Section I – Aperçu de l'EFVP
Titre du projet
Participation aux programmes d’ISDE.
Date de mise en œuvre
Pour de multiples programmes d’ISDE déjà en opération, et pour ceux à mettre en œuvre à l’avenir.
Institution responsable et autres institutions gouvernementales
L’institution responsable du gouvernement du Canada est le ministère de l’Innovation, des Sciences et du Développement économique.
Fonctionnaire responsable
(et agent délégué aux termes de l’article 10 de la Loi sur la protection des renseignements personnels)
Chris Parsons
Directeur, Services d’AIPRP
235, rue Queen, 2e étage – tour de l’Ouest
OTTAWA (Ontario) K1A 0H5
(613) 462-3160
chris.parsons@ised-isde.gc.ca
Agent de projet
Vance W. Collier
Conseiller principal, Services d’AIPRP
235, rue Queen, 2e étage – tour de l’Ouest
OTTAWA (Ontario) K1A 0H5
(343) 550-4660
vance.collier@ised-isde.gc.ca
Pouvoirs conférés par la loi
L’autorisation légale de base qui permet aux programmes d’ISDE de collecter et d’utiliser des renseignements personnels est la Loi sur le ministère de l’Industrie.
Quelques 60 autres lois du Parlement, appliquées par ISDE, peuvent également appuyer la collecte et l’utilisation de renseignements personnels relatifs à un programme.
Fichier de renseignements personnels (FRP) sur cette activité
Le nouveau FRP suivant est soumis au SCT pour approbation et enregistrement conjointement à la présente EFVP :
- ISED PPU 999 Participation aux programmes d’ISDE
Description du projet
L’unique but de la présente EFVP est d’appuyer un nouveau FRP sur de multiples programmes et services d’ISDE; en particulier :
- Là où la collecte et l’utilisation de renseignements personnels sont limitées uniquement au titre professionnel, au rôle, aux coordonnées et, dans certaines situations, à l’information pour appuyer l’analyse comparative entre les sexes, d’individus qui remplissent des demandes de financement (ou d’autres documents) au titre des programmes et services d’ISDE en tant que représentants des finances, des services juridiques ou d’autres affectations commerciales d’entreprises et d’organisations du secteur public dans le cas où aucune autre EFVP ou aucun autre FRP ne soutient la collecte et l’utilisation de renseignements personnels;
- Pour appuyer l’initiative « Une fois suffit » d’ISDE dans le cadre de laquelle des personnes représentant des entreprises et organisations du secteur privé donnent leur consentement à la communication de leurs coordonnées avec d’autres programmes et services dans l’ensemble d’ISDE, d’autres institutions du gouvernement du Canada ou d’autres ordres de gouvernement, lorsque de tels programmes ou services pourraient être avantageux ou intéressants pour les entités qu’ils représentent.
Les programmes et services d’ISDE qui disposent d'EFVP et de FRP uniques ne sont pas pris en compte par la collecte et l’utilisation de renseignements personnels détaillées dans la présente EFVP.
Section II – Détermination et classification des secteurs de risque
Les EFVP de base doivent inclure une section de détermination et de catégorisation des risques comme il est détaillé dans la présente section. Afin d'établir une approche uniforme en ce qui concerne les catégories de risques et les échelles de risques pangouvernementale, les secteurs normalisés de risque (énumérés ci-dessous) ainsi que des échelles de risque communes sont prescrits par le SCT et utilisés comme base de l’analyse de risque.
L’échelle de risque numérotée est présentée en ordre croissant : le premier niveau (1) représente le plus faible niveau de risque possible pour le domaine de risque; le quatrième niveau (4) [ou troisième, si le quatrième n’est pas présent] représente le plus haut niveau de risque possible. Certaines catégories de risque peuvent être identifiées par « Oui » ou « Non » ou « faible », « moyen » ou « élevé ».
| A) Type de programme ou d’activité | Niveau de risque |
|---|---|
|
Programme ou activité qui ne nécessitent pas la prise d’une décision concernant un individu identifiable |
1 |
|
Administration des programmes, des activités et des services |
2 |
|
Conformité/Enquêtes réglementaires et exécution de la réglementation de la loi |
3 |
|
Enquête criminelle et application de la loi ou sécurité nationale |
4 |
|
Commentaires du secteur de programme : Les renseignements personnels sont limités uniquement au titre professionnel, au rôle, aux coordonnées et, dans certains cas, à l’information pour appuyer l’analyse comparative entre les sexes, d’individus identifiables qui ont rempli la documentation au nom d’entreprises et d’organisations du secteur privé qu’ils représentent. Toute décision qui en découle concerne uniquement l’entreprise ou l’organisation concernée et non les individus qui ont déposé la documentation en leur nom. |
|
| B) Type de renseignements personnels recueillis et contexte | Niveau de risque |
|---|---|
|
Seules les données fournies directement par l'individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l'individu ou avec son consentement pour la communication pour autant que les données ne soient pas de nature délicate dans le contexte. |
1 |
|
Données personnelles fournies par l'individu avec le consentement d'utiliser des données détenues par une autre source pour autant que les données ne soient pas de nature délicate après la collecte. |
2 |
|
Le numéro d'assurance sociale, les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou encore le contexte de ceux-ci est de nature délicate. Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l'individu concerné. |
3 |
|
Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate. |
4 |
|
Commentaires du secteur de programme : Les renseignements personnels sont limités uniquement au titre professionnel, au rôle et aux coordonnées d’individus identifiables qui ont rempli la documentation au nom d’entreprises et d’organisations du secteur privé qu’ils représentent. Les individus qui agissent à titre de représentants d’entreprises et d’organisations peuvent devoir fournir des renseignements personnels qui seraient utilisés pour produire des rapports sur les données d’analyses comparatives entre les sexes; toutefois, la fourniture de tels renseignements n’est jamais obligatoire, et lorsque ceux-ci font l’objet de rapports, ils sont dépersonnalisés et présentés sous forme agrégée. |
|
| C) Participation des partenaires et du secteur privé au programme ou à l’activité |
Niveau de risque |
|---|---|
|
Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution) |
1 |
|
Avec d'autres institutions fédérales |
2 |
|
Avec d'autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et/ou municipaux |
3 |
|
Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé |
4 |
|
Commentaires du secteur de programme : Les coordonnées commerciales et l’information professionnelle seront principalement utilisées au sein d’ISDE aux fins de communiquer avec l’entreprise ou l’organisation en question par l’entremise du représentant commercial autorisé et pour faire affaire avec cet individu au nom de l’entreprise ou de l’organisation. D’autres renseignements personnels pourraient être utilisés pour alimenter des analyses comparatives entre les sexes. Dans certains programmes et services d’ISDE, il y a des circonstances où les renseignements sont communiqués à une autre institution fédérale, avec le consentement des individus autorisés comme représentants commerciaux; toutefois, dans de tels contextes, l’individu doit consentir à communiquer les renseignements commerciaux. Les institutions auxquelles des renseignements sur l’entreprise et l’organisation sont communiqués pourraient avoir des exigences en matière de divulgation de l’identité de l’individu qui autorise la communication. Des coordonnées commerciales peuvent être communiquées à d’autres institutions fédérales et d’autres ordres de gouvernement avec le consentement des individus concernés si ISDE estime qu’une autre institution ou un autre ordre de gouvernement pourrait disposer d’un programme ou service qui serait avantageux ou intéressant pour une entreprise ou organisation du secteur privé |
|
| D) Durée du programme ou de l’activité | Niveau de risque |
|---|---|
|
Programme ou activité ponctuel. |
1 |
|
Programme à court terme |
2 |
|
Programme à long terme |
3 |
|
Commentaires du secteur de programme : Les programmes et services d’ISDE sont en cours. Avec la cessation progressive des programmes, de nouveaux programmes sont créés. |
|
| E) Personnes concernées par le programme | Niveau de risque |
|---|---|
|
Le programme touche certains employés à des fins administratives internes. |
1 |
|
Le programme touche tous les employés à des fins administratives internes. |
2 |
|
Le programme touche certains individus à des fins administratives externes. |
3 |
|
Le programme touche tous les individus à des fins administratives externes. |
4 |
|
Commentaires du secteur de programme : Lorsque les coordonnées commerciales sont communiquées à d’autres ordres de gouvernement, avec le consentement de l’individu concerné, le niveau de risque 3 s’applique. |
| F) Technologie et vie privée
REMARQUE : Une réponse affirmative à l'une ou l'autre des questions ci-haut indique la présence possible de risques et d'atteinte à la vie privée qui devront être évalués et, si requis, atténués. |
Oui / Non |
|---|---|
|
Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, collecter ou traiter les renseignements personnels dans le but de soutenir le programme ou l'activité? |
Non |
|
Commentaires du secteur de programme (facultatif) : ISDE utilise de nombreuses solutions de TI héritées avec lesquelles des renseignements sur les programmes et des renseignements personnels connexes pourraient être traités. De nouvelles solutions de TI pourraient être mises en service pour de futurs programmes au besoin. |
|
|
L'activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des TI? |
Non |
|
Commentaires du secteur de programme (facultatif) : ISDE utilise de nombreuses solutions de TI héritées avec lesquelles des renseignements sur les programmes et des renseignements personnels connexes pourraient être traités. De nouvelles solutions de TI pourraient être mises en service pour de futurs programmes au besoin. |
|
|
Indiquer si le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes : méthodes d'identification améliorées; recours à la surveillance; recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances |
Non |
|
Commentaires du secteur de programme (facultatif) : ISDE utilise de nombreuses solutions de TI héritées avec lesquelles des renseignements sur les programmes et des renseignements personnels connexes pourraient être traités. De nouvelles solutions de TI pourraient être mises en service pour de futurs programmes au besoin. |
|
| G) Transmission des renseignements personnels | Niveau de risque |
|---|---|
|
Les renseignements personnels sont utilisés au sein d'un système fermé (aucune connexion à Internet, à l'intranet ou à tout autre système. La distribution des documents papier est surveillée). |
1 |
|
Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système. |
2 |
|
Les renseignements personnels sont transférés à des dispositifs portatifs ou sont imprimés (clé USB, disquette, ordinateur portatif, ou tout transfert de renseignements personnels à un support de données différent.) |
3 |
|
Les renseignements personnels sont transmis à l'aide de technologies sans fil. |
4 |
|
Les renseignements personnels peuvent être reçus sous forme papier ou électronique (soit par courriel ou par un formulaire Web). Peu importe la manière dont les renseignements sont reçus, ils peuvent transiter par le système intranet d’ISDE qui propulse toutes les solutions de TI du ministère. Parfois, la documentation peut être imprimée ou stockée sur des médias portatifs magnétiques ou sur des serveurs infonuagiques. Toutes les solutions de TI utilisées par ISDE respectent toutes les exigences du gouvernement du Canada en matière de protection de la vie privée et de sécurité. |
|
| H) Le risque possible à l'individu ou à l'employé lors d'atteinte à la vie privée | |
|---|---|
|
Commentaires du secteur de programme : En considérant la nature peu délicate des renseignements personnels recueillis et utilisés, les risques d’une atteinte à la vie privée des individus et des employés sont négligeables. |
|