Vérification de la protection des renseignements personnels des délinquants

Sommaire

Contexte

La Vérification de la protection des renseignements personnels des délinquants a été réalisée dans le cadre du Plan de vérification fondé sur le risque 2012-2015 du Secteur de la vérification interne du Service correctionnel du Canada (SCC). La vérification découlait de plusieurs priorités du SCC, notamment, « La sécurité du personnel et des délinquants dans nos établissements et dans la collectivité » et « Des pratiques de gestion efficaces et efficientes qui reflètent un leadership axé sur les valeurs ». La Vérification de la protection des renseignements personnels des délinquants était également liée au risque organisationnel que « le SCC ne soit pas en mesure de maintenir les niveaux de sécurité opérationnelle requis ».Note de bas de page 1

Une atteinte à la vie privée suppose la collecte, l’usage, la communication, la conservation ou le retrait inappropriés ou non autorisés de renseignements personnels. Une atteinte à la vie privée peut être le résultat d’erreurs de bonne foi ou d’actes malveillants commis par des employés, des tiers, des partenaires d’ententes de partage d’information ou des intrus. Au SCC, les atteintes à la vie privée sont signalées par les personnes qui les ont commises, et sont classées par le degré de risque, selon le type de renseignement personnel divulgué par erreur.

La Vérification de la protection des renseignements personnels des délinquants était de portée nationale et axée sur la protection générale des renseignements personnels des délinquants ainsi que sur la prévention et le signalement des atteintes à la confidentialité de ces renseignements.

La vérification avait les objectifs suivants :

  • fournir une assurance raisonnable que le cadre de gestion en place garantit la protection des renseignements personnels des délinquants et est conforme aux diverses lois et dispositions législatives et
  • fournir une assurance raisonnable que le SCC veille à ce que la confidentialité des renseignements personnels des délinquants soit protégée comme l’exigent les dispositions législatives, les lois et les cadres organisationnels pertinents.

Conclusion

De façon générale, la vérification a permis de constater que le cadre de gestion doit être renforcé afin de veiller à la protection des renseignements personnels des délinquants. Les Lignes directrices sur les atteintes à la vie privée ont été créées, communiquées et, de façon générale, elles sont comprises.

Toutefois, certaines activités additionnelles permettraient d’améliorer le cadre de gestion. Notamment :

  • les rôles et les responsabilités des personnes qui doivent signaler les atteintes à l’échelle locale et en faire le suivi doivent être mieux définis;
  • la direction doit veiller à ce que toutes les atteintes à la vie privée soient signalées;
  • des séances de formation et de sensibilisation doivent être fournies aux membres du personnel en établissement;
  • les employés ne sont pas suffisamment informés de ce que constitue une atteinte à la vie privée et la façon dont il faut signaler les atteintes lorsqu’elles sont découvertes;
  • l’administration centrale devrait faire un suivi, une surveillance et un examen précis des tendances liées aux atteintes à la vie privée en fonction des régions et des établissements.

Le SCC a également mis en place des processus de signalement des atteintes à la vie privée, et lorsque les atteintes étaient connues de l’AC, des évaluations des risques relatifs à la protection de la vie privée ont été effectuées. De plus, les unités de disque dur de tous les ordinateurs portatifs du SCC sont chiffrées. En outre, les membres du personnel exercent les connaissances de base liées au principe du besoin de connaître. Toutefois, le SCC pourrait améliorer sa conformité aux lignes directrices pertinentes liées à la gestion des renseignements personnels des délinquants. Notamment :

  • on devrait veiller à ce que le principe du besoin de connaître soit interprété et appliqué de façon uniforme dans tout le SCC;
  • des mécanismes devraient être utilisés pour identifier les copies des rapports appartenant aux délinquants;
  • dans les établissements, on devrait veiller à employer les méthodes appropriées pour éliminer les renseignements;
  • les dispositifs médias portatifs non chiffrés et ne faisant pas l’objet d’un suivi ne devraient pas être utilisés dans les établissements;
  • les établissements devraient veiller à ce que les renseignements personnels des délinquants soient retirés rapidement des imprimantes et des photocopieurs.

Réponse de la gestion

  • Le CAP p. i. est en accord avec les constatations et les recommandations générales présentées dans le rapport de vérification.

  • Le CAP p. i. a préparé un plan d’action de la gestion détaillé en réponse aux points soulevés dans le rapport de vérification.

  • Le plan d’action de la gestion sera mis en œuvre d’ici le 31 juillet 2014. Certaines mesures seront permanentes (ce sera le cas des séances de sensibilisation et de formation sur l’AIPRP, entre autres).

Énoncé de conformité

Selon le jugement professionnel de la dirigeante principale de la vérification, les procédés de vérification appliqués et les éléments probants recueillis sont suffisants et appropriés pour appuyer l’exactitude de l’opinion formulée dans ce rapport. L’opinion repose sur une comparaison entre les conditions qui prévalaient au moment de la vérification, en fonction des critères de vérification préétablis convenus avec la direction. L’opinion ne s’applique qu’aux questions examinées.

La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les éléments probants étaient suffisants pour fournir à la haute direction une preuve d’opinion fondée sur la vérification interne.


Sylvie Soucy, vérificatrice interne autorisée
Dirigeante principale de la vérification

Date :

1.0 Introduction

La Vérification de la protection des renseignements personnels des délinquants a été réalisée dans le cadre du Plan de vérification fondé sur le risque 2012-2015 du Secteur de la vérification interne du Service correctionnel du Canada (SCC). La vérification découlait de plusieurs priorités du SCC, notamment, « La sécurité du personnel et des délinquants dans nos établissements et dans la collectivité » et « Des pratiques de gestion efficaces et efficientes qui reflètent un leadership axé sur les valeurs ». La Vérification de la protection des renseignements personnels des délinquants était également liée au risque que « le SCC ne soit pas en mesure de maintenir les niveaux de sécurité opérationnelle requis ».

Une atteinte à la vie privée suppose la collecte, l’usage, la communication, la conservation ou le retrait inappropriés ou non autorisés de renseignements personnels. Une atteinte à la vie privée peut être le résultat d’erreurs de bonne foi ou d’actes malveillants commis par des employés, des tiers, des partenaires d’ententes de partage d’information ou des intrus. Il existe différents types d’atteinte à la vie privée, entre autres : le vol ou la perte de dossiers, la divulgation inadéquate (p. ex. courriel ou courrier livré à une mauvaise adresse), l’accès non autorisé à des renseignements personnels et la divulgation non autorisée (c.-à-d. la communication inadéquate de renseignements personnels).

Au SCC, les atteintes à la vie privée sont signalées par les personnes qui les ont commises. Elles sont classées par degré de risque, selon le type de renseignement personnel compromis. C’est au bureau de première responsabilité (BPR) que revient la tâche d’établir la gravité des risques. La répartition sur six ans des atteintes signalées à l’interne au SCC est présentée ci-dessous.

Nombre d’atteintes à la vie privée signalées à l’interne au SCC par année
2006/07 2007/08 2008/09 2009/10 2010/11 2011/12
84 75 83 157 111 205

Cadre législatif et politique

La Loi sur la protection des renseignements personnels accorde aux Canadiens le droit de savoir de quelle façon leurs renseignements personnels sont recueillis, utilisés, communiqués, conservés et éliminés, ainsi que le droit d’avoir accès à ces renseignements. Au SCC, les fonds de renseignements personnels comprennent les renseignements sur les employés, les délinquants et les membres du public (c.-à-d. les victimes). Les renseignements personnels qui relèvent d’une institution fédérale ne peuvent être communiqués, à défaut du consentement de l’individu qu’ils concernent.Note de bas de page 2 Toutefois, la Loi sur la protection des renseignements personnels précise les situations où les renseignements personnels placés dans un fonds peuvent être divulgués. Par exemple, le personnel du SCC a accès à ces renseignements aux fins auxquelles ils ont été recueillis ou préparés ou pour les usages compatibles avec ces finsNote de bas de page 3 (tâches quotidiennes), et peut communiquer des renseignements personnels dans le cas où des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée.Note de bas de page 4

La Loi sur l’accès à l’information confère aux personnes le droit d’accéder à de l’information se trouvant dans des dossiers relevant d’organismes gouvernementaux. Ces droits d’accès ne sont pas absolus et sont sujets à un nombre limité d’exceptions particulières.

Le Commissariat à la protection de la vie privée, qui a pour mission de protéger et de promouvoir le droit des personnes à la vie privée, présente au Parlement un rapport annuel concernant la Loi sur la protection des renseignements personnels. Ce rapport comprend des sujets tels que les principales réalisations, les défis et les initiatives pour les prochaines années. De plus, le rapport contient aussi des données statistiques sur le nombre d’atteintes pour les 10 organisations fédérales où le nombre d’atteintes signalées est le plus élevé. Selon le rapport annuel de 2011-2012 du commissaire à la protection de la vie privée au Parlement, le SCC a signalé, au total, 54 plaintes concernant la vie privée. Pour une dixième année consécutive, le SCC a présenté le nombre le plus élevé de plaintes relatives à la vie privée reçues par le commissaire à la protection de la vie privée.

Les lignes directrices sur les atteintes à la vie privée préparées par la Division de l’accès à l’information et de la protection des renseignements personnels (AIPRP) décrivent la marche à suivre dans le cas d’atteintes à la vie privée, y compris la manière de signaler celles-ci et d’effectuer des évaluations des risques relatifs à la protection des renseignements personnels (ERPRP) à l’échelle opérationnelle, où les répercussions et les circonstances des atteintes sont les mieux connues.

Les fonctionnaires doivent se conformer au Code de valeurs et d’éthique de la fonction publique. Le Code s’inscrit dans les conditions d’emploi à la fonction publique du Canada. Il incombe à tous les fonctionnaires de s’y conformer dans l’exercice de leurs fonctions, et en particulier, de faire montre, par leurs gestes et leurs comportements, des valeurs de la fonction publique. L’une de ces valeurs est l’intendance, qui exige que les fonctionnaires « acquièrent, conservent et mettent en commun les connaissances et l’information de façon appropriée ». Si un fonctionnaire ne se conforme pas à ces valeurs et attentes, il s’expose à des mesures administratives ou disciplinaires pouvant aller jusqu’au congédiement.

La Politique du Conseil du Trésor (CT) sur la Sécurité du gouvernement veille à ce que les administrateurs généraux gèrent efficacement les activités relatives à la sécurité au sein des ministères et contribuent à la gestion efficace de la sécurité dans l’ensemble du gouvernement. La sécurité du gouvernement, c’est l’assurance que l’information, les biens et les services ne sont pas compromis. La politique exige que tous les responsables mettent sur pied un programme de sécurité qui repose sur une structure de gouvernance assortie de responsabilités claires et des objectifs précis, et qui cadre avec les politiques, les priorités et les plans ministériels et pangouvernementaux.

Vérifications antérieures

Le Secteur de la vérification interne a procédé à une vérification de la protection des renseignements personnels des délinquants en 2006. Selon cette vérification, le cadre de gestion sur la vie privée traitait de certains rôles et responsabilités et fournissait des directives sur des éléments précis relatifs à la vie privée au SCC. Toutefois, la vérification a aussi permis de cerner des préoccupations relatives à un manque de compréhension généralisé parmi le personnel de ce qui constitue une atteinte réelle ou possible à la vie privée. De plus, la vérification a permis de constater que malgré les enquêtes menées sur certaines atteintes, le processus n’était pas suivi de façon uniforme et les directives n’étaient pas claires à l’échelle nationale. Au total, huit recommandations ont été formulées dans le cadre de cette vérification. Selon la direction, à ce jour, les huit recommandations ont été mises en œuvre. Trois des huit recommandations de cette vérification touchaient la divulgation des renseignements sur la santé et les formulaires de consentement. Des questions semblables ont été soulevées au cours de la Vérification des centres régionaux de traitement et des centres psychiatriques régionaux effectuée lors de l’exercice 2010-2011, et les mesures pour y remédier n’ont pas encore été entièrement mises en œuvre.

La Vérification des contrôles d’accès logistiques de 2008 a permis d’établir que le suivi avait été permis et que des activités avaient été effectuées pour surveiller l’accès non autorisé aux cas des délinquant(e)s à risques élevés dans le Système de gestion des délinquant(e)s et les incidents de sécurité qui, définis dans le SGD comme étant des incidents de sécurité, étaient surveillés et suivis régulièrement.

Enfin, en 2010, le Secteur de la vérification interne a procédé à la Vérification de la protection des dossiers des délinquants et du personnel. Cette vérification a révélé que les éléments clés d’un cadre de gestion étaient en place pour appuyer la protection des dossiers des délinquant(e)s. La vérification a également permis de constater que les politiques du SCC et les lignes directrices à l’intention des utilisateurs étaient conformes aux lois et aux politiques gouvernementales pertinentes, et que des mécanismes étaient en place pour signaler et gérer les atteintes à la vie privée. Toutefois, la vérification a également permis de constater que la formation devrait être améliorée et que le principe du besoin de connaître n’était pas toujours mis en pratique, en particulier en ce qui a trait à l’accès des employés aux renseignements personnels des délinquants. Deux recommandations ont été formulées dans le cadre de cette vérification, et la direction a mis en œuvre les mesures établies dans son plan d’action en ce qui a trait aux deux recommandations.

Processus de signalement d’une atteinte à la vie privée

Lorsque l’on découvre une atteinte à la vie privée, la personne qui en fait la découverte prend immédiatement, si possible, les mesures pour réduire la gravité de l’atteinte. Elle doit signaler sur le champ l’atteinte à son gestionnaire. On détermine le BPR opérationnel dans la situation en particulier. Les Lignes directrices sur les atteintes à la vie privée indiquent qu’il faut déterminer un BPR pour chaque atteinte, mais la personne déterminée peut différer d’une atteinte à l’autre. On peut consulter la Division de l’AIPRP à tout moment durant le processus.

Le BPR procède à une évaluation initiale des circonstances, et au besoin, il prendra d’autres mesures pour réduire la gravité de l’atteinte. Ensuite, le BPR effectue l’ERPRP pour évaluer le niveau de risque, et transmet les résultats à l’autorité responsable (Division de l’AIPRP). Les atteintes sont classées comme étant plus graves lorsqu’elles ont une incidence sur la sécurité de la personne ou son sentiment quant au respect de sa vie privée, ébranlant ainsi la confiance du public ou du personnel en la capacité du SCC de gérer ses fonds de renseignements personnels.

Le BPR détermine s’il faut informer la personne dont la confidentialité des renseignements a été violée. Dans l’avis envoyé à la personne, on l’informe de son droit de porter plainte au Commissariat à la protection de la vie privée du Canada (CPVP). Les lignes directrices du Conseil du Trésor relatives aux atteintes à la vie privée indiquent qu’il est fortement recommandé d’informer la personne visée par l’atteinte lorsque celle-ci : 1) touche des données personnelles délicates comme des renseignements financiers ou médicaux ou le numéro d’assurance sociale; 2) peut ouvrir la voie à un vol d’identité ou à une fraude qui s’y rattache; 3) peut avoir d’autres répercussions qui nuiraient ou embarrasseraient la personne et auraient des effets négatifs sur sa carrière, sa réputation, sa situation financière, sa sécurité, sa santé ou son bien-être.

Le BPR détermine la nécessité d’effectuer une enquête sur les faits. Le cas échéant, il procède à celle-ci. Cette décision est fondée sur la nécessité de recueillir davantage de faits pour recommander des mesures visant à éviter un incident semblable ou à évaluer le risque ou les répercussions pour la personne. Habituellement, une enquête sur les faits est nécessaire lorsque le niveau de gravité de l’atteinte est modéré ou élevé (à moins que les faits ne soient vraiment clairs à la lumière de l’ERPRP).

Si une enquête sur les faits est effectuée, le rapport est présenté à la Division de l’AIPRP. Toute mesure corrective prise ou qui sera prise est indiquée dans le rapport.

Enfin, la Division de l’AIPRP doit informer le CPVP de toutes les atteintes comportant un niveau de risque modéré ou élevé.

Cadre de gestion de la protection des renseignements personnels du SCC

Après la Vérification interne de la confidentialité des renseignements de 2006, le SCC a établi un cadre de gestion de la protection des renseignements personnels (CGPRP). Le CGPRP garantit que la protection de la vie privée est un critère fondamental de la gestion des renseignements personnels, afin que les pratiques de gestion et la prestation des services soient conformes à l’esprit et aux exigences de la Loi sur la protection des renseignements personnels. Le CGPRP est un outil dynamique pour réduire le risque organisationnel lié à la vie privée. Dans le cadre de la mise en œuvre du CGPRP, le SCC a mis en place des lignes directrices sur les atteintes à la vie privée pour remplacer les protocoles antérieurs à cet effet.

La Vérification interne de la confidentialité des renseignements a également mis en lumière l’absence de gestion coordonnée des questions relatives aux renseignements personnels entre les secteurs de l’AC. Par conséquent, un comité sur la protection des renseignements personnels a été établi afin de superviser la mise en œuvre du CGPRP. Les membres du comité sur la protection des renseignements personnels tiennent des rencontres trimestrielles et ont les fonctions suivantes :

  • effectuer un examen au niveau supérieur des questions et des difficultés liées à la vie privée pour la gestion des renseignements personnels à l’échelle opérationnelle;
  • faciliter un changement de culture à l’échelle opérationnelle afin que les régions, la gestion locale et les employés participent pleinement à la réduction de tous les risques liés à la vie privée lorsqu’ils gèrent les renseignements personnels;
  • passer en revue les questions relatives aux risques qui leur sont transmises afin de faire le suivi de la mise en œuvre de la politique du CT sur l’évaluation des facteurs relatifs à la vie privée;
  • analyser l’incidence des questions relatives à la vie privée soulevées par les responsables de la protection de la vie privée, en particulier par le Commissariat à la protection de la vie privée.

Le comité sur la protection des renseignements personnels est présidé par le commissaire adjoint, Secteur des politiques. Le directeur de la Division de l’AIPRP, de hauts fonctionnaires de divers secteurs et des représentants des régions et des établissements font également partie du comité.

2.0 Objectifs et portée de la vérification

2.1 Objectifs de la vérification

La vérification avait les objectifs suivants :

  • fournir une assurance raisonnable que le cadre de gestion en place garantit la protection des renseignements personnels des délinquants et est conforme aux diverses lois et dispositions législatives;
  • fournir une assurance raisonnable que le SCC veille à ce que la confidentialité des renseignements personnels des délinquants soit protégée comme l’exigent les dispositions législatives, les lois et les cadres organisationnels pertinents.

Les critères qui ont servi à atteindre les objectifs provenaient du Committee of Sponsoring Organizations (COSO) dans le cas du premier, et des Lignes directrices du SCC et du Conseil du Trésor sur les atteintes à la vie privée dans le cas du deuxième. Les critères précis de chacun des objectifs figurent à l’annexe A.

2.2 Portée

La vérification avait une portée nationale et était axée sur la protection des renseignements personnels des délinquants dans son ensemble et sur la prévention et le signalement des atteintes à la confidentialité de ces renseignements. La vérification a pris la forme de visites dans les cinq régions, dans des établissements sélectionnés de manière à ce que tous les niveaux de sécurité et tous les types d’établissements soient représentés. La liste des établissements visités se trouve à l’annexe B.

L’équipe a vérifié si des mesures de contrôle étaient en place pour garantir que les atteintes à la confidentialité des renseignements personnels des délinquants étaient signalées. Elle a aussi vérifié si la direction avait établi des processus pour réduire au minimum les risques d’atteinte à la vie privée et les récurrences. Elle a examiné les directives et les cadres établis par le SCC concernant la protection des renseignements personnels pour s’assurer qu’ils étaient conformes aux lois et aux dispositions législatives pertinentes, et elle a vérifié si les principes énoncés dans la Loi sur la protection des renseignements personnels, dont celui du besoin de connaître, étaient respectés. L’équipe a aussi vérifié si des mécanismes étaient en place pour protéger les renseignements personnels des délinquants. Elle a par ailleurs évalué si les employés du SCC savaient ce qu’étaient des atteintes à la confidentialité des renseignements personnels des délinquants et s’ils connaissaient leurs rôles et leurs responsabilités dans ce domaine.

La portée de cette vérification a été limité à la protection de l’information des détenus incarcérés et n’a pas touché la protection de l’information relative aux employés du SCC ainsi que des délinquants dans la communauté. Elle n’a pas porté non plus sur la classification des renseignements personnels des délinquants (c.-à-d. les cotes de sécurité) ni sur le processus qui entoure l’accès à l’information. Les délais entourant le signalement des atteintes n’ont pas non plus été révisés, étant donné qu’il était impossible de vérifier l’exactitude de ces délais.

3.0 Approche et méthodologie

L’équipe de vérification a examiné les dispositions législatives, les politiques et les procédures en place concernant le processus de protection des renseignements personnels des délinquants, les rôles et les responsabilités du personnel dans les établissements, leur formation et leurs connaissances, le signalement des atteintes à la vie privée, ainsi que la surveillance et la production de rapports qui avaient lieu à ces endroits.

L’équipe de vérification a également évalué la conformité aux dispositions législatives, aux politiques et aux lignes directrices clés ainsi qu’aux contrôles internes clés liés à la protection des renseignements personnels des délinquants. L’équipe a pour cela réalisé des observations et des analyses, examiné des documents et interrogé des employés dans les établissements, afin d’évaluer le cadre de gestion et de vérifier si les renseignements personnels des délinquants étaient bien protégés.

L’Annexe C énumère et décrit en détail les techniques utilisées pour compiler les données aux fins de la présente vérification.

4.0 Constatations et recommandations

4.1 Cadre de gestion de la protection des renseignements personnels des délinquants

Nous avons évalué la mesure dans laquelle un cadre de gestion était en place pour soutenir la gestion efficace de la protection des renseignements personnels des délinquants. À cette fin, nous avons examiné les dispositions législatives, les politiques et les lignes directrices, les rôles et les responsabilités, la formation et les connaissances, ainsi que les mécanismes de surveillance et de production de rapports.

4.1.1 Politiques et procédures

Nous nous attendions à ce qu’il existe des lignes directrices et des bulletins pour soutenir la protection des renseignements personnels des délinquants et à ce que ces documents soient conformes aux lois, aux dispositions législatives et aux politiques pertinentes du gouvernement fédéral. Nous nous attendions également à ce qu’ils aient été communiqués aux employés.

Des lignes directrices encadrant la protection des renseignements personnels des délinquants étaient en place et avaient été communiquées aux employés.

En 2010, la Division de l’AIPRP a publié les Lignes directrices sur les atteintes à la vie privée. Ces dernières décrivaient le processus pour donner suite aux atteintes à la vie privée, y compris la façon dont elles doivent être signalées et la façon de réaliser les ERPRP pour déterminer les répercussions et les circonstances entourant chaque atteinte. Les lignes directrices ont été actualisées en 2013, afin de respecter les recommandations du Commissariat à la protection de la vie privée du Canada (CPVP). Il est dorénavant nécessaire d’aviser le CPVP de toutes les atteintes à la vie privée de gravité moyenne et élevée, ce qui comprend des copies de tous les documents où il y a eu atteinte, accompagnés des ERPRP, de la lettre d’avis et de tout autre document pertinent à l’appui. S’il s’agit d’une atteinte mineure (p. ex., un courriel envoyé par erreur à un employé du SCC contenant des renseignements personnels qui ne sont pas de nature délicate), le BPR détermine si une ERPRP et un signalement de l’atteinte sont nécessaires.

Lors des entrevues, les vérificateurs ont noté que tous les directeurs d’établissement, directeurs adjoints des Services de gestion et chefs des Services administratifs qu’ils ont interrogés connaissaient les Lignes directrices sur les atteintes à la vie privée; 92 % d’entre eux (33 sur 36) ont affirmé les avoir lues. Par ailleurs, 78 % d’entre eux (29 sur 37) les ont jugé claires et n’ont soulevé aucun questionnement par rapport aux exigences. Ceux qui s’interrogeaient avaient notamment de la difficulté à savoir qui dans leur établissement décidait de la nécessité de tenir une enquête pour établir les faits, de la difficulté à déterminer le niveau d’atteinte et même de la difficulté à déterminer si un incident constituait bel et bien une atteinte.

Les Lignes directrices sur les atteintes à la vie privée ont été mises à jour au moment de la présente vérification. L’équipe n’a pas fait de distinction entre les versions de 2010 et de 2013 lorsqu’elle a évalué les connaissances des gestionnaires et des employés sur le sujet.

Les Lignes directrices du SCC sur les atteintes à la vie privée étaient conformes à la Loi sur la protection des renseignements personnels et à la politique du gouvernement du Canada.

L’équipe de vérification a comparé les versions de 2010 et de 2013 des Lignes directrices du SCC sur les atteintes à la vie privée à celles du Conseil du Trésor et aux articles pertinents de la Loi sur la protection des renseignements personnels. Dans l’ensemble, aucun écart ni aucune contradiction n’ont été relevés entre les documents.

4.1.2 Rôles et responsabilités

Nous nous attendions à ce que les rôles et les responsabilités liés à la gouvernance et aux tâches en matière de protection des renseignements personnels des délinquants soient clairement définis, compris et consignés.

La responsabilité de la gestion des atteintes à la vie privée était clairement définie dans la description de travail du poste de chef des Services administratifs, mais des rôles n’étaient pas assignés à des postes particuliers dans les lignes directrices.

En examinant la description de travail générique nationale du poste de chef des Services administratifs, l’équipe de vérification a remarqué que cette personne était désignée pour diriger dans l’établissement toutes les questions relatives à la protection des renseignements personnels et à l’accès à l’information, conseiller la direction, voir à ce que les employés se conforment aux dispositions législatives pertinentes et établir des mesures correctives appropriées. La description de travail précisait également que cette personne recommande les mesures correctives jugées nécessaires à la direction et qu’elle les met en place. Les Lignes directrices du SCC sur les atteintes à la vie privée (version 2013) ne précisaient toutefois pas que cette responsabilité incombait à une personne en particulier, leur intention était plutôt de laisser une certaine latitude aux établissements.

Les directeurs d’établissement, les directeurs adjoints des Services de gestion, les chefs des Services administratifs et les agents du renseignement de sécurité jouent un rôle important dans le signalement et la surveillance des atteintes à la vie privée dans les établissements. Lorsqu’ils ont rencontré ces personnes, les vérificateurs ont noté qu’elles comprenaient leur rôle, mais que les établissements suivaient des processus différents pour le signalement et le suivi des atteintes à la vie privée des délinquants. Dans neuf des quinze établissements visités, les atteintes étaient gérées par le directeur adjoint des Services de gestion, le chef des Services administratifs ou une personne précise relevant de l’un ou de l’autre (tous les signalements leur étaient faits). À ces endroits, ces personnes étaient les principaux points de contact pour tout ce qui touche les atteintes : elles coordonnaient toutes les enquêtes nécessaires visant à établir les faits, réalisaient les ERPRP et signalaient les atteintes aux personnes requises.

Dans les autres unités opérationnelles, le processus était beaucoup moins cohérent et beaucoup moins défini. À certains endroits, par exemple, les atteintes étaient signalées à l’agent du renseignement de sécurité. Ailleurs, les employés avisaient directement les groupes chargés des questions de protection de la vie privée à leur administration régionale ou à l’administration centrale lorsqu’ils soupçonnaient une atteinte. Dans la majorité des unités où le chef des Services administratifs n’était pas le principal point de contact pour la gestion des atteintes à la vie privée, il était encore moins clair de savoir qui était chargé d’approuver et ultérieurement de gérer les mesures correctives énoncées dans l’ERPRP pour éviter le plus possible qu’un incident du même genre ne se reproduise.

Le manque de rôles bien définis dans les Lignes directrices du SCC sur les atteintes à la vie privée pour indiquer qui les gère peut provoquer de la confusion et accroître les probabilités que les employés ne signalent pas toutes les atteintes ou qu’ils ne les gèrent pas de façon uniforme partout au pays. Le signalement des atteintes à la vie privée est examiné en détail à la section 4.1.4.

4.1.3 Formation et sensibilisation

Nous nous attendions à ce que des séances de formation sur la protection des renseignements personnels des délinquants soient données à tous les employés du SCC et à ce que ces derniers comprennent les divers principes qui y sont rattachés.

Une formation minimale était offerte aux employés des établissements.

Une formation est donnée aux employés afin qu’ils acquièrent toutes les connaissances et les compétences requises pour assumer leurs rôles et leurs responsabilités. Dans le cadre du Programme d’orientation des nouveaux employés (PONE), du Programme d’orientation des agents de libération conditionnelle (POALC) et de la formation de base des agents correctionnels, les nouveaux employés suivent une séance de sensibilisation de très haut niveau sur la protection des renseignements personnels, où il est notamment question du besoin de connaître, des niveaux de protection des documents et de la sauvegarde des renseignements électroniques. Parmi les employés interrogés, 52 % (65 sur 124) ont affirmé avoir reçu une formation sur le sujet dans le cadre de leur programme d’orientation. Toutefois, seulement 37 % d’entre eux (24 sur 65) ont reçu une formation supplémentaire sur la protection des renseignements personnels.

En interrogeant du personnel de la Division de l’AIPRP et des agents de liaison régionaux de l’AIPRP, l’équipe a découvert que même s’il était souhaitable de donner de la formation sur la protection des renseignements personnels, le temps et les contraintes budgétaires faisaient en sorte de limiter la formation dans les établissements.

Les employés comprenaient le concept de la protection des renseignements personnels, mais ne comprenaient pas toujours ce en quoi consistait une atteinte à la vie privée.

Durant ses observations et les entrevues qu’elle a réalisées dans divers établissements, l’équipe de vérification a remarqué que les employés comprenaient bien qu’il est important de sauvegarder les renseignements protégés lorsque des délinquants accèdent à un secteur où se trouvent des renseignements personnels. Les personnes interrogées ont indiqué qu’elles prenaient des précautions pour veiller à ce que les délinquants ne se retrouvent pas dans une situation où ils pouvaient obtenir ou consulter les renseignements personnels de quelqu’un d’autre. Les employés ont par exemple plusieurs fois indiqué que lorsqu’un délinquant venait faire le ménage dans leur bureau, ils plaçaient leurs documents face vers le bas ou de sorte à être hors de la vue du délinquant, éteignaient leurs écrans et ne laissaient jamais le délinquant sans surveillance dans un bureau. Toutefois, comme nous le verrons en détail à la section 4.2.2, la protection et la gestion des renseignements des délinquants varient lorsque c’est un autre employé qui souhaite les consulter. Ce manque de protection des renseignements des délinquants lorsqu’il est question d’autres employés est une violation du principe du besoin de connaître.

Les employés interrogés estimaient que la question de la protection des renseignements personnels n’était pas difficile et qu’il n’était pas nécessaire de donner constamment de la formation sur le sujet. Cela dit, comme des atteintes à la vie privée continuaient de se produire, l’équipe de vérification a noté des exemples de courriels envoyés aux employés pour leur rappeler leurs obligations quant à la protection des renseignements personnels et à la façon de gérer les documents protégés. Certains établissements visités planifiaient par ailleurs d’organiser des séances de sensibilisation lors de différentes activités, notamment lors de réunions d’employés, pour parler de l’importance de protéger les renseignements personnels.

Lors de ses observations et de ses entrevues, l’équipe de vérification a recueilli des preuves d’atteintes non signalées. Elle a par exemple observé un détenu retourner un rapport à la fenêtre d’un agent correctionnel en indiquant que le document lui avait été remis par erreur. L’incident n’a toutefois pas été signalé comme une atteinte, l’agent correctionnel ne l’ayant pas jugé nécessaire. Des gestionnaires d’établissements et des agents de liaison régionaux de l’AIPRP ont indiqué à l’équipe que la principale raison expliquant cette absence était le manque de sensibilisation des employés des établissements à ce qui constitue une atteinte à la vie privée. Ce manque avait aussi été soulevé lors de la vérification interne de 2006.

4.1.4 Signalement des atteintes à la vie privée

Nous nous attendions à ce que des processus officiels soient en place pour s’assurer du signalement des atteintes à la confidentialité des renseignements des délinquants, et à ce que ces processus soient respectés.

Il existe un cadre pour signaler les atteintes à la vie privée, mais les établissements ne l’appliquent pas tous de la même manière.

Les Lignes directrices sur les atteintes à la vie privée de 2013 décrivent le processus pour gérer les atteintes à la vie privée, y compris la façon dont elles doivent être signalées et la façon de réaliser les ERPRP. Comme il en a été question à la section 4.1.1, ces lignes directrices ont été diffusées dans l’ensemble du SCC et la plupart des directeurs d’établissement, des directeurs adjoints des Services de gestion et des chefs des Services administratifs les connaissaient, tout comme ils connaissaient les exigences entourant les signalements. Cela dit, comme cela a été vu à la section 4.1.2, les rôles et les responsabilités de chacun dans les établissements par rapport à la question des renseignements personnels et des atteintes n’étaient pas toujours clairs.

Les Lignes directrices précisent que la personne qui constate l’atteinte doit la signaler directement à son gestionnaire, qui désigne le BPR. Ce dernier doit effectuer une évaluation initiale des circonstances, aviser la Division de l’AIPRP de l’atteinte et effectuer une enquête pour établir les faits ainsi qu’une ERPRP. Lors des entrevues qu’ils ont réalisées dans les établissements, les vérificateurs ont remarqué qu’à bon nombre d’endroits, les personnes ne savaient pas clairement comment signaler une atteinte réelle ou présumée à la vie privée ou à qui s’adresser pour obtenir cette information. Aux endroits où le nombre d’atteintes signalées était élevé, les vérificateurs ont noté que le personnel connaissait le processus à suivre et le principal point de contact dans leur établissement pour discuter de ces préoccupations. En revanche, aux endroits comptant très peu de signalements, les vérificateurs ont découvert que le personnel ignorait à qui il devait signaler une atteinte, ce qui augmente les probabilités que de nombreuses atteintes à la confidentialité des renseignements des délinquants ne soient pas signalées.

L’équipe de vérification a également constaté à deux endroits que les agents du renseignement de sécurité étaient chargés de signaler les atteintes. Elle note que cette situation est préoccupante, parce que les agents du renseignement suivent le processus des atteintes à la sécurité et non les étapes prescrites dans les Lignes directrices sur les atteintes à la vie privée. Dans ce cas-ci, la Division de l’AIPRP a déclaré qu’elle prenait connaissance de ces atteintes en révisant les rapports de situation quotidiens. Cela dit, lorsqu’elle a discuté avec la Direction de la sécurité à l’AC, l’équipe a obtenu la confirmation que ce ne sont pas toutes les atteintes à la vie privée des délinquants qui sont consignées dans les rapports de situation. En somme, il arrive que des atteintes ne fassent l’objet d’aucun suivi de la part de la Division de l’AIPRP.

Les atteintes à la vie privée n’étaient pas toutes signalées.

Les Lignes directrices sur les atteintes à la vie privée définissent une atteinte à la vie privée comme la collecte, l’utilisation, la divulgation, la conservation ou la destruction inadéquate ou non autorisée de renseignements personnels qui découlent d’une mauvaise gestion des renseignements personnels. Lors des entrevues menées auprès du personnel de la Division de l’AIPRP, tous les agents de liaison régionaux de l’AIPRP et 59 % (10 sur 17) des chefs des Services administratifs et des directeurs adjoints des Services de gestion ont déclaré que les atteintes à la vie privée n’étaient pas toutes signalées, selon eux. Diverses raisons ont été données à l’équipe pour expliquer cela, notamment la culture des établissements, la crainte de réprimande et un manque de connaissances chez certains employés de ce en quoi consiste exactement une atteinte à la vie privée.

Durant ses observations, l’équipe a constaté qu’à certains endroits, les atteintes à la vie privée étaient attribuables à des processus systémiques, dont les employés semblaient ignorer les effets sur la protection des renseignements personnels. Ces processus faisaient bien souvent partie de la culture des établissements. L’équipe a par exemple remarqué que des listes comportant le nom de délinquants, une partie de leur numéro SED ainsi que le lieu et la date de leurs rendez-vous étaient affichées à plusieurs endroits dans deux établissements. L’équipe considère aussi qu’il est préoccupant que les tableaux de dénombrement soient placés à la vue du personnel et des délinquants dans les unités de trois établissements, parce que ces tableaux renferment le nom des délinquants, leur numéro SED et d’autres renseignements personnels, notamment avec qui ils sont incompatibles et à quel gang ils sont affiliés. Les mêmes problèmes avaient été soulevés lors de la vérification interne de 2006.

Lors des entrevues qu’elle a réalisées dans les établissements, plus précisément ceux où les signalements étaient peu nombreux, l’équipe de vérification a remarqué qu’il était dans leur culture de ne pas accorder d’importance au signalement de toutes les atteintes à la vie privée. Comme cela a été noté précédemment, l’équipe a constaté une corrélation entre le manque de sensibilisation des employés à ce qui constitue une atteinte à la vie privée et le nombre de signalements. Si les employés ignorent qu’il y a des atteintes et ce qui les entraîne, des signalements seront omis et le SCC sera incapable d’éviter la récurrence. Il ne pourra pas non plus informer les délinquants des atteintes à leurs renseignements personnels et dérogera donc à la Loi sur la protection des renseignements personnels. La sécurité des délinquants pourrait être compromise si ces problèmes systémiques se poursuivent.

4.1.5 Surveillance et production de rapports

Nous nous attendions à ce que la direction exerce un suivi des atteintes à la vie privée signalées afin de réduire au minimum le nombre de nouvelles atteintes et de s’assurer que les causes fondamentales des incidents sont corrigées.

La Division de l’AIPRP a vérifié les atteintes à la vie privée qui lui ont été signalées pour veiller à ce que des évaluations des risques relatifs à la protection des renseignements personnels (ERPRP) soient réalisées, au besoin. La Division n’a toutefois pas pu fournir de statistiques précises pour chaque unité opérationnelle.

Les Lignes directrices sur les atteintes à la vie privée exigent que le BPR chargé d’une d’atteinte la signale à la Division de l’AIPRP dans les deux jours suivant sa découverte et qu’il en évalue les risques au moyen d’une ERPRP. Les Lignes directrices, qui expliquent les sept types d’atteintes, exigent que la personne envoie un courriel à un compte générique, lequel varie selon le type d’atteinte. Une fois le courriel envoyé, une copie conforme est transmise aux groupes appropriés à l’AC, pour qu’ils soient informés. La personne qui souhaite par exemple signaler le vol ou la perte de documents imprimés envoie un courriel au compte GEN-NHQ Breach/Atteinte Type 1, et la Division de l’AIPRP et la Division de la sécurité du Ministère sont aussitôt informées.

En interrogeant du personnel dans les établissements et à l’AC, l’équipe de vérification a confirmé que les établissements suivaient ce processus. Cela dit, même si la Division de l’AIPRP pouvait faire un suivi exact des atteintes survenues à l’échelle du Service au cours d’une période donnée, le système ne permettait pas de rendre compte des atteintes survenues dans chaque unité opérationnelle. Aux fins de la vérification, l’équipe a demandé une liste de toutes les atteintes signalées depuis 2011 dans les 15 unités opérationnelles visitées. Lorsqu’elle a comparé cette liste aux atteintes que les unités avaient dans leurs dossiers, l’équipe a réalisé qu’il y en avait 43 de plus dans les dossiers des unités. Les unités ont fourni pour ces cas qui ne figuraient pas sur la liste des copies des ERPRP qui avaient été envoyées à la Division de l’AIPRP.

L’équipe de vérification a fait part de ces inquiétudes à la Division de l’AIPRP, qui lui a répondu qu’avant janvier 2013, l’information n’était pas consignée par unité. Ce manque de cohérence dans la production de rapports a fait en sorte qu’il a été difficile pour la Division de l’AIPRP de brosser un portrait exact des tendances par unité ou par région. La Division de l’AIPRP a cependant confirmé que ce processus avait changé depuis; le nouveau processus exige désormais que l’unité où s’est produite l’atteinte soit clairement indiquée dans le système pour permettre des analyses et un suivi exacts des atteintes à la vie privée.

L’administration centrale ne faisait pas un suivi serré des mesures correctives énoncées dans les ERPRP. L’équipe de vérification confirme cependant que la situation a été corrigée.

Les Lignes directrices sur les atteintes à la vie privée précisent que les mesures correctives sont essentielles pour prévenir d’autres atteintes et qu’elles doivent être mentionnées dans l’ERPRP. Une copie des documents les appuyant, y compris les notes de service et les courriels, doit être jointe à l’ERPRP. La Division de l’AIPRP doit faire le suivi des mesures correctives mentionnées dans l’ERPRP pour s’assurer qu’elles ont été bien mises en place. Ces mesures peuvent être des formations, des courriels et de séances de sensibilisation, ou des examens des procédures internes ou des politiques de l’organisation. S’il s’agit d’atteintes modérément graves et très graves, les mesures correctives peuvent également comprendre une réprimande, la révocation de la cote de sécurité, une suspension ou un congédiement.

Sur un échantillon aléatoire de 25 atteintes à la vie privée signalées depuis 2011, l’équipe a recensé que des mesures correctives étaient inscrites au dossier de 22 d’entre elles. Cela dit, même si les établissements transmettaient des preuves des mesures qu’ils avaient prises, aucun mécanisme ne permettait à la Division de l’AIPRP de distinguer facilement les atteintes qui étaient corrigées et les mesures qui restaient à mettre en place dans les établissements.

La Division de l’AIPRP a noté cette lacune rapidement lors de la réalisation de la présente vérification. Le processus a depuis été resserré. La Division utilise maintenant son système de gestion de l’information à son plein potentiel pour gérer les atteintes. Les communications associées à chacune sont dorénavant conservées de manière structurée dans le système, et les agents chargés des politiques en matière d’AIPRP font régulièrement des suivis auprès des établissements pour vérifier si les mesures correctives mentionnées dans les ERPRP ont été mises en place. Le système permet aussi maintenant à la Division de distinguer clairement les dossiers « clos » des dossiers « ouverts » en attente des preuves des mesures correctives (le personnel ne peut « clore » un dossier tant qu’il n’a pas reçu les preuves des mesures correctives et qu’il ne les a pas examinées).

Conclusion

De façon générale, l’équipe de vérification a constaté que les Lignes directrices sur les atteintes à la vie privée ont été créées, qu’elles étaient communiquées et qu’elles étaient comprises par les employés concernés, mais que le cadre de gestion devait être renforcé afin de veiller à protéger les renseignements personnels des délinquants.

En conclusion, les aspects suivants pourraient être améliorés :

  • les rôles et les responsabilités des personnes qui doivent signaler les atteintes à l’échelle locale et en faire le suivi doivent être mieux définis;
  • la direction doit veiller à ce que toutes les atteintes à la vie privée soient signalées;
  • des séances de formation et de sensibilisation devraient être fournies aux membres du personnel des établissements;
  • les employés ne sont pas suffisamment informés sur ce que constitue une atteinte à la vie privée et la façon dont il faut signaler les atteintes lorsqu’elles sont découvertes;
  • l’administration centrale devrait surveiller et examiner avec précision les tendances liées aux atteintes à la vie privée, afin d’avoir un portrait par région et par établissement.

Recommandation 1Note de bas de page 5

Le commissaire adjoint, Politiques, devrait développer les outils nécessaires afin d’aider la gestion locale à aborder les questions reliées à la vie privée, incluant ceux requis pour créer une certaine uniformité dans la gestion des cas d’atteinte à la vie privée dans les différent sites. Ceci pourrait inclure l’élaboration d’un processus clair et consistant visant à identifier les atteintes ainsi que les personnes responsables de recevoir l’information dans les établissements et aussi à savoir comment gérer les atteintes. De plus, le commissaire adjoint, Politiques, devrait surveiller les tendances observées dans les atteintes dans le but d’identifier les facteurs à leur origine et ainsi minimiser les risques pour le SCC.

Les équipes de gestion locales, sous la direction des sous-commissaires régionaux, devraient s’assurer que le cadre de gestion de la vie privée ainsi que les outils qui s’y rapportent ont été entièrement mis en oeuvre à leur site et que les mécanismes requis afin d’améliorer la conscience du personnel quant à l’importance de protéger l’information sensible ont été mis en place.

Réponse de la gestion

Le CAP p. i., le CAOPC et les SCR sont d’accord avec la recommandation.
Voici ce que comprennent les mesures :

  • Le chef des Services administratifs a été désigné comme le principal point de contact pour le signalement à la Division de l’AIPRP à l’AC des atteintes à la vie privée qui surviennent dans les établissements; tous les employés seront avisés au moyen du bulletin Cette semaine au SCC. En désignant des postes clés et des personnes responsables, on s’assurera d’une approche cohérente pour le signalement des atteintes à la vie privée dans les unités opérationnelles.

  • Le document intitulé Cadre de gestion de la protection des renseignements personnels sera révisé afin qu’on puisse démontrer de façon efficace l’importance de gérer les renseignements personnels recueillis et détenus au SCC.

  • Des séances de formation et de sensibilisation seront montées, puis données aux employés du SCC pour qu’ils comprennent bien l’importance de la protection des renseignements personnels et qu’ils sachent comment signaler les atteintes. Les séances seront données lors du Programme d'orientation des nouveaux employés (PONE); les agents de liaison régionaux de l’AIPRP donneront aussi de la formation au personnel des régions.

  • La Division de l’AIPRP produira un rapport trimestriel recensant les atteintes à la vie privée qui se ressemblent au SCC ainsi les mesures correctives mises en œuvre pour les prévenir. Pour les employés, ce rapport sera un rappel de l’importance de protéger les renseignements personnels.

  • Pour connaître la liste de toutes les mesures associées à cette recommandation, veuillez consulter le plan d’action de la gestion. La mise en œuvre de la première recommandation sera complète d’ici le 31 juillet 2014, lorsque le premier rapport trimestriel sera produit.

4.2 Conformité aux Lignes directrices sur les atteintes à la vie privée

Nous avons évalué dans quelle mesure le SCC se conformait aux politiques et aux lignes directrices pertinentes sur la gestion de la protection des renseignements personnels des délinquants. Cette évaluation s’est principalement effectuée au moyen d’entrevues et d’observations sur place.

4.2.1 Analyse de l’incident

Nous nous attendions à ce que les établissements réalisent des évaluations des risques relatifs à la protection des renseignements personnels (ERPRP), et à ce qu’ils établissent et mettent en œuvre des mesures correctives après toute atteinte à la confidentialité des renseignements personnels des délinquants.

Des ERPRP étaient réalisées pour toutes les atteintes signalées, mais des atteintes n’étaient pas signalées.

Les Lignes directrices sur les atteintes à la vie privée exigent que le BPR chargé d’une d’atteinte la signale à la Division de l’AIPRP (et à l’agent régional chargé des questions d’AIPRP, s’il y a lieu) dans les deux jours suivant sa découverte et qu’il en évalue le niveau de risque au moyen d’une ERPRP.

En interrogeant des employés à l’AC, dans les AR et dans les établissements visités, l’équipe de vérificateurs s’est rendu compte que la plupart des directeurs d’établissement, directeurs adjoints des Services de gestion et chefs des Services administratifs savaient qu’une ERPRP était requise pour chaque atteinte. Dans certains cas, les atteintes étaient signalées dans des rapports de sécurité et faisaient partie de rapports de situation quotidiens. Dans ces cas-là, la Division de l’AIPRP communiquait directement avec l’unité opérationnelle pour s’assurer qu’une ERPRP (mentionnant les mesures correctives) était réalisée, puis transmise conformément aux Lignes directrices sur les atteintes à la vie privée. Lorsqu’elle a discuté avec la Direction de la sécurité à l’AC, l’équipe a obtenu la confirmation que bon nombre d’atteintes à la vie privée étaient signalées sous la forme d’incidents de sécurité dans des rapports de situation, mais que les incidents mineurs n’étaient pas toujours signalés dans ces rapports. Ce constat confirme que ce ne sont pas toutes les atteintes à la vie privée qui sont signalées à la Division de l’AIPRP ou qui sont portées à son attention.

Comme cela a été mentionné précédemment, à certains endroits, la direction était au courant des atteintes à la vie privée et de leur signalement conformément aux Lignes directrices sur les atteintes à la vie privée, mais estimait qu’elles n’étaient pas toutes signalées. Au cours de la vérification, de nombreuses raisons ont été découvertes pour expliquer pourquoi les atteintes n’étaient pas toujours signalées. Dans bon nombre de cas, les employés comprenaient l’importance de la confidentialité des renseignements, mais certains ignoraient en réalité en quoi consiste une atteinte à la vie privée, plus particulièrement les incidents mineurs. Tous les établissements savaient qu’un délinquant en possession de renseignements appartenant à un autre délinquant constituait un problème, mais ils ne signalaient pas toujours officiellement le cas d’un délinquant qui recevait par erreur du courrier qui ne lui était pas adressé. L’équipe de vérification a aussi constaté que de nombreux établissements ne considéraient pas le versement par erreur du rapport d’un délinquant dans le dossier d’un autre comme une atteinte à la vie privée. Ils étaient malgré tout incapables de déterminer qui avait pu consulter le rapport.

Ces préoccupations, tout comme celles soulevées précédemment à propos du manque de sensibilisation, laissent entendre qu’il existe dans les faits plus d’atteintes que celles qui sont officiellement signalées. Ainsi, si les employés n’informent pas la direction et que des atteintes ne sont pas signalées, il devient très difficile d’éviter la récurrence.

4.2.2 Besoin de connaître

Nous nous attendions à ce que le principe du besoin de connaître soit adopté et respecté, conformément au cadre établi par le SCC pour la protection des renseignements personnels.

Le principe de base du besoin de connaître est bien compris du personnel des établissements, mais il n’est pas appliqué pleinement et de manière cohérente.

La Directive du commissaire (DC) 701 – Communication de renseignements définit le besoin de savoir ou de connaître comme toute information qui est pertinente et dont une personne a besoin pour exécuter ses fonctions. Lors de ses visites, l’équipe de vérificateurs a demandé à 83 personnes si elles avaient de la difficulté à déterminer si elles avaient le besoin de connaître certains renseignements. Parmi celles qui ont été interrogées, 89 % (74 sur 83) estimaient que le principe du besoin de connaître était très clair et facile à comprendre. Cela dit, lorsqu’on leur a demandé de commenter leur interprétation du principe, les réponses variaient considérablement d’un établissement à l’autre. À de nombreux endroits, les vérificateurs ont entendu que seuls les renseignements de base étaient nécessaires pour exécuter le travail. Les vérificateurs ont par exemple entendu à certains endroits que peu de raisons pouvaient motiver un agent correctionnel à consulter l’ensemble des antécédents criminels d’un délinquant, à moins qu’il n’ait été sous sa responsabilité. Ailleurs, le principe était interprété différemment : toute personne interagissant avec un délinquant avait le droit d’examiner son dossier selon ce qu’elle jugeait nécessaire. Lorsqu’ils ont interrogé des directeurs d’établissement, les vérificateurs ont noté que leur interprétation, qui variait considérablement de l’un à l’autre, avait une influence sur ce que leurs employés pensaient du concept. Parmi les treize directeurs d’établissement interrogés, sept ont déclaré que le besoin de connaître des employés devrait être très limité, autrement dit que les agents correctionnels devraient uniquement consulter les dossiers des délinquants sous leur responsabilité ou ceux de leur unité résidentielle. Les six autres directeurs d’établissement avaient une interprétation beaucoup plus large du concept et estimaient que les employés devaient avoir le droit de consulter tout ce qui se trouvait sur tous les délinquants de l’établissement. Ils invoquaient la sécurité et pour eux, une meilleure sécurité active était essentielle pour assurer la sécurité du personnel et des délinquants et il était inconcevable de sacrifier la sécurité au détriment de la protection des renseignements personnels.

Même s’il était évident que les employés comprenaient la nécessité de protéger les renseignements personnels des délinquants pour éviter que d’autres délinquants y aient accès, l’équipe de vérificateurs a remarqué moins de vigilance lorsqu’il était question d’employés qui avaient accès aux renseignements de délinquants. Les employés n’étaient pas toujours questionnés lorsqu’ils accédaient ou demandaient accès aux renseignements d’un délinquant dans le registre central ou des sous-registres. On a par exemple noté lors de nombreuses entrevues que la plupart des établissements avaient une liste des cas de chaque agent de libération conditionnelle, mais que cette liste était rarement consultée. Des préoccupations ont par ailleurs été soulevées dans quatre établissements où les dossiers, y compris certains dossiers de gestion de cas, étaient laissés à des endroits auxquels des employés avaient librement et facilement accès, sans avoir nécessairement le besoin de connaître l’information qui s’y trouvait. Ce manque de mesures de contrôle faisait en sorte qu’il était difficile pour les établissements de voir à ce que les employés qui examinaient des dossiers avaient bel et bien besoin d’en connaître le contenu.

Le principe du besoin de connaître le contenu de dossiers électroniques de délinquants est une autre source d’inquiétudes, étant donné que les personnes savent qu’elles peuvent facilement consulter le dossier d’un délinquant sans en demander une copie papier auprès du bureau des dossiers. Après en avoir discuté avec l’équipe responsable de la qualité des données et du soutien aux utilisateurs du SGD à l’AC, les vérificateurs ont déterminé que ce groupe pouvait vérifier les consultations (déterminer à quel dossier de délinquant un employé avait eu accès et à quel moment, entre autres). Cela dit, il n’y a aucune surveillance active, ces analyses sont réalisées uniquement pour répondre aux demandes spéciales de la haute direction.

L’existence de bureaux conjoints et le partage des imprimantes et des photocopieurs compliquent encore davantage le respect de l’exigence liée au besoin de connaître. Dans un établissement, par exemple, les services de santé, les services de psychologie, les préposés aux visites et à la correspondance et les agents de libération conditionnelle partagent les mêmes appareils électroniques. Une personne peut ainsi facilement accéder à un document de nature délicate que quelqu’un d’autre a imprimé et ne pas avoir besoin de connaître son contenu.

Les vérificateurs ont remarqué que bon nombre des problèmes entourant le besoin de connaître, soulevés lors de la Vérification interne de la protection des dossiers des délinquants et du personnel menée en 2010, sont toujours présents. Si le principe du besoin de connaître n’est pas respecté, des personnes peuvent accéder à des renseignements sur des délinquants sans que cela soit justifié.

4.2.3 Protection des renseignements personnels des délinquants

Nous nous attendions à ce que des mesures de contrôle soient mises en place pour garantir la conservation et la protection des renseignements personnels des délinquants dans tous les établissements, et à ce que les employés respectent ces mesures.

Les moyens permettant d’identifier les copies de rapports appartenant aux délinquants n’étaient pas utilisés.

Conformément à la DC 701 – Communication de renseignements, les renseignements qui peuvent être communiqués directement au délinquant devraient lui être transmis immédiatement, s’il n’existe pas de motifs raisonnables de croire que leur communication mettrait en danger la sécurité d’une personne. Cela comprend les copies des rapports achevés dans le SGD, tels les évaluations en vue d’une décision et les suivis du plan correctionnel.

Lors de la Vérification interne de la protection des dossiers des délinquants et du personnel menée en 2010, il a été noté que même si le SCC devait permettre aux délinquants de consulter les renseignements les concernant, il n’existait aucun mécanisme dans la plupart des établissements pour différencier les copies remises au délinquant de celles conservées par le SCC. Dans ce contexte, si un délinquant a en sa possession des renseignements personnels au sujet d’un autre délinquant, il est presque impossible pour le SCC de savoir si c’est lui qui est en cause ou si c’est le délinquant à qui les renseignements appartenaient. Après la vérification, en juillet 2011, un bulletin de gestion de cas a été publié pour indiquer que les établissements devaient veiller à ce que leurs employés estampillent de la mention « copie du délinquant » tout ce qu’ils remettent aux délinquants.

Durant la présente vérification, les vérificateurs ont remarqué que ces préoccupations étaient toujours présentes, puisque la majorité des employés interrogés dans 11 des 15 établissements visités ont indiqué qu’ils n’apposaient toujours pas la mention « copie du délinquant » sur les rapports qu’ils leur remettaient. Le manque de conformité à cette exigence d’utiliser un tampon pour marquer les copies des délinquants fait en sorte que le SCC est toujours vulnérable aux signalements d’atteintes à la vie privée (on ne sait pas si ce sont les délinquants qui ne protègent pas bien leurs propres copies ou si c’est le SCC qui a commis des erreurs).

Les délinquants n’avaient pas toujours de moyens de protéger leurs renseignements personnels lorsqu’ils partageaient leur cellule avec un autre délinquant.

De nombreux changements législatifs ont fait augmenter le nombre de délinquants au SCC, qui prévoit que cette augmentation se poursuivra au cours des prochaines années. Pour pallier cette situation, le SCC a dû accroître le nombre de cellules à double occupation dans les établissements.

Les vérificateurs ont demandé aux établissements comment ils prévoyaient assurer la protection des renseignements personnels des délinquants appelés à partager une cellule. Ceux qui sont seuls dans leur cellule peuvent verrouiller leur porte, mais la situation est différente pour les délinquants qui doivent partager leur cellule. Huit des treize établissements visités comptant des cellules à double occupation avaient des processus en place pour permettre aux délinquants qui y étaient logés de protéger leurs renseignements. Sept d’entre eux leur fournissaient des coffrets ou des rangements verrouillables où ils pouvaient placer leurs renseignements personnels et ainsi éviter que leur compagnon de cellule les consulte. Dans l’autre établissement, la direction a pris la décision d’interdire les dossiers des délinquants dans les cellules; tous leurs renseignements doivent être conservés avec leurs effets personnels à l’unité d’admission et de libération. On a indiqué aux vérificateurs que cette décision avait été prise dans le but de réduire l’intimidation (des délinquants sont forcés de dévoiler leurs renseignements personnels et leurs antécédents criminels).

Cela dit, dans les cinq autres établissements, l’équipe de vérificateurs a constaté que les délinquants ne pouvaient pas protéger leurs renseignements personnels dans leur cellule puisqu’aucun moyen n’était mis à leur disposition en ce sens. En observant certaines cellules à double occupation, les vérificateurs ont remarqué que les délinquants laissaient régulièrement leurs rapports personnels à des endroits découverts auxquels leur compagnon de cellule pouvait accéder facilement. Les vérificateurs ont été informés que le manque de coffrets verrouillables était en réalité une décision de sécurité : les agents à la recherche d’objets interdits doivent rapidement avoir accès à tous les espaces de la cellule.

Il arrive parfois que du courrier ne soit pas remis au bon délinquant.

Chaque année, le courrier que les délinquants reçoivent de l’établissement et de l’extérieur est une source importante de signalements d’atteintes à la vie privée. Depuis 2011, 104 atteintes à la vie privée ont été signalées au SCC concernant des erreurs de destinataire (des délinquants reçoivent du courrier ou des rapports qui appartiennent à un autre).

Lors de leurs visites, les vérificateurs ont examiné les procédures en place concernant le courrier des délinquants et ont noté que la distribution variait considérablement d’un établissement à l’autre. À certains endroits, les agents correctionnels des visites et de la correspondance livraient le courrier aux délinquants, dans leur case postale ou à la porte de leur cellule. Ailleurs, ce sont les agents des unités qui s’en occupaient. Dans la plupart de ces cas, les agents affichaient une liste des délinquants qui avaient du courrier et ces derniers allaient le récupérer auprès des agents.

En entrevue avec des représentants de comités de bien-être des détenus, les vérificateurs leur ont demandé si les délinquants avaient en général des préoccupations concernant la confidentialité de leurs renseignements. Dix des 16 comités interrogés ont indiqué qu’il était préoccupant que du courrier soit remis au mauvais délinquant. Il existe un risque puisque la vaste majorité des rapports fournis aux délinquants ne sont pas cachetés (il est difficile de savoir si le délinquant qui a reçu un rapport par erreur l’a lu avant de le transmettre à la bonne personne). Comme les rapports d’un délinquant, dont les évaluations en vue d’une décision et les suivis de son plan correctionnel, renferment beaucoup de renseignements personnels (notamment son profil criminel), sa sécurité peut être compromise si un autre délinquant consulte ses renseignements personnels.

Certains établissements n’avaient pas de moyens ou de contrôles en place pour éliminer les renseignements personnels des délinquants.

La Vérification interne de la protection des dossiers des délinquants et du personnel menée en 2010 a révélé que les méthodes utilisées pour éliminer les renseignements personnels étaient inappropriées. La présente vérification a constaté que certains de ces problèmes étaient toujours présents. Depuis 2011, dix-neuf atteintes ont été signalées dans l’ensemble du SCC concernant l’élimination inadéquate des renseignements des délinquants.

Durant leurs observations, les vérificateurs ont remarqué que le personnel des établissements avait accès à différentes méthodes d’élimination, dont des déchiqueteuses, des contenants communs verrouillés pour le déchiquetage et des contenants individuels sous les bureaux pour l’incinération. Les vérificateurs ont cependant noté dans trois établissements que les contenants individuels pour l’incinération étaient vraiment pleins et qu’ils n’étaient pas vidés régulièrement. Comme ces contenants sont généralement conservés sous les bureaux, un détenu chargé de l’entretien ou un membre du personnel peut accéder relativement facilement aux renseignements personnels qui s’y trouvent (même si les portes de ces bureaux sont habituellement verrouillées) et ainsi avoir accès à des renseignements qu’il n’a peut-être pas besoin de connaître.

L’équipe de vérificateurs a soulevé de sérieuses inquiétudes dans trois autres établissements, surtout des unités résidentielles. Les agents correctionnels qui y travaillaient n’avaient pas facilement accès à des déchiqueteuses ni à des contenants verrouillés pour le déchiquetage ou l’incinération. Ils avaient l’habitude de déchirer les feuilles en deux et de les déposer dans la poubelle ou le bac de recyclage. Dans l’un des trois établissements, le président du comité de bien-être des détenus a soulevé un point inquiétant : des délinquants qui travaillaient au centre de recyclage ont eu accès à des documents que les employés avaient déposés dans des bacs de recyclage et qui renfermaient des renseignements personnels sur d’autres délinquants.

Les comités du bien-être des détenus de certains établissements trouvaient aussi préoccupant de ne pas pouvoir éliminer leurs renseignements personnels (ce ne sont pas tous les établissements qui permettent d’utiliser une déchiqueteuse ou d’avoir accès à un service de déchiquetage). À ces endroits, les délinquants finissaient par trouver d’autres moyens.

Lors de la Vérification interne de la protection des dossiers des délinquants et du personnel menée en 2010, l’équipe de vérificateurs avait jugé préoccupante l’utilisation des contenants verrouillés pour le déchiquetage, dont le contenu était déchiqueté par une entreprise contractante. Durant la présente vérification, l’équipe n’a pas noté d’autres inquiétudes concernant ces contenants verrouillés, mais en a noté concernant les contenants individuels pour l’incinération : ces derniers débordaient et certains agents correctionnels n’éliminaient pas adéquatement leur contenu. Les deux méthodes d’élimination augmentent les probabilités que des délinquants et du personnel aient accès à des renseignements personnels qu’ils n’ont pas besoin de connaître.

Bien que tous les établissements utilisent des ordinateurs portatifs chiffrés pour protéger leurs renseignements, plusieurs utilisent encore des supports d’information portatifs génériques.

Le fait que les employés emportent des renseignements sur les délinquants à l’extérieur des établissements au moyen de médias électroniques pose un risque élevé d’atteinte à la confidentialité des renseignements personnels des délinquants. Selon une initiative mise en place récemment par la Sécurité de la technologie de l’information, tous les ordinateurs portatifs du SCC doivent désormais être chiffrés de manière à ce qu’en cas de perte, aucun des renseignements contenus sur le disque dur ne puisse être consulté de façon inappropriée. Lors des entrevues menées avec onze chefs des services informatiques dans les établissements visités, l’équipe de vérification a confirmé que tous les ordinateurs portatifs de ces établissements sont désormais chiffrés. De plus, l’équipe de vérification a constaté que les établissements incitent les employés à emprunter un ordinateur portatif chiffré lorsqu’ils travaillent dans un endroit autre que l’établissement.

L’équipe de vérification a aussi vérifié les mesures de contrôle touchant la délivrance et le suivi des clés USB. Depuis 2011, douze atteintes à la vie privée ont été signalées au SCC au sujet de la perte de clés USB renfermant des renseignements sur les délinquants.

Dans le cadre des entrevues avec les chefs des services informatiques en établissement, l’équipe de vérification a constaté que huit établissements visités ont une liste permettant de savoir à qui une clé USB a été remise. Les chefs des services informatiques ont exprimé des préoccupations liées au fait que malgré une telle liste, il est difficile de vérifier si une personne qui a reçu une clé USB l’a toujours en sa possession car les clés USB ne portent pas de numéro de série ou d’autres identificateurs individuels. Il est également difficile de s’assurer que les membres du personnel n’utilisent pas ces clés USB de manière inappropriée pour stocker et transporter des renseignements sur les délinquants. L’équipe de vérification a constaté que tous les établissements, sauf deux, fournissent des clés USB aux employés sans déterminer la raison pour laquelle ils en ont besoin. Les chefs des services informatiques de ces deux établissements ont indiqué qu’ils ne voient pas la nécessité d’avoir plusieurs clés USB car les employés peuvent utiliser un ordinateur portatif chiffré lorsqu’ils travaillent à l’extérieur de l’établissement et peuvent se connecter à distance au réseau de l’établissement.

Afin de réduire le plus possible les préoccupations relatives à la protection des renseignements personnels stockés sur des clés USB ordinaires, les établissements acquièrent peu à peu des clés USB chiffrées. Ces clés permettent, en cas de perte, de protéger adéquatement les renseignements confidentiels qu’elles contiennent. Cela étant dit, en raison du coût des clés USB chiffrées, la plupart des établissements visités n’en avaient acheté qu’un très petit nombre et ne les fournissaient habituellement qu’aux directeurs et aux sous-directeurs.

L’infrastructure des locaux dans les établissements fédéraux crée d’autres problèmes sur le plan de la protection des renseignements.

Lors des visites sur place, l’équipe de vérification a demandé aux membres du personnel en établissement s’il existait, selon eux, des problèmes liés à la protection des renseignements sur les délinquants à leur établissement. Un thème commun est ressorti selon lequel l’infrastructure physique des établissements empêche parfois les membres du personnel en établissement d’assurer en tout temps la protection des renseignements sur les délinquants. Lors des observations menées dans les établissements, l’équipe de vérification a noté certains défis en matière de protection des renseignements personnels qui découlent de problèmes liés à l’infrastructure.

Le premier problème relevé sur le plan de l’infrastructure touche l’exigence du partage des bureaux entre les disciplines, dans les établissements. Dans plusieurs établissements, les membres du personnel de diverses disciplines partagent des bureaux et des aires de travail afin d’optimiser l’espace, en raison de l’augmentation continue de la population carcérale et des locaux administratifs restreints. À titre d’exemple, l’équipe de vérification a constaté que dans les unités de l’un des établissements, les conseillers en comportement et les psychologues partageaient le même bureau. Dans les cas où des bureaux étaient partagés, on a fait état de préoccupations selon lesquelles il était difficile de protéger les renseignements personnels et de respecter le principe du besoin de connaître parce que l’information était facile d’accès malgré le fait que les employés appartenaient à des disciplines différentes.

L’équipe de vérification a constaté un autre problème lié à l’infrastructure, qui est relié aux zones d’attente des détenus dans les aires administratives et les unités de soins de santé, dans certains établissements. En raison d’un manque d’espace adéquat, les zones d’attente des détenus sont parfois situées dans des endroits où les détenus peuvent facilement entendre des conversations concernant d’autres détenus. Des préoccupations liées à la protection des renseignements personnels sur les soins de santé ont aussi été formulées; dans certains établissements, les délinquants sont forcés, pour des raisons de sécurité, d’exposer leurs problèmes à un membre du personnel infirmier à travers une vitre avant d’être admis pour une évaluation individuelle, ce qui permet aux autres personnes qui se trouvent dans la zone d’attente de les entendre. Il s’agit également d’un problème pendant la distribution des médicaments car les discussions entre les délinquants et les membres du personnel infirmier, à ce moment-là, ne peuvent avoir lieu sans que les autres délinquants n’entendent toute la conversation. Une constatation similaire a été faite lors de la Vérification interne de la gestion des médicaments effectuée en 2012.

Le troisième problème courant lié à l’infrastructure qui a été relevé dans plusieurs établissements touche les postes de sécurité des agents correctionnels. Dans la plupart des unités, qu’il s’agisse des nouvelles unités à aires ouvertes ou des unités résidentielles plus anciennes, les agents correctionnels doivent être particulièrement conscients des renseignements confidentiels qu’ils examinent ou dont ils discutent car les personnes qui n’ont pas besoin de les connaître peuvent en prendre connaissance ou les entendre. Ainsi, des agents travaillant dans des unités résidentielles plus anciennes se sont dits préoccupés par le fait que le bureau de sécurité est entièrement vitré et que les délinquants peuvent parfois lire ce qu’un agent est en train de taper à l’ordinateur. Dans les unités résidentielles nouvellement construites, les postes de contrôle des agents correctionnels sont maintenant à aire ouverte et il n’y a aucune vitre ni barrière entre les agents et les délinquants. Bien qu’on ait affirmé à l’équipe de vérification que ce concept à aire ouverte est efficace du point de vue de la sécurité et qu’il améliore les interactions entre les délinquants et les membres du personnel, le personnel doit être plus attentif pour assurer la confidentialité des renseignements. Comme il n’y a aucune cloison, les voix se propagent beaucoup plus facilement et les délinquants dans l’unité peuvent aisément entendre les conversations entre les agents correctionnels qui se trouvent aux postes de contrôle. En outre, les délinquants peuvent voir plus facilement divers renseignements, y compris le tableau de dénombrement de l’unité. Cela étant dit, les employés qui travaillent dans ces unités semblent être conscients de ce problème, et habituellement, ils tiennent leurs conversations et rédigent leurs rapports confidentiels dans un arrière-bureau situé à l’écart des personnes n’ayant pas un besoin de connaître.

Bien que les problèmes liés à l’infrastructure puissent nuire à la protection des renseignements personnels, bon nombre des employés en établissement qui ont été interrogés lors des visites semblaient être conscients des limites avec lesquelles ils doivent composer. Dans plusieurs établissements, les problèmes touchant l’infrastructure ont été soulevés par le personnel lors des entrevues. Cependant, comme les défis liés à l’infrastructure continueront d’exister, le SCC doit veiller à ce que le personnel en établissement connaisse les limites inhérentes à l’infrastructure et s’adapte à ces défis afin de préserver la confidentialité de l’information.

Les imprimantes et les photocopieurs étaient situés dans des endroits faciles d’accès et nous avons constaté que les renseignements de nature délicate relatifs aux délinquants étaient vulnérables.

En vue de réduire les coûts et le gaspillage, le SCC a récemment adopté une politique qui vise à remplacer les appareils d’impression vieillissants par de nouveaux appareils multifonctions, tout en augmentant à huit le nombre d’employés par imprimante. Cette décision fera en sorte que les imprimantes seront désormais partagées entre un plus grand nombre d’employés et de disciplines, ce qui augmentera la probabilité que les personnes n’ayant pas besoin de connaître les renseignements personnels d’un délinquant y aient accès par inadvertance.

Depuis 2011, on a signalé au SCC cinquante-neuf atteintes à la confidentialité de renseignements personnels sur des délinquants reliées à la diffusion accidentelle d’information sur papier, dont plusieurs ont été causées par des erreurs de manipulation de documents imprimés. Les personnes interrogées ont indiqué que certaines atteintes relèvent d’erreurs humaines et se produisent lorsque de l’information est communiquée aux délinquants; par exemple, lorsqu’un rapport est imprimé, une page d’un autre rapport concernant un délinquant différent peut parfois s’y glisser. En fait, au cours des observations faites dans les quinze établissements, l’équipe de vérification a vérifié 167 imprimantes et photocopieurs communs pour déterminer si des documents étaient laissés derrière ou n’étaient pas ramassés. L’équipe de vérification a relevé quatorze cas où des documents imprimés, qui semblaient contenir des renseignements personnels sur des délinquants, avaient été laissés sur des imprimantes ou des photocopieurs communs. Lorsque des renseignements sont laissés sur une imprimante, ils peuvent être révélés accidentellement ou être obtenus ou lus par erreur par quelqu’un qui n’a pas besoin de les connaître. Dans plusieurs cas où des documents imprimés renfermant des renseignements de nature délicate ont été laissés sur une imprimante, les personnes interrogées ont indiqué que l’imprimante se trouvait dans une zone réservée au personnel à laquelle les délinquants n’avaient pas accès sans surveillance. Cela étant dit, comme nous l’avons déjà indiqué à la section 4.2.2, les employés n’ont pas tous à connaître les renseignements concernant chaque délinquant et les documents imprimés devraient tous être protégés de manière égale, que les délinquants aient accès ou non aux imprimantes. La question des imprimantes est d’autant plus pertinente que celles-ci sont utilisées conjointement par des employés appartenant à des disciplines différentes.

L’équipe de vérification a constaté que huit établissements tentent de mettre en œuvre des méthodes pour réduire au minimum le risque que des personnes n’ayant pas un besoin de connaître aient accès par inadvertance à des documents imprimés. L’équipe de vérification a constaté que dans quatre établissements, les imprimantes partagées répartissent habituellement les documents sur des plateaux désignés de sorte que les documents appartenant à des personnes différentes ne s’empilent pas les uns sur les autres. Par ailleurs, dans quatre autres établissements, le personnel utilise la fonction d’impression sécurisée. Dans ce cas, l’employé qui imprime un document doit se rendre physiquement à l’imprimante et entrer un numéro d’identification personnel avant que l’imprimante n’imprime le document en attente. Même si cette fonction réduit le risque que les imprimés de diverses personnes soient laissés sur l’imprimante, elle est contrôlée par les utilisateurs et peut donc être désactivée facilement. Dans la plupart des établissements qui utilisent l’option d’impression sécurisée, les employés ont indiqué s’en servir pour les renseignements jugés de nature plus délicate.

Conclusion

L’équipe de vérification a conclu que dans l’ensemble, le SCC a des processus en place pour signaler les atteintes à la vie privée, et que les atteintes connues font l’objet d’évaluations des risques relatifs à la protection des renseignements personnels. En outre, les disques durs de tous les ordinateurs portatifs du SCC sont chiffrés. De plus, le personnel a une connaissance de base du principe du besoin de connaître.

Bien que l’équipe de vérification comprenne que le SCC soit entravé à la fois par des problèmes liés à l’infrastructure et par les erreurs humaines, certaines activités vérifiées requièrent une attention particulière du SCC afin de mieux préserver la confidentialité des renseignements sur les délinquants. Notamment :

  • il faudrait veiller à ce que le principe du besoin de connaître soit interprété et appliqué de façon uniforme dans tout le SCC;
  • des mécanismes devraient être utilisés pour indiquer les copies des rapports appartenant aux délinquants;
  • dans les établissements, on devrait veiller à employer les méthodes appropriées pour éliminer les renseignements sur les délinquants;
  • les dispositifs médias portatifs non chiffrés et ne faisant pas l’objet d’un suivi ne devraient pas être utilisés dans les établissements;
  • les établissements doivent veiller à ce que les renseignements personnels des délinquants soient retirés rapidement des imprimantes et des photocopieurs.

Recommandation 2Note de bas de page 6

Le commissaire adjoint, Politiques, devrait fournir des précisions supplémentaires à tout le personnel du SCC pour appuyer le principe du besoin de connaître. Les sous-commissaires régionaux devraient faire en sorte que l’équipe de direction des établissements ainsi que des districts ont mis en oeuvre les contrôles et les mécanismes nécessaires à la compréhension et au respect du principe du besoin de connaître.

Réponse de la gestion

Le CAP p. i., le CAOPC et les SCR sont d’accord avec la recommandation.
Voici ce que comprennent les mesures :

  • Un bulletin de la Division de l’AIPRP a été préparé expliquant le principe du besoin de savoir et donnant des précisions à tous les employés sur l’accès aux renseignements personnels dans le cadre de leur travail. Le bulletin a été envoyé aux agents de liaison régionaux de l’AIPRP pour qu’ils le transmettent aux unités opérationnelles et à leurs employés. Le bulletin a également été versé sur le site InfoNet de la Division de l’AIPRP. Cette mesure est terminée.

  • La Division de l’AIPRP a établi une série d’avis afin que le personnel informatique produise des avis éclairs. La Sécurité de la TI a été consultée pour voir si elle pouvait programmer des fenêtres contextuelles dans le système informatique rappelant aux employés le principe du « besoin de savoir » et la manière de protéger les renseignements personnels.

  • Le CAOPC a révisé et adopté la DC 701 (Communication de renseignements), laquelle fait état du principe du « besoin de savoir ». Cette mesure est terminée.

  • Pour connaître la liste de toutes les mesures associées à cette recommandation, veuillez consulter le plan d’action de la gestion. La mise en œuvre de la deuxième recommandation sera complète d’ici le 31 juillet 2014.

Recommandation 3Note de bas de page 7

Les sous-commissaires régionaux devraient s’assurer que les directeurs d’établissement ont des processus en place afin d’amenuiser le risque ou la fréquence des atteintes à la vie privée des délinquants en mettant en œuvre des procédés qui vont adresser les faiblesses identifiées dans le rapport ou lors de leur propre examen du sujet.

Réponse de la gestion

Le CAP p. i. et les SCR sont d’accord avec la recommandation.
Voici ce que comprennent les mesures :

  • Après la distribution des rapports trimestriels sur les atteintes à la vie privée de la Division de l’AIPRP, le SCR fournira de l’information sur les mesures prises pour prévenir d’autres incidents de nature similaire, et cela sera communiqué régulièrement à l’équipe de gestion régionale.

  • Des séances de formation et de sensibilisation seront données pour que tous les employés soient formés et qu’ils connaissent les divers types d’atteintes et leurs responsabilités à l’égard de leur signalement. Les gestionnaires seront aussi formés, pour qu’ils connaissent leurs responsabilités lorsque des atteintes sont signalées.

  • La troisième recommandation sera complètement mise en œuvre d’ici le 31 juillet 2014.

5.0 Conclusion générale

Dans l’ensemble, bien que des outils et des processus soient en place pour protéger la confidentialité des renseignements sur les délinquants, certains points sont à améliorer. Le cadre de gestion doit être renforcé pour préserver la confidentialité de ces renseignements. Il faudrait également mettre à jour le cadre de gestion de la protection des renseignements personnels du SCC afin de préciser les rôles et les responsabilités, de veiller à ce que les atteintes à la vie privée soient signalées et d’accroître la sensibilisation générale dans ce domaine. Pour que le SCC soit mieux en mesure de protéger les renseignements personnels des délinquants, il faudrait d’une part revoir le principe du besoin de connaître et, d’autre part, mettre en place des mesures de contrôle touchant la protection des renseignements sur les délinquants et faire respecter celles-ci par le personnel.

Réponse de la gestion

  • Le CAP p. i. est en accord avec les constatations et les recommandations générales présentées dans le rapport de vérification.

  • Le CAP p. i. a préparé un plan d’action de la gestion détaillé en réponse aux points soulevés dans le rapport de vérification.

  • Le plan d’action de la gestion sera mis en œuvre d’ici le 31 juillet 2014. Certaines mesures seront permanentes (ce sera le cas des séances de sensibilisation et de formation sur l’AIPRP, entre autres).

Annexe A : Objectifs et critères de la vérification

Objectif Critères

Objectif no 1

Fournir une assurance raisonnable que le cadre de gestion en place garantit la protection des renseignements personnels des délinquants et est conforme aux diverses lois et dispositions législatives.

1.1 Politiques et procédures

1.1.1     Des lignes directrices et des bulletins ont été produits pour favoriser la protection des renseignements personnels des délinquants, et ils ont été communiqués à tous les membres du personnel.

1.1.2     Il existe des lignes directrices, des politiques et des cadres, lesquels sont conformes aux politiques du gouvernement du Canada, aux lois fédérales et aux dispositions législatives qui concernent la protection des renseignements personnels.

1.2 Rôles et responsabilités

1.2.1     Les rôles et les responsabilités liés à la gouvernance et aux tâches associées à la protection des renseignements personnels des délinquants sont clairement définis, compris et consignés.

1.3 Formation et sensibilisation

1.3.1     Des séances d’information sur la protection des renseignements personnels des délinquants ont été conçues et données, et elles ont été suivies par les employés du SCC.

1.3.2     Les membres du personnel comprennent et respectent les divers principes liés à la protection des renseignements personnels des délinquants.

1.4 Signalement des atteintes à la vie privée

1.4.1     Un processus officiel a été mis en place pour permettre aux employés et aux délinquants de signaler les atteintes à la vie privée qui concernent les renseignements personnels des délinquants, et ce processus est respecté.

1.5 Surveillance et production de rapports

1.5.1     La direction exerce un suivi des atteintes à la vie privée signalées afin de réduire au minimum le nombre de nouvelles atteintes et de s’assurer que les causes fondamentales des incidents sont corrigées.

Objectif no 2

Fournir une assurance raisonnable que le SCC veille à ce que la confidentialité des renseignements personnels des délinquants soit protégée comme l’exigent les dispositions législatives, les lois et les cadres organisationnels pertinents.

2.1 Analyse de l’incident

2.1.1     Les établissements réalisent des évaluations des risques relatifs à la protection des renseignements personnels, et ils établissent et mettent en œuvre des mesures correctives au besoin après toute atteinte à la confidentialité des renseignements personnels des délinquants.

2.2 Besoin de connaître

2.2.1     Le principe du besoin de connaître est adopté et respecté, conformément aux cadres établis par le SCC pour la protection des renseignements personnels.

2.3 Protection des renseignements personnels des délinquants

2.3.1     Des mesures de contrôle ont été mises en place pour garantir que les renseignements personnels des délinquants sont conservés et protégés dans tous les établissements, et elles sont appliquées par les employés.

Annexe B : Emplacements des établissements Visités

Région Établissements
Atlantique
  • Pénitencier de Dorchester
  • Centre de rétablissement Shepody
  • Établissement de Springhill
Québec
  • Centre régional de réception
  • Centre régional de santé mentale
  • Établissement Archambault
Ontario
  • Établissement de Beaver Creek
  • Établissement Fenbrook
  • Établissement de Warkworth
Prairies
  • Établissement de Bowden
  • Établissement d’Edmonton
  • Établissement d’Edmonton pour femmes
Pacific
  • Établissement Ferndale
  • Établissement de la vallée du Fraser
  • Établissement du Pacifique

Annexe C : Approche et méthodologie

Entrevues : Deux cent onze entrevues ont été menées avec des membres du personnel, en personne, par vidéoconférence ou par téléconférence. Seize autres entrevues ont été menées auprès de comités du bien-être des détenus. Les entrevues ont eu lieu dans les cinq régions, y compris à l’administration centrale, aux administrations régionales et dans des établissements choisis.

Examen de la documentation : Nous avons examiné des documents pertinents, dont des lois, des bulletins, des énoncés de politique, des lignes directrices, des cadres de protection des renseignements personnels, des manuels de procédures, des rapports annuels et des comptes rendus de réunions, y compris de réunions du comité sur la protection des renseignements personnels.

Observations : Afin de déterminer si des mesures de protection ont été mises en œuvre pour protéger la confidentialité des renseignements personnels des délinquants, nous avons effectué du travail d’observation aux endroits suivants : bureaux de gestionnaires correctionnels, passages communs, bureaux de gestion des cas, soins de santé, services psychologiques, dossiers, visites et correspondance, programmes, admission et libération, renseignements de sécurité, unités résidentielles et unités d’isolement.

Choix des unités opérationnelles : Divers facteurs ont été utilisés pour la sélection des établissements aux fins de la présente vérification, notamment les niveaux de sécurité et la capacité des établissements, ainsi que leur emplacement géographique pour sélectionner des établissements en milieu urbain et en milieu rural et des établissements présentant des irrégularités.

Examen analytique : Un examen analytique a été mené tout au long de la vérification dans le but de déterminer les tendances liées à la protection des renseignements sur les délinquants.

Région Personnes interrogées
AC
  • Directeur et sous-directeur, AIPRP
  • Directeur général, Direction de la sécurité
  • Directeur, Gestion de l’information
  • Directeur, Technologie de l’information
  • Équipe de soutien et de la qualité des données du SGD
AR
  • Agent de liaison régional en matière d’accès à l’information et de protection des renseignements personnels
Établissements – Entrevues officielles
  • Directeur de l’établissement/directeur exécutif
  • Sous-directeur
  • Directeur adjoint, Services de gestion
  • Chef des services informatiques
  • Chef des services administratifs
Établissements – Entrevues menées lors des visites
  • Gestionnaire, Évaluation et interventions
  • Agent du renseignement de sécurité
  • Gestionnaire correctionnel
  • Agent correctionnel
  • Adjoints d’unité
  • Agent de libération conditionnelle
  • Chef des soins infirmiers/membre du personnel infirmier
  • Chef des services psychologiques/psychologue
  • Coordonnateur des griefs
  • Commis aux dossiers
  • Comité du bien-être des détenus

Annexe E : Acronymes et Abréviations

AIPRP
Accès à l’information et de la protection des renseignements personnels
BPR
Bureau de première responsabilité
CGPRP
Cadre de gestion de la protection des renseignements personnels
COSO
Committee of Sponsoring Organizations
CPVP
Commissariat à la protection de la vie privée du Canada
CT
Conseil du Trésor
DC
Directive du commissaire
ERPRP
Évaluations des risques relatifs à la protection des renseignements personnels
GI
Gestion de l’information
POALC
Programme d’orientation des agents de libération conditionnelle
PONE
Programme d’orientation des nouveaux employés
SCC
Service correctionnel du Canada
SED
Système des empreintes digitales
SGD
Système de gestion des délinquant(e)s

Glossaire

Atteinte à la vie privée : Collecte, utilisation, divulgation, conservation ou destruction inadéquate ou non autorisée de renseignements personnels qui découlent d’une mauvaise gestion des renseignements personnels.

Types d’atteintes à la vie privée
Type 1 : vol ou perte de dossiers – document ou dossier papier.
Type 2 : vol ou perte de biens électroniques – ordinateurs portatifs, porte-documents, clé USB contenant des renseignements personnels, etc.).
Type 3 : divulgation de renseignements causée par une erreur humaine liée à la manipulation de copies papier ou de dossiers électroniques (p. ex. courriels mal adressés).
Type 4 : accès à des renseignements par voie électronique sans que la personne dispose du besoin de savoir.
Type 5 : divulgation de renseignements aux médias.
Type 6 : divulgation de renseignements sur la victime.
Type 7 : divulgation de renseignements (verbalement ou par écrit) à des tiers.

Autorité responsable : Division ou secteur de l’AC à qui le gestionnaire signale l’atteinte (une ou plusieurs des entités suivantes : Gestion de l’information (GI), Sécurité de la TI, Division de la sécurité du Ministère, Secteur des APRP, Division de l’accès à l’information et de la protection des renseignements personnels (AIPRP)).

Bac à déchiquetage : Boîte fermée à clé qui sert à entreposer de l’information destinée à être éliminée et dont le contenu est vidé et détruit à intervalles réguliers par une entreprise autorisée.

Boîte à brûler : Boîte située dans un espace de travail individuel et dans laquelle on place des renseignements protégés ou confidentiels devant être éliminés par une entreprise sous-traitante à une date ultérieure.

Cadre de gestion de la protection des renseignements personnels (CGPRP) : Conforme à la priorité du SCC axée sur le renforcement des pratiques de gestion, le CGPRP garantit que la vie privée constitue un élément fondamental du processus de gestion des renseignements personnels, de façon à ce que l’élaboration des politiques et des programmes, les pratiques de gestion et la prestation de services reflètent l’esprit et les exigences de la Loi sur la protection des renseignements personnels et assurent le respect des obligations légales du SCC dans un environnement de changements.Note de bas de page 8

Clé USB : Dispositif de stockage pratique qui permet de transférer facilement des données d’un ordinateur à un autre.

Comité du bien-être des détenus : Présente des recommandations au directeur de l’établissement concernant les décisions relatives à la population carcérale, sauf celles ayant trait à la sécurité.Note de bas de page 9

Commissaire à la protection de la vie privée du Canada : Haut fonctionnaire du Parlement qui relève directement de la Chambre des communes et du Sénat. À titre de défenseur du droit des Canadiennes et des Canadiens à la protection de la vie privée, le commissaire est habilité, entre autres, à : enquêter sur les plaintes, mener des vérifications et intenter des poursuites judiciaires en vertu de deux lois fédérales; publier de l’information sur les pratiques relatives au traitement des renseignements personnels dans les secteurs public et privé; appuyer et effectuer des recherches sur des enjeux liés à la protection de la vie privée et en faire connaître les conclusions; sensibiliser la population aux enjeux concernant la protection de la vie privée et les lui faire comprendre.Note de bas de page 10

Dispositif de stockage portatif : Petit disque dur conçu pour stocker tout type de donnée numérique.

Double occupation : Cellule conçue pour un seul détenu, mais logeant deux détenus.

Évaluation des risques relatifs à la protection des renseignements personnels (ERPRP) : Document qui sert à mesurer le niveau de risque de l’atteinte et les mesures à prendre.Note de bas de page 11

Lignes directrices en cas d’atteinte à la vie privée : Se rapportent au signalement et à l’évaluation des atteintes à la protection des renseignements personnels.

Loi sur l’accès à l’information : Donne aux citoyens canadiens, aux résidents permanents et à toute personne physique ou morale présente au Canada un droit d’accès à l’information contenue dans les documents du gouvernement. La Loi a pour but de compléter les marches à suivre existantes pour accéder aux renseignements du gouvernement, comme les initiatives en matière de gouvernement ouvert.Note de bas de page 12

Loi sur la protection des renseignements personnels : Impose des obligations à quelque 250 ministères et organismes fédéraux en matière de respect du droit à la vie privée en limitant la collecte, l’utilisation et la communication de renseignements personnels. Elle confère aux personnes le droit d’avoir accès aux renseignements personnels les concernant qui sont détenus par des organismes fédéraux et de demander qu’ils soient corrigés.Note de bas de page 13

Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor : Politique ayant pour objectif de veiller à ce que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères et contribuent à la gestion efficace de la sécurité à l’échelle du gouvernement.Note de bas de page 14

Renseignements personnels : Renseignements portant sur une personne identifiable qui sont consignés sur quelque support que ce soit, comme la race, l’âge, les empreintes digitales, les antécédents médicaux, criminels ou d’emploi ou un numéro ou un symbole d’identification (p. ex. le Code d’identification de dossier personnel, le numéro SED).

Système de gestion des délinquant(e)s (SGD) : Système électronique de gestion des dossiers qui gère l’information sur les délinquants sous responsabilité fédérale tout au long de leur peine.

Système des empreintes digitales (SED) : Numéro attribué à chaque délinquant par la GRC qui sert à identifier le délinquant au SCC.Note de bas de page 15

Tableau de dénombrement : Indique les noms, les numéros SED et l’emplacement des cellules de tous les détenus confinés à l’établissement ainsi que les noms et numéros SED de tous les détenus qui ne sont pas à l’intérieur de l’établissement (p. ex. les détenus en permission de sortir, hospitalisés à l’extérieur, illégalement en liberté, etc.).

Notes de bas de page

Note de bas de page 1

Aperçu du profil de risque de l'organisation, décembre 2012.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Loi sur la protection des renseignements personnels, article 8.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Loi sur la protection des renseignements personnels, article 8(2)(a).

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Loi sur la protection des renseignements personnels, article 8(2)(m)(i).

Retour à la référence de la note de bas de page 4

Note de bas de page 5

La recommandation exige l’attention de la direction, ainsi que des mesures de surveillance et de contrôle.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

La recommandation exige l’attention de la direction, ainsi que des mesures de surveillance et de contrôle.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

La recommandation exige l’attention de la direction, ainsi que des mesures de surveillance et de contrôle.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

SCC - Cadre de gestion de la protection des renseignements personnels, p. 3.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Directive au commissaire 083, Comités au détenus, para 10.

Retour à la référence de la note de bas de page 9

Note de bas de page 10

http://www.priv.gc.ca/au-ans/index_f.asp

Retour à la référence de la note de bas de page 10

Note de bas de page 11

Lignes directrices sur les atteintes à la vie privée, p.3

Retour à la référence de la note de bas de page 11

Note de bas de page 12

http://www.tbs-sct.gc.ca/atip-aiprp/tools/administration-application-fra.asp

Retour à la référence de la note de bas de page 12

Note de bas de page 13

http://www.priv.gc.ca/leg_c/leg_c_a_f.asp

Retour à la référence de la note de bas de page 13

Note de bas de page 14

Politique sur la sécurité du gouvernement, para 5.1.

Retour à la référence de la note de bas de page 14

Note de bas de page 15

Directive au commissaire 703, Gestion des peines, para 12.

Retour à la référence de la note de bas de page 15