Résumé de l’évaluation des facteurs relatifs à la vie privée effectuée par Finances Canada relativement au Code régissant les conflits d’intérêts du personnel

Le Code régissant les conflits d’intérêts du personnel (le « Code ») du ministère des Finances est censé compléter et renforcer les dispositions sur les conflits d’intérêts dans le Code de valeurs et d’éthique de la fonction publique (le « CVEFP »). Pour préciser, il met en œuvre un principe important régissant les intérêts financiers, à savoir que nul employé de Finances Canada ne peut utiliser ou communiquer de l’information, non accessible au public, qu’il obtient dans l’exercice de ses fonctions au Ministère de manière à en tirer un avantage financier personnel ou pour servir les intérêts financiers de parents, d’amis ou d’autres personnes. Le Code établit des obligations, y compris celles de déclarer des renseignements personnels, à l’intention des employés de Finances Canada, en sus de celles que prévoit le CVEFP. Le respect du Code et du CVEFP est une condition d’emploi à Finances Canada.

étant donné que le Code exige la collecte et la gestion des renseignements personnels, le Ministère a jugé nécessaire d’effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) dans le Code et les processus connexes afin d’en apprécier l’incidence sur la vie privée, de proposer des mesures d’atténuation pertinentes et de recenser les risques d’entrave à la vie privée qu’il occasionnait. L’administration du Code nécessite la collecte, l’utilisation, la communication et la conservation de renseignements personnels et financiers de nature délicate sur chaque employé, y compris les suivants :

  • Renseignements de base
  • Renseignements sur le poste occupé
  • Renseignements sur les conflits d’intérêts réels, éventuels ou apparents
  • Renseignements sur les titres négociés en bourse, les autres actifs, les passifs et les activités extérieures

Le processus de l’EFVP a confirmé l’engagement du Ministère à protéger la vie privée et mis à jour plusieurs pratiques concourant à cette fin et se rapportant au Code, notamment :

  • ne plus exiger que les membres du personnel divulguent, dans leurs rapports confidentiels, le nombre de titres qu’ils possèdent. La collecte de tels renseignements est désormais limitée aux cas où un conflit d’intérêts réel, éventuel ou apparent, a été constaté relativement à des titres détenus, là où il est nécessaire d’en connaître le nombre d’unités pour déterminer la méthode de dessaisissement pertinente;
  • s’engager à mener l’EFVP de manière proactive avant de lancer le Code pour que des recommandations visant à protéger la vie privée soient intégrées aux processus qu’il prévoit.

Le plan d’atténuation des risques d’entrave à la vie privée du Ministère présenté ci dessous résume les risques décelés par l’EFVP, aussi bien que les recommandations du Commissariat à la protection de la vie privée et les stratégies d’atténuation ministérielles proposées.

 

Plan d’atténuation des risques d’entrave à la vie privée donnant suite à l’évaluation des facteurs relatifs à la vie privée (EFVP) visant le Code régissant les conflits d’intérêts du personnel (le « Code »)et observations et recommandations connexes du Commissariat à la protection de la vie privée
Ministère des Finances Canada
Constatations et conclusions de l’EFVP
Commissariat à la protection de la vie privée (CPVP)
Observations et recommandations
Mesures d’atténuation des risques requises à Finances Canada

4.1 Responsabilisation
Risque faible
1.0  
L’EFVP indique que la responsabilité à l’égard des renseignements personnels recueillis, utilisés et divulgués par voie des processus prévus par le Code n’a pas été consignée officiellement. Ses résultats montrent que le Ministère doit faire en sorte que les rôles et les responsabilités de l’agent chargé des valeurs et de l’éthique (l’ « agent ») comprennent la responsabilité de la protection des renseignements personnels recueillis relativement au Code. Le CPVP est d’accord avec la recommandation. La description de travail approuvée par l’agent stipule expressément qu’il « veille à ce que la gestion des codes assurée par le Ministère respecte les préoccupations en matière de protection de la vie privée et assure la protection adéquate des renseignements personnels. Cette responsabilité englobe la protection des renseignements personnels des employés en conformité avec les exigences imposées par la loi et les politiques du Conseil du Trésor et de Finances Canada. »
L’EFVP indique que les exigences en matière de rendement de l’agent ne sont pas énoncées de manière que les résultats obtenus soient mesurables ou soumises à des examens du rendement et de la conformité. Il est recommandé, par suite de l’EFVP, que le Ministère envisage d’intégrer des mesures de protection de la vie privée au cadre de gestion du rendement de l’agent. Le CPVP est d’accord avec la recommandation. L’agent devrait concevoir des mesures du rendement particulières se rapportant à la vie privée et à la sécurité, et elles devraient être intégrées dans son cadre de gestion du rendement.
4.2 Collecte de renseignements personnels 2.0  
Aucun risque d’entrave à la vie privée n’est constaté Aucun point à discuter Aucune mesure n’est requise
4.3 Consentement 3.0  
Aucun risque d’entrave à la vie privée n’est constaté Aucun point à discuter Aucune mesure n’est requise
4.4 Utilisation des renseignements personnels 4.0  
Aucun risque d’entrave à la vie privée n’est constaté Aucun point à discuter Aucune mesure n’est requise
4.5 Restrictions à la divulgation et à la conservation
Risque modéré
5.0  
L’EFVP indique qu’il peut être nécessaire, parfois, de communiquer des renseignements personnels d’un employé au Bureau des valeurs et de l’éthique de la fonction publique (BVEFP), par exemple, lorsque ce dernier doit conseiller les ministères quant au dessaisissement d’actifs de fonctionnaires. Selon l’EFVP, le Ministère devrait établir des procédures qui décrivent les responsabilités des deux parties à l’égard de la transmission et de l’utilisation sécuritaires des renseignements personnels. Le CPVP est d’accord que Finances Canada devrait concevoir et consigner des procédures de transmission et d’utilisation sécuritaires des renseignements personnels communiqués au BVEFP. L’agent, en consultation avec le BVEFP et les divisions de l’AIPRP de ce dernier et de Finances Canada, devrait rédiger un document de procédures qui décrit les responsabilités des employés de Finances Canada et du BVEFP relatives à la transmission et à l’utilisation sécuritaires des renseignements personnels.
L’EFVP indique que l’agent utilisera l’information recueillie sur le formulaire d’affirmation pour assurer le suivi des présentations. Il a été proposé de communiquer au BVEFP des renseignements de base limités sur les membres du personnel, y compris les codes d’identification de dossier personnel (CIDP) que contient le système de gestion des ressources humaines du Ministère, en vue du chargement et de la mise à jour du chiffrier de suivi et de production de rapports. Le CPVP recommande que Finances Canada mette à jour son EVFP pour qu’il y soit énoncé que le CIDP est un identificateur personnel et qu’il sera divulgué. Il incombera à l’agent de déterminer s’il faut ou non utiliser le CIDP pour assurer le suivi des formulaires d’affirmation, voir le point 2.4.1 de l’EFVP et, le cas échéant, de mettre à jour l’EFVP en conséquence.
4.6 Exactitude des renseignements personnels 6.0  
Aucun risque d’entrave à la vie privée n’est constaté Aucun point à discuter Aucune mesure n’est requise
4.7 Protection des renseignements personnels
Risque modéré
7.0  
L’EFVP indique qu’aucune procédure de sécurité n’a été consignée qui porterait sur la collecte, la transmission, le stockage et l’aliénation des renseignements personnels aussi bien que l’accès aux renseignements personnels propres au Code. Le CPVP recommande que Finances Canada consigne ses procédures de sécurité. Il recommande également que ses employés reçoivent la formation connexe. L’agent devrait élaborer des procédures de sécurité en consultation avec les agents responsables de la sécurité et de l’AIPRP au Ministère. Il incombera à l’agent de veiller à ce que le personnel soit formé à l’application des procédures.
Selon l’EFVP, « en plus de se référer aux manuels d’orientation, de protection de la vie privée et de la sécurité, l’agent aura l’occasion de participer à la formation sur la protection de la vie privée et la sécurité offerte aux cadres supérieurs du Ministère » Le CPVP recommande, en outre, que l’agent soit formé obligatoirement sur la protection de la vie privée et la sécurité. Pour satisfaire aux exigences de la haute direction en matière de responsabilisation, l’agent devra suivre les cours de formation obligatoires offerts à l’école de la fonction publique du Canada qui comprend des cours sur la protection de la vie privée et la sécurité.
L’EFVP ajoute qu’il reste à énoncer les exigences particulières en matière d’accès aux dossiers imprimés et au chiffrier de suivi de l’agent. Par ailleurs, le CPVP recommande que Finances Canada adopte tous les points énumérés à la section 3.7.1 de l’EFVP, y compris les exigences relatives au chiffrier de suivi. Il incombera à l’agent d’établir des procédures particulières régissant le traitement des renseignements personnels assuré par lui même et les autres membres du personnel.
L’EFVP explique qu’aucune évaluation des menaces et des risques n’a été effectuée. Toutefois, un énoncé de sensibilité a été rédigé conformément à la politique de sécurité du Ministère. Le CPVP comprend, d’après l’EFVP, que les copies imprimées des rapports confidentiels seront gardées dans une armoire sécurisée. Le CPVP recommande que, si les rapports confidentiels sont transférés à un support électronique, Finances Canada envisage d’effectuer une évaluation des menaces et des risques. Il incombera à l’agent d’effectuer une évaluation des menaces et des risques s’il est décidé de transférer les rapports confidentiels à un support électronique.
L’EFVP indique que le Ministère n’a pas encore envisagé de programme d’assurance de la qualité et de vérification de la sécurité afin d’évaluer de façon continue l’état des mesures de protection du système. Le CPVP recommande que Finances Canada mette en œuvre un programme d’assurance de la qualité et de vérification de la sécurité qui prévoit la vérification de la protection de la vie privée. Dans son plan de vérification du 7 avril 2008, la Division de la vérification interne et de l’évaluation annonce son intention d’effectuer une évaluation de la sécurité de l’information, de septembre 2008 à mars 2009, dont l’objet sera d’évaluer le cadre de contrôle de la gestion établi pour satisfaire aux exigences en matière de sécurité de l’information de la Loi sur la protection des renseignements personnels, de la Politique du gouvernement sur la sécurité et de politiques et de mesures législatives connexes.