Stratégie de renforcement de la sécurité de la Direction des marchandises contrôlées
SECTION I - APERÇU ET TENUE DE L'ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE (ÉFVP)
Institution fédérale
Travaux publics et Services gouvernementaux Canada (TPSGC)
Responsable de l'évaluation des facteurs relatifs à la vie privée
Simona Wambera
Directrice, Programme des marchandises contrôlées
Délégué pour l'article 10 de la Loi sur la protection des renseignements personnels
Rachelle Delage
Gestionnaire p.i., Accès à l'information et protection des renseignements personnels
Nom du programme ou de l'activité de l'institution fédérale
Stratégie de renforcement de la sécurité (SRS), Programme des marchandises contrôlées
Description du programme ou de l'activité
Programmes et services spécialisés
Cette activité de programme offre aux organisations fédérales des services et des programmes spécialisés, accessibles, pertinents et de grande qualité destinés à favoriser l'efficacité, la prudence et l'éthique dans la gestion et les opérations.
Programme de la sécurité industrielle
Cette sous-activité de programme appuie les obligations du gouvernement relatives à la protection des renseignements confidentiels et classifiés confiés au secteur privé dans le cadre de contrats publics adjugés par TPSGC et vise à assurer la protection contre la possession, l'examen ou le transfert non autorisé de marchandises contrôlées au Canada. Ce programme est le principal fournisseur du gouvernement au chapitre de la sécurité des contrats et des activités touchant les marchandises contrôlées. Il appuie également l'essor économique du Canada en veillant à la sécurité des contrats du gouvernement et en permettant à l'industrie canadienne d'avoir accès à des occasions classifiées et confidentielles au Canada et à l'étranger.
Description de la catégorie de documents liée au programme ou à l'activité
Description : Renseignements sur toutes les personnes inscrites ou exemptées de l'inscription (comme les visiteurs et les travailleurs temporaires) qui examinent, possèdent ou transfèrent des marchandises contrôlées au Canada. Les renseignements personnels peuvent comprendre le nom, les coordonnées, un autre numéro d'identification (comme un numéro d'inscription), des renseignements biographiques, la date de naissance, le sexe, des renseignements sur les antécédents criminels, les empreintes digitales fournies par la Gendarmerie royale du Canada (GRC), des renseignements sur le type d'entreprise, la date d'expiration et la certification.
Types de documents : Ententes et échanges (renseignements échangés entre TPSGC et d'autres organismes gouvernementaux), inscriptions (y compris les renouvellements et les modifications), évaluations ou contrôles de sécurité, demandes d'exemption et consentements à l'utilisation des autorisations de sécurité du gouvernement du Canada.
Numéro de la catégorie de documents : TPSGC Direction des conseils, de l'information et des services partagés (DGCISP) 455
Nota : Une nouvelle catégorie de documents est en instance d'examen et d'approbation (TPSGC DGCISP 455).
Nota : Une catégorie de documents sera examinée, étant donné que le Secteur de la sécurité industrielle a été transféré de la Direction générale des conseils, de l'information et des services partagés à la Direction générale de la surveillance le 15 août 2011.
Proposition d'établir une nouvelle banque de renseignements personnels.
Proposition de modifier une banque de renseignements personnels existante (indiquer le numéro d'enregistrement de la FRP et la description actuelle) :
Le Secrétariat du Conseil du Trésor a approuvé récemment des modifications de la FRP TPSGC Fichier spécifique (Grand public) (PPU) 045 et les renseignements suivants paratront dans Info Source 2011 :
Programme des marchandises contrôlées (PMC)
Description : En vertu de la Loi sur la production de défense (LPD) et du Règlement sur les marchandises contrôlées (RMC), le programme est chargé de faire une évaluation de sécurité de la mesure dans laquelle la personne entrane un risque de transfert de marchandises contrôlées à une personne qui n'est pas inscrite au Programme ou qui est exemptée de l'inscription au Programme.
La banque comprend des renseignements descriptifs sur toutes les personnes qui font une demande d'inscription, de modification ou d'exemption, qui sont inscrites ou exemptées, dont l'inscription a été rejetée, suspendue ou révoquée et qui examinent, possèdent ou transfèrent des marchandises contrôlées au Canada.
Les renseignements personnels peuvent comprendre le nom, les coordonnées, le numéro de téléphone, des renseignements biographiques, des données biométriques (empreintes digitales), le lieu et la date de naissance, la citoyenneté, des renseignements sur les antécédents criminels, les études, les voyages et les emplois actuel et antérieurs.
Catégories de personnes : Les personnes qui font des affaires au Canada au sens de l'article 2 du RMC, qui font une demande d'inscription ou d'exemption afin de pouvoir examiner, posséder ou transférer légalement des marchandises contrôlées au Canada (article 37 de la LPD). Ces personnes peuvent comprendre des propriétaires uniques ou partiaires, des administrateurs, des dirigeants et des représentants désignés d'entreprises, au sens de l'alinéa 10d) du RMC, ainsi que des visiteurs et des travailleurs temporaires définis à l'article 1 aux fins d'une exemption en vertu de l'article 17.
But : Avant de pouvoir examiner, posséder ou transférer des marchandises contrôlées au Canada, les personnes doivent faire l'objet d'une évaluation du risque relatif à la sécurité et être inscrites ou exemptées de l'inscription en vertu de la LPD et du Règlement sur les marchandises contrôlées (RMC).
À la lumière des renseignements personnels reçus du demandeur, le risque de transfert de marchandises contrôlées, par le demandeur, à une personne non inscrite ou exemptée de l'inscription est évalué, et l'inscription, ou l'exemption, est accordée ou rejetée. Les renseignements sont également examinés en fonction d'une évaluation de sécurité visant à rejeter, suspendre, modifier ou révoquer l'inscription ou l'exemption actuelle. Le nom et les coordonnées peuvent être utilisés ou communiqués à des fins de correspondance avec les demandeurs ou de validation d'une recherche dans le site Web du Programme des marchandises contrôlées.
Usages compatibles : Le Programme des marchandises contrôlées peut échanger des renseignements avec d'autres institutions fédérales afin de faciliter l'évaluation du risque relatif à des personnes qui désirent s'inscrire au programme ou transférer des marchandises contrôlées à des personnes non inscrites ou exemptées.
Comme l'application de la LPD relève au premier chef du ministère de la Défense nationale (MDN), le PMC peut échanger des renseignements personnels décrits dans la FRP connexe MDN Fichier spécifique (Employés) (PPE) 835 de ce ministère.
Afin de vérifier si les personnes et les entreprises qu'elles représentent possèdent les permis d'importation et d'exportation exigés et les autorisations indiquées dans la Liste des marchandises d'exportation contrôlée du ministère des Affaires étrangères et du Commerce international (MAECI) servant à établir la liste des marchandises contrôlées, certaines données sont échangées avec le MAECI.
Afin de valider et d'évaluer le risque de transferts illégaux par des importateurs et des exportateurs et de valider le risque de transfert illégal de marchandises contrôlées par des visiteurs étrangers et des travailleurs temporaires, des données peuvent être échangées avec la FRP Agence des services frontaliers du Canada (ASFC) PPU 016 de l'ASFC. Des rapports sont communiqués à la Division de l'analyse du renseignement de sécurité, dans la FRP Service canadien du renseignement de sécurité (SCRS) PPU 016 du SCRS.
PPU 016 du Service canadien du renseignement de sécurité (SCRS). Pour les fins de l'article 30 de la LPD, des renseignements peuvent être échangés avec d'autres ministères fédéraux, ou une personne autorisée par un ministère fédéral, qui ont besoin de ces renseignements afin d'exécuter leurs fonctions. Pour les fins des enquêtes en vertu de la LPD ou en cas d'infractions à une loi canadienne qui prévoit la communication de ces renseignements, le PMC peut échanger des renseignements avec les FRP GRC PPU 005 de la GRC ou MDN PPE 835 du MDN.
Normes de conservation et de destruction : En cours d'élaboration. La Direction des marchandises contrôlées conserve les fichiers opérationnels jusqu'à l'approbation d'un ADD.
Numéro ADD : En voie d'élaboration.
Renvoi au programme no : TPSGC DGCISP 455
Enregistrement (SCT) : 005093
Numéro de fichier : TPSGC PPU 045
Autorisation légale du programme ou de l'activité
Loi sur la production de défense, articles 38 et 39.1
Règlement sur les marchandises contrôlées, articles 15, 18 et 19
Résumé du projet, de l'initiative ou du changement :
Une évaluation du risque du PMC a été complétée afin de déceler les lacunes de ce programme relatives à la sécurité à la lumière des événements du 11 septembre 2001. Le personnel de la DMC a également fait une évaluation interne du risque lié à ses pratiques et processus opérationnels. Ces évaluations confirment de façon probante la nécessité d'importantes améliorations de la sécurité de la DMC afin d'améliorer la sécurité du PMC dans la foulée des événements du 11 septembre.
Afin d'appuyer les recommandations de l'évaluation et de donner suite aux risques internes constatés, la DMC a élaboré la Stratégie de renforcement de la sécurité (SRS), qui vise non seulement à combler des lacunes relatives à la sécurité, mais aussi à rationaliser les processus opérationnels et à mieux former les inscrits pour qu'ils contribuent à la protection des marchandises contrôlées. Ces évaluations de la menace et du risque ont finalement permis d'établir quatre indicateurs clés de risque pour lesquels la DMC ne dispose pas de processus et de procédures assez robustes :
- Les antécédents criminels.
- La situation financière.
- Les voyages (fréquence et durée).
- Les associations importantes et significatives.
Les modifications découlant de la SRS exigeront l'établissement d'une procédure améliorée d'évaluation de la sécurité comprenant ce qui suit :
- Vérification des antécédents criminels : La DMC exigera les empreintes digitales de tous les représentants désignés. Elle préférerait avoir les empreintes digitales de tous les employés, mais l'industrie a exprimé des préoccupations au sujet du coût et du fardeau administratif associés aux empreintes digitales obligatoires. Le Programme privilégie avant tout un moyen d'identification unique, afin que tous les renseignements sur les antécédents criminels soient pris en compte lors d'une évaluation de sécurité. Toutefois, pour apaiser les craintes de l'industrie, la SRS commencera par stipuler que les empreintes digitales ne sont pas obligatoires si le représentant désigné applique des mesures obligatoires destinées à assurer l'efficacité de l'identification de chaque employé. Une vérification nominale du casier judiciaire (VNCJ) sera encore permise à la condition que les étapes de vérification de l'identité soient suivies et qu'une vérification soit faite auprès du Centre d'information de la police canadienne (CIPC). La DMC surveillera l'application de cette stratégie au cours des mois et des années à venir afin de décider s'il faut la conserver ou non. Elle pourrait exiger les empreintes digitales de toutes les personnes qui ont accès à des marchandises contrôlées.
- Vérification de la solvabilité : À juste titre, certaines personnes devront faire l'objet d'une vérification de leur solvabilité destinée à établir leur honnêteté et leur fiabilité et à tenir compte d'autres indicateurs de risque en matière de sécurité.
- Évaluation du risque : Les représentants désignés devront consigner en dossier un niveau d'évaluation du risque propre à chaque personne. À la lumière de l'évaluation du risque, les personnes pourraient faire l'objet d'autres vérifications destinées à établir le risque de transfert non autorisé de marchandises contrôlées. La DMC s'occupera de ces vérifications supplémentaires, en raison de la nécessité de communiquer des renseignements personnels à d'autres ministères et organismes fédéraux qui s'en serviront pour consulter des bases de données criminelles et de renseignement particulières. L'évaluation du risque faite par la DMC (à l'égard des représentants désignés, des propriétaires, des personnes autorisées, des travailleurs temporaires et des visiteurs) et par les représentants désignés (à l'égard des administrateurs, des dirigeants et des employés) doit être conforme au guide d'évaluation du risque (voir l'annexe D). Toutes les évaluations du risque feront l'objet de contrôles de la qualité par la DMC.
- Liste des personnes ayant accès à des marchandises : Tous les représentants désignés communiqueront à la DMC certains renseignements personnels relatifs à toutes les personnes dont l'accès à des marchandises contrôlées est autorisé.
- Étudiants : La DMC informera les inscrits que les étudiants canadiens et étrangers doivent faire l'objet d'une évaluation de sécurité, comme les employés (étudiants canadiens) et les travailleurs temporaires (étudiants étrangers).
- Demande modifiée d'évaluation de la sécurité : Afin de faciliter les évaluations du risque, la DMC a modifié la demande d'évaluation de sécurité de manière à tenir compte des quatre indicateurs de risque mentionnés dans l'évaluation de la menace et dans sa propre évaluation du risque. Les avocats de la Section du droit à l'information et à la protection des renseignements personnels, du ministère de la Justice, ont examiné la nouvelle demande d'évaluation de sécurité.
Outre l'amélioration des procédures d'évaluation de la sécurité appliquées par la DMC et les représentants désignés, la DMC enrichira les services offerts aux inscrits en établissant une unité de l'apprentissage et de la gestion du programme. Celle-ci concevra des programmes de formation interne et externe afin que la DMC et les représentants désignés puissent s'acquitter de leurs fonctions comme prévu. De plus, cette unité insistera sur la nécessité de protéger les renseignements personnels, en particulier sur l'obligation, pour les représentants désignés, de protéger les renseignements personnels relatifs à leurs employés.
Quand le représentant désigné ou un analyste de la DMC conclut qu'une personne présente un risque de transfert non autorisé de marchandises contrôlées supérieur à un seuil préétabli (indiqué par la DMC), un processus d'assurance de la qualité devra obligatoirement précéder toutes les vérifications supplémentaires. Si ce processus confirme la justesse de l'évaluation du risque, en ce qui concerne toutes les évaluations de risque de niveau 3 et certaines évaluations de niveau 2, la DMC enverra les renseignements personnels au SCRS et à la GRC afin que ces derniers consultent leurs bases de données de renseignement. Les analystes de la DMC examineront les résultats de ces vérifications. La réponse de la DMC ne comprendra pas de renseignements détenus par la GRC ou le SCRS, mais seulement une confirmation ou un rejet de l'évaluation originale du risque faite par le représentant désigné. Il appartient à ce dernier, en vertu du RMC, de prendre une décision finale quant à la question de savoir si une personne présente un risque élevé en matière de transfert non autorisé de marchandises contrôlées.
Les demandes de renseignements à la GRC et au SCRS sont régies par des protocoles d'entente. En ce qui concerne la GRC, le protocole d'entente entrera en vigueur le 1er avril 2012, mais les échanges de renseignements entre le 1er octobre 2011 et le 31 mars 2012 ont déjà fait l'objet d'une lettre d'intérêt.
La DMC a le pouvoir, en vertu du RMC et de la LPD, de suspendre, refuser ou révoquer l'inscription d'une entreprise. Si un représentant désigné autorise une personne présentant un risque élevé à avoir accès à des marchandises contrôlées, la DMC peut invoquer ses pouvoirs pour restreindre l'accès à des marchandises contrôlées par cette entreprise.
La SRS porte non seulement sur les menaces et les risques connus, mais elle permet aussi à l'industrie canadienne de continuer de se conformer à l'International Traffic in Arms Regulations (ITAR) des États-Unis. Les liens entre la SRS et l'ITAR sont précisés dans l'annexe A.
SECTION II - IDENTIFICATION ET CATÉGORISATION DES SECTEURS DE RISQUE
Sommaire du tableau
Le tableau A décrit les risques d'entrave à la vie privé qui sont associés au type de programme ou d'activité décrite dans l'évaluation des facteurs relatifs à la vie privé du Programme des marchandises contrôlées. Ce tableau présente quatre catégories de risques d'entrave à la vie privé, avec une cote correspondante de 1, 2, 3 et 4. Il comprend également une section narrative qui décrit la nature de ces risques et la pertinence de l'évaluation de ceux-ci ainsi que la cote de risque.A : Type de programme ou d'activité | Niveau de risque pour les renseignements personnels |
---|---|
Programme ou activité qui NE nécessite PAS la prise d'une décision concernant un individu identifiable. | 1 |
Administration des programmes, des activités et des services. | 2 |
Conformité/Enquêtes réglementaires et exécution de la réglementation. | 3 |
Enquête criminelle et application de la loi ou sécurité nationale. | 4 |
Détails : La DMC prend des « décisions
» à l'égard des représentants désignés, des propriétaires (au moins 20 % des actions avec droit de vote), des personnes autorisées, des visiteurs et des travailleurs temporaires (y compris les étudiants étrangers). Elle recueille tous les renseignements, y compris dans des bases de données du renseignement de la GRC et du SCRS, et décide si ces personnes doivent se voir refuser l'accès à des marchandises contrôlées ou, dans le cas d'une entreprise, l'inscription au programme. Toutefois, la DMC ne peut pas prendre de « décision
» à l'égard d'un employé ayant fait l'objet d'une évaluation de sécurité par un représentant désigné. Comme le libellé du Règlement sur les marchandises contrôlées ne confère pas à la DMC le pouvoir de prendre ce type de décision, la réponse fournie par la DMC à une demande faite par un représentant désigné à l'égard d'une personne à risque élevé ne peut que confirmer l'évaluation du risque faite par ce dernier ou indiquer que l'analyse faite par la DMC donne un résultat contraire à l'évaluation du risque faite par le représentant désigné.
La DMC peut refuser, suspendre ou révoquer l'inscription d'une entreprise au programme si celle-ci accepte le risque associé à l'accès à des marchandises contrôlées par une personne en particulier.
La DMC a le pouvoir de confier des dossiers à la GRC à des fins d'enquête et de poursuite, mais ces dossiers portent habituellement sur des entreprises (ou des propriétaires uniques) qui semblent contrevenir à l'article 37 de la Loi sur la production de défense en raison de la possession, de l'examen ou du transfert de marchandises contrôlées à une personne non inscrite au PMC. Toutefois, la nouvelle demande d'évaluation de sécurité n'entranera sans doute jamais un renvoi à la GRC ou au SCRS à des fins d'enquête ou de poursuite à l'égard d'une personne, mais plutôt la décision de refuser l'inscription au PMC ou de ne pas autoriser l'accès à des marchandises contrôlées ou une confirmation ou une réfutation de l'évaluation du risque d'accès à des marchandises contrôlées par un employé faite par un représentant désigné. Aucun scénario ne semble s'appliquer à la situation selon laquelle la DMC pourrait prévoir qu'une évaluation de sécurité entrane un renvoi à la GRC à des fins d'enquête ou de pour
Sommaire du tableau
Le tableau B décrit les risques d'entrave à la vie privé qui sont associés aux types de renseignements visés et leur contexte. Ce tableau présente quatre catégories de risques d'entrave à la vie privé, avec une cote correspondante de 1, 2, 3 et 4. Il comprend également une section narrative qui décrit la nature de ces risques et la pertinence de l'évaluation de ceux-ci ainsi que la cote de risque.B : Type de renseignements personnels recueillis et contexte | Niveau de risque pour les renseignements personnels |
---|---|
Seules les données fournies directement par l'individu - au moment de la collecte - relatives à un programme autorisé et recueillies directement auprès de l'individu ou avec son consentement pour la communication pour autant que les données ne soient pas de nature délicate dans le contexte. | 1 |
Données personnelles fournies par l'individu avec le consentement d'utiliser des données détenues par une autre source pour autant que les données ne soient pas de nature délicate après la collecte. | 2 |
Le numéro d'assurance sociale, les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou encore le contexte de ceux ci est de nature délicate. Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l'individu concerné. | 3 |
Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou le contexte des renseignements personnels de nature particulièrement délicate. | 4 |
Détails : Outre les renseignements sur les antécédents criminels et les données de renseignement recueillis auprès de la GRC et du SCRS, la nouvelle demande d'évaluation de sécurité comprend des renseignements personnels qui sont directement liés aux quatre indicateurs clés de risque établis au terme de l'évaluation de la menace et d'une évaluation interne du risque. La nouvelle demande comprend des renseignements sur les caractéristiques démographiques de la personne visée, ses voyages, sa situation financière, ses antécédents criminels, ses anciens lieux de résidence, ses emplois antérieurs et ses références personnelles, qui sont consultées afin de vérifier la véracité des déclarations faites par la personne visée et pour faciliter l'évaluation du risque de transfert non autorisé de marchandises contrôlées. La nouvelle demande comprend également une section sur l'évaluation du risque (Partie N), qui comprend divers énoncés relatifs au risque personnel auxquels la personne visée doit répondre « oui
» ou « non
». Des précisions sont exigées à l'égard de certaines réponses affirmatives. La Partie N peut entraner la production de beaucoup de renseignements personnels qui peuvent être considérés très confidentiels. De plus, les renseignements reçus de la GRC et du SCRS peuvent comprendre des allégations ou des soupçons de nature très confidentielle. Le risque est donc classé au niveau 4.
Sommaire du tableau
Le tableau C décrit les risques d'entrave à la vie privé qui sont associés aux partenaires participant à la cueillette, l'utilisation ou la divulgation de renseignements personnels, y compris le secteur privé. Ce tableau présente quatre catégories de risques d'entrave à la vie privé, avec une cote correspondante de 1, 2, 3 ou . Il comprend également une section narrative qui décrit la nature de ces risques et la pertinence de l'évaluation de ceux-ci ainsi que la cote de risque.C : Participation des partenaires et du secteur privé au programme ou à l'activité | Niveau de risque pour les renseignements personnels |
---|---|
Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution). | 1 |
Avec d'autres institutions fédérales. | 2 |
Avec d'autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et/ou municipaux. | 3 |
Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé. | 4 |
Détails : Afin d'établir les risques de transfert non autorisé de marchandises contrôlées et des liens possibles avec des organisations criminelles, terroristes ou de nature semblable, des renseignements seront demandés à la GRC et au SCRS à l'égard de certaines personnes. Au fil de l'amélioration de la SRS, la DMC pourra conclure d'autres protocoles d'entente avec d'autres ministères si elle estime que les renseignements détenus par ces organisations l'aideront à faire des évaluations plus approfondies du risque de transfert non autorisé de marchandises contrôlées par une personne.
De plus, les représentants désignés sont chargés de l'évaluation initiale du risque de leurs employés. En ce qui concerne tous les risques de niveau 2 (modéré), la décision du représentant désigné doit reposer sur les renseignements fournis, si d'autres vérifications doivent être faites. Des lignes directrices sont établies à cette fin. Tous les risques de niveau 2 ne justifieront pas nécessairement de faire des vérifications supplémentaires. L'établissement d'une ligne directrice définitive pouvant s'appliquer à tous les employés n'est pas pratique et entranerait des vérifications injustifiées ou l'impossibilité de demander des vérifications à l'égard de personnes qui auraient dû faire l'objet de ces vérifications. La DMC a donc décidé qu'il convenait de laisser au représentant désigné le soin de faire une évaluation objective de tous les risques de niveau 2, à la condition que la décision du représentant désigné de ne pas exiger des vérifications supplémentaires de la personne visée soit justifiée, tout comme celle de la DMC de faire des vérifications supplémentaires. Ces justifications doivent être consignées dans le dossier de l'évaluation de sécurité. La DMC fera un contrôle d'assurance de la qualité de tous les dossiers qui lui seront envoyés à des fins de vérifications supplémentaires, afin d'établir si le représentant désigné a bien fait l'évaluation. De même, les inspecteurs de la DMC feront des vérifications de toutes les évaluations de sécurité de niveau 2 lorsque le représentant désigné a décidé de ne pas demander à la DMC de faire des vérifications supplémentaires.
Le représentant désigné devra parfois faire le nécessaire pour obtenir un rapport de solvabilité qui l'obligera à communiquer des renseignements personnels à une agence d'évaluation du crédit.
Les représentants désignés peuvent faire appel à un fournisseur de services tiers pour envoyer des demandes d'empreintes digitales ou de vérification nominale du casier judiciaire (VNCJ) à la GRC.
On peut également demander des renseignements à la DDTC des États-Unis. Ces renseignements se restreindront toutefois aux périodes pendant lesquelles la DMC a des raisons de croire qu'une personne ou une entreprise a contrevenu aux dispositions du RMC, de la LPD ou d'autres lois fédérales.
Comme le représentant désigné assume ces responsabilités, le risque est classé au niveau 4.
Sommaire du tableau
Le tableau D précise la durée du programme ou de l'activité décrite dans l'évaluation des facteurs relatifs à la vie privé du Programme des marchandises contrôlées. Ce tableau présente trois catégories de durée, avec une cote correspondante de 1, 2 et 3. Il comprend également une section narrative qui décrit la nature de ces risques et la pertinence de l'évaluation de ceux-ci ainsi que la cote de risque.D : Durée du programme ou de l'activité | Niveau de risque pour les renseignements personnels |
---|---|
Programme ou activité ponctuel. | 1 |
Programme à court terme. | 2 |
Programme à long terme. | 3 |
Détails : La SRS vise à combler des lacunes relatives à la sécurité constatées dans le PMC. Elle deviendra donc une solution permanente lors de son entrée en vigueur, en octobre 2011. Toutefois, la DMC a indiqué aux parties prenantes de l'industrie et du gouvernement que pendant la mise en uvre progressive de la SRS, échelonnée sur trois ans, divers éléments de cette stratégie pourraient être modifiés à la lumière de facteurs telles les incidences sur l'industrie, les lacunes relatives à la sécurité qui ne seraient pas comblées adéquatement et la nécessité de rationaliser les processus et les procédures qui s'y rattachent. Si une modification est jugée importante, la présente évaluation sera également modifiée. L'un des éléments évalués à des fins de modification au début de la mise en uvre de la SRS porte sur l'utilisation continue des VNCJ au lieu des empreintes digitales. La DMC évaluera l'efficacité de cette stratégie afin d'établir s'il faut obligatoirement prendre les empreintes digitales de toutes les personnes qui ont accès à des marchandises contrôlées.
Sommaire du tableau
Le tableau E décrit les risques d'entrave à la vie privé qui sont associés à la population visée par le programme décrit dans l'évaluation des facteurs lisrelatifs à la vie privé du Programme des marchandises contrôlées. Ce tableau présente quatre catégories de risques d'entrave à la vie prive, avec une cote correspondante de 1, 2, 3 et 4. Il comprend également une section narrative qui décrit la nature de ces risques et la pertinence de l'évaluation de ceux-ci ainsi que la cote de risque.E : Personnes concernées par le programme | Niveau de risque pour les renseignements personnels |
---|---|
Le programme touche certains employés à des fins administratives internes. | 1 |
Le programme touche tous les employés à des fins administratives internes. | 2 |
Le programme touche certains individus à des fins administratives externes. | 3 |
Le programme touche tous les individus à des fins administratives externes. | 4 |
Détails : Une entreprise (y compris une entreprise à propriétaire unique) qui désire s'inscrire au programme et les employés des entreprises inscrites ou qui demandent leur inscription doivent faire l'objet d'évaluations de sécurité avant d'être autorisés à avoir accès à des marchandises contrôlées. Les décisions prises par la DMC et les représentants désignés portent uniquement sur les personnes qui doivent avoir accès à des marchandises contrôlées et qui consentent à une évaluation de sécurité, conformément au Règlement sur les marchandises contrôlées.
Sommaire du tableau
Le tableau F décrit les risques d'entrave à la vie privée qui sont associés à l'utilisation de la technologie. Il présente trois questions; la dernière est en trois parties. Chaque question est accompagnée d'une case de réponse Oui ou Non. Ce tableau comprend également une section narrative pour la question en trois parties, qui décrit les particularités associées la réponse Oui ou Non.F : Technologie et vie privée | Oui / Non |
---|---|
1. Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes comprend la mise en uvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, collecter ou traiter les renseignements personnels dans le but de soutenir le programme ou l'activité? | Oui Non |
2. L'activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il des modifications aux systèmes hérités des TI? | Oui Non |
3. Le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend-il la mise en uvre d'une ou de plusieurs des technologies suivantes : | |
3.1 Méthodes d'identification améliorées Veuillez préciser : |
Oui Non |
3.2 Recours à la surveillance Veuillez préciser : |
Oui Non |
Recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances Veuillez préciser : Les représentants désignés feront des comparaisons de renseignements personnels s'ils ont recours aux VNCJ pour vérifier les antécédents criminels des employés. Si l'on estime qu'une personne doit faire l'objet de vérifications supplémentaires par la GRC ou le SCRS (risque élevé), les renseignements personnels à son sujet seront communiqués à ces organisations afin qu'elles puissent consulter leurs bases de données de renseignement. La GRC et le SCRS vérifieront l'exactitude des renseignements avant de communiquer les résultats des vérifications à la DMC. Si l'exactitude des renseignements est remise en question, ces organisations devront soit ne pas les communiquer, soit les assortir d'une mise en garde au sujet de l'incertitude quant à l'exactitude des résultats. La DMC recueillera les empreintes digitales des employés (par l'intermédiaire du représentant désigné) et les résultats de la vérification des empreintes digitales faite par la GRC. Toutes les demandes de renseignements relatifs aux empreintes digitales et les demandes de VNCJ relèvent du représentant désigné. La DMC n'enverra pas d'empreintes digitales ou de noms à la GRC à moins d'avoir la certitude qu'un rapport sur les antécédents criminels (fourni par le CIPC) semble avoir été falsifié ou modifié. |
Oui Non |
Une réponse affirmative à l'une ou l'autre des questions ci-haut indique la présence possible de risques et d'atteinte à la vie privée qui devront être évalués et, si requis, atténués.
Sommaire du tableau
Le tableau G décrit les risques d'entrave à la vie privé qui sont associés à la transmission électronique des renseignements personnels. Ce tableau présente quatre catégories de risques d'entrave à la vie privé, avec une cote correspondante de 1, 2, 3 et 4. Il comprend également une section narrative qui décrit la nature de ces risques et la pertinence de l'évaluation de ceux-ci ainsi que la cote de risque.G : Transmission des renseignements personnels | Niveau de risque pour les renseignements personnels |
---|---|
Les renseignements personnels sont utilisés au sein d'un système fermé. | 1 |
Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système. | 2 |
Les renseignements personnels sont transférés à des dispositifs portatifs ou sont imprimés. | 3 |
Les renseignements personnels sont transmis à l'aide de technologies sans fil. | 4 |
Détails : L'industrie communique à la DMC les renseignements relatifs à une demande d'évaluation de sécurité modifiée par courrier électronique ou télécopieur. Une comparaison de renseignements personnels faite par la GRC doit employer des méthodes de chiffrement conformes aux normes de la GRC relatives à la transmission de renseignements Protégé B par des moyens électroniques. Si les renseignements devant être communiqués par la GRC sont classés Secret, la DMC ira les chercher en mains propres à la GRC.
La SRS prévoit également l'établissement d'une nouvelle base de données et d'un portail destiné à la transmission des renseignements par des moyens électroniques. Toutefois, la planification du nouveau système de gestion de l'information ne fait que commencer.
Les renseignements du SCRS seront transmis en mains propres ou au moyen d'un protocole approuvé par le gouvernement pour le traitement électronique de renseignements Secret et Très secret. La DMC n'a pas encore ce système, mais elle a demandé des fonds pour l'acquérir et le mettre en uvre. Entre-temps, elle aura recours à l'une des deux solutions suivantes :
- La Direction de la sécurité ministérielle de TPSGC a un système sécuritaire et accepte souvent des messages de la DMC. Un employé de la DMC pourrait être affecté à Place-du-Portage pour s'occuper des envois par le système sécuritaire.
- Échange de demandes et de réponses en mains propres.
Sommaire du tableau
Le tableau H décrit les risques d'entrave à la vie privé d'une personne ou d'un employé. Ce tableau présente quatre catégories de dommages/risques d'entrave à la vie privé avec une cote correspondante de 1, 2, 3 et 4. Il comprend également une section narrative qui décrit la nature de ces risques et la pertinence de l'évaluation de ceux-ci ainsi que la cote de risque.H : Risque possible pour l'individu ou l'employé | Niveau de risque pour les renseignements personnels |
---|---|
Inconvénients. | 1 |
Inconvénients. | 2 |
Préjudice financier. | 3 |
Préjudice physique. | 4 |
Détails : La nature des renseignements personnels recueillis et consignés dans la nouvelle demande d'évaluation de sécurité peut causer de l'embarras à une personne du fait que son employeur y aura accès. Bien qu'une personne puisse perdre son emploi si des renseignements défavorables sont recueillis, le PMC repose sur le RMC et la LPD et vise à restreindre l'accès à des marchandises contrôlées. Si un employeur décide de mettre fin à l'emploi d'un employé à la suite d'une évaluation de sécurité, cette décision n'est pas liée à une réponse de la DMC à une demande de vérification des risques élevés ou à une décision de la DMC. La réponse de la DMC porte seulement sur l'accès à des marchandises contrôlées, et non pas sur la question de savoir si un employé doit conserver son poste ou être congédié.
Sommaire du tableau
Le tableau I décrit les risques d'entrave à la vie privé qui sont associés à l'institution qui présente l'évaluation des facteurs relatifs la vie privé Travaux publics et Services gouvernementaux Canada. Ce tableau présente quatre catégories de dommages/risques d'entrave à la vie privé, avec une cote correspondante de 1, 2, 3 et 4. Il comprend également une section narrative qui décrit la nature de ces risques et la pertinence de l'évaluation de ceux-ci ainsi que la cote de risque.I : Risque possible à l'institution | Niveau de risque pour les renseignements personnels |
---|---|
Préjudice pour la direction. | 1 |
Préjudice pour l'organisation. | 2 |
Préjudice financier. | 3 |
Atteinte à la réputation, embarras, perte de crédibilité. | 4 |
Détails : La DMC est en train de mettre en uvre un programme de sécurité plus robuste qui exigera de modifier les processus et les procédures internes, mais qui inspirera davantage confiance à l'industrie et au secteur de la sécurité et du renseignement du gouvernement.
- Date de modification :