Audit des pratiques de protection des renseignements personnels
Rapport final
Bureau du dirigeant principal de l’audit
Juin 2021
Sommaire
Conformément au Plan d’audit axé sur le risque 2020-2022 approuvé d’Affaires mondiales Canada, le Bureau du dirigeant principal de l’audit a effectué un audit des pratiques de protection des renseignements personnels.
Contexte
Affaires mondiales Canada (AMC ou le « Ministère ») recueille, utilise, partage et conserve des renseignements personnels de nature délicate concernant les Canadiens, les employés et leur famille. La protection et le traitement adéquat de ces renseignements sont essentiels pour préserver la réputation et le statut du Ministère auprès des citoyens, des employés, des partenaires diplomatiques internationaux et des partenaires commerciaux.
Si la protection des renseignements personnels et la gestion de l’information sont depuis longtemps des initiatives stratégiques du Ministère, leur importance s’est accrue dans le contexte de la pandémie actuelle. Les pressions découlant de la COVID-19 accélèrent les efforts de numérisation, notamment en ce qui concerne la nécessité de revoir les pratiques opérationnelles pour que les employés et les programmes puissent collaborer et échanger des renseignements virtuellement. Ces changements dans les pratiques opérationnelles et les technologies peuvent introduire de nouveaux risques organisationnels. Chaque évolution d’une pratique opérationnelle impliquant des renseignements personnels entraîne des pièges potentiels en matière de protection des renseignements personnels qu’il faut gérer.
Objectif et portée
L’audit avait pour objectif de donner l’assurance que le Ministère a mis en place des politiques, des procédures, des processus et des contrôles pour soutenir la conformité à la Loi sur la protection des renseignements personnels et la prestation efficace des programmes et des services. L’audit a porté sur les politiques, les procédures, les processus et les systèmes de protection des renseignements personnels en place entre avril 2018 et décembre 2020.
Bien que la protection des renseignements personnels soit une responsabilité partagée au sein du Ministère, l’audit portait sur les activités de gouvernance et de gestion des risques de la Direction de l’accès à l’information et de la protection des renseignements personnels du Ministère, qui est l’autorité déléguée pour la gestion de la protection des renseignements personnels.
Domaines visés par l’audit et taux d’assurance*
Texte alternatif
*Définition de la Côte d’assurance (de l’Institut des auditeurs internes [IAI]):
Atteint – Les éléments probants de l’audit appuient suffisamment les attentes de l’audit définies dans les critères.
Partiellement atteint – Certains éléments probants appuient les attentes de l’audit définies dans les critères, mais des améliorations sont nécessaires.
Non atteint – Les éléments probants de l’audit sont insuffisants pour appuyer les attentes de l’audit définies dans les critères.
Conclusion
Le Ministère a mis en place des politiques, des procédures, des processus et des contrôles pour favoriser la conformité du Ministère à la Loi sur la protection des renseignements personnels et la prestation des programmes et des services liés au traitement de renseignements personnels. Il existe toutefois des possibilités de renforcer les pratiques en matière de protection des renseignements personnels par la mise en œuvre d’un cadre de gestion de la protection des renseignements personnels, l’adoption d’une politique interne d’évaluation des facteurs relatifs à la vie privée et l’élaboration d’un plan stratégique de protection des renseignements personnels qui tient compte des risques émergents, de la sensibilisation à la protection des renseignements personnels et de la capacité en matière des ressources.
Recommandations
- La directrice générale et secrétaire générale devrait finaliser et mettre en œuvre un cadre de gestion de la protection des renseignements personnels pour soutenir la gestion et la surveillance des pratiques ministérielles en la matière.
- La directrice générale et secrétaire générale devrait élaborer et mettre en œuvre une politique ministérielle d’évaluation des facteurs relatifs à la vie privée afin de renforcer les pratiques de gestion des risques liés à la protection des renseignements personnels.
- La directrice générale et secrétaire générale devrait élaborer un plan stratégique pour harmoniser la gestion de la protection des renseignements personnels avec les principales données et initiatives numériques ministérielles pour accroître la sensibilisation à la protection des renseignements personnels et pour déterminer les ressources adéquates.
Énoncé de conformité
L’audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes, de même qu’à la politique et à la directive du Conseil du Trésor (CT) sur l’audit interne, comme en témoignent les résultats de l’évaluation externe de l’assurance de la qualité.
Constatations et recommandations
La présente section présente les principales constatations. Elle est divisée en trois domaines liés à la surveillance assurée par un cadre de gestion de la protection des renseignements personnels, à la gestion des risques et à l’importance des évaluations des facteurs relatifs à la vie privée ainsi qu’à la planification stratégique et opérationnelle.
1. Surveillance – Cadre de gestion de la protection des renseignements personnels
Aux termes de la Politique sur la protection de la vie privée du Conseil du Trésor (CT) du Canada, les responsables des institutions doivent surveiller la conformité à l’administration de la Loi sur la protection des renseignements personnels. La surveillance de la conformité nécessite un instrument de politique ou une infrastructure qui définit les attentes en matière de protection des renseignements personnels. Le plus souvent, cela se fait par la mise en œuvre d’un cadre de gestion de la protection des renseignements personnels. Le cadre doit documenter et attribuer les rôles et les responsabilités et doit établir la base de la détermination des structures ministérielles, des ressources et des paramètres à utiliser pour mesurer et surveiller la conformité en matière de protection des renseignements personnels. Le cadre contribue également à promouvoir la bonne gouvernance, la responsabilisation et la surveillance continue des pratiques en matière de protection des renseignements personnels.
En 2018-2019, la Direction de l’accès à l’information et de la protection des renseignements personnels a défini la nécessité d’une approche centralisée, coordonnée et cohérente de la gestion de la protection des renseignements personnels dans tous les programmes. Peu après, la Direction a commencé à élaborer un cadre de gestion de la protection des renseignements personnels afin de mieux normaliser et unifier les pratiques et politiques du Ministère en la matière. A ce jour, ce cadre demeure à l’état d’ébauche.
Bien que le Ministère ait mis en place des éléments de contrôle interne et des pratiques de gestion des risques pour soutenir la conformité à la Loi sur la protection des renseignements personnels (voir la section 2), ces éléments ne sont pas reliés, organisés ou soutenus de manière à permettre une surveillance adéquate. La complexité même des activités du Ministère et la diversité de ses pratiques en matière de protection des renseignements personnels exigent un cadre pour réduire les incohérences, combler les lacunes en matière de conformité et gérer le risque d’atteinte à la vie privée.
En outre, la Direction de l’accès à l’information et de la protection des renseignements personnels ne dispose pas de tous les outils dont elle a besoin, comme des politiques internes particulières et des procédures entièrement documentées, pour superviser correctement la conformité aux pratiques ministérielles en matière de protection des renseignements personnels. L’analyse effectuée a montré que la direction dispose de moyens limités pour établir et documenter les plans, les programmes ou les activités qui présentent un risque pour la vie privée des personnes ou de l’organisation. Bien que les évaluations des facteurs relatifs à la vie privée servent de substitut raisonnable pour de telles activités, la direction ne surveille pas systématiquement le rendement des évaluations, et par conséquent, la mise en œuvre des recommandations qui en découlent ne fait pas l’objet d’un suivi.
Recommandation 1
La directrice générale et secrétaire générale devrait finaliser et mettre en œuvre un cadre de gestion de la protection des renseignements personnels pour soutenir la gestion et la surveillance des pratiques ministérielles en la matière.
2. Risque – Pratiques de gestion de la protection des renseignements personnels
2.1 Évaluation des facteurs relatifs à la vie privée
La Politique sur la protection de la vie privée du Conseil du Trésor prévoit que les responsables des institutions établissent des pratiques pour la protection et la gestion des renseignements personnels. Dans l’ensemble du gouvernement, la gestion du risque d’atteinte à la vie privée et les contrôles internes varient d’une organisation à l’autre, mais doivent comprendre, au minimum, un processus d’élaboration et d’approbation de l’évaluation des facteurs relatifs à la vie privée ainsi que des plans et des procédures pour traiter les atteintes à la vie privée.
Une évaluation des facteurs relatifs à la vie privée est utilisée lors de la conception d’un programme ou d’un service, pour aider les responsables du programme à cibler et à analyser les risques pour la vie privée. Il s’agit sans doute de l’outil le plus important dont disposent les institutions pour gérer les risques liés à la protection des renseignements personnels et pour soutenir la conformité à la Loi sur la protection des renseignements personnels.
Le Ministère s’appuie sur la directive du Conseil du Trésor pour guider l’exécution des évaluations des facteurs relatifs à la vie privée. La page d’accueil de la Direction de l’accès à l’information et de la protection des renseignements personnels et Modus contiennent un lien vers la directive et complètent la directive du Conseil du Trésor par des conseils intégrés dans le modèle d’évaluation des facteurs relatifs à la vie privée du Ministère, qui consiste en une copie annotée de l’annexe C de la directive du Conseil du Trésor. Bien que la directive du Conseil du Trésor énonce des obligations et des exigences générales pour la réalisation d’évaluations des facteurs relatifs à la vie privée, elle est conçue comme un cadre pangouvernemental des évaluations des facteurs relatifs à la vie privée. Elle ne tient pas compte de critères importants tels que le mandat, les programmes ou les services du Ministère. Elle ne tient pas compte non plus des particularités des pratiques, des processus et du personnel du Ministère.
La majorité des organisations disposant d’une politique officielle ont intégré les résultats des évaluations des facteurs relatifs à la vie privée dans leur cadre général de gestion des risques. Ces organisations mettent généralement en place des contrôles centralisés pour assurer un suivi continu de la conformité. Les politiques d’évaluation des facteurs relatifs à la vie privée aident à créer et officialiser des liens entre les services clés du Ministère tels que les technologies de l’information, la gestion de l’information ainsi que la politique et la planification stratégiques, qui peuvent tous servir de portes d’entrées essentielles à la réalisation d’évaluations des facteurs relatifs à la vie privée. De plus, les organisations dotées de politiques ont généralement des processus et des pratiques beaucoup plus matures. En l’absence d’obligations officielles prévues dans les politiques, les processus et les pratiques des institutions moins matures reposent largement sur l’intuition du programme et la reconnaissance par un employé de la nécessité d’une évaluation des facteurs relatifs à la vie privée. Ainsi, l’approche des évaluations des facteurs relatifs à la vie privée pour les institutions moins matures demeure ponctuelle.
Le processus du Ministère se situe quelque part entre ces deux extrêmes; il n’est ni ponctuel ni optimisé. Le Ministère dispose d’un processus établi, mais il manque des éléments importants à ce processus pour soutenir la conformité. Par exemple, la Direction de l’accès à l’information et de la protection des renseignements personnels a créé un questionnaire sur la protection des renseignements personnels pour permettre aux secteurs de programme et à la direction de déterminer s’il faut procéder à une évaluation des facteurs relatifs à la vie privée lors de la conception d’un programme ou d’un service. Cependant, les secteurs de programme ou les secteurs fonctionnels ne sont pas nécessairement au courant des obligations découlant de la directive, des responsabilités dans le cadre du processus d’évaluation des facteurs relatifs à la vie privée ni de l’existence du questionnaire sur la protection des renseignements personnels. Actuellement, la qualité des évaluations et la manière dont elles sont réalisées (y compris le fait qu’une évaluation soit ou non lancée) dépendent largement des connaissances et de la motivation de chaque programme, fonction et employé.
Le Ministère gagnerait à se doter d’une politique ministérielle pour appuyer le lancement, l’exécution, l’examen et la surveillance des évaluations des facteurs relatifs à la vie privée. L’absence de politique peut entraîner des lacunes dans la réalisation des évaluations des facteurs relatifs à la vie privée. L’absence de politique peut également avoir un effet direct et mesurable sur l’efficacité et la qualité des évaluations des facteurs relatifs à la vie privée réalisées et sur la mesure dans laquelle elles sont effectuées (voir la recommandation 2).
2.2 Atteintes à la vie privée
La Directive sur les pratiques relatives à la protection de la vie privée du CT exige que les institutions fédérales établissent des plans et des procédures pour gérer les atteintes à la vie privée. Cette exigence incombe généralement au coordonnateur de l’accès à l’information et de la protection des renseignements personnels (AIPRP) d’une institution. Les coordonnateurs de l’AIPRP et leurs bureaux doivent gérer le cycle de vie d’une atteinte à la vie privée, enquêter sur l’atteinte à la vie privée et aviser le Secrétariat du Conseil du Trésor et le Commissariat à la protection de la vie privée, au besoin. Ce sont les seuls interlocuteurs de l’institution lors de la notification des organismes centraux.
Atteintes au cours des trois derniers exercices :
- 2017-2018 – 3 atteintes
- 2018-2019 – 2 atteintes
- 2019-2020 – 2 atteintes
L’audit a comporté un examen des atteintes signalées récemment (voir l’encadré). Une atteinte à la vie privée suppose la collecte, l’usage, la communication, la conservation ou le retrait inappropriés ou non autorisés de renseignements personnels. Si les atteintes supposent souvent un incident de sécurité, elles ne se limitent pas à une violation de la sécurité des données. Les atteintes à la vie privée, qu’elles soient intentionnelles ou involontaires, peuvent avoir des répercussions sur la réputation. Les risques que court une personne en cas d’atteinte à sa vie privée sont notamment un préjudice à sa réputation, un préjudice financier et, dans certains cas, un préjudice personnel ou une persécution. Pour une organisation, une atteinte peut entraîner une diminution de la confiance du public, mettre l’organisation dans l’embarras et entacher sa crédibilité.
Le Ministère dispose d’un processus officiel de signalement des atteintes à la vie privée et a publié des procédures de signalement des atteintes à la vie privée décrites dans les Lignes directrices sur les atteintes à la vie privée de la Direction de l’accès à l’information et de la protection des renseignements personnels. Toutefois, les protocoles relatifs aux atteintes dépendent fortement de la découverte ou de la constatation d’une atteinte. Dans le Rapport annuel au Parlement 2019-2020, le commissaire à la protection de la vie privée a noté que le nombre d’atteintes à la vie privée signalées pourrait ne représenter qu’une petite partie des atteintes qui se produisent réellement, compte tenu des volumes importants de renseignements personnels de nature très délicate que le Ministère gère. Le commissaire souligne que des mesures doivent être prises pour résoudre tout problème lié à une sous-déclaration systémique (voir la section relative à la planification stratégique et à la sensibilisation).
En résumé, des pratiques efficaces de gestion des risques sont essentielles à la protection et à la gestion des renseignements personnels. Bien que le Ministère ait mis en place des processus et des protocoles de signalement des atteintes, il est possible d’améliorer ses pratiques de gestion des risques d’atteinte à la vie privée par l’élaboration d’une politique officielle qui définirait clairement les rôles et les responsabilités, les exigences et les attentes.
Recommandation 2
La directrice générale et secrétaire générale devrait élaborer et mettre en œuvre une politique ministérielle d’évaluation des facteurs relatifs à la vie privée afin de renforcer les pratiques de gestion des risques liés à la protection des renseignements personnels.
3. Planification stratégique et opérationnelle
3.1 Planification stratégique
La planification stratégique permet à une fonction de se lier clairement aux priorités les plus pressantes de l’organisation, de créer une prise de conscience et d’améliorer sa capacité à identifier et à s’adapter aux nouveaux risques liés à la protection des renseignements personnels. L’audit visait à déterminer dans quelle mesure la Direction de l’accès à l’information et de la protection des renseignements personnels participait à la planification stratégique de la protection des renseignements personnels en tant qu’élément central du cadre de gestion de la protection des renseignements personnels du Ministère.
La Direction de l’accès à l’information et de la protection des renseignements personnels prend part aux activités de planification. Bien que l’accent ait été mis sur les questions opérationnelles immédiates et urgentes, la direction a également mené des activités de planification stratégique structurées et dirigées par des professionnels au cours des dernières années. Cependant, la direction n’a pas encore participé activement à un exercice de planification stratégique complet pour relier les initiatives du Ministère en matière de données. Il a également été noté que de nombreuses initiatives ministérielles centrées sur l’utilisation des données ne comportent pas expressément de considérations relatives à la protection des renseignements personnels, ni d’ailleurs de dispositions relatives au traitement approprié des renseignements personnels.
Les technologies numériques ont radicalement changé les besoins et les comportements des Canadiens. Les attentes concernant les programmes, les biens et les services ont également changé. Par conséquent, les institutions fédérales sont invitées à approfondir rapidement leur expertise en matière de gestion des données et à concevoir de nouveaux moyens d’exploiter la valeur de leurs fonds de données. Ces efforts devraient transformer fondamentalement le mode de fonctionnement des ministères fédéraux. Selon la stratégie de données du Ministère, la mission a pour objectif de donner aux employés les moyens de recueillir, d’analyser et d’utiliser des données de haute qualité et d’y accéder pour éclairer la prise de décisions concernant les programmes. Ces objectifs témoignent non seulement des attentes au sein du Ministère concernant l’amélioration de la collecte et de l’utilisation des données, mais aussi des changements importants en cours qui auront une incidence sur les pratiques de protection des renseignements personnels.
Il sera essentiel d’intégrer la protection des renseignements personnels dans le processus de prise de décisions stratégiques pour veiller à ce que les programmes et les activités découlant des initiatives stratégiques tiennent compte de la protection des renseignements personnels. Un plan stratégique de protection des renseignements personnels à plus long terme permettrait de clarifier, d’orienter, de faire connaître et de préciser les plans et priorités non officiels de la Direction de l’accès à l’information et de la protection des renseignements personnels. Ce plan contribuerait également à l’harmonisation stratégique de la protection des renseignements personnels avec d’importantes initiatives ministérielles de gestion des données (voir la recommandation 3).
3.2. Planification opérationnelle
En mars 2020, la Direction de l’accès à l’information et de la protection des renseignements personnels employait 58 équivalents temps plein. La grande majorité de son personnel se consacre toutefois à répondre aux nombreuses demandes d’accès à l’information du Ministère. Deux employés seulement – un chef d’équipe et un analyste – se consacrent à la conformité et à la gouvernance en matière de protection des renseignements personnels, un effectif qui, comparativement à d’autres institutions fédérales de taille similaire, ne convient pas aux risques et aux responsabilités du Ministère en matière de protection des renseignements personnels. Ces responsabilités comprennent la réponse aux incidents liés aux renseignements personnels et aux atteintes à la vie privée ainsi que la communication de conseils et de recommandations en matière de protection des renseignements personnels à des centaines de responsables de programmes relativement à de nouvelles activités de programmes.
La direction soutient que le manque de personnel l’a empêchée de prendre part plus activement à la surveillance de la conformité, au contrôle de la qualité, aux suivis et aux évaluations. Les limites en matière de suivi peuvent également priver la direction de certains des éléments dont elle a besoin pour la planification stratégique. Il sera important pour la direction de définir les ressources adéquates qui lui permettront de remplir son mandat.
Recommandation 3 :
La directrice générale et secrétaire générale devrait élaborer un plan stratégique pour harmoniser la gestion de la protection des renseignements personnels avec les principales données et initiatives numériques ministérielles pour accroître la sensibilisation à la protection des renseignements personnels et pour déterminer les ressources adéquates.
Conclusion
Le Ministère a mis en place des politiques, des procédures, des processus et des contrôles pour favoriser la conformité du Ministère à la Loi sur la protection des renseignements personnels et la prestation des programmes et des services liés au traitement de renseignements personnels. Il existe toutefois des possibilités de renforcer les pratiques en matière de protection des renseignements personnels par la mise en œuvre d’un cadre de gestion de la protection des renseignements personnels, l’adoption d’une politique interne d’évaluation des facteurs relatifs à la vie privée et l’élaboration d’un plan stratégique de protection des renseignements personnels qui tient compte des risques émergents, de la sensibilisation à la protection des renseignements personnels et de la capacité en matière des ressources.
Annexe A : À propos de l’audit
Objectif
L’audit avait pour objectif de donner l’assurance que le Ministère a mis en place des politiques, des procédures, des processus et des contrôles pour soutenir la conformité à la Loi sur la protection des renseignements personnels et la prestation efficace des programmes et des services.
Portée
L’audit a évalué les politiques, procédures, processus et systèmes de protection des renseignements personnels à l’échelle du Ministère qui étaient en place entre avril 2018 et décembre 2020 et qui soutiennent la conformité à la Loi sur la protection des renseignements personnels et l’efficacité de l’exécution des programmes et de la prestation des services. L’audit a porté sur les activités de politique et de gouvernance de la Direction de l’accès à l’information et de la protection des renseignements personnels en tant qu’autorité déléguée du Ministère pour la gestion des pratiques de protection des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels.
Bien que l’audit, tel qu’il a été conçu, ait porté sur les pratiques de protection des renseignements personnels du Ministère dans son ensemble, il ne comprenait pas une évaluation approfondie des pratiques de traitement des renseignements personnels des programmes individuels ou des services ministériels d’AMC. L’audit ne comprenait pas non plus d’examen de la sécurité ou des mesures de protection entourant les fonds de renseignements personnels du Ministère. Un audit de la sécurité informatique et de la gestion des menaces et des vulnérabilités a été réalisé en juin 2019, et des audits portant sur des programmes en particulier et des services ministériels ont été intégrés dans les plans d’audit axés sur les risques du Ministère.
Critères
Les critères ont été élaborés à la suite de l’évaluation détaillée des risques, et l’étude a porté sur les critères d’audit relatifs au cadre de responsabilisation de gestion établi par le Bureau du contrôleur général du Secrétariat du Conseil du Trésor. Les critères d’audit ont fait l’objet d’une discussion et d’un accord avec l’entité vérifiée.
Les critères d’audit sont des attentes raisonnables et réalisables par rapport auxquelles la conformité, la pertinence des contrôles et le rendement général sont évalués. Ces critères d’audit sont fondés sur les lois et règlements, les politiques, les lignes directrices, les normes de l’industrie généralement reconnues, les résultats d’audits précédents et d’autres critères élaborés en consultation avec la haute direction du programme. Les critères suivants ont été évalués pendant l’audit et constituent le fondement de l’élaboration des observations et des recommandations découlant de l’audit.
- Atteint – Les éléments probants de l’audit appuient suffisamment les attentes des critères de l’audit comme ayant été atteintes (par exemple, les contrôles appropriés et proportionnels au risque ont été observés et fonctionnent efficacement).
- Partiellement atteint – Les éléments probants de l’audit appuient principalement les attentes des critères de l’audit, mais des améliorations sont nécessaires (par exemple, certains contrôles sont en place et certains fonctionnent efficacement) – des recommandations ont été formulées.
- Non atteint – Les éléments probants de l’audit sont insuffisants pour appuyer les attentes des critères de l’audit – (par exemple, les contrôles ne sont pas en place ou ne fonctionnent pas efficacement) – l’exposition au risque est élevée; des recommandations ont été formulées.
| Critères d’audit | Atteint/partiellement atteint/non atteint |
|---|---|
| 1. Le Ministère a mis en place un régime de gouvernance pour mettre en place des mesures adéquates de surveillance, d’examen et de gestion des activités qui supposent la collecte, l’utilisation et la communication de renseignements personnels. | Partiellement atteint |
| 1.1 Le Ministère dispose d’un plan ou d’une stratégie de protection des renseignements personnels pour faire face aux nouveaux problèmes et obligations en la matière et aux événements spéciaux. | Partiellement atteint |
| 1.2 Le Ministère a mis en place un cadre de gestion de la protection des renseignements personnels pour soutenir la gestion et la surveillance des pratiques de protection des renseignements personnels à l’échelle de l’organisation. | Partiellement atteint |
| 1.3 Les ressources humaines affectées à la politique de protection des renseignements personnels, à la gouvernance et à la gestion des pratiques en matière de protection des renseignements personnels sont proportionnelles aux risques auxquels le Ministère est exposé en matière de protection des renseignements personnels. | Partiellement atteint |
| 2. Le Ministère a mis en place des pratiques de gestion du risque et des contrôles internes pour soutenir la conformité à la Loi sur la protection des renseignements personnels et à ses politiques et directives connexes. | Partiellement atteint |
| 2.1 Le Ministère a mis en place une politique et un processus d’évaluation des facteurs relatifs à la vie privée afin de déterminer, d’évaluer et d’atténuer les risques d’atteinte à la vie privée associés aux activités nouvelles ou modifiées qui supposent l’utilisation de renseignements personnels. | Partiellement atteint |
| 2.2 Le Ministère a mis en place des plans et des procédures pour l’évaluation des atteintes à la vie privée, la tenue d’enquêtes sur ces atteintes et leur signalement. | Atteint |
| 2.3 Le Ministère a élaboré et mis en œuvre des contrôles internes pour aider à cibler et à signaler les pratiques organisationnelles qui pourraient contrevenir à la Loi sur la protection des renseignements personnels ou aux politiques et directives connexes. | Atteint |
Approche et méthodologie
L’audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes ainsi qu’à la Directive sur l’audit interne et à la Politique sur l’audit interne du CT. En vertu de ces normes, l’audit doit être planifié et exécuté de manière à obtenir l’assurance raisonnable que l’objectif de l’audit a été atteint.
Annexe B : Recommandations, réponses et plans d’action de la direction
| Recommandation | Réponse de la direction | Plan d’action de la direction | Date prévu de mise en œuvre | Secteur Responsable |
|---|---|---|---|---|
| 1. La directrice générale et secrétaire générale devrait finaliser et mettre en œuvre un cadre de gestion de la protection des renseignements personnels pour soutenir la gestion et la surveillance des pratiques ministérielles en la matière. | La direction est d’accord avec la recommandation. | La Direction de l’accès à l’information et de la protection des renseignements personnels (DCP) prendra des mesures pour compléter le cadre de gestion de la protection des renseignements personnels d’AMC. L’ébauche du cadre sera enrichie pour inclure des facteurs propres à AMC et pour façonner l’approche de la protection des renseignements personnels. Des principes directeurs en matière de protection des renseignements personnels et les pratiques équitables en matière de renseignements seront ajoutés au cadre. Le cadre sera élargi pour inclure un ensemble de mécanismes visant à protéger les renseignements personnels à AMC. Une fois mis en œuvre, le cadre aidera à assurer le respect des diverses lois, règlements, politiques et directives sur la protection des renseignements personnels qui s’appliquent à AMC et reflétera la valeur qu’AMC accorde à la protection des renseignements personnels, ce qui suscitera la confiance. | Décembre 2021 Comprend l’examen et l’approbation par la direction | Secrétaire des services intégrés (DCD) |
| 2. La directrice générale et secrétaire générale devrait élaborer et mettre en œuvre une politique ministérielle d’évaluation des facteurs relatifs à la vie privée afin de renforcer les pratiques de gestion des risques liés à la protection des renseignements personnels. | La direction est d’accord avec la recommandation. | DCP développera une politique d’évaluation des facteurs relatifs à la vie privée d’AMC. Cette politique sera adaptée aux circonstances propres à AMC tout en utilisant la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor et le document Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée du Commissariat à la protection de la vie privée du Canada, qui serviront de principe directeur et de fondement. DCP tient également à souligner que les évaluations des facteurs relatifs à la vie privée sont généralement réalisées par des consultants externes et qu’elles prennent beaucoup de temps et d’argent. L’équipe responsable de la politique de la protection des renseignements personnels a élaboré un outil d’analyse de la protection des renseignements personnels fondé sur l’utilisation du questionnaire sur la confidentialité que les responsables des programmes remplissent à l’étape initiale du processus de protection des renseignements personnels. Cette approche permet aux parties prenantes d’affecter leurs ressources aux domaines où les risques et les préjudices potentiels pour les personnes sont les plus importants et d’atténuer ces risques, créant ainsi de meilleurs résultats et une protection plus efficace des renseignements personnels. Grâce à cet outil, nous sommes en mesure de fournir des conseils structurés et constructifs sur des dizaines d’activités et d’initiatives. Nous proposons aux programmes un délai d’exécution rapide et un coût minimal. L’objectif de l’outil d’analyse de la protection des renseignements personnels sera documenté et communiqué aux programmes. Une analyse de la gestion des risques liés à la protection des renseignements personnels sera entreprise. Les facteurs de risque seront définis et comprendront la quantité de renseignements personnels concernés, la sensibilité des renseignements personnels, la taille et le degré de vulnérabilité de la population, l’incidence sur les individus et la durée du programme. Lorsque l’analyse des risques aura été entreprise, une feuille de route pour les programmes à haut risque sera élaborée. Cette feuille de route examinera la responsabilité, limitera la collecte de renseignements personnels, l’utilisation et la manière dont les renseignements peuvent être partagés et avec qui, ainsi que l’entreposage et la conservation. Cette feuille de route couvrirait l’utilisation de fournisseurs tiers hébergeant la collecte de renseignements personnels par GAC. Le plan tiendrait également compte de l’environnement unique d’AMC, dont une grande partie du travail est effectuée dans des missions à l’extérieur du Canada, avec diverses considérations internationales en matière de protection des renseignements personnels. | Mars 2022 | Secrétaire des services intégrés (DCD) |
| 3. La directrice générale et secrétaire générale devrait élaborer un plan stratégique pour harmoniser la gestion de la protection des renseignements personnels avec les principales données et initiatives numériques ministérielles pour accroître la sensibilisation à la protection des renseignements personnels et pour déterminer les ressources adéquates. | La direction est d’accord avec la recommandation. | Lorsque les recommandations 1 et 2 seront achevées, un plan stratégique de niveau supérieur sera élaboré. Ce plan illustrera les liens avec les initiatives et activités clés du Ministère. Le plan portera en particulier sur les données et les initiatives numériques. DCP se réunira très prochainement avec le groupe des Opérations infonuagiques afin de s’assurer que la protection des renseignements personnels est intégrée dans l’état futur proposé des Opérations infonuagiques au sein d’AMC. Il sera nécessaire de continuer à travailler en étroite collaboration avec la GI-TI. La relation actuelle avec la GI-TI a été renforcée, et un examen de la protection des renseignements personnels est une étape nécessaire pour recevoir une approbation de la gestion de l’évaluation des logiciels. Il est essentiel que cette relation se poursuive et se développe. La planification stratégique permettra de désigner les ressources adéquates pour atteindre les principaux objectifs. La direction a déjà entrepris des mesures de recrutement pour augmenter sa capacité par l’ajout de nouvelles ressources. La formation est un élément clé de la réalisation des recommandations 2 et 3. Un programme de formation serait élaboré dans les deux langues officielles pour expliquer le processus de protection des renseignements personnels à AMC. La formation comprendrait les éléments importants à prendre en compte lors de la consultation de DCP, notamment le fait de savoir si des renseignements personnels sont recueillis, la sensibilité de ces renseignements, la manière dont ils seront recueillis, utilisés, partagés, entreposés et éliminés. La direction de DCP peut utiliser les modules de formation pour intégrer le processus de protection des renseignements personnels dans les initiatives et activités stratégiques et supérieures du Ministère. L’incidence de la formation doit être mesurée à l’aide de l’assiduité et d’autres paramètres. Ces paramètres donnent à la direction une image claire de ce qui se passe dans le Ministère. DCP élaborera un programme de sensibilisation à la protection des renseignements personnels qui renforcera le message sur la protection des renseignements personnels par des rappels; une publicité continue et des mécanismes tels que des jeux-questionnaires, des affiches, des dépliants et des écrans vidéo dans les halls d’entrée. Le renforcement de ce message assure une plus grande sensibilisation à la protection des renseignements personnels, ce qui peut réduire efficacement le risque d’atteinte à la vie privée ou de divulgation accidentelle. Lorsqu’ils sont mis en œuvre de manière efficace, les programmes de formation et de sensibilisation peuvent aller au-delà de ce qui est prévu dans les politiques et procédures de protection des renseignements personnels pour façonner les comportements attendus et les pratiques exemplaires. Dans la mesure du possible, l’intégration à d’autres programmes de formation et de sensibilisation permettrait de renforcer le message. | Juin 2022 | Secrétaire des services intégrés (DCD) |
