Addenda à l'évaluation des facteurs relatifs à la vie privée (EFVP) concernant le système automatisé de contrôle d’accès (août 2022)

Section 1 : Aperçu

Le Bureau de gestion de la protection de la vie privée et de coordination de l'information (BGPVPCI) de Statistique Canada fournit des conseils et un soutien en matière de protection de la vie privée relativement à la proposition d'occupation, selon une approche progressive :

  • Phase 1 : Cette phase couvre l'utilisation non administrative des renseignements personnels pour rendre compte à la haute direction du nombre agrégé d'employés travaillant dans les bureaux de Statistique Canada dans la région de la capitale nationale. Le présent addenda est inclus dans cette phase.
  • Phase 2 : Au cours de cette phase, l'organisme continuera d'évaluer et d'éclairer l'utilisation des renseignements personnels provenant de Feenics ainsi que des bases de données des Ressources humaines (RH) pour permettre de filtrer les chiffres par secteurs et centres de responsabilité financière, ainsi que pour prendre des décisions administratives dans les cas de non-conformité en matière de gestion du personnel. L'élément central de cette phase sera de veiller à ce que les employés soient correctement informés avant que les renseignements personnels soient recueillis et utilisés pour prendre des décisions relatives à l'assiduité et à la gestion du personnel, garantissant ainsi la conformité avec le paragraphe 5(2) de la Loi sur la protection des renseignements personnels ainsi que la section 6.2.9 de la Directive sur les pratiques relatives à la protection de la vie privée.

Ce qui suit est un addenda à l'EFVP concernant le système automatisé de contrôle d'accès (SACA) qui a été initialement approuvé en 2009 et mis à jour en 2016.

1.1 Description de l'activité couverte par l'addenda

Les renseignements personnels provenant de la base de données du système de contrôle d'accès (Feenics) contenant des données sur l'utilisation des cartes d'identité aux terminaux de sécurité à l'entrée des installations de Statistique Canada (StatCan) dans la RCN seront utilisés pour compter le nombre d'employés qui travaillent à partir des bureaux de StatCan dans la région de la capitale nationale (RCN). Des rapports sommaires seront générés à partir du nombre agrégé de visites sur place par jour, semaine et mois.

  1. La Division de la sécurité et des installations (DSI) mettra un ensemble de données contenant quatre variables (nom de l'employé, type de carte, numéro d'identification de la carte et date d'utilisation de la carte dans les installations de StatCan de la RCN) à la disposition de l'équipe des renseignements organisationnels en ressources humaines (RORH) de l'organisme, de façon interne. Seules les données concernant les employés de StatCan seront mises à la disposition de l'équipe des RORH et ne seront utilisées qu'à cette fin.
  2. Le nombre d'utilisations uniques de la carte magnétique sera agrégé par l'équipe des RORH pour créer un rapport sommaire à l'intention de la haute direction. Ce rapport sommaire comprendra uniquement les données agrégées sur l'occupation des bâtiments par jour, semaine et mois. Il n'y aura pas de données individuelles dans le rapport sommaire.

Avec le retour d'un plus grand nombre d'employés au bureau et la mise en œuvre d'un environnement hybride minimum de deux jours par semaine à partir de septembre 2022, il est important pour StatCan de surveiller les tendances d'occupation des bureaux de l'organisme dans la RCN. Ces informations sont requises par les RH et les installations pour planifier et prendre des décisions fondées sur des données concernant la santé et la sécurité au travail en garantissant des niveaux adéquats Footnote 1 d'espaces de bureau et de collaboration (par exemple, des salles hybrides) entièrement équipés pour répondre aux besoins croissants. Par exemple, les niveaux d'occupation sur place permettront de prendre des décisions sur le nombre de postes de travail entièrement équipés (par exemple, deux moniteurs par poste, une chaise ergonomique, un poste debout-assis et d'autres technologies de soutien) qui sont nécessaires pour répondre aux besoins. Ces décisions contribuent à la promotion d'un lieu de travail sûr et sain pour les employés.

1.2 Motif de l'addenda

Cet addenda évalue une utilisation de renseignements personnels provenant de la base de données du système de contrôle d'accès (Feenics) qui n'avait pas été prise en compte à l'origine dans l'EFVP. Dans le contexte du retour hybride au travail, et surtout à la lumière de la COVID-19, StatCan doit disposer d'informations sur le nombre d'employés qui se présentent au travail afin d'évaluer la capacité et d'assurer la sécurité et la sûreté de ses employés. Les renseignements personnels provenant de Feenics seront donc désormais utilisés pour compter le nombre d'employés présents dans les immeubles de la RCN de StatCan.

1.3 Portée de l'analyse

La portée de l'analyse de la protection de la vie privée incluse dans cet addenda est limitée à l'utilisation supplémentaire de l'information décrite dans la section 1.1 ci-dessus et elle ne couvre pas les éléments ou les informations déjà évalués dans l'EFVP. Veuillez consulter l'EFVP pour ces considérations.

Section 2 : Flux de renseignements personnels

2.1 Tableau des éléments de renseignements personnels

Le tableau ci-dessous énumère les éléments de renseignements personnels qui seront impliqués dans cette activité ainsi que les détails supplémentaires qui seront pris en considération dans l'analyse de la vie privée.

Grappe de renseignements personnels Élément de renseignements personnels Ensemble de données Source Utilisation des renseignements personnels Divulgation des renseignements personnels Justification
Données quotidiennes de la carte magnétique Nom complet de l’employé

Une liste des balayages quotidiens qui comprend les quatre variables énumérées et n’inclut pas d’autres renseignements personnels recueillis au moment où les laissez-passer de sécurité sont utilisés aux terminaux de sécurité des bâtiments de la RCN de StatCan.

En ce qui concerne l’utilisation de laissez-passer temporaires, seuls le numéro de la carte et la date seront mis à la disposition de l’équipe des RORH.

Données quotidiennes relatives à la carte magnétique des installations (Feenics)

Mesurer le nombre d’employés qui travaillent dans les bureaux de StatCan dans la RCN et produire des rapports sommaires globaux pour la haute direction sur le nombre total d’employés qui sont entrés dans les bureaux de la RCN par jour, semaine et mois.

Les rapports ne seront accessibles que par l’équipe des RORH et la haute direction. Les rapports ne contiendront pas de renseignements identificatoires. Ces informations ne seront pas et ne pourront pas être utilisées pour suivre des personnes ou à des fins administratives.

Il n’y aura aucune divulgation de renseignements personnels en dehors de l’organisation.

Les rapports seront utilisés aux fins de planification. Ils seront utilisés pour surveiller les tendances d’occupation des bureaux dans la RCN. Ces renseignements sont nécessaires pour planifier et prendre des décisions fondées sur des données concernant la santé et la sécurité au travail, les mesures d’adaptation et veiller à ce que le niveau prévu de bureaux et d’espaces de collaboration (p. ex. salles hybrides) soit suffisant pour répondre à la demande croissante.

No de carte d’identité

Carte d’identité

Les laissez-passer des employés de Statistique Canada ainsi que
les laissez-passer temporaires
Footnote 2 pour les employés de Statistique Canada seront utilisés.

D’autres types de cartes, comme celles des visiteursFootnote 3 et du personnel domestique, seront retirées des données avant que la DSI les mette à la disposition de l’équipe des RORH.

Utilisation des cartes dans les installations de StatCan de la RCN

2.2 Liste des personnes ayant accès aux renseignements personnels

Le tableau ci-dessous énumère les postes des employés impliqués dans cette activité qui auront accès aux renseignements personnels, décrits dans la section 2.1.

Titre du poste Nombre de personnes ayant accès
aux renseignements personnels
Justification – Besoin de savoir
Chef de sous-section (RORH) 1 Examiner le processus et parfois recevoir les données, épurées les données,
exécuter des rapports sommaires.
Analyste spécialisé
(RORH)
3 Recevoir les données, épurées les données,
exécuter des rapports sommaires.

2.3 Description du traitement des renseignements personnels

Le nom de l'employé et la date d'accès sont requis dans le cadre du transfert interne des données de la DSI à l'équipe des RORH afin de produire des statistiques sommaires. Deux mesures d'occupation sont nécessaires :

  1. l'occupation totale sur une période donnée (par exemple, par jour ou par semaine);
  2. le nombre total d'employés uniques qui ont travaillé depuis le bureau pendant une période donnée (par exemple, par semaine ou par mois).

Une fois les données épurées, les dossiers individuels seront agrégés par date. Une fois regroupées, les données ne seront pas utilisées pour identifier de nouveau les personnes. Ce processus sera effectué avant la création des rapports sommaires. Aucune donnée individuelle ne sera incluse dans le rapport sommaire, ce qui signifie qu'aucune personne ne pourra être identifiée ou suivie à l'aide du rapport sommaire. Le rapport contiendra les comptages suivants :

  1. l'occupation totale par jour, semaine et mois;
  2. le nombre unique de visiteurs par semaine et par mois;
  3. l'occupation moyenne par jour de la semaine.

Les données au niveau individuel seront stockées dans un dossier sécurisé. L'accès sera limité à la liste aux personnes figurant dans la section 2.2. Ni les renseignements identificatoires ni les données agrégées ne seront utilisés par l'équipe des RORH à des fins administratives dans le cadre de cette activité. Les données au niveau individuel seront conservées pendant un an aux fins de validation, après quoi elles seront éliminées de manière sécuritaire.

Section 3 : Nécessité et proportionnalité

  1. Nécessité

Avec le retour d'un plus grand nombre d'employés au bureau et la mise en œuvre d'un environnement hybride minimum de deux jours par semaine à partir de septembre 2022, il est important de surveiller les tendances d'occupation des bureaux dans la RCN. Ces chiffres sont nécessaires pour que les RH et les installations puissent planifier et prendre des décisions fondées sur des données concernant la santé et la sécurité au travail, les mesures d'adaptation, et pour garantir que le niveau prévu de bureaux et d'espaces de collaboration (par exemple, les salles hybrides) est entièrement équipé pour répondre à la demande croissante. Par exemple, les niveaux d'occupation sur place permettront de prendre des décisions sur le nombre de postes de travail entièrement équipés (par exemple, deux moniteurs par poste, une chaise ergonomique, un poste debout-assis et d'autres technologies de soutien) qui sont nécessaires pour répondre aux besoins. Ces décisions contribuent à la promotion d'un lieu de travail sûr et sain pour les employés.

La variable date sera utilisée pour agréger les dossiers individuels par jour, semaine et mois. Cette variable est nécessaire pour déterminer le taux d'occupation total pour une période donnée. Cela est nécessaire pour garantir que le niveau d'espace de bureau disponible répond à la demande. Par exemple, un jour donné, s'il y a 3 500 employés qui se rendent au bureau, StatCan doit s'assurer qu'il y a, au minimum, 3 500 postes de travail disponibles.

La variable nom est nécessaire pour nettoyer les données (par exemple, en supprimant les doublons) et pour déterminer le nombre d'employés uniques qui ont travaillé au bureau pendant une période donnée. Il est important de mesurer le nombre total d'employés qui se rendent au bureau plus de deux fois par semaine/mois, et de mesurer les visites uniques sur une période donnée. Cette mesure peut être utilisée pour déterminer le niveau d'espace de bureau fixe requis. Si un certain nombre d'employés se rendent au bureau plus de X jours par mois, un espace de bureau permanent peut être nécessaire.

Cette mesure sera également utilisée pour évaluer, au niveau organisationnel, la proportion d'employés qui utilisent le bureau dans une période donnée (p. ex. dans une semaine ou dans un mois). Si un petit nombre d'employés utilisent le bureau fréquemment, il faudra moins d'espace de bureau que si un grand nombre d'employés uniques utilisent le bureau moins fréquemment. Cette mesure se situe au niveau agrégé, ce qui signifie qu'aucune personne ne peut être suivie.

  1. Efficacité  – Hypothèses de travail

Les statistiques sommaires produites à partir de ces données fourniront aux RH et aux installations les informations nécessaires pour planifier et prendre des décisions fondées sur des données concernant la santé et la sécurité au travail, les mesures d'adaptation et les besoins en espace de bureau.

  1. Proportionnalité

Il est nécessaire de disposer de statistiques sur l'occupation des bâtiments par jour, comme il est indiqué à la section 3.1 (Nécessité). L'incidence potentielle sur la vie privée est jugée faible compte tenu des mesures de protection mises en place, notamment :

  • Les données au niveau individuel ne seront échangées qu'avec un groupe limité de personnes au sein de l'équipe des RORH qui épureront, dépersonnaliseront et agrégeront les données avant de les inclure dans les rapports sommaires.
  • Les rapports sommaires ne contiendront aucune donnée individuelle, et les informations ne seront pas divulguées ou utilisées à des fins administratives.
  1. Autres options

D'autres options ont été explorées, et aucune option réalisable et moins intrusive pour la vie privée n'a été déterminée.

L'équipe des RORH a envisagé d'utiliser les données de l'application de réservation « Retour au travail » pour mesurer l'occupation du site. Cette source de données ne répondait pas aux besoins du projet en raison de la mauvaise qualité des données. Les employés ne sont pas obligés d'utiliser l'application pour venir au bureau, et les employés qui enregistrent l'application peuvent ne pas venir au bureau.

L'équipe des RORH a consulté le service informatique pour déterminer s'il était possible de mesurer le nombre d'employés accédant au serveur sur place. Cela a été jugé infaisable.

Section 4 : Analyse relative à la protection de la vie privée

L'analyse suivante relative à la protection de la vie privée est basée sur les informations incluses dans les sections 1 à 3 par l'équipe des RORH en date du 15 août 2022. Reportez-vous à l'EFVP du système automatisé de contrôle d'accès (SACA) en ce qui concerne les principes qui ne sont pas couverts par cet addenda.

Responsabilité

L'EFVP du SACA précise que « Statistique Canada est responsable de tous les renseignements personnels qu'il contrôle ». Pour l'activité évaluée dans cet addenda, le statisticien en chef adjoint de Stratégies et gestion intégrées est responsable des renseignements personnels des employés recueillis par l'intermédiaire du SACA et stockés dans Feenics, qui seront utilisés par l'équipe des RORH dans le but décrit dans le présent addenda.

Objet

L'EFVP initiale de 2009 couvrait et évaluait une utilisation limitée des renseignements personnels recueillis à l'aide du SACA. L'EFVP a été mise à jour en 2016 pour couvrir et évaluer une utilisation supplémentaire. L'addenda actuel porte sur l'utilisation des renseignements personnels du SACA (nom de l'employé et numéro d'identification de la carte) pour compter le nombre d'employés présents quotidiennement, hebdomadairement aux installations de StatCan de la RCN dans le cadre de la pandémie actuelle et du retour au travail dans un environnement hybride, de manière à assurer la sécurité des employés présents dans le bâtiment. La sous-section suivante démontrera comment cette utilisation est considérée comme couverte par la section sur l'utilisation du site fichier de renseignement personnel Cartes d'identification et laissez-passer  – POE 917. Cet objet sera communiqué à tous les employés actuels et nouveaux par l'intermédiaire d'une déclaration de confidentialité (voir la sous-section sur la transparence ci-dessous).

Utilisation

Pour pouvoir utiliser les renseignements personnels de Feenics sans obtenir le consentement de l'employé, l'utilisation prévue des renseignements personnels doit correspondre à l'objet initial pour lequel ils ont été recueillis ou à une utilisation compatible. Ces utilisations et toute utilisation compatible doivent être décrites dans les fichiers de renseignements personnels (FRP) correspondants et communiquées aux personnes concernées.

Un employé devrait être en mesure de comprendre que les renseignements personnels recueillis initialement pourraient être utilisés à cette autre fin, et l'avis qui devrait être fourni à chaque employé devrait inclure une référence aux FRP connexes.

L'évaluation des facteurs relatifs à la vie privée du système automatisé de contrôle d'accès de Statistique Canada ne portait pas sur cette utilisation des renseignements personnels provenant de Feenics. L'EFVP initialement rédigée en 2009 et mise à jour en 2016 indique que l'utilisation des renseignements personnels recueillis et stockés dans Feenics est « strictement réservée aux fins particulières visant à mener des enquêtes sur des questions relatives à la sûreté, à la sécurité et à la gestion du personnel. Dans tous les cas, toute utilisation non autorisée devra être approuvée par l'agent ministériel de la sécurité. »

L'EFVP indique que les renseignements personnels recueillis dans Feenics sont décrits dans le fichier de renseignements personnels Cartes d'identification et laissez-passer  – POE 917, alors que les renseignements personnels liés à la délivrance de laissez-passer temporaires sont couverts par le fichier de renseignements personnels Surveillance vidéo, registres de contrôle d'accès des visiteurs et laissez-passer  – POU 9074. Les deux sont des FRP standard du SCT qui s'appliquent à toutes les institutions fédérales.

Les renseignements personnels recueillis dans le cadre de la délivrance de laissez-passer temporaires recueillis par la sécurité organisationnelle ne sont pas couverts par cette analyse, car ils ne sont pas impliqués ou utilisés dans le cadre de cette activité. Selon les renseignements fournis par l'équipe des RORH, l'information recueillie au sujet des laissez-passer temporaires des employés de StatCan se limite au numéro de la carte temporaire et à la date d'utilisation recueillis par Feenics lorsqu'un laissez-passer temporaire est utilisé à un terminal de sécurité du bâtiment. Aucune information sur les visiteurs qui ne sont pas des employés de StatCan ne sera traitée par l'équipe des RORH ou ne sera utilisée en relation avec l'activité évaluée.
Compte tenu de ce qui précède, le FRP POU 907 ne s'applique pas dans le cadre de cette activité.

Le POU 917 précise que les utilisations autorisées des renseignements personnels (limités aux photographies, aux signatures, aux noms et aux numéros de cartes des détenteurs) sont les suivantes : « rassembler de l'information sur l'émission, l'utilisation et l'annulation de cartes d'identification et de laissez-passer, et de contribuer à assurer la sécurité des installations fédérales ainsi que celle des personnes et des biens qui se trouvent dans de telles installations ». Les utilisations compatibles autorisées sont limitées à « l'utilisation de renseignements personnels dans les cas d'incidents liés à la sécurité comme les vols ou les cas d'urgence ». Footnote 4

4 Le Bureau de gestion de la protection de la vie privée estime actuellement que seules les informations provenant de Feenics, et non les informations liées aux journaux des contrôles d'accès des visiteurs temporaires et aux laissez-passer, sont destinées à être utilisées dans le cadre de cette activité.

Le FRP Planification des ressources humaines  – POU 935 comprend l'utilisation d'éléments de renseignements personnels limités pour la gestion des installations, mais les éléments de renseignements personnels liés aux cartes d'identification et aux laissez-passer ne sont pas couverts par ce FRP. Les FRP Santé et sécurité au travail  – POE 907 et Équité en emploi et diversité – POE 918 ont également été examinés et ne comprennent pas d'éléments de renseignements personnels liés aux cartes d'identité et aux laissez-passer.

L'objet de l'activité proposée est de compter le nombre d'employés qui travaillent à partir des bureaux de StatCan dans les immeubles de la région de la capitale nationale (RCN) dans le cadre du retour hybride au travail.

L'utilisation prévue des renseignements personnels liés aux cartes d'identification et aux laissez-passer pour compter le nombre d'employés (y compris les employés utilisant une carte temporaire) qui accèdent aux bâtiments de StatCan dans la région de la capitale nationale afin d'informer la direction du nombre de personnes présentes sur chaque site de travail chaque jour, chaque semaine et pour assurer la sécurité des personnes dans les bâtiments lors du retour au travail dans un environnement hybride dans le contexte sanitaire actuel est considérée comme couverte dans la section des utilisations du FRP POE 917. Plus précisément, pour conserver les informations relatives à l'utilisation des cartes d'identification et des laissez-passer (y compris les cartes temporaires) et pour contribuer à assurer la sûreté et la sécurité des personnes présentes dans les installations.

L'utilisation de tout élément de données supplémentaire ou toute nouvelle utilisation de renseignements personnels provenant de Feenics et non inclus dans l'évaluation des facteurs relatifs à la vie privée ou dans cet addenda devra être évaluée, et un addenda supplémentaire devra être élaboré en conséquence.

Divulgation

Sur la base des informations incluses dans les sections 1 à 3 par l'équipe des RORH, cette activité ne comprendra aucune divulgation des renseignements personnels de Feenics utilisés aux fins de cette activité.

Transparence

Le paragraphe 5(2) de la Loi sur la protection des renseignements personnels exige que l'institution qui recueille des renseignements personnels informe les personnes auxquelles les renseignements personnels se rapportent, de l'objet pour lequel ils ont été recueillis. L'EFVP du SACA a détecté le manque de notification appropriée comme une menace potentielle et a déclaré que des renseignements détaillés sur le SACA « ont été communiqués par le biais du Réseau de communications internes, le bulletin d'information pour les employés et les courriels aux employés ». Comme l'EFVP a été rédigée en 2009, soit avant la publication de la Directive sur les pratiques relatives à la protection de la vie privée par le Conseil du Trésor, il serait prudent de rédiger un énoncé de confidentialité comprenant les éléments énumérés à la section 6.2.9 de la directive. Cet énoncé de confidentialité sera présenté aux employés de StatCan avant ou au moment de la collecte de leurs renseignements personnels par l'intermédiaire de Feenics, afin de se conformer à la section 6.2.10 de la directive susmentionnée. L'objet et l'utilisation des renseignements personnels, y compris les utilisations décrites dans le présent document, seront inclus dans l'énoncé de confidentialité. Dans l'intervalle, une communication a été envoyée le 12 juillet 2022 par le statisticien en chef à tous les employés de StatCan, dans laquelle on pouvait lire « Je vous encourage à vous familiariser avec le parcours de Modernisation de Statistique Canada : Cadre pour le travail en mode hybride », et qui comprenait un lien vers le document. Le document comprend l'énoncé suivant : « Afin de soutenir la capacité de l'agence à suivre les activités sur place, à informer les plans d'aménagement des étages pour les rénovations de SPAC, et suivre la mise en œuvre de notre modèle de travail hybride, les données agrégées des tourniquets seront utilisées, lorsque possible, afin de mesurer les niveaux d'occupation des édifices. »

Conclusion

Cette évaluation conclut que cette activité n'introduit pas de risques supplémentaires qui n'ont pas été pris en compte dans l'évaluation des risques liés au système automatisé de contrôle d'accès (SACA).

Notes de bas de page

Footnotes

Footnote 1

Voir les notes de bas de page 3 et 4.

Return to footnote 1 referrer

Footnote 2

Le numéro de la carte et la date qui sont recueillis par les terminaux de sécurité lorsqu’une carte est utilisée sont les seuls éléments qui seront mis à la disposition de l’équipe des RORH en ce qui concerne le laissez-passer temporaire d’un employé de StatCan.

Return to footnote 2 referrer

Footnote 3

Les visiteurs sont considérés comme des employés n’appartenant pas à StatCan et devant avoir accès aux installations de StatCan. Les renseignements personnels qui sont fournis à la réception pour remplir un document papier, en lien avec la délivrance de laissez-passer temporaires aux visiteurs ainsi qu’avec la délivrance de laissez-passer temporaires aux employés, ne seront pas mis à la disposition de l’équipe des RORH par la DSI ou utilisés. Cela n’entre pas dans le cadre de cette activité. Aucune donnée ne sera mise à disposition ou utilisée en ce qui concerne les visiteurs.

Return to footnote 3 referrer

Footnote 4

Le Bureau de gestion de la protection de la vie privée estime actuellement que seules les informations provenant de Feenics, et non les informations liées aux journaux des contrôles d’accès des visiteurs temporaires et aux laissez-passer, sont destinées à être utilisées dans le cadre de cette activité.

Return to footnote 4 referrer