Nous procédons actuellement au transfert de nos services et de nos renseignements sur le Web vers Canada.ca.

Le site Web du Secrétariat du Conseil du Trésor du Canada restera accessible jusqu’à  ce que le transfert soit terminé.

Protéger les renseignements personnels - Un impératif : La stratégie fédérale visant à répondre aux préoccupations suscitées par la USA PATRIOT Act et le flux de données transfrontière


Informations archivées

Les informations archivées sont fournies aux fins de référence, de recherche ou de tenue de documents. Elles ne sont pas assujetties aux normes Web du gouvernement du Canada et n’ont pas été modifiées ou mises à  jour depuis leur archivage. Pour obtenir ces informations dans un autre format, veuillez communiquez avec nous.

3. La stratégie du gouvernement fédéral

Le gouvernement fédéral recourt depuis nombre d'années à des pratiques efficaces de gestion de la protection des renseignements personnels. La plupart des grandes institutions fédérales qui recueillent régulièrement des renseignements personnels sur les Canadiens et les Canadiennes conservent ces renseignements sur place seulement. Statistique Canada, par exemple, ne conserve que les renseignements personnels dans ses locaux gouvernementaux, l'Agence du revenu du Canada, de son côté, conserve et sauvegarde toute l'information des contribuables canadiens uniquement sur place.

Cependant, la USA PATRIOT Act met en évidence le fait que les pratiques exemplaires devraient faire l'objet d'une uniformisation accrue à l'échelle du gouvernement. Elle fait également ressortir le besoin de mesures additionnelles qui renforceraient les mesures de protection existantes, tout en les complétant. Voici l'approche adoptée dans le plan d'action du gouvernement fédéral visant à répondre aux préoccupations des Canadiens et des Canadiennes au sujet de la USA PATRIOT Act :

  1. Sensibilisation : Le Secrétariat a fait en sorte de sensibiliser l'ensemble des 160 institutions fédérales au sujet des questions les plus récentes entourant la USA PATRIOT Act et le flux transfrontière de renseignements personnels et d'autres renseignements de nature délicate.
  2. Détermination et atténuation des risques : Le Secrétariat a demandé aux institutions de passer en revue les marchés qu'elles ont conclus, afin de déterminer tout risque potentiel pouvant découler de la USA PATRIOT Act, d'évaluer le niveau de ces risques et de faire connaître les mesures correctrices à prendre pour les atténuer.
  3. Orientation quant à la protection des renseignements personnels relativement à l'impartition :
    1. Les institutions fédérales pour lesquelles on a déterminé qu'il existait des risques ont été tenues de mettre en œuvre des mesures correctrices.
    2. Afin d'aider les institutions, le Secrétariat a produit un document d'orientation destiné à être utilisé avant la passation de futurs marchés. Il comprend une liste de contrôle relative à la protection des renseignements personnels et des conseils sur l'inclusion de clauses appropriées concernant la protection des renseignements dans les marchés.
    3. En vue de partager l'information et les pratiques exemplaires, le gouvernement du Canada a contacté et consulté un large éventail d'intervenants, y compris ses propres spécialistes, le Commissariat à la protection de la vie privée du Canada et les gouvernements provinciaux.
    4. Le gouvernement fédéral a également veillé à ce que les responsables du gouvernement des É.-U. soient au fait des préoccupations exprimées au Canada au sujet de la USA PATRIOT Act, et il a encouragé l'utilisation des ententes existantes entre les organismes de sécurité nationale et les organismes d'application de la loi pour ce qui est de protéger les renseignements personnels et de nature délicate.
  4. Suivi permanent : Le gouvernement surveillera les risques potentiels à la protection des renseignements personnels et prendra les mesures additionnelles requises, s'il y a lieu. Celles-ci incluront des lignes directrices stratégiques additionnelles, l'examen prévu de la LPRPDE, une formation et une sensibilisation étendues, ainsi que l'introduction d'un cadre de gestion de la protection des renseignements personnels qui définira la structure de gouvernance et de responsabilisation en ce qui a trait à la protection de ce type de renseignements.

Procédons maintenant à l'examen plus en détail de chacune des composantes de la stratégie du gouvernement fédéral, en commençant par les pratiques d'impartition de ce dernier.

Examen des marchés fédéraux

Une composante importante de la stratégie du gouvernement fédéral consistait à examiner les marchés. En octobre 2004, le Secrétariat a demandé à l'ensemble des 160 institutions assujetties à la Loi sur la protection des renseignements personnels de procéder à une évaluation de leurs activités d'impartition et d'en présenter les conclusions.

Ce n'était pas une mince tâche que de procéder à cet examen. Un grand nombre de marchés d'impartition et d'ententes sur l'échange de renseignements étaient en cours au gouvernement fédéral. Par exemple, Ressources humaines et Développement des compétences Canada, et Développement social Canada ont plus de 40 000 ententes de subventions et contributions avec des entreprises et des organismes du secteur privé. Affaires étrangères Canada et Commerce international Canada comptent plus de 8 000 ententes contractuelles.

Objectifs de l'examen

L'examen visait principalement à déterminer si les renseignements conservés par les entreprises du secteur privé ou accessibles en vertu des modalités d'un contrat pouvaient faire l'objet d'une divulgation, particulièrement en vertu de la USA PATRIOT Act. On a demandé aux institutions de vérifier si toute entreprise engagée pour offrir des services était basée aux É.-U. ou avait des filiales dans ce pays, et si celle-ci pouvait être assujettie aux lois américaines permettant l'accès aux renseignements personnels.

Dans le cadre de l'examen, il fallait également étudier la nature des marchés afin de déterminer s'ils comportaient des clauses adéquates pour assurer la protection des renseignements personnels et de nature délicate et, dans la négative, pour cibler les points faibles potentiels et produire un plan de mesures correctrices visant à atténuer les risques.

On a mis l'accent sur la USA PATRIOT Act, car cela permettait aux institutions de cibler plus rapidement les points faibles et, par conséquent, de savoir si l'impartition des institutions pouvait être aussi vulnérable à d'autres lois étrangères autorisant l'accès aux renseignements personnels ou de nature délicate. Bien qu'on se soit attardé à savoir s'il était possible d'accéder aux renseignements par l'entremise de la USA PATRIOT Act, les résultats pourraient s'appliquer également au flux de données transfrontière en général.

Méthodologie de l'examen

Comité interministériel

Étant donné que l'examen allait constituer une tâche de grande envergure, un comité interministériel a été mis sur pied.

Le comité était dirigé par le Secrétariat et regroupait 14 institutions clés. Chacune d'entre elles avait pour rôle de conseiller les autres institutions membres du comité et de contribuer au processus global d'examen.

L'examen s'est déroulé en deux étapes. On a procédé rapidement à l'étape préliminaire qui consistait en la détermination, par 17 institutions gouvernementales, de tout point faible majeur relativement à leurs programmes les plus importants. On n'en a trouvé aucun. Un examen plus exhaustif a suivi, effectué par l'ensemble des 160 institutions.

Système de cotation

On a demandé aux institutions fédérales de coter la situation concernant leurs ententes d'impartition selon des catégories allant de « risque inexistant » et « risque faible » à « risque moyen » et « risque élevé ». Plus le risque est élevé, plus l'impartition peut potentiellement être assujettie à la USA PATRIOT Act et possiblement à d'autres lois étrangères dont l'application pourrait donner accès aux renseignements personnels sur des Canadiens et des Canadiennes et à d'autres renseignements de nature délicate.

La détermination de risques ne signifiait pas qu'un problème existait dans les faits, mais, plutôt, qu'un problème potentiel pourrait surgir à l'avenir.

Risque inexistant à faible : Dans ces cas, l'ensemble des activités de collecte, de conservation et de traitement des renseignements est effectué entièrement par le gouvernement du Canada, sans qu'il fasse appel à un entrepreneur externe (risque inexistant), ou encore en faisant intervenir un entrepreneur canadien qui poursuit ses activités à l'intérieur du Canada uniquement (risque faible).

Risque faible à moyen : Les renseignements sont situés ou conservés à l'extérieur du gouvernement; ils sont détenus par une entreprise canadienne située au Canada, mais peuvent être également accessibles à un sous-traitant, à une société mère ou à une filiale basée à l'étranger. Dans ces cas, les lois de plusieurs pays différents peuvent s'appliquer.

Risque moyen à élevé : On considère que le risque entre dans la catégorie « moyen à élevé » lorsque les renseignements sont conservés et traités par une entreprise basée à l'étranger et sujette aux lois d'un gouvernement étranger. Dans ces cas, le risque est plus élevé parce que ces entreprises sont davantage assujetties aux lois du pays où elles se trouvent qu'aux lois canadiennes.

Résultats de l'examen

La vaste majorité de l'impartition du gouvernement fédéral a lieu à l'intérieur du Canada et, par conséquent, présente un faible facteur de risque en ce qui a trait à l'application possible de la USA PATRIOT Act.

Risque inexistant à faible 83%, risque faible à moyen 12%, Risque moyen à élevé 5%

Selon les réponses données par les 160 institutions fédérales, 83 p. 100 d'entre elles ont vu leurs marchés classés dans la catégorie « risque inexistant à faible ». Dans le cas de 77 institutions, les marchés ont figuré dans la catégorie « risque inexistant », et pour 57 institutions, on a déterminé que certains marchés présentaient un « risque faible ».

Au total, 19 institutions ont informé le Secrétariat que certains de leurs marchés avaient été classés dans la catégorie « risque faible à moyen ».

Seulement 7 institutions, en examinant leurs activités d'impartition, ont déterminé qu'un certain nombre de leurs marchés présentaient des risques potentiels pouvant entrer dans la catégorie « moyen à élevé ».

Il convient de noter que, si une institution a indiqué qu'un de ces marchés avait été classé par le Secrétariat dans la catégorie « risque moyen » ou « risque élevé », alors la cotation définitive pour cette institution devenait en conséquence « risque moyen à élevé ».

Prière de se reporter à l'annexe A pour consulter le tableau des résultats complets obtenus jusqu'à présent, en ce qui a trait à l'examen.

Marchés à risque inexistant à faible

On compte de nombreux exemples de situations où l'impartition s'accompagne d'un risque inexistant ou faible. Dans certains cas, cela est dû au fait que le fonctionnement de l'institution fédérale est assujetti à des pratiques et à des procédures strictes, selon lesquelles les données sont soumises à une norme de protection élevée. C'est le cas de Statistique Canada, qui est régi par la Loi sur la statistique.

Étude de cas : Statistique Canada

Selon la Loi sur la statistique, seuls les employés de Statistique Canada ayant prêté un serment de confidentialité et ayant fait l'objet d'une enquête de sécurité sont autorisés à accéder aux renseignements confidentiels. L'accès à ces renseignements est assujetti au principe d'accès sélectif.

La protection de la confidentialité constitue la priorité la plus importante de Statistique Canada. Les données confidentielles selon la Loi sur la statistique ne quittent jamais les installations de Statistique Canada et sont toujours sous le contrôle de l'organisme. En outre, tous les renseignements statistiques confidentiels sont conservés dans un « îlot électronique » (c.-à-d. qu'aucun des systèmes ou des réseaux contenant des données confidentielles ne possède de connexion externe), ce qui rend impossible la transmission des données à l'extérieur de l'organisme.

Aucun pirate informatique ne peut accéder à ces données protégées.

Statistique Canada a conclu des marchés avec des firmes américaines, dont certaines sont des filiales canadiennes d'entreprises basées aux É.-U. Ces marchés portent sur la fourniture, l'élaboration et l'entretien de logiciels et de matériel informatique, et n'offrent aucune possibilité d'accéder à des renseignements confidentiels. En fait, on a pris toutes les précautions possibles à ce sujet : par exemple, tous les entrepreneurs sont eux-mêmes sujets aux sanctions prévues par la Loi sur la statistique, et ils ne sont en aucun cas autorisés à accéder aux installations de Statistique Canada, à moins d'être accompagnés par des employés permanents de l'organisme. Par conséquent, même si une autorité américaine en venait à présenter une requête à l'un ou l'autre des entrepreneurs, ceux-ci seraient matériellement incapables de fournir quelque donnée que ce soit, étant donné qu'ils n'ont jamais les renseignements confidentiels en leur possession.

À titre de mesure supplémentaire, préalablement au Recensement de 2006, Statistique Canada procédera à trois vérifications indépendantes de la sécurité de tous les systèmes de recensement, de façon à confirmer la protection des renseignements confidentiels de recensement.

Statistique Canada est un exemple d'institution du gouvernement fédéral où les renseignements personnels relatifs au public en général ne font l'objet d'aucune impartition.

Étude de cas : le Secrétariat

L'examen a montré que la majorité des activités d'impartition du gouvernement fédéral où interviennent des renseignements personnels portent sur les programmes et services destinés aux fonctionnaires fédéraux. Par exemple, le Secrétariat supervise les marchés relatifs aux régimes d'assurance et de soins de santé des employés du gouvernement fédéral.

Le marché du Régime d'assurance pour les cadres de gestion de la fonction publique est attribué actuellement à La Nationale du Canada, Compagnie d'assurance-vie, qui n'a aucun bureau aux É.-U.À ce titre, il y a un « risque inexistant » qu'une loi étrangère puisse s'appliquer à ce marché. La situation est semblable pour ce qui est des marchés relatifs au Régime de soins dentaires de la fonction publique et au Régime de soins dentaires pour les pensionnés.

Les marchés duRégime de soins de santé et duRégime d'assurance-invalidité de la fonction publique sont attribués à la Sun Life du Canada, Compagnie d'assurance-vie, qui a recours aux services d'un autre entrepreneur, World Access Canada, pour les demandes à l'extérieur du pays et les demandes d'assurance générales. World Access Canada possède des bureaux aux É.-U., mais, selon ce que prévoit l'entente, ceux-ci sont autorisés à accéder temporairement aux renseignements des bases de données seulement si une catastrophe survient dans les bureaux canadiens, de façon à assurer la poursuite de la prestation des services aux fonctionnaires en poste et aux anciens fonctionnaires.

Plusieurs institutions ont classé dans la catégorie « risque faible » l'inclusion, dans les ententes d'impartition, du recours à des bureaux situés aux É.-U. comme mesure d'urgence uniquement.

Renseignements personnels considérés comme étant le plus à risque

Sur les sept institutions ayant rapporté que certains marchés particuliers pouvaient présenter un risque potentiel allant de moyen à élevé relativement à l'application possible de la USA PATRIOT Act, une majorité a ciblé des marchés concernant le traitement de données sur les employés, comme les renseignements sur la feuille de paie, la pension, la sécurité du personnel, les déplacements, l'assurance et la réorientation professionnelle.

Ces institutions ont déterminé d'autres vulnérabilités relatives à des marchés portant sur ce qui suit :

  • la construction des bureaux de mission et des résidences des employés pour les missions à l'étranger (y compris les plans de construction, les spécifications, les dessins et les systèmes de sécurité);
  • l'élimination des dossiers consulaires et relatifs à l'immigration;
  • le traitement des renseignements sur les clients pour les institutions qui réalisent fréquemment des opérations à l'étranger;
  • le traitement des renseignements personnels ou commerciaux sur des Canadiens et des Canadiennes, aux fins de l'administration et de l'application de la Loi sur la concurrence.

En ce qui a trait à plusieurs de ces marchés, les institutions ont indiqué qu'ils tiennent à minimiser les risques. En outre, on tiendra compte des préoccupations lors du renouvellement des marchés, certains marchés ou ententes ne seront pas renouvelés et on inclura aux marchés des clauses appropriées afin de maximiser la sécurité et les mesures de protection des renseignements.

Stratégies de gestion des risques et pratiques exemplaires

Dans le cadre du processus d'examen, on a demandé aux institutions fédérales de faire rapport au sujet de leurs stratégies de gestion des risques, peu importe la classification donnée à leurs marchés.

Chaque institution fédérale doit répondre de ses propres marchés et des renseignements personnels sous son contrôle. Comme chacune d'entre elles s'acquitte de fonctions différentes, les stratégies sont adaptées selon les activités et les besoins des clients de l'institution.

L'examen a montré que bon nombre des stratégies et des pratiques exemplaires déjà en place permettaient de remédier à certaines des difficultés actuelles associées au flux de données transfrontière.

Pratiques actuelles

La plupart des institutions fédérales ont incorporé des clauses sur la protection des renseignements personnels et la sécurité dans leurs ententes d'impartition, afin d'assurer la présence d'une variété de mesures de protection. Certaines des pratiques exemplaires les plus efficaces comprennent ce qui suit :

  • séparation des renseignements personnels traités aux termes du marché des autres dossiers détenus par l'entrepreneur;
  • pistes de vérification visant à surveiller étroitement la façon dont les renseignements sont traités;
  • limitation du droit d'accès en fonction de profils d'usager particuliers;
  • approbation par le gouvernement de toute entente de sous-traitance;
  • retour ou destruction de tous les dossiers lorsque le marché prend fin;
  • signature d'ententes de non-divulgation;
  • utilisation de la technologie de chiffrement, afin que seuls les fonctionnaires puissent consulter les données déchiffrées.

Certaines institutions traitant des renseignements de nature particulièrement délicate certifient que ces données ne quittent jamais les locaux du gouvernement fédéral.

Par ailleurs, un certain nombre d'institutions ayant conclu des marchés relatifs à la technologie de l'information limitent l'accès de l'entrepreneur aux données, de sorte que celui-ci ne peut procéder qu'à des travaux de mise à l'essai et d'entretien.

Pratiques étendues

Après avoir pris connaissance des résultats de l'examen, bon nombre d'institutions ont mentionné qu'elles mettraient en œuvre des mesures d'atténuation additionnelles visant à protéger les renseignements personnels, outre les pratiques déjà en place.

Certaines institutions ont indiqué qu'elles modifieraient leurs propres politiques, pratiques, systèmes, matériel de formation, mesures de contrôle et mesures de protection, afin d'atténuer les risques actuels et futurs en matière de divulgation non autorisée.

Ces modifications comporteront les éléments ci-après.

Examens précédant l'impartition et pendant celle-ci

  • L'ajout d'une étape additionnelle dans la liste de contrôle de l'invitation à soumissionner (utilisée pour tous les marchés de service), qui prévoit l'examen des risques directs ou indirects concernant les renseignements personnels et les renseignements exclusifs;
  • L'ajout de nouveaux processus internes en vue d'examiner toutes les nouvelles ententes, y compris le recours à des équipes multidisciplinaires chargées d'étudier le projet d'entente contractuelle;
  • La supervision de tous les marchés dans le cadre desquels des entreprises basées à l'étranger ont accès à des renseignements personnels ou à d'autres renseignements de nature délicate.

Clauses relatives aux marchés

  • L'exigence qu'une partie ou que la totalité du travail soit effectuée dans l'institution (particulièrement lorsqu'il s'agit de renseignements sur la santé) ou à l'intérieur du Canada;
  • L'assurance que les renseignements personnels, protégés ou classifiés sont partagés avec un tiers uniquement lorsque cela s'avère justifié;
  • La consultation des services juridiques pour tous les futurs marchés dans lesquels intervient l'échange ou le transfert de renseignements personnels ou de nature délicate à un tiers, afin de considérer l'inclusion de clauses empêchant leur divulgation en vertu de toute loi étrangère;
  • La modification des formulaires de marché afin de permettre à l'autorité chargée du contrat de mieux évaluer les risques.

Planification

  • L'établissement d'approches en matière de gestion des risques concernant les renseignements sur les activités et les renseignements personnels, afin d'atténuer les risques associés aux lois étrangères, qui seront ensuite incorporées au cadre organisationnel de gestion des risques de l'institution;
  • La modification des plans de formation, en vue d'accroître la sensibilisation panministérielle à l'égard des risques;
  • L'étude des solutions technologiques visant à protéger le flux de renseignements.

Orientation stratégique

Le Secrétariat a élaboré un document d'orientation stratégique afin d'aider les institutions fédérales qui s'apprêtent à conclure une entente d'impartition faisant intervenir des renseignements personnels ou de nature délicate tant au Canada qu'à l'étranger.

Le document vise tout d'abord à aider les institutions à déterminer et à évaluer les risques potentiels à l'égard de la protection des renseignements personnels, puis, s'il y a lieu, à prendre les mesures qui s'imposent. Il a pour objet de faire en sorte que le gouvernement du Canada respecte ses obligations juridiques et politiques concernant la protection des renseignements personnels.

Conseils relativement aux décisions de faire ou de faire faire

Le document d'orientation met l'accent sur la protection initiale des renseignements personnels, par l'entremise du libellé des marchés et d'autres mesures. On cherche à mettre en place les mesures nécessaires permettant d'atténuer le plus possible les risques associés à la protection des renseignements personnels, avant même que ne débute le processus d'attribution du marché.

Le document rappelle également aux institutions que, selon la politique gouvernementale, l'impartition doit être précédée d'une analyse de rentabilisation faisant ressortir les avantages que retireront les Canadiens et les Canadiennes. Si une analyse de rentabilisation est produite, les répercussions sur la protection des renseignements personnels sont étudiées en consultation avec les agents internes appropriés – cette étape doit être complétée avant d'entreprendre tout processus visant à acquérir les services d'un fournisseur externe.

Au nombre des autres recommandations présentes dans le document, on compte ce qui suit :

  • déterminer, au besoin, la responsabilité du contrôle de sorte à bien faire comprendre que les renseignements sont la propriété du gouvernement du Canada;
  • faire en sorte que les examens de marché soient une composante obligatoire de chaque marché, advenant qu'un changement survienne dans le statut ou la propriété de l'entreprise;
  • stipuler que les renseignements demeureront confidentiels et ne seront utilisés qu'aux fins prévues aux termes du marché ou de l'entente, et que les autres utilisations ou divulgations devront être approuvées par le gouvernement du Canada;
  • faire signer des ententes de confidentialité aux employés des entreprises contractantes;
  • préciser que les renseignements doivent être gardés séparément des autres dossiers et renseignements détenus par l'entreprise, et qu'ils doivent être remis au gouvernement du Canada sur demande;
  • spécifier la participation et les responsabilités de chacun des sous-traitants, agents, consultants et conseillers;
  • stipuler qu'une piste de vérification électronique est requise concernant les renseignements conservés dans une base de données, afin de pouvoir facilement déterminer qui a l'autorisation d'y accéder et à quel moment.

Le document d'orientation n'est pas destiné à être utilisé indépendamment des autres directives en matière d'acquisition et de politique. En outre, il ne vise pas à encourager l'adoption d'une approche uniforme, étant donné que les situations sont différentes selon les institutions et les possibilités d'impartition, et que chaque cas doit être considéré séparément.

Chaque institution doit répondre de ses propres ententes d'impartition et, en conséquence, devrait tenir compte des mesures mentionnées dans le présent document, en consultation avec ses propres conseillers juridiques et conseillers en matière de protection des renseignements personnels.

Conseils relatifs aux clauses des marchés

Le document d'orientation offre des conseils sur l'élaboration de clauses appropriées pouvant être utilisées, au besoin, pour atténuer les risques potentiels de divulgation de renseignements à des gouvernements étrangers. Ces clauses, qui devraient figurer dans la demande de proposition destinée aux soumissionnaires, s'avèrent particulièrement indiquées lorsque le risque en matière de la protection des renseignements personnels est peut-être plus élevé, comme c'est le cas pour la collecte et la conservation des renseignements sur la santé, des renseignements sur le revenu ou des renseignements financiers personnels.

Avant d'utiliser, de modifier ou d'adapter ces clauses types, les institutions sont invitées à consulter leurs services juridiques et leurs responsables de la protection des renseignements personnels, pour s'assurer que les clauses sont utilisées conformément aux règles et qu'elles ne contreviennent pas à d'autres obligations découlant d'accords internationaux en vigueur.

Gamme des clauses

Le document d'orientation propose diverses clauses pouvant être incorporées aux marchés afin d'assurer une meilleure protection des renseignements personnels.

Contrôle maintenu par le Canada : Les institutions fédérales devraient s'assurer que le gouvernement du Canada conserve le contrôle des renseignements et qu'il peut demander en tout temps à l'entrepreneur de les lui remettre.

Inspections des installations : L'institution peut prévoir dans ses marchés la possibilité d'inspecter les installations de l'entrepreneur.

Permission requise : On peut obliger les fournisseurs à toujours demander l'approbation avant de divulguer des renseignements.

Accès limité : On peut limiter l'accès aux renseignements. Par exemple, il serait possible d'inclure à un marché une clause stipulant qu'on ne peut accéder aux renseignements pour des fins autres que celles prévues dans le marché, y compris toute divulgation ou tout accès par une société mère basée à l'étranger, par d'autres filiales ou par des tiers, tels que des sous-traitants ou des agents, qui ne sont pas directement concernés par le marché ou l'entente d'impartition.

Vérification : Tout particulièrement quand il y a accès à des renseignements personnels ou tout autre renseignement protégé ou classifié, il faudrait exiger des fournisseurs qu'ils conservent une piste de vérification, afin d'avoir la confirmation que les personnes ayant accédé aux renseignements y étaient autorisées et de permettre à l'institution gouvernementale de procéder à des vérifications.

Avis de manquement : Lorsqu'un entrepreneur apprend que des renseignements confidentiels ont été divulgués, il devrait être tenu, en vertu du contrat, d'en informer le gouvernement. Les modalités du marché devraient encourager l'entrepreneur à déclarer l'incident et à prendre rapidement les mesures correctrices.

On pourrait exiger de l'entrepreneur qu'il accepte d'être tenu responsable d'une divulgation illicite et d'assumer les coûts associés à l'avis qui doit être donné aux personnes dont les renseignements ont peut-être été communiqués. Le gouvernement pourrait également exiger la résiliation du marché dans le cas de divulgation de renseignements confidentiels.

Sous-traitance : Un marché peut stipuler l'autorisation ou l'interdiction de recourir à toute sous-traitance. Si la sous-traitance est permise, le sous-traitant devrait être assujetti aux mêmes restrictions que l'entrepreneur en ce qui a trait à la protection des renseignements personnels, et ce, même si ses activités sont menées à l'extérieur du Canada. L'institution fédérale peut également exiger de l'entrepreneur qu'il obtienne une approbation écrite avant d'engager tout sous-traitant.

Liste de contrôle de la protection des renseignements personnels

Afin d'aider les institutions à s'assurer que les clauses appropriées liées à la protection des renseignements personnels sont incluses lorsqu'elles concluent une entente d'impartition ou de sous-traitance concernant un programme gouvernemental ou une fonction de prestation de services, le document d'orientation fournit une liste de contrôle de la protection des renseignements personnels. Toutes les institutions fédérales auront accès à cette liste, qui sera présentée sous forme d'un outil électronique convivial à partir du site Web du Secrétariat.

Il est peu probable que toute stratégie prise séparément puisse suffire, à elle seule, à protéger les renseignements personnels contre une divulgation à l'étranger.

Par conséquent, les institutions fédérales utilisent une combinaison de stratégies visant à prévenir la divulgation qui incluent une vaste gamme d'outils, dont les clauses de marché, la vérification, l'évaluation des risques et la technologie.

Autres activités

Outre le document d'orientation, le gouvernement fédéral communique avec des organismes et des personnes, et consulte ceux-ci afin de partager l'information, d'accroître la sensibilisation à l'égard des questions relatives au flux de données transfrontière et de recevoir des conseils.

LPRPDE : La commissaire à la protection de la vie privée du Canada demande aux entreprises canadiennes de continuer à respecter le droit à la vie privée des Canadiens et des Canadiennes relativement aux renseignements que possède le secteur privé sur les citoyens et citoyennes, tel que le prescrit la LPRPDE.

Discussions avec les É.-U. : Les responsables canadiens et américains ont discuté des questions entourant le flux de données transfrontière. Les responsables américains ont été informés du plan d'action fédéral, de la façon dont les Canadiens et Canadiennes perçoivent la protection des renseignements personnels et la USA PATRIOT Act, et du désir du gouvernement fédéral de poursuivre le dialogue en vue d'en arriver à un juste équilibre entre le respect des droits à la protection des renseignements personnels et une application efficace de la loi.

Une coopération continue entre le Canada et les É.-U. favorisera le commerce ininterrompu et la poursuite d'autres activités entre les deux pays, tout en permettant de prendre en compte les préoccupations et les besoins de l'un et l'autre pays.

Commissariat à la protection à la vie privée du Canada et les provinces : Le gouvernement du Canada, le Commissariat à la protection à la vie privée du Canada et les gouvernements provinciaux partagent entre eux et avec le secteur privé l'information au sujet des pratiques exemplaires, afin d'assurer la sécurité et la protection des renseignements personnels des Canadiens et des Canadiennes et de protéger les intérêts des entreprises canadiennes.



Date de modification :