Processus de la correspondance ministérielle et sous-ministérielle

Résumé

1. Introduction
2. Aperçu du mandat de la Direction
3. Analyse des données
4. Gestion des risques d'entrave à la protection des renseignements
5. Conclusion

1. Introduction

La Direction de la correspondance ministérielle et sous-ministérielle (DCMSM) de Travaux publics et Services gouvernementaux Canada (TPSGC) détient l'autorité fonctionnelle pour la correspondance ministérielle et sous-ministérielle. La DCMSM est ainsi responsable de faire rapport sur la présente Évaluation des facteurs relatifs à la vie privée. Ce résumé fait état des enjeux liés à la protection des renseignements personnels et les risques associés aux procédures de la DCMSM et au système de suivi de la correspondance CCM Mercury, conformément à la Loi sur la protection des renseignements personnels et le manuel du Secrétariat du Conseil du Trésor sur la protection des renseignements personnels.

2. Aperçu du mandat de la Direction

La DCMSM travaille en partenariat avec les directions générales pour coordonner et surveiller la correspondance du ministre et du sous-ministre, ainsi que pour rédiger les réponses. Non seulement la Direction offre des services de révision au ministre et au sous-ministre, mais également aux directions générales qui signeront les réponses en leur nom. La DCMSM gère le système électronique de suivi des documents CCM Mercury et veille à ce que tous les utilisateurs suivent une formation adéquate.

L'application CCM Mercury sert à faire le suivi de toute la correspondance sauf celle associée à la circonscription; cette dernière n'est pas traitée au Ministère et elle est habituellement envoyée au bureau de la Colline du Parlement. Quant à la correspondance de nature non institutionnelle, elle est sauvegardée dans une base de données distincte qui est détruite au départ du ministre et qui est recréée à l'arrivée d'un nouveau.

3. Analyse des données

Le système de suivi CCM n'a pas été conçu pour recueillir des données : il ne recueille des renseignements personnels qu'incidemment, dans le cadre du processus de suivi de la correspondance du ministre et de la haute direction, de sa réception à son élimination. Le Ministère n'a que peu ou pas de contrôle sur le genre de renseignements personnels reçus de l'extérieur ou de ses propres employés.

La correspondance reçue est non sollicitée et elle comporte rarement des indications sur le niveau de sensibilité du document. Il est donc pour ainsi dire impossible de vérifier le caractère sensible de l'information sans avoir pris connaissance de chacun des documents de correspondance. Le tableau suivant montre les types de renseignements personnels traités par la DCMSM.

Tableau du cheminement des données pour CCM

Description du groupe de renseignements personnels	Recueillis par	Format	Utilisés par	But de la collecte	Communiqués à	Stockage ou conservation
Enregistrement
Auteur; poste; organisation; adresse; no de téléphone; adresse courriel; cv.	DCMSM	Papier et/ou électronique	Peut-être le ministre, le SM ou un SMA de TPSGC si le dossier leur est confié. Répondre à la correspondance	Répondre à la correspondance	Peut-être au ministre, au SM ou à un SMA de TPSGC si le dossier leur est confié.	Six (6) ans pour l'original (courrier d'arrivée et de départ) ou six (6) mois pour les dossiers de travail ou les annexes.
Imagerie
Tout le groupe de données enregistrées; âge; état civil; antécédents médicaux; antécédents professionnels; transactions financières; numéros d'identification personnels et autres caractéristiques d'identification de la personne comme le Code d'identification de dossier personnel; information de nature privée ou confidentielle, implicitement ou explicitement; nom des personnes lorsqu'ils sont mentionnés avec d'autres renseignements personnels; opinions et idées de la personne; antécédents médicaux et professionnels; antécédents personnels.	DCMSM	Papier et/ou électronique	Peut-être le ministre, le SM ou un SMA de TPSGC si le dossier leur est confié. Répondre à la correspondance	Répondre à la correspondance	Peut-être au ministre, au SM ou à un SMA de TPSGC si le dossier leur est confié.	Six (6) ans pour l'original (courrier d'arrivée et de départ) ou six (6) mois pour les dossiers de travail ou les annexes.

4. Gestion des risques d'entrave à la protection des renseignements personnels

La présente section fait état de certains risques d'entrave à la protection des renseignements personnels associés aux procédures de la DCMSM et au système de suivi de la correspondance CCM. Cette information est décrite dans l'Évaluation des facteurs relatifs à la vie privée. Les risques qui sont résumés ci-dessous décrivent les mesures de sécurité et de protection des renseignements personnels mises en œuvre afin d'atténuer les risques d'après les recommandations du Commissariat à la protection de la vie privée du Canada.

• Responsabilité à l'égard des renseignements personnels;
• Renseignements personnels des tierces parties;
• Consentement à la divulgation de renseignements personnels;
• Collecte de renseignements personnels;
• Utilisation, divulgation et conservation de renseignements personnels;
• Protection des renseignements personnels/formation;
• Sécurité du système de suivi CCM.

4.1 Responsabilité à l'égard des renseignements personnels

Enjeu 1

Il n'y a pas de règles en place qui déterminent ce qui constitue un renseignement personnel et quels renseignements personnels devraient être entrés dans le système.

Enjeu 1 - Mesures d'atténuation des risques

Afin de réduire les risques liés à la protection des renseignements personnels dans le processus de correspondance, la DCMSM a mis au point les Directives sur la sécurité et la protection des renseignements personnels pour s'assurer de la sécurité entourant le traitement des renseignements personnels de nature délicate à chaque étape de leur cycle de vie.

Ces règles administratives officielles établissent des directives permanentes d'opérations qui prévoient les types de renseignements personnels pouvant être numérisés dans le système CCM.

Enjeu 2

La responsabilité particulière liée aux enjeux de la protection des renseignements personnels n'a pas été déterminée. Plusieurs directions détiennent des responsabilités différentes quant aux réponses destinées à la correspondance ministérielle et sous-ministérielle. L'imputabilité des renseignements entre ces directions n'est pas claire et pourrait mener à une mauvaise gestion de l'information et à un manque de confiance.

Enjeu 2 - Mesures d'atténuation des risques

Les questions d'imputabilité ont été abordées dans les Directives sur la sécurité et la protection des renseignements personnels. La DCMSM est l'autorité fonctionnelle responsable pour la correspondance ministérielle et sous-ministérielle. Quant aux directions générales, des règles indiquent maintenant l'étendue de leurs responsabilités en ce qui a trait à l'information contenue dans les réponses (plus particulièrement en ce qui a trait à la création, le marquage, la sauvegarde et la transmission de l'information).

4.2 Renseignements personnels des tierces parties

Enjeu 3

Des renseignements personnels appartenant à des tierces parties apparaissent parfois dans la correspondance. La numérisation et la rétention de correspondance contenant des renseignements personnels de tierces parties pourraient donner lieu à la collecte de renseignements sans que le correspondant en soit informé et sans son consentement.

Enjeu 3 - Mesures d'atténuation des risques

La DCMSM a défini « information d'une tierce partie » et a créé une règle pour son traitement dans les Directives sur la sécurité et la protection des renseignements personnels.

4.3 Consentement à la divulgation de renseignements personnels

Enjeu 4

Lorsque les renseignements sont recueillis par l'organisation, sans un consentement explicite, il y a un risque qu'ils soient par la suite utilisés sans consentement. L'enjeu entourant le consentement devient important lorsque les renseignements personnels des correspondants doivent être divulgués à une autre organisation (ministère).

Enjeu 4 - Mesures d'atténuation des risques

En fournissant les renseignements requis pour traiter leur demande / préoccupation, les correspondants donne implicitement leur consentement à la collecte de leurs renseignements personnels. Selon le mandat de la DCMSM, il est entendu que les renseignements personnels ne sont pas divulgués pour un objectif autre que de répondre à la correspondance. Par conséquent, la DCMSM doit parfois partager des renseignements personnels conformément à l'alinéa 8(2)(a) de la Loi sur la protection des renseignements personnels, pour la raison pour laquelle ils ont été obtenus ou compilés, ou pour une utilisation correspondant à cette raison, c'est-à-dire répondre à la correspondance.

Un consentement par écrit de la part du correspondant n'est par conséquent pas nécessaire. La DCMSM fait preuve de prudence lorsqu'il est question d'assurer que les renseignements personnels ne sont pas partagés pour toute autre raison.

En fait, un avis a été ajouté à l'information sur la protection des renseignements personnels apparaissant actuellement sur la page Contactez-nous, dans les deux langues officielles. Cet avis déclare que les renseignements personnels ne seront utilisés que pour répondre aux demandes des visiteurs, ou pour assurer la sécurité du système. On y indique également que les renseignements sont partagés avec un autre ministère lorsque le sujet de la demande se rapporte à ce ministère en particulier.

Dans l'éventualité où il y a un besoin de divulguer des renseignements personnels à un autre ministère (comme c'est le cas pour un renvoi), le correspondant est avisé dans la réponse que la DCMSM transmettra une copie de sa lettre ou son courriel à un autre ministère afin qu'on réponde à sa demande. Cette procédure est aussi présente dans les Directives sur la sécurité et la protection des renseignements personnels.

4.4 Collecte de renseignements personnels

Enjeu 5

La rétention superflue de renseignements personnels rend considérable le préjudice qui serait provoqué par un accès non autorisé ou par le personnel n'ayant pas le besoin de connaÏtre.

Enjeu 5 - Mesures d'atténuation des risques

La DCMSM a établi des règles dans ses Directives sur la sécurité et la protection des renseignements personnels mettant en place des procédures détaillées qui définissent le type et le niveau de la nature délicate de renseignements qui peuvent ou ne peuvent pas se trouver dans CCM. Par exemple, tous les renseignements de nature délicate non nécessaires doivent être noircis avant que le document soit numérisé.

Quant à la hausse du niveau de sécurité de CCM, Travaux publics et services gouvernementaux Canada maintient le profil de sécurité de niveau Protégé A pour son environnement informatique, qui correspond à la plupart des ministères gouvernementaux. Il est important de souligner que les documents classifiés Protégé C, Secret et Top secret ne sont jamais numérisés dans CCM. Tous les documents Protégé B sont gardés en format papier, sauf lorsque des clients internes spécifient de procéder à la numérisation, en prenant soin de toujours noircir les renseignements de nature Protégé B. S'il advenait qu'une mise à niveau à Protégé B soit une requête du Conseil du Trésor, la DCMSM se conformera aux exigences.

4.5 Utilisation, divulgation et conservation de renseignements personnels

Enjeu 6

Les utilisateurs de CCM pourraient avoir un accès non autorisé au système.

Enjeu 6 - Mesures d'atténuation des risques

Les renseignements personnels reçus à la DCMSM ne font pas l'objet d'autres usages et, dans la mesure où il est possible de le déterminer, elle ne prévoit pas que l'information soit utilisée de façon non autorisée.

Un contrôle d'accès se basant sur les rôles est déjà en fonction dans CCM. Les droits d'accès sont établis conformément aux différents groupes d'accès de la DCMSM. L'accès à des renseignements de nature délicate est ainsi restreinte au moyen de ce contrôle d'accès basé sur les rôles. Les comptes des utilisateurs sont tenus à jour grâce au formulaire « Demande d'accès à l'application CCM Mercury », lequel est vérifié et approuvé par la directrice de la DCMSM. L'accès non autorisé est par conséquent impossible.

CCM fait l'objet d'un nettoyage trimestriel qui permet d'examiner la liste des utilisateurs de chaque direction générale afin d'assurer que les droits d'accès sont à jour et que les niveaux d'accès correspondent aux fonctions de chaque utilisateur.

Un message d'avertissement a été créé dans le but d'aviser les utilisateurs que l'information contenue dans le système ne devrait être utilisée, divulguée et supprimée qu'en vertu de la Politique du gouvernement sur la sécurité et du paragraphe 8(2) de la Loi sur la protection des renseignements personnels. En plus de ce message, un avis général de sécurité apparaÏt régulièrement sur chaque poste de travail demandant à l'utilisateur de reconnaÏtre ses responsabilités relatives à une utilisation appropriée des logiciels disponibles dans le système. De plus, l'application CCM offre la possibilité, si on en fait la demande, de générer un historique de tous les utilisateurs, les accès et les documents accédés.

Enjeu 7

Des renseignements personnels de nature délicate qui ne sont plus requis pour une raison distincte peuvent encore se trouver dans le système, et des employés n'ayant pas le besoin de connaÏtre pourraient y avoir accès.

Enjeu 7 - Mesures d'atténuation des risques

En ce qui a trait à la rétention, les renseignements personnels sont supprimés lorsqu'ils ne sont plus requis pour une raison précise ou lorsque leur période de rétention maximale a été atteinte. Un nettoyage des dossiers est aussi effectué régulièrement.

• CCM et copie papier : l'Archiviste national du Canada autorise au moyen d'une liste le déclassement de documents spécifiques qui n'ont plus de valeur opérationnelle ou légale et qui n'ont pas été utilisés au cours des deux dernières années. Si ces documents se trouvent dans CCM, ils sont transférés à la base de données des archives, alors que les copies papiers sont envoyées à Bibliothèque et Archives Canada, selon une procédure d'emballage précise, pour qu'ils soient retenus ou détruits.
• Lecteur partagé : chaque section de la DCMSM est responsable de l'entretien de son propre espace sur le lecteur partagé. Les fichiers sont classés par année afin de les éliminer après la règle des deux ans, si on n'y a pas eu accès pour des raisons opérationnelles ou légales.

4.6 Protection des renseignements personnels/formation

Enjeu 8

La formation destinée aux utilisateurs de CCM ne traite pas des enjeux relatifs à la sécurité et à la protection des renseignements personnels. Étant mal informés, il est possible que les utilisateurs entrent des renseignements personnels de nature délicate dans le système et par conséquent les compromettent.

Enjeu 8 - Mesures d'atténuation des risques

La DCMSM a fourni une formation plus approfondie à ses employés, en mars 2007, les sensibilisant à la sécurité et la protection des renseignements de nature délicate. Elle continue également de rappeler son personnel des procédures à suivre lors des rencontres courantes. Les Directives sur la sécurité et la protection des renseignements personnels, distribuées à chaque employé, ont été créées dans le but de renforcer les mesures de sécurité de la DCMSM et de mettre en place des mesures de protection strictes pour protéger les renseignements personnels. En outre, des séances de formation obligatoires, dont une portant sur l'Accès à l'information et la protection des renseignements personnels et une sur la sécurité de l'infotechnologie, sont données à tous les employés. La formation suivie portant sur la sécurité est ajouté au plan d'apprentissage annuel de chaque employé.

4.7 Sécurité du système de suivi CCM

Enjeu 9

La sécurité du système de suivi CCM.

Enjeu 9 - Mesures d'atténuation des risques

Le processus d'homologation et d'accréditation est déjà entamé par la sécurité de la Direction générale des services d'infotechnologie. Une lettre d'accréditation sera émise confirmant que le niveau de risque réel correspond au niveau admis.

5. Conclusion

En définitive, la DCMSM a mis en œuvre toutes ces mesures pour s'assurer d'éliminer les risques potentiels liés à la protection des renseignements personnels pendant tout le cycle de vie de la correspondance. La DCMSM a réduit le risque d'accès aux renseignements de nature délicate grâce à des mesures de sécurité adéquates telles que définies dans l'Évaluation des facteurs relatifs à la vie privée.