Politique de Santé Canada proposée pour la protection des renseignements personnels

Introduction et contexte

Santé Canada propose l'adoption d'une politique ministérielle en matière de renseignements personnels pour s'assurer que les mesures de protection pour les renseignements personnels qu'il détient sont intégrées dans tous ses programmes et toutes ses activités. Cette politique est conforme à la Loi sur la protection des renseignements personnels, la Charte canadienne des droits et libertés ainsi que les politiques et directives du Conseil du Trésor. Elle est fondée sur des principes de confidentialité qu'on trouve dans les codes de protection des données reconnus à l'international.

Même si les Canadiens appuient les initiatives qui peuvent améliorer leur santé et leur sécurité, ils sont aussi préoccupés par la protection de leurs renseignements personnels. Les partenaires, les intervenants et les clients de Santé Canada ont besoin d'être rassurés quant à l'efficacité de la protection des renseignements personnels détenus par le Ministère.

La politique est conçue pour aider à promouvoir une culture ministérielle sensible à la nécessité de protéger la vie privée, à faire preuve de leadership dans la protection des renseignements personnels et à maintenir la confiance des Canadiens en énonçant l'engagement de Santé Canada à protéger efficacement les renseignements personnels.

Objectif de la politique

Les principaux objectifs de la politique sont d'assurer que Santé Canada gère efficacement les renseignements personnels qu'il détient, réponde aux besoins du public en matière d'information et instaure un climat de confiance, de crédibilité et de compréhension en :

• réaffirmant sa volonté de protéger les renseignements personnels qu'il détient;
• énonçant les obligations en matière de protection de la vie privée;
• appuyant l'adoption de principes et de directives qui guideront le Ministère pour ce qui est de la protection des renseignements personnels;
• mettant en oeuvre une approche harmonisée pour la gestion des renseignements personnels dans l'ensemble du Ministère;
• faisant preuve d'ouverture et de transparence quant aux pratiques ministérielles en matière de protection de la vie privée.

Principes clés en matière de protection des renseignements personnels

La politique est fondée sur les principes énoncées dans la Loi sur la protection des renseignements personnels fédérale et dont on fait référence comme le « Code de pratiques équitables en matière de renseignements » et sur les dix principes de protection des renseignements personnels de l'Association canadienne de normalisation (voir l'annexe B). La politique reconnaît que les personnes ont des droits quant aux renseignements personnels qui les concernent et elle appuie ces droits en appliquant de façon constante et efficace ces principes de protection des renseignements personnels.

Énoncé de politique

La politique de Santé Canada comprend les éléments suivants :

• effectuer la collecte, l'utilisation et la divulgation (y compris la conservation et l'élimination) des renseignements personnels, conformément aux principes énoncés dans la Loi sur la protection des renseignements personnels et dans les politiques connexes du Conseil du Trésor;
• s'assurer que la protection des renseignements personnels est un aspect fondamental de ses programmes et de ses activités;
• protéger les renseignements personnels qu'il détient tout en permettant un accès adéquat à l'information nécessaire pour préserver et améliorer la santé des Canadiens et pour l'exécution de ses programmes et ses activités;
• communiquer au public ses pratiques de protection des renseignements personnels;
• s'assurer que les mesures de protection des renseignements personnels en place sont efficaces et à jour, dans le contexte changeant de la protection des renseignements personnels;
• s'assurer qu'un degré de protection des renseignements personnels semblable soit mis en place lorsqu'il collabore avec des intervenants et des partenaires, notamment les provinces et les territoires, les gouvernements étrangers et les organisations internationales.

Portée - Application

La politique s'applique à tous les programmes et à toutes les activités de Santé Canada qui requièrent la collecte, l'utilisation et la divulgation de renseignements personnels pour le compte de Santé Canada.

La politique couvre tous les renseignements personnels, y compris (mais non limité) à l'information, détenue par Santé Canada, relative à la santé et aux employés.

Exigences de la politique

Les directions générales et les bureaux régionaux doivent prendre les mesures nécessaires pour protéger les renseignements personnels en :

• établissant des procédures pour anticiper et atténuer les risques d'entrave à la vie privée;
• intégrant des exigences en matière de protection des renseignements personnels aux programmes et aux activités, conformément à la politique, et en mettant à jour les mesures de protection, au besoin;
• faisant la promotion de la sensibilisation du personnel et des bonnes pratiques en matière de protection des renseignements personnels;
• s'assurant que la responsabilisation en matière de protection de la vie privée est une partie intégrante des tâches des gestionnaires de programme et des autres employés qui participent à la gestion des renseignements personnels détenus;
• communiquant les mesures de protection des renseignements personnels qui ont été adoptées et mises en oeuvre;
• examinant les activités et les progrès réalisés dans le cadre de la politique et en présentant des rapports à cet égard;
• s'assurant que les tiers qui recueillent, utilisent ou divulguent des renseignements personnels pour le compte de Santé Canada respectent des mesures adéquates de protection de la vie privée.

On élaborera, au besoin, des outils et des directives pour aider les directions générales et les régions à se conformer à la politique.

Examen de la politique

La politique sera examinée tous les trois ans ou, si nécessaire, plus souvent, pour déterminer la pertinence de l'orientation qu'elle fournit au Ministère. Le Comité ministériel de protection des renseignements personnels (voir le mandat de comité à l'annexe C) dirigera cet examen.

Responsabilités

Tout le monde a la responsabilité de se conformer à la politique ministérielle en matière de protection des renseignements personnels. Les membres du personnel doivent appliquer la politique dans l'exécution de leurs fonctions, les gestionnaires doivent s'assurer que des mesures de protection de la vie privée sont intégrées à leurs activités opérationnelles, le chef de la protection des renseignements personnels doit promouvoir la conformité aux exigences de la politique dans l'ensemble du Ministère; les cadres supérieurs doivent promouvoir et mettre en oeuvre la politique. Les rôles et les responsabilités de chacun sont définis plus en détail dans les lignes directrices de Santé Canada en matière de protection des renseignements personnels.

Le sous-ministre adjoint de la Direction générale des services de gestion (DGSG) est le chef de la protection des renseignements personnels (CPRP) du Ministère et il relève du sous-ministre en ce qui concerne la promotion des initiatives de protection des renseignements personnels à l'interne et à l'externe. Le Comité ministériel de protection des renseignements personnels (CMPRP) effectue un examen approfondi des questions de protection des renseignements personnels et il constitue un important mécanisme permettant de s'assurer d'une approche de collaboration horizontale pour l'intégration des pratiques et des politiques de protection des renseignements personnels dans tous les axes opérationnels de SC. Le CMPRP rend des comptes au Comité exécutif ministériel (CEM-GEN) par l'entremise du CPRP. Le Réseau des contacts pour la protection des renseignements personnels est un mécanisme de consultation mis en place pour fournir au Comité ministériel de protection des renseignements personnels (CMPRP) du soutien et des conseils sur les répercussions opérationnelles de la protection des renseignements personnels.

La Division de l'accès à l'information et de la protection des renseignements personnels (DAIPRP), fournit un soutien en matière de politique ainsi qu'une orientation pratique pour l'adoption de pratiques de gestion des renseignements personnels efficaces et cohérentes.

Annexe A

Définitions et explications

Vie privée

La vie privée est le droit d'un individu de ne pas se faire importuner et de décider quand, comment et dans quelle mesure il partagera avec d'autres des renseignements à son sujet.

Renseignement personnel

En général, les renseignements personnels comprennent tout renseignement, consigné ou non, qui concerne un individu identifiable. Il s'agit de renseignements tels que le nom, l'adresse, un identificateur unique, l'origine ethnique, la religion, l'éducation, le groupe sanguin, etc. (consultez l'article 3 de la Loi sur la protection des renseignements personnels pour plus de détails)

Renseignement personnel sur la santé

Un renseignement consigné, à propos d'un individu identifiable, qui a un lien avec sa santé physique ou mentale, les soins qu'il a reçus et qui peuvent inclure son inscription à des services de santé; des renseignements sur son admissibilité ou ses paiements relatifs à des soins de santé; un numéro, un symbole ou toute autre indication qui seraient en mesure d'identifier cet individu à des fins de soins de santé; toute information, concernant l'individu, qui est recueillie dans le cadre de la prestation de services de santé à cet individu; toute information obtenue dans le cadre d'un test ou d'examen effectué sur une partie du corps ou une substance corporelle de l'individu.

Renseignement sur l'employé

Il s'agit d'un renseignement personnel ou d'un renseignement sur la santé, détenu par une organisation, qui concerne un employé. Il est à noter que les renseignements sur le poste ou les fonctions d'un employé d'une institution fédérale ne sont pas protégés par les dispositions de la Loi sur la protection des renseignements personnels.

Renseignement détenu

Des renseignements personnels sont considérés comme détenus par une institution lorsque cette institution a le droit d'autoriser ou de refuser l'accès à ces renseignements, de les utiliser et, avec l'approbation de l'Archiviste national, de les éliminer. Un renseignement personnel qui est en la possession ou sous la garde d'une institution, que ce soit à l'administration centrale, dans les bureaux régionaux, les bureaux satellites ou d'autres bureaux situés au Canada et à l'étranger, est considéré comme un renseignement détenu par cette institution, à moins d'une preuve évidente du contraire.

Annexe B

Principes de protection des renseignements personnels de l'Association canadienne de normalisation

Premier principe - Responsabilisation

Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s'assurer du respect des principes énoncés ci-dessous.

Deuxième principe - Détermination des fins de la collecte des renseignements

Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci.

Troisième principe - Consentement

Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.

Quatrième principe - Limitation de la collecte

L'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.

Cinquième principe - Limitation de l'utilisation, de la communication et de la conservation

Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. On ne doit conserver les renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées.

Sixième principe - Exactitude

Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés.

Septième principe - Mesures de sécurité

Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Huitième principe - Transparence

Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Neuvième principe - Accès aux renseignements personnels

Une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l'exactitude et l'intégralité des renseignements et d'y faire apporter les corrections appropriées.

Dixième principe - Possibilité de porter plainte à l'égard du non-respect des principes

Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec la ou les personnes responsables de les faire respecter au sein de l'organisation concernée.

Annexe C

Comité ministériel de protection des renseignements personnels de santé canada attributions

1. Introduction

Le Comité de protection des renseignements personnels de Santé Canada est un comité permanent mis sur pied afin de promouvoir et d'offrir des mesures et des normes de protection des renseignements personnels adéquates et uniformes dans nos programmes pour nos clients et nos employés.

Le public s'attend à ce que Santé Canada assure un leadership dans la protection des renseignements personnels sur la santé et dans le maintien de la confiance des Canadiens, tant dans notre rôle de gardien des renseignements personnels que dans celui de normalisateur pour le secteur de la santé.

Santé Canada tient résolument à s'acquitter de son rôle de chef de file pour contribuer au maintien de la santé des Canadiens et de la confiance du public. De tels engagements nécessiteront la participation de la direction et du personnel de l'ensemble de Santé Canada en vue de promouvoir et d'offrir des mesures et des normes de protection des renseignements personnels dans nos programmes et nos rapports avec le public et nos partenaires.

2. Mandat

Le Comité aidera le Ministère à s'acquitter de ses engagements visant à assurer que la protection des renseignements personnels est au coeur des préoccupations à l'endroit de ses employés et dans ses activités visant à aider les Canadiens à maintenir et à améliorer leur état de santé. De plus, à titre de gardien des renseignements personnels sur la santé, il aidera le Ministère à se protéger contre les risques. De façon plus précise, il a reçu le mandat de remplir les fonctions suivantes :

• discuter des questions de protection des renseignements personnels soulevées par les activités ministérielles reliées à la recherche et aux renseignements personnels;
• contribuer à l'uniformité dans l'élaboration et l'application de politiques dans le cadre des activités opérationnelles;
• passer en revue la portée des activités de Santé Canada en regard des exigences relatives à la protection des renseignements personnels tout en favorisant le maintien de la santé des Canadiens;
• prévoir l'examen par la haute direction des questions entourant la protection des renseignements personnels et des défis à relever dans ce domaine, et faciliter la mise en oeuvre des solutions adoptées et des décisions prises.

La Division de l'accès à l'information et de la protection des renseignements personnels constitue le point de convergence du Ministère en matière de politique sur la protection des renseignements personnels, puisqu'elle guide l'élaboration de politiques uniformes dans ce domaine, propose des solutions et favorise l'adoption de pratiques exemplaires. Le Comité de protection des renseignements personnels, quant à lui, joue un rôle clé pour garantir que les politiques et pratiques touchant la protection des renseignements personnels soient intégrées de manière horizontale et concertée dans tous les secteurs d'activité de Santé Canada.

3. Structure hiérarchique

Le président du Comité de protection des renseignements personnels déposera des rapports et des propositions au Comité exécutif du Ministère (CEM-GEN) par le truchement du Sous-comité de la politique et de l'analyse du Comité exécutif du Ministère (CEM-PAC). Le sous-ministre adjoint de la Direction générale des services de gestion (DGSG) se fera le champion des initiatives de protection des renseignements personnels.

4. Composition

Les membres sont nommés par chaque direction générale, agence et région, de concert avec le président. Ce dernier est nommé par le SMA, Direction générale des services de gestion.

Voici la composition du Comité :

• président, directeur, Division de l'accès à l'information et de la protection des renseignements personnels, Direction générale des services de gestion (DGSG);
• avocat général principal, Services juridiques;
• directeur général, Direction des produits de santé commercialisés, Direction générale des produits de santé et des aliments (DGPSA);
• directeur général, Centre de surveillance de la coordination, Agence de la santé publique (ASP);
• directeur administratif, services nationaux des RH, Direction générale des services de gestion (DGSG);
• directeur général, Soins primaires et santé publique, Direction générale de la santé des Premières nations et des Inuits (DGSPNI);
• directeur général, Santé au travail et sécurité du public, Santé environnementale et sécurité des consommateurs (DGSESC);
• directeur général, Direction de la politique, de la planification et des priorités, Direction générale de la politique de la santé et des communications (DGPSC);
• directeur, Division des nouvelles stratégies et des affaires réglementaires; Agence de réglementation de la lutte antiparasitaire (ARLA);
• directeur, Division de la planification de la politique et des partenariats, Bureau de l'expert scientifique en chef (BESC);
• directeur général régional, Région de la C.-B. et du Yukon;
• directeur, Division de l'élaboration et de la diffusion des données, DGSG;
• directeur général, Direction des communications, du marketing et de la consultation, BSM
• directeur général, Bureau de la vérification et de la responsabilisation (BVR)
• dirigeant principal de l'information, Direction des services de gestion de l'information, DGSG
• directeur exécutif, Direction de la gestion des biens, DGSG

Les remplaçants sont permis; ils sont tenus d'assumer la pleine responsabilité des membres en titre. Le Comité peut, de temps à autre, demander à des employés spécialisés ou à des experts-conseils de fournir de l'information ou des conseils sur un domaine d'expertise.

5. Responsabilités

Les membres du Comité de protection des renseignements personnels sont tenus :

• de porter à l'attention du Comité toute question ou toute préoccupation reliée à la protection des renseignements personnels de leur secteur fonctionnel ou d'ailleurs;
• de communiquer et d'expliquer à leur personnel respectif les décisions prises par le Comité, de favoriser la mise en application des décisions et de rendre compte au Comité des progrès accomplis;
• d'être habilités à prendre ou à obtenir des décisions pour le compte de l'organisation qu'ils représentent;
• de veiller à ce que leur remplaçant permanent soit tenu au courant des activités du Comité de protection des renseignements personnels.

6. Gestion et administration

• Personne-ressource des programmes et secrétariat : les services de secrétariat sont assurés par la Division de l'accès à l'information et de la protection des renseignements personnels;
• Fréquence des réunions : des réunions périodiques seront tenues tous les deux mois. Des réunions spéciales pourront être convoquées par le président pour traiter de questions urgentes ou pressantes;
• Ordre du jour : l'ordre du jour sera préparé par le Secrétariat, avec le concours du président, et sera distribué avant la tenue des réunions. La documentation prévue pour les réunions à venir sera distribuée à l'avance;
• Compte rendu des décisions, distribution et suivi : le Secrétariat distribuera le compte rendu des décisions dans les dix jours ouvrables suivant chaque réunion. Le président veillera à ce que l'exactitude du compte rendu des décisions soit certifiée pour ensuite être traduit et transmis aux membres.

Annexe D

Références

La politique doit être lue en tenant compte des références suivantes :

Législation

Loi sur la protection des renseignements personnels (1983)

Loi sur l'accès à l'information (1983)

Loi sur les Archives nationales du Canada (1987)

Charte canadienne des droits et libertés

LPRPDE (2004)

Politiques

Protection des renseignements personnels - Politique (Conseil du Trésor, 1993)

Politique d'EFVP et lignes directrices (CT, 2002)
http://www.tbs-sct.gc.ca/pubs_pol/ciopubs/pia-pefr/paip-pefr_f.asp
http://www.tbs-sct.gc.ca/pubs_pol/ciopubs/pia-pefr/paipg-pefrld_f.asp

Politique sur la gestion de l'information gouvernementale (Conseil du Trésor, 1989)

Gestion des technologies de l'information (CT, 1990)

Politique sur l'accès à l'information (CT, )

Politique sur la sécurité du gouvernement du Canada (CT, )

Politique sur la sécurité, Santé Canada (1996)
Veuillez consulter le Centre des politiques, Santé Canada - Sécurité

Politique de gestion des documents, Santé Canada (1998)
Veuillez consulter le Centre des politiques, Santé Canada - Gestion de l'information Santé Canada : politiques GI-TI - 01. Politique de gestion des documents

Autre

Énoncé de politique des trois conseils : éthique de la recherche avec des êtres humains