Politique relative à la protection des renseignements personnels

Introduction

La Loi sur la protection des renseignements personnels, entrée en vigueur le 1er juillet 1983, donne aux citoyens canadiens, aux résidents permanents et à tout individu présent au Canada un droit d’accès aux renseignements personnels les concernant, que détiennent les institutions fédérales, sous réserve d’exceptions précises et limitées et d’une révision indépendante des décisions relatives à l’accès

Le Service des poursuites pénales du Canada (le SPPC) est assujetti à la Loi sur la protection des renseignements personnels depuis qu’il a été établi en tant qu’organisation indépendante le 12 décembre 2006.

Objet

La présente politique énonce les principes généraux que les employés et les mandataires du SPPC doivent suivre pour se conformer à la Loi sur la protection des renseignements personnels, à ses règlements, aux politiques, directives et lignes directrices connexes du Secrétariat du Conseil du Trésor (le SCT), aux décisions judiciaires pertinentes et aux meilleures pratiques en matière de protection des renseignements personnels. Bien que le Bureau de l’accès à l’information et de la protection des renseignements personnels (le Bureau de l’AIPRP) soit chargé de la gestion des activités quotidiennes du SPPC sous le régime de la Loi sur la protection des renseignements personnels, il incombe à tout le personnel de faire en sorte que le SPPC s’acquitte des responsabilités qui lui incombent en application de cette loi et de la présente politique.

Application

La présente politique s’applique aux activités du SPPC liées à la collecte et à la gestion de tous les renseignements personnels dont il est responsable, sans égard à leur origine ou à leur support, dans le cadre de son mandat décrit dans la Loi sur le directeur des poursuites pénales et de ses activités administratives générales. Elle s’applique à tous les employés et mandataires du SPPC quant aux documents qu’ils créent ou conservent ou dont ils sont responsables pour le compte du SPPC.

Énoncé de politique

Le SPPC est soucieux d’assurer la confidentialité et la protection des renseignements personnels qu’il détient en respectant les exigences de la Loi sur la protection des renseignements personnels et de ses règlements.

Le SPPC acceptera les demandes présentées par des individus qui veulent avoir accès aux renseignements personnels les concernant et y donnera suite. De plus, il veillera à ce que les renseignements personnels dont il est responsable soient efficacement protégés et gérés en cernant, évaluant, veillant et atténuant les risques d’atteinte à la vie privée dans ses programmes et ses activités dans le cadre desquels des renseignements personnels sont recueillis, conservés, utilisés, divulgués ou détruits.

Autorisation de publication

La présente politique est publiée sous l’autorité du directeur des poursuites pénales (le DPP) et a été approuvée par le Conseil exécutif du SPPC.

Date d’entrée en vigueur

La présente politique entre en vigueur le 1er janvier 2012.

Délégation

En tant que « responsable d’institution fédérale », en ce qui a trait à l’application de la Loi sur la protection des renseignements personnels, le DPP a la responsabilité générale de l’observation de la Loi par le SPPC. En vertu de l’article 73 de la Loi, il a délégué tous les pouvoirs connexes au directeur exécutif et conseiller principal du Secrétariat des relations ministérielles et externes (le coordonnateur de l’AIPRP) et au gestionnaire, Accès à l’information et protection des renseignements personnels (le gestionnaire de l’AIPRP). Les responsabilités du SPPC en matière de protection des renseignements personnels sont interprétées, exécutées, gérées et supervisées par le Bureau de l’AIPRP.

Le coordonnateur de l’AIPRP et le gestionnaire de l’AIPRP du SPPC examinent périodiquement l’instrument de délégation de l’AIPRP et veillent à ce qu’il soit toujours à jour et en vigueur, lorsqu’ils apprennent que les circonstances ont changé.

Rôles et responsabilités en matière de protection des renseignements personnels

Bien que le DPP a la responsabilité générale de l’observation de la Loi sur la protection des renseignements personnels par le SPPC, tous les employés et mandataires doivent s’informer au sujet des obligations qui leur incombent sous le régime de la Loi, de ses règlements ainsi que des politiques, directives et lignes directrices connexes du SCT et de la présente politique.

De plus, les employés et mandataires doivent signaler tout manquement à la présente politique ou à la Loi à leur superviseur, chef d’équipe ou gestionnaire, qui doit ensuite le signaler au Bureau de l’AIPRP.

Directeur des poursuites pénales – Le DPP est le « responsable d’institution fédérale » du SPPC pour l’application de la Loi sur la protection des renseignements personnels. Il a la responsabilité générale de faire en sorte que l’organisation se conforme à la Loi, à ses règlements ainsi qu’aux politiques, directives et lignes directrices connexes du SCT.

Directeurs adjoints des poursuites pénales – Chargés d’aider le SPPC à s’acquitter des obligations en matière de protection des renseignements personnels qui lui incombent sous le régime de la Loi, des règlements, ainsi que des politiques et directives connexes du SCT.

Coordonnateur de l’AIPRP Le directeur exécutif et conseiller principal du Secrétariat des relations ministérielles et externes est le coordonnateur de l’AIPRP du SPPC par suite d’une délégation faite par le DPP en vertu de la Loi sur la protection des renseignements personnels. Il supervise l’application de la Loi, de ses règlements ainsi que des politiques, directives et lignes directrices connexes.

Gestionnaire, Accès à l’information et protection des renseignements personnels (gestionnaire de l’AIPRP) – Le gestionnaire de l’AIPRP est chargé de la gestion du Bureau de l’AIPRP; il coordonne toutes les activités liées à l’application de la Loi et des règlements et se conforme aux politiques, directives et lignes directrices du SCT en matière d’AIPRP.

Avocat de l’AIPRP L’avocat du Secrétariat des relations ministérielles et externes formule des avis juridiques en matière de protection des renseignements personnels à l’intention du coordonnateur de l’AIPRP du Bureau de l’AIPRP et des gestionnaires du SPPC.

Personnes‑ressources – Il incombe aux directeurs à l’administration centrale et aux procureurs fédéraux en chef en régions, en qualité de personnes‑ressources, de veiller à ce que leurs bureaux remplissent leurs obligations en matière de protection des renseignements personnels, à l’émission de directives relatives à la protection des renseignements personnels à l’intention des employés et (ou) des mandataires et d’assurer la liaison avec le Bureau de l’AIPRP du SPPC relativement au respect de la Loi, de ses règlements ainsi que des politiques et directives connexes du SCT et du SPPC.

Gestionnaires, chefs d’équipe et superviseurs (y compris les superviseurs des mandataires) – Chargés de veiller à ce que le personnel et (ou) les mandataires s’acquittent de leurs obligations en matière de protection des renseignements personnels et se conforment à la Loi, à ses règlements ainsi qu’aux politiques et directives connexes du SCT et du SPPC. Il leur incombe en outre de se pencher sur toute question relative à la protection des renseignements personnels qui leur est soumise et de faire enquête.

Employés et mandataires – Ils doivent se conformer à la Loi sur la protection des renseignements personnels, à ses règlements ainsi qu’aux politiques et directives connexes du SCT et du SPPC. Ils doivent aussi veiller à ce que tous les documents qu’ils créent soient gérés correctement afin de faciliter l’accès aux renseignements.

Exigences relatives à la protection des renseignements personnels

Le SPPC est responsable de tous les renseignements personnels qui relèvent de lui dans le cadre de l’exécution de son mandat décrit dans la Loi sur le directeur des poursuites pénales et de ses activités administratives générales. Peu importe qu’il ait obtenu les renseignements personnels directement de l’individu qu’ils concernent ou indirectement d’un tiers (p. ex. un organisme d’enquête), le SPPC les traitera conformément à la Loi sur la protection des renseignements personnels, à ses règlements ainsi qu’aux politiques, directives et lignes directrices du SCT.

Pour assurer le respect des exigences relatives à la protection des renseignements personnels, le SPPC :

  • exercera un pouvoir discrétionnaire de façon juste, raisonnable et impartiale dans le cadre du traitement des demandes d’accès et du règlement des plaintes sous le régime de la Loi sur la protection des renseignements personnels et de ses règlements;
  • veillera à ce que des procédures soient en place pour faire en sorte que les personnes puissent solliciter l’accès à leurs renseignements personnels, demander que des corrections y soient apportées et déposer des plaintes concernant la gestion de leurs renseignements personnels;
  • veillera à ce que l’identité du requérant soit protégée et à ce qu’elle ne soit divulguée qu’aux fins autorisées par la Loi et que s’il est réellement nécessaire de la connaître pour exercer les pouvoirs et les fonctions en lien avec la Loi;
  • tiendra des séances de formation et de sensibilisation à l’intention de ses employés afin que ceux‑ci connaissent les obligations qui leur incombent sous le régime de la Loi, de ses règlements ainsi que des politiques, directives et lignes directrices du SCT. Ces séances auront notamment pour but d’informer les employés au sujet de la présente politique et des procédures, pratiques et attentes du SPPC en ce qui concerne le traitement des renseignements personnels;
  • veillera à ce que les superviseurs des mandataires remettent la présente politique aux mandataires afin que ceux-ci se conforment aux exigences en matière de protection des renseignements personnels;
  • inclura des dispositions particulières sur la confidentialité dans les contrats et les autres ententes conclus avec des tiers en conformité avec la Loi, la présente politique et les procédures internes, lorsque des renseignements personnels sont en cause;
  • mettra en application des mesures de protection des renseignements personnels contre la perte et l’accès, l’utilisation et la divulgation non autorisées;
  • mettra en place des procédures pour faire en sorte que les individus – et, dans certains cas, le Commissaire à la protection de la vie privée du Canada – soient avisés de toute collecte, conservation, utilisation, divulgation ou destruction inappropriée de leurs renseignements personnels;
  • donnera des conseils sur des questions relatives à la protection des renseignements personnels aux employés et mandataires qui en font la demande;
  • surveillera le respect de la Loi et de la présente politique et, au besoin, prendra des mesures afin de corriger les lacunes.

Collecte des renseignements personnels

I. Pouvoir et notification

Le SPPC recueille principalement des renseignements personnels afin de s’acquitter du mandat que lui confie la Loi sur le directeur des poursuites pénales de fournir des avis relatifs aux poursuites aux organismes d’application de la loi et d’intenter des poursuites concernant des infractions qui sont de la compétence fédérale. Le SPPC recueille aussi des renseignements personnels pour des raisons administratives, p. ex. la sécurité, la discipline et la gestion de carrière.

Le SPPC est soucieux de recueillir et limiter la collecte des renseignements personnels nécessaires à ses activités opérationnelles selon des méthodes justes et licites, et de ne s’en servir qu’aux fins indiquées.

Bien que l’article 5 de la Loi sur la protection des renseignements personnels exige que les renseignements personnels soient recueillis auprès de l’individu concerné, et que celui‑ci soit informé des fins auxquelles les renseignements sont destinés, cette disposition prévoit deux exceptions. En effet, aux termes du paragraphe 5(3), la règle ne s’applique pas dans les cas où son observation :

  • aurait pour résultat la collecte de renseignements inexacts;
  • contrarierait les fins ou compromettrait l’usage auxquels les renseignements sont destinés

Comme la plupart des renseignements personnels recueillis par le SPPC sont collectés dans le cadre de poursuites qu’il intente relativement à des infractions de compétence fédérale, la notification formelle et la collecte directe ne sont pas exigées. La majorité des renseignements recueillis proviennent d’autres sources, notamment d’organismes d’application de la loi, d’organismes provinciaux, d’autres institutions fédérales, de témoins et d’autres tiers. Dans ce type de cas, aviser l’individu concerné de la collecte des renseignements pourrait compromettre l’enquête criminelle ou les poursuites éventuelles. Dans le contexte d’une poursuite, l’accusé apprendra ultérieurement, lors de la communication de la preuve, que des renseignements personnels le concernant ont été recueillis.

Lorsqu’il recueille des renseignements personnels à des fins administratives, le SPPC se chargera de le faire directement et d’aviser l’individu de la fin à laquelle les renseignements sont destinés Dans ces circonstances, il veillera aussi à ce que des avis de confidentialité soient rédigés afin de faciliter la collecte et l’utilisation des renseignements personnels et que ces avis renferment les éléments appropriés qui sont prescrits par la Loi sur la protection des renseignements personnels et la Directive sur les pratiques relatives à la protection de la vie privée du SCTNote de bas de page 1.

Le Bureau de l’AIPRP examinera les avis de confidentialité afin de déterminer s’ils sont appropriés et consultera l’avocat de l’AIPRP et le coordonnateur de l’AIPRP, au besoin.

Les types de renseignements personnels recueillis par le SPPC et les fins auxquelles chacun est destiné sont décrits dans la publication du SCT intitulée Info Source.

II. Consentement

La Loi sur la protection des renseignements personnels n’interdit pas la collecte, l’utilisation et la divulgation de renseignements personnels sans le consentement de l’intéressé. Elle met plutôt l’accent sur la question de l’autorisation. Si le législateur a autorisé la collecte, l’utilisation ou la divulgation, alors le consentement de l’intéressé n’est pas requis. Dans le contexte de la prestation de services de poursuite, il n’est pas nécessaire d’obtenir ce consentement.

De même, la Loi n’interdit pas la divulgation de renseignements sans le consentement de l’intéressé. Le paragraphe 8(2) de la Loi décrit les cas, dont certains concernent directement les poursuites, dans lesquels celle‑ci peut se produire. Par exemple, des renseignements personnels peuvent être communiqués sans le consentement de l’intéressé lorsque cela est exigé par subpoena, mandat ou ordonnance d’un tribunal ou dans des poursuites judiciaires intéressant la Couronne.

Lorsque le SPPC recueille des renseignements personnels à des fins administratives et non dans le cadre de la prestation de services de poursuite, il tentera d’obtenir le consentement de l’intéressé au préalable. La forme du consentement peut varier selon les circonstances et le type de renseignements recherchés Le consentement peut être explicite ou implicite et être fourni directement par la personne ou par un représentant autorisé. Le consentement explicite est préférable et sera demandé par écrit dans la mesure du possible et documenté adéquatement si obtenu autrement.

Pour déterminer la forme appropriée du consentement, le SPPC tiendra compte de la nature délicate des renseignements personnels en cause, des fins auxquelles ils sont destinés et des attentes raisonnables de l’intéressé.

Utilisation, divulgation et conservation

L’accès aux renseignements personnels dont le SPPC est responsable est limité aux employés et aux mandataires qui en ont besoin pour réaliser les fonctions de leur poste. Les individus tenus de garder les renseignements personnels ne donneront accès à aucune personne non autorisée.

Le niveau d’accès aux renseignements personnels est déterminé en fonction du besoin de savoir basé sur le niveau de responsabilité du poste de l’employé ou du mandataire, du niveau de sécurité et de la Politique sur la sécurité du gouvernement du SCTNote de bas de page 2.

La collecte et l’utilisation du numéro d’assurance sociale (NAS) à des fins administratives sont restreintes aux fins permises par des lois et règlements précis ainsi qu’à des programmes autorisés Par exemple, ce renseignement peut être recueilli aux fins de poursuites en matière de produits de la criminalité ou relatives à des infractions prévues dans toutes les lois administrées par l’Agence du revenu du Canada, notamment la Loi de l’impôt sur le revenu.

Le SPPC ne divulguera aucun renseignement personnel sans le consentement de l’intéressé, sauf dans les cas décrits au paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Dans le contexte de poursuites, la communication de renseignements personnels dans le but de s’acquitter de fonctions en matière de poursuite, y compris la prestation de services consultatifs juridiques à des organismes d’enquête, est appropriée et permise par le paragraphe 8(2) de la Loi. Lorsque la communication est autorisée, le SPPC s’efforcera de ne divulguer que les renseignements précis qui sont nécessaires dans les circonstances.

Les employés et les mandataires sont priés de demander l’avis du Bureau de l’AIPRP lorsque des questions concernant la collecte, l’utilisation ou la divulgation de renseignements personnels se posent.

Le SPPC conservera les renseignements personnels un certain temps suivant leur dernière utilisation, conformément aux calendriers de conservation et de retraits établis par la Direction de la gestion de l’information et de la technologie du SPPC et approuvés par Bibliothèque et Archives Canada. Les calendriers de conservation du SPPC sont décrits dans la publication du SCT intitulée Info SourceNote de bas de page 3. De plus, les renseignements personnels doivent être détruits conformément aux normes de sécurité gouvernementales établies sous le régime de la Politique sur la sécurité du gouvernement du SCT.

Ententes avec des tiers

Les procureurs fédéraux en chef et les directeurs de l’administration centrale veilleront à ce que les contrats, les ententes ou autres arrangements renferment des clauses adéquates en matière de protection des renseignements personnels, particulièrement celles qui comportent la dévolution ou la privatisation d’un programme ou d’une activité du SPPC, ou la transmission intergouvernementale ou transfrontière de renseignements personnels.

Des clauses sur la protection des renseignements personnelsNote de bas de page 4 assurent la conformité des dispositions de la Loi sur la protection des renseignements personnels et de la présente politique en ce qui a trait au traitement et à la protection appropriés des renseignements personnels et elles prévoiront des mesures appropriées de protection des renseignements personnels en conformité avec le document du SPPC intitulé Protection et manipulation de l’informationNote de bas de page 5.

Si un procureur fédéral en chef ou un directeur à l’administration centrale envisage de divulguer ou de transmettre des renseignements personnels en vertu d’une entente conclue avec un tiers, il devrait consulter le Bureau de l’AIPRP afin de s’assurer que l’entente régissant la divulgation ou la transmission de renseignements personnels renferme des dispositions adéquates relatives à la protection des renseignements personnels qui sont conformes aux exigences du gouvernement du Canada.

En particulier, des clauses sur la protection des renseignements personnels doivent figurer dans les ententes majeures / mineurs conclues par écrit avec les services de poursuites provinciaux et dans d’autres ententes écrites régissant l’aide apportée au SPPC par un service de poursuites provincial. Les clauses sur la protection des renseignements personnels dans ces ententes conclues par écrit devraient indiquer que chaque partie est responsable de la protection et de l’intégrité des renseignements personnels qui lui sont confiés et que les parties feront des efforts raisonnables pour protéger ces renseignements contre tout accès, divulgation, utilisation, modification ou suppression accidentels ou non autorisés

Exactitude et correction des renseignements personnels

Afin de réduire la possibilité qu’une décision touchant un individu soit prise sur la foi de renseignements personnels inexacts, périmés ou incomplets, la Loi sur la protection des renseignements personnels exige que les institutions fédérales veillent, dans la mesure du possible, à ce que les renseignements personnels soient à jour, exacts et complets.

Le SPPC mettra à jour au besoin les renseignements personnels dont il est responsable, soit en communiquant directement avec la personne à laquelle les renseignements ont trait, ou indirectement, par d’autres sources, si le SPPC a la compétence voulue pour recueillir de tels renseignements d’une tierce partie. Ainsi, si un employé du SPPC se rend compte que les renseignements personnelles d’un individu, comme la date de naissance ou l’adresse, contiennent une erreur, il lui incombe d’apporter la correction nécessaire dans le dossier du SPPC.

Le SPPC corrigera des renseignements personnels incorrectement consignés dans un dossier lorsqu’une demande de correction de renseignements factuels est demandée, et qu’une pièce justificative, à l’appui de la correction, est présentée pour permettre la rectification du dossier.

Lorsqu’une correction de renseignements personnels est demandée par écrit et que le SPPC décide de ne pas apporter la correction, la demande sera notée au dossier.

Mesures de protection

Les renseignements personnels relevant du SPPC doivent être gardés confidentiels et protégés au moyen de mesures adaptées à leur degré de sensibilité. Le niveau de protection fourni variera en fonction du degré de sensibilité des renseignements personnels (p. ex. les renseignements personnels d’un indicateur de police), de la quantité et de la répartition et du support des renseignements, ainsi que des méthodes de conservation. Les fonctionnaires du SPPC doivent se conformer aux normes et exigences en matière de sécurité énoncées dans la Politique sur la sécurité du gouvernement du SCT, aux procédures de sécurité internes du SPPC et à toutes autres directives ou lignes directrices établies par le SCT et la Gendarmerie royale du Canada sur la sécurité matérielle et par le Centre de la sécurité des télécommunications Canada sur la sécurité des technologies de l’information.

Les fonctionnaires du SPPC emploieront des mesures appropriées pour s’assurer que l’accès aux renseignements personnels, leur utilisation et leur divulgation sont surveillés et documentés Ces mesures visent à identifier en temps opportun l’accès inapproprié ou non autorisé aux renseignements personnels, ou le traitement de ces renseignements associés à une activité opérationnelle donnée. Les menaces et les risques seront évalués au besoin.

Parmi les mesures de protection, mentionnons :

  • des mesures physiques comme le verrouillage des classeurs et la restriction de l’accès aux bureaux;
  • des mesures organisationnelles comme la délivrance de laissez‑passer de sécurité et la restriction de l’accès aux renseignements personnels en fonction du besoin de savoir et selon le niveau de sécurité accordé à la personne en possession des renseignements;
  • des cotes de sécurité;
  • des mesures technologiques comme l’utilisation de mots de passe et le cryptage; et
  • des mesures administratives comme le déchiquetage des renseignements personnels sensibles effectué en conformité avec les normes relatives à l’équipement établies dans le Guide d’équipement de sécurité de la GRCNote de bas de page 6.

Protocole en cas d’atteinte à la vie privée

On entend par « atteinte à la vie privée » un incident comportant la collecte, l’utilisation ou la divulgation non autorisée de renseignements personnels. Une telle activité est « non autorisée » si elle est contraire à la Loi sur la protection des renseignements personnels. Une atteinte peut résulter d’une erreur commise par inadvertance ou d’un acte malveillant d’un employé, d’un mandataire, d’un contractuel, d’un tiers, d’un partenaire dans le cadre d’une entente de partage de renseignements ou d’un intrus.

Tous les employés et mandataires du SPPC sont tenus de protéger les renseignements personnels auxquels ils ont accès Ils ont le devoir de veiller, dans toute la mesure du possible, à éviter toute atteinte à la vie privée et de signaler les atteintes qui se produisent.

Le 7 juin 2011, le Conseil exécutif a approuvé le Protocole en cas d’atteinte à la vie privée, qui décrit les étapes à suivre par un employé, un mandataire ou un contractuel du SPPC qui constate une atteinte possible à la vie privée.

Le Protocole peut être consulté sur le iNet du SPPC. Copie peut aussi en être obtenue en communiquant avec le Bureau de l’AIPRP.

Le Protocole renferme des conseils pour contenir rapidement toute atteinte à la vie privée et éviter de telles atteintes à l’avenir.

Accès aux renseignements

Aux termes de la Loi sur la protection des renseignements personnels, tout citoyen canadien, résident permanent au sens du paragraphe 2(1) de la Loi sur l’immigration et la protection des réfugiés ou autre individu présent au Canada a le droit de se faire communiquer sur demande :

  • les renseignements personnels le concernant versés dans un fichier de renseignements personnels (FRP) du SPPC;
  • les autres renseignements personnels le concernant et relevant du SPPC, s’il peut fournir sur leur localisation des indications suffisamment précises pour que le SPPC puisse les retrouver sans problèmes sérieux.

Les employés et mandataires du SPPC dirigeront les personnes qui souhaitent officiellement accéder à leurs renseignements personnels vers le Bureau de l’AIPRP du SPPC. Lorsqu’ils ne savent pas si une demande officielle est requise, ils doivent consulter les responsables du Bureau de l’AIPRP ou diriger la personne vers celui‑ci.

Le site Web du SPPC donne de l’information sur le Bureau de l’AIPRP du SPPC et sur la Loi sur la protection des renseignements personnels.

Lorsqu’il reçoit une demande présentée en application de la Loi sur la protection des renseignements personnels, le Bureau de l’AIPRP y répond en conformité avec celle‑ci.

La communication de renseignements personnels ne peut être refusée que s’il est démontré que les renseignements font clairement l’objet d’une des exceptions limitées et précises prévues par la Loi.

Toute partie d’un document qui ne renferme pas de renseignements visés par une exception ou une exclusion sera communiquée si elle peut être séparée sans problème sérieux du reste du document et si le document ne perd pas ainsi tout son sens.

Il est possible que des renseignements personnels ne puissent pas être communiqués parce qu’ils ont été détruits, effacés ou rendus anonymes en conformité avec les exigences relatives à la conservation. Dans la mesure du possible, le SPPC informera l’intéressé des raisons pour lesquelles les renseignements n’existent plus.

Le Bureau de l’AIPRP informera les intéressés de leur droit de déposer une plainte auprès du Commissariat à la protection de la vie privée (CPVP) s’ils ne sont pas satisfaits de la façon dont leur demande est traitée par le SPPC.

Tout individu a aussi le droit de déposer une plainte auprès du CPVP s’il a des inquiétudes concernant la gestion de ses renseignements personnels par le SPPC (en ce qui a trait à la protection, à la collecte ou à la conservation des renseignements).

Les principes qui guident le Bureau de l’AIPRP lorsqu’il aide les individus qui présentent une demande d’accès à leurs renseignements personnels sont énoncés sur le site Web du SPPC.

Dans les affaires où l’accès aux renseignements personnels peut être accordé de manière informelle, le SPPC donnera aux individus, dans un délai raisonnable, la possibilité d’examiner leurs renseignements personnels et d’en obtenir des copies.

Obligation de rendre compte et transparence

I. Transparence

Le SPPC est soucieux de faire preuve de transparence à l’égard de ses politiques et de ses pratiques en matière de traitement des renseignements personnels. La présente politique peut être consultée sur le site Web du SPPC. Le Bureau de l’AIPRP peut fournir des copies papier de la Politique ainsi que des renseignements supplémentaires.

II. Évaluation des facteurs relatifs à la vie privée

L’évaluation des facteurs relatifs à la vie privée (ÉFVP) est une composante de la gestion du risque qui vise à assurer l’observation des exigences de la Loi sur la protection des renseignements personnels et à évaluer les incidences sur le respect de la vie privée que peuvent avoir des programmes ou des activités, nouveaux ou ayant subi des modifications importantes, qui comportent des renseignements personnels. Selon la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCTNote de bas de page 7, le SPPC doit effectuer une ÉFVP relativement à un programme (p. ex. le programme de recouvrement des amendes) ou à une activité (p. ex. les poursuites en matière de drogue, de sécurité nationale et dans les territoires du Nord) lorsque :

  • des renseignements personnels sont utilisés ou sont destinés à être utilisés dans le cadre d’un processus décisionnel qui touche directement l’individu;
  • des modifications substantielles sont faites aux programmes ou aux activités déjà en place, lesquels comportent des renseignements personnels, sont utilisés ou que l’on prévoit utiliser à des fins administratives;
  • dans le cas où l’impartition ou la dévolution d’un programme ou d’activités à un autre ordre d’administration publique ou au secteur privé entraîne des modifications substantielles au programme ou aux activités

Si le SPPC entreprend une nouvelle activité comportant la collecte de renseignements personnels, ou s’il modifie de façon importante une activité dans le cadre de laquelle des renseignements personnels sont recueillis, le directeur adjoint des poursuites pénales responsable doit s’assurer qu’une ÉFVP est effectuée. En général, une ÉFVP n’est pas nécessaire quand il s’agit de changements mineurs aux activités quotidiennes relatives à la fonction de poursuivant.

Les ÉFVP doivent être réalisées en consultation avec le Bureau de l’AIPRP, lequel veillera à ce que l’activité soit conforme à la Loi sur la protection des renseignements personnels et à la présente politique.

III. Fichiers de renseignements personnels (FRP)

Selon la Directive sur les pratiques relatives à la protection de la vie privée du SCTNote de bas de page 8, le SPPC doit s’assurer que tous les renseignements personnels dont il est responsable sont définis et décrits dans ses fichiers de renseignements personnels (FRP) ou dans ses catégories de renseignements personnels, ce qui comprend tout renseignement personnel qu’il recueille ou crée.

La création de FRP, nouveaux ou ayant subi des modifications substantielles, est conforme au processus d’élaboration et d’approbation de l’ÉFVP. Par conséquent, le gestionnaire de l’AIPRP établira ou modifiera un FRP de concert avec la personne‑ressource qui a la responsabilité fonctionnelle de la nouvelle activité ou de l’activité ayant subi de grandes modifications. Tout FRP, nouveau ou ayant subi d’importantes modifications, doit être approuvé par le président du Conseil du Trésor, à titre de ministre désigné, avant que l’activité ou le programme, nouveau ou modifié, soit mis en œuvre.

IV. Formation et sensibilisation

La Directive sur les demandes de renseignements personnels et de correction du SCTNote de bas de page 9 exige que tous les employés soient mis au courant des politiques et procédures en matière de protection des renseignements personnels, ainsi que de leurs responsabilités légales sous la Loi sur la protection des renseignements personnels.

Sensibilisation de tous les employés à la protection des renseignements personnels

Le SPPC veillera à ce qu’il y ait des mécanismes en place afin que tous ses employés reçoivent la formation nécessaire sur la protection des renseignements personnels. En ce qui concerne la sensibilisation des mandataires à la protection des renseignements personnels, leurs superviseurs feront en sorte que la présente politique leur soit remise conformément aux Conditions d’entente à terme fixe des mandatairesNote de bas de page 10.

Les employés du SPPC recevront de la formation sur les sujets suivants :

  • l’application de la Loi sur la protection des renseignements personnels, notamment :
    • l’objet de la Loi,
    • les définitions pertinentes,
    • leurs responsabilités, y compris celles prévues par les Principes sur l’assistance aux auteurs de demandes,
    • la délégation, les décisions relatives aux exceptions et l’exercice du pouvoir discrétionnaire,
    • l’obligation de fournir en temps opportun des réponses exactes et complètes,
    • le processus de traitement des plaintes et de révision judiciaire;
  • les pratiques saines relatives à la protection de la vie privée en ce qui a trait à la création, la collecte, la conservation, la validation, l’utilisation, la communication et la destruction des renseignements personnels;
  • les politiques, processus et protocoles du SPPC se rapportant à l’application de la Loi, y compris les politiques sur la gestion de l’information.
Sensibilisation du personnel de l’AIPRP à la protection des renseignements personnels

La Directive sur les demandes de renseignements personnels et de correction du SCT exige expressément que les employés de l’AIPRP, qui ont des responsabilités fonctionnelles en matière d’application de la Loi sur la protection des renseignements personnels, reçoivent une formation additionnelle sur celle‑ci, notamment sur les dispositions concernant la prorogation des délais, les exceptions et les exclusions; la langue de communication, le support et la méthode d’accès; les exigences en matière de rapports publics (tels les rapports annuels du SPPC au Parlement sur l’application de la Loi sur la protection des renseignements personnels); les décisions judiciaires pertinentes; les activités des comités parlementaires chargés de questions touchant la protection des renseignements personnels.

V. Observation de la politique

Le SPPC veillera à l’observation de la présente politique au moyen d’un certain nombre de mécanismes, notamment des évaluations du rendement, des rapports de mesure du rendement et des vérifications internes annuels, selon des évaluations régulières des besoins fondées sur le risque.

De son côté, le SCT contrôle la conformité du SPPC par différents moyens, notamment le processus prévu par le Cadre de responsabilisation de gestion (CRG).

Rapports et évaluation

Le Bureau de l’AIPRP maintiendra un système de rapports statistiques et de mesure du rendement détaillé qui fournira les données nécessaires pour préparer le rapport statistique annuel que le SPPC doit présenter au SCT sur l’application de la Loi sur la protection des renseignements personnels. Ces données aideront également le SPPC à s’acquitter de ses obligations en matière d’évaluation et de vérification.

En outre, le SPPC préparera un rapport annuel sur l’application de la Loi sur la protection des renseignements personnels et le déposera devant chaque chambre du Parlement. Il publiera son Rapport annuel sur l’application de la Loi sur la protection des renseignements personnels sur son site Web.

Le SPPC déterminera la nécessité d’évaluer la présente politique et sa mise en œuvre dans le cadre de son processus de planification de la recherche et de l’évaluation en utilisant une approche fondée sur le risque.

Demandes de renseignements

Toute question ou demande de renseignements concernant la présente politique ou la gestion des renseignements personnels par le SPPC doit être adressée au gestionnaire de l’AIPRP, par courriel à l’adresse atip-aiprp@ppsc-sppc.gc.ca, par téléphone au 613‑957‑7631 ou par télécopieur au 613‑948‑2524.

Documents de référence

Les lois, politiques et lignes directrices suivantes devraient être lues en parallèle avec la Politique relative à la protection des renseignements personnels :

Lois et règlements pertinents :

  • Loi sur l’accès à l’information et ses règlements
  • Loi sur la preuve au Canada
  • Charte canadienne des droits et libertés
  • Loi sur la Bibliothèque et les Archives du Canada
  • Loi sur la protection des renseignements personnels et ses règlements

Politiques et publications connexes :

  • Arrêté sur la délégation en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels du SPPC
  • Structure de gouvernance de l’AIPRP du SPPC
  • Protocole en cas d’atteinte à la vie privée du SPPC
  • Cadre de gestion de la protection de la vie privée du SPPC
  • Directive sur la gestion de l’identité du SCT
  • Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT
  • Directive sur les pratiques relatives à la protection de la vie privée du SCT
  • Directive sur les demandes de renseignements personnels et de correction du SCT
  • Politique sur l’accès à l’information du SCT
  • Politique sur la sécurité du gouvernement du SCT
  • Politique sur la gestion de l’information du SCT
  • Politique sur la protection de la vie privée du SCT

Annexe A - Définitions

Collecte

La collecte, l’acquisition ou l’obtention de renseignements personnels identifiables auprès d’individus, par quelque moyen que ce soit.

Commissaire à la protection de la vie privée du Canada

L’ombudsman indépendant nommé par le Parlement en vertu du paragraphe 53(1) de la Loi sur la protection des renseignements personnels possède de vastes pouvoirs d’enquête et agit à titre de médiateur entre des individus mécontents et des institutions fédérales.

Confidentialité

Caractéristique attribuée à des renseignements pour signifier qu’ils ne peuvent être divulgués qu’aux personnes autorisées afin de prévenir tout préjudice à l’intérêt national ou à d’autres intérêts.

Consentement

Assentiment volontaire donné par un individu à ce qui est fait ou à ce que l’on propose de faire. Le consentement peut être explicite ou implicite. Le consentement est explicite, s’il est exprimé clairement, verbalement, par voie électronique ou par écrit. Dans certaines circonstances, il peut être déduit de la conduite de l’individu. Le consentement peut aussi être donné par un représentant autorisé, tels un tuteur ou un mandataire.

Divulgation

Communication de renseignements personnels par quelque méthode que ce soit (p. ex. la transmission, la présentation d’une copie ou l’examen d’un fichier) à toute entité ou à tout individu.

Document

Éléments d’information, quel qu’en soit son support ou sa forme.

Évaluation des facteurs relatifs à la vie privée

Processus de détermination, d’évaluation et d’atténuation des risques d’atteinte à la vie privée. Les institutions fédérales doivent élaborer et tenir à jour des évaluations des facteurs relatifs à la vie privée pour les activités et programmes, nouveaux ou modifiés, qui comportent l’utilisation de renseignements personnels à des fins administratives.

Exception

Disposition de nature obligatoire ou discrétionnaire sous le régime de la Loi qui autorise le responsable d’une institution fédérale à refuser de communiquer des renseignements en réponse à une demande visée par la Loi.

Exclusion

Les renseignements non assujettis à la Loi sur la protection des renseignements personnels selon les articles 69, 69.1, 70 et 70.1.

Fichier de renseignements personnels

Description de renseignements personnels organisés pouvant être retrouvés en se servant du nom d’un individu, d’un numéro d’identité ou de tout autre symbole ou code désignant uniquement cet individu. Les renseignements personnels décrits dans le fichier de renseignements personnels ont été, sont utilisés ou sont disponibles à des fins administratives, et ils relèvent d’une institution fédérale.

Fins administratives

L’utilisation de renseignements personnels concernant un individu « dans le cadre d’une décision le touchant directement », notamment toute utilisation de renseignements personnels afin de confirmer l’identité d’un individu (c.-à-d. à des fins d’authentification et de vérification).

Individu

Un être humain (n’inclut pas une personne morale).

Info Source

Publication du SCT dans laquelle les institutions fédérales décrivent leurs organisations, leurs responsabilités en matière de programmes et leurs fonds de renseignements, dont les fichiers de renseignements personnels et les catégories de renseignements personnels.

Institution fédérale

(i) Tout ministère ou département d’État relevant du gouvernement du Canada, ou tout organisme figurant à l’annexe de la Loi sur la protection des renseignements personnels et (ii) toute société d’État mère ou filiale à cent pour cent d’une telle société, au sens de l’article 83 de la Loi sur la gestion des finances publiques.

Instrument de délégation

L’arrêté sur la délégation exigé par l’article 73 de la Loi sur la protection des renseignements personnels lorsque le responsable de l’institution fédérale désigne un cadre qui exercera certaines de ses attributions sous le régime de la Loi.

Plainte

Plainte déposée auprès du Commissaire à la protection de la vie privée du Canada pour l’un des motifs prévus au paragraphe 29(1) de la Loi sur la protection des renseignements personnels.

Renseignements personnels

Renseignements concernant un individu identifiable au sens de l’article 3 de la Loi.

Requérant

L’individu qui a demandé de consulter des renseignements personnels le concernant, qui a fait une demande de correction de ces renseignements ou une demande de mention concernant les corrections ou qui exerce, en vertu de la Loi sur la protection des renseignements personnels, son droit de recours en révision auprès du Commissaire à la protection de la vie privée du Canada ou de la Cour fédérale du Canada.

Responsable d’institution fédérale

Le directeur des poursuites pénales.

Usage compatible

Usage se rapportant de façon raisonnable et directe à l’objectif pour lequel les renseignements ont été obtenus ou recueillis à l’origine.

Date de modification :