Commissariat la protection de la vie prive du Canada

1
Commissariat à la protection de la vie privée du
Canada

• Gérer la vie privée
• Institut de la gestion financière du Canada
• Ottawa
• Le 27 novembre 2007

2
Jennifer StoddartCommissaire à la protection de
la vie privée du Canada
3
Cette Présentation

• Aperçu du CPVP
• Pourquoi limportance au droit à la vie privée
• Environnement de la vie privée
• Vérification et revue du CPVP
• Gestion des renseignements personnels

4
À propos du CPVP

• Commissariat à la protection de la vie privée du
  Canada
• Protéger et promouvoir le droit des personnes à
  la vie privée
• Veiller à lapplication des deux lois
• Haute fonctionnaire indépendant du Parlement
• Rôle dombudsman à multiples facettes
• Responsable de la promotion de la bonne gestion
  des renseignements personnels par des
  organisations, tant publiques que privées.
• Consulter www.privcom.gc.ca

5
De me faire rappeler

• Quest-ce que la vie privée?

6
Pourquoi le droit à la vie privée

• Droit fondamental de la personne
• Droits contre lintrusion arbitraire liberté
  de perquisitions et de saisies irraisonnables.
  Le droit à la protection des renseignements
  personnels.
• Importance du droit à la vie privée puisque
  cest le genre de société que nous voulons la
  relation que nous avons avec le gouvernement, les
  entreprises et entre nous-même.

7
Toronto - 1907
8
La vie privée dans son contexte

• Lenvironnement de la vie privée daujourdhui

9
Linformatique omniprésente
10
Un nouvel univers - Un monde lié
11
La technologie na aucune limite ni frontière
12
Multiples défis à la vie privée

• Suite aux événements du 11 septembre 2001
  mettre davantage laccent sur léchange de
  renseignements pour des raisons de sécurité
• Circulation transfrontalière des données
• Lexternalisation des activités
• Protéger soi même dans une ère dexpansion de
  linformation - intégration
• Consolidation des données exploitation
  Couplage des données - revente
• Profil du comportement et de cibler la publicité
  
• Biométrie
• Surveillance accrue (selon divers façons
  visuelle et des données)
• Internet - Web2 Communication sans fil
  (changement de génération)
• Vol didentité perte/vol des renseignements
  personnels
• Violations à la vie privée

13
Le public est davantage concerné
14
Il arrive parfois quon se sent débordé
15
Le droit à la vie privée Mort ou toujours en
existence?

• Le droit à la vie privée existe en effet
• Mais il faut en prendre soin

16
Le rapport annuel au Parlement sur les activités
de la Loi sur la protection des renseignements
personnels pour lannée financière 2006-2007

• La refonte de la Loi sur la protection des
  renseignements personnels savère essentielle
• Accroissement du vol didentité
• Les avantages liés au voyage est-ce que les
  divers programmes axés sur la sécurité justifient
  nettement une éventuelle violation à la vie
  privée?
• Violation relative à lexposition ou au manque de
  protection adéquate des renseignements personnels
  qui circulent entre les frontières
• Les efforts déployés portant sur lévaluation des
  facteurs relatifs à la vie privée ne fonctionnent
  pas comme il le devrait.
• Le CPVP a reçu 839 plaintes et en a fermé 957.

17
Le mandat de la Direction de vérification et
revue du CPVP

• Le paragraphe 36(1) de la Loi sur la protection
  des renseignements personnels droit denquêter
  les dossiers versés dans les fichiers
  inconsultables.
• Le paragraphe 37(1) de la Loi sur la protection
  des renseignements personnels droit dexamen
  afin de déterminer si les institutions fédérales
  (secteur publique) se conforment aux obligations
  établies aux articles 4 à 8 à légard des
  renseignements personnels sous leur autorité.
• La politique du Conseil du Trésor du Canada
  lexamen de lévaluation des facteurs relatifs à
  la vie privée
• Le paragraphe 18(1) de la Loi sur la protection
  des renseignements personnels et les documents
  électroniques sur préavis suffisant et à toute
  heure convenable, procéder à la vérification des
  pratiques de lorganisation en matière de gestion
  des renseignements personnels sil a des motifs
  raisonnables de croire que celle-ci a contrevenu
  à ladite loi.

18
La Direction de vérification et revue

• Nous menons des vérifications ainsi que des
  revues sur lévaluation des facteurs relatifs à
  la vie privée.
• De mener des vérifications et des revues
  indépendantes et objectives par rapport aux
  pratiques touchant la gestion des renseignements
  personnels dans le but de promouvoir la
  conformité avec la législation applicable, les
  politiques et les normes, ainsi que
  lamélioration des pratiques sur la vie privée,
  et la responsabilité.
• La Direction de la vérification et revue est en
  expansion nous sommes présentement 8 employés
  mais prévoyons agrandir jusquà 19 (13 agents de
  vérification et revue, 4 agents en matière de
  lévaluation des facteurs relatifs à la vie
  privée, le directeur général et une adjointe
  administrative). Le budget sest accru de
  896,000 à 1.9million.

19
Stratégie de la vérification

• Les gens ne font pas ce qui est attendu mais
  plutôt ce qui est inspecté
• Encourager les entités à être responsables et
  dassurer par eux-mêmes quils ont en place un
  cadre de pratiques de gestion des renseignements
  personnels fonctionnel de renforcir les
  principes à la vie privée et de connaître son
  propre état de conformité.
• Coût axé sur le risque porté
• Susceptibles davoir des effets systémiques
  significatifs
• Un examen pour lensemble du gouvernement sur des
  questions et pratiques combinées avec des
  vérifications basées sur des entités spécifiques.
  
• Extension des principaux résultats denquête à
  légard des plaintes déposées au CPVPest-ce que
  le répondant fait ce dont il a dit quil faisait?

20
Lapproche à la vérification le processus

• Choisir la portée de la vérification (axée sur
  les secteurs dintérêts) ainsi que sur les
  critères dexamen de vérification faire un
  suivi
• Examen approfondi des pratiques de gestion des
  renseignements personnels
• Les systèmes une approche contrôlée du cycle de
  vie des renseignements personnels sous lautorité
  de linstitution fédérale visée de la collecte
  à lélimination des renseignements personnels
• Laccent sur lévaluation des contrôles des
  systèmes informatisés
• Utilisation de conseillers experts et des
  contractuels
• Fonctionnement sur la notion de pas de surprise

21
Vérification sur les principes de la vie privée
en quoi cela consiste?
22
Définition dune vérification en matière de
renseignements personnels

• Vérification en matière de renseignements
  personnels (dans notre contexte) peut être
  défini comme un examen systématique du contrôle
  et de la responsabilité de la gestion du cycle de
  vie des des renseignements personnels
  consistent avec les principes du Code de
  pratiques équitables en matière de
  renseignements. La vérification proprement dit
  peut aussi être considérée comme lévaluation des
  moyens employés par les organisations pour gérer
  les risques reliés aux renseignements personnels.
  Lutilisation dune approche système, la
  vérification en vertu de la Loi sur la protection
  des renseignements personnels ou de la Loi sur la
  protection des renseignements personnels et les
  documents électroniques seraient conçus pour
  répondre à lune ou plusieurs questions
  fondamentales suivantes toujours en fonction de
  la portée de la vérification.

23
Questions relatives sur la gestion des
renseignements personnels

• Existe-t-il un moyen efficace PMF (des
  structures, des politiques, des normes, des
  systèmes et des procédures) mis en place et
  fonctionnel pour assurer la responsabilité en
  matière des renseignements personnels. Est-ce que
  les pratiques de gestion des renseignements
  personnels sont transparentes? Par example
• Est-ce que lorganisation ont les moyens de
• Connaîre et informer sur les renseignements
  personnels quils détiennent?
• Mener des revues portant sur lévaluation des
  facteurs relatifs à la vie privée en temps voulu
  et de manière opportune?
• Informer lindividu visé de la manière dont il
  peut déposer une plainte au CPVP?
• Recevoir et de répondre aux plaintes ou des des
  requêtes de renseignements au sujet des
  politiques et des procédures relatives au
  traitement des renseignements personnels?
• Identifier, signaler et assainir des violations
  en matière de renseignements personnels?

24
Questions fondamentales touchant les fichiers de
renseignements personnels

• Lobjet concernant lacquisition et la
  conservation des renseignements personnels est-il
  clair et nécessaire (Proportionnalité)
• La collecte, la conservation et lutilisation des
  renseignements relèvent-elles des autorités
  gouvernementales (lois, règlements, politiques)?
• Est-ce quil y a consentement approprié (donné ou
  retiré)?
• Y a-t-il limitation de lutilisation, la
  divulgation et la conservation des renseignements
  personnels?

25
Questions fondamentales

• Les renseignements personnels sont-ils exacts,
  complets et à jour pour les fins auxquels ils
  sont destinés à être utilisé?
• Les renseignements personnels sont-ils protégés
  conformément à la nature délicate de
  linformation?
• Les renseignements personnels sont-ils
  convenablement protégés contre la perte, le vol
  ou laccès non autorisé?

26
Questions fondamentales

• Est-ce quune personne est informée de
  lexistence, lutilisation et la divulgation de
  ses renseignements personnels et du fait quelle
  peut en faire la demande à cette information dans
  une franchise et en temps opportun (quand et où
  laccès nest pas limité ou interdit en raison
  dexclusions ou exceptions apportées à la Loi?
• Est-ce quune personne est en mesure de contester
  la conformité dune organisation selon les
  principes de la Loi sur la protection des
  renseignements personnels, les exigences, et les
  bonnes pratiques, y compris la possibilité de
  formuler une plainte et de demander la correction
  des renseignements personnels le concernant si
  nécessaire?

27
Gardons la vie privée en bonne forme
28
Gardons la vie privée en bonne forme

• Mettre laccent sur les principes de la vie
  privée
• Valeur du respect de la vie privée comme une
  créance et non pas seulement comme une obligation
  de conformité de traiter les renseignements
  personnels comme un atout majeur digne de
  protection ainsi que toute autre
• Approche systématique des risques associés à la
  gestion des renseignements personnels
• Meilleur cadre législatif et règlementaire
• Solide cadre des pratiques de gestion des
  renseignements personnels
• Bonne gestion des systèmes informatiques,
  notamment pour lidentification et
  lauthentification
• Vérification en matière de la vie privée
• Soyez un protecteur à la vie privée

29
Comment les pratiques de gestion des
renseignements personnels sont-elles How privacy
management friendly is your organization?

• Comment votre organisation envisage la vie privée
  quelle est la culture?
• Est-ce que la vie privée est à lordre du jour/
  radar de la haute direction?
• Comment est votre PGRP? En avez-vous une
  pouvez-vous lexprimer? Est-ce liée à MAF?
• Avez-vous une connaissance au sujet des
  renseignements personnels sous votre autorité,
  les raisons pour lesquelles vous faites la
  collecte, et quest-ce que vous en faites avec
  ces renseignements?
• Avez-vous un programme axé sur la protection des
  renseignements personnels?
• Comment est votre bureau de laccès à
  linformation et de la protection des
  renseignements personnels? Y a-t-il
  suffisamment de ressources/ a la capacité
  daccomplir ses tâches? Jouit-il dun rôle clé
  ou marginal?
• Captez-vous les violations à la vie privée et
  avez-vous en place des mécanismes réceptifs à cet
  égard?
• Lorsque vous introduisez/modifiez les lignes
  daffaires ou des systèmes est-ce que vous
  faites une évaluation des facteurs relatifs à la
  vie privée (y compris VA-TRA) avant tout et
  ensuite lutiliser?
• Vous avez accès à des politiques cest bien
  mais cest seulement des mots sur papier?
  Comment savez-vous quil y a un suivi/supporté?
• Y a-t-il un mécanisme de vérification interne en
  place qui prend en considération les risques
  dentrave à la vie privée?
• Savez-vous quand votre organisation a fait un
  examen des pratiques à la vie privée?
• De quelle manière la gestion de la vie privée
  fait partie de lentente et de lévaluation de
  la performance du gestionnaire?

30
La vie privée et la communauté FMI

• Si vous êtes
• Dans le devoir de créer des rapports de de
  confiance avec les Canadiens
• Tente dadapter la technologie de pointe
• Impliqué dans la conception, lexploitation et
  lévaluation des systèmes et des banques de
  données contenant des renseignements personnels
• Alors vous êtes dans le domaine de la vie privée
  une partie de vos responsabilités
• CRG CGR
• Évaluation des facteurs relatifs à la vie privée
  atténuation du risque à la vie privée
• Protéger/sécuriser des renseignements personnels
  de nature délicate
• La masse salariale (protection de la vie privée
  des employés) Créances (protection de la vie
  privée des clients)
• Surveillance de la conformité avec la Loi sur la
  protection des renseignements personnels et des
  politiques du Conseil du Trésor du Canada (en
  train dêtre modifier.

31
Merci

• Questions?
• www.privcom.gc.ca
• 1-800-282-1376
• Trevor R. Shaw, CA CMC
• Directeur général Vérification et revue
• 613-996-2252