Archivée [2021-04-01] - Directive intérimaire sur les pratiques relatives à la protection de la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

1. Date d'entrée en vigueur

1.1 La présente Directive est en vigueur du 13 mars 2020 au 31 mars 2021.

1.2 Elle remplace la Directive sur les pratiques relatives à la protection de la vie privée datée du 6 mai 2014.

2. Application

2.1 La présente Directive s'applique aux institutions fédérales visées par l'article 3 de la Loi sur la protection des renseignements personnels, y compris toute société d'État mère ou filiale en propriété exclusive d'une telle société, le cas échéant.

2.2 La présente Directive ne s'applique pas à la Banque du Canada.

3. Contexte

3.1 La Loi sur la protection des renseignements personnels (la Loi) et le Règlement sur la protection des renseignements personnels (le Règlement) constituent le cadre juridique régissant la création, la collecte, la conservation, l'utilisation, la divulgation, le retrait et l'exactitude des renseignements personnels dans l'administration des programmes et des activités par les institutions fédérales.

3.2 En vertu de la Loi, les responsables de toutes les institutions fédérales sont tenus d'identifier, de décrire et de rendre publics les fichiers de renseignements personnels (FRP) de leur institution et leurs catégories de renseignements personnels dans la publication annuelle du Secrétariat du Conseil du Trésor du Canada (SCT) intitulée Info Source. Les descriptions dans Info Source des FRP et des catégories de renseignements personnels indiquent la façon dont les institutions fédérales informent le public et les employés de la fonction publique sur les renseignements personnels qu'elles recueillent et sur leur méthode de traitement, d'utilisation, de conservation et de retrait de ces renseignements. Info Source contribue à permettre aux individus d'exercer leurs droits conférés par la Loi.

3.3 En vertu de la Politique intérimaire sur la protection de la vie privée, les responsables des institutions fédérales doivent adopter les pratiques de gestion et de protection des renseignements personnels dont leur institution est responsable en vue de s'assurer que la Loi est administrée de façon juste et uniforme. La présente Directive appuie la Politique par l'établissement des exigences en matière de saines pratiques de gestion de la vie privée et de traitement des renseignements personnels.

3.4 Le président du Conseil du Trésor (président), à titre de ministre désigné pour l'application des alinéas 71(1)a) et b) de la Loi, assume la responsabilité générale de l'enregistrement de tous les FRP et de l'examen du mode de gestion de ces derniers pour toutes les institutions fédérales. Outre son rôle de contrôle général, le président est responsable d'examiner et d'approuver les nouveaux FRP ou ceux qui ont fait l'objet de modifications importantes pour les institutions fédérales qui sont des ministères au sens de l'article 2 de la Loi sur la gestion des finances publiques (LGFP) ou peut décider de déléguer ce pouvoir sous réserve des modalités précisées au paragraphe 71(6) de la Loi. En faisant un tel choix, le président du Conseil du Trésor tiendra compte de la conformité d'une institution à la Politique intérimaire sur la protection de la vie privée, de la présente Directive, d'autres directives, ainsi que de tout formulaire réglementaire. Néanmoins, le président demeure responsable de l'examen continu des FRP pour toutes les institutions fédérales assujetties à la Loi.

3.5 La présente Directive est émise conformément à l'alinéa 71(1)d) de la Loi.

3.6 La présente Directive doit être lue de concert avec la Loi, le Règlement et d'autres lois pertinentes, y compris la loi habilitante de l'institution, la Politique intérimaire sur la protection de la vie privée, la Directive intérimaire sur l'évaluation des facteurs relatifs à la vie privée, la Directive sur le numéro d'assurance sociale, la Directive sur les demandes de renseignements personnels et de correction ainsi que la Norme sur la protection de la vie privée et le Web analytique.

4. Définitions

4.1 Les définitions devant s'appliquer pour interpréter la présente Directive se trouvent à l'annexe A. D'autres définitions sont jointes à l'annexe A de la Politique intérimaire sur la protection de la vie privée.

5. Énoncé de la Directive

5.1 Objectif

5.1.1 Faciliter la mise en œuvre et la publication de pratiques saines et uniformes de gestion de la vie privée régissant la création, la collecte, la conservation, l'utilisation, la divulgation, le retrait et l'exactitude des renseignements personnels dont les institutions fédérales sont responsables.

5.2 Résultats escomptés

5.2.1 Les renseignements personnels sont toujours crées, recueillis, conservés, utilisés, divulgués et éliminés d'une manière qui respecte la vie privée des individus et les dispositions de la Loi et du Règlement.

5.2.2 Les FRP et les catégories de renseignements personnels des institutions fédérales sont décrits d'une manière qui facilite pour les individus le processus de demande d'accès à leurs renseignements personnels et de correction.

5.2.3 Les fins pour lesquelles les institutions fédérales recueillent des renseignements personnels et les pratiques relatives à la protection de la vie privée qui appuient l'administration des programmes et des activités sont décrites dans les FRP et les catégories de renseignements personnels.

6. Exigences

6.1 Les responsables des institutions fédérales ou leurs délégués ont les responsabilités suivantes:

6.1.1 Établir de saines pratiques de protection de la vie privée au sein de leur institution comme il est énoncé ci-après. Les fonctionnaires ou les employés doivent respecter ces pratiques lorsqu'ils participent à la création, la collecte, la conservation, l'utilisation, la validation, la divulgation ou le retrait de renseignements personnels dont l'institution fédérale est responsable, y compris les renseignements personnels des fonctionnaires ou des employés de l'institution fédérale.

Les atteintes à la vie privée

6.1.2 Établir des plans et des procédures régissant les atteintes à la vie privée au sein de leur institution qui décrivent notamment ce qui suit :

  • les rôles et les responsabilités en cas d'atteinte à la vie privée;
  • les procédures internes et les communications, dont le délai, pour informer le Commissariat à la protection de la vie privée du Canada (CPVP), le SCT et les parties visées par les atteintes à la vie privée;
  • les exigences en matière d'avis, qui doivent englober un processus pour rendre compte de façon obligatoire des atteintes substantielles à la vie privée au CPVP et au SCT. Ces procédures doivent également s'harmoniser à la Politique sur la sécurité du gouvernement et à ses directives et normes connexes.

Fichiers de renseignements personnels et catégories de renseignements personnels

6.1.3 S'assurer que le processus de création des FRP, nouveaux ou ayant subi des modifications importantes, soit conforme au processus de création et d'approbation de l'évaluation des facteurs relatifs à la vie privée de base comme l'exige la Directive intérimaire sur l'évaluation des facteurs relatifs à la vie privée.

6.1.4 Présenter au SCT une demande d'enregistrement de tout nouveau FRP ou d'élimination d'un FRP existant et s'assurer que l'information suivante accompagne les demandes :

  • dans le cas d'une demande d'enregistrement d'un nouveau FRP, tous les éléments du FRP indiqués aux sous-alinéas 11(1)a)(i) jusqu'à (vi) de la Loi, accompagnés d'une évaluation des facteurs relatifs à la vie privée de base complète et approuvée; Dans le cas d’une initiative urgente liée à la COVID-19, l’administrateur général ou son délégué au niveau de sous-ministre adjoint peut exercer son pouvoir discrétionnaire pour différer la soumission d’une demande d’enregistrement d’un fichier de renseignements personnels (FRP) nouveau ou modifié. La demande d’enregistrement d’un FRP nouveau ou modifié doit être présentée au SCT au plus tard le 30 septembre 2021.
  • dans le cas d'une demande d'élimination d'un FRP existant, une explication justifiant l'élimination du FRP, et la confirmation que les dossiers et les renseignements personnels qu'ils contiennent ont été retirés conformément à l'autorisation de conserver ou de retirer l'information de l'institution et ne sont plus sous la responsabilité de l'institution fédérale.

6.1.5 Remplir, pour les institutions qui sont des ministères au sens de l'article 2 de la LGFP, les exigences additionnelles, comme il est décrit à l'annexe B, pour approbation par le président dans le cas des FRP, à moins que le pouvoir d'approbation ait été délégué au responsable de l'institution par le président, sous réserve des modalités en place.

6.1.6 Informer le SCT des changements aux FRP et, lorsque ces changements sont importants, veiller à ce que le SCT reçoive une l'évaluation des facteurs relatifs à la vie privée de base comme l'exige la Directive intérimaire sur l'évaluation des facteurs relatifs à la vie privée; sauf si l’administrateur général ou son délégué au niveau de sous-ministre adjoint a exercé son pouvoir discrétionnaire afin de remplir l’évaluation de la conformité en matière de protection de la vie privée au lieu de mener une évaluation des facteurs relatifs à la vie privée complète pour les programmes nouveaux ou modifiés de manière importante, et de reporter l’enregistrement d’un FRP pour des initiatives urgentes liées à la COVID-19.

Fichiers inconsultables

6.1.7 Veiller à ce que les propositions soumises au SCT visant la constitution ou l'élimination d'un fichier inconsultable contiennent ce qui suit :

  • une description des renseignements à inclure dans le fichier inconsultable, ainsi qu'une explication justifiant pourquoi les renseignements doivent être inclus dans un fichier inconsultable;
  • la confirmation que les dossiers dans le fichier se composent principalement de renseignements personnels comme il est décrit à l'article 21 ou 22 de la Loi;
  • la disposition de l'exception spécifique de la Loi sur laquelle on s'appuie et, pour toute exception fondée sur critère subjectif, l'énoncé des effets préjudiciables envisagés;
  • l'ébauche du décret et l'ébauche du Résumé de l'étude d'impact de la réglementation.

Demandes et divulgations à des organismes d'enquête

6.1.8 Se conformer aux exigences concernant les demandes présentées par les organismes d'enquête et les divulgations faites aux organismes d'enquête énoncés à l'annexe C.

Documentation des nouvelles utilisations et divulgations

6.1.9 Établir des procédures pour assurer la tenue d'un relevé des nouveaux usages et divulgations, ainsi que tout usage compatible qui n'est pas décrit dans un FRP. Ces procédures permettront de veiller à ce que :

  • les descriptions d'utilisation et l'objet de la collecte et de la divulgation que l'on consigne dans l'ensemble des FRP soient mis à jour (cette exigence ne s'applique pas aux divulgations faites aux organismes d'enquête);
  • tout nouvel usage compatible soit pris en compte dans les FRP pertinents;
  • le Commissaire à la protection de la vie privée du Canada soit avisé de tout nouvel usage compatible.

Web analytique et protection de la vie privée

6.1.10 Veiller à ce que l'on utilise des outils du Web analytique pour mesurer et améliorer le rendement des sites Web du gouvernement du Canada, en conformité avec la Norme sur la protection de la vie privée et le Web analytique.

6.2 Les cadres et les agents principaux qui gèrent des programmes ou des activités comportant la création, la collecte ou le traitement de renseignements personnels sont responsables des éléments suivants :

Pratiques relatives à la protection de la vie privée

6.2.1 Porter à l'attention de la personne responsable des FRP de l'institution tout nouveau programme ou toute nouvelle activité, ou toute modification importante apportée à une activité ou à un programme existant, dans le cas où les renseignements personnels d'un individu sont recueillis ou traités dans le cadre d'un processus décisionnel exerçant une incidence directe sur la personne concernée.

6.2.2 Informer les personnes responsables de la gestion des sites Web de l'institution, de même que les spécialistes fonctionnels et les propriétaires de contenu Web, du besoin de respecter les exigences de la Norme sur la protection de la vie privée et le Web analytique.

6.2.3 S'assurer que les pratiques de protection de la vie privée sont conformes et adhèrent aux dispositions figurant dans la Loi, le Règlement et toute autre loi applicable, y compris la loi  habilitante de l'institution fédérale.

6.2.4 Informer les employés des conséquences légales et administratives de l'accès inapproprié ou non autorisé aux renseignements personnels ou de leur utilisation, divulgation, modification, conservation ou retrait, dans le cadre d'une activité ou d'un programme particulier.

Les atteintes à la vie privée

6.2.5 Mettre en œuvre le plan d'action de l'institution fédérale régissant les atteintes à la vie privée. Consulter les Lignes directrices sur les atteintes à la vie privée publiées par le SCT.

Collecte et création de renseignements personnels

6.2.6 S'assurer, avant la collecte des renseignements personnels, que l'institution a l'autorisation parlementaire pour le programme ou l'activité pour lequel les renseignements personnels sont recueillis. L'obtention du consentement d'un individu à la collecte de ses renseignements personnels ne remplace ni n'établit l'autorisation relative à la collecte de ces renseignements personnels.

6.2.7 Déterminer les éléments à inclure dans le FRP avant toute nouvelle collecte de renseignements personnels.

6.2.8 Limiter la collecte de renseignements personnels à ceux qui sont directement liés et manifestement nécessaires aux programmes ou aux activités de l'institution fédérale. La création de renseignements personnels par l'institution fédérale constitue également une collecte en vertu de la Loi.

Avis de confidentialité

6.2.9 Aviser l'individu, dont les renseignements personnels font l'objet d'une collecte directe, des éléments suivants :

  • les fins de la collecte et en vertu de quelle autorité elle est faite;
  • tout usage ou divulgation conforme à la fin originale;
  • toute conséquence administrative ou légale découlant d'un refus de fournir les renseignements personnels;
  • les droits d'accès, de correction et de protection des renseignements personnels en vertu de la Loi;
  • le droit de déposer une plainte auprès du Commissaire à la protection de la vie privée du Canada concernant le traitement des renseignements personnels des individus par l'institution.

6.2.10 Adapter l'avis de confidentialité, au moment de la collecte, aux fins de communication écrite ou orale. Les avis de confidentialité doivent inclure un renvoi au FRP décrit dans Info Source. Toutefois, dans le cas d’une initiative urgente liée à la COVID-19 pour laquelle un FRP n’a pas encore été enregistré, il n’est pas nécessaire que les avis de confidentialité renvoient à un FRP jusqu’à son enregistrement auprès du SCT.

Consentement au sujet de la collecte, de l'utilisation et de la divulgation

6.2.11 Il n'est pas nécessaire d'obtenir un consentement si les renseignements personnels sont utilisés aux fins pour lesquelles ils ont été recueillis, pour des utilisations compatibles avec les fins originales ou à des fins pour lesquelles ils peuvent être divulgués à l'institution en vertu du paragraphe 8(2) de la Loi.

6.2.12 Obtenir le consentement d'un individu aux fins suivantes :

  • collecte indirecte de renseignements personnels, sauf si la demande d'un consentement entraînerait la collecte de renseignements inexacts ou irait à l'encontre du but de la collecte ou encore compromettrait l'utilisation de l'information recueillie;
  • utilisation ou divulgation qui ne respecte pas les fins pour lesquelles les renseignements ont été recueillis ou préparés;
  • tout retrait de renseignements personnels avant la fin de la période minimale de conservation de deux ans stipulée par le Règlement à moins qu'un tel retrait ne soit expressément autorisé par la loi.

6.2.13 Inclure, le cas échéant, les éléments suivants dans la demande de consentement :

  • la fin pour laquelle le consentement est demandé et la nature des renseignements personnels demandés;
  • dans le cas d'une collecte indirecte, les sources qui seront sollicitées pour fournir les renseignements et la justification d'une telle collecte;
  • les utilisations et les divulgations non conformes aux fins pour lesquelles les renseignements ont été recueillis et pour lesquelles un consentement est demandé;
  • toute conséquence pouvant résulter d'un refus d'accorder le consentement;
  • toute autre alternative au consentement offerte à l'individu.

6.2.14 S'assurer que le consentement est obtenu par écrit ou qu'il est autrement documenté adéquatement, y compris la date et l'heure du consentement. Tout consentement donné de vive voix doit être enregistré.

Exactitude

6.2.15 Prendre toutes les mesures raisonnables pour s'assurer que les renseignements personnels utilisés dans un processus décisionnel soient autant que possible exacts, à jour et complets. Ces mesures comporteront l'une ou plusieurs des mesures administratives suivantes:

  • collecte ou validation directe auprès de l'individu;
  • collecte ou validation indirecte pouvant comporter la vérification des renseignements personnels auprès d'une source fiable (publique ou privée), lorsque cette action est autorisée ou que le consentement approprié a été obtenu;
  • mesures technologiques permettant de détecter les erreurs et les divergences.

6.2.16 Dans les cas où il n'est pas possible de procéder à une collecte directe ou d'obtenir le consentement approprié, mettre en œuvre des mesures pour :

  • s'assurer que les renseignements personnels sont obtenus d'une source fiable;
  • vérifier les renseignements personnels ou confirmer leur exactitude avant de les utiliser.

6.2.17 Documenter la source ou la technique utilisée pour valider les renseignements personnels, et s'il y a lieu, indiquer la source et tout couplage de données dans la description du FRP pertinent.

6.2.18 S'assurer que les individus ont, dans la mesure du possible, la possibilité de corriger tout renseignement personnel inexact les concernant avant la prise de toute décision qui pourrait avoir une incidence sur eux.

Mesures de protection relatives à l'utilisation et à la communication des renseignements

6.2.19 Déterminer les postes ou les fonctions dans le programme ou l'activité justifiant l'accès et le traitement des renseignements personnels, et limiter l'accès aux individus occupant ces postes.

6.2.20 Limiter l'accès aux renseignements personnels et leur utilisation par des mesures administratives, physiques et techniques, de manière à protéger ces renseignements.

6.2.21 Prendre des mesures appropriées pour s'assurer que l'accès aux renseignements personnels, leur utilisation et leur divulgation sont surveillés et documentés, afin de pouvoir identifier en temps opportun l'accès ou le traitement inapproprié ou non autorisé aux renseignements personnels.

6.2.22 Se conformer aux exigences énoncées ci-dessous lorsque des renseignements personnels sont divulgués à une autre institution, à une entité du secteur public ou privé ou à un individu :

  • l'avis de confidentialité reflète, s'il y a lieu, cette divulgation;
  • une entente ou un arrangement stipulant des mesures de protection appropriées a été conclu entre l'institution fédérale et l'entité du secteur public de niveau international, fédéral, provincial, territorial ou municipal, avant de communiquer l'information;
  • les contrats conclus avec des entités du secteur privé ou des individus définissent les dispositions et les mesures en tenant compte des éléments suivants :
    • contrôle des renseignements personnels;
    • restrictions régissant la collecte, l'utilisation, la divulgation ultérieure et la conservation des renseignements personnels aux fins du contrat;
    • interdictions relatives aux renseignements personnels;
    • retrait des renseignements personnels, s'il y a lieu;
    • mesures de protection administratives, techniques et physiques;
    • obligations des autres parties agissant au nom de l'institution fédérale.
  • Les institutions fédérales qui sont assujetties à la Politique sur la sécurité du gouvernement doivent s'assurer que les normes de sécurité gouvernementales sont respectées et que toutes les directives provenant des principaux organismes chargés de la sécurité, comme il est énoncé à l'annexe B de cette politique, sont observées.

6.2.23 Dans le cas où des renseignements personnels sont transférés hors du contrôle d'une institution fédérale à la suite de la cession ou de la privatisation d'un programme ou d'une activité, s'assurer que :

  • l'autorisation pour le transfert est établie;
  • des pratiques adéquates relatives à la protection des renseignements personnels sont en place avant le transfert;
  • les droits d'accès des employés à leurs renseignements personnels et leurs droits de correction de ces renseignements seront maintenus après le transfert;
  • un accord de transfert de documents, respectant toute autorisation existante de disposition de documents, est conclu pour établir les modalités relatives aux documents faisant l'objet du transfert;
  • le consentement du bibliothécaire et archiviste du Canada est obtenu avant le transfert des documents.

Documentation d'utilisations et de divulgations nouvelles

6.2.24 Aviser le responsable de l'institution fédérale ou le délégué approprié de tout usage, fin ou divulgation de renseignements personnels dont il n'est pas fait mention dans la description du FRP et mettre à jour le FRP en conséquence.

Conservation et disposition de renseignements personnels

6.2.25 Appliquer les normes de conservation des renseignements personnels de l'institution ainsi que les normes de disposition établies par Bibliothèque et Archives Canada et consigner l'information dans le FRP pertinent.

6.2.26 S'assurer que les renseignements personnels d'un individu qui ont servi à des fins administratives sont conservés par l'institution conformément au paragraphe 6(1) de la Loi et aux alinéas 4(1)a) et b) du Règlement.

6.2.27 Examiner régulièrement les dossiers versés dans les FRP, y compris ceux des fichiers inconsultables, et disposer des documents renfermant des renseignements personnels conformément à l'orientation dictée par Bibliothèque et Archives Canada, comme il est stipulé aux articles 12 à 14 de la Loi sur la Bibliothèque et les Archives du Canada.

6.2.28 Les institutions qui sont assujetties à la Politique sur la sécurité du gouvernement doivent disposer des documents en respectant les normes de sécurité gouvernementales.

6.3 Exigences en matière de surveillance et d'établissement de rapports

6.3.1 Les exigences en matière de surveillance et d'établissement de rapports de la Politique intérimaire sur la protection de la vie privée s'appliquent à la présente Directive.

7. Conséquences

7.1 Les conséquences définies dans la Politique sur la protection de la vie privée s'appliquent à la présente Directive.

8. Rôles et responsabilités des organisations gouvernementales

8.1 Outre les rôles décrits à la section 8 de la Politique intérimaire sur la protection de la vie privée et à la sous-section 3.4 de cette Directive, le président, avec l'appui du SCT, est responsable de :

  • établir les modalités d'approbation des FRP, ainsi que les modalités de délégation de ce pouvoir d'approbation aux responsables des ministères;
  • révoquer tout décret de délégation de pouvoir délivrée aux termes du paragraphe 71(6) de la Loi en cas de problème systémique de conformité au sein d'une institution fédérale.

8.2 Les rôles et les responsabilités d'autres organisations gouvernementales sont décrits à la section 8 de la Politique intérimaire sur la protection de la vie privée.

9. Références

10. Demandes de renseignements

10.1 Veuillez envoyer toute demande de renseignements concernant la présente Directive au coordonnateur de l'accès à l'information et protection des renseignements personnels (AIPRP) de votre institution. Pour une interprétation de la présente Directive, le coordonnateur de l'AIPRP doit communiquer avec :

Division des politiques de l'information et de la protection des renseignements personnels
Direction du dirigeant principal de l'information
Secrétariat du Conseil du Trésor
219, avenue Laurier Ouest
Ottawa (Ontario)  K1A 0R5
Courriel : ippd-dpiprp@tbs-sct.gc.ca
Téléphone : 613-946-4945
Télécopieur : 613-957-8020


Annexe A – Définitions

atteinte à la vie privée
Création, collecte, utilisation, divulgation, conservation ou disposition inappropriée ou non autorisée de renseignements personnels.
atteinte substantielle à la vie privée
Une atteinte à la vie privée qui vise des renseignements personnels de nature délicate et qui pourrait raisonnablement causer des dommages ou des préjudices à l'individu.
avis de confidentialité
Avis verbal ou écrit présenté à un individu afin de communiquer les fins de la collecte de renseignements personnels, et l'autorité de l'institution fédérale pour procéder à cette collecte, y compris la création, l'utilisation et la divulgation des renseignements. L'avis, qui doit renvoyer au FRP décrit dans Info Source, informe également l'individu de ses droits d'accès et de correction de ses renseignements personnels, ainsi que des conséquences d'un refus de fournir les renseignements demandés.
catégories de renseignements personnels
Renseignements personnels dont on ne prévoit pas faire usage pour des fins administratives ou que l'on ne peut pas retrouver par référence au nom d'un individu ou à une indication identificatrice propre à cet individu (p. ex., opinions non sollicitées et correspondance générale).
collecte directe
Collecte de renseignements personnels auprès de l'individu concerné.
collecte indirecte
Collecte de renseignements personnels auprès d'une source autre que l'individu concerné.
création de renseignements personnels
Tout élément ou sous-élément de renseignements personnels qu'une institution fédérale attribue à un individu identifiable sans égard au fait que les renseignements proviennent de renseignements personnels existants dont l'institution fédérale est responsable ou que l'institution fédérale ajoute de nouveaux renseignements au fichier de l'individu.
divulgation
Communication de renseignements personnels par une méthode quelconque (c'est-à-dire la transmission, la présentation d'une copie ou l'examen d'un document) à toute entité ou personne.
fin originale
Fin initiale identifiée au début de la collecte des renseignements personnels qui est liée directement à un programme ou à une activité d'ordre opérationnel de l'institution. Une fin qui ne correspond pas à la fin originale est traitée comme étant une fin secondaire.
mesures de protection administrative
Politiques, directives, règles, procédures et processus ayant trait à la protection des renseignements personnels tout au long du cycle de vie tant des renseignements personnels que du programme ou de l'activité (p. ex., politique sur la sécurité de l'institution, dispositions de sécurité dans un contrat de service pour assurer la destruction des documents).
mesures de protection physique
Installations et équipement qui servent à protéger les renseignements personnels (p. ex., locaux de rangement fermés à clé, classeurs fermés à clés).
mesures de protection technique
Mesures de la technologie de l'information utilisées pour protéger les installations, l'équipement et le système de soutien où les renseignements personnels sont enregistrés et conservés (p. ex., dispositifs de contrôle d'accès électroniques, contrôles de vérification).
pratiques relatives à protection de la vie privée
Toutes les pratiques relatives à la création, la collecte, la conservation, l'exactitude, la correction, l'utilisation, la divulgation et le retrait des renseignements personnels.
principalement
Dans le contexte d'un fichier inconsultable, cela signifie que plus de la moitié de l'information de chaque dossier contenu dans le fichier peut faire l'objet d'une exception en vertu de l'article 21 ou 22 de la Loi.
Résumé de l'étude d'impact de la réglementation (RÉIR)
Outil utilisé dans le cadre d'un changement réglementaire afin d'en évaluer l'impact sur l'environnement, la santé, la sécurité et le bien-être social et économique des Canadiens.
source fiable
Source de renseignements ou d'un fond de données jugé être exact et à jour, à laquelle on peut faire confiance lorsqu'il s'agit de recueillir ou de valider des renseignements personnels.
Traitement
Tout processus visant des renseignements personnels, y compris la collecte, la correction, la création, la modification, l'utilisation, la conservation, la divulgation et le retrait.
Web analytique
La collecte, l'analyse, la mesure et le compte rendu des données sur l'achalandage des sites Web et les visites d'utilisateurs pour bien comprendre l'usage du Web et l'optimaliser.

Annexe B – Exigences supplémentaires en vertu de la Loi pour les ministères au sens de l'article 2 de la LGFP

Outre l'obligation d'enregistrer et de publier les fichiers de renseignements personnels dans Info Source, les paragraphes 71(3) et 71(4) de la Loi exigent que le président approuve tout FRP, nouveau ou ayant subi des modifications importantes ou devant être éliminé, présenté par les institutions fédérales définies comme ministères à l'article 2 de la LGFP.

À moins que ce pouvoir n'ait été délégué par le président du Conseil du Trésor au responsable du ministère en vertu du paragraphe 71(6) de la Loi, l'administrateur ou son délégué responsable en vertu de l'article 10 de cette Loi doit :

  • présenter au SCT pour approbation toutes les propositions visant la création d'un nouveau FRP ou la modification ou la disposition d'un FRP;
  • fournir une justification ou une analyse appuyant la proposition. Dans le cas d'une proposition visant à créer ou à effectuer des modifications importantes à un FRP qui comprend la prise de décisions administratives, une Évaluation des facteurs relatifs à la vie privée de base doit être effectuée (voir la Directive intérimaire sur l'évaluation des facteurs relatifs à la vie privée).

Annexe C – Exigences relatives à l'alinéa 8(2)e) de la Loi

L'alinéa 8(2)e) de la Loi stipule que des renseignements personnels peuvent être divulgués à l'un des organismes d'enquête spécifiés dans le Règlement, sur demande écrite de l'organisme, en vue d'appliquer une loi du Canada ou d'une province ou d'exécuter une enquête licite. Cette disposition n'accorde pas aux organismes d'enquête le droit d'avoir accès aux renseignements personnels. Elle confie toute décision relative à la divulgation de ces renseignements à la discrétion de l'institution qui est responsable de ces renseignements, une fois que les critères pertinents ont été respectés.

Demandes de renseignements conformément à l'alinéa 8(2)e)

Les demandes de renseignements faites en vertu de l'alinéa 8(2)e) de la Loi doivent être soumises par écrit et doivent comporter les éléments suivants:

  • le nom de l'organisme d'enquête;
  • le nom ou autre identificateur personnel de l'individu visé par la demande;
  • l'objet de la demande et une description des renseignements à divulguer;
  • l'article de la loi fédérale ou provinciale qui régit l'enquête à exécuter;
  • le nom, le titre et la signature du membre de l'organisme d'enquête qui fait la demande.

Toutes les demandes de renseignements reçues par une institution doivent être conservées.

Documentation des divulgations en vertu de l'alinéa 8(2)e)

Lorsqu'une telle demande est reçue, le responsable de l'institution ou son délégué responsable des décisions relatives à l'alinéa 8(2)e) de la Loi doit conserver un relevé de la divulgation des renseignements personnels faite à l'organisme d'enquête. Le relevé de la divulgation doit contenir les renseignements suivants :

  • une indication claire de l'acceptation ou du refus de la demande;
  • la date de réception de la demande;
  • les fichiers de renseignements personnels (FRP) dans lesquels les renseignements divulgués sont conservés;
  • les renseignements personnels spécifiques, documents ou fichiers qui ont été divulgués;
  • le nom, le titre et la signature de l'agent qui a autorisé la réponse;
  • le nom de l'institution.

Un FRP distinct est tenu à jour pour tous les relevés de divulgation à des organismes d'enquête fédéraux, y compris des copies des renseignements divulgués à l'auteur de la demande. Comme il est stipulé au paragraphe 8(4) de la Loi et à l'article 7 du Règlement, les renseignements contenus dans ce FRP doivent être conservés pendant au moins deux ans et communiqués sur demande au Commissaire à la protection de la vie privée.