Informations archivées

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Vérification de la gestion des renseignements personnels

Rapport final
Juin 2012

Table des matières

Acronymes et abréviations
Résumé
1.0 Contexte
2.0 Objectif, portée, démarche et critères de la vérification
3.0 Principales constatations de la vérification et recommandations
Annexe A : Liste des recommandations et plan d'action de la direction
Annexe B : Critères de vérification

Acronymes et abréviations

ACDI: Agence canadienne de développement international
AIPRP: Accès à l'information et protection des renseignements personnels
BDPV: Bureau du dirigeant principal de la vérification
CT: Conseil du Trésor
DGDPF: Direction générale du dirigeant principal des finances
DGGIT: Direction générale de la gestion de l'information et de la technologie

DGRH: Direction générale des ressources humaines
SMISG: Sécurité ministérielle, infrastructure et services de gestion
EFRVP: Évaluation des facteurs relatifs à la vie privée
FRP: Fichier de renseignements personnels
SGDE: Système de gestion des documents et des dossiers de l'entreprise

Résumé

Conformément à son plan approuvé de vérification axé sur les risques pour les exercices 2011-2014, le Bureau du dirigeant principal de la vérification de l'Agence canadienne de développement international (ACDI) a mené une vérification interne de la gestion des renseignements personnels. Cette vérification visait à fournir une assurance raisonnable que l'ACDI se conforme à la Loi sur la protection des renseignements personnels ainsi qu'aux politiques et directives fédérales connexes sur la gestion des renseignements personnels.

La Loi sur la protection des renseignements personnels, ainsi que les politiques et directives connexes, appuient l'engagement pris par le gouvernement de veiller à ce que les renseignements personnels soient protégés, utilisés et tenus à jour de manière uniforme et appropriée. Les résultats prévus sont la mise en place de saines pratiques de gestion constituées de politiques, de procédures, de responsabilités et d'obligations redditionnelles clairement établies, et d'une structure de gouvernance.

L'ACDI possède une structure de gouvernance appropriée pour la gestion des renseignements personnels et travaille à un plan d'action sur la protection de ces renseignements. Un protocole de protection des renseignements personnels a été élaboré et approuvé. L'ACDI possède des politiques, des directives et des lignes directrices qui sont disponibles sur son site intranet.

Les obligations redditionnelles fixées par la Loi sur la protection des renseignements personnels ont été déléguées par l'intermédiaire d'un instrument de délégation. Les rôles et responsabilités en matière de gestion des renseignements personnels sont définis pour certains groupes au sein de l'ACDI, mais tous les employés de l'Agence ont des responsabilités aux termes de la Loi sur la protection des renseignements personnels, et tous doivent connaître ces responsabilités.

L'ACDI propose différentes formations, notamment sur les exigences de la Politique sur la gestion de l'information du Conseil du Trésor, sur les contrôles d'accès ainsi que sur le traitement et la conservation des documents. La Division de l'accès à l'information et de la protection des renseignements personnels (ci-après la Division de l'AIPRP) dispense une formation aux employés de l'ACDI, laquelle porte plus sur l'accès à l'information que sur la protection des renseignements personnels. Le site Web de l'ACDI fournit de l'information et des conseils sur la protection des renseignements personnels, mais il n'existe pas de communication régulière visant à sensibiliser les employés à cet égard.

Étant donné l'absence de cadre spécifique, les exigences concernant l'évaluation des facteurs relatifs à la vie privée ne sont pas appliquées ou ne sont pas clairement comprises. En 2009, une telle évaluation a été menée pour la Direction générale de la gestion de l'information et de la technologie à propos de la gestion des renseignements sur les employés contenus dans la base de données de la Direction générale des ressources humaines, mais aucune des dispositions relatives à l'avis et à l'inscription n'a été appliquée.

Les renseignements personnels collectés, utilisés et communiqués au sein de l'ACDI étaient conformes aux différentes exigences de la Loi sur la protection des renseignements personnels, du Règlement sur la protection des renseignements personnels ainsi que des politiques, directives et lignes directrices du Conseil du Trésor. L'ACDI possède plusieurs méthodes pour protéger les données physiques, comme des armoires verrouillées, et des secteurs opérationnels et un bureau central des dossiers fermés à clé. En outre, elle utilise le Système de gestion des documents et de l'information de l'entreprise, ainsi qu'une base de données distincte à la Direction générale des ressources humaines pour gérer et protéger les renseignements personnels.

Le présent rapport contient des constatations et des recommandations détaillées. La liste des recommandations et le plan d'action correspondant de la direction figurent à l'annexe A.

Conclusion de la vérification

L'ACDI respecte dans l'ensemble certaines des exigences de la Loi sur la protection des renseignements personnels et des politiques et directives fédérales connexes sur la gestion des renseignements personnels. Nous avons constaté à plusieurs reprises que des contrôles, processus et procédures n'étaient pas en place, n'étaient pas uniformément appliqués, ou devaient être renforcés. De plus, il faudrait mieux faire connaître au sein de l'ACDI la Loi sur la protection des renseignements personnels, ainsi que les politiques et directives connexes.

Énoncé d'assurance

Je déclare, en ma qualité de dirigeant principal de la vérification, que les procédés de vérification appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l'exactitude de la conclusion formulée dans le présent rapport. Cette conclusion repose sur une comparaison entre les circonstances qui existaient au moment de la vérification et les critères de vérification préétablis convenus avec les dirigeants. Elle ne s'applique qu'à l'entité examinée. Les éléments de preuve ont été recueillis conformément à la politique, aux directives et aux normes de vérification interne du Conseil du Trésor ainsi qu'aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes. Les éléments de preuve recueillis ont été suffisants pour corroborer auprès des cadres supérieurs la conclusion énoncée à l'issue de la vérification interne.

Le dirigeant principal de la vérification

1.0 Contexte

La vérification de la gestion des renseignements personnels fait partie du plan de vérification axé sur les risques pour les exercices 2011-2014 recommandé par le comité de vérification et approuvé par la présidente de l'ACDI le 25 mars 2011. Cette vérification fait suite au travail préliminaire réalisé en 2007 par le Bureau du dirigeant principal de la vérification, qui avait décelé des lacunes particulières dans la gestion des renseignements personnels à l'ACDI. Depuis lors, l'ACDI travaille à l'élaboration d'un plan d'action et d'un cadre sur la gestion des renseignements personnels.

La Loi sur la protection des renseignements personnels, ainsi que les politiques et les directives connexes, appuient l'engagement du gouvernement de protéger la vie privée des personnes, en ce qui a trait aux renseignements personnels détenus à leur propos par les institutions fédérales, et de leur donner un droit d'accès à ces renseignements. À l'ACDI, les personnes concernées sont les employés, les consultants, les coopérants et les stagiaires. Étant donné que tous les employés de l'ACDI sont responsables de la gestion des renseignements personnels, nous avons non seulement examiné les processus et procédures de la Division de l'AIPRP, mais aussi ceux des directions générales qui ont des responsabilités liées à la gestion des renseignements personnels.

La Loi sur la protection des renseignements personnels et le Règlement sur la protection des renseignements personnels fournissent le cadre légal pour la collecte, la conservation, l'utilisation et la communication des renseignements personnels et s'appliquent à toutes les institutions fédérales. Outre cette loi et ce règlement, il existe plusieurs politiques et directives du Conseil du Trésor ayant une incidence directe sur la vie privée et les renseignements personnels, notamment :

la Politique sur la protection de la vie privée;
la Politique sur la sécurité du gouvernement;
la Politique sur la gestion de l'information;
la Directive sur les pratiques relatives à la protection de la vie privée;
la Directive sur l'évaluation des facteurs relatifs à la vie privée;
les Lignes directrices sur les atteintes à la vie privée.

La Politique sur la protection de la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée énoncent les obligations des institutions fédérales en ce qui concerne l'adoption de saines pratiques de gestion (y compris les politiques et les protocoles), l'établissement de responsabilités claires (y compris les obligations redditionnelles), la sensibilisation à la protection de la vie privée (formation, sensibilisation et communication), ainsi que la surveillance du respect des politiques et la présentation de rapports au public. Aux termes de la Loi sur la protection des renseignements personnels, les institutions ont des obligations en matière de surveillance et de reddition de comptes, et sont notamment chargées de préparer un rapport annuel pour le Parlement. Ce rapport, qui porte sur l'application de la Loi, doit aussi être transmis au Conseil du Trésor. En outre, les institutions sont tenues de préparer une description des fichiers de renseignements personnels nouveaux ou modifiés et de transmettre celle-ci au Conseil du Trésor, accompagnée d'un rapport statistique relatif à l'application de la Loi sur la protection des renseignements personnels.

Le Conseil du Trésor et le Commissariat à la protection de la vie privée

Le Conseil du Trésor guide et conseille les institutions fédérales sur l'application de la Loi sur la protection des renseignements personnels et l'interprétation des politiques connexes. Dans le cadre de son rôle administratif, il publie un répertoire annuel des renseignements personnels, exerce un contrôle sur la constitution et la modification des fichiers de renseignements personnels, et attribue un numéro d'inscription aux nouveaux fichiers.

Le Commissariat à la protection de la vie privée fait appliquer la Loi sur la protection des renseignements personnels et veille à ce que la collecte et le traitement des renseignements personnels dans le secteur public ne violent pas les droits des citoyens canadiens à la protection des renseignements personnels.

La gestion des renseignements personnels à l'ACDI

À l'ACDI, la gestion des renseignements personnels est coordonnée par la Division de l'AIPRP, qui relève du Secrétariat général. Cette division élabore des politiques, des procédures et des lignes directrices, veille à leur application et s'attache à mieux faire connaître la Loi sur la protection des renseignements personnels. La Direction générale de la gestion de l'information et de la technologie et la Division de la sécurité ministérielle, de l'infrastructure et des services de gestion, qui relève de la Direction générale du dirigeant principal des finances, appuient l'application de saines pratiques de gestion pour le traitement de l'information, dont les renseignements personnels, et fournissent à cette fin des conseils et des mesures de contrôle. Les propriétaires fonctionnels de fichiers de renseignements personnels sont tenus de traiter adéquatement ceux-ci, ce qui inclut la collecte, l'utilisation, la communication, la protection, la conservation et le retrait des données. Tous les employés de l'ACDI doivent veiller à ce que les renseignements personnels soient protégés, utilisés et conservés conformément aux politiques, procédures et lignes directrices pertinentes.

Le plan d'action sur la protection des renseignements personnels

À la suite du travail préliminaire réalisé en 2007 par le Bureau du dirigeant principal de la vérification, l'ACDI a élaboré un plan d'action sur la protection des renseignements personnels prévoyant quinze mesures. Selon le dernier rapport de situation, daté d'octobre 2011, des progrès ont été réalisés dans la mise en œuvre des quinze mesures, notamment la préparation et l'approbation du protocole de protection des renseignements personnels de l'ACDI, ainsi que la révision et la mise à jour des descriptions de travail des agents de liaison de l'AIPRP. Cependant, la plupart des éléments essentiels, comme l'amélioration du respect des dispositions sur la protection des renseignements personnels dans l'ensemble de l'ACDI et la création d'une campagne de sensibilisation à cet égard, sont en cours ou ont été reportés.

2.0 Objectif, portée, méthodologie et critères de la vérification

2.1 Objectif

L'objectif est de fournir une assurance raisonnable que l'ACDI se conforme à la Loi sur la protection des renseignements personnels ainsi qu'aux politiques et directives fédérales connexes sur la gestion des renseignements personnels.

2.2 Portée

Cette vérification devait à l'origine être un suivi du travail préliminaire effectué en 2007 par le Bureau du dirigeant principal de la vérification. Après une évaluation des risques et un examen des mesures de contrôle réalisés par ce dernier, la portée a été modifiée afin d'inclure des critères de conformité sur la collecte, l'utilisation, la communication et la protection des renseignements personnels au sein de l'ACDI. La Division de l'AIPRP possède un processus établi et documenté pour répondre aux demandes de renseignements personnels et ne reçoit que quelques demandes en la matière chaque année. Nous avons donc estimé que les demandes de renseignements personnels traitées par cette division constituaient un domaine à faible risque, et nous n'avons mené qu'un travail limité à cet égard. Nous avons également décidé de n'effectuer qu'un travail limité sur la conservation et le retrait des renseignements, étant donné que ces éléments seront examinés au cours de la vérification de la gestion de l'information inscrite au plan de vérification axé sur les risques pour les exercices 2012-2015.

2.3 Démarche et méthodologie

La vérification de la gestion des renseignements personnels a été menée conformément à la politique, aux directives et aux normes de vérification interne du Conseil du Trésor ainsi qu'aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes. Les éléments probants recueillis ont été suffisants pour corroborer auprès des cadres supérieurs la conclusion énoncée à l'issue de la vérification interne.

La méthodologie appliquée pour cette vérification comprenait les éléments suivants, sans toutefois s'y limiter :

l'examen des politiques, lignes directrices et instructions pertinentes de l'ACDI et du Conseil du Trésor;
l'examen des travaux, en cours et achevés, concernant le plan d'action sur la protection des renseignements personnels de l'ACDI;
des entrevues avec des représentants de la Division de l'AIPRP, de la Direction générale de la gestion de l'information et de la technologie, de la Division de la SMISG relevant de la Direction générale du dirigeant principal des finances, de la Direction générale des ressources humaines, de la Division de la gestion des subventions, des contributions et des contrats relevant de la Direction générale du dirigeant principal des finances (à la fois pour les contrats de services professionnels et les coopérants), de la Direction générale des partenariats avec les Canadiens et du Secrétariat général;
le contrôle par sondage des dossiers^{Note de bas de page 1} mené sur un échantillon discrétionnaire à la Direction générale des ressources humaines;
la collecte et l'analyse de données;
la validation des principales constatations.

2.4 Critères de vérification

Les critères de vérification sont les points de référence utilisés pour évaluer l'adéquation et l'efficacité de la gestion des renseignements personnels au sein de l'ACDI. Ils ont été élaborés à la suite d'une évaluation des risques et reposent sur les exigences contenues dans la Loi sur la protection des renseignements personnels, le Règlement sur la protection des renseignements personnels et les différentes politiques, directives et lignes directrices du Conseil du Trésor. Ils ont été soumis à l'entité vérifiée et sont présentés à l'annexe B.

3.0 Principales constatations de la vérification et recommandations

3.1 Cadre de gestion des renseignements personnels

La Loi sur la protection des renseignements personnels et le Règlement sur la protection des renseignements personnels constituent le cadre législatif pour le traitement des renseignements personnels. Il existe en outre des politiques, des directives et des lignes directrices du Conseil du Trésor décrivant plus en détail les exigences énoncées dans cette loi et ce règlement. Ainsi, la Politique sur la protection de la vie privée indique parmi ses résultats prévus l'adoption de saines pratiques de gestion pour le traitement et la protection des renseignements personnels.Ces pratiques comprennent des politiques, des procédures, des responsabilités et des obligations redditionnelles clairement établies, la formation et la sensibilisation, ainsi que la remise de rapports et la surveillance. Le volet formation et sensibilisation des employés doit inclure un plan de communication (énonçant les livrables et les échéances) afin que toutes les personnes participant au traitement des renseignements personnels possèdent les outils et les ressources nécessaires pour s'acquitter de leurs responsabilités. Comme pour toute loi, politique ou directive, il existe diverses exigences en matière de rapport afin de surveiller le respect des dispositions. La Directive sur les pratiques relatives à la protection de la vie privée facilite la mise en œuvre et la publication de pratiques de gestion saines et uniformes.

Gouvernance

L'ACDI possède une structure de gouvernance appropriée pour la protection de la vie privée et la gestion des renseignements personnels. Le Conseil de gestion^{Note de bas de page 2}, le Comité de gestion et le Comité consultatif supérieur en GI/TI ont un mandat clair, qui contient des dispositions précises sur la protection de la vie privée et des renseignements personnels. Nous avons constaté que les mises à jour du plan d'action sur la protection des renseignements personnels ont été présentées et discutées au Comité de gestion.

Politiques et procédures

Les politiques, les procédures et les lignes directrices aident le personnel à s'acquitter efficacement de ses responsabilités relatives au traitement des renseignements personnels. D'après nos constatations, le protocole de protection des renseignements personnels de l'ACDI a été présenté au Conseil de gestion en février 2012 et approuvé par celui-ci. Ce protocole vise à s'assurer que la collecte, l'utilisation ou la communication de renseignements personnels à des fins non administratives s'effectuent conformément à la Loi sur la protection des renseignements personnels, au Règlement sur la protection des renseignements personnels et à la Directive sur les pratiques relatives à la protection de la vie privée du Conseil du Trésor. L'ACDI possède plusieurs lignes directrices, politiques et directives qui abordent la question de la protection des renseignements personnels, dont un guide sur la sécurité de l'information et une politique sur l'assurance de l'information. À ce jour, les lignes directrices sur les atteintes à la vie privée de l'ACDI et la politique sur la sécurité de l'ACDI restent à l'état d'ébauche.

Obligations redditionnelles, rôles et responsabilités

Tous les employés ont des responsabilités aux termes de la Loi sur la protection des renseignements personnels en ce qui concerne la gestion et le traitement des renseignements personnels, et ils doivent tous connaître ces responsabilités. Le plan d'action sur la protection des renseignements personnels indique que les responsabilités en la matière doivent être réparties de manière stratégique dans l'ensemble de l'ACDI. D'après nos constatations, à l'échelon de la haute direction, les obligations redditionnelles fixées par la Loi sur la protection des renseignements personnels ont été déléguées par l'intermédiaire d'un instrument de délégation. Cet instrument délègue les responsabilités et les obligations redditionnelles à la Présidente, à la Secrétaire générale et au coordonnateur de l'accès à l'information et de la protection des renseignements personnels. En outre, les responsabilités administratives courantes concernant la Loi sur la protection des renseignements personnels ont été déléguées à la coordinatrice de l'accès à l'information et de la protection des renseignements personnels. D'après nos constatations, les rôles et responsabilités en ce qui concerne le traitement des renseignements personnels ont été définis pour certains groupes au sein de l'ACDI (dont la Division de l'AIPRP, les ressources humaines, et les agents de liaison de l'AIPRP). Les descriptions de travail génériques du personnel de soutien (y compris les CR-04 et les AS-01 aux AS-04) ont été modifiées afin d'y inclure des responsabilités particulières à l'égard des renseignements personnels.

Formation, sensibilisation et communication

Les formations proposées à l'ACDI abordent notamment des questions relatives à la protection de la vie privée et le traitement des renseignements personnels. La formation dispensée par la Direction générale de la gestion de l'information et de la technologie porte entre autres sur les exigences de la Politique sur la gestion de l'information du Conseil du Trésor. Cependant, elle ne comprend qu'un volet restreint sur le traitement des renseignements personnels. La Direction générale de la gestion de l'information et de la technologie propose également une formation sur le Système de gestion des documents et des dossiers de l'entreprise^{Note de bas de page 3} qui aborde les contrôles d'accès, le traitement de l'information et la conservation des documents. En outre, la Division de l'AIPRP propose une formation ciblée aux agents de liaison de l'AIPRP au sein de l'ACDI. Cependant, d'après nos constatations, cette formation met l'accent sur le processus relatif aux demandes d'accès à l'information, plutôt que sur le respect de la vie privée et la protection des renseignements personnels. La Division de l'AIPRP est également chargée de proposer des séances de sensibilisation à l'accès à l'information et à la protection des renseignements personnels, lesquelles, ici encore, portent davantage sur l'accès à l'information que sur la protection de la vie privée. Une campagne de sensibilisation sur la sécurité, la gestion de l'information, et l'accès à l'information et la protection des renseignements personnels a été menée récemment.

Tout nouvel employé doit suivre une formation sur le Système de gestion des documents et des dossiers de l'entreprise, qui aborde les contrôles d'accès et le traitement de l'information, y compris celui des renseignements personnels et sensibles. Cette formation fournit au personnel les outils dont il a besoin pour utiliser correctement le Système et assurer la protection de l'information qui y est contenue.

L'ACDI possède plusieurs lignes directrices, politiques, directives et documents d'information et d'orientation qui abordent les questions relatives à la protection de la vie privée et au traitement des renseignements personnels. On peut y accéder depuis le site intranet de l'ACDI. Ces documents sont disponibles sur les sites du Secrétariat général, de la Direction générale de la gestion de l'information et de la technologie et de la Sécurité ministérielle. D'après nos constatations, la page intranet de la Division de l'AIPRP contient des hyperliens vers la Loi sur la protection des renseignements personnels et le protocole de protection des renseignements personnels, tandis que celle de la Sécurité ministérielle propose un hyperlien vers la Politique sur la sécurité du gouvernement du Conseil du Trésor. Cependant, nous avons constaté qu'il n'existe aucune communication régulière avec les employés de l'ACDI visant à mieux sensibiliser ceux-ci à l'importance de traiter adéquatement les renseignements personnels et aux ressources disponibles en ligne.

Aux termes des Lignes directrices sur les atteintes à la vie privée du Conseil du Trésor, une atteinte à la vie privée suppose la collecte, l'usage, la communication, la conservation ou le retrait inappropriés ou non autorisés de renseignements personnels. Ces lignes directrices décrivent plusieurs situations susceptibles de déboucher sur une atteinte à la vie privée, parmi lesquelles figurent des mesures inadéquates de sécurité et de contrôle d'accès aux versions papier ou électroniques de documents, des mesures inadéquates de contrôle en ce qui concerne l'accès aux renseignements personnels et les droits de modification de ces renseignements, de même qu'une faible sensibilisation du personnel institutionnel chargé du traitement des renseignements personnels à la nécessité de protéger la vie privée des individus.

D'après notre contrôle par sondages, nous avons constaté qu'un petit nombre d'évaluations du rendement contenues dans le Système de gestion des documents et des dossiers de l'entreprise n'étaient pas assorties de contrôles d'accès appropriés et étaient dès lors accessibles à des personnes n'ayant pas besoin de connaître ces renseignements. Après que la vérification eût mis ce problème en évidence, le dirigeant principal de l'information a mené une enquête et immédiatement veillé à la prise de mesures correctives. De plus, le coordinateur de l'accès à l'information et de la protection des renseignements personnels a veillé à la prise des mesures de suivi requises.

Recommandation 1

Il est recommandé d'élaborer et de mettre en œuvre un programme de sensibilisation à la protection des renseignements personnels, dont un plan de communication énonçant clairement les livrables et les échéances.

Surveillance et présentation de rapports

Évaluation des facteurs relatifs à la vie privée

La Directive sur l'évaluation des facteurs relatifs à la vie privée du Conseil du Trésor fournit des indications permettant de cerner, d'évaluer et de régler adéquatement les incidences que pourraient avoir sur la protection de la vie privée la modification importante ou la création d'un programme ou d'une activité faisant intervenir des renseignements personnels.

Cette directive exige notamment la mise en place d'un cadre pour l'évaluation des facteurs relatifs à la vie privée, qui prend en compte la responsabilité de créer un fichier de renseignements personnels, et qui est proportionné au niveau de risque d'atteinte à la vie privée lié auquel s'expose le programme ou l'activité. Une évaluation des facteurs relatifs à la vie privée doit être menée dans les cas suivants :

pour un programme ou une activité, lorsque des renseignements personnels sont utilisés ou destinés à être utilisés dans le cadre d'un processus décisionnel touchant directement un individu;
lorsque des modifications importantes sont apportées à un programme ou activité déjà en place et comportant des renseignements personnels qui sont utilisés à des fins administratives, ou destinés à l'être;
au moment de la sous-traitance ou du transfert d'un programme ou d'une activité vers un autre palier de gouvernement ou vers le secteur privé.

D'après nos constatations, en 2009, une évaluation des facteurs relatifs à la vie privée^{Note de bas de page 4} a été réalisée à propos de la gestion des renseignements sur les employés contenus dans la base de données de la Direction générale des ressources humaines, mais aucune des dispositions relatives à l'avis et à l'inscription n'a été appliquée^{Note de bas de page 5}. De plus, en raison de l'absence d'un cadre formel et clairement communiqué pour l'évaluation des facteurs relatifs à la vie privée^{Note de bas de page 6}, et d'un manque de connaissance des exigences concernant ce type d'évaluation, nous avons constaté que dans le cas de certains nouveaux programmes de l'ACDI _ comme le programme Citoyens du monde de la Direction générale des partenariats avec les Canadiens _ cette évaluation n'avait pas été effectuée pour le nouvel appel de propositions.

Certes, nous avons relevé la présence de quelques-unes des composantes requises pour l'établissement de rapports au Conseil du Trésor, mais il n'existait aucun mécanisme formel (cadre pour l'évaluation des facteurs relatifs à la vie privée, rapport interne sur les renseignements personnels) permettant de surveiller efficacement la gestion des renseignements personnels au sein de l'ACDI et de présenter un rapport à cet égard.

Fichiers de renseignements personnels

Tous les renseignements personnels qui sont sous le contrôle de l'ACDI doivent être identifiés et décrits en catégories de renseignements personnels ou fichiers de renseignements personnels. Tout processus visant à créer de nouveaux fichiers de renseignements personnels ou à modifier substantiellement des fichiers existants doit coïncider avec la réalisation et l'approbation d'une évaluation des facteurs relatifs à la vie privée.

L'ACDI est tenue de fournir au Conseil du Trésor une mise à jour annuelle de ses fichiers de renseignements personnels existants, nouveaux ou modifiés. La mise à jour la plus récente a été fournie en 2011. Le Conseil du Trésor utilise les évaluations des facteurs relatifs à la vie privée, les mises à jour des fichiers de renseignements personnels et les rapports annuels pour surveiller le respect de la Loi sur la protection des renseignements personnels et effectuer les évaluations du Cadre de responsabilisation de gestion.

Surveillance

Afin d'assurer une protection et une gestion efficaces des renseignements personnels, la Politique sur la protection de la vie privée du Conseil du Trésor indique que les institutions doivent cerner, évaluer, surveiller et atténuer les risques d'entrave à la vie privée. En outre, aux termes de la Politique sur la sécurité du gouvernement du Conseil du Trésor, la gestion de la sécurité, notamment la sécurité de l'information, exige une évaluation continue des risques, ainsi que la mise en place, la surveillance et le maintien de mécanismes appropriés de contrôle de gestion interne. Ces mécanismes peuvent inclure des ratissages de sécurité des secteurs opérationnels, des auto-vérifications et une surveillance régulière des contrôles d'accès. Récemment, la Division de l'AIPRP a concentré ses efforts sur le grand volume de demandes d'accès à l'information de l'ACDI, les exigences relatives à la présentation de rapports destinés au public et la mise en œuvre du plan d'action sur la protection des renseignements personnels. Par conséquent, nous n'avons pas été en mesure de recenser des preuves d'activités de surveillance concernant la gestion des renseignements personnels.

Recommandation 2

Il est recommandé d'élaborer des mécanismes, dont un cadre pour l'évaluation des facteurs relatifs à la vie privée, afin de s'assurer que l'ACDI se conforme aux exigences du Conseil du Trésor en matière de surveillance, de rapports et d'avis, relativement à la gestion des renseignements personnels.

3.2 Administration des renseignements personnels

Collecte

D'après nos constatations, les renseignements personnels collectés se rapportaient directement aux activités de l'ACDI, et étaient collectés directement auprès des personnes concernées, avec le consentement approprié. En outre, nous avons constaté que le but visé par la collecte était clairement énoncé. L'ACDI utilise les formulaires prescrits par le gouvernement du Canada et le Conseil du Trésor pour la collecte de renseignements sur papier auprès des personnes. Lorsque la collecte se fait par voie électronique, le document comprend une déclaration sur la protection des renseignements personnels indiquant clairement le but visé par la collecte.

Utilisation et communication

D'après nos constatations, les renseignements personnels sous le contrôle de l'ACDI ont uniquement été utilisés ou communiqués avec le consentement de la personne à laquelle ils se rapportaient.

Protection

Afin que les renseignements personnels ne puissent être consultés et utilisés que par les employés autorisés, il faut mettre en place des contrôles appropriés pour protéger l'information. L'ACDI possède plusieurs méthodes pour protéger l'information physique ou électronique, dont des armoires verrouillées, un système de laissez-passer pour accéder aux secteurs opérationnels, un bureau central des dossiers et un Système de gestion des documents et des dossiers de l'entreprise.

D'après nos constatations, la Section de la rémunération et des avantages sociaux de la Direction générale des ressources humaines possède un secteur opérationnel sécurisé auquel ne peuvent accéder que les employés autorisés. En outre, l'accès aux dossiers électroniques concernant les employés et tenus par la Direction générale des ressources humaines était adéquatement contrôlé. Nous avons cependant constaté que certains membres du personnel ayant besoin d'accéder à de l'information sur des personnes de leur direction générale pouvaient en fait accéder aux renseignements concernant tous les employés de l'ACDI. Le Conseil de gestion a été informé du problème et prend des mesures correctives à cet égard.

Annexe A : Liste des recommandations et plan d'action de la direction

**Table 1: Liste des recommandations et plan d'action de la direction**
Recommandation	Responsable	Mesures proposées par la direction	Date cible
1. Il est recommandé d'élaborer et de mettre en œuvre un programme de sensibilisation à la protection des renseignements personnels, dont un plan de communication livrables attendus et les échéances.	Secrétaire général	Revoir les séances de formation existantes et mieux sensibiliser les employés à la protection des renseignements personnels. o Afin d'étoffer les initiatives existantes de formation des employés et de sensibiliser ceux-ci aux obligations liées à l'accès à l'information, la Division de l'AIPRP inclura deux à trois diapositives sur le respect des renseignements personnels dans chacune des séances de formation générale ou particulière des employés de l'ACDI. Elle étudiera différents moyens de sensibiliser les employés à ces questions en 2012-2013, comme l'organisation de campagnes de sensibilisation (par exemple, des messages sur Entre-Nous, ou un kiosque d'information dans le foyer principal de l'ACDI) en collaborant, notamment, avec les services de communication et de gestion de l'information.	Sept.-oct. 2012
	Secrétaire général	Mettre au point un outil de formation en ligne sur la protection des renseignements personnels (séance pour l'ensemble des employés). En plus des séances de formation en personne, la Division de l'AIPRP étudiera différentes solutions pour proposer des séances à l'ensemble des employés, par exemple à leur première connexion à un poste de travail et/ou sur la page de son site intranet. Elle collaborera avec les services des communications, de la gestion de l'information et de la technologie de l'information pour mettre cet outil en place. Voici peu, la Division de l'AIPRP a spécialement chargé un cadre supérieur de veiller à ce que le plan d'action sur la protection des renseignements personnels soit rapidement mis en œuvre afin d'améliorer le respect de Loi sur la protection des renseignements personnels au sein de l'ACDI. Cette mission inclut la prise de mesures en réponse aux recommandations formulées dans la présente vérification.	Avril 2013
2. Il est recommandé d'élaborer des mécanismes, dont un cadre pour l'évaluation des facteurs relatifs à la vie privée, afin de s'assurer que l'ACDI se conforme aux exigences du Conseil du Trésor en matière de surveillance, de rapports et d'avis, relativement à la gestion des renseignements personnels.	Secrétaire général	Instaurer un cadre pour l'évaluation des facteurs relatifs à la vie privée (comprenant un tableau sur la situation de ces évaluations; une formation, etc.). En se fondant sur le travail entrepris depuis 2010 en vertu du plan d'action sur la protection des renseignements personnels, dont le protocole de protection des renseignements personnels, la Division de l'AIPRP mettra en place un cadre pour l'évaluation des facteurs relatifs à la vie privée et fournira des lignes directrices plus claires afin d'aider les directions générales à se conformer à la Directive sur l'évaluation des facteurs relatifs à la vie privée. Ce cadre comprendra, notamment, une liste indiquant les évaluations terminées, celles en cours et celles à réaliser.	Avril 2013
	Secrétaire général	Élaborer un questionnaire qui aidera à établir quand une évaluation des facteurs relatifs à la vie privée est nécessaire et qui facilitera la coordination avec le processus du programme de certification et d'accréditation, conformément aux nouvelles lignes directrices énoncées en avril 2010 par le Secrétariat du Conseil du Trésor dans sa Directive sur l'évaluation des facteurs relatifs à la vie privée(avril 2013). La Division de l'AIPRP élaborera un questionnaire qui aidera les unités de l'ACDI à repérer les domaines dans lesquels une évaluation des facteurs relatifs à la vie privée est nécessaire, et des étapes expliquant la marche à suivre pour réaliser ces évaluations dans le cadre du processus du programme de certification et d'accréditation. Voici peu, la Division de l'AIPRP a spécialement chargé un cadre supérieur de veiller à ce que le plan d'action sur la protection des renseignements personnels soit rapidement mis en œuvre afin d'améliorer le respect de Loi sur la protection des renseignements personnels au sein de l'ACDI. Cette mission inclut la prise de mesures en réponse aux recommandations formulées dans la présente vérification.	Avril 2013

Annexe B : Critères de vérification

1.0 L'ACDI a mis en place un cadre sur la gestion des renseignements personnels qui contribue à gérer avec efficacité ce type de renseignements.

2.0 L'ACDI traite efficacement les renseignements personnels, conformément à la Loi sur la protection des renseignements personnels et aux politiques et directives fédérales connexes sur la gestion des renseignements personnels.

Notes de bas de page

Note de bas de page 1

Le contrôle par sondage des dossiers s'est limité à la Direction générale des ressources humaines étant donné que les bases de données sur les consultants et les coopérants étaient en train d'être fermées. Les dirigeants ont pris la décision de déménager ces bases de données à une entité sans lien de dépendance.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Le Conseil de gestion de l'ACDI est le forum principal pour :

la définition de l'orientation stratégique de l'ACDI;
la prise des décisions officielles concernant l'ensemble des politiques, des programmes et des enjeux de gestion de l'ACDI;
la surveillance des activités et du rendement de l'ACDI.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Ce système est utilisé par l'ACDI pour la gestion de ses documents électroniques.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Une évaluation des facteurs relatifs à la vie privée a été réalisée en 2009 pour la Direction générale de la gestion de l'information et de la technologie. Elle a permis de recenser les risques potentiels et les fichiers de renseignements personnels figurant dans la base de données.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

En 2009, les exigences à respecter étaient énoncées dans la Politique d'évaluation des facteurs relatifs à la vie privée (désormais remplacée par la Directive sur l'évaluation des facteurs relatifs à la vie privée). À l'époque, les mesures requises étaient de mettre à la disposition du public des résumés des résultats des évaluations, de s'assurer que les descriptions des fichiers de renseignements personnels étaient exactes et à jour, et de remettre au Commissariat à la protection de la vie privée une copie de la version définitive de l'évaluation.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Aux termes de la Directive sur l'évaluation des facteurs relatifs à la vie privée du Conseil du Trésor, il incombe aux responsables des institutions fédérales d'établir un cadre pour l'évaluation des facteurs relatifs à la vie privée. Ce cadre doit inclure un processus d'élaboration et d'approbation qui tient compte de la responsabilité d'établir des fichiers de renseignements personnels au sein de l'institution, et qui est proportionné au niveau de risque d'entrave à la vie privée lié auquel s'exposent les programmes ou activités. De plus, une fois réalisée, l'évaluation doit être approuvée et publiée sur le site Web de l'ACDI, et le rapport doit être remis au Conseil du Trésor et au Commissariat à la protection de la vie privée.

Retour à la référence de la note de bas de page 6

Signaler un problème ou une erreur sur cette page

Date de modification:: 2016-07-05

Sélection de la langue

Recherche et menus

Recherche