Évaluation des facteurs relatifs à la vie privée – Système de gestion des cas

Sommaire

Contexte

L'Office des transports du Canada (Office) est un tribunal quasi judiciaire indépendant et un organisme de réglementation économique. Il prend des décisions sur un vaste éventail de questions au sujet des modes de transport aérien, ferroviaire et maritime relevant de l'autorité du Parlement, comme le prévoient la Loi sur les transports au Canada et d'autres textes législatifs.

Les responsabilités de l'Office comprennent :

• la réglementation économique, pour octroyer des autorisations et délivrer des licences, des permis et des certificats d'aptitude, mais aussi prendre des décisions sur un large éventail de questions ayant trait au transport aérien, ferroviaire et maritime de compétence fédérale;
• le règlement des différends, afin de régler les plaintes sur les services, les taux, les droits et les frais de transport de compétence fédérale;
• l'accessibilité, pour veiller à ce que le réseau de transport national soit accessible à tous, particulièrement aux personnes ayant une déficience.

Dans l'accomplissement de son mandat, l'Office doit interagir avec un grand nombre de parties (ministères des transports fédéral, provinciaux et territoriaux) et divers organismes partenaires tels que Transports Canada, l'Agence des services frontaliers du Canada et le Bureau de la sécurité des transports, qui ont tous un rôle à jouer dans les transports. Cependant, la plupart des processus administratifs de l'Office sont déclenchés par des requêtes provenant du public. Les personnes peuvent soumettre des requêtes à l'Office de diverses façons : formulaires Web, courriels, en personne, courrier ordinaire, service de messagerie et télécopieur.

Pendant de nombreuses années, les processus administratifs de l'Office ont été gérés au moyen d'un système de gestion des cas nommé AppInfo. Ce système manque de fonctionnalités et se fonde sur une technologie que l'on considère aujourd'hui comme désuète.

Par conséquent, l'Office a décidé de mettre en œuvre un nouveau système de gestion des cas : Microsoft Dynamics CRM (CRM). CRM est une solution administrative souple qui peut être personnalisée en fonction des besoins administratifs. Une fois CRM entièrement configuré, l'Office l'utilisera pour tous ses dossiers de cas formels et informels, en commençant par une validation de principe pour :

• les plaintes relatives au transport aérien,
• les ententes relatives aux franchissements ferroviaires.

Une fois que CRM sera entièrement au point et opérationnel, d'autres services internes et externes pourraient y être intégrés.

Il est important de souligner que les programmes et les activités de l'Office ne changeront pas à la suite de la mise en œuvre de CRM. Aucun nouveau type de renseignements personnels ne sera colligé, utilisé ou divulgué en lien avec CRM. En fait, CRM se veut une façon plus efficace et harmonisée de gérer les processus administratifs de l'Office.

Puisque CRM devrait être mis en place au cours de l'exercice financier 2015-2016, pour les processus mentionnés ci-dessus, l'Office a entrepris cette ÉFVP dans le but de respecter ses obligations en vertu de la Loi sur la protection des renseignements personnels et des politiques, des directives, des normes et des lignes directrices du Secrétariat du Conseil du Trésor (SCT) concernant la protection des renseignements personnels, la gestion de l'information et la sécurité ainsi que les facteurs énoncés par le Commissariat à la protection de la vie privée du Canada (CPVP) dans le document Nos attentes : un guide pour la présentation d'évaluations des facteurs relatifs à la vie privée^{Note 1}.

Principaux résultats et risques relevés pour la protection de la vie privée

L'Office prend très au sérieux la protection de la vie privée et la sécurité des renseignements personnels, ce qui se traduit par la mise en place de processus, de politiques et de procédures visant à protéger les renseignements personnels dans l'ensemble de l'Office.

Par conséquent, l'ÉFVP permet de donner une évaluation éclairée des risques en matière de protection de la vie privée associés à la mise en œuvre de CRM et de formuler des recommandations en vue d'atténuer les risques en matière de protection de la vie privée à un niveau acceptable^{Note 2}.

Selon l'ÉFVP, l'Office se conforme raisonnablement aux exigences de la Loi sur la protection des renseignements personnels et a recours à des pratiques exemplaires pour s'assurer qu'il respecte les politiques, les directives et les lignes directrices du SCT. Une fois que les risques pour la protection de la vie privée relevés au cours de ce processus auront été atténués, ces risques devraient être probablement minimes pour l'atteinte à la vie privée des personnes.

Section I : Aperçu et lancement de l'ÉFVP

Le module suivant donne un aperçu général de l'initiative, une description des fichiers de renseignements personnels visés et une discussion portant sur les fondements juridiques.

1. Agent principal responsable

En vertu de la Loi sur la protection des renseignements personnels, le président et premier dirigeant est le responsable de l'Office des transports du Canada, y compris en ce qui concerne l'exigence de création des fichiers de renseignements personnels (FRP), conformément au paragraphe 10(1) de la Loi sur la protection des renseignements personnels. Le président et premier dirigeant a délégué les pouvoirs énoncés à l'article 10 de la Loi au coordonnateur de l'accès à l'information et de la protection des renseignements personnels.

Fonctionnaire responsable de l'ÉFVP	Délégué pour l'article 10 de la Loi sur la protection des renseignements personnels
Directrice générale, Direction générale des communications et de la gestion de l'information	Cadre supérieur, Services d'information et des projets de services partagés, et coordonnateur de l'AIPRP

2. Description de l'initiative

À ce jour, les processus administratifs de l'Office ont été gérés par un système de gestion des dossiers, AppInfo. Ce système manque de fonctionnalités et se fonde sur une technologie que l'on considère aujourd'hui comme désuète, ce qui donne lieu à ce qui suit :

• pratiques non efficientes;
• mauvaise harmonisation avec l'utilisation des services partagés au sein du gouvernement;
• mauvaise expérience d'utilisateur pour le personnel;
• incapacité de répondre aux exigences sans cesse changeantes.

L'Office a travaillé étroitement avec d'autres organismes en vue de choisir un système partagé de gestion des cas à l'échelle du gouvernement. À la suite d'une demande de proposition, ce choix s'est arrêté sur CRM, une solution administrative souple qui peut être personnalisée en fonction des besoins administratifs. Une fois le CRM entièrement configuré, l'Office l'utilisera pour tous ses dossiers de cas formels et informels, en commençant par les plaintes relatives au transport aérien et les ententes relatives aux franchissements ferroviaires. Une fois CRM entièrement au point et opérationnel, d'autres programmes concernant entre autres les plaintes sur les transports aérien, ferroviaire, maritime et accessible, ainsi que les opérations internes comme les ressources humaines et les services financiers, pourraient être intégrés à CRM. À mesure que d'autres programmes seront ajoutés, la présente ÉFVP sera révisée.

Il est important de souligner que les programmes et les activités de l'Office demeureront les mêmes à la suite de la mise en œuvre de CRM. Aucun nouveau type de renseignements personnels ne sera colligé, utilisé ou divulgué en lien avec CRM. En fait, CRM se veut une façon plus efficace et harmonisée de gérer les processus administratifs de l'Office.

En vue d'assurer l'intégrité des données saisies par le logiciel existant de gestion des cas, l'Office a opté de tout effacer et de recommencer pour l'installation de CRM. À l'exception de la liste des transporteurs aériens, qui ne contient aucun renseignement personnel, et du transfert manuel (c.-à-d. l'entrée de données) de certains dossiers de cas de règlement des différends, aucune autre information ne sera transférée du système AppInfo vers CRM. Au cours de la phase de mise en œuvre, les deux systèmes (AppInfo et CRM) seront fonctionnels jusqu'à ce que tous les processus soient transférés à CRM, auquel moment AppInfo sera placé en lecture seule jusqu'à ce qu'il soit entièrement désactivé.

CRM se connectera à d'autres systèmes ou logiciels de soutien au sein de l'Office :

• formulaires Web : formulaires conçus sur mesure à l'aide du logiciel ouvert de gestion de contenu Drupal. Les formulaires se trouvent sur le serveur réservé au site Web de l'Office.
• dossiers partagés sécurisés : dossiers partagés au sein de l'environnement interne de l'Office. Les données des formulaires Web sont scannées à la recherche de virus à l'aide du logiciel antivirus McAfee, puis transférées vers les dossiers partagés sécurisés dans l'environnement interne;
• logiciel Scribe : logiciel d'intégration et de migration utilisé par l'Office pour saisir les données des formulaires Web. Le processus Scribe s'enclenche lorsqu'un nouveau fichier est détecté dans le dossier partagé;
• système de gestion des dossiers, des documents et de l'information (SGDDI) : système de gestion des documents officiel utilisé par l'Office. Une fois qu'un dossier a été transféré à CRM, un dossier de cas est automatiquement créé et les dossiers (notamment les pièces jointes qui ont été téléchargées avec les dossiers) sont transférés au SGDDI;
• Microsoft Exchange/Outlook : système de courriel de l'Office pour les communications internes et externes. Le système CRM a été configuré pour utiliser les files d'attente courantes du courrier électronique. Les messages individuels des utilisateurs peuvent être retracés par l'utilisateur dans CRM à l'aide de la fonction d'intégration d'Outlook. Ce sont les utilisateurs qui doivent lancer le processus de suivi.

Puisque CRM devrait être mis en place de façon limitée au sein de l'Office en juin 2015, l'Office a entrepris cette ÉFVP dans le but de respecter ses obligations en vertu de la Loi sur la protection des renseignements personnels et des politiques, des directives, des normes et des lignes directrices du SCT concernant la protection des renseignements personnels, la gestion de l'information et la sécurité ainsi que les facteurs énoncés par le CPVP dans le document Nos attentes : un guide pour la présentation d'évaluations des facteurs relatifs à la vie privée^{Note 3}.

3. Étendue des travaux et méthode

La méthode de l'ÉFVP imposée par le SCT est de nature itérative et des mises à jour de l'ÉFVP devraient être apportées à différentes étapes tout au long du cycle de développement du projet. La méthodologie et l'approche indiquées dans la Directive sur l'évaluation des facteurs relatifs à la vie privée du SCT ont servi de fondement à ce document.

Cette ÉFVP a pour objet de schématiser le modèle de gestion et les flux de données, de cerner les questions de protection de la vie privée et de proposer des stratégies en vue d'atténuer les risques cernés concernant la collecte, l'utilisation, la conservation et la divulgation des renseignements personnels par CRM.

La méthode préconisée pour mener l'ÉFVP comprend :

• des rencontres avec les représentants de l'Office;
• l'examen des publications du SCT, comme la présentation de l'Office à Info Source :   Sources de renseignements du gouvernement fédéral, et du site Web de l'Office;
• l'examen de textes législatifs et de politiques concernant les programmes de l'Office.

Cette méthode de collecte de données permet d'obtenir un résumé du modèle de gestion proposé en vue de mener l'ÉFVP. Par ailleurs, l'ÉFVP repose sur les renseignements fournis par l'Office et, par conséquent, ne constitue pas une vérification des mécanismes relatifs au respect de la protection des renseignements personnels de l'Office.

4. Fichiers de renseignements personnels (FRP) - spécifiques aux institutions (CRM)

La mise en œuvre de CRM n'a pas d'incidence sur les types de renseignements personnels recueillis, utilisés, divulgués, conservés et éliminés à l'Office. Le support qui en assure la gestion fera plutôt appel à une nouvelle plate-forme technologique. La collecte de renseignements personnels demeure au niveau du programme responsable et sous le régime de la Loi sur les transports au Canada et d'autres textes législatifs applicables (voir la Section II ci-dessous « Fondements juridiques »). Les renseignements personnels recueillis, utilisés, divulgués et conservés par les programmes de l'Office sont indiqués comme il se doit dans le chapitre Info Source de l'institution.

5. Catégories de documents

Un examen du chapitre Info Source de l'Office indique les catégories de documents à l'appui des programmes et des activités de l'Office.     

6. Catégories de renseignements personnels

Bien que les renseignements personnels colligés soient utilisés principalement par l'Office à des fins administratives, le recours à CRM comprend également l'utilisation de renseignements personnels dont on ne prévoit pas faire usage à des fins administratives (ou qui seraient récupérés à l'aide d'identificateurs personnels). Ces renseignements sont utilisés pour la réalisation d'activités de planification, de statistique, d'évaluation et d'établissement de rapports. L'Office devrait s'assurer que toutes catégories de renseignements personnels, relevant de l'Office et non destinées à des fins administratives, sont protégées par des protocoles internes en matière de protection de la vie privée et traitées selon les dispositions de la Politique sur la protection de la vie privée et des règles de l'Office relatives à la conservation et à l'élimination.

7. Fondements juridiques de la collecte de renseignements personnels

• Loi sur les transports au Canada;
• plainte en vertu de l'article 52 ou 94 de la Loi maritime du Canada;
• plainte en vertu de l'article 13 de la Loi dérogatoire de 1987 sur les conférences maritimes;
• appel en vertu du paragraphe 42(1) de la Loi sur la commercialisation des services de navigation aérienne civile;
• demande en vertu de l'article 3 de la Loi sur le déplacement des lignes de chemin de fer et les croisements de chemin de fer;
• renvoi en vertu des articles 16 à 26 de la Loi sur la sécurité ferroviaire
• opposition déposée en vertu du paragraphe 34(2) de la Loi sur le pilotage;
• Règlement sur les transports aériens;
• Règles de l'Office des transports du Canada (Instances de règlement des différends et certaines règles applicables à toutes les instances)

Section II : Détermination et classification des secteurs de risque

Comme il est énoncé à l'Annexe C, l'ÉFVP de base dans la Directive sur l'évaluation des facteurs relatifs à la vie privée du SCT doit comprendre une section réservée à la détermination et à la classification des risques. Afin d'établir une approche uniforme à l'échelle des institutions gouvernementales en ce qui concerne les catégories de risques et l'évaluation des risques, les secteurs normalisés de risque ainsi qu'une échelle de risque commune doivent être maintenus comme base de l'analyse des risques.

L'échelle de risque chiffrée est présentée en ordre croissant : le premier niveau (1) représente le niveau de risque possible le plus bas pour le secteur; le quatrième niveau (4) représente le niveau de risque possible le plus élevé pour le secteur. L'analyse de risque a été menée dans le cadre de l'ÉFVP et voici ce qui en découle :

a) Type de programme ou d'activité

Cote 2 : Administration des programmes, des activités et des services

L'Office est un tribunal quasi judiciaire indépendant et un organisme de réglementation économique. Il prend des décisions sur un vaste éventail de questions au sujet des modes de transport aérien, ferroviaire et maritime relevant de l'autorité du Parlement, comme le prévoient la Loi sur les transports du Canada et d'autres textes législatifs. Les responsabilités de l'Office comprennent :

• la réglementation économique, pour octroyer des autorisations et délivrer des licences, des permis et des certificats d'aptitude, mais aussi prendre des décisions sur un large éventail de questions ayant trait au transport aérien, ferroviaire et maritime de compétence fédérale;
• le règlement des différends, afin de régler les plaintes sur les services, les taux, les droits et les frais de transport de compétence fédérale;
• l'accessibilité, pour veiller à ce que le réseau de transport national soit accessible à tous, particulièrement aux personnes ayant une déficience.

CRM sera mis en œuvre de façon restreinte en juin 2015, en commençant par les plaintes relatives au transport aérien et les ententes relatives aux franchissements ferroviaires. Il est important de souligner que les programmes et les activités de l'Office ne changeront pas à la suite de la mise en œuvre de CRM. Aucun nouveau type de renseignements personnels ne sera colligé, utilisé ou divulgué en lien avec CRM. Le support qui en assure la gestion fera plutôt appel à une nouvelle plate-forme technologique.

b) Type de renseignements personnels en cause et contexte

Cote 2 : Renseignements personnels fournis par la personne avec le consentement à utiliser les renseignements personnels détenus par une autre source pourvu que les renseignements ne soient pas de nature sensible après la collecte.

Les renseignements personnels colligés par l'Office le sont conformément aux activités et aux responsabilités autorisées par la loi. Certains de ces renseignements présentés à l'Office font partie du processus de décisions quasi judiciaire et, par conséquent, sont considérés comme des documents publics et ainsi mis à la disposition du public. En conséquence, les types de renseignements personnels colligés et utilisés par l'Office qui peuvent être mentionnés dans les dossiers de cas de CRM sont les suivants :

• Plaintes : noms, adresses au bureau ou à domicile, adresses postales ou de courriels, numéros de téléphone, état de santé, déficience, âge, opinions ou idées personnelles, information financière, nationalité et situation de famille
• Différends : noms, adresses au bureau ou à domicile, adresses postales ou de courriels, numéros de téléphone, information financière, opinions ou idées personnelles et signatures
• Délivrance de licences : renseignements personnels concernant le demandeur ou les autres parties inscrites au dossier, à savoir les noms, adresses au bureau ou à domicile, adresses postales ou de courriels, numéros de téléphone, nationalité, âge, numéros d'identification et information financière
• Application de la loi : en fonction de la nature de l'enquête, renseignements personnels concernant une personne, à savoir noms, adresses au bureau ou à domicile, adresses postales ou de courriels, numéros de téléphone, renseignements sur l'enquête, et opinions et idées.

Ces types de renseignements personnels ne changeront pas à la suite de la mise en œuvre de CMR. Le support qui en assure la gestion fera plutôt appel à une nouvelle plate-forme technologique.

c) Participation des partenaires et du secteur privé au programme ou à l'activité

Cote 2 : Autres institutions gouvernementales

CRM est un système interne de gestion des cas qui remplacera le système actuel de gestion des cas de l'Office : AppInfo. Le personnel de l'Office ayant accès d'utilisateur à CRM sera autorisé à l'utiliser et un accès limité sera octroyé à Transports Canada et à Statistique Canada une fois que les protocoles d'entente seront signés.

d) Durée du programme ou de l'activité

Cote 3 : Programme ou activité de longue durée

L'Office exerce ses activités de façon continue. La mise en œuvre de CRM n'aura aucune incidence à cet égard.

e) Personnes visées par le programme

Cote 3 : L’utilisation, dans le cadre de ce programme, de renseignements personnels à des fins administratives externes touche certaines personnes.

À titre de tribunal quasi judiciaire indépendant et organisme de réglementation économique, l'Office prend des décisions sur un vaste éventail de questions au sujet des modes de transport aérien, ferroviaire et maritime relevant de l'autorité du Parlement, comme le prévoient la Loi sur les transports au Canada et d'autres textes législatifs. Les programmes et les activités de l'Office touchent les personnes et les organismes qui présentent des renseignements personnels de l'Office dans le cadre de ses programmes et de ses activités. Par exemple, les décisions prises à la fin du processus de traitement des plaintes peuvent avoir des répercussions sur les personnes concernées, ainsi que sur l'autre partie qui fait l'objet de la plainte. Les décisions peuvent se traduire par des modifications aux politiques, aux procédures, à l'équipement ou autre du fournisseur de services et peuvent avoir une grande incidence sur les personnes, les expéditeurs, les fournisseurs de services, etc. 

f) Technologie et vie privée

Oui, le programme ou l'activité, de création récente ou ayant subi des modifications importantes, prévoit l'installation d'un nouveau système électronique ou l'utilisation d'une nouvelle application ou d'un nouveau logiciel, y compris les collecticiels (ou logiciels de groupe) pour faciliter la création, la collecte ou le traitement des renseignements personnels à l'appui du programme ou de l'activité.

L'Office a décidé de remplacer son logiciel de gestion des cas, AppInfo, par l'outil CRM, une solution administrative souple qui peut être personnalisée en fonction des besoins administratifs. Une fois CRM configuré, l'Office l'utilisera pour tous ses dossiers de cas formels et informels, en commençant par les plaintes relatives au transport aérien et les ententes relatives aux franchissements ferroviaires. Une fois CRM entièrement au point et opérationnel, d'autres programmes externes ainsi que des activités internes comme les ressources humaines et les services financiers pourraient être intégrés à CRM.

Oui, le programme ou l'activité, de création récente ou ayant subi des modifications importantes, nécessite l'apport de modifications aux systèmes des technologies de l'information (TI) existants.

Seules de légères modifications ont été apportées aux systèmes existants pour l'installation de CRM.

Questions propres aux technologies et à la protection de la vie privée

Oui, le programme ou l'activité, de création récente ou ayant subi des modifications importantes, nécessite la mise en œuvre de nouvelles technologies ou d'au moins une des activités suivantes :

• méthodes d'identification améliorées;
• surveillance;
• techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et d'acquisition de connaissances.

Un lien sera établi entre les documents : les personnes téléchargent les renseignements par le transfert de fichiers sécurisé (Scribe) ainsi que des renseignements personnels clés : noms, identification du cas, date. Un numéro d'ordre sera associé et annexé au cas correspondant dans CRM et le SGDDI.

g) Transmission de renseignements personnels

Cote 2 : Les renseignements personnels sont utilisés dans un système qui est connecté à au moins un autre système.

Les renseignements présentés à l'Office seront transférés à CRM, qui travaillera en collaboration avec le SGDDI de l'Office. CRM aura accès au système de courriel qui se limitera aux files d'attente et au suivi des courriels choisis par le propriétaire.

h) Atteintes à la vie privée

Risque possible, en cas d'atteinte à la vie privée, de répercussions pour l'individu ou l'employé

Puisque l'Office a peu de contrôle sur les renseignements téléchargés par les personnes, la confidentialité des renseignements utilisés par l'intermédiaire de CRM est considérée comme élevée (Protégé B). L'utilisation ou la divulgation non autorisée de ces renseignements pourrait porter atteinte à la vie privée ou entraîner des inconvénients, préjudice ou humiliation à la personne visée par les renseignements.

Risque possible, en cas d'atteinte à la vie privée, de répercussions pour l'institution

Dans le cas d'une atteinte à la vie privée (accidentelle ou délibérée), la réputation de l'Office pourrait en souffrir, ce qui pourrait attirer un intérêt public négatif ou entraîner des critiques. L'Office pourrait également faire l'objet de poursuites ou de procès en responsabilité civile pour atteintes à la vie privée portant préjudice à la personne.

S'assurer que les mesures de protection appropriées sont en place pour protéger les renseignements personnels constitue un processus continu, puisque les questions (administratives, physiques et techniques) en matière de sécurité ne cessent d'évoluer et de changer. L'Office se conforme à la Directive sur les pratiques relatives à la protection de la vie privée du SCT et à ce titre, il a établi des processus documentés pour les éléments décrits ci-dessus. De plus, l'Office offre dans l'ensemble de l'organisme de la formation et de l'information continue sur la gestion de l'information, le respect à la vie privée et la sécurité.

Pour ce qui est de la mise en œuvre de CRM, l'Office devrait établir des procédures et des lignes directrices officielles à l'intention du personnel en ayant recours à une fonction d'aide, des manuels de l'utilisateur et de la formation se rattachant tout particulièrement à la gestion et à la protection des renseignements personnels transmis à CRM et conservés au sein de ce dernier. La conception sur mesure de directives pour les rôles et les activités des administrateurs et des utilisateurs du système aidera à assurer leur compréhension des exigences en matière de protection de la vie privée.