Résumé de la mise à jour sur l’évaluation des facteurs relatifs à la vie privée pour la plateforme Accès à l’information et protection des renseignements personnels (AIPRP) en ligne

Présentation

Le présent document résume les résultats d’une évaluation des facteurs relatifs à la vie privée qui a été réalisée pour la plateforme Accès à l’information et protection des renseignements personnels en ligne (AIPRP en ligne) du Bureau de la dirigeant principal de l’information du Secrétariat du Conseil du Trésor (SCT), anciennement connu sous le nom de Service de demande d’AIPRP en ligne.

Description

L’AIPRP en ligne est un site Web public centralisé et sécurisé qui permet aux Canadiens de soumettre des demandes d’accès à l’information et aux renseignements personnels aux institutions participantes du gouvernement du Canada. Les nouvelles fonctionnalités de ce site Web évaluées dans le cadre de l’EFVP permettent au public canadien de :

• créer un profil sécurisé pour ouvrir une session en tant qu’utilisateur nommé, ou ouvrir une session en tant qu’utilisateur invité;
• soumettre des demandes d’AIPRP en tant qu’utilisateur invité ou en tant qu’utilisateur authentifié de façon sécuritaire;
• joindre et téléverser des documents à l’appui des demandes d’AIPRP de façon sécurisée;
• payer les frais applicables aux demandes d’accès à l’information de façon sécurisée;
• recevoir des conseils propres à l’institution pour fournir de l’information et des documents justificatifs personnalisés lors de la présentation des demandes;
• tirer parti de la fonctionnalité permettant de créer un profil sécurisé, de faire un suivi de l’état des demandes et de recevoir des réponses aux demandes par voie électronique au moyen d’un canal sécurisé.

Pourquoi était-il nécessaire de procéder à l’évaluation des facteurs relatifs à la vie privée?

L’évaluation des facteurs relatifs à la vie privée s’appuie sur l’évaluation des facteurs relatifs à la vie privée pour le projet de service de demande d’accès à l’information et de protection des renseignements personnels (AIPRP) en ligne et comprend une évaluation plus approfondie des améliorations du service décrites ci‑dessus.

Objectifs de l’évaluation des facteurs relatifs à la vie privée

Assurer la mise en place de saines pratiques en matière de gestion et de prise de décision et la réalisation d’un examen minutieux des risques liés à la protection des renseignements personnels en ce qui concerne la création, la collecte et le traitement de renseignements personnels dans le cadre des programmes ou des activités du gouvernement.

Résultats de l’évaluation des facteurs relatifs à la vie privée, résumé des risques et plan d’action

L’AIPRP en ligne contient un large éventail de mesures de sécurité et de confidentialité de nature technique, opérationnelle et administrative visant la protection des renseignements personnels tout au long du cycle de vie de l’information.

Résumé des risques

L’évaluation des facteurs relatifs à la vie privée a révélé 13 risques potentiels liés à la protection des renseignements personnels pouvant être recueillis, utilisés, communiqués ou conservés par la plateforme AIPRP en ligne et les améliorations qui y ont été apportées. Parmi ces risques, mentionnons les suivants :

• la collecte de renseignements personnels supplémentaires sous des formes personnalisées par les institutions lorsque cela n’est pas nécessaire peut entraîner une collecte excessive de renseignements personnels sans objectif identifiable;
• la collecte des numéros d’assurance sociale sans une autorisation pertinente prévue par une politique peut entraîner une collecte excessive de renseignements personnels;
• des descriptions partielles dans les entrées pertinentes du fichier de renseignements personnels peuvent signifier que les personnes ne sont pas informées des renseignements personnels qui les concernent contenus dans les documents d’information du gouvernement du Canada;
• des activités d’évaluation des risques liés à la sécurité des TI partiellement achevées peuvent signifier que les biens, les éventuelles menaces et vulnérabilités ainsi que les mesures de protection et les risques actuels peuvent ne pas être bien compris dans le cadre du projet, ce qui peut entraîner l’omission involontaire de mesures de sécurité qui peuvent protéger les renseignements personnels contre l’accès, l’utilisation, la modification, le retrait ou la destruction non autorisés.

Plan d’action

Le SCT a examiné tous les risques et a dressé un plan d’atténuation des risques liés à la protection des renseignements personnels afin d’atténuer davantage les risques susmentionnés à mesure que le projet avance vers la mise en production. Grâce à ce plan d’atténuation, les niveaux de risque résiduel sont faibles ou très faibles pour chaque risque cerné antérieurement. L’évaluation des risques liés à la protection des renseignements personnels en ce qui concerne la mise en œuvre des questions de demandes personnalisées continue de relever de la responsabilité de l’institution cliente. À ce titre, le SCT atténue le risque de collecte excessive en demandant aux institutions de fournir soit une évaluation des facteurs relatifs à la vie privée pour la collecte supplémentaire de renseignements personnels, soit des documents confirmant qu’une évaluation des facteurs relatifs à la vie privée n’est pas nécessaire. Le SCT a également obtenu l’autorisation de recueillir le numéro d’assurance sociale pour faciliter la récupération de renseignements ou de documents en réponse aux demandes d’AIPRP dans le cadre des questions personnalisées demandées par les institutions, conformément au processus et aux exigences définis dans la Directive sur le numéro d’assurance sociale. Le SCT mettra également à jour l’avis de confidentialité en consultation avec son bureau de l’AIPRP afin d’assurer la pleine conformité aux exigences de la Directive sur les pratiques relatives à la protection de la vie privée. De plus, il établit un nouveau fichier de renseignements personnels pour la plateforme AIPRP en ligne qui définit avec précision les renseignements personnels recueillis par celle-ci et la façon dont ils sont utilisés. Une évaluation complète des menaces et des risques ainsi qu’une évaluation et autorisation de sécurité seront également effectuées avant le lancement du nouveau système.