GCdocs - Évaluation des facteurs relatifs à la vie privée

Introduction

GCdocs est la solution adoptée par le gouvernement du Canada pour répondre aux exigences réglementaires et stratégiques en matière de gestion de l'information des documents et des dossiers électroniques et papier. GCdocs permet de stocker, de chercher et de récupérer des ressources documentaires et d'en gérer le cycle de vie. Les renseignements provenant des systèmes existants du Centre de gestion des documents (CGD) seront transférés vers GCdocs et le CGD sera mis hors service.

Objectif

Une évaluation des facteurs relatifs à la vie privée de GCdocs a été menée afin de déterminer s'il y avait des problèmes de protection des renseignements personnels, de confidentialité et de sécurité et, le cas échéant, de formuler des recommandations en vue de les résoudre ou de les atténuer.

Description

GCdocs permettra de stocker et de gérer les renseignements créés par les programmes et d'y accorder l'accès. Les renseignements stockés comprendront des documents jusqu'au niveau de sécurité « Protégé B », à l'exception des renseignements statistiques de nature délicate. Aucun document classifié ou « Protégé C » ne sera conservé dans GCdocs.

Parmi les types de documents stockés dans GCdocs qui peuvent contenir des renseignements personnels, mentionnons : les demandes de remboursement de frais de déplacement, les rapports de gestion du rendement, les dossiers de grief, les résultats d'entrevues et de vérification de références, les documents relatifs aux processus de dotation (évaluations, lettres d'offre), les plaintes en matière de langues officielles, les rapports d'incident et d'inspection, les évaluations ergonomiques, les documents de gestion des permis de stationnement, les coordonnées des participants aux consultations et les communications publiques.

Même si GCdocs pourra être utilisé par tous les employés de Statistique Canada, seules les personnes ayant besoin aux renseignements personnels dans le cadre de leurs fonctions pourront y avoir accès. Les groupes et les personnes qui ont accès à des dossiers précis contenant des renseignements personnels seront déterminés par le Bureau de première responsabilité (le directeur ou le directeur général responsable des fonctions, sous-fonctions ou activités pour lesquelles les renseignements sont créés).

Identification et catégorisation des secteurs de risque

L'EFVP relève aussi les secteurs de risque et les classe selon le niveau de risque potentiel (le niveau 1 représentant le risque le plus faible et le niveau 4, le risque le plus élevé) associé au stockage de renseignements personnels dans GCdocs.

  • Type de programme ou d'activité — Niveau 2 : Administration des programmes, ou des activités et des services.
  • Type de renseignements personnels recueillis et contexte — Niveau 3 : Numéro d'assurance sociale, renseignements médicaux et financiers, autres renseignements personnels de nature délicate, ou renseignements personnels dont le contexte est de nature délicate; renseignements personnels des mineurs, des personnes légalement incapables ou renseignements mettant en cause un représentant agissant au nom de la personne concernée.
  • Participation des partenaires et du secteur privé au programme ou à l'activité — Niveau 2 : Avec d'autres institutions fédérales.
  • Durée du programme ou de l'activité — Niveau 3 : Programme ou activité à long terme.
  • Personnes visées par le programme — Niveau 2 : Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés.
  • Transmission des renseignements personnels — Niveau 4 : Les renseignements personnels sont transmis à l'aide de technologies sans fil.
  • Technologie et vie privée : GCdocs nécessite la réalisation d'une nouvelle application qui soutiendra les programmes et les activités dans la création et la gestion des renseignements personnels.
  • Atteinte à la vie privée : Il existe un très faible risque que des renseignements personnels soient divulgués sans autorisation appropriée.

Conclusion

La présente évaluation des facteurs relatifs à la vie privée n'a pas relevé de risques d'entrave à la vie privée qui ne peuvent pas être gérés à l'ide des mesures de protection existantes.

Tableau de bord de gestion analytique des ressources humaines - Sommaire de l'évaluation des facteurs relatifs à la vie privée

Introduction

Le Tableau de bord de gestion analytique des ressources humaines a été mis au point pour moderniser la prestation de services en ressources humaines (RH) et rendre plus efficiente la gestion des renseignements concernant l'effectif. Le nouveau tableau de bord consolidera les renseignements actuellement conservés dans divers outils de RH en une seule application qui simplifiera l'utilisation et la manipulation des renseignements.

Objectif

On a mené une évaluation des facteurs relatifs à la vie privée en ce qui a trait au Tableau de bord de gestion analytique des ressources humaines, afin de déterminer s'il y avait des problèmes sur le plan de la protection des renseignements personnels, de la confidentialité et de la sécurité et, le cas échéant, de formuler des recommandations pour les régler ou les atténuer.

Description

Le Tableau de bord de gestion analytique des ressources humaines consolidera les renseignements se trouvant dans divers outils de RH. À l'heure actuelle, avec l'utilisation d'autres outils de RH, certains rapports et chiffriers existent en plus d'une copie, ce qui oblige l'utilisateur à accéder à de multiples bases de données et applications et peut être déroutant pour lui. Le tableau de bord créera un ensemble commun de rapports et d'analyses, ce qui simplifiera l'expérience de l'utilisateur.

Aucun nouveau renseignement personnel ne sera recueilli. Les renseignements personnels contenus dans l'application ont été fournis par l'employé au début de l'emploi, ou tiennent compte des mises à jour effectuées tout au long de la période d'emploi, et comprennent des renseignements concernant l'effectif, les affectations, les nominations intérimaires, les congés sans solde, les listes d'employés devant partir en congé et d'employés devant revenir de congé, l'admissibilité à la retraite, les départs, les congés de maladie, la formation et la langue seconde.

L'accès au Tableau de bord de gestion analytique des ressources humaines sera restreint aux gestionnaires (à partir de l'échelon de directeur adjoint), aux intervenants en RH, aux gestionnaires de portefeuille de secteur et aux conseillers en gestion financière.

Identification et catégorisation des secteurs de risque

L'EFVP relève aussi les secteurs de risque et les classe selon le niveau de risque potentiel (le niveau 1 représentant le risque le plus faible et le niveau 4, le risque le plus élevé) associé à la collecte et à l'utilisation de renseignements personnels des employés.

  • Type de programme ou d'activité – Niveau 2 : Administration des programmes, ou des activités et des services.
  • Type de renseignements personnels recueillis et contexte – Niveau 1 : Seules les données fournies directement par l'individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l'individu ou avec son consentement pour la communication, pour autant que les données ne soient pas de nature délicate dans le contexte.
  • Participation des partenaires et du secteur privé au programme ou à l'activité – Niveau 1 : Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution).
  • Durée du programme ou de l'activité – Niveau 3 : Programme ou activité à long terme.
  • Personnes visées par le programme – Niveau 2 : Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés.
  • Transmission des renseignements personnels – Niveau 2 : Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système.
  • Technologie et vie privée : Le tableau de bord fait intervenir la mise en œuvre d'un nouveau système électronique à l'appui du programme, mais ne nécessite pas la mise en place de nouvelles technologies.
  • Atteinte à la vie privée : Il existe un très faible risque que des renseignements personnels soient divulgués sans autorisation appropriée.

Conclusion

La présente évaluation des facteurs relatifs à la vie privée n'a pas relevé de risques d'entrave à la vie privée qui ne peuvent pas être gérés à l'aide des mesures de protection existantes.

Approbation électronique des demandes (AED) – Voyages - Sommaire de l'évaluation des facteurs relatifs à la vie privée

Introduction

Le but principal de l'outil AED-Voyages est de recueillir les renseignements de voyage auprès des voyageurs éventuels. Ces renseignements sont utilisés par les commis de voyages pour réserver des demandes de voyage et traiter les demandes de remboursement des frais de voyage.

Description

Avec l'outil AED-Voyages, les employés lancent des demandes de voyage et de remboursement à partir de leur bureau et les acheminent automatiquement par le biais du système au commis de voyage responsable de la réservation de l'hôtel et des vols. Toutes les communications seront dans un seul endroit et le voyageur pourra vérifier l'état de sa demande. Cet outil offre plus de fonctionnalités pour gérer et optimiser le processus lié aux voyages.

Objectif

Une évaluation des facteurs relatifs à la vie privée pour le système AED a été menée afin de déterminer s'il existait des problèmes de protection de la vie privée, de confidentialité ou de sécurité associés au nouveau système, et de faire des recommandations pour les régler ou les atténuer, s'il y a lieu. Il n'y a aucun changement aux renseignements personnels qui sont recueillis par Statistique Canada pour les demandes de voyage et de remboursement de frais de voyages.

Détermination et catégorisation des secteurs de risque

L'évaluation des facteurs relatifs à la vie privée permet aussi de déterminer les secteurs de risque et de les classer selon le niveau de risque potentiel (le niveau 1 représentant le risque le plus faible et le niveau 4, le risque le plus élevé) pour la collecte et l'utilisation de renseignements personnels.

Renseignements personnels des participants :

  • Type de programme ou d'activité – Niveau 2 : Administration des programmes, des activités et des services.
  • Type de renseignements personnels et contexte – Niveau 1 : Seuls les renseignements personnels non contextuellement sensibles recueillis directement auprès de l'individu ou fournis avec son consentement aux fins de divulgation en vertu d'un programme autorisé.
  • Participation des partenaires et du secteur privé au programme ou à l'activité – Niveau 1 : Au sein de l'établissement (que ce soit pour un seul ou pour plusieurs programmes au sein d'un même établissement).
  • Durée du programme ou de l'activité – Niveau 3 : Programme ou activité à long terme.
  • Personnes visées par le programme – Niveau 1 : Le programme touche certains employés à des fins administratives internes.
  • Transmission de renseignements personnels – Niveau 2 : Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système.
  • Technologie et protection de la vie privée : L'outil utilise la même technologie que d'autres applications mises au point par Statistique Canada.
  • Atteinte à la vie privée : Le risque que certains renseignements personnels soient divulgués sans autorisation est très faible.

Conclusion

La présente évaluation des facteurs relatifs à la vie privée n'a pas relevé de risques d'entrave à la vie privée qui ne peuvent pas être gérés à l'aide des mesures de protection existantes. Statistique Canada veille à ce que des mesures soient en place pour répondre aux normes de sécurité de l'organisme central et de Statistique Canada pour la protection des renseignements personnels.

Défi infographie du statisticien en chef du Canada 2017 - Sommaire de l'évaluation des facteurs relatifs à la vie privée

Introduction

Statistique Canada a lancé le Défi infographie du statisticien en chef du Canada sur son site Web dans le cadre d'une initiative visant à inspirer l'innovation dans la façon dont les nouvelles données sont diffusées par Statistique Canada. Le but du concours est de faire participer les étudiants de l'enseignement postsecondaire de la région de la capitale nationale et de leur donner l'occasion de créer des infographies innovatrices à partir des données de Statistique Canada afin de promouvoir les programmes et services de Statistique Canada.

Description

L'objectif du Défi infographie du statisticien en chef du Canada est de sensibiliser le public à l'importance des statistiques dans le développement économique et social du Canada. Les participants, ou toute personne intéressée, peuvent consulter le site Web de Statistique Canada pour obtenir de plus amples renseignements sur le concours, notamment les conditions d'admissibilité et les dates importantes.

Les participants peuvent également s'inscrire en ligne et doivent fournir des renseignements personnels de base. Les renseignements des participants seront utilisés uniquement aux fins du concours.

Objectif

Le Défi infographie du statisticien en chef du Canada a été soumis à une évaluation des facteurs relatifs à la vie privée (EFVP) afin de déterminer si l'activité posait des problèmes sur le plan de la protection des renseignements personnels, de la confidentialité et de la sécurité et, le cas échéant, de formuler des recommandations pour résoudre ou atténuer ces problèmes.

Détermination et catégorisation des secteurs de risque

L'EFVP permet aussi de déterminer les secteurs de risque et de les classer selon le niveau de risque potentiel (le niveau 1 représentant le niveau de risque potentiel le plus faible et le niveau 4, le niveau de risque potentiel le plus élevé) pour la collecte et l'utilisation de renseignements personnels.

  • Type de programme ou d'activité – Niveau 2 : Administration des programmes, des activités et des services.
  • Type de renseignements personnels et contexte – Niveau 1 : Seuls les renseignements personnels non contextuellement sensibles recueillis directement auprès de la personne ou fournis avec son consentement aux fins de divulgation en vertu d'un programme autorisé.
  • Participation des partenaires et du secteur privé au programme ou à l'activité – Niveau 1 : Au sein de l'établissement.
  • Durée du programme ou de l'activité – Niveau 2 : Programme ou activité à court terme.
  • Personnes visées par le programme – Niveau 3 : L'utilisation de renseignements personnels à des fins administratives externes dans le cadre du programme touche certaines personnes.
  • Transmission de renseignements personnels – Niveau 4 : Les renseignements personnels sont transmis à l'aide de technologies sans fil.
  • Technologie et protection de la vie privée : Cette activité n'implique pas la mise en place d'un nouveau système électronique ou l'utilisation d'une nouvelle application ou logiciel, et elle ne nécessite aucune modification des systèmes informatiques ou la mise en œuvre de nouvelles technologies.
  • Atteinte à la vie privée : Le risque que certains renseignements personnels soient divulgués est très faible.

Conclusion

La présente évaluation du Défi infographie du statisticien en chef du Canada n'a pas révélé de risques relatifs à la vie privée qui ne peuvent pas être gérés à l'aide des mesures de protection existantes.

Système automatisé de contrôle d'accès et Programme de surveillance par télévision en circuit fermé - Sommaire de l'évaluation des facteurs relatifs à la vie privée

Introduction

La présente est une mise à jour de l'évaluation des facteurs relatifs à la vie privée préparée en 2009 au moment où Statistique Canada était en train d'installer un nouveau système automatisé de contrôle d'accès pour remplacer le système qui était en place depuis 2002. Le système de contrôle d'accès et la surveillance par télévision en circuit fermé sont propres au bureau central de Statistique Canada et au Centre des opérations des données.

Description

Le système automatisé de contrôle d'accès permet à Statistique Canada d'assurer la sécurité exigée par la Politique sur la sécurité du gouvernement relativement à la protection de ses employés et de ses biens. Ce nouveau système a présenté des éléments de sécurité améliorés, comme des barrières matérielles, afin d'empêcher l'entrée de personnes non autorisées et exige que les employés « fassent glisser leur carte » lorsqu'ils quittent les immeubles. Un registre est généré automatiquement et consigne les entrées et les sorties des employés. Cette fonction améliorera le niveau de sécurité des employés de Statistique Canada, particulièrement lorsqu'ils sont dans les immeubles après les heures normales de travail, comme le soir ou les week-ends.

Objectifs

L'évaluation des facteurs relatifs à la vie privée effectuée pour le Système automatisé de contrôle d'accès et le Programme de surveillance par télévision en circuit fermé a été mise à jour pour déclarer une nouvelle utilisation des renseignements recueillis au moyen du Système automatisé de contrôle d'accès. Plus précisément, l'utilisation des registres où sont consignées les entrées et les sorties des employés lorsqu'ils font glisser leur carte serait désormais autorisée à des fins d'enquête de sécurité et de gestion du personnel.

L'évaluation des facteurs relatifs à la vie privée a également été réalisée afin de déterminer si le programme posait de nouveaux problèmes sur le plan du respect de la vie privée, de la protection des renseignements personnels et de la sécurité et, le cas échéant, de formuler des recommandations en vue de résoudre ou d'atténuer ces problèmes.

Identification et catégorisation des secteurs de risque

L'EFVP relève aussi les secteurs de risque et les classe selon le niveau de risque potentiel (le niveau 1 représentant le risque le plus faible et le niveau 4, le risque le plus élevé) associé à la collecte et à l'utilisation de renseignements personnels des employés.

  • Type de programme ou d'activité – Niveau 3 : Conformité ou enquêtes réglementaires et exécution de la réglementation.
  • Type de renseignements personnels recueillis et contexte – Niveau 1 : Seuls les renseignements personnels non contextuellement sensibles recueillis directement auprès de la personne ou fournis avec son consentement aux fins de divulgation en vertu d'un programme autorisé.
  • Participation des partenaires et du secteur privé au programme ou à l'activité – Niveau 2 : Avec d'autres institutions fédérales.
  • Durée du programme ou de l'activité – Niveau 3 : Programme ou activité à long terme.
  • Personnes visées par le programme – Niveau 2 : L'utilisation, dans le cadre du programme, de renseignements personnels à des fins administratives internes touche tous les employés.
  • Transmission des renseignements personnels – Niveau 1 : Les renseignements personnels sont utilisés dans un système fermé (c.-à-d. qu'il n'y a aucune connexion à Internet, à l'intranet ou à tout autre système, et la distribution des documents papier est surveillée).
  • Technologie et vie privée : Le Programme ne nécessite pas la mise en œuvre d'un nouveau système électronique ou l'utilisation d'une nouvelle application ou d'un nouveau logiciel et n'a pas besoin d'apporter des modifications aux anciens systèmes de technologie de l'information (TI) ou de mettre en place de nouvelles technologies.
  • Atteinte à la vie privée : Le risque que certains renseignements personnels soient divulgués sans autorisation appropriée est très faible. L'incidence sur la personne serait minime, puisque seule l'heure d'entrée et de sortie serait divulguée, ainsi que l'enregistrement numérique de la personne pris dans des endroits publics dans les locaux de Statistique Canada.

Conclusion

La présente évaluation des facteurs relatifs à la vie privée n'a pas relevé de risques d'entrave à la vie privée qui ne peuvent pas être gérés à l'aide des mesures de protection existantes. Statistique Canada veille à ce que des mesures soient en place pour répondre aux normes de sécurité de l'organisme central et de Statistique Canada pour la protection des renseignements personnels saisis par le système et le programme.

Enquête canadienne sur les mesures de la santé, Cycle 5, 2016-2017 - Sommaire de l'évaluation des facteurs relatifs à la vie privée

Introduction

Statistique Canada a commencé à effectuer l'Enquête canadienne sur les mesures de la santé (ECMS) en 2007, et le cinquième cycle de collecte de données débutera en 2016-2017.

La participation à toutes les composantes de l'enquête est facultative pour les participants sélectionnés. Pour ce cycle de l'enquête, on prévoit qu'environ 5 700 personnes répondront à la totalité de l'enquête, une ou deux personnes âgées de 3 à 79 ans étant sélectionnées par ménage.

Tous les processus de l'ECMS sont examinés et approuvés chaque année par le Comité d'éthique de la recherche de Santé Canada et de l'Agence de la santé publique du Canada (CER no 2005-0025) afin de veiller à ce que les normes éthiques reconnues sur le plan international en matière de recherche sur des êtres humains soient respectées dans la durée.

Objectif

L'évaluation des facteurs relatifs à la vie privée (EFVP) générique de Statistique Canada couvre un grand nombre des aspects relatifs à la vie privée liés à l'enquête.

En raison de la nature intrusive et de la méthodologie de collecte unique de l'ECMS, une EFVP spécifique a été menée avant le lancement de l'enquête en 2007, afin de servir de complément à l'EFVP générique. Des modifications ont été élaborées pour chaque cycle; ces mises à jour sont conçues pour repérer les nouveaux risques en matière de protection, de confidentialité et de sécurité des renseignements personnels des participants, pour produire des recommandations visant à la suppression ou à l'atténuation de ces risques et pour rendre compte des préoccupations courantes ou préalablement recensées.

Cette EFVP spécifique a été élaborée pour évaluer la situation actuelle de l'ECMS et ses dernières évolutions, notamment les modifications apportées au contenu et aux procédures. Cette EFVP servira désormais d'évaluation complète de l'ECMS.

Description

L'Enquête canadienne sur les mesures de la santé vise à recueillir de précieuses informations sur la santé par l'intermédiaire de données autodéclarées et de mesures physiques directes. Elle est menée en deux phases : un questionnaire est administré au sein du ménage (interview à domicile) et des tests de mesure physique sont faits dans un centre d'examen mobile (CEM).

Ces renseignements importants aideront à évaluer l'étendue des problèmes de santé associés aux principales préoccupations en matière de santé telles que les maladies chroniques, les maladies infectieuses, les caractéristiques liées au mode de vie et l'exposition ambiante. L'enquête fournira également une plate-forme pour explorer les nouveaux problèmes de santé publique et les nouvelles technologies de mesure.

L'ECMS gère également une biobanque au sein de laquelle on stocke des échantillons pour utilisation future. Seuls les employés de Statistique Canada et les chercheurs autorisés, qui ont prêté le serment de discrétion en vertu de la Loi sur la statistique, peuvent accéder à la biobanque.

Consultations et commissions d'examen

Le contenu et les mesures physiques de l'ECMS sont déterminés par l'entremise de consultations permanentes approfondies avec des experts afin de veiller à ce que l'enquête réponde aux exigences les plus strictes des gouvernements, des chercheurs et du grand public en matière d'information. Un certain nombre de comités sont concernés par la croissance et la continuité de l'ECMS, notamment le Comité consultatif des experts de l'ECMS avec la participation de Santé Canada, de l'Agence de la santé publique du Canada et d'autres groupes d'intervenants, le Comité consultatif de la biobanque, composé d'experts en matière de santé, d'éthique et de recherche scientifique, ainsi que le Comité consultatif des enquêtes sur la santé de la population (CCESP) de Statistique Canada.

Identification et catégorisation des secteurs de risque

L'EFVP relève les secteurs de risque et les classe selon le niveau de risque potentiel (le niveau 1 représentant le risque le plus faible et le niveau 4, le risque le plus élevé) associé à la collecte et à l'utilisation de renseignements personnels des répondants.

  • Type de programme ou d'activité – Niveau 1 : Programme ou activité qui ne nécessitent pas la prise d'une décision concernant une personne identifiable.
  • Type de renseignements personnels recueillis et contexte – Niveau 4 : Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons et les échantillons de substances corporelles, ou renseignements personnels dont le contexte est de nature particulièrement délicate.
  • Participation des partenaires et du secteur privé au programme ou à l'activité – Niveau 4 : Organisations du secteur privé, organisations internationales ou gouvernements étrangers.
  • Durée du programme ou de l'activité – niveau 3 : Programme ou activité à long terme.
  • Personnes visées par le programme – Sans objet : Les renseignements personnels utilisés par le programme ne le sont pas à des fins administratives. Les renseignements sont recueillis à des fins statistiques et à des fins connexes de recherche, en vertu de la Loi sur la statistique.
  • Transmission des renseignements personnels – niveau 4 : Les renseignements personnels sont transmis à l'aide de technologies sans fil. Lorsqu'à l'extérieur du système fermé de Statistique Canada (par exemple, des dispositifs de stockage portatifs), les informations sont cryptées selon les normes du Centre de la sécurité des télécommunications (CST). Des mesures de protection supplémentaires sont prises pour la transmission des documents papier et des spécimens.
  • Technologies et protection de la vie privée : De nouvelles applications et de logiciels sont installés sur les ordinateurs utilisés pour mesurer certaines mesures physiques. Ces applications et logiciels ne nécessitent pas de modifications aux systèmes de technologie de l'information (TI) en place à Statistique Canada.
  • Atteinte à la vie privée : Il existe un très faible risque que des renseignements personnels soient divulgués sans autorisation appropriée.

Conclusion

Bien qu'un certain nombre de problèmes potentiels aient été recensés en matière de protection des renseignements personnels et que l'EFVP générique ait répondu à un certain nombre de préoccupations, cette évaluation conclut que, grâce aux mesures de protection existantes offertes par Statistique Canada et aux mesures de protection supplémentaires ayant été mises en place, les risques résiduels, le cas échéant, sont soit négligeables, soit tels que Statistique Canada est prêt à les accepter et à les gérer.

Environnement de couplage de données sociales - Évaluation des facteurs relatifs à la vie privée

Introduction

L’Environnement de couplage de données sociales (ECDS) s’appuie sur l’expérience acquise du couplage d’enregistrement afin de rendre possible un programme pancanadien de recherche faisant usage de couplages d’enregistrements socioéconomiques. Un programme bien organisé et réglementé de couplage d’enregistrements est nécessaire afin : a) d’accroître la pertinence des enquêtes actuelles de Statistique Canada sans qu’il soit nécessaire de recueillir de nouvelles données ou de recueillir de nouveau les données que détiennent d’autres sources des données; b) de maintenir la pertinence des enquêtes longitudinales qui ont pris fin, y compris l’Enquête nationale sur la santé de la population, l’Enquête longitudinale nationale sur les enfants et les jeunes, l’Enquête auprès des jeunes en transition, l’Enquête longitudinale auprès des immigrants du Canada et l’Enquête sur la dynamique du travail et du revenu; c) d’accroître considérablement l’utilisation des données administratives; d) de remplacer ou de compléter les programmes de collecte des données existants dans le domaine social; e) de maintenir les normes les plus élevées en matière de protection de la vie privée et de sécurité des données.

Objectifs

Une évaluation des facteurs relatifs à la vie privée (EFVP) de l’environnement de couplage de données sociales a été menée afin de déterminer s’il y avait des problèmes de protection des renseignements personnels, de confidentialité et de sécurité des données associés au programme et, le cas échéant, de formuler des recommandations en vue de résoudre ou d’atténuer ces problèmes.

Description

Statistique Canada est responsable de la conservation et du traitement sécuritaires des ensembles de données ainsi que de la production des fichiers d'analyse nécessaires pour réaliser les études de recherche approuvées. Étant donné que les projets de recherche de l'ECDS nécessiteront le recours à des enregistrements couplés, il faudra obtenir une autorisation individuelle selon l'étude auprès de la haute direction de Statistique Canada en vertu de la Directive sur le couplage d'enregistrements de Statistique Canada. Un dépôt d'enregistrements dérivés (DED) et un registre des clés distinct seront créés pour diminuer les risques liés à la protection de la vie privée et améliorer l'efficacité et la qualité des couplages.

Le DED est créé en couplant différents fichiers de données de Statistique Canada dans le but de produire une liste de particuliers. On attribue à chacun des particuliers dans le DED un identificateur anonyme de l'ECDS. L'identificateur est attribué aléatoirement et n'a aucune valeur à l'extérieur de l'ECDS. Certains des fichiers de données utilisés pour le DED comprennent le Recensement de la population et l'Enquête nationale auprès des ménages, le fichier maître des particuliers T1 (impôt), les fichiers de la Prestation fiscale canadienne pour enfants (PFCE), la Base canadienne de données sur la natalité (BCDN), la Base canadienne de données sur la mortalité (BCDM), le Fichier des immigrants reçus et le Registre des Indiens. Le DED est un fichier longitudinal national simple et il sera mis à jour par la réalisation continuelle d'autres couplages d'enregistrements.

Seuls les identificateurs personnels de base sont entreposés dans le DED. Il n'est pas nécessaire d'utiliser les données d'enquête provenant des différentes bases de données d'entrée pour créer le DED, et ces données ne seront pas stockées dans ce dernier. Au départ, le DED comprendra les identificateurs personnels suivants : noms de famille; prénoms; date de naissance; sexe; état matrimonial; date d'établissement/d'immigration; date d'émigration; date du décès; numéros d'assurance sociale (NAS), numéros d'identification temporaire (NIT), numéros d'identification de personne à charge (NIPC); NAS/NIT du conjoint; NAS/NIT/NIPC de la personne à charge/de la personne invalide; NAS/NIT du parent; numéros d'assurance-maladie; adresses; identificateur unique du registre des adresses; codes de classification géographique type (CGT); numéros de téléphone; nom de famille du conjoint; nom de famille de la mère; nom de famille du père; autre prénom et numéro d'identification séquentiel généré par Statistique Canada, pour chaque personne identifiée au moyen du processus annuel de couplage du DED. L'accès au DED sera réservé aux employés de Statistique Canada qui sont responsables de son développement et de sa maintenance.

Les identificateurs appariés de l'ECDS et des enregistrements de fichiers sources, qui sont déterminés au moyen du couplage d'enregistrements, seront stockés dans un registre de clés distinct. Une fois qu'une cohorte d'étude a été définie, ces « clés de couplage » peuvent ensuite être utilisées pour trouver les enregistrements associés aux membres de la cohorte dans l'ensemble des bases de données comprenant l'ECDS. Cette approche permet de créer un environnement virtuel de couplage qui élimine la nécessité de concevoir une volumineuse base de données intégrée. Dans le cadre de l'ECDS, toutes les données d'enquête demeureront dans leurs emplacements actuels et seront tenues à jour selon les modalités en vigueur. Par conséquent, l'ECDS est un environnement dans lequel on peut réunir des sources des données pour créer un fichier d'analyse pour effectuer des études particulières et approuvées nécessitant des données couplées. L'ECDS ne comprend pas une volumineuse base de données intégrée contenant l'information de l'ensemble des sources de données d'enquêtes.

Identification et catégorisation des secteurs de risque

L’EFVP relève aussi les secteurs de risque et les classe selon le niveau de risque potentiel (le niveau 1 représentant le risque le plus faible et le niveau 4, le risque le plus élevé) associé à la collecte et à l’utilisation de renseignements personnels des répondants.

  • Type de programme ou d’activité – Niveau 1 : Programme ou activité qui ne nécessite pas la prise d’une décision concernant une personne identifiable.
  • Type de renseignements personnels recueillis et contexte – Niveau 3 : Numéro d’assurance sociale, renseignements médicaux et financiers, autres renseignements personnels de nature délicate, ou renseignements personnels dont le contexte est de nature délicate; renseignements personnels sur des mineurs, des personnes légalement inaptes ou renseignements mettant en cause un représentant agissant au nom de la personne concernée.
  • Participation des partenaires et du secteur privé au programme ou à l’activité – Niveau 1 : Au sein de l’établissement (que ce soit pour un seul ou pour plusieurs programmes au sein d’un même établissement).
  • Durée du programme ou de l’activité – Niveau 3 : Programme ou activité à long terme.
  • Personnes visées par le programme – Sans objet : Les renseignements personnels utilisés dans le cadre du programme ne servent pas à des fins administratives. Les renseignements sont recueillis à des fins statistiques et à des fins connexes de recherche, en vertu de la Loi sur la statistique.
  • Transmission de renseignements personnels – Niveau 1 : Les renseignements personnels sont utilisés dans un système fermé (c.-à-d. qu’il n’y a aucune connexion à Internet, à l’intranet ou à tout autre système, et la distribution des documents papier est surveillée).
  • Technologie et protection de la vie privée : Le programme comprend une version modifiée de la méthodologie de l’Initiative sur les données longitudinales administratives et sur la santé (DLAS). Il utilise le modèle de données des DLAS, mais remplace les registres d’assurance-santé des clients des DLAS (registres fournis par les ministères provinciaux de la Santé) par un DED à partir de données recueillies ou détenues par Statistique Canada. Le programme permet de traiter automatiquement des renseignements personnels et utilise des techniques d’appariement des renseignements personnels à des fins d’analyse statistique uniquement.
  • Atteinte à la protection de la vie privée : Le risque que certains renseignements personnels soient divulgués sans autorisation appropriée est très faible. Les répercussions pour une personne seraient minimes puisque les identificateurs personnels comme le nom ou l’adresse d’une personne ne sont jamais stockés avec les données des enquêtes ou les données administratives. Les données d’identification personnelles sont conservées dans des fichiers index distincts; seul un petit nombre d’employés de Statistique Canada, dont le travail exige cet accès, peut y accéder.

Conclusion

La présente EFVP n'a décelé aucun problème en suspens en matière de confidentialité ou de sécurité. La confidentialité des renseignements conservés dans l'environnement sécurisé de Statistique Canada est régie par la Loi sur la statistique, et l'organisme peut se vanter d'avoir un dossier exemplaire à cet égard. Parallèlement, du point de vue de la sécurité, Statistique Canada possède depuis de nombreuses années des politiques et des pratiques en matière de sécurité, qui ont récemment été adoptées par de nombreux autres organismes en tant que pratiques exemplaires.

Bon nombre des activités de Statistique Canada, comme l'ECDS, sont fort délicates de par leur nature. Bien qu'elle ait permis de cerner un certain nombre de risques, cette évaluation conclut que, compte tenu des mesures d'atténuation qui ont été prises, les risques résiduels sont soit négligeables ou si peu graves que Statistique Canada s'estime en mesure de les assumer et de les gérer.

S'abonner à
Date de modification :