Contenu
- Section 1 : Sommaire
- Section 2 : Identification et catégorisation des secteurs de risque
- Section 3 : Analyse des éléments de renseignements personnels du programme ou de l'activité
- Section 4 : Flux des renseignements personnels pour le programme ou l'activité
- Section 5 : Analyse de la conformité relative à la protection de la vie privée
- Principe 1 : Responsabilité
- Principe 2 : Limite de la collecte
- Principe 3 : Collecte directe et détermination de l'objet
- Principe 4 : Conservation
- Principe 5 : Exactitude
- Principe 6 : Élimination
- Principe 7 : Usage restreint
- Principe 8 : Divulgation restreinte
- Principe 9 : Mesures de protection
- Principe 10 : Transparence
- Principe 11 : Accès aux renseignements personnels
- Section 6 : Évaluation de la menace et des risques
- Section 7 : Sommaire de l'analyse et recommandations
- Section 8 : Protocole en cas d'atteinte
- Section 9 : Liste de documents supplémentaires
- Annexe 1 – Résumé de l'EFVP
- Annexe 2 – Avis de confidentialité
Section 1 : Sommaire
Ministère ou organisme responsable : Statistique Canada
Dirigeant principal de la protection des renseignements personnels Directeur, Bureau de gestion de la protection de la vie privée et de coordination de l'information
Gestionnaire spécialisé : Directrice, Communications du recensement
Cadre supérieur : Statisticienne en chef adjointe, Stratégies et gestion intégrées
Fondement juridique : Loi sur la gestion des finances publiques
Mention du fichier de renseignements personnels (FRP) : FRP standard – Communications avec le public, NAP 939, UPE 914
Description du projet
Afin d'améliorer les services qu'il offre aux répondants, Statistique Canada a décidé d'ajouter une nouvelle méthode de communication sur son site Web du recensement, soit un robot conversationnel. Ce canal automatisé de communication et de service vise à aider les répondants du recensement à soumettre des questions de manière anonyme et à obtenir plus rapidement des réponses à celles-ci, tout en profitant d'une expérience en ligne positive et sécurisée. Cette technologie permettra d'améliorer les services et d'aider les répondants à répondre au questionnaire, ainsi que de créer une expérience en ligne positive et sécurisée.
Même si Statistique Canada offre déjà un formulaire « Contactez-nous »Footnote 1 que les utilisateurs peuvent utiliser pour soumettre des questions, le robot conversationnel fournira automatiquement des réponses. Les gens n'auront donc plus à attendre 5 à 10 jours ouvrables pour recevoir une réponse.
Le robot conversationnel sera particulièrement utile lorsque Statistique Canada réalisera des activités de recensement. Au cours du cycle de collecte du Recensement de 2021, l'Assistance téléphonique du recensement (ATR) a reçu plus de 2 millions d'appels. En raison de ce volume sans précédent, 1,2 million d'appels n'ont pas été traités en raison de ressources limitées. De même, la Sous-section des relations avec les répondants de Statistique Canada a reçu 63 000 courriels et 7 000 articles de courrier, ce qui représente une quantité supérieure de 5 fois à celle reçue lors du recensement précédent. L'équipe chargée des médias sociaux (Web2Social) a par ailleurs reçu de nombreuses plaintes concernant le manque de réponses immédiates, les longues files d'attente téléphoniques ou les appels interrompus.
Le robot conversationnel ne recueille aucun renseignement personnel. De plus, un avis de confidentialité (voir l'annexe 2) sera fourni aux utilisateurs dès le début de la séance de clavardage, leur demandant de ne pas partager de renseignements personnels. Cet avis informera également les utilisateurs qui fournissent tout de même de tels renseignements que ceux-ci seront supprimés manuellement des transcriptions des conversations avec le robot conversationnel. Ce dernier utilisera l'intelligence artificielle (IA) pour détecter des mots-clés et ainsi répondre à une question d'un utilisateur. Si un utilisateur a besoin d'aide supplémentaire, le robot conversationnel transférera la conversation à un agent de clavardage en direct. Le contenu extrait des questions et réponses du Recensement de 2021 (p. ex. Qu'est-ce qu'une lettre de recensement? Où puis-je trouver mon code d'accès sécurisé?) est intégré à la programmation du robot conversationnel. Le nouveau contenu sera ajouté au besoin. Comme le robot conversationnel ne prend aucune décision administrative concernant les personnes, il n'est pas nécessaire de mener une Évaluation de l'incidence algorithmique.Footnot2
Statistique Canada a acheté le logiciel et les licences du robot conversationnel auprès d'un prestataire de service. Cet outil a été intégré dans un environnement de développement de la structure du site Web de Statistique Canada avant d'être déplacé dans son environnement de production le 15 janvier 2024. Une évaluation complète de la sécurité a été effectuée le 9 janvier 2024. Le risque a été jugé très faible selon la rétroaction qui a été fournie sur la gestion des risques.
Section 2: Risk Area Identification and Categorization
Le tableau qui suit évalue le risque global que présente l'initiative proposée par rapport à une série de secteurs de risque normalisés applicable à la plupart des programmes et activités de Statistique Canada. L'échelle de risque chiffrée est présentée en ordre croissant : le niveau 1 représente le niveau de risque le plus bas pour le secteur et le niveau 4 représente le niveau de risque le plus élevé.
Le niveau de risque applicable pour chaque secteur de risque figure en caractères GRAS.
a) Type de programme ou d'activité | Échelle de risque |
---|---|
Programme ou activité qui ne nécessite pas la prise d'une décision concernant une personne identifiable. | 1 |
Administration des programmes, des activités et des services | 2 |
Conformité/Enquêtes réglementaires et exécution de la réglementation | 3 |
Enquête criminelle et application de la loi ou sécurité nationale | 4 |
b) Type de renseignements personnels recueillis et contexte | Échelle de risque |
Seules les données fournies directement par la personne – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de la personne ou avec son consentement pour la communication, pour autant que les données ne soient pas de nature délicate dans le contexte. | 1 |
Données personnelles fournies par la personne avec le consentement d'utiliser des données détenues par une autre source, pour autant que les données ne soient pas de nature délicate après la collecte. | 2 |
Le numéro d'assurance sociale, les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou encore le contexte de ceux-ci, sont sensibles. Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de la personne concernée. | 3 |
Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons et les échantillons de substances corporelles, ou renseignements personnels dont le contexte est de nature particulièrement délicate. | 4 |
c) Participation des partenaires et du secteur privé au programme ou à l'activité | Échelle de risque |
Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution) | 1 |
Avec d'autres institutions fédérales. | 2 |
Avec d'autres institutions ou avec une combinaison des gouvernements fédéral et provinciaux, et des administrations municipales. | 3 |
Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé | 4 |
d) Duration of the program or activity | Échelle de risque |
Programme ou activité ponctuels. | 1 |
Programme à court terme (du 16 janvier 2024 au 28 juin 2024 pour le test de contrôle et de janvier 2026 à août 2026 pour la période de collecte du Recensement de la population de 2026). | 2 |
Programme à long terme (date à long terme / en cours / sans date de fin) | 3 |
e) Program population* | Échelle de risque |
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent certains employés. | 1 |
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés. | 2 |
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent certains employés. | 3 |
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent tous les employés. | 4 |
* Les renseignements personnels utilisés dans le cadre du programme ne servent pas à des fins administratives. Les renseignements sont recueillis à des fins statistiques, en vertu de la Loi sur la statistique. | Sans objet |
f) Transmission des renseignements personnels | Échelle de risque |
Les renseignements personnels sont utilisés au sein d'un système fermé (aucune connexion à Internet, à l'intranet ou à tout autre système); la distribution des documents papier est surveillée. | 1 |
Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système. | 2 |
Les renseignements personnels sont transférés à un dispositif portatif (p. ex. clé USB, disquette, ordinateur portatif), transférés sur un support différent ou imprimés. | 3 |
Les renseignements personnels sont transmis à l'aide de technologies sans fil. | 4 |
g) Technology and privacy | |
Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pied afin de créer, recueillir ou traiter les renseignements personnels dans le but de soutenir le programme ou l'activité? Oui. Power Microsoft Agent (robot conversationnel) de Microsoft Dynamics est déployé pour faciliter une nouvelle méthode de communication par l'entremise d'un robot conversationnel afin d'améliorer les services de Statistique Canada et de favoriser la communication directe avec les utilisateurs de données et les répondants à une enquête. |
|
L'activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il que des modifications soient apportées aux systèmes hérités des technologies de l'information (TI)? Oui. Pour intégrer Power Microsoft Agent (robot conversationnel) à partir du code Microsoft Dynamics dans le site Web, il faudra modifier nos systèmes de TI. |
|
Questions propres aux technologies et à la protection de la vie privée Indiquer si le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes :
Non. |
|
h) Risque possible pour l'individu ou l'employé en cas d'atteinte à la protection de la vie privée | |
Les utilisateurs seront informés de ne fournir aucun renseignement personnel lors de l'ouverture d'une séance de clavardage. S'ils fournissent tout de même de telles renseignements, ceux-ci ne seront pas utilisés et ils seront détruits après trois mois. Le risque que certains renseignements personnels soient divulgués sans autorisation adéquate est donc très faible et les répercussions sur l'individu seraient faibles. | |
i) Risque possible pour l'organisme en cas d'atteinte à la protection de la vie privée | |
Les utilisateurs seront informés de ne fournir aucun renseignement personnel. S'ils fournissent tout de même de tels renseignements, ceux-ci ne seront pas utilisés et ils seront détruits après trois mois. Par conséquent, le risque que certains renseignements personnels soient divulgués sans autorisation adéquate est donc très faible et les répercussions sur l'organisme seraient faibles. |
Section 3: Analysis of the personal information elements for the program or activity
Un avis de confidentialité informera les utilisateurs de ne pas fournir de renseignements personnels lors de l'ouverture de la séance de clavardage. Cependant, les utilisateurs pourraient tout de même en fournir de façon volontaire. Statistique Canada pourrait conserver de manière anonyme et pendant trois mois de tels renseignements sous forme de transcriptions afin d'évaluer la qualité du service et de répondre aux besoins des utilisateurs.
Si les utilisateurs partagent volontairement des renseignements personnels malgré l'avis de confidentialité, les personnes réputées être employées de la Sous-section des relations avec les répondants supprimeront manuellement de tels renseignements des transcriptions avant de sauvegarder celles-ci sur les serveurs de Statistique Canada.
Nécessité et proportionnalité
Même si le robot conversationnel n'est pas destiné à recueillir ou à utiliser des renseignements personnels et que les utilisateurs sont informés de ne pas en fournir, de tels renseignements pourraient être divulgués par inadvertance. Le déploiement du robot conversationnel peut être justifié par rapport au Cadre de nécessité et de proportionnalité de Statistique Canada.
- Nécessité : Le robot conversationnel constituera une nouvelle méthode de communication sur le site Web de Statistique Canada pour améliorer les services rendus aux répondants. Pour ce faire, des canaux de communication et de service automatisés seront fournis afin d'accroître l'efficacité du Programme du recensement en réduisant le nombre d'articles de correspondance que le personnel de Statistique Canada doit traiter. Ces améliorations profiteront également aux Canadiens en créant une expérience en ligne positive et sécurisée et en aidant les utilisateurs à répondre à leur questionnaire du Recensement de la population de 2026.
- Efficacité – Hypothèses de travail : Le robot conversationnel permettra aux agents en direct de se concentrer à répondre en temps opportun aux questions plus complexes et à améliorer les normes de service. Il aidera de plus les utilisateurs à remplir plus rapidement leur obligation juridique en matière de recensement en soumettant une question de manière anonyme au robot conversationnel. Celui-ci détectera ensuite des mots-clés et proposera des réponses aux utilisateurs sans utiliser de renseignements personnels. Les Canadiens et l'organisme seront en mesure de profiter de gains d'efficacité grâce au robot conversationnel.
- Proportionnalité : Bien que l'organisme puisse recueillir des renseignements personnels par l'intermédiaire de cet outil, les avantages d'un accès rapide et efficace à l'information pour aider les Canadiens à remplir le questionnaire du recensement sont très précieux par rapport aux risques d'atteinte à la vie privée. En créant une expérience en ligne positive et sécurisée et en aidant les utilisateurs à répondre au questionnaire du Recensement de la population de 2026, le robot conversationnel vise à améliorer et à compléter les services existants offerts aux Canadiens.
- Autres options : Malheureusement, il n'existe pas d'autres options aux services automatisés tels qu'un robot conversationnel. En raison de la méthode qui était employée auparavant, l'ATR et la Sous-section des relations avec les répondants ont reçu un très grand nombre d'appels et de courriels au cours du cycle de collecte du Recensement de 2021, dont bon nombre d'entre eux ont été laissés sans réponse en raison de leurs volumes sans précédent et du manque de ressources. Le robot conversationnel permettra d'automatiser les services liés au Programme du recensement et de fournir efficacement des réponses aux Canadiens. Si le robot conversationnel n'est pas en mesure de fournir aux utilisateurs les renseignements dont ces derniers ont besoin pour remplir leur obligation à l'égard du Programme du recensement, il transférera leur demande à notre ATR pour leur fournir une assistance supplémentaire. Les demandes nécessitant une recherche ou une réponse personnalisée, telles que des plaintes, seront transférées à un agent de la Sous-section des relations avec les répondants qui s'efforcera de fournir une réponse personnalisée.
Section 4 : Flux des renseignements personnels pour le programme ou l'activité
Nommer la ou les sources des renseignements personnels recueillis et la manière, s'il y a lieu, dont les renseignements personnels seront créés.
Lorsqu'un utilisateur ouvrira une séance de clavardage, avant d'être invité à poser une question, il verra apparaître un avis de confidentialité et sera informé de ne pas partager de renseignements personnels. Une fois la question soumise dans la fenêtre de conversation, le robot conversationnel analysera les mots-clés afin de trouver une réponse appropriée à la question de l'utilisateur. Bien que les utilisateurs soient informés de ne fournir aucun renseignement personnel, ils pourraient tout de même le faire de façon volontaire.
Nommer les utilisations et les divulgations internes et externes. Plus précisément, nommer les secteurs, les groupes et les individus qui auront accès aux renseignements personnels et les personnes auxquelles ces renseignements seront fournis ou communiqués.
Les renseignements qui pourraient être fournis volontairement par les utilisateurs ne seront pas utilisés ni divulgués, que ce soit à l'interne ou à l'externe. Seules les personnes réputées être employées de la Sous-section des relations avec les répondants, de l'ATR et de Web2Social peuvent voir et manipuler les données.
Nommer l'endroit où circuleront les renseignements personnels et où ils seront entreposés et détenus.
Au cours de la séance de clavardage avec le robot conversationnel, tout renseignement personnel qui pourrait être fourni de façon volontaire par l'utilisateur sera en transit sur le portail Microsoft Dynamics de Statistique Canada. La conversation sera alors manuellement dépouillée de tout renseignement personnel et conservée pendant trois mois sur la plateforme infonuagique de Statistique Canada afin d'évaluer la qualité du service et de répondre aux besoins de l'utilisateur.
Nommer l'endroit où les secteurs, groupes et individus auront accès aux renseignements personnels.
Lorsqu'un utilisateur de robot conversationnel est redirigé vers un agent d'une séance de clavardage en direct avec l'ATR, de la Sous-section des relations avec les répondants, de Web2Social ou de recrutement, l'agent en question et son superviseur auront accès à ces renseignements.
Au cours de la période de stockage de trois mois, seuls les superviseurs et les gestionnaires (quatre à six personnes) qui auront besoin de consulter les renseignements à des fins d'évaluation auront accès aux données.
Section 5 : Analyse de la conformité relative à la protection de la vie privée
Comme le recommande le Guide du Commissariat à la protection de la vie privée au sujet du processus d'évaluation des facteurs relatifs à la vie privée, ce programme a été évalué selon les principes suivants, fondés sur les Lignes directrices de l'Organisation de coopération et de développement économiques (OCDE) sur la protection de la vie privée et les flux transfrontières de données de caractère personnel.
Principe 1 : Responsabilité
Statistique Canada est responsable de tous les renseignements personnels confidentiels recueillis et utilisés en vertu de la Loi sur la statistique. L'organisme est responsable de tous les renseignements personnels dont il a la garde, et il a désigné des personnes pour veiller à ce qu'il respecte les obligations des ministères fédéraux envers le respect des droits à la vie privée décrit aux articles 4 à 8 de la Loi sur la protection des renseignements personnels.
Le directeur du Bureau de gestion de la protection de la vie privée et de coordination de l'information est le dirigeant principal de la protection des renseignements personnels (DPPRP) de Statistique Canada, et il lui incombe de veiller à ce que l'organisme respecte les principes énoncés dans le présent document. Le DPPRP est chargé d'élaborer des politiques sur les renseignements de Statistique Canada, dont tous les aspects de la classification et du contrôle des renseignements et de leur accès. Il doit également fournir des conseils, donner une orientation et apporter de l'aide pour la mise en œuvre des mesures relatives à la sécurité des renseignements.
La dirigeante principale de la sécurité est responsable des opérations quotidiennes du Bureau de la sécurité ministérielle ainsi que de l'élaboration et de l'administration du programme de sécurité pour Statistique Canada.
Les équipes de la Sous-section des relations avec les répondants, de l'ATR et de Web2Social et leurs gestionnaires, sous les directives de la directrice des Communications du recensement (Direction des communications et de la mobilisation), sont chargées d'appliquer toutes les politiques des organismes centraux et de Statistique Canada concernant la protection de la vie privée et les renseignements personnels dans le cadre de cette activité.
La Direction des communications et de la mobilisation est responsable de l'ensemble du site Web de Statistique Canada.
Un particulier peut porter plainte contre le non-respect par Statistique Canada des principes énoncés ci-dessus.
Les plaintes peuvent être adressées à :
Dirigeant principal de la protection des renseignements personnels
Statistique Canada Immeuble R.-H.-Coats, 2e étage
100, promenade Tunney's Pasture
Ottawa (Ontario) K1A 0T6
Téléphone : 613-951-0466
Courriel : statcan.atip-aiprp.statcan@statcan.gc.ca
Selon la Loi sur la protection des renseignements personnels, les particuliers peuvent également porter plainte auprès du Commissariat à la protection de la vie privée du Canada, qui entreprendra une enquête.
Principe 2 : Limite de la collecte
L'autorisation de recueillir et d'utiliser ces renseignements relève de la Loi sur la gestion des finances publiques. Même si aucun renseignement personnel ne sera recueilli, ceux qui pourraient être volontairement fournis par les utilisateurs seront protégés en vertu de la Loi sur la protection des renseignements personnels. Ces renseignements sont compris dans le fichier de renseignements personnels « Communications publiques ».
Le robot conversationnel n'exige pas la collecte de renseignements personnels pour fournir un service aux Canadiens. Tel qu'il est mentionné dans la section précédente, les utilisateurs peuvent volontairement partager des renseignements personnels même s'ils ont été informés de ne pas le faire au début de la séance de clavardage.
Principe 3 : Collecte directe et détermination de l'objet
Le robot conversationnel vise à fournir aux Canadiens un service qui augmentera l'efficacité du Programme du recensement de Statistique Canada. En effet, il aidera les répondants à remplir plus rapidement et plus efficacement leur obligation juridique en matière de recensement, notamment en leur permettant de soumettre de façon anonyme une question au robot conversationnel.
Aucun renseignement personnel n'est demandé ou requis des utilisateurs pour utiliser le robot conversationnel. Statistique Canada ne divulguera pas les renseignements personnels qui pourraient être fournis par les utilisateurs du robot conversationnel. Un avis de confidentialité (Annexe 2) sera fourni aux utilisateurs au début de la séance de clavardage, leur demandant de ne pas partager de renseignements personnels.
L'historique de la conversation servira à améliorer les services de Statistique Canada et à rendre plus accessible à la population canadienne l'information sur le recensement. Seules les personnes ayant un besoin de connaître, dont les agents de recrutement, de la Sous-section des relations avec les répondants et de l'équipe des médias sociaux et leurs superviseurs, se servent des données pour assurer la qualité du service fourni et répondre aux besoins des utilisateurs.
Aucun consentement ne sera demandé puisqu'aucun renseignement personnel ne sera recueilli, utilisé ou divulgué. Aucun renseignement personnel qu'un utilisateur pourrait fournir volontairement ne sera utilisé. Toute information de cette nature sera supprimée manuellement des transcriptions des conversations. Statistique Canada ne conservera celle-ci que pour une période de trois mois.
Principe 4 : Conservation
Les renseignements personnels saisis par les répondants ne seront pas conservés puisque la nature du robot conversationnel ne nécessite pas l'utilisation de tels renseignements pour fournir aux utilisateurs une réponse à leur question posée. Si les utilisateurs incluent volontairement des renseignements personnels, ceux-ci seront supprimés manuellement des transcriptions des conversations. Statistique Canada conservera ces transcriptions caviardées pendant trois mois afin d'améliorer ses services et rendre l'information sur le recensement plus accessible à la population canadienne.
De plus, le système Power Virtual Agent (de Microsoft) conservera les transcriptions des conversations pendant une période de 28 jours, après quoi elles seront automatiquement supprimées. Microsoft a confirmé qu'il n'utilise pas les renseignements pour entraîner, réentraîner ou améliorer leurs modèles.
Principe 5 : Exactitude
Les participants soumettront leurs propres renseignements par voie électronique. Statistique Canada ne modifiera aucun des renseignements soumis, ce qui devrait prévenir les inexactitudes. Cependant, toute erreur portée à l'attention de Statistique Canada par les participants sera immédiatement corrigée. Si le robot conversationnel fournit les mauvaises réponses en fonction des renseignements erronés des utilisateurs, il invitera l'utilisateur à reformuler ou à préciser ses préoccupations afin de fournir l'information appropriée.
Statistique Canada ne modifiera aucun renseignement qui pourrait être soumis volontairement par les utilisateurs, et ces renseignements ne seront conservés que pour une période de trois mois. Puisque ces renseignements ne sont pas requis et qu'ils ne seront pas utilisés ni divulgués, leur exactitude dans le contexte de cette activité n'est pas pertinente.
Principe 6 : Élimination
Les renseignements personnels communiqués volontairement seront en format numérique. L'élimination de ces renseignements se fera directement à partir du système de robot conversationnel.
Technologie et protection de la vie privée
- Aucune modification ne sera apportée aux exigences opérationnelles. Les mêmes principes et lignes directrices applicables à la communication par courriels par l'intermédiaire du service de communication existant, la Sous-section des relations avec les répondants, seront appliqués au robot conversationnel.
- Les outils de communication existants, ainsi que l'ajout du robot conversationnel, respectent les obligations en ce qui concerne la protection de la vie privée.
- Avant d'utiliser le robot conversationnel, les utilisateurs seront informés par un avis de confidentialité que leurs renseignements demeureront protégés en vertu de la Loi sur la protection des renseignements personnels.
Principe 7 : Usage restreint
L'information sera utilisée dans le but d'améliorer les services de Statistique Canada et de rendre plus accessibles les données offertes à la population canadienne. Seuls les agents de la Sous-section des relations avec les répondants et de l'équipe des médias sociaux et leurs superviseurs utiliseront ces renseignements pour assurer la qualité du service fourni et répondre aux besoins des utilisateurs. L'utilisation des renseignements personnels n'est toutefois pas nécessaire au fonctionnement du robot conversationnel.
Lorsque le robot conversationnel sera lancé, un message automatisé informera les utilisateurs qu'ils ne doivent pas partager de renseignements personnels.
Principe 8 : Divulgation restreinte
Statistique Canada ne divulguera pas les renseignements personnels confidentiels qui seront transmis au robot conversationnel sans le consentement du répondant ou à moins que la Loi sur la statistique ne l'autorise. L'accès à toute information obtenue en vertu de la Loi sur la statistique est limité aux employés, qui doivent prêter serment de respecter la confidentialité en vertu de la Loi et qui ont également un besoin de connaître dans le cadre de leurs fonctions.
Principe 9 : Mesures de protection
Statistique Canada prend très au sérieux son obligation juridique selon laquelle il doit assurer la protection des renseignements personnels de tous les Canadiens. C'est la raison pour laquelle l'organisme a mis en place un ensemble de politiques, de directives, de procédures et de pratiques pour protéger l'information confidentielle contre la perte, le vol, l'accès ou la divulgation non autorisé. Elles comprennent des mesures d'ordre matériel, organisationnel et technologique qui protègent l'ensemble des renseignements personnels que détient Statistique Canada.
L'accès sera limité uniquement aux agents de la Sous-section des relations avec les répondants, de l'ATR et de Web2Social et de leurs superviseurs qui travaillent au bureau de la région de la capitale nationale. Les renseignements seront protégés par les mécanismes en place tels que les suivants :
- Lors de l'ouverture d'une session de travail à l'ordinateur, les agents et superviseurs doivent entrer leur nom d'utilisateur et mot de passe protégés et gardés confidentiels.
- Les renseignements personnels transmis volontairement par les clients passeront par le site uniquement pour mesurer le rendement, la productivité et la qualité du service fourni par les agents de la Sous-section des relations avec les répondants, de l'ATR et de Web2Social, ainsi que pour répondre aux questions des utilisateurs. En résumé, de tels renseignements contribueront à mesurer l'exactitude des réponses et nous permettront de demeurer à l'affût de nouveaux sujets émergeant pour réadapter notre contenu.
- Les renseignements seront conservés uniquement sur la plateforme interne de Statistique Canada – aucune diffusion ou impression physique de l'information ne sera effectuée.
- Les renseignements en transit sur Internet seront sécurisés par le HTTPS. Ils seront ensuite stockés sur la plateforme infonuagique de Statistique Canada qui répond aux exigences de sécurité des TI les plus rigoureuses. Par ailleurs, la Division de la cybersécurité de Statistique Canada a procédé à des analyses de vulnérabilité du robot conversationnel du recensement. Elle a également effectué une évaluation et autorisation de sécurité (EAS), et une autorisation provisoire d'exploitation (APE) a été accordée pour un an (janvier 2024 à janvier 2025).
- Le logiciel utilisé contient une option pour masquer l'adresse IP, et cette option sera utilisée afin d'empêcher le stockage d'adresses IP.
Lorsqu'une atteinte réelle ou soupçonnée à la vie privée est découverte (ce qui est peu probable), les mesures décrites à la section 8 seraient prises.
Principe 10 : Transparence
Statistique Canada produit de l'information précise facilement accessible sur ses politiques et ses pratiques en ce qui a trait à la gestion et à la protection des renseignements personnels. Le site Web de l'organisme (www.statcan.gc.ca) contient de l'information sur l'utilisation des renseignements personnels sous forme d'avis de confidentialité.
Des résumés des évaluations des facteurs relatifs à la vie privée approuvés sont aussi accessibles à partir du site Web, sous l'onglet « À propos de Statistique Canada – Évaluation des facteurs relatifs à la vie privée ».
Renseignements sur les politiques et les procédures qui figurent sur le site Web de Statistique Canada
L'Avis de confidentialité de l'organisme se trouve sous l'onglet « À propos de nous – Avis et Confidentialité » du site Web de Statistique Canada, où se trouvent également des renseignements sur ce qui suit :
- le Cadre de protection des renseignements personnels de Statistique Canada
- la protection des renseignements confidentiels et des renseignements personnels à Statistique Canada;
- les politiques et les pratiques en matière de protection des renseignements personnels à Statistique Canada;
- la définition et l'utilisation du couplage d'enregistrements à Statistique Canada;
- la Directive sur le couplage de microdonnées de Statistique Canada;
- les couplages d'enregistrements approuvés à Statistique Canada, leur but, leur description et les produits s'y rattachant.
Le Centre de confiance de Statistique Canada fournit également des réponses aux questions sur la sécurité, ainsi que la protection et la confidentialité des renseignements personnels.
Renseignements complémentaires
Pour obtenir de plus amples renseignements sur le robot conversationnel du recensement, veuillez communiquer avec la personne-ressource suivante :
Emilie Hamel
Gestionnaire de l'équipe chargée des messages et des relations avec les répondants
Communications du recensement
Statistique Canada
150, promenade Tunney's Pasture
Ottawa (Ontario) K1A 0T6
Téléphone : 343-573-8220
Courriel : emilie.hamel@statcan.gc.ca
Principe 11 : Accès aux renseignements personnels
La collecte de renseignements personnels au moyen du robot conversationnel du recensement est décrite dans le fichier de renseignements personnels (Communications publiques – UPE 914), qui se trouve au chapitre « Renseignements sur les programmes et les fonds de renseignements » de Statistique Canada
Sur demande, Statistique Canada fournira aux employés un accès à leurs renseignements personnels détenus par l'organisme.
Si les répondants souhaitent présenter une demande officielle d'accès à leurs renseignements personnels en vertu de la Loi sur la protection des renseignements personnels, la personne-ressource à Statistique Canada est la suivante :
Coordonnateur de l'accès à l'information et de la protection des renseignements personnels
Statistique Canada
Immeuble R.-H.-Coats, 2e étage
100, promenade du pré Tunney
Ottawa (Ontario) K1A 0T6
Téléphone : 613-951-0466
Courriel : ATIP-AIPRP.StatCan@canada.ca
Section 6 : Évaluation de la menace et des risques
La présente partie vise à évaluer la consultation afin de détecter les menaces potentielles et les risques qui pourraient compromettre la confidentialité des renseignements personnels. Elle décrit les mesures de protection qui existent à Statistique Canada, la probabilité qu'une menace devienne réalité et la sévérité des répercussions en ce qui concerne l'atteinte portée à la vie privée et à la protection des renseignements du répondant.
Statistique Canada utilise actuellement de nombreuses mesures de protection pour réduire la probabilité qu'une menace devienne réalité. Ces mesures de protection sont décrites dans les politiques, les pratiques, les outils et techniques de l'organisme.
Les cotes associées à la probabilité qu'une menace devienne réalité, à la sévérité des répercussions et au risque résiduel se définissent comme suit :
Menace : Un événement indésirable ayant le potentiel de compromettre l'intégrité des renseignements personnels ou la confidentialité des données.
Probabilité qu'une menace devienne réalité : la possibilité que la menace devienne réalité, compte tenu des mesures de protection existantes de Statistique Canada. Une cote numérique est utilisée pour évaluer la probabilité qu'une menace devienne réalité.
-
Niveau 1 : La menace peut uniquement se concrétiser lorsque des connaissances très pointues ou des installations spécialisées coûteuses sont utilisées ou par l'effet d'un effort soutenu. Il est peu probable que la menace se concrétise.
-
Niveau 2 : Il faut posséder certaines connaissances ou installations spécialisées, ou déployer des efforts spéciaux pour que la menace se concrétise ou pour tirer parti de la situation. Il est assez probable que la menace se concrétise.
-
Niveau 3 : La probabilité que la menace devienne réalité est très élevée, et une telle situation peut être le fruit d'un acte intentionnel ou accidentel et nécessiter peu ou pas de connaissances ou d'installations spécialisées. Il est très probable que la menace se concrétise.
Incidence : Les répercussions sur la vie privée d'un participant si une menace se concrétise et si ses renseignements sont compromis. L'importance des répercussions ou le genre de répercussions s'exprime par la gravité des conséquences relatives à la vie privée d'une personne.
-
Niveau 1 : Préjudice mineur n'ayant causé aucun tort ou embarras à la personne ou lui ayant causé un tort ou un embarras minime.
-
Niveau 2 : Préjudice modéré ayant causé un certain tort ou embarras à la personne, mais sans conséquences négatives directes.
-
Niveau 3 : Préjudice grave comme un tort ou un embarras permanent qui aura des conséquences négatives directes sur la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de la personne.
Risque résiduel : Une cote numérique est obtenue en évaluant et comparant la probabilité que la menace devienne réalité, compte tenu des répercussions sur la vie privée d'une personne.
Grille d'évaluation de la menace et des risques
Robot conversationnel sur le site Web de Statistique Canada
Certes, le robot conversationnel ne recueille pas de renseignements personnels et les utilisateurs sont invités à ne pas fournir de tels renseignements au cours de la séance de clavardage. Les points suivants traitent toutefois de tous les risques qui pourraient se présenter si des renseignements personnels étaient inclus par inadvertance ou volontairement et compromis avant qu'ils ne soient supprimés manuellement par les personnes réputées être des employées de la Sous-section des relations avec les répondants.
Menaces | Mesures de protection existantes de Statistique Canada | Probabilité | Incidence | Risque résiduel | Évaluation du risque résiduel |
---|---|---|---|---|---|
Environnement : Risque associé à la vie privée des utilisateurs – au sein de Statistique Canada | |||||
Activité : accès au robot conversationnel | |||||
1. On note un accès non autorisé au robot conversationnel par une personne non employée de Statistique Canada. | L'accès physique au nuage sur lequel est hébergé le robot conversationnel est restreint à un petit nombre d'employés de Statistique Canada et de personnes réputées être employées de Services partagés Canada qui fournissent des services à Statistique Canada. Les mesures de sécurité informatique incluent une protection par pare-feu, une configuration et un accès via le réseau interne de Statistique Canada sur le réseau local B. L'accès au système requiert un nom d'utilisateur et un mot de passe réservés aux employés autorisés des équipes de la Sous-section des relations avec les répondants, de l'ATR et de Web2Social. | 1 | 1 | 1 | Acceptable |
2. Il existe un accès non autorisé au robot conversationnel par une personne qui est à l'emploi de Statistique Canada. | Les mesures de sécurité informatique incluent l'accès par le biais du réseau interne de Statistique Canada sur le réseau local B. L'accès au système requiert un nom d'utilisateur et un mot de passe réservés aux employés autorisés des équipes de la Sous-section des relations avec les répondants, de l'ATR et de Web2Social. En outre, les employés sont informés qu'ils doivent verrouiller leur ordinateur avant de s'absenter de leur bureau. | 1 | 1 | 1 | Acceptable |
3. On note une utilisation ou une divulgation non autorisée des renseignements personnels | Les employés sont sensibilisés à l'importance de protéger les renseignements personnels et ils doivent se conformer à la Directive sur l'accès à l'information et la protection des renseignements personnels. Ils ont l'obligation légale de respecter les exigences législatives de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. À défaut de s'y confirmer, ils sont passibles des peines décrites dans les lois. Tout employé qui utiliserait ou divulguerait de façon non autorisée des renseignements personnels recevrait une formation supplémentaire et pourrait être assujetti à un suivi disciplinaire. | 1 | 1 | 1 | Acceptable |
Section 7 : Sommaire de l'analyse et recommandations
Une évaluation des facteurs relatifs à la vie privée a été réalisée concernant le robot conversationnel afin de déterminer si celui-ci posait des problèmes sur le plan du respect de la vie privée, de la protection des renseignements personnels et de la sécurité et, le cas échéant, de formuler des recommandations pour résoudre ou atténuer ces problèmes.
Le présent document résume l'évaluation que Statistique Canada a faite du robot conversationnel en regard de ses répercussions sur le respect de la vie privée. L'évaluation inclut un examen des principes de la protection de la vie privée qui s'appliquent au programme. Elle comprend également une évaluation des risques d'atteinte à la vie privée, à la confidentialité et à la sécurité des renseignements fournis par les utilisateurs.
Cette évaluation n'a mis au jour aucun risque relatif à la vie privée qui ne puisse être géré au moyen des mesures de protection existantes.
Section 8 : Protocole en cas d'atteinte
Le robot conversationnel respecte les normes de l'organisme en matière de TI et de sécurité physique. La sécurité physique comprend la protection des mots de passe utilisés pour accéder au serveur et à la base de données ou à l'outil, la configuration et l'utilisation d'un coupe-feu. Pour cette raison, les cotes indiquées dans les grilles d'évaluation de la menace et des risques pour un accès non autorisé par un employé de Statistique Canada ou par une personne à l'extérieur de Statistique Canada correspondent à une faible probabilité.
Lorsqu'une atteinte suspectée ou avérée à la protection de la vie privée est découverte (même si elle est peu probable), les étapes énumérées ci-dessous, conformément au Protocole en cas d'atteinte portée aux renseignements personnels et à la protection de la vie privée de Statistique Canada, sont suivies :
- Notification immédiatement de la dirigeante principale de la sécurité et du dirigeant principal de la protection des renseignements personnels. La réponse pourrait inclure une interruption des activités du robot conversationnel.
- Une enquête serait menée en collaboration avec la sécurité ministérielle et la sécurité des TI au terme de laquelle des recommandations seraient faites pour empêcher qu'une telle situation ne se reproduise. Les enquêtes permettent de consigner les circonstances qui ont causé l'atteinte à la protection de la vie privée, et de déterminer les renseignements qui ont été divulgués, y compris les répercussions et les mesures qui ont été prises pour empêcher qu'une telle situation ne se reproduise.
- Dans le cas d'une « atteinte substantielle à la vie privée », Statistique Canada doit, selon la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor (SCT), avertir le Commissariat à la protection de la vie privée (CPVP) et le Secrétariat du Conseil du Trésor (SCT). Les « atteintes substantielles » mettent en jeu les renseignements personnels de nature délicate, atteintes qui pourraient selon toute vraisemblance causer des dommages ou un tort sérieux à la personne.
- Selon la nature de l'atteinte, des explications sont fournies aux personnes touchées par la situation ainsi qu'une description des étapes suivies pour supprimer les renseignements qui sont entre les mains de personnes non autorisées. Les personnes seraient également informées qu'elles ont le droit de déposer une plainte auprès du Commissariat à la protection de la vie privée (CPVP). Le nom des personnes dont les renseignements personnels auront été divulgués est communiqué au CPVP et au SCT, y compris les résultats de l'enquête et les mesures prises pour empêcher que la situation ne se reproduise.
Section 9 : Liste de documents supplémentaires
Annexe 1 – Résumé de l'EFVP
Annexe 2 – Avis de confidentialité
Annexe 1 – Résumé de l'EFVP
Robot conversationnel du recensement
Sommaire de l'évaluation des facteurs relatifs à la vie privée
Introduction
Afin d'améliorer les services qu'il offre aux répondants, Statistique Canada a décidé d'ajouter une nouvelle méthode de communication sur son site Web du recensement, soit un robot conversationnel. Ce canal automatisé de communication et de service vise à aider les répondants du recensement à soumettre des questions de manière anonyme et à obtenir plus rapidement des réponses à celles-ci, tout en profitant d'une expérience en ligne positive et sécurisée. Cette technologie permettra d'améliorer les services et d'aider les répondants à répondre au questionnaire, ainsi que de créer une expérience en ligne positive et sécurisée.
Même si Statistique Canada offre déjà un formulaire « Contactez-nous »Footnote 3 que les utilisateurs peuvent utiliser pour soumettre des questions, le robot conversationnel fournira automatiquement des réponses. Les gens n'auront donc plus à attendre 5 à 10 jours ouvrables pour recevoir une réponse.
Objectif
Une évaluation des facteurs relatifs à la vie privée pour le robot conversationnel a été effectuée pour déterminer si des problèmes liés à la protection de la vie privée, à la confidentialité des renseignements personnels et à la sécurité existaient et, le cas échéant, pour faire des recommandations en vue de leur résolution ou de leur atténuation.
Description
Le robot conversationnel sera particulièrement utile lorsque Statistique Canada réalisera des activités de recensement. Au cours du cycle de collecte du Recensement de 2021, l'Assistance téléphonique du recensement (ATR) a reçu plus de 2 millions d'appels. En raison de ce volume sans précédent, 1,2 million d'appels n'ont pas été traités en raison de ressources limitées. De même, la Sous-section des relations avec les répondants de Statistique Canada a reçu 63 000 courriels et 7 000 articles de courrier, ce qui représente une quantité supérieure de 5 fois à celle reçue lors du recensement précédent. L'équipe chargée des médias sociaux (Web2Social) a par ailleurs reçu de nombreuses plaintes concernant le manque de réponses immédiates, les longues files d'attente téléphoniques ou les appels interrompus.
Le robot conversationnel ne recueille aucun renseignement personnel. De plus, un avis de confidentialité (voir l'annexe 2) sera fourni aux utilisateurs au début de la séance de clavardage, leur enjoignant de ne pas partager de renseignements personnels. Cet avis informera par ailleurs les utilisateurs qui fournissent quand même de tels renseignements de ce qui se passera dans un tel cas. Ce dernier utilisera l'intelligence artificielle (IA) pour détecter des mots-clés et ainsi répondre à une question d'un utilisateur. Si un utilisateur a besoin d'aide supplémentaire, le robot conversationnel transférera la conversation à un agent de clavardage en direct. Le contenu extrait des questions et réponses du Recensement de 2021 (p. ex. Qu'est-ce qu'une lettre de recensement? Où puis-je trouver mon code d'accès sécurisé?) est intégré à la programmation du robot conversationnel. Le nouveau contenu sera ajouté au besoin. Comme le robot conversationnel ne prend aucune décision administrative concernant les individus, il n'est pas nécessaire de mener une Évaluation de l'incidence algorithmique.
Statistique Canada a acheté le logiciel et les licences du robot conversationnel auprès d'un prestataire de service. Cet outil a été intégré dans un environnement de développement de la structure du site Web de Statistique Canada avant d'être déplacé dans son environnement de production le 15 janvier 2024. Une évaluation complète de la sécurité a été effectuée le 9 janvier 2024. Le risque a été jugé très faible selon la rétroaction qui a été fournie sur la gestion des risques.
Identification et catégorisation des secteurs de risque
L'évaluation des facteurs relatifs à la vie privée détermine le niveau de risque (le niveau 1 correspond au plus faible niveau de risque, et le niveau 4, au le plus élevé) associé aux secteurs de risque suivants :
a) Type de programme ou d'activité | Niveau de risque |
---|---|
Programme ou activité qui ne nécessite pas la prise d'une décision concernant une personne identifiable. | 1 |
b) Type de renseignements personnels recueillis et contexte | |
Seules les données fournies directement par l'individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l'individu ou avec son consentement pour la communication, pour autant que les données ne soient pas de nature délicate dans le contexte. | 1 |
c) Participation des partenaires et du secteur privé au programme ou à l'activité | |
Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution) | 1 |
d) Durée du programme ou de l'activité | |
Programme ou activité à long terme | 3 |
e) Personnes visées par le programme | |
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent certains employés. | 3 |
f) Transmission des renseignements personnels | |
Les renseignements personnels sont transmis à l'aide de technologies sans fil. | 4 |
g) Technologie et vie privée | |
Power Microsoft Agent (robot conversationnel) de Microsoft Dynamics est déployé pour faciliter une nouvelle méthode de communication par l'entremise d'un robot conversationnel afin d'améliorer les services de Statistique Canada et de favoriser la communication directe avec les utilisateurs de données et les répondants à une enquête. Pour intégrer Power Microsoft Agent (robot conversationnel) à partir du code Microsoft Dynamics dans le site Web, il faudra modifier nos systèmes de TI. Questions propres aux technologies et à la protection de la vie privée |
|
h) Risque possible pour l'individu ou l'employé en cas d'atteinte à la protection de la vie privée | |
Les utilisateurs seront informés de ne fournir aucun renseignement personnel lors de l'ouverture d'une séance de clavardage S'ils fournissent tout de même de tels renseignements, ceux-ci ne seront pas utilisés et ils seront détruits après trois mois. Le risque que certains renseignements personnels soient divulgués sans autorisation adéquate est donc très faible et les répercussions sur l'individu seraient faibles. | |
i) Risque possible pour l'organisme en cas d'atteinte à la protection de la vie privée | |
Les utilisateurs seront informés de ne fournir aucun renseignement personnel. S'ils fournissent tout de même de tels renseignements, ceux-ci ne seront pas utilisés et ils seront détruits après trois mois. Par conséquent, le risque que certains renseignements personnels soient divulgués sans autorisation adéquate est donc très faible et les répercussions sur l'organisme seraient faibles. |
Conclusion
La présente évaluation du robot conversationnel n'a révélé aucun risque d'entrave à la protection de la vie privée qui ne peut être géré à l'aide des mesures de protection existantes.
Annexe 2 – Avis de confidentialité
Lorsque le robot conversationnel sera lancé, un avis de confidentialité apparaîtra dans une bannière en haut de la fenêtre de clavardage.
Version abrégée de l'avis de confidentialité pour la bannière du robot conversationnel (limite de 600 caractères incluant les espaces) :
Le robot conversationnel est conçu pour fournir des réponses aux questions d'ordre général que vous pourriez avoir concernant le recensement. Veuillez ne fournir aucun renseignement personnel, comme votre nom, votre adresse ou tout autre renseignement d'identification.
Si vous avez des préoccupations ou des problèmes spécifiques qui nécessitent une assistance personnalisée, nous vous recommandons de communiquer avec nos canaux de soutien dédiés. Des professionnels qualifiés se feront un plaisir de vous aider.
Pour en savoir plus, consultez la section « Confidentialité » de la page (nom de la page Web).
Avis de confidentialité détaillé disponible pour les répondants sur (hyperlien vers la page Web de StatCan) :
Le robot conversationnel est conçu pour fournir des réponses aux questions d'ordre général que vous pourriez avoir concernant le recensement. Veuillez ne pas inclure de renseignements personnels, tels que votre nom, votre adresse ou toute autre information d'identification, comme ils ne sont pas nécessaires pour répondre aux demandes de renseignements générales liées au recensement.
Dans l'éventualité où des utilisateurs décidaient tout de même de partager des renseignements personnels, de tels renseignements seraient manuellement supprimés des transcriptions du robot conversationnel. Ces transcriptions pourraient être conservées de façon anonyme pendant une période de trois mois sous la forme d'une compilation destinée à évaluer la qualité du service et à répondre aux besoins des utilisateurs.
Si vous avez des préoccupations ou des problèmes spécifiques qui nécessitent une assistance personnalisée, nous vous recommandons de communiquer avec nos canaux de soutien dédiés. Des professionnels qualifiés se feront un plaisir de vous aider.
Si vous avez des questions, veuillez consulter notre site Web à l'adresse www.recensement.gc.ca, où vous pourrez aussi clavarder en ligne avec nous, ou composez le 1-833-835-2024. Les répondants qui utilisent le service ATS (pour les personnes ayant une déficience auditive ou un trouble de la parole) doivent composer le 1-833-830-3109. Vous pouvez également utiliser des services de relais vidéo.