visiteurs utilisent ce site ou les sites qu'ils ont consultés précédemment. Les « témoins » que nous utilisons ne nous permettent pas d'identifier des personnes. Ils servent à compiler des statistiques sur les habitudes de transmission des données et à évaluer l'efficacité du site. Avant d'utiliser un « témoin », nous vous en informerons afin que vous ayez la possibilité de le refuser; un tel refus n'aura aucun effet sur le rendement du site et aucune limite ne sera imposée à votre capacité de consulter des renseignements sur le site. (Un « témoin » est un fichier qui peut être placé à votre insu sur votre unité de disque dur et qui sert à surveiller les visites que vous faites à un site.)

- L'information relative à chaque visiteur est utilisée par le personnel du ministère Y qui en a besoin pour répondre à vos demandes ou assurer la sécurité du système. C'est uniquement si votre demande concerne un autre ministère que nous transmettrons à celui-ci l'information que vous nous fournissez. Nous n'utilisons pas cette information pour créer des profils pouvant être identifiés individuellement et nous ne la divulguons à personne de l'extérieur du gouvernement fédéral.

- Si vous transmettez un message au webmestre de ce site, ce message sera envoyé à Webmasters-R-Us, un organisme qui ne fait pas partie du gouvernement fédéral. Les renseignements relatifs au fonctionnement du site sont envoyés au webmestre afin que celui-ci puisse proposer des ajustements propres à optimiser l'efficacité du site. Le contrat qui lie Webmasters-R-Us au ministère Y stipule que cet organisme doit traiter tous les renseignements personnels qu'il reçoit concernant ce site Web en conformité avec les dispositions de la Loi sur la protection des renseignements personnels. Vous pouvez transmettre au coordonnateur de la protection des renseignements personnels du ministère Y, dont vous trouverez les coordonnées ci-dessous, toute question, préoccupation ou commentaire concernant la façon dont Webmasters-R-Us traite les renseignements personnels contenus dans ce site.

Si vous avez des questions ou des commentaires au sujet de cette politique ou de la façon dont le ministère Y applique la Loi sur la protection des renseignements personnels, n'hésitez pas à vous adresser au coordonnateur de la protection des renseignements personnels par courriel à (lien), par téléphone au (XXX) XXX-XXXX ou par écrit à XXXX. Si notre réponse à vos préoccupations au sujet de la protection des renseignements personnels ne vous satisfait pas, vous pouvez communiquer avec le Commissariat à la protection de la vie privée (lien).

Avis importants