Stratégie de renforcement de la sécurité de la Direction des marchandises contrôlées : Résumé de l'évaluation des facteurs relatifs à la vie privée

Sur cette page

Section I : Aperçu et tenue de l'évaluation des facteurs relatifs à la vie privée

Institution fédérale

Travaux publics et Services gouvernementaux Canada

Responsable de l'évaluation des facteurs relatifs à la vie privée

Simona Wambera, Directrice, Programme des marchandises contrôlées

Délégué pour l'article 10 de la Loi sur la protection des renseignements personnels

Rachelle Delage, Gestionnaire par intérim, Accès à l'information et la protection des renseignements personnels

Nom du programme ou de l'activité de l'institution fédérale

Stratégie de renforcement de la sécurité du Programme des marchandises contrôlées

Description du programme ou de l'activité

Programmes et services spécialisés

Cette activité de programme offre aux organisations fédérales des services et des programmes spécialisés, accessibles, pertinents et de grande qualité destinés à favoriser l'efficacité, la prudence et l'éthique dans la gestion et les opérations.

Programme de la sécurité industrielle

Cette sous-activité de programme appuie les obligations du gouvernement relatives à la protection des renseignements confidentiels et classifiés confiés au secteur privé dans le cadre de contrats publics adjugés par Travaux publics et Services gouvernementaux Canada et vise à assurer la protection contre la possession, l'examen ou le transfert non autorisé de marchandises contrôlées au Canada. Ce programme est le principal fournisseur du gouvernement au chapitre de la sécurité des contrats et des activités touchant les marchandises contrôlées. Il appuie également l'essor économique du Canada en veillant à la sécurité des contrats du gouvernement et en permettant à l'industrie canadienne d'avoir accès à des occasions classifiées et confidentielles au Canada et à l'étranger.

Description de la catégorie de documents liée au programme ou à l'activité

Description : Renseignements sur toutes les personnes inscrites ou exemptées de l'inscription (comme les visiteurs et les travailleurs temporaires) qui examinent, possèdent ou transfèrent des marchandises contrôlées au Canada. Les renseignements personnels peuvent comprendre le nom, les coordonnées, un autre numéro d'identification (comme un numéro d'inscription), des renseignements biographiques, la date de naissance, le sexe, des renseignements sur les antécédents criminels, les empreintes digitales fournies par la Gendarmerie royale du Canada (GRC), des renseignements sur le type d'entreprise, la date d'expiration et la certification.

Types de documents : Ententes et échanges (renseignements échangés entre Travaux publics et Services gouvernementaux Canada et d'autres organismes gouvernementaux), inscriptions (y compris les renouvellements et les modifications), évaluations ou contrôles de sécurité, demandes d'exemption et consentements à l'utilisation des autorisations de sécurité du gouvernement du Canada.

Numéro de la catégorie de documents : Travaux publics et Services gouvernementaux Canada Direction des conseils, de l'information et des services partagés 455

Nota : Une nouvelle catégorie de documents est en instance d'examen et d'approbation (TPSGC DGCISP 455).

Nota : Une catégorie de documents sera examinée, étant donné que le Secteur de la sécurité industrielle a été transféré de la Direction générale des conseils, de l'information et des services partagés à la Direction générale de la surveillance le 15 août 2011.

Le Secrétariat du Conseil du Trésor a approuvé récemment des modifications de la FRP TPSGC Fichier spécifique (Grand public) (PPU) 045 et les renseignements suivants paraîtront dans Info Source 2011 :

Programme des marchandises contrôlées

Description : En vertu de la Loi sur la production de défense (LPD) et du Règlement sur les marchandises contrôlées (RMC), le programme est chargé de faire une évaluation de sécurité de la mesure dans laquelle la personne entraîne un risque de transfert de marchandises contrôlées à une personne qui n'est pas inscrite au Programme ou qui est exemptée de l'inscription au Programme.

La banque comprend des renseignements descriptifs sur toutes les personnes qui font une demande d'inscription, de modification ou d'exemption, qui sont inscrites ou exemptées, dont l'inscription a été rejetée, suspendue ou révoquée et qui examinent, possèdent ou transfèrent des marchandises contrôlées au Canada.

Les renseignements personnels peuvent comprendre le nom, les coordonnées, le numéro de téléphone, des renseignements biographiques, des données biométriques (empreintes digitales), le lieu et la date de naissance, la citoyenneté, des renseignements sur les antécédents criminels, les études, les voyages et les emplois actuel et antérieurs.

Catégories de personnes : Les personnes qui font des affaires au Canada au sens de l'article 2 du RMC, qui font une demande d'inscription ou d'exemption afin de pouvoir examiner, posséder ou transférer légalement des marchandises contrôlées au Canada (article 37 de la Loi sur la production de défense). Ces personnes peuvent comprendre des propriétaires uniques ou partiaires, des administrateurs, des dirigeants et des représentants désignés d'entreprises, au sens de l'alinéa 10d) du RMC, ainsi que des visiteurs et des travailleurs temporaires définis à l'article 1 aux fins d'une exemption en vertu de l'article 17.

But : Avant de pouvoir examiner, posséder ou transférer des marchandises contrôlées au Canada, les personnes doivent faire l'objet d'une évaluation du risque relatif à la sécurité et être inscrites ou exemptées de l'inscription en vertu de la Loi sur la production de défense et du Règlement sur les marchandises contrôlées (RMC).

À la lumière des renseignements personnels reçus du demandeur, le risque de transfert de marchandises contrôlées, par le demandeur, à une personne non inscrite ou exemptée de l'inscription est évalué, et l'inscription, ou l'exemption, est accordée ou rejetée. Les renseignements sont également examinés en fonction d'une évaluation de sécurité visant à rejeter, suspendre, modifier ou révoquer l'inscription ou l'exemption actuelle. Le nom et les coordonnées peuvent être utilisés ou communiqués à des fins de correspondance avec les demandeurs ou de validation d'une recherche dans le site Web du Programme des marchandises contrôlées.

Usages compatibles : Le Programme des marchandises contrôlées peut échanger des renseignements avec d'autres institutions fédérales afin de faciliter l'évaluation du risque relatif à des personnes qui désirent s'inscrire au programme ou transférer des marchandises contrôlées à des personnes non inscrites ou exemptées. Comme l'application de la Loi sur la production de défense relève au premier chef du ministère de la Défense nationale (MDN), le Programme des marchandises contrôlées peut échanger des renseignements personnels décrits dans la FRP connexe MDN Fichier spécifique (Employés) (PPE) 835 de ce ministère.

Afin de vérifier si les personnes et les entreprises qu'elles représentent possèdent les permis d'importation et d'exportation exigés et les autorisations indiquées dans la Liste des marchandises d'exportation contrôlée du ministère des Affaires étrangères et du Commerce international (MAECI) servant à établir la liste des marchandises contrôlées, certaines données sont échangées avec le MAECI.

Afin de valider et d'évaluer le risque de transferts illégaux par des importateurs et des exportateurs et de valider le risque de transfert illégal de marchandises contrôlées par des visiteurs étrangers et des travailleurs temporaires, des données peuvent être échangées avec la FRP Agence des services frontaliers du Canada (ASFC) PPU 016 de l'ASFC. Des rapports sont communiqués à la Division de l'analyse du renseignement de sécurité, dans la FRP Service canadien du renseignement de sécurité (SCRS) PPU 016 du SCRS.

Pour les fins de l'article 30 de la Loi sur la production de défense, des renseignements peuvent être échangés avec d'autres ministères fédéraux, ou une personne autorisée par un ministère fédéral, qui ont besoin de ces renseignements afin d'exécuter leurs fonctions.

Pour les fins des enquêtes en vertu de la Loi sur la production de défense ou en cas d'infractions à une loi canadienne qui prévoit la communication de ces renseignements, le Programme des marchandises contrôlées peut échanger des renseignements avec les FRP GRC PPU 005 de la GRC ou MDN PPE 835 du MDN.

Normes de conservation et de destruction : En cours d'élaboration. La Direction des marchandises contrôlées conserve les fichiers opérationnels jusqu'à l'approbation d'une autorisation de disposition de documents (ADD).

Numéro ADD : En voie d'élaboration.

Renvoi au programme numéro : TPSGC DGCISP 455

Enregistrement (SCT) : 005093

Numéro de fichier : TPSGC PPU 045

Autorisation légale du programme ou de l'activité

Résumé du projet, de l'initiative ou du changement

Une évaluation du risque du Programme des marchandises contrôlées a été complétée afin de déceler les lacunes de ce programme relatives à la sécurité à la lumière des événements du 11 septembre 2001. Le personnel de la Direction des marchandises contrôlées a également fait une évaluation interne du risque lié à ses pratiques et processus opérationnels. Ces évaluations confirment de façon probante la nécessité d'importantes améliorations de la sécurité de la direction afin d'améliorer la sécurité du programme dans la foulée des événements du 11 septembre.

Afin d'appuyer les recommandations de l'évaluation et de donner suite aux risques internes constatés, la direction a élaboré la Stratégie de renforcement de la sécurité, qui vise non seulement à combler des lacunes relatives à la sécurité, mais aussi à rationaliser les processus opérationnels et à mieux former les inscrits pour qu'ils contribuent à la protection des marchandises contrôlées.

Ces évaluations de la menace et du risque ont finalement permis d'établir quatre indicateurs clés de risque pour lesquels la direction ne dispose pas de processus et de procédures assez robustes :

  1. les antécédents criminels
  2. la situation financière
  3. les voyages (fréquence et durée)
  4. les associations importantes et significatives

Les modifications découlant de la Stratégie de renforcement de la sécurité exigeront l'établissement d'une procédure améliorée d'évaluation de la sécurité comprenant ce qui suit :

Vérification des antécédents criminels : La Direction des marchandises contrôlées exigera les empreintes digitales de tous les représentants désignés. Elle préférerait avoir les empreintes digitales de tous les employés, mais l'industrie a exprimé des préoccupations au sujet du coût et du fardeau administratif associés aux empreintes digitales obligatoires. Le programme privilégie avant tout un moyen d'identification unique, afin que tous les renseignements sur les antécédents criminels soient pris en compte lors d'une évaluation de sécurité. Toutefois, pour apaiser les craintes de l'industrie, la Stratégie de renforcement de la sécurité commencera par stipuler que les empreintes digitales ne sont pas obligatoires si le représentant désigné applique des mesures obligatoires destinées à assurer l'efficacité de l'identification de chaque employé. Une vérification nominale du casier judiciaire sera encore permise à la condition que les étapes de vérification de l'identité soient suivies et qu'une vérification soit faite auprès du Centre d'information de la police canadienne (CIPC). La direction surveillera l'application de cette stratégie au cours des mois et des années à venir afin de décider s'il faut la conserver ou non. Elle pourrait exiger les empreintes digitales de toutes les personnes qui ont accès à des marchandises contrôlées.

Vérification de la solvabilité : À juste titre, certaines personnes devront faire l'objet d'une vérification de leur solvabilité destinée à établir leur honnêteté et leur fiabilité et à tenir compte d'autres indicateurs de risque en matière de sécurité.

Évaluation du risque : Les représentants désignés devront consigner en dossier un niveau d'évaluation du risque propre à chaque personne. À la lumière de l'évaluation du risque, les personnes pourraient faire l'objet d'autres vérifications destinées à établir le risque de transfert non autorisé de marchandises contrôlées. La direction s'occupera de ces vérifications supplémentaires, en raison de la nécessité de communiquer des renseignements personnels à d'autres ministères et organismes fédéraux qui s'en serviront pour consulter des bases de données criminelles et de renseignement particulières. L'évaluation du risque faite par la direction (à l'égard des représentants désignés, des propriétaires, des personnes autorisées, des travailleurs temporaires et des visiteurs) et par les représentants désignés (à l'égard des administrateurs, des dirigeants et des employés) doit être conforme au guide d'évaluation du risque (voir l'annexe D). Toutes les évaluations du risque feront l'objet de contrôles de la qualité par la direction.

Liste des personnes ayant accès à des marchandises : Tous les représentants désignés communiqueront à la direction certains renseignements personnels relatifs à toutes les personnes dont l'accès à des marchandises contrôlées est autorisé.

Étudiants : La direction informera les inscrits que les étudiants canadiens et étrangers doivent faire l'objet d'une évaluation de sécurité, comme les employés (étudiants canadiens) et les travailleurs temporaires (étudiants étrangers).

Demande modifiée d'évaluation de la sécurité : Afin de faciliter les évaluations du risque, la direction a modifié la demande d'évaluation de sécurité de manière à tenir compte des quatre indicateurs de risque mentionnés dans l'évaluation de la menace et dans sa propre évaluation du risque. Les avocats de la Section du droit à l'information et à la protection des renseignements personnels, du ministère de la Justice, ont examiné la nouvelle demande d'évaluation de sécurité.

Outre l'amélioration des procédures d'évaluation de la sécurité appliquées par la Direction des marchandises contrôlées et les représentants désignés, la direction enrichira les services offerts aux inscrits en établissant une unité de l'apprentissage et de la gestion du programme. Celle-ci concevra des programmes de formation interne et externe afin que la direction et les représentants désignés puissent s'acquitter de leurs fonctions comme prévu. De plus, cette unité insistera sur la nécessité de protéger les renseignements personnels, en particulier sur l'obligation, pour les représentants désignés, de protéger les renseignements personnels relatifs à leurs employés.

Quand le représentant désigné ou un analyste de la Direction des marchandises contrôlées conclut qu'une personne présente un risque de transfert non autorisé de marchandises contrôlées supérieur à un seuil préétabli (indiqué par la direction), un processus d'assurance de la qualité devra obligatoirement précéder toutes les vérifications supplémentaires. Si ce processus confirme la justesse de l'évaluation du risque, en ce qui concerne toutes les évaluations de risque de niveau 3 et certaines évaluations de niveau 2, la direction enverra les renseignements personnels au Service canadien du renseignement de sécurité (SCRS) et à la GRC afin que ces derniers consultent leurs bases de données de renseignement. Les analystes de la direction examineront les résultats de ces vérifications. La réponse de la direction ne comprendra pas de renseignements détenus par la GRC ou le SCRS, mais seulement une confirmation ou un rejet de l'évaluation originale du risque faite par le représentant désigné. Il appartient à ce dernier, en vertu du Règlement sur les marchandises contrôlées, de prendre une décision finale quant à la question de savoir si une personne présente un risque élevé en matière de transfert non autorisé de marchandises contrôlées.

Les demandes de renseignements à la GRC et au SCRS sont régies par des protocoles d'entente. En ce qui concerne la GRC, le protocole d'entente entrera en vigueur le 1er avril 2012, mais les échanges de renseignements entre le 1er octobre 2011 et le 31 mars 2012 ont déjà fait l'objet d'une lettre d'intérêt.

La Direction des marchandises contrôlées a le pouvoir, en vertu du Règlement sur les marchandises contrôlées et de la Loi sur la production de défense, de suspendre, refuser ou révoquer l'inscription d'une entreprise. Si un représentant désigné autorise une personne présentant un risque élevé à avoir accès à des marchandises contrôlées, la direction peut invoquer ses pouvoirs pour restreindre l'accès à des marchandises contrôlées par cette entreprise.

La Stratégie de renforcement de la sécurité porte non seulement sur les menaces et les risques connus, mais elle permet aussi à l'industrie canadienne de continuer de se conformer à l'International Traffic in Arms Regulations (ITAR) des États-Unis. Les liens entre la Stratégie de renforcement de la sécurité et l'ITAR sont précisés dans l'annexe A.

Section II : Identification et catégorisation des secteurs de risque

Tableau A : Description des risques d'entrave à la vie privée qui sont associés au type de programme ou d'activité décrite dans l'évaluation des facteurs relatifs à la vie privé du Programme des marchandises contrôlées
Type de programme ou d'activité Niveau de risque pour les renseignements personnels
Programme ou activité qui ne nécessite pas la prise d'une décision concernant un individu identifiable 1 (ne s'applique pas)
Administration des programmes, des activités et des services 2 (s'applique)
Conformité/Enquêtes réglementaires et exécution de la réglementation 3 (s'applique)
Enquête criminelle et application de la loi ou sécurité nationale 4 (ne s'applique pas)

La Direction des marchandises contrôlées prend des « décisions » à l'égard des représentants désignés, des propriétaires (au moins 20 % des actions avec droit de vote), des personnes autorisées, des visiteurs et des travailleurs temporaires (y compris les étudiants étrangers). Elle recueille tous les renseignements, y compris dans des bases de données du renseignement de la GRC et du SCRS, et décide si ces personnes doivent se voir refuser l'accès à des marchandises contrôlées ou, dans le cas d'une entreprise, l'inscription au programme. Toutefois, la direction ne peut pas prendre de « décision » à l'égard d'un employé ayant fait l'objet d'une évaluation de sécurité par un représentant désigné. Comme le libellé du Règlement sur les marchandises contrôlées ne confère pas à la direction le pouvoir de prendre ce type de décision, la réponse fournie par la direction à une demande faite par un représentant désigné à l'égard d'une personne à risque élevé ne peut que confirmer l'évaluation du risque faite par ce dernier ou indiquer que l'analyse faite par la direction donne un résultat contraire à l'évaluation du risque faite par le représentant désigné.

La direction peut refuser, suspendre ou révoquer l'inscription d'une entreprise au programme si celle-ci accepte le risque associé à l'accès à des marchandises contrôlées par une personne en particulier.

La direction a le pouvoir de confier des dossiers à la GRC à des fins d'enquête et de poursuite, mais ces dossiers portent habituellement sur des entreprises (ou des propriétaires uniques) qui semblent contrevenir à l'article 37 de la Loi sur la production de défense en raison de la possession, de l'examen ou du transfert de marchandises contrôlées à une personne non inscrite au Programme des marchandises contrôlées. Toutefois, la nouvelle demande d'évaluation de sécurité n'entraînera sans doute jamais un renvoi à la GRC ou au SCRS à des fins d'enquête ou de poursuite à l'égard d'une personne, mais plutôt la décision de refuser l'inscription au programme ou de ne pas autoriser l'accès à des marchandises contrôlées ou une confirmation ou une réfutation de l'évaluation du risque d'accès à des marchandises contrôlées par un employé faite par un représentant désigné. Aucun scénario ne semble s'appliquer à la situation selon laquelle la direction pourrait prévoir qu'une évaluation de sécurité entraîne un renvoi à la GRC à des fins d'enquête ou de poursuite.

Tableau B : Description des risques d'entrave à la vie privée qui sont associés aux types de renseignements visés et leur contexte
Type de renseignements personnels recueillis et contexte Niveau de risque pour les renseignements personnels
Seules les données fournies directement par l'individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l'individu ou avec son consentement pour la communication pour autant que les données ne soient pas de nature délicate dans le contexte 1 (ne s'applique pas)
Données personnelles fournies par l'individu avec le consentement d'utiliser des données détenues par une autre source pour autant que les données ne soient pas de nature délicate après la collecte 2 (ne s'applique pas)
Le numéro d'assurance sociale, les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou encore le contexte de ceux ci est de nature délicate. Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l'individu concerné 3 (ne s'applique pas)
Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate 4 (s'applique)

Outre les renseignements sur les antécédents criminels et les données de renseignement recueillis auprès de la GRC et du SCRS, la nouvelle demande d'évaluation de sécurité comprend des renseignements personnels qui sont directement liés aux quatre indicateurs clés de risque établis au terme de l'évaluation de la menace et d'une évaluation interne du risque. La nouvelle demande comprend des renseignements sur les caractéristiques démographiques de la personne visée, ses voyages, sa situation financière, ses antécédents criminels, ses anciens lieux de résidence, ses emplois antérieurs et ses références personnelles, qui sont consultées afin de vérifier la véracité des déclarations faites par la personne visée et pour faciliter l'évaluation du risque de transfert non autorisé de marchandises contrôlées. La nouvelle demande comprend également une section sur l'évaluation du risque (Partie N), qui comprend divers énoncés relatifs au risque personnel auxquels la personne visée doit répondre « oui » ou « non ». Des précisions sont exigées à l'égard de certaines réponses affirmatives. La Partie N peut entraîner la production de beaucoup de renseignements personnels qui peuvent être considérés très confidentiels. De plus, les renseignements reçus de la GRC et du SCRS peuvent comprendre des allégations ou des soupçons de nature très confidentielle. Le risque est donc classé au niveau 4.

Tableau C : Description des risques d'entrave à la vie privée qui sont associés aux partenaires participant à la cueillette, à l'utilisation ou à la divulgation de renseignements personnels, y compris le secteur privé
Participation des partenaires et du secteur privé au programme ou à l'activité Niveau de risque pour les renseignements personnels
Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution) 1 (ne s'applique pas)
Avec d'autres institutions fédérales 2 (ne s'applique pas)
Avec d'autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et/ou municipaux 3 (s'applique)
Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé 4 (s'applique)

Afin d'établir les risques de transfert non autorisé de marchandises contrôlées et des liens possibles avec des organisations criminelles, terroristes ou de nature semblable, des renseignements seront demandés à la GRC et au SCRS à l'égard de certaines personnes. Au fil de l'amélioration de la Stratégie de renforcement de la sécurité, la Direction des marchandises contrôlées pourra conclure d'autres protocoles d'entente avec d'autres ministères si elle estime que les renseignements détenus par ces organisations l'aideront à faire des évaluations plus approfondies du risque de transfert non autorisé de marchandises contrôlées par une personne.

De plus, les représentants désignés sont chargés de l'évaluation initiale du risque de leurs employés. En ce qui concerne tous les risques de niveau 2 (modéré), la décision du représentant désigné doit reposer sur les renseignements fournis, si d'autres vérifications doivent être faites. Des lignes directrices sont établies à cette fin. Tous les risques de niveau 2 ne justifieront pas nécessairement de faire des vérifications supplémentaires. L'établissement d'une ligne directrice définitive pouvant s'appliquer à tous les employés n'est pas pratique et entraînerait des vérifications injustifiées ou l'impossibilité de demander des vérifications à l'égard de personnes qui auraient dû faire l'objet de ces vérifications. La Direction des marchandises contrôlées a donc décidé qu'il convenait de laisser au représentant désigné le soin de faire une évaluation objective de tous les risques de niveau 2, à la condition que la décision du représentant désigné de ne pas exiger des vérifications supplémentaires de la personne visée soit justifiée, tout comme celle de la direction de faire des vérifications supplémentaires. Ces justifications doivent être consignées dans le dossier de l'évaluation de sécurité. La direction fera un contrôle d'assurance de la qualité de tous les dossiers qui lui seront envoyés à des fins de vérifications supplémentaires, afin d'établir si le représentant désigné a bien fait l'évaluation. De même, les inspecteurs de la direction feront des vérifications de toutes les évaluations de sécurité de niveau 2 lorsque le représentant désigné a décidé de ne pas demander à la direction de faire des vérifications supplémentaires.

Le représentant désigné devra parfois faire le nécessaire pour obtenir un rapport de solvabilité qui l'obligera à communiquer des renseignements personnels à une agence d'évaluation du crédit.

Les représentants désignés peuvent faire appel à un fournisseur de services tiers pour envoyer des demandes d'empreintes digitales ou de vérification nominale du casier judiciaire (VNCJ) à la GRC.

On peut également demander des renseignements à la Directorate of Defense Trade Controls (DDTC) des États-Unis. Ces renseignements se restreindront toutefois aux périodes pendant lesquelles la Direction des marchandises contrôlées a des raisons de croire qu'une personne ou une entreprise a contrevenu aux dispositions du Règlement sur les marchandises contrôlées, de la Loi sur la production de défense ou d'autres lois fédérales.

Comme le représentant désigné assume ces responsabilités, le risque est classé au niveau 4.

Tableau D : Description de la durée du programme ou de l'activité décrite dans l'évaluation des facteurs relatifs à la vie privée du Programme des marchandises contrôlées
Durée du programme ou de l'activité Niveau de risque pour les renseignements personnels
Programme ou activité ponctuel 1 (ne s'applique pas)
Programme à court terme 2 (ne s'applique pas)
Programme à long terme 3 (s'applique)

La Stratégie de renforcement de la sécurité vise à combler des lacunes relatives à la sécurité constatées dans le Programme des marchandises contrôlées. Elle deviendra donc une solution permanente lors de son entrée en vigueur, en octobre 2011. Toutefois, la Direction des marchandises contrôlées a indiqué aux parties prenantes de l'industrie et du gouvernement que pendant la mise en œuvre progressive de la Stratégie de renforcement de la sécurité, échelonnée sur trois ans, divers éléments de cette stratégie pourraient être modifiés à la lumière de facteurs telles les incidences sur l'industrie, les lacunes relatives à la sécurité qui ne seraient pas comblées adéquatement et la nécessité de rationaliser les processus et les procédures qui s'y rattachent. Si une modification est jugée importante, la présente évaluation sera également modifiée. L'un des éléments évalués à des fins de modification au début de la mise en œuvre de la Stratégie de renforcement de la sécurité porte sur l'utilisation continue des VNCJ au lieu des empreintes digitales. La direction évaluera l'efficacité de cette stratégie afin d'établir s'il faut obligatoirement prendre les empreintes digitales de toutes les personnes qui ont accès à des marchandises contrôlées.

Tableau E : Description des risques d'entrave à la vie privée qui sont associés à la population visée par le programme décrit dans l'évaluation des facteurs relatifs à la vie privée du Programme des marchandises contrôlées
Personnes concernées par le programme Niveau de risque pour les renseignements personnels
Le programme touche certains employés à des fins administratives internes 1 (ne s'applique pas)
Le programme touche tous les employés à des fins administratives internes 2 (ne s'applique pas)
Le programme touche certains individus à des fins administratives externes 3 (s'applique)
Le programme touche tous les individus à des fins administratives externes 4 (ne s'applique pas)

Une entreprise (y compris une entreprise à propriétaire unique) qui désire s'inscrire au programme et les employés des entreprises inscrites ou qui demandent leur inscription doivent faire l'objet d'évaluations de sécurité avant d'être autorisés à avoir accès à des marchandises contrôlées. Les décisions prises par la Direction des marchandises contrôlées et les représentants désignés portent uniquement sur les personnes qui doivent avoir accès à des marchandises contrôlées et qui consentent à une évaluation de sécurité, conformément au Règlement sur les marchandises contrôlées.

Tableau F : Description des risques d'entrave à la vie privée qui sont associés à l'utilisation de la technologie
Technologie et vie privée Oui ou non
1. Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, de collecter ou de traiter les renseignements personnels dans le but de soutenir le programme ou l'activité? Non
2. L'activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des technologies de l'information (TI)? Non
3. Le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend-il la mise en œuvre d'une ou de plusieurs des technologies suivantes : S.O.
3.1 Méthodes d'identification améliorées

Veuillez préciser :

Non
3.2 Recours à la surveillance

Veuillez préciser :

Non
Recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances

Veuillez préciser :

Les représentants désignés feront des comparaisons de renseignements personnels s'ils ont recours aux vérifications nominales du casier judiciaire (VNCJ) pour vérifier les antécédents criminels des employés. Si l'on estime qu'une personne doit faire l'objet de vérifications supplémentaires par la GRC ou le SCRS (risque élevé), les renseignements personnels à son sujet seront communiqués à ces organisations afin qu'elles puissent consulter leurs bases de données de renseignement. La GRC et le SCRS vérifieront l'exactitude des renseignements avant de communiquer les résultats des vérifications à la Direction des marchandises contrôlées. Si l'exactitude des renseignements est remise en question, ces organisations devront soit ne pas les communiquer, soit les assortir d'une mise en garde au sujet de l'incertitude quant à l'exactitude des résultats

La Direction des marchandises contrôlées recueillera les empreintes digitales des employés (par l'intermédiaire du représentant désigné) et les résultats de la vérification des empreintes digitales faite par la GRC. Toutes les demandes de renseignements relatifs aux empreintes digitales et les demandes de VNCJ relèvent du représentant désigné. La direction n'enverra pas d'empreintes digitales ou de noms à la GRC à moins d'avoir la certitude qu'un rapport sur les antécédents criminels (fourni par le CIPC) semble avoir été falsifié ou modifié

Oui

Une réponse « oui » à l'une ou l'autre des questions ci-haut indique la présence possible de risques et d'atteinte à la vie privée qui devront être évalués et, si requis, atténués.

Tableau G : Description des risques d'entrave à la vie privée qui sont associés à la transmission électronique des renseignements personnels
Transmission des renseignements personnels Niveau de risque pour les renseignements personnels
Les renseignements personnels sont utilisés au sein d'un système fermé 1 (ne s'applique pas)
Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système 2 (s'applique)
Les renseignements personnels sont transférés à des dispositifs portatifs ou sont imprimés 3 (ne s'applique pas)
Les renseignements personnels sont transmis à l'aide de technologies sans fil 4 (ne s'applique pas)

L'industrie communique à la Direction des marchandises contrôlées les renseignements relatifs à une demande d'évaluation de sécurité modifiée par courrier électronique ou télécopieur. Une comparaison de renseignements personnels faite par la GRC doit employer des méthodes de chiffrement conformes aux normes de la GRC relatives à la transmission de renseignements Protégé B par des moyens électroniques. Si les renseignements devant être communiqués par la GRC sont classés Secret, la direction ira les chercher en mains propres à la GRC.

La Stratégie de renforcement de la sécurité prévoit également l'établissement d'une nouvelle base de données et d'un portail destiné à la transmission des renseignements par des moyens électroniques. Toutefois, la planification du nouveau système de gestion de l'information ne fait que commencer.

Les renseignements du SCRS seront transmis en mains propres ou au moyen d'un protocole approuvé par le gouvernement pour le traitement électronique de renseignements Secret et Très secret. La direction n'a pas encore ce système, mais elle a demandé des fonds pour l'acquérir et le mettre en œuvre. Entre-temps, elle aura recours à l'une des deux solutions suivantes :

  1. La Direction de la sécurité ministérielle de Travaux publics et Services gouvernementaux Canada a un système sécuritaire et accepte souvent des messages de la Direction des marchandises contrôlées. Un employé de la direction pourrait être affecté à Place-du-Portage pour s'occuper des envois par le système sécuritaire
  2. Échange de demandes et de réponses en mains propres
Tableau H : Description des risques d'entrave à la vie privée d'une personne ou d'un employé
Risque possible pour l'individu ou l'employé Niveau de risque pour les renseignements personnels
Inconvénients 1 (ne s'applique pas)
Tort à la réputation, embarras 2 (s'applique)
Préjudice financier 3 (ne s'applique pas)
Préjudice physique 4 (ne s'applique pas)

La nature des renseignements personnels recueillis et consignés dans la nouvelle demande d'évaluation de sécurité peut causer de l'embarras à une personne du fait que son employeur y aura accès. Bien qu'une personne puisse perdre son emploi si des renseignements défavorables sont recueillis, le Programme des marchandises contrôlées repose sur le Règlement sur les marchandises contrôlées et la Loi sur la production de défense et vise à restreindre l'accès à des marchandises contrôlées. Si un employeur décide de mettre fin à l'emploi d'un employé à la suite d'une évaluation de sécurité, cette décision n'est pas liée à une réponse de la Direction des marchandises contrôlées à une demande de vérification des risques élevés ou à une décision de la Direction des marchandises contrôlées. La réponse de la direction porte seulement sur l'accès à des marchandises contrôlées, et non pas sur la question de savoir si un employé doit conserver son poste ou être congédié.

Tableau I : Description des risques d'entrave à la vie privée qui sont associés à l'institution qui présente l'évaluation des facteurs relatifs la vie privée, Travaux publics et Services gouvernementaux Canada
Risque possible à l'institution Niveau de risque pour les renseignements personnels
Préjudice pour la direction 1 (s'applique)
Préjudice pour l'organisation 2 (ne s'applique pas)
Préjudice financier 3 (ne s'applique pas)
Atteinte à la réputation, embarras, perte de crédibilité 4 (ne s'applique pas)

La Direction des marchandises contrôlées est en train de mettre en œuvre un programme de sécurité plus robuste qui exigera de modifier les processus et les procédures internes, mais qui inspirera davantage confiance à l'industrie et au secteur de la sécurité et du renseignement du gouvernement.

Signaler un problème sur cette page
Date de modification :