Mes Ressources humaines du gouvernement du Canada : Sommaire de l'évaluation des facteurs relatifs à la vie privée
Sur cette page
Section I : Aperçu et introduction de l'évaluation des facteurs relatifs à la vie privée
Institution gouvernementale
Services publics et Approvisionnement Canada (SPAC), Direction générale des ressources humaines (DGRH).
Administrateur gouvernemental responsable de l'évaluation des facteurs relatifs à la vie privée
Manon Rochon, Sous-ministre adjointe, Direction générale des ressources humaines.
Responsable de l'institution gouvernementale et déléguée aux termes de l'article 10 de la Loi sur la protection des renseignements personnels
Marie Lemay, Sous-ministre.
Annie Plouffe, Directrice, Accès à l'information et protection des renseignements personnels.
Administration de la paye et des pensions fédérales
Cette activité de programme permet d'offrir aux autres organisations fédérales des systèmes et des processus centraux fiables pour l'administration de la paye et des pensions. Les services d'administration de la paye et des pensions permettent à SPAC de s'assurer que les employés et les pensionnés du gouvernement fédéral reçoivent en temps opportun et sans erreur les montants qui leur sont dus.
Paye
Ce sous-programme vise à administrer les processus relatifs à la paye et aux avantages sociaux de la fonction publique fédérale et d'autres organisations, conformément aux conventions collectives, aux politiques sur la rémunération en vigueur et au protocole d'entente. Les activités d'administration de la paye et des avantages sociaux comprennent la mise en place et la prestation de services, l'établissement et l'exécution de processus et de systèmes, la communication de renseignements, de formations et de conseils aux conseillers en rémunération des ministères. SPAC fournit également tous les services de rémunération pour la majorité des ministères qui utilisent le système des ressources humaines (RH) agréé par le gouvernement (PeopleSoft).
Nom et description du programme ou de l'activité : Services internes (sous—programme : Services de gestion des ressources humaines)
Les services internes constituent des groupes d'activités et de ressources connexes qui sont gérés de façon à répondre aux besoins des programmes et des autres obligations générales d'une organisation. Ces groupes sont les suivants : services de gestion et de surveillance, services des communications, services juridiques, services de gestion des ressources humaines, services de gestion des finances, services de gestion de l'information, services des technologies de l'information (TI), services de gestion des biens, services de gestion du matériel, services de gestion des acquisitions et services de voyage et autres services administratifs. Les services internes comprennent uniquement les activités et les ressources destinées à l'ensemble d'une organisation et non celles fournies à un programme particulier.
Services administratifs du gouvernement du Canada
Ce sous-programme est une initiative horizontale axée sur la fourniture de services généraux de soutien administratif et de gestion des RH selon le principe du recouvrement des coûts qui vise à permettre la réalisation de gains d'efficience pour les organisations clientes fédérales. Non seulement les services administratifs du gouvernement du Canada permettent-ils de réduire le nombre de systèmes d'arrière-plan au sein du gouvernement, mais ils assurent également l'achat, la création, la modification et le maintien de versions de produits communs dans l'ensemble du gouvernement du Canada (GC). La mise en commun des services élimine les chevauchements au sein de divers ministères et organismes et permet à ces derniers de concentrer leurs ressources sur des programmes clés.
Description de la catégorie de documents associée au programme ou à l'activité
Il existe de nombreux sous-programmes et catégories de documents (CDD) dans le cadre du programme « Services internes ». Seules les CDD pertinentes à Service Desk Plus (SD+) sont définies ci-dessous.
- Classification des postes (numéro de programme [NDP] 919)
- Recrutement et dotation (NDP 920)
- Planification des ressources humaines (NDP 949)
- Rémunération et avantages sociaux (NDP 941)
- Équité en matière d'emploi et diversité (NDP 942)
- Administration de la paye (Travaux publics et Services gouvernementaux Canada Comptabilité, gestion bancaire et rémunération [TPSGC CGBR] 090)
- Fonds publics et gestion bancaire (TPSGC CGBR 140)
- Administration des pensions fédérales (TPSGC CGBR 075)
- MesRHGC (TPSGC, Direction générale des services intégrés [DGSI] 120)
- Intégration des services partagés (TPSGC DGSI 110)
Description du fichier de renseignements personnels
Aucune modification nécessaire au fichier de renseignements personnels (FRP) existant.
Plusieurs FRP sont liés à des fonctions de RH et à SD+. Le FRP qui s'applique dans SD+ dépend de la demande de service (DS) ou du flux de travail présenté. Pour la plupart des DS, un des 8 FRP suivants s'applique. Cependant certains FRP propres à SPAC s'appliquent également à des activités ou à des formulaires précis qui sont présentés à titre de pièces jointes à un flux de travail ou une DS de SD+. De plus, un FRP de l'Agence du revenu du Canada (ARC) s'applique et est indiqué dans le formulaire de paye TD1 présenté par les nouveaux employés.
Fichier de renseignements personnels ordinaires
- Dotation (Fichier de renseignements ordinaire de l'employé [POE] 902)
- Planification des ressources humaines (fichier de renseignements ordinaire du grand public [POU] 935)
- Dossier personnel d'un employé (POE 901)
- Demandes d'emploi (POU 911)
- Rémunération et avantages (POE 904)
- Équité en emploi et diversité (POE 918)
- Présences et congés (POE 903)
- Langues officielles (POE 906)
Fichier de renseignements personnels ordinaires propres à Services publics et Approvisionnement Canada
- Système de rémunération de la fonction publique (TPSGC, fichier central de l'employé [PCE] 705)
- Paiements du receveur général (TPSGC, fichier public central [PCU] 712)
- Administration des pensions (TPSGC PCU 702)
- Fichier central (TPSGC CGBR 271)
Fichier de renseignements personnels propres aux autres ministères
Observation par les employeurs (ARC, banque publique [PPU] 120).
Fondement juridique du programme ou de l'activité
L'autorité générale des RH de SPAC est déléguée au sous-ministre adjoint des RH du Conseil du Trésor en vertu de la Loi sur la gestion des finances publiques (LGFP).
Sommaire du projet, de l'initiative ou du changement
SPAC avait besoin d'une approche efficiente et simplifiée pour la gestion des demandes liées aux RH provenant des employés et des secteurs d'activité du ministère. SPAC a décidé de tirer profit de l'installation existante de SD+ pour les RH afin d'appuyer plus que son centre d'appels interne des RH. Plus spécifiquement, des licences de logiciel supplémentaires ont été achetées pour être utilisées par ses professionnels des RH partout dans le pays et pour étendre le type d'information recueillie et stockée dans SD+, de manière à en faire un point de départ pour les demandes générales, ainsi que pour plus de 30 activités de RH, comme la dotation, le congé non payé (CNP), la classification, l'évaluation linguistique et d'autres.
Cette évaluation des facteurs relatifs à la vie privée (EFVP) a été entreprise pour évaluer l'utilisation étendue de SD+ par les RH de SPAC, qui devrait être déployé au moyen d'une approche progressive à partir de l'automne 2018. Une version subséquente de SD+, prévue pour mars 2019, comprendra une fonctionnalité soutenant les demandes de classification et d'évaluation linguistique.
SD+ est un logiciel de gestion du bureau de service des TI pour la réception, le suivi et la résolution des incidents et des billets des TI soumis par les employés. En fait, le produit est utilisé par le bureau de service des TI de SPAC, la Direction générale des RH et l'équipe des Systèmes d'affaires et nouvelles initiatives depuis décembre 2014 pour suivre tous les incidents soumis par les employés de SPAC en ce qui a trait à « Mes Ressources humaines du gouvernement du Canada » (MesRHGC). De plus, une installation séparée du logiciel soutient la réception des incidents ou des questions reçues par le centre d'appel des RH de SPAC (appelé Ma RessourceRH à l'interne), lancé en mars 2019 (étape 1).
L'utilisation de SD+ aux fins de RH est limitée aux RH de SPAC et n'est pas prévue ou envisagée comme solution pangouvernementale.
Section II : Détermination et catégorisation des secteurs de risque
Les tableaux suivants décrivent les risques d'entrave à la vie privée qui sont associés au type de programme ou d'activité.
Le tableau A : Risques d'entrave à la vie privée qui sont associés aux types de programmes ou d'activités présente 4 catégories de risques d'entrave à la vie privée, avec une cote correspondante de 1, 2, 3 et 4. Le tableau A comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
Information complémentaire concernant ce tableau : Les renseignements personnels stockés dans SD+ sont utilisés pour faciliter les décisions liées à la dotation de postes, à la rémunération, à la planification et à d'autres facettes des ressources humaines.
| A : Type de programme ou d'activité | Niveau de risque pour la vie privée |
|---|---|
| Programme ou activité qui n'exige pas une décision concernant une personne identifiable | 1 (ne s'applique pas) |
| Administration des programmes ou activités et services | 2 (s'applique) |
| Conformité ou enquêtes réglementaires et application de la loi | 3 (ne s'applique pas) |
| Enquête criminelle et exécution de la loi – sécurité nationale | 4 (ne s'applique pas) |
Le tableau B : Risques d'entrave à la vie privée liés aux types de renseignements personnels recueillis et à leur contexte présente 4 catégories de risques d'entrave à la vie privée liées aux types de renseignements personnels visés et à leur contexte; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau B comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
Informations complémentaires concernant ce tableau : Les renseignements sont recueillis auprès des personnes pour remplir différents formulaires de RH. Les renseignements sont transmis et stockés dans SD+. Dans certains cas, le numéro d'assurance social, les renseignements bancaires pour le dépôt direct de la paye et les renseignements médicaux peuvent être recueillis et stockés dans le système. Tous ces ensembles de données sont fournis par la personne pour être directement saisies ou saisies par le gestionnaire responsable de l'embauche ou l'agent d'administration.
| B : Types de renseignements personnels recueillis et contexte | Niveau de risque pour la vie privée |
|---|---|
| Uniquement les renseignements personnels indépendants de tout contexte, recueillis directement auprès de la personne touchée ou fournis, avec le consentement de celle-ci, pour divulgation, conformément à un programme autorisé. | 1 (s'applique) |
| Les renseignements personnels, sans que le contexte d'utilisation après la collecte soit de nature délicate, fournis par l'individu concerné qui donne aussi son consentement à l'utilisation des renseignements détenus par une autre source. | 2 (ne s'applique pas) |
| Le numéro d'assurance sociale (NAS), les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou dont le contexte est de nature délicate. Les renseignements personnels concernant des mineurs ou des personnes inaptes, ou mettant en cause un représentant agissant au nom de l'individu concerné. | 3 (s'applique) |
| Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou encore le contexte des renseignements personnels qui est de nature particulièrement délicate. | 4 (ne s'applique pas) |
Le tableau C : Risques d'entrave à la vie privée liés aux partenaires participant à la collecte, à l'utilisation ou à la divulgation de renseignements personnels présente 4 catégories de risques d'entrave à la vie privée liées aux partenaires participant à la collecte, à l'utilisation ou à la divulgation de renseignements personnels; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau C comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
Informations complémentaires concernant ce tableau : SD+ est exclusivement utilisé par les employés de SPAC. Le fournisseur du logiciel fournit des services de soutien par sa société affiliée ManageEngine située en Inde. Il y a un risque que le personnel de SPAC envoie aux services de soutien des captures d'écran sur les difficultés qui contiennent des renseignements personnels. Cependant, une approche d'approbation à deux étapes a été établie à l'intérieur de la Direction générale des services numériques « DGSN » (anciennement la Direction du dirigeant principal de l'information (DDPI) pour atténuer ce risque.
| C : Participation des partenaires et du secteur privé au programme ou à l'activité | Niveau de risque pour la vie privée |
|---|---|
| Au sein de SPAC (parmi un ou plusieurs programmes du Ministère) | 1 (s'applique) |
| Avec d'autres institutions fédérales | 2 (ne s'applique pas) |
| Avec d'autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et/ou d'administrations municipales | 3 (ne s'applique pas) |
| Organisations du secteur privé, organisations internationales ou gouvernements étrangers | 4 (s'applique) |
Le tableau D : Risques d'entrave à la vie privée selon les catégories de durée du programme ou de l'activité présente 3 catégories de durée du programme ou de l'activité; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2 et 3. Le tableau D comprend aussi une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
Information complémentaire concernant ce tableau : Les RH représentent un programme permanent et l'utilisation de SD+ pour les soutenir est prévue à long terme.
| D : Durée du programme ou de l'activité | Niveau de risque pour la vie privée |
|---|---|
| Activité ou programme ponctuel | 1 (ne s'applique pas) |
| Programme à court terme (de 1 à 5 ans) | 2 (ne s'applique pas) |
| Programme à long terme (plus de 5 ans ou permanent) | 3 (s'applique) |
Le tableau E : Risques d'entrave à la vie privée liés aux catégories de personnes touchées par le programme présente 4 catégories de personnes touchées par le programme; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau E comprend aussi une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
Information complémentaire concernant ce tableau : SD+ est un outil interne offert seulement aux employés de SPAC.
| E : Personnes concernées par le programme | Niveau de risque pour la vie privée |
|---|---|
| Le programme touche certains employés à des fins administratives internes. | 1 (ne s'applique pas) |
| Le programme touche tous les employés à des fins administratives internes. | 2 (s'applique) |
| Le programme touche certaines personnes à des fins administratives externes. | 3 (ne s'applique pas) |
| Le programme touche toutes les personnes à des fins administratives externes. | 4 (ne s'applique pas) |
Le tableau F : Risques d'entrave à la vie privée associés à l'utilisation de la technologie décrit les risques d'entrave à la vie privée qui sont associés à l'utilisation de la technologie. Il présente 3 questions; la dernière étant en 3 parties. Chacune des 3 questions est accompagnée d'une case de réponse « Oui » ou « Non ». Le tableau F comprend également une section narrative pour les 3 parties de la question 3 qui fournissent des détails sur les risques d'entrave à la vie privée.
Information complémentaire concernant ce tableau : Une réponse affirmative à l'une des questions ci-dessous indique la présence possible de risques et de préoccupations concernant la protection des renseignements personnels qui devront être examinés et atténués, au besoin.
| F : Technologie et vie privée | Oui ou Non |
|---|---|
| 1. L'activité ou le programme, nouveau ou modifié, comprend-il la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), dont l'objectif est de créer, de recueillir ou de traiter des renseignements personnels dans le but de faciliter l'exécution du programme ou de l'activité? | Non |
| 2. L'activité ou le programme, nouveau ou modifié, requiert-il que des modifications soient apportées aux systèmes et aux services des TI en place, telles que confirmées par le DGSN (anciennement DDPI) de SPAC? | Non |
| 3. L'activité ou le programme, nouveau ou modifié, comprend-il la mise en œuvre d'une ou de plusieurs des technologies suivantes : | s/o |
| 3.1 Méthodes d'identification améliorées (s/o). | Non |
| 3.2 Recours à la surveillance
Note : Les registres d'audit de SD+ sont conservés et surveillés (un processus sera élaboré) et peuvent être accédés, au besoin. Les registres d'audit pourraient être perçus comme une source d'information sur les renseignements personnels accédés en cas d'incidence liée à la vie privée. |
Oui |
3.3 Recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances (s/o). |
Non |
Le tableau G : Risques d'entrave à la vie privée associés à la transmission électronique de renseignements personnels décrit les risques d'entrave à la vie privée qui sont associés à la transmission électronique des renseignements personnels. Ce tableau présente 4 catégories de risques d'entrave à la vie privée, il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau G comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
Informations complémentaires concernant ce tableau : SD+ est un système fermé offert seulement aux employés de SPAC. Les renseignements recueillis par SD+ peuvent également devoir être saisis dans MesRHGC et GCdocs (le système de gestion électronique des documents et des dossiers (SGEDD) reconnu par le GC). Les renseignements et les rapports peuvent être imprimés. Le logiciel est accessible par des technologies sans fil, mais un réseau privé virtuel (RPV) est nécessaire et est limité aux employés de SPAC.
| G : Transmission des renseignements personnels | Niveau de risque pour la vie privée |
|---|---|
| Les renseignements personnels sont utilisés dans un système fermé. | 1 (s'applique) |
| Les renseignements personnels sont utilisés dans un système qui est relié à au moins un autre système. | 2 (s'applique) |
| Les renseignements personnels sont transférés dans des dispositifs portatifs ou sont imprimés. | 3 (s'applique) |
| Les renseignements personnels sont transmis à l'aide de technologies sans fil. | 4 (s'applique) |
Le tableau H : Risque potentiel de répercussions sur la personne ou l'employé dans l'éventualité d'une atteinte à la vie privée décrit le risque de répercussions sur la personne ou l'employé dans l'éventualité d'une atteinte à la vie privée. Ce tableau présente 4 catégories de dommages ou de risques d'entrave à la vie privée; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau H comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
Informations complémentaires concernant ce tableau : Pour certains renseignements stockés dans SD+, une violation n'aurait aucune incidence sur la personne ou l'employé, car les champs de données dans SD+ sont des renseignements à propos du nom, du poste, de l'adresse de travail de l'employé et d'autres renseignements disponibles au public ou assujettis à l'alinéa 3(j) de la Loi sur la protection des renseignements personnels. Cependant, tous les champs de données ne correspondent pas à cette catégorisation. Par ailleurs, les pièces jointes et les documents stockés dans SD+ posent un risque accru à l'échelle de trois des quatre éléments indiqués dans le tableau (inconvénient; atteinte à la réputation, embarras; préjudice financier et préjudice physique). Plus précisément, le NAS et les renseignements de dépôt direct pourraient être utilisés pour encourager le vol d'identité.
| H : Répercussions éventuelles en matière de risques pour la personne ou l'employé en cas de violation de la vie privée | Niveau de risque pour la vie privée |
|---|---|
| Inconvénient | 1 (s'applique) |
| Atteinte à la réputation, embarras | 2 (s'applique) |
| Préjudice financier | 3 (s'applique) |
| Préjudice physique | 4 (ne s'applique pas) |
Le tableau I : Risques d'entrave à la vie privée associés à l'institution qui présente l'évaluation des facteurs relatifs à la vie privée décrit les risques d'entrave à la vie privée qui sont associés à l'institution qui présente l'EFVP, soit SPAC. Ce tableau présente 4 catégories de dommages et de risques d'entrave à la vie privée; il comprend également une note correspondant aux risques d'entrave à la vie privée de 1, 2, 3 et 4. Le tableau I comprend également une section narrative fournissant une description sommaire qui explique et justifie le niveau de risque déterminé.
Informations complémentaires concernant ce tableau : En cas de violation de la vie privée concernant des renseignements personnels, l'atteinte possible à la réputation et à la crédibilité pour SPAC pourrait être importante. Bien qu'un minimum de renseignements financiers ait été recueilli dans SD+, il pourrait y avoir un préjudice financier pour la personne en cas de violation concernant les renseignements bancaires ou les renseignements de dépôt direct et un préjudice financier conséquent pour SPAC en raison de poursuites judiciaires.
| I : Répercussions éventuelles en matière de risques pour l'institution en cas de violation de la vie privée | Niveau de risque pour la vie privée |
|---|---|
| Répercussions négatives au niveau de la gestion Par exemple : revoir les processus, utiliser d'autres outils, changer de fournisseur ou de partenaire |
1 (s'applique) |
| Répercussions négatives au niveau organisationnel Par exemple : modifier la structure organisationnelle, la structure de prise de décision de l'organisation, la distribution des responsabilités et des obligations de rendre compte ainsi que l'architecture des activités de programme et il faut gérer le départ d'employés et procéder à la réaffectation des ressources humaines |
2 (s'applique) |
| Préjudice financier Par exemple : poursuites, sommes supplémentaires requises, réaffectation de ressources financières |
3 (s'applique) |
| Tort à la réputation, embarras, perte de crédibilité Par exemple : diminution de la confiance du public, fonctionnaires élus sous les projecteurs, résultats stratégiques de l'institution compromis, priorités gouvernementales compromises, répercussions sur les secteurs de résultats du gouvernement du Canada |
4 (s'applique) |
- Date de modification :