Directive sur les pratiques relatives à la protection de la vie privée

Préparer un fichier de renseignements personnels (FRP) :

• C.2.2.1.1

  avant d’entreprendre un nouveau programme ou une nouvelle activité qui comprend l’utilisation de renseignements personnels pour l’une ou l’autre des raisons suivantes :

  • C.2.2.1.1.1à des fins administratives,
  • C.2.2.1.1.2lorsque les renseignements personnels sont organisés de façon à pouvoir être retrouvés par référence au nom d’une personne ou à un numéro, symbole ou autre indication identificatrice propre à et consultables d’après le nom d’un individu ou d’après un numéro d’identification, un symbole ou une autre indication identificatrice propre à cet individu;
• C.2.2.1.2

  lorsqu’il n’existe pas de FRP pour une activité ou un programme existant qui comprend l’utilisation des renseignements personnels pour l’une ou l’autre des raisons suivantes :

  • C.2.2.1.2.1à des fins administratives,
  • C.2.2.1.2.2lorsque les renseignements personnels sont organisés de façon à pouvoir être retrouvés par référence au nom d’une personne ou à un numéro, symbole ou autre indication identificatrice propre à et consultables d’après le nom d’un individu ou d’après un numéro d’identification, un symbole ou une autre indication identificatrice propre à cet individu.

Mettre à jour un FRP existant lorsque :

• C.2.2.2.1des modifications importantes doivent être apportées au programme ou à l’activité;
• C.2.2.2.2des modifications rédactionnelles ou des corrections doivent être apportées au FRP.

Pour enregistrer, mettre à jour, transférer ou éliminer un FRP :

• C.2.2.4.1soumettre une demande au Secrétariat du Conseil du Trésor du Canada (SCT);
• C.2.2.4.2examiner les recommandations du SCT et y donner suite;
• C.2.2.4.3obtenir l’approbation du président du Conseil du Trésor, sauf indication contraire dans les conditions d’une délégation en vertu du paragraphe 71(6) de la Loi sur la protection des renseignements personnels;
• C.2.2.4.4mettre à jour le répertoire établi par le SCT pour les nouveaux FRP et les FRP modifiés de façon importante, édités ou éliminés.

Pour préparer, mettre à jour, transférer ou éliminer un FRP, se servir du formulaire suivant :

• C.2.2.5.1Formulaire de soumission du fichier de renseignements personnels, voir les Formulaires du Secrétariat du Conseil du Trésor du Canada pour plus de renseignements.

Documenter les décisions de mettre en œuvre ou de mettre à jour des évaluations des facteurs relatifs à la vie privée (EFVP), des EFVP multi-institutionnelles et des protocoles de protection des renseignements personnels :

• C.2.2.6.1avant d’entreprendre un nouveau programme ou une nouvelle activité qui prévoit la création, la collecte, l’usage, la communication, la conservation ou le retrait de renseignements personnels;
• C.2.2.6.2lorsque l’institution a l’intention de modifier de façon importante une activité ou un programme existant;
• C.2.2.6.3

  au moyen de la liste de vérification suivante :

  • C.2.2.6.3.1Liste de vérification relative à la protection de la vie privée, voir les Formulaires du Secrétariat du Conseil du Trésor du Canada pour plus de renseignements.

Obtenir l’approbation de la liste de vérification relative à la protection de la vie privée auprès des personnes suivantes :

• C.2.2.7.1le cadre supérieur chargé de gérer le programme ou l’activité;
• C.2.2.7.2l’agent responsable de l’application de l’article 10 de la Loi sur la protection des renseignements personnels.

Réaliser une EFVP ou mettre à jour une EFVP existante :

• C.2.2.9.1avant d’entreprendre un nouveau programme ou une nouvelle activité qui comprend la création, la collecte, l’usage, la communication, la conservation ou le retrait de renseignements personnels à des fins administratives;
• C.2.2.9.2

  lorsque des modifications importantes doivent être apportées à une activité ou un programme existant qui comprend l’utilisation de renseignements personnels à des fins administratives, notamment pour l’une ou l’autre des raisons suivantes :

  • C.2.2.9.2.1l’utilisation d’une technologie de l’information ou d’un autre processus nouveau ou modifié,
  • C.2.2.9.2.2la participation d’une autre institution ou d’un tiers dans le cadre d’un contrat, d’un accord ou d’une entente avec l’institution,
  • C.2.2.9.2.3l’utilisation d’un système décisionnel automatisé qui nécessiterait la conformité avec la Directive sur la prise de décisions automatisée;
• C.2.2.9.3lorsque l’agent responsable de l’application de l’article 10 de la Loi sur la protection des renseignements personnels estime qu’une EFVP est justifiée compte tenu des risques liés à tout usage à des fins administratives ou non administratives de renseignements personnels;
• C.2.2.9.4lorsqu’il n’y a pas de FRP pour une activité ou un programme existant qui comprend l’utilisation de renseignements personnels à des fins administratives.

Lors de la réalisation d’une EFVP ou de la mise à jour d’une EFVP existante, se servir du modèle suivant :

• C.2.2.11.1Modèle d’évaluation des facteurs relatifs à la vie privée, voir les Formulaires du Secrétariat du Conseil du Trésor du Canada pour plus de renseignements.

Fournir au SCT et au Commissariat :

• C.2.2.12.1toutes les EFVP achevées;
• C.2.2.12.2toute information relative à une EFVP demandée par le SCT ou le Commissariat, dans le respect du caractère confidentiel des documents du Cabinet.

Après l’approbation de l’EFVP, publier un résumé conforme aux exigences juridiques, de sécurité et de confidentialité, en utilisant le modèle suivant :

• C.2.2.15.1Résumé de l’évaluation des facteurs relatifs à la vie privée (résumé Web), voir les Formulaires du Secrétariat du Conseil du Trésor du Canada pour plus de renseignements.

S’assurer que le protocole de protection des renseignements personnels comprend au moins les éléments suivants :

• C.2.2.19.1le nom du programme ou de l’activité;
• C.2.2.19.2le nom et les coordonnées du cadre responsable du programme ou de l’activité;
• C.2.2.19.3une description du programme ou de l’activité;
• C.2.2.19.4les fins de la collecte des renseignements personnels;
• C.2.2.19.5l’autorité légitime pour la collecte des renseignements personnels;
• C.2.2.19.6les éléments des renseignements personnels collectés dans le cadre du programme ou de l’activité;
• C.2.2.19.7si la collecte de renseignements personnels a fait l’objet d’un avis en bonne et due forme;
• C.2.2.19.8

  si les renseignements personnels seront communiqués, et dans l’affirmative :

  • C.2.2.19.8.1les fins de la communication des renseignements personnels,
  • C.2.2.19.8.2l’autorité légitime pour la communication des renseignements personnels;
• C.2.2.19.9les mesures mises en place pour protéger les renseignements personnels;
• C.2.2.19.10 les normes de conservation et de retrait qui s’appliqueront au programme ou à l’activité.

Lors de l’enregistrement, de la modification ou du transfert d’un FRP pour un programme ou une activité qui comprend l’utilisation de renseignements personnels à des fins non administratives, fournir au SCT et au Commissariat:

• C.2.2.21.1le protocole de protection des renseignements personnels approuvé pour le programme ou l’activité;
• C.2.2.21.2tout renseignement lié au protocole de protection des renseignements personnels qu’ils ont demandé, tout en respectant le caractère confidentiel des documents du Cabinet.