Paye et avantages sociaux : Système de paye Phénix – Sommaire de l'évaluation des facteurs relatifs à la vie privée
Services publics et Approvisionnement Canada (SPAC) administre la paye des employés fédéraux en vertu de la Loi sur le ministère des Travaux publics et des Services gouvernementaux et d'une variété de décrets. À titre d'organisme de services communs, SPAC offre, par le truchement de la Direction générale de l'administration de la paye (DGAP), des services de paye et d'avantages sociaux à près de 300 000 fonctionnaires dans 98 ministères, organismes et sociétés d'État.
Sur cette page
Système de paye Phénix : Sommaire de l'évaluation des facteurs relatifs à la vie privée – Sommaire exécutif
En 2009, le gouvernement du Canada a approuvé l'Initiative de transformation de l'administration de la paye. Cette dernière visait à remplacer le Système de paye régional (SRP) vieux de 40 ans et à regrouper les services de paye en un seul Centre des services de paye. Les nombreuses lacunes de cet ancien système ont été décrites en détail dans le rapport Printemps 2010 – Rapport de la vérificatrice générale du Canada.
Au départ, l'Initiative avait pour objectif de faire en sorte que le nouveau modèle d'administration de la paye centralisé permettrait un meilleur contrôle de gestion, un meilleur niveau de normalisation, une réduction des chevauchements ainsi qu'une amélioration des gains d'efficacité pour le gouvernement du Canada. D'importantes économies étaient également prévues.
L'Initiative comprenait le remplacement de l'ancien système de paye par un nouveau système (Phénix) pour 98 organisations et l'établissement du Centre des services de paye à Miramichi, au Nouveau-Brunswick. La plupart des systèmes électroniques à l'appui des services de paye offerts par SPAC (par exemple, Système régional de paye, Système de paye pour services supplémentaires) ont été remplacés par la nouvelle solution Phénix.
Avec l'ancien système de paye, les employés qui voulaient accéder à certains enregistrements de paye devaient dans la plupart des cas communiquer avec le conseiller en rémunération de leur ministère, présenter une demande à l'égard de leurs renseignements personnels, puis attendre jusqu'à ce que le conseiller en rémunération puisse compiler les données et finalement les mettre en commun avec l'employé. Avec Phénix, chaque employé du gouvernement qui utilise le système devient un « utilisateur » de Phénix, ce qui signifie qu'il obtient automatiquement la permission de consulter ses données et d'accéder à son propre profil, y compris ses états des gains, ses régimes d'avantages sociaux et ses renseignements personnels. Cette caractéristique appuie le volet en lien avec les données ouvertes de l'initiative Gouvernement ouvert du gouvernement du Canada.
En 2017, une nouvelle structure de gouvernance a été mise en place pour assurer une approche coordonnée de bout en bout des ressources humaines à la paye. Cette nouvelle structure intègre des politiques et processus en matière de ressources humaines aux opérations de gestion de la paye et fait en sorte que SPAC, le Secrétariat du Conseil du Trésor du Canada (SCT) et le Bureau du dirigeant principal des ressources humaines (BDPRH) collaborent à la stabilisation des services de paye.
Principaux composantes
Phénix représente un changement important à la technologie sur laquelle repose la prestation du programme de paye. Conformément à la Directive sur l'évaluation des facteurs relatifs à la vie privée du SCT, une évaluation des facteurs relatifs à la vie privée (EFVP) a été menée pour veiller à ce que la collecte, l'utilisation, la divulgation, la rétention et le retrait des renseignements personnels contenus dans Phénix soient entièrement harmonisées aux exigences législatives et politiques.
Cette EFVP constitue une mise à jour de l'évaluation précédente et a permis d'identifier de nouvelles utilisations et divulgations de renseignements personnels, notamment les suivantes :
- nouveaux rôles d'accès et augmentation du nombre de personnes disposant d'un accès
- nouveaux couplages de données
- nouvelles utilisations des renseignements personnels recueillis, ainsi qu'usages compatibles liés à la gestion de l'accès et de la fraude
- nouvelles mesures de déclaration aux cadres supérieurs et aux fonctionnaires du ministère, ainsi que nouveau processus de prise de décision pour assurer l'exactitude des renseignements personnels
- nouvelles divulgations aux ressources humaines (RH) et au SCT liées au contrôle des activités des utilisateurs
- nouvelles capacités en matière de vérification approfondie pour prévenir, traiter et régler les problèmes liés à la paye
- changements fonctionnels au système de paye Phénix en ce qui a trait aux points susmentionnés, y compris (au besoin) des correctifs de sécurité ayant une incidence sur les renseignements personnels
L'Évaluation des Facteurs de la Vie Privée examinait les éléments suivants :
- autorisation légale de SPAC de recueillir, d'utiliser et de divulguer les renseignements personnels, y compris le numéro d'assurance sociale (NAS)
- collecte, utilisation et divulgation de renseignements personnels liés à Phénix
- conservation et retrait de dossiers de Phénix
- traitement et protection des renseignements personnels recueillis, utilisés et divulgués par Phénix
L'EFVP a confirmé que Phénix respecte bon nombre d'exigences en matière de protection de la vie privée et recommande la mise en place d'un plan d'action pluriannuel sur l'atténuation des risques d'atteinte à la vie privée pour assurer une entière conformité. Le plan d'action comprend les mesures d'atténuation suivantes :
- intégration de considérations liées à la vie privée dans le processus de gestion du changement
- examen des ententes des ministères et des ententes sur la prestation des services
- examen des contrats de service des tierces parties
- mises à jour régulières en ce qui concerne les fichiers de renseignements personnels touchés
- examen des formulaires d'accès des utilisateurs de Phénix, des rôles opérationnels des utilisateurs de Phénix et des divulgations découlant d'un accès élargi aux utilisateurs opérationnels
- mise en œuvre de séances de formation sur la protection de la vie privée pour les utilisateurs opérationnels de Phénix et finalisation d'un protocole en cas d'atteinte à la protection des renseignements personnels
- examen et mise en œuvre de calendrier de disposition des données contenues dans Phénix
- évaluation et examen de la faisabilité de mettre en œuvre des capacités améliorées et automatisées en matière de contrôle et de gestion de la fraude
Des représentants de la Direction de l'accès à l'information et de la protection des renseignements personnels (DAIPRP) et de la Direction générale du dirigeant principal de l'information (DGDPI) ont été consultés dans le cadre de l'élaboration, de la mise à jour et de l'examen de cette EFVP; ces derniers appuient l'évaluation ainsi que le plan d'action proposé.
Des cadres supérieurs de la Direction générale de l'administration de la paye et de la DAIPRP au sein de la Direction générale des politiques, de la planification et des communications (DGPPC) ont approuvé l'EFVP et sont à l'aise avec les risques recensés et le plan d'action associé visant à atténuer ces risques. Cette version de l'EFVP est définitive puisqu'elle a été approuvée et signée par toutes les parties et transmise au Commissariat à la protection de la vie privée (CPVP) et au SCT aux fins d'examen.
Section I: Aperçu et tenue de l'Évaluation des facteurs relatifs à la vie privée
Profil de l'organisation
Institution fédérale: Services publics et Approvisionnement Canada (SPAC)
Administrateur gouvernemental responsable de l'EFVP : Marc Lemieux, sous-ministre adjoint, SPAC, Direction générale de l'administration de la paye
Déléguées aux termes de l'article 10 de la Loi sur la protection des renseignements personnels : Marie Lemay, sous-ministre, SPAC
Annie Plouffe, directrice, Accès à l'information et protection des renseignements personnels, Direction générale des politiques, de la planification et de la sécurité, (répondante)
Nom et description du programme ou de l'activité
Le Programme fédéral d'administration de la paye est administré par la Direction générale de l'administration de la paye (anciennement la Direction générale de la comptabilité, de la gestion bancaire et de la rémunération). Ce programme fait partie des priorités principales en matière de paiements et de comptabilité du Ministère en lien avec le Cadre de mesures du rendement (CMR) de SPAC.
Ce programme administre les processus relatifs à la paye et aux avantages sociaux pour la fonction publique du Canada et d'autres organisations, conformément aux conventions collectives, aux politiques en matière de rémunération et aux protocoles d'entente. Les activités d'administration de la paye et des avantages sociaux comprennent la mise en place et la prestation de services, l'établissement et l'exécution de processus et de systèmes, la communication de renseignements sur la rémunération, de formations et de conseils. SPAC fournit également tout les services de la rémunération à la plupart des ministères qui utilisent le système des ressources humaines certifié du gouvernement (PeopleSoft).
Le Programme fédéral d'administration de la paye
Le programme comprend 2 fonctions clés : le secteur de la rémunération et les services de paye.
Le Secteur de la rémunération
Le Secteur de la rémunération (paye) est le plus grand administrateur de la paye du Canada. Il administre la paye et les avantages sociaux pour la plupart des ministères et organismes fédéraux, et sociétés d'État, y compris pour l'administration de la Chambre des communes et pour les députés de la région de la capitale nationale. L'administration de la paye et des avantages sociaux comprend :
- le traitement de la paye et des avantages sociaux
- le contrôle des systèmes intégrés
- la comptabilité et le traitement des remises et les fonctions de comptabilité du grand livre du système de paye Phénix
- l'élaboration et la prestation de services, processus et de systèmes liés à la paye
- les politiques et opérations en matière d'assurance
- la communication de renseignements sur la rémunération,
- la formation, des conseils, la planification opérationnelle et des activités de gestion du rendement
Le Centre des services de paye
Le Centre des services de paye de la fonction publique, mis sur pied en mars 2012, fournit des services de paye à 46 organisations desservant plus de 190 000 clients, en conformité avec 27 conventions collectives. Les conseillers en rémunération traitent les mouvements de paye et d'avantages sociaux des employés dans le système de paye (embauche, promotion, nomination intérimaire, mutation, congé, etc.), répondent aux questions des employés relativement aux problèmes de paye et fournissent des conseils de rémunération aux clients. Le Centre des services de paye compte près de 1 000 employés (y compris le personnel de direction et les employés de soutien) qui assurent la prestation de services aux clients. Les centres de paye sont actuellement dans 2 emplacements temporaires, mais ils déménageront dans un immeuble permanent lorsque sa construction sera terminée en 2017 à 2018. En raison des problèmes de paye auxquels doivent faire face SPAC et le gouvernement dans son ensemble, le Centre des services de paye reçoit l'appui de multiples bureaux satellites et bureaux éloignés dans tout le Canada pour traiter la paye, du Centre de contact avec la clientèle qui fournit un appui de première ligne pour répondre aux questions des employés et du Bureau des services à la clientèle qui traite les cas de difficultés financières et les cas complexes.
Description de la catégorie de documents liée au programme ou à l'activité
Produits de l'administration de la paye (catégories de documents no : TPSGC CGBR 090)
Renseignements ayant trait aux services administratifs nécessaires au versement de la paye et diffusion de données sur la paye aux employés, comme :
- l'entrée donnée, la compilation, le calcul et la distribution de la paye et de renseignements
- l'élaboration et au fonctionnement des contrôles, incluant les contrôles de validation, les messages d'erreurs et les changements législatifs requis, la validation et les contrôles comptables de la paye
- la tenue des enregistrements de salaire et des applications Web
- la distribution d'états de rémunération et de rapports sur les fonctionnaires
Fondement juridique du programme ou de l'activité
Les dispositions légales régissant les services de paye de SPAC sont les articles 5, 12, 13 et l'alinéa 15(b) de la Loi sur le ministère des Travaux publics et des Services gouvernementaux, en plus des décrets du Conseil, numéros 2011-1550, 2013-0624 et 2015-0647.
| Type de programme ou d'activité | Niveau de risque sur la protection de la vie privée |
|---|---|
| Proposition d'un nouveau FRP | (ne s'applique pas) |
| Proposition de modification d'un FRP existant | (s'applique) |
| Systèmes de rémunération de la fonction publique (TPSGC PCU 705, no 001375) | (s'applique) |
| Fichier central (TPSGC PCU 715) | (s'applique) |
| Aucune modification ne doit être apportée au FRP existant | (ne s 'applique pas) |
| Nouveau FRP ordinaire proposé | (ne s'applique pas) |
| Proposition de modification d'un FRP ordinaire existant | (s'applique) |
| Rémunération et avantages POE 904 | (s'applique) |
| Dossier personnel d'un employé POE 901 | (s'applique) |
| Aucune modification ne doit être apportée au FRP ordinaire existant | (ne s'applique pas) |
Sommaire du projet, de l'initiative ou du changement
Dans le cadre de l'Initiative de transformation de l'administration de la paye (ITAP) du gouvernement du Canada, SPAC a remplacé le Système régional de paye (SRP), vieux de 40 ans, par une solution commerciale et moderne (PeopleSoft). Cette mesure a permis d'assurer la durabilité à long terme des services d'administration de la paye du gouvernement du Canada. Phénix a été lancé puis déployé en plusieurs phases en 2016. Il contient des fonctions Web ainsi que des capacités libre-service pour les employés et les gestionnaires.
Grâce à la fonction de libre-service, les employés ont un accès rapide à leurs renseignements personnels. Ils peuvent également consulter leurs renseignements relatifs à la paye, y compris les états des gains et feuillets de renseignements fiscaux, présenter des demandes d'approbation d'heures supplémentaires, soumettre des demandes de congé non payé de moins de cinq jours, modifier leurs renseignements relatifs au dépôt direct et rajuster certaines retenues volontaires.
De même, dans la plupart des cas, les gestionnaires sont en mesure d'approuver les heures soumises par les employés et les heures supplémentaires sans être obligés de remplir des formulaires papier ou d'utiliser le Système de paye pour services supplémentaires des Applications Web de la rémunération, d'approuver des demandes de congé non payé de moins de cinq jours, ainsi que d'entrer les horaires des employés directement dans la fonction de libre-service de Phénix.
Plus particulièrement, l'un des plus grands changements du système de paye est qu'il est intégré aux 32 systèmes de gestion des ressources humaines (SGRH) déjà utilisés par diverses institutions fédérales. Les transactions de ces systèmes peuvent ainsi être acheminées directement à Phénix, et donc rendre le processus plus harmonieux et efficient.
Afin de s'assurer que l'information transmise est à jour, exacte et complète, diverses mesures de mise en correspondance des données électroniques ont été mises en œuvre avec les systèmes intégrés. SPAC réalise actuellement des essais en vue de renforcer les capacités en matière de mise en correspondance des données avec les institutions utilisant MesRHGC 9.1–PeopleSoft.
Des pistes de vérification ainsi que la gestion des comptes d'utilisateurs de Phénix sont nécessaires pour assurer l'intégrité du système et des données, ainsi que pour appuyer les contrôles du système et la détection de la fraude (par exemple, accès inapproprié aux données personnelles et activités frauduleuses).
La possibilité d'ajouter des fonctions améliorées de gestion de la fraude pour compléter les capacités actuelles en matière de vérification est à l'étude. Ces nouvelles fonctions permettraient à SPAC de générer des rapports de détection de la fraude systématiques et exhaustifs pour tous les utilisateurs opérationnels.
Changements apportés à la collecte, à l'utilisation et à la divulgation des données
Cette EFVP a relevé de nouvelles collectes, utilisations et divulgations de renseignements personnels.
Parmi les nouvelles collectes, notons la date de décès. Des utilisations nouvelles et uniformes ont également été relevées.
Les renseignements biographiques, comme la date de naissance, la date de décès et le sexe, sont utilisés pour identifier les personnes et pour déterminer leur admissibilité aux avantages sociaux.
Le numéro d'assurance sociale (NAS) est utilisé pour identifier les employés aux fins de l'assurance-emploi et de l'imposition. D'autres identificateurs, comme le code d'identification de dossier personnel (CIDP) et le numéro individuel d'organisme (NIO), sont utilisés aux fins de mise en correspondance requise et approuvée des données, d'exactitude et de détermination de l'admissibilité aux prestations de retraite et d'assurance et/ou à d'autres services de tiers (par exemple, syndicats). Le numéro de dossier d'employé dans le SGRH (ID employé) est utilisé comme seul identificateur de l'employé dont les renseignements se trouvent dans le système de RH.
Le CIDP est également utilisé comme principal identificateur pour les traces de vérification. Il permet d'établir qui a apporté des changements dans le système de paye Phénix.
Enfin, de nouvelles divulgations ont également été relevées, notamment les suivantes :
- institutions fédérales, y compris l'institution pour laquelle travaille l'employé, aux fins d'administration de la paye et d'identification
- receveur général, afin de solliciter le versement de la paye
- services des finances ministériels, en ce qui concerne le versement de la paye et des paiements non salariaux aux employés, la gestion des dépenses, la planification et les prévisions salariales
- divers dépôts de données liées aux RH, pour faciliter l'administration du personnel
- divers programmes et dépôts, pour traiter les rajustements salariaux et le revenu imposable connexe
- unités des relations de travail dans les institutions fédérales pour la résolution formelle et informelle de conflits liés au versement de la paye, y compris les congés compensatoires et, avec l'accord de l'employé, représentant syndical
- autres institutions prélevant des retenues à la source pour d'autres services (par exemple, stationnement)
- au besoin, institutions prélevant des retenues associées à des situations d'emploi particulières associées à la santé et à la sécurité au travail ainsi qu'à la réinstallation
- employeur (par exemple, Conseil du Trésor du Canada pour les ministères), dans le but d'appuyer la surveillance des opérations de rémunération et la gestion des cas spéciaux ou l'arbitrage
- au nom des employeurs fédéraux, Agence du revenu du Canada (ARC) et/ou Revenu Québec et Régime de pensions du Canada et régime d'assurance-emploi
- Régime de rentes du Québec
- Société canadienne des postes, pour imprimer et poster les états des gains et les relevés d'impôt
- Bureau du vérificateur général du Canada, aux fins de vérification
- Justice Canada, pour saisir les salaires aux fins de paiement des dettes envers l'État et pour assumer les responsabilités de l'Employeur vertu de la Loi d'aide à l'exécution des ordonnances et des ententes familiales
- unité des assurances de SPAC, à l'interne, pour administrer les avantages sociaux des employés
- Centre des pensions du gouvernement du Canada, aux fins de prestation des régimes de retraite
- syndicats, compagnies d'assurance, coopératives de crédit, en ce qui a trait aux retenues prélevées sur la paye associées à des services particuliers
Section II – Détermination et catégorisation des secteurs de risque
Les tableaux suivants décrivent les catégories de risques connexes en matière de protection de la vie privée et les cotes de risque correspondantes
Le tableau A décrit les risques d'entrave à la vie privée qui sont associés au type de programme ou d'activité décrite dans l'EFVP. Ce tableau présente 4 catégories de risques d'entrave à la vie privée, avec une cote correspondante de 1, 2, 3 et 4. Le tableau A comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
| A : Type de programme ou d'activité | Niveau de risque d'entrave à la vie privée |
|---|---|
| Programme ou activité qui ne nécessite pas la prise d'une décision concernant une personne identifiable | 1 (ne s'applique pas) |
| Administration des programmes, des activités et des services | 2 (s'applique) |
| Enquêtes réglementaires ou de conformité et exécution de la loi | 3 (ne s'applique pas) |
| Enquête criminelle et exécution de la loi – sécurité nationale | 4 (ne s'applique pas) |
Précisions: La fonction de rémunération, offerte par SPAC à titre d'organisme de services communs, utilise Phénix pour administrer la paye et pour s'assurer que les employés sont rémunérés pour le travail accompli.
Le tableau B présente 4 catégories de risques d'entrave à la vie privée liées aux types de renseignements personnels visés et à leur contexte; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau B comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
| B : Type de renseignements personnels visés et contexte | Niveau de risque d'entrave à la vie privée |
|---|---|
| Uniquement les renseignements personnels indépendants de tout contexte, recueillis directement auprès de la personne touchée ou fournis, avec le consentement de celle-ci, pour divulgation, conformément à un programme autorisé. | 1 (ne s'applique pas) |
| Renseignements personnels indépendants de tout contexte après la collecte, fournis par la personne visée qui donne aussi son consentement à l'utilisation des renseignements personnels détenus par une autre source. | 2 (ne s'applique pas) |
| Numéro d'assurance sociale, renseignements médicaux et financiers ou autres renseignements personnels de nature délicate ou dont l'utilisation peut s'avérer délicate dans certains contextes. Renseignements personnels sur des mineurs, des personnes ayant une incapacité ou des renseignements qui mettent en cause un représentant agissant au nom de la personne visée. | 3 (ne s'applique pas) |
| Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou encore le contexte des renseignements personnels qui est de nature particulièrement délicate. | 4 (s'applique) |
Précisions: Des renseignements personnels de nature délicate particuliers, y compris des renseignements biographiques (comme la date de naissance, l'état civil et les coordonnées personnelles), le numéro d'assurance sociale et des renseignements sur l'emploi (par exemple, niveau salarial, jours de présence et d'absence, information bancaire), sont nécessaires pour administrer la paye pour les employés du gouvernement du Canada au nom des employeurs. Bien que certains renseignements contenus dans le profil de paye de l'employé, comme le salaire, les renseignements bancaires et l'état des congés, sont accessibles et peuvent être consultés par un nombre limité d'utilisateurs opérationnels, les renseignements personnels de nature très délicate, comme des données biométriques, des échantillons de substances corporelles, des allégations ou des soupçons ne sont pas recueillis ni associés dans le système de paye Phénix.
Le tableau C présente 4 catégories de risques d'entrave à la vie privée liées aux partenaires participant à la collecte, à l'utilisation ou à la divulgation de renseignements personnels; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau C comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
| C : Participation des partenaires et du secteur privé au programme ou à l'activité | Niveau de risque d'entrave à la vie privée |
|---|---|
| Au sein de SPAC (parmi un ou plusieurs programmes du Ministère) | 1 (s'applique) |
| Avec d'autres institutions fédérales | 2 (s'applique) |
| Avec une autre institution fédérale, provinciale ou municipale ou avec plusieurs institutions | 3 (s'applique) |
| Avec des organisations du secteur privé, des organisations internationales ou des gouvernements étrangers | 4 (s'applique) |
Précisions: SPAC a besoin de renseignements personnels pour fournir des services de paye. La législation prévoit que des renseignements personnels doivent être mis en commun avec Emploi et Développement social Canada (EDSC), comme les cotisations à l'assurance-emploi (AE) et au Régime de pensions du Canada (RPC), et avec l'Agence du revenu du Canada (ARC), comme les données fiscales. Ces dernières sont mises en commun avec le gouvernement du Québec pour les employés qui travaillent ou qui habitent dans cette province. Les renseignements personnels sont également mis en commun avec le Régime de pension de retraite de la fonction publique aux termes de la Loi sur la pension de la fonction publique.
Les fournisseurs de services du secteur privé (par exemple, syndicats, fournisseurs d'assurance, fournisseurs de services de stationnement, Campagne de charité en milieu de travail du gouvernement du Canada [CCMTGC]) ont besoin des renseignements sur les retenues. Dans les cas où un employé a choisi de retenir les services d'une organisation non gouvernementale, comme une coopérative de crédit, l'information pourrait être mise en commun avec l'organisation.
Le tableau D présente 3 catégories de durée du programme ou de l'activité; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2 et 3. Le tableau D comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
| D : Durée du programme ou de l'activité | Niveau de risque d'entrave à la vie privée |
|---|---|
| Programme ou activité ponctuel | 1 (ne s'applique pas) |
| Programme à court terme | 2 (ne s'applique pas) |
| Programme à long terme | 3 (s'applique) |
Précisions: Il s'agit d'un programme à long terme sans date de fin prévue.
Le tableau E présente 4 catégories de personnes touchées par le programme; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau E comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
| E : Personnes visées par le programme | Niveau de risque d'entrave à la vie privée |
|---|---|
| Le programme touche certains employés du gouvernement du Canada à des fins administratives internes. | 1 (ne s'applique pas) |
| Le programme touche tous* les employés à des fins administratives internes. | 2 (s'applique) |
| Le programme touche certaines personnes à des fins administratives externes. | 3 (s'applique) |
| Le programme touche toutes les personnes à des fins administratives externes. | 4 (ne s'applique pas) |
Précisions : Phénix touche directement les employés actuels et anciens de la fonction publique du Canada, y compris la plupart des ministères et organismes fédéraux, ainsi que de quelques employeurs distincts et société d'État.
Le tableau F décrit les risques d'entrave à la vie privée qui sont associés à l'utilisation de la technologie. Il présente 3 questions; la dernière est en 3 parties. Chacune des 3 questions est accompagnée d'une case de réponse « Oui » ou « Non ». Le tableau F comprend également une section narrative pour les 3 parties de la question 3 qui fournissent des détails sur les risques d'entrave à la vie privée. Une réponse affirmative à l'une des questions ci-dessous indique la présence possible de risques et de préoccupations concernant la protection des renseignements personnels qui devront être examines et atténués, au besoin.
| F : Technologie et protection des renseignements personnels | Niveau de risque d'entrave à la vie privée |
|---|---|
| 1. L'activité ou le programme, nouveau ou modifié, comprend-il la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), dont l'objectif est de créer, de recueillir ou de traiter des renseignements personnels dans le but de faciliter l'exécution du programme ou de l'activité? | Oui (s'applique)
Non (ne s'applique pas) |
| 2. L'activité ou le programme, nouveau ou modifié, requiert-il que des modifications soient apportées aux systèmes et aux services de technologie de l'information (TI) en place? (Voir 1 ci-dessus.) | Oui (s'applique) Non (ne s'applique pas) |
| 3. L'activité ou le programme, nouveau ou modifié, comprend-il la mise en œuvre d'une ou de plusieurs des technologies suivantes :
3.1 Méthodes d'identification améliorées |
Oui (ne s'applique pas)
Non (s'applique) |
3.2 Recours à la surveillance |
Oui (s'applique)
Non (ne s'applique pas) |
3.3 Recours à des techniques automatisées d'analyse de renseignements personnels, de mise en correspondance de renseignements personnels et de découverte de connaissances |
Oui (s'applique)
Non (ne s'applique pas) |
Précisions: Phénix est la solution qui remplace le Système régional de paye (SRP), un système vieux de 40 ans qui était utilisé pour administrer la paye et les avantages sociaux de la plupart des fonctionnaires à l'échelle du Canada.
Phénix est un système de TI fondé sur PeopleSoft qui donne aux employés du gouvernement du Canada un accès à leurs dossiers de paye personnels et qui leur permet, lorsque possible, de gérer en libre-service leurs données associées aux avantages sociaux, aux heures supplémentaires et aux renseignements personnels qui sont nécessaires à l'administration de la paye.
La mise en œuvre de Phénix a nécessité l'apport de changements techniques à certains autres systèmes informatiques, comme des systèmes de gestion des ressources humaines (SGRH), afin de permettre ou d'améliorer l'intégration des données.
Des capacités en matière de vérification ainsi que des procédures visant à gérer l'accès des utilisateurs ont été mises en œuvre dans Phénix pour assurer l'intégrité du système et des données. En ce qui concerne la concordance des renseignements personnels, la mise en œuvre de Phénix a donné lieu à de nouvelles mises en correspondance de données. Toutes les mises en correspondance, y compris les nouvelles, visent l'obtention de données exactes, complètes, à jour et corrigées.
Le tableau G décrit les risques d'entrave à la vie privée qui sont associés à la transmission électronique des renseignements personnels. Ce tableau présente quatre catégories de risques d'entrave à la vie privée; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau G comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
| G : Transmission de renseignements personnels | Niveau de risque d'entrave à la vie privée |
|---|---|
| Les renseignements personnels sont utilisés dans un système fermé. | 1 (ne s'applique pas) |
| Les renseignements personnels sont utilisés dans un système qui est relié à au moins un autre système. | 2 (s'applique) |
| Les renseignements personnels sont transférés dans des dispositifs portatifs ou sont imprimés. | 3 (s'applique) |
| Les renseignements personnels sont transmis à l'aide de technologies sans fil. | 4 (s'applique) |
Précisions: La plupart des transmissions de routine se déroulent sur le réseau sécurisé du gouvernement du Canada, y compris au moyen d'un accès à distance sécurisé. D'autres renseignements personnels sont transmis aux organisations externes (syndicats pour les cotisations syndicales, assurance, Campagne de charité en milieu de travail) au moyen de l'environnement et du protocole de transfert sécurisé de fichiers du gouvernement du Canada.
Les renseignements personnels peuvent aussi être mis en commun avec les personnes utilisant des appareils chiffrés portables et sécurisés, et ces renseignements peuvent être imprimés au moyen d'applications de saisie d'écran.
Le tableau H décrit le risque potentiel de répercussions sur la personne ou l'employé dans l'éventualité d'une atteinte à la vie privée. Ce tableau présente quatre catégories de dommages ou de risques d'entrave à la vie privée; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau H comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
| H : Risques potentiels pour la personne ou l'employé dans l'éventualité d'une atteinte à la vie privée | Niveau de risque d'entrave à la vie privée |
|---|---|
| Préjudice à la réputation, aux finances, à la sécurité personnelle ou à d'autres intérêts de l'employé. | 1 (ne s'applique pas) |
| Préjudice grave à la réputation, aux finances, à la sécurité personnelle ou à d'autres intérêts de l'employé. | 2 (s'applique) |
| Préjudice extrêmement grave à la réputation, aux finances, à la sécurité personnelle ou à d'autres intérêts de l'employé. | 3 (ne s'applique pas) |
Précisions: L'information se trouvant dans Phénix peut être utilisée pour causer de graves torts à l'employé, y compris le vol d'identité (personnelle et professionnelle), le vol de biens, un préjudice financier, la mise en péril de relations personnelles et/ou professionnelles et d'autres résultats associés à une grave atteinte à la vie privée.
Le tableau I décrit les risques d'entrave à la vie privée qui sont associés à l'institution qui présente l'EFVP, soit SPAC. Ce tableau présente quatre catégories de dommages et de risques d'entrave à la vie privée; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau I comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
| I : Risques potentiels pour l'institution dans l'éventualité d'une atteinte à la vie privée | Niveau de risque d'entrave à la vie privée |
|---|---|
| Préjudice pour la gestion | 1 (s'applique) |
| Préjudice pour l'organisation | 2 (s'applique) |
| Préjudice financier | 3 (s'applique) |
| Atteinte à la réputation, embarras, perte de crédibilité | 4 (s'applique) |
Précisions: En cas d'atteinte à la vie privée, de nature matérielle ou non, il pourrait y avoir des conséquences à l'échelle du gouvernement du Canada ou pour des institutions à part, et en plus, de SPAC. De telles atteintes à la vie privée pourraient mettre la Couronne dans l'embarras, créer une perte de confiance du public et entraîner des poursuites au civil.
- Date de modification :