Création de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement
RÉSUMÉ DE L’ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE
CRÉATION DE L’OFFICE DE SURVEILLANCE DES ACTIVITÉS EN MATIÈRE DE SÉCURITÉ NATIONALE ET DE RENSEIGNEMENT (OSSNR)
Institution fédérale
Secrétariat de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement
Administrateur gouvernemental responsable de l’évaluation des facteurs relatifs à la vie privée (EFVP)
Charles Fugère
Directeur général
Responsable de l’institution gouvernementale ou délégué aux termes de l’article 10 de la Loi sur la protection des renseignements personnels
Charles Fugère
Directeur général, Secrétariat de l’OSSNR
Normes ou fichiers de renseignements personnels propres à l’institution
Most standard PIBs apply to NSIRA’s internal services. Also, this PIA implicates the two former SIRC PIBs (Complaints, SIR PPU 005 and Contracts, SIR PPU 010).
Autorisations législatives de l’activité
NSIRA was established pursuant to section 3 of the Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (NSIRA Act), which came into force on July 12, 2019. NSIRA is largely comprised of the main components of the former Security Intelligence Review Committee (SIRC), which had been established pursuant to the Canadian Security Intelligence Service Act, and it also assumed the responsibilities of the former Office of the Communications Security Establishment Commissioner (OCSEC), as established by the National Defence Act.
The transition from the above two organizations to the new NSIRA (with an expanded mandate) is governed by the Loi de 2017 sur la sécurité nationale.
The legal authority for NSIRA’s personal information collection, use and disclosure in accordance with its mandate is derived from its enabling legislation, the NSIRA Act; most notably, section 8.
Sommaire du projet / de l’initiative / du changement
En raison de la création de l’OSSNR, au moyen du transfert de l’ancien CSARS et du BCCST, ainsi que de son mandat élargi, la présente évaluation des facteurs relatifs à la vie privée (EFVP) se voulait une évaluation générale de l’OSSNR, au moment de l’élaboration de ses procédures et de ses politiques, y compris, entre autres, un ensemble de politiques sur la protection des renseignements personnels.
L’EFVP visait à évaluer les risques et lacunes existants au moment de l’évaluation et à s’assurer que des normes et des mesures de protection de la vie privée sont en place ou améliorées en temps opportun.
NSIRA’s collection of personal information is integrated into its review process wherein it collects such information from the federal institutions for which it is conducting a review. However, the collection of personal information for reviews is for a non-administrative purpose – NSIRA’s use is to complete a review of the institution only; no decision is made in regard to the individuals whose personal information personnel access.
L’OSSNR a un mandat de plaintes et d’enquêtes qui implique la collecte de renseignements personnels directement auprès des plaignants et des décisions qui ont une incidence directe sur les personnes (à des fins administratives). Lors de la rédaction de l’EFVP, cette activité faisait l’objet d’un examen et de changements, par conséquent, l’EFVP ne porte pas sur ce programme. L’activité de programme fera plutôt l’objet d’une EFVP exhaustive subséquente plus tard en 2021-2022.
Le Secrétariat de l’OSSNR recueille également des renseignements sur ses employés afin d’offrir divers services, tels que la rémunération, les avantages sociaux, les congés et le contrôle de sécurité.
This high level PIA identified ten risks and 18 corresponding recommendations to mitigate those risks. None of the risks were considered High and all mitigation measures will be completed before the end of FY 2021-22.
Identification et catégorisation des secteurs de risque
In its Directive on Privacy Impact Assessment, TB has expressed that the PIA must include a completed risk area identification and categorization section, which must be made public. A risk rating must be assigned to each risk area named and described in Appendix C of the TB Directive on Privacy Impact Assessment. The numbered risk scale is presented in an ascending order: the first level (1) represents the lowest level of potential risk for the risk area; the fourth level (4) represents the highest level of potential risk for the given risk area. For this PIA the risk areas and associated risk levels vary due to the broad scope of the PIA to include HR and security screening, and other internal services, as well as the review function of the NSIRA mandate.
| Secteur de risque | Niveau de risque |
|---|---|
|
Type de programme ou d’activité Enquête criminelle et application de la loi / Sécurité nationale Les renseignements personnels sont utilisés à des fins d’enquête et d’application de la loi dans un contexte criminel (p. ex., décisions pouvant mener à des accusations ou à des peines au criminel ou à la déportation pour des motifs liés à la sécurité nationale ou à un acte criminel). |
4 |
|
Type de renseignements personnels recueillis et contexte : Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons et les échantillons de substances corporelles, ou éléments contextuels de nature particulièrement délicate entourant les renseignements personnels. Par exemple : renseignements personnels qui révèlent des détails intimes sur la santé, la situation financière, la religion ou le mode de vie de la personne et qui, par association, révèlent des données semblables au sujet d’autres personnes comme des membres de la famille. |
4 |
| Participation de partenaires et de membres du secteur privé au programme ou à l’activité : Avec d’autres institutions fédérales et dans des circonstances limitées – Avec des gouvernements étrangers, des organisations internationales ou des organisations du secteur privé | 4 |
|
Durée du programme ou de l’activité : Programme à long terme Programme existant qui a été modifié ou nouveau programme qui n’est assorti d’aucune date d’échéance précise. |
3 |
| Population visée par le programme : Le programme touche certains individus à des fins non administratives, ainsi que les employés de l’OSSNR à des fins administratives internes. | 3 |
| Technologie et vie privée : La création de l’OSSNR nécessite la gestion de nouveaux réseaux pour gérer les renseignements personnels délicats recueillis par l’Office dans le cadre de son mandat d’examen, ainsi que les renseignements personnels des employés du Secrétariat. | |
|
Transmission des renseignements personnels : Les renseignements personnels sont transférés à un dispositif portatif ou sont imprimés. Clé USB, disquette, ordinateur portatif, ou tout transfert de renseignements personnels à un support de données différent. |
3 |
| En cas d’atteinte à la vie privée, incidence sur la personne : Une atteinte à la vie privée concernant les renseignements d’un employé peut entraîner une atteinte à la réputation ou des pertes financières modérées à importantes. La quantité de renseignements personnels délicats (casier judiciaire, fichiers audio d’entrevue de sécurité) et documents (dossiers de crédit) est considérable et pourrait, à l’occasion, soutenir un vol d’identité. Cependant, l’incidence la plus probable est l’embarras et l’atteinte à la réputation. En outre, toute violation d’une attestation de vaccination, de mesures d’adaptation ou de renseignements relatifs au test de dépistage rapide pourrait causer une atteinte mineure à importante à la réputation d’un employé du Secrétariat de l’OSSNR ou d’une personne nommée par décret (directeur général et membres de l’OSSNR). | |