Entreprendre une évaluation des facteurs relatifs à la vie privée

Une évaluation des facteurs relatifs à la vie privée (PIA) est un outil évolutif que les organismes peuvent utiliser pour :

• identifier l’impact qu’un projet pourrait avoir sur la confidentialité des renseignements personnels d’une personne ; 
• faire des recommandations sur la façon de gérer les impacts négatifs.

Intégrer un processus d’EIP à la gestion de projet

Le processus d’EIP peut être facilement intégré à l’approche de la gestion de projet d’une agence, par exemple, en :

• incluant les ressources et les délais pour l’EFVP dans le plan du projet ;
• incluant des mises à jour sur l’avancement de l’EFVP dans les rapports d’état ou les rapports de fin d’étape ;
• utilisant la matrice des risques du projet pour analyser la probabilité, la conséquence et l’évaluation des répercussions sur la vie privée ;
• enregistrant les répercussions sur la vie privée dans le registre/journal des risques du projet ; 
• capturant les actions qui doivent être entreprises pour mettre en œuvre les recommandations de l’EFVP dans le plan de projet ou le plan d’étape.

Pourquoi devrais-je faire une EFVP ?

Un organisme qui entreprend une EIP va :

• vérifier si un projet est susceptible de se conformer à l’IP Act ;
• soutenir la bonne gouvernance et la prise de décision éclairée ;
• identifier les problèmes à un stade précoce, lorsqu’il est plus facile et moins coûteux de les résoudre ;
• répondre aux préoccupations de la communauté et renforcer la confiance dans les pratiques de traitement de l’information de l’organisme.

Comment faire une EFVP ?

Avant toute chose, nous vous invitons à voir cet article pour s’informer sur l’outil rgpd.

Un processus d’EFVP comporte généralement les étapes suivantes :

Étape 1 : Effectuer une évaluation du seuil

Une EFVP sera bénéfique pour tout projet qui implique des manières nouvelles ou modifiées de traiter les renseignements personnels. Cependant, tous les projets ne nécessitent pas une EFVP. Par exemple, une EFVP ne sera pas nécessaire si le projet ne traitera aucune information personnelle ou si le projet ne propose aucun changement aux pratiques existantes de traitement de l’information.

Demandez-vous :  » Des informations personnelles seront-elles collectées, stockées, utilisées ou divulguées dans le cadre du projet ? « . Si la réponse est  » oui « , vous devrez généralement réaliser une forme d’EFVP.

Que vous y procédiez ou non, vous devriez conserver un registre de l’évaluation du seuil pour documenter votre décision.

Étape 2 : Planifier l’EFVP

Après avoir réalisé votre évaluation du seuil, vous pouvez commencer à planifier la façon dont vous allez réaliser votre EFVP. Lors de la planification, vous devriez considérer :

• les aspects du projet qui seront évalués ;
• où l’EFVP s’inscrira dans le plan et les délais globaux du projet ;
• qui mènera l’EFVP et quelles ressources sont disponibles ;
• l’étendue et le moment des consultations avec les parties prenantes ; 
• les mesures qui devront être prises après l’EFVP, comme la mise en œuvre des recommandations et les dispositions pour un suivi continu.

La mesure dans laquelle une EFVP doit être détaillée dépend de l’échelle et de la complexité du projet. Pour les projets simples, le processus d’EFVP peut être rapide et le rapport peut finir par ne faire que quelques pages. Pour les projets complexes, l’exercice sera plus formel et plus intensif. Le niveau de détail sera influencé par :

• la nature des informations personnelles concernées par le projet ;
• si une technologie nouvelle ou innovante sera utilisée pour collecter ou stocker les informations ;
• si la fourniture d’informations personnelles s’avérera obligatoire ;
• si le projet implique un couplage de données ;
• si les informations seront partagées avec une autre agence ; et/ou
• l’intérêt probable de la communauté et/ou des médias pour le projet.

Vous n’avez pas besoin d’être un spécialiste de la protection de la vie privée pour réaliser une EFVP. Cependant, il est utile de demander l’avis d’une personne qui connaît bien la loi sur la PI, comme le responsable de la protection de la vie privée ou le service juridique de votre organisme. 

Étape 3 : Décrire le projet

Avoir une compréhension claire de ce que le projet entend réaliser fournit un contexte pour le reste du processus d’EFVP. Il y a souvent plus d’une façon de concevoir un projet pour atteindre l’objectif visé. Une EFVP aidera à déterminer la façon la plus respectueuse de la vie privée d’atteindre cet objectif.

Ces informations peuvent inclure :

• qui est responsable du projet ;
• ce que le projet permettra de réaliser ;
• les avantages pour l’organisme ou la communauté ; 
• si le projet fait partie d’un programme de projets connexes.

Ces informations peuvent généralement provenir de la documentation de gestion du projet, comme l’énoncé du projet ou l’analyse de rentabilisation.

Étape 4 : Identifier et consulter les parties prenantes

La consultation des parties prenantes qui seront touchées par le projet ou qui ont un intérêt dans le projet est essentielle au processus d’EFVP. En effet, elle permet aux gens de déterminer les répercussions sur la vie privée et les solutions en fonction de leur expérience ou de leur expertise. Les personnes que vous devez consulter dépendront de la nature du projet, mais peuvent inclure :

• les parties prenantes internes : comme les secteurs d’activité de la technologie de l’information, de la protection de la vie privée, du droit, de l’approvisionnement et de la gestion des dossiers, ainsi que le personnel en contact avec la clientèle qui utilisera le nouveau système ou mettra la nouvelle politique en pratique ; 
• les parties prenantes externes : comme les autres organismes gouvernementaux, les fournisseurs, les clients, les organisations non gouvernementales, les groupes de défense et les membres du public.

La consultation n’est pas nécessairement une étape distincte, puisqu’il peut être utile de consulter tout au long du processus d’EFVP.

Impliquer les parties prenantes internes dans le processus d’EFVP est essentiel, car ce sont les personnes qui peuvent répondre aux questions sur les flux d’information probables, les structures de gouvernance, l’architecture technique, la législation en vertu de laquelle l’organisme fonctionne et les exigences en matière de tenue de dossiers. Elles peuvent également être en mesure de suggérer des actions potentielles pour résoudre les problèmes de confidentialité identifiés ou de fournir des conseils sur l’option la plus appropriée.

La consultation externe consiste souvent à demander l’avis des personnes dont les informations personnelles seront affectées par le projet. Elle a deux objectifs principaux : elle permet à l’organisme de comprendre les préoccupations de ces personnes et améliore la transparence en faisant prendre conscience aux gens de la manière dont leurs informations personnelles seront utilisées.

Les facteurs qui influenceront l’ampleur de la consultation nécessaire sont le fait de savoir s’il y a :

• probablement des inquiétudes quant à l’impact réel ou perçu sur la vie privée ;
• un grand nombre de personnes ou un groupe particulièrement vulnérable dont la vie privée est affectée ;
• vulnérabilité de tout fonds d’informations personnelles, à une mauvaise utilisation ou à un abus ; 
• un besoin d’instaurer la confiance dans une nouvelle pratique ou technologie.

Les consultations efficaces doivent suivre les principes suivants :

• en temps utile, au bon stade et prévoir suffisamment de temps pour les réponses ;
• claires et proportionnées, dans leur portée et ciblées ;
• représentatif : s’assurer que les personnes susceptibles d’être affectées ont voix au chapitre ;
• pose des questions objectives et présente des options réalistes ;
• s’assurer que les personnes participantes obtiennent un retour d’information à la fin du processus.