8. Introduire des mécanismes de responsabilisation plus solides dans la Loi

FERMÉ: Cette discussion est terminée.

Des obligations précises pourraient être introduites dans la Loi pour aider les organismes publics fédéraux à démontrer qu’ils sont responsabilisés quant à leurs pratiques relatives aux renseignements personnels

La Loi pourrait prévoir des obligations soutenant le principe selon lequel chaque organisme public fédéral est responsable des renseignements personnels qui relève de lui. La Loi pourrait également établir des outils pour aider les organismes publics fédéraux à démontrer aux Canadiens et aux Canadiennes, et le cas échéant au Commissariat à la protection de la vie privée, qu’ils ont mis en place des mesures efficaces pour se conformer à la Loi et protéger les renseignements personnels. En voici quelques exemples possibles :

  • L’obligation de veiller à ce que les renseignements personnels envoyés à l’extérieur du Canada soient protégés de manière appropriée : La Loi pourrait imposer aux organismes publics fédéraux l’obligation de veiller à ce que des clauses appropriées de protection des renseignements personnels soient incluses dans les contrats ou les accords susceptibles d’entraîner une circulation intergouvernementale ou transfrontalière de renseignements personnels, conformément à la politique gouvernementale actuelle. Pour s’acquitter de cette exigence selon une approche souple et axée sur les risques, il faudrait tenir compte des divers contextes dans lesquels les renseignements peuvent être communiqués à l’extérieur du Canada, ainsi que des divers cadres de protection des renseignements personnels à l’extérieur du Canada. La Loi pourrait exiger que la circulation de renseignements personnels à l’extérieur du Canada soit régie par un accord ou un arrangement écrit qui comprendrait des mesures de protection adaptées au contexte de la communication, notamment selon qu’il existe ou non un accord ou arrangement déjà applicable, selon la nature du régime de protection des renseignements personnels du ressort vers lequel les renseignements seront communiqués, et selon la sensibilité des renseignements personnels communiqués. Cette obligation pourrait être soutenue par des règlements ou des politiques.

  • L’obligation de concevoir des programmes et des activités en tenant compte de la protection des renseignements personnels : La Loi pourrait imposer un processus de protection proactive des renseignements personnels en intégrant des considérations sur la façon de protéger ces renseignements dès les premières étapes de l’élaboration et de la mise en œuvre d’une initiative, par exemple un nouveau programme ou service offert par un organisme public fédéral. C’est ce que l’on appelle la protection des renseignements personnels dès la conception. Les politiques gouvernementales exigent déjà que les organismes publics fédéraux évaluent et atténuent les risques en matière de protection des renseignements personnels lorsqu’ils élaborent ou modifient des activités ou des programmes gouvernementaux. Faire de cette obligation une exigence législative viendrait valider les pratiques actuelles du gouvernement et son engagement à traiter d’entrée de jeu les questions de protection des renseignements personnels.

  • L’obligation de procéder à une évaluation des facteurs relatifs à la vie privée : La Loi pourrait imposer aux organismes publics fédéraux l’obligation d’effectuer une analyse pour identifier et atténuer les risques d’atteinte à la vie privée. Ce type d’analyse est communément appelé une évaluation des facteurs relatifs à la vie privée (EFVP) et est présentement encadré par une politique. Cette obligation s’appliquerait aux nouveaux programmes, aux nouvelles activités et aux programmes ayant subi une modification substantielle qui nécessitent la collecte, l’utilisation ou la communication de renseignements personnels à des « fins administratives », pour des activités de profilage automatisé ou manuel qui s’appuient sur des renseignements personnels sensibles, ou selon ce qui serait prescrit par une politique gouvernementale. La Loi pourrait définir la notion de « modification substantielle » afin de préciser les cas où cette évaluation doit être effectuée, et les exigences de la Loi pourraient être soutenues par une politique mise à jour.

  • L’obligation de disposer d’un programme de gestion des renseignements personnels : La Loi pourrait également imposer aux organismes publics fédéraux une nouvelle obligation de créer et de maintenir un programme de gestion des renseignements personnels. Il s’agit essentiellement d’un plan organisationnel de protection des renseignements personnels qu’un organisme public gouvernemental peut utiliser pour identifier, organiser, examiner et améliorer ses pratiques en matière de renseignements personnels. Ce programme servirait de guide individualisé pour assurer la conformité à la Loi. La Loi pourrait énoncer les éléments de base d’un programme de gestion des renseignements personnels et prévoir l’obligation de les réviser et de les mettre à jour régulièrement. Ces exigences seraient complétées par des règlements ou des politiques gouvernementales connexes.

  • Des précisions pour déterminer l’organisme public fédéral responsable lorsque plusieurs organismes publics sont concernés : La Loi pourrait préciser lequel ou lesquels des organismes publics fédéraux seraient responsables des renseignements personnels lorsque organismes fédéraux ou plus ont accès aux mêmes ensembles de données, par exemple lorsque plusieurs organismes publics fédéraux ont accès à une base de données partagée.
Partager sur Facebook Partager sur Twitter Partager sur Linkedin Partager le lien par courriel

La consultation est terminée. Merci pour vos contributions.

    <span class="translation_missing" title="translation missing: fr-CA.projects.forum_topics.show.load_comment_text">Load Comment Text</span>