RÉSUMÉ DE L’ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE
Enquêtes
Institution fédérale
Secrétariat de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR)
Administrateur gouvernemental responsable de l’évaluation des facteurs relatifs à la vie privée (EFVP)
Charles Fugère
Directeur général, Secrétariat de l’OSSNR
Responsable de l’institution gouvernementale ou délégué aux termes de l’article 10 de la Loi sur la protection des renseignements personnels
Charles Fugère
Directeur général, Secrétariat de l’OSSNR
Normes ou fichiers de renseignements personnels propres à l’institution
SSNR PPU 005 (Enquêtes). Le fichier de renseignements personnels (FRP) de l’ancien Comité de surveillance des activités de renseignement de sécurité (CSARS) intitulé Plaintes (CSARS PPU 005) était en attente de l’approbation de transfert du Secrétariat du Conseil du Trésor au moment de la rédaction de la présente EFVP. Parallèlement à l’approbation du transfert, la présente EFVP a permis de déterminer que des mises à jour et des modifications du FRP (désormais intitulé SSNR PPU 005 – Enquêtes) sont justifiées.
Autorisations législatives de l’activité
L’OSSNR a été constitué aux termes de la partie 1 (Loi sur l’OSSNR) de la Loi de 2017 sur la sécurité nationale, qui a reçu la sanction royale le 21 juin 2019 (la Loi sur l’OSSNR est entrée en vigueur le 12 juillet 2019). L’OSSNR est composé de l’Office de surveillance créé en application de l’article 3 de la Loi sur l’OSSNR (présidence, vice présidence et membres) et du Secrétariat créé en application du paragraphe 41(1) de la Loi, dont le rôle consiste à soutenir l’Office de surveillance dans l’exercice de son mandat. Aux fins de la Loi sur la protection des renseignements personnels, c’est le Secrétariat, dirigé par le directeur général, qui est l’institution gouvernementale.
L’OSSNR est constitué en grande partie des principaux éléments de l’ancien CSARS et, en parallèle, il assume les responsabilités liées au mandat de surveillance et de traitement des plaintes de l’ancien Bureau du commissaire du Centre de la sécurité des télécommunications (BCCST); les autres responsabilités du BCCST ont été endossées par le Bureau du commissaire au renseignement nouvellement créé.
Les autorisations législatives de l’OSSNR pour la collecte, l’utilisation et la communication de renseignements personnels conformément à son mandat découlent de sa loi habilitante, soit la Loi sur l’OSSNR, et plus particulièrement de l’article 8. En ce qui concerne précisément la portée de la présente EFVP, l’alinéa 8(1)d) de la Loi sur l’OSSNR donne pour mandat à l’Office de surveillance de faire enquête sur :
- les plaintes liées aux activités du Service canadien du renseignement de sécurité (SCRS), conformément au paragraphe 16(1) de la Loi sur l’OSSNR;
- les plaintes liées aux activités du Centre de la sécurité des télécommunications (CST), conformément au paragraphe 17(1) de la Loi sur l’OSSNR;
- les plaintes liées à un agent de l’État ou un entrepreneur à qui une habilitation de sécurité a été refusée ou révoquée et qui, pour cette seule raison, a fait l’objet d’une décision de renvoi, de rétrogradation, de mutation, d’opposition à engagement, avancement ou mutation ou d’opposition à un contrat de fourniture de biens ou de services au gouvernement du Canada, conformément au paragraphe 18(3) de la Loi sur l’OSSNR; (Loi sur l’OSSNR).
- les plaintes qui lui sont renvoyées au titre des paragraphes 45.53(4.1) ou 45.67(2.1) de la Loi sur la Gendarmerie royale du Canada(Loi sur la GRC), conformément à l’article 19 de la Loi sur l’OSSNR;
- les rapports qui lui sont adressés en vertu de l’article 19 de la Loi sur la citoyenneté; Loi sur la citoyenneté;
- les affaires qui lui sont transmises en vertu de l’article 45 de la Loi canadienne sur les droits de la personne. Loi canadienne sur les droits de la personne.
Ces mandats, ainsi que l’autorisation législative de recueillir des renseignements, sont appuyés par d’autres articles de la Loi sur l’OSSNR et d’autres lois (comme il est mentionné ci dessus).
Sommaire du projet / de l’initiative / du changement
La présente EFVP a été rédigée pour évaluer les pratiques opérationnelles et les mesures de protection de la vie privée de l’OSSNR dans le cadre de son mandat d’enquête.
L’OSSNR lance une enquête lorsqu’il reçoit de toute personne une plainte liée aux activités du SCRS ou du CST ou une plainte liée au refus ou à la révocation d’une habilitation de sécurité. De plus, l’OSSNR est tenu d’enquêter sur les rapports et les renvois de la Commission civile d’examen et de traitement des plaintes (CCETP), de la Commission canadienne des droits de la personne (CCDP) et du ministre de l’Immigration, des Réfugiés et de la Citoyenneté du Canada lorsque ces institutions sont saisies de questions touchant à la sécurité nationale.
Les enquêtes sont menées par les membres de l’Office de surveillance qui sont nommés par le gouverneur en conseil après diverses consultations par le premier ministre et sur recommandation de ce dernier. Le mandat de chaque membre ne peut excéder cinq ans et peut être renouvelé une seule fois (article 4 de la Loi sur l’OSSNR).
Avec l’aide de l’équipe d’enquête du Secrétariat de l’OSSNR, l’Office de surveillance recueille puis examine les documents de l’institution fédérale mise en cause, c’est à dire l’institution dont les activités font l’objet de la plainte, du renvoi ou du rapport. L’Office de surveillance mène des entrevues d’enquête avec le plaignant, l’intimé et les témoins et, dans certains cas, il tient une audience pour parvenir à ses conclusions. Finalement, le membre désigné envoie à l’institution fédérale mise en cause un rapport quasi judiciaire qui comprend des conclusions et, dans certains cas, des recommandations; il s’agit d’un rapport final. Une version non classifiée du rapport final est transmise au plaignant et, à la discrétion du membre désigné, une version non classifiée et dépersonnalisée du rapport final peut être rendue publique. L’OSSNR fait preuve de prudence dans sa décision de rendre public un rapport final, car les détails, même en supprimant les noms et autres renseignements identificatoires, peuvent tout de même permettre d’identifier une ou plusieurs personnes.
Les processus et procédures d’enquête de l’OSSNR (membres et équipe d’enquête) impliquent la collecte de renseignements personnels qui, dans la plupart des cas, sinon tous, donnent lieu à un rapport qui a une incidence directe sur le plaignant ou la personne touchée par l’affaire renvoyée ou signalée. Par conséquent, pour l’application de la Loi sur la protection des renseignements personnels et des instruments de politique du Conseil du Trésor (CT) en matière de protection des renseignements personnels, l’OSSNR utilise à des fins administratives les renseignements personnels dans le cadre de ses activités d’enquête.
Chaque risque relevé dans la présente EFVP a été évalué par l’OSSNR et un plan d’atténuation des risques a été créé pour chacune des recommandations correspondantes. Aucun de ces risques n’est considéré comme élevé et toutes les mesures d’atténuation seront achevées avant la fin de 2023 2024.
Identification et catégorisation des secteurs de risque
Dans sa Directive sur l’évaluation des facteurs relatifs à la vie privée, le CT a précisé que l’EFVP doit inclure une section dûment remplie sur l’identification et la catégorisation complètes des risques, et que cette section doit être rendue publique. Une cote de risque doit être attribuée à chaque domaine de risque nommé et décrit à l’annexe C de la Directive sur l’évaluation des facteurs relatifs à la vie privée. L’échelle de risque numérotée est présentée en ordre croissant : le chiffre 1 correspond au niveau de risque le plus faible pour le domaine, tandis que le chiffre 4 correspond au niveau de risque le plus élevé.
| Secteur de risque | Niveau de risque |
|---|---|
|
Type de programme ou d’activité Conformité/enquêtes réglementaires et exécution de la loi Les renseignements personnels sont utilisés dans le but de détecter des fraudes ou d’enquêter sur d’éventuels abus dans les programmes lorsque les conséquences sont de nature administrative plutôt que criminelle (p. ex. l’interruption des prestations ou la vérification de la déclaration de revenus d’un particulier). |
3 |
|
Type de renseignements personnels recueillis et contexte : Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons et les échantillons de substances corporelles, ou éléments contextuels de nature particulièrement délicate entourant les renseignements personnels. Par exemple : renseignements personnels qui révèlent des détails intimes sur la santé, la situation financière, la religion ou le mode de vie de la personne et qui, par association, révèlent des données semblables au sujet d’autres personnes comme des membres de la famille. |
4 |
| Participation de partenaires et de membres du secteur privé au programme ou à l’activité : Avec d’autres institutions fédérales | 2 |
|
Durée du programme ou de l’activité : Programme à long terme Programme existant qui a été modifié ou nouveau programme qui n’est assorti d’aucune date d’échéance précise. |
3 |
| Population visée par le programme : Le programme touche certaines personnes à des fins administratives externes. | 3 |
|
Technologie et vie privée : Les enquêtes de l’OSSNR n’impliquent pas l’élaboration ou la création d’un nouveau système ni la modification de systèmes existants. L’OSSNR recueille et stocke des documents jusqu’au niveau CLASSIFIÉ en utilisant les mesures de protection appropriées. Les entrevues d’enquête et les audiences sont enregistrées sur bande sonore. Les enquêtes de l’OSSNR exigent des institutions fédérales et du personnel de l’OSSNR qu’ils comparent les renseignements sur les plaignants aux dossiers de l’institution fédérale concernée. La plupart des activités de couplage de données nécessitent d’utiliser principalement le nom et la date de naissance (DDN) de la personne pour déterminer s’il y a concordance. Au moment d’examiner les dossiers d’une institution fédérale, l’une des premières tâches de l’OSSNR consiste toutefois à s’assurer que les dossiers sont bien ceux de la personne en question et qu’il n’y a aucun doute possible à ce sujet. |
|
|
Transmission des renseignements personnels : Les renseignements personnels sont transférés à un dispositif portatif ou sont imprimés. Clé USB, disquette, ordinateur portable, tout transfert des renseignements personnels sur un support différent. |
3 |
|
En cas d’atteinte à la vie privée, incidence sur la personne : Une atteinte à la vie privée concernant les renseignements d’un plaignant pourrait nuire considérablement à la réputation de l’OSSNR. Les types de renseignements transmis à l’OSSNR sont de nature très délicate, tant sur le plan de la classification de sécurité du gouvernement que sur le plan des renseignements personnels. L’embarras, les répercussions sur les relations, l’attention médiatique et les répercussions négatives sur l’emploi sont tous d’éventuels risques associés à une violation des dossiers d’enquête de l’OSSNR. |
|