Programme de la sécurité industrielle – Transmission d'information sur les enquêtes de sécurité du personnel : Résumé de l'évaluation des facteurs relatifs à la vie privée
Sur cette page
Objectif
La présente évaluation des facteurs relatifs à la vie privée découle d'une proposition visant à modifier considérablement le fichier de renseignements personnels (FRP) Travaux publics et Services gouvernementaux Canada (TPSGC) PCU 015. On désire entre autres ajouter au fichier de renseignements personnels la description complète des usages compatibles des renseignements personnels recueillis dans le cadre du Programme de la sécurité industrielle de la Direction de la sécurité industrielle canadienne. En plus de la transmission de renseignements personnels à la Gendarmerie royale du Canada (GRC), au Service canadien du renseignement de sécurité (SCRS) et aux agences d'évaluation du crédit à des fins de détermination de l'admissibilité d'une personne au programme, les usages compatibles des renseignements personnels comprennent la transmission de certains de ces renseignements (c'est-à-dire de l'information sur les enquêtes de sécurité et sur les attestations de sécurité) à un groupe de personnes autorisées. Parmi ces personnes, on trouve les agents des achats de Travaux publics et Services gouvernementaux Canada, les chargés de projets et les responsables de la sécurité autorisés. À la fonction publique, ces derniers renvoient aux agents de sécurité des ministères et aux agents de sécurité de service tandis que, dans le secteur privé, ils renvoient aux agents de sécurité d'entreprise et aux agents de sécurité d'entreprise suppléants.
L'information sur les enquêtes de sécurité et sur les attestations de sécurité sera divulguée de deux façons : par téléphone et par le Système d'enquête en direct (lorsqu'il aura fait l'objet d'une expansion). Le Système d'enquête en direct est une application Web qu'utilisent actuellement certaines des personnes autorisées pour obtenir l'information dont elles ont besoin sur les enquêtes de sécurité et sur les attestations de sécurité. Grâce à l'expansion, les personnes autorisées qui n'utilisent pas le Système d'enquête en direct pourront y accéder. De plus, une fois l'expansion terminée, les utilisateurs du Système d'enquête en direct pourront obtenir des renseignements auxquels les utilisateurs autorisés n'ont pas accès actuellement.
En outre, le fichier de renseignements personnels modifié comprend une référence à la transmission de renseignements personnels aux responsables du Programme des marchandises contrôlées. Le fichier de renseignements personnels du Programme des marchandises contrôlées, TPSGC PCU 045, contient la même référence.
Description du projet
Le Programme de la sécurité industrielle vise la protection des renseignements classifiés ou protégés ainsi que des biens confiés à l'industrie pour les contrats gérés par Travaux publics et Services gouvernementaux Canada ou par d'autres ministères fédéraux à la demande de ces derniers. À cette fin, les responsables du programme sont notamment chargés de l'évaluation de l'admissibilité d'une personne à une attestation de sécurité requise pour travailler à la fonction publique, pour exécuter des travaux dans le cadre de contrats du gouvernement ou pour répondre à une demande de propositions.
En règle générale, une personne fait une demande d'attestation de sécurité par l'intermédiaire d'un agent de sécurité d'un ministère (un responsable de la sécurité autorisé du gouvernement) ou d'un agent de sécurité d'entreprise (un responsable de la sécurité autorisé du secteur privé). Lorsqu'il signe sa demande, le demandeur autorise la transmission de ses renseignements visant à faciliter l'évaluation de son admissibilité à une attestation de sécurité particulière. Lorsque l'attestation de sécurité sera attribuée au demandeur, c'est l'organisation (ministère ou entreprise du secteur privé) qui a soumis la demande qui en sera « titulaire ».
Afin de remplir son mandat, qui consiste à faciliter l'attribution de marchés publics aux personnes autorisées, la Direction de la sécurité industrielle canadienne a toujours divulgué des renseignements sur le niveau de l'attestation de sécurité d'une personne, et ce, peu importe l'organisation titulaire de l'attestation. Ces renseignements étaient divulgués uniquement à des responsables de la sécurité autorisés, à des agents des achats de Travaux publics et Services gouvernementaux Canada et à des chargés de projets. Sans ces renseignements, ces derniers ne pouvaient pas attribuer de marchés publics ou donner suite aux demandes de propositions.
En octobre 2008, la Direction de la sécurité industrielle canadienne a mis en œuvre une solution à court terme. Selon cette solution, les responsables de la sécurité doivent, pour avoir accès à de l'information sur un tiers, présenter des formulaires d'attestation (stipulant qu'ils utiliseront l'information à bon escient) ainsi que des formulaires de consentement signés par les tiers. Pendant l'examen de cette solution à court terme, on a établi que le FRP PCU 015 de Travaux publics et Services gouvernementaux Canada ne satisfait pas aux normes relatives aux fichiers de renseignements personnels.
En plus de mieux expliquer les renseignements personnels recueillis et leurs usages compatibles, ce projet vise à éliminer la nécessité des formulaires de consentement et à modifier le FRP PCU 015 (mentionné dans tous les formulaires relatifs à la sécurité) afin qu'il indique de façon claire et concise les renseignements personnels recueillis ainsi que comment et pourquoi la direction les utilise.
Ce projet vise essentiellement à ce que l'information sur les enquêtes de sécurité et sur les attestations de sécurité puisse être transmise aux responsables de la sécurité autorisés, aux agents des achats de Travaux publics et Services gouvernementaux Canada et aux chargés de projets qui en font la demande (après vérification de leur identité). L'information serait transmise à ces personnes par l'intermédiaire du centre d'appels de la direction ainsi que de l'expansion du Système d'enquête en direct (une application Web). L'expansion permettra aux utilisateurs de vérifier l'information électroniquement. En plus de faire l'objet d'une expansion, le Système d'enquête en direct comprendra des critères de recherche obligatoires qui empêcheront les utilisateurs d'effectuer des recherches aléatoires à l'aide de données facilement accessibles, telles que le prénom d'une personne.
Effort parallèle
Cela a entraîné la tenue de réunions entre une multitude d'organisations qui ont des fichiers de renseignements personnels connexes relatifs à la sécurité du personnel. Travaux publics et Services gouvernementaux Canada (en particulier la Direction de la sécurité industrielle canadienne), le Secrétariat du Conseil du Trésor (SCT), la GRC et le ministère de la Défense nationale (MDN) ont participé aux réunions, qui ont porté sur les fichiers de renseignements personnels suivants :
- TPSGC FRP PCU 015, Autorisations de sécurité et dossiers de fiabilité pour le personnel de l'industrie privée;
- SCT FRP FRPU 917, Contrôle de sécurité du personnel;
- MDN FRP PPU 834, Dossier d'enquête sur la sécurité et vérification relative à la fiabilité;
- GRC FRP PCU 065, Dossiers de l'habilitation sécuritaire et relative à la fiabilité.
Ces organisations collaborent actuellement à la modification des formulaires d'autorisation de sécurité du Conseil du Trésor (TBS/SCT 330-23 et TBS/SCT 330-60) ainsi qu'à l'harmonisation de la terminologie de leur fichier de renseignements personnels respectif. Par conséquent, le fichier de renseignements personnels modifié pourrait être modifié afin de tenir compte des changements apportés par le Secrétariat du Conseil du Trésor, le ministère de la Défense nationale et la GRC. De plus, des changements pourraient être apportés à l'énoncé concernant la Loi sur la protection des renseignements personnels et à la déclaration de consentement figurant sur les formulaires TBS/SCT 330-23 et TBS/SCT 330-60, qui se trouvent à l'annexe D et E.
Pratiques actuelles
Les responsables de la sécurité autorisés du secteur privé peuvent obtenir de tels renseignements, mais seulement sur les employés de leur organisation ou sur des personnes qui ont signé un formulaire de consentement.
Les personnes autorisées obtiennent ces renseignements en appelant au centre d'appels. Les employés du centre vérifient l'identité des personnes autorisées, s'assurent qu'elles ont obtenu le consentement (si nécessaire) et leur envoient les renseignements du tableau ci-après. Les responsables de la sécurité autorisés doivent fournir le nom et la date de naissance ou le nom et le numéro d'identification personnel de la personne sur laquelle ils désirent se renseigner. Puisque la plupart des personnes ne connaissent pas leur numéro d'identification personnel, l'utilisation des dates de naissance est le seul moyen de différencier les quelque 350 000 personnes qui figurent dans la base de données.
De plus, certains utilisateurs autorisés peuvent obtenir les renseignements au moyen du Système d'enquête en direct. Les mesures de sécurité actuelles permettent aux responsables de la sécurité autorisés du secteur privé d'accéder uniquement aux renseignements sur leurs employés. Les capacités du Système d'enquête en direct sont moins limitées dans le cas des utilisateurs de Travaux publics et Services gouvernementaux Canada. En effet, ces derniers peuvent obtenir le nom de l'organisation titulaire de l'attestation.
Proposition concernant l'explication des renseignements et les valeurs des données
La Direction de la sécurité industrielle canadienne propose de divulguer aux responsables de la sécurité autorisés, aux agents des achats de Travaux publics et Services gouvernementaux Canada et aux chargés de projets, et ce, à propos de toute personne inscrite au Programme de la sécurité industrielle.
Une personne autorisée pourrait obtenir ces renseignements en appelant au centre d'appels (méthode actuelle) ou en utilisant le Système d'enquête en direct. On apporterait des modifications au Système d'enquête en direct afin d'y intégrer les champs et éléments ci-après.
Afin d'éviter que des entreprises fassent des recherches aléatoires sur leurs concurrents, des critères de recherche obligatoires devront être utilisés. Les critères jugés obligatoires seront définis ultérieurement.
Tableau A : Information sur les enquêtes de sécurité et sur les attestations de sécurité divulguée aux personnes autorisées (proposition)
Le tableau présente les renseignements personnels que l'on propose de divulguer aux responsables de la sécurité autorisés, aux agents des achats de Travaux publics et Services gouvernementaux Canada et aux chargés de projets, et ce, à propos de toute personne inscrite au Programme de la sécurité industrielle.
| Champ de données | Explication du champ de données ou valeurs des données |
|---|---|
| Nom | Nom de la personne |
| Date de naissance | Date de naissance de la personne |
| No d'identification personnel | Numéro qui a été attribué à la personne par la Direction de la sécurité industrielle canadienne et qui renvoie à son dossier à la direction |
| Nom de l'organisation titulaire de l'attestation de sécurité |
|
| Niveau de l'attestation de sécurité |
|
| État |
|
| Type |
|
| Date de lancement | Date à laquelle les formulaires ont été envoyés à la Direction de la sécurité industrielle canadienne |
| Date d'achèvement | Date à laquelle la Direction de la sécurité industrielle canadienne a achevé l'évaluation de l'admissibilité |
| Date d'attribution | Date à laquelle l'attestation a été attribuée |
| Date de renouvellement | Date à laquelle l'attestation de sécurité doit être renouvelée |
Tout comme c'est le cas actuellement, il serait interdit de divulguer l'état « refusé ». Bien que la Direction de la sécurité industrielle canadienne confère cet état aux personnes dont la demande a été refusée, elle ne peut pas le divulguer pour des raisons liées à la protection des renseignements personnels. Par conséquent, lorsqu'elle transmet des renseignements sur une personne dont la demande a été refusée, la direction utilise l'état « fermeture ».
Tel qu'il est indiqué dans le tableau, la direction souhaite continuer d'utiliser les mêmes éléments de données tout en pouvant divulguer le nom de l'organisation titulaire de l'attestation de sécurité d'une personne. Grâce à l'ajout de cet élément de données supplémentaire, les entreprises qui répondent aux demandes de propositions du gouvernement pourront connaître le niveau de l'attestation de sécurité d'une personne ainsi que le nom de l'organisation titulaire de l'attestation. De nombreux types d'entreprises ont besoin de ces données pour répondre aux demandes de propositions et pour proposer du personnel pour des processus contractuels ouverts. De plus, grâce à ces données, le gouvernement du Canada s'assure que les contrats comportant des exigences en matière de sécurité sont attribués à des personnes et à des entreprises détenant les attestations de sécurité requises. En outre, dans les domaines où les contrats visent à la fois le travail d'un entrepreneur principal et de multiples sous-traitants, il est important que l'entrepreneur principal puisse vérifier le niveau de l'attestation de sécurité des sous-traitants.
Élimination des formulaires de consentement
Par l'intermédiaire de la présente évaluation des facteurs relatifs à la vie privée et de l'effort parallèle visant à modifier les formulaires du Conseil du Trésor et les fichiers de renseignements personnels de Travaux publics et Services gouvernementaux Canada, du Secrétariat du Conseil du Trésor, de la GRC et du ministère de la Défense nationale, la Direction de la sécurité industrielle canadienne souhaite éliminer la nécessité des formulaires de consentement qui sont utilisés depuis le 21 octobre 2008.
Détermination des risques liés à la protection des renseignements personnels
Dans le cadre de la présente évaluation des facteurs relatifs à la vie privée, on a cerné plusieurs risques liés à la protection des renseignements personnels. En fait, ces risques ont poussé la direction de la Direction de la sécurité industrielle canadienne à mettre fin aux pratiques actuelles du Programme de la sécurité industrielle, lesquelles étaient en vigueur depuis longtemps. Les risques ci-après ont été cernés et examinés pendant la modification du fichier de renseignements personnels et la réalisation de l'évaluation des facteurs relatifs à la vie privée.
- Dans la description du fichier de renseignements personnels actuel, on indique qu'il contient des numéros d'assurance sociale (NAS). Dans le passé, les NAS étaient requis pour obtenir un rapport de solvabilité. Depuis la création du fichier de renseignements personnels, il n'est plus nécessaire de détenir le NAS d'une personne pour obtenir un rapport de solvabilité sur cette dernière. Par conséquent, on n'indique plus, dans la description du fichier de renseignements personnels modifié qui se trouve à l'annexe C, qu'il renferme des NAS. Tous les NAS recueillis dans le passé ont été purgés de la base de données de la direction.
- Le fichier de renseignements personnels actuel ne fait pas état de tous les types de renseignements recueillis par la direction. Le fichier de renseignements personnels modifié comprend une liste complète, par catégories, des types de renseignements pouvant être recueillis par la direction.
- Le fichier de renseignements personnels actuel n'indique pas que des sources autres que Travaux publics et Services gouvernementaux Canada peuvent être utilisées pour recueillir des renseignements personnels. Depuis toujours, un responsable de la sécurité autorisé peut recueillir, au nom du gouvernement du Canada, les renseignements personnels de personnes qui ont donné leur consentement et fournir ces renseignements à la direction. Le fichier de renseignements personnels modifié fait état de la procédure de collecte par des sources autres que le ministère.
- Dans la description du fichier de renseignements personnels actuel, il est inscrit personnel de l'industrie canadienne sous « Catégorie de personnes ». Cette expression n'englobe pas toutes les catégories de personnes sur lesquelles la direction recueille des renseignements. Le fichier de renseignements personnels modifié comprend la liste complète de toutes les catégories de personnes.
- Le but du fichier de renseignements personnels actuel n'est pas assez explicite. Le fichier de renseignements personnels modifié qui se comprend une description plus complète du but et indique que la Loi sur la gestion des finances publiques et la politique sur la sécurité du gouvernement donnent à Travaux publics et Services gouvernementaux Canada les pouvoirs de recueillir et de partager des renseignements.
- Dans le fichier de renseignements personnels actuel, à la rubrique relative à usage compatible, on a inscrit « aucune ». Il s'agit du problème le plus flagrant. Dans le fichier de renseignements personnels modifié, les usages compatibles des renseignements recueillis sont expliqués de façon concise et détaillée. On y indique que les renseignements recueillis servent à appuyer les décisions prises par le personnel de la direction concernant l'admissibilité d'une personne au Programme de la sécurité industrielle. On y indique également cinq secteurs de transmission de renseignements particuliers : la GRC, le SCRS et les bureaux de crédit pour les vérifications exigées ainsi que le Programme des marchandises contrôlées de Travaux publics et Services gouvernementaux Canada et la divulgation de certains renseignements personnels à des personnes autorisées aux fins de satisfaction d'exigences relatives au personnel définies dans les marchés publics. La transmission de renseignements personnels sera effectuée conformément à l'alinéa 8(2)(a) de la Loi sur la protection des renseignements personnels. Cet élément est le plus important du fichier de renseignements personnels modifié et la raison d'être de l'évaluation des facteurs relatifs à la vie privée. Il permettra à la direction de divulguer le niveau de l'attestation de sécurité d'une personne, ce qui aidera le gouvernement du Canada à attribuer des contrats. Il permettra aussi aux responsables de la sécurité du secteur privé d'obtenir des renseignements sur les attestations de sécurité du personnel et des entreprises, et ce, en vue de répondre aux demandes de propositions du gouvernement et à ses besoins en matière de biens immobiliers.
- En ce qui concerne la conservation et la destruction des renseignements, l'explication du fichier de renseignements personnels actuel n'est pas complète. Dans le fichier de renseignements personnels modifié, on indique que, selon les normes de conservation, les renseignements sont conservés pendant deux ans après la dernière utilisation à des fins administratives. Puisque certaines attestations sont valides pendant dix ans, le calendrier de conservation repose sur l'expression à des fins administratives. Cette dernière englobe la cessation d'emploi, la fin d'un contrat ainsi que l'annulation ou l'échéance de l'attestation de sécurité. De plus, les normes de destruction ont été définies de façon adéquate. En effet, les documents seront envoyés à Bibliothèque et Archives Canada aux fins de destruction, à l'exception des copies de formulaires conservées par les entreprises du secteur privé. Ces dernières s'occupent elles-mêmes de la destruction de leurs documents. La destruction des dossiers conservés par le secteur privé doit s'effectuer conformément à la section 511 du Manuel de la sécurité industrielle.
- Le personnel de la direction devra communiquer avec les quelque 350 000 personnes qui ont signé les versions actuelles des formulaires TBS/SCT 330-23 et TBS/SCT 330-60. Des représentants de Travaux publics et Services gouvernementaux Canada et du Commissariat à la protection de la vie privée du Canada discutent actuellement afin de déterminer toute méthode de notification requise. Lors de discussions préliminaires, ils ont déterminé une solution probable : aviser les agents de sécurité d'entreprise qui, à leur tour, aviseront leurs employés de la modification des formulaires du Secrétariat du Conseil du Trésor et du fichier de renseignements personnels. La direction s'attend à ce que les agents de sécurité d'entreprise, en tant que responsables de la sécurité pour le Programme de la sécurité industrielle, accomplissent une multitude de tâches, dont aviser leurs employés des changements. De plus, cette solution est la plus efficace pour garantir que les 350 000 personnes sont avisées des modifications aux formulaires du Secrétariat du Conseil du Trésor et au fichier de renseignements personnels. En outre, la direction mettra un communiqué bien en vue sur son site Web afin d'aviser le plus grand nombre de gens possible. L'ébauche de ce communiqué se trouve à l'annexe G. Une fois les formulaires de vérification de sécurité du personnel (TBS/SCT 330-23 et TBS/SCT 330-60) modifiés par le Secrétariat du Conseil du Trésor, cette ébauche pourrait être revue, en tout ou en partie.
En conclusion, les risques liés à la protection des renseignements personnels inhérents au fichier de renseignements personnels actuel et à la procédure opérationnelle connexe de la direction sont pris en compte grâce à la présente évaluation des facteurs relatifs à la vie privée et au fichier de renseignements personnels modifié. De plus, on assurera une communication adéquate avec les personnes concernées.
- Date de modification :