Évaluation du rendement

Avertissement Cette page Web a été archivée dans le Web.

VÉRIFICATION DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Direction de la vérification interne
378-1-204
Version finale - octobre 2006

PDF

Table des matières

SOMMAIRE

1.0 INTRODUCTION

2.0 OBJECTIFS ET PORTÉE DE LA VÉRIFICATION

3.0 APPROCHE ET MÉTHODOLOGIE

4.0 CONSTATATIONS ET RECOMMANDATIONS

5.0 CONCLUSION GÉNÉRALE

Annexe A - Définition des types de plaintes

Annexe B - Objectifs et critères

Annexe C - Établissements visités

Annexe D - Plans d'action de la gestion


SOMMAIRE

La vérification de la protection des renseignements personnels a été effectuée dans le cadre du plan de vérification interne du SCC pour 2005-2006. L'étape de vérification proprement dite s'est déroulée pendant les mois de novembre et décembre 2005, période au cours de laquelle l'équipe de vérification a visité les cinq administrations régionales (AR) et deux établissements par région.

Les objectifs fixés pour la vérification étaient les suivants :

  • Évaluer le cadre de gestion en place en ce qui a trait à la protection des renseignements personnels.
  • Déterminer si des mesures proactives sont prises pour déceler les cas possibles et réels de violation de la confidentialité des renseignements personnels, et faire enquête sur ces derniers, et pour que des mesures correctives soient prises.
  • Déterminer dans quelle mesure les procédures et les processus appropriés sont en place pour obtenir le consentement éclairé des délinquants en ce qui touche la communication d'information sur la santé.
  • Déterminer dans quelle mesure les procédures appropriées sont suivies pour s'assurer du traitement rapide des demandes de renseignements personnels.

Pour évaluer les objectifs susmentionnés, l'équipe de vérification a examiné les politiques stratégiques et les documents clés relatifs à la formation sur la protection des renseignements personnels ainsi que les systèmes de rapports et de contrôle pertinents. Les employés aux niveaux nationaux, régionaux et locaux ont été interviewés, ainsi que des détenus. La vérification a également permis de recueillir des données sur le traitement des demandes de protection des renseignements personnels et d'examiner un échantillon de fichiers sur le Système de gestion des délinquants pour déterminer le degré de renseignements sur les soins de santé contenus dans divers rapports de gestion de cas.

Conclusions

Les résultats de la présente vérification ont indiqué que le cadre de gestion actuel de la protection des renseignements personnels prévoit certains rôles et certaines responsabilités et fournit une orientation à l'égard de certains aspects de la protection des renseignements personnels au sein du SCC. Cependant, le cadre comporte des lacunes qui doivent être adressées.

De plus, la vérification a permis de déceler une préoccupation à l'égard d'un manque général de compréhension, parmi les employés, de ce qui constitue un cas de violation possible ou réel de la confidentialité des renseignements personnels. Pendant les visites sur place, l'équipe de vérification a découvert plusieurs exemples de pratiques courantes qui n'assuraient pas la protection des renseignements personnels des employés ni des délinquants. Une formation ou une sensibilisation accrue s'impose à cet égard.

La mise en ouvre des recommandations contenues dans le présent rapport contribuera au respect par le SCC des exigences des organismes centraux en matière de lois et de politiques. Des conclusions plus détaillées pour chaque objectif de la vérification sont présentées dans les grandes lignes ci-dessous.

Cadre de gestion

La vérification a permis de découvrir que le cadre de gestion de protection des renseignements personnels au sein du SCC est fragmenté, ce qui entraîne des lacunes et, parfois, une orientation vague. Plusieurs secteurs de l'AC travaillent tous d'une certaine façon pour répondre aux engagements du SCC. Cependant, il n'existe pas de coordination globale.

La vérification a également permis de constater que les employés responsables des éléments de la protection des renseignements personnels (p. ex., les employés de la Division de l'AIPRP à l'AC ou les coordinateurs locaux et régionaux) comprennent clairement leurs rôles et responsabilités. Cependant, bon nombre d'employés hors de ces domaines à tous les niveaux de l'organisation, ne sont pas au courant des répercussions possibles de certaines pratiques sur la protection des renseignements personnels, y compris le risque éventuel en cas de communication ou la perte de renseignements. Ce manque de connaissances était évident pendant les visites des établissements tant par le biais de l'observation que par le biais des entrevues.

Enfin, les processus l ocaux, régionaux et nationaux n'ont pas été clairement définis ni communiqués pour faire en sorte que les cas possibles et réels de violation de la confidentialité de renseignements personnels soient détectées et signalées par les autorités organisationnelles clés.

Enquêtes et mesures correctives

Bien que la vérification ait permis de découvrir que certains cas de violation font actuellement l'objet d'enquête, le processus n'est pas appliqué de façon uniforme et il manque une orientation claire à l'échelle nationale.

L'équipe de vérification a, en outre, conclu que certaines divisions à l'AC déploient actuellement des efforts pour distribuer des rappels de période et diffuser des renseignements sur les cas possibles de violation de la confidentialité de renseignements personnels et les problèmes ainsi que les leçons retenues. Cependant, la Division de l'AIPRP ne communique pas les données, ni les analyses, ni les résultats nationaux concernant les violations de la confidentialité de renseignements personnels ni les leçons retenues aux employés dans les régions, les établissements ou dans la collectivité. Conséquemment, ceci réduit la capacité du SCC d'éviter que des violations semblables ne se produisent pas ailleurs au sein de l'organisation.

Consentement et confidentialité des renseignements sur les soins de santé des délinquants

Le personnel des services de santé des établissements visités respectaient les procédures et les processus appropriés pour s'assurer d'obtenir le consentement éclairé des délinquants avant de communiquer des renseignements relatifs à la santé. L'information sur la santé des délinquants rassemblée et gardée par les soins de santé était bien contrôlée et le personnel était au courant des exigences telles que dictées par les normes professionnelles.

Cependant, le SCC doit examiner les renseignements relatifs à la santé recueillies pendant les évaluations préliminaires et les entrevues sur les besoins immédiats afin de déterminer leur pertinence au processus de l'évaluation initiale et le besoin de consigner cette information sur la santé des détenus dans le SGD. En outre, des précisions supplémentaires devraient être fournies aux agents de libération conditionnelle en établissement et dans la collectivité en ce qui a trait à la nécessité du consentement éclairé lorsque les délinquants révèlent des renseignements sur eux-mêmes en matière de santé, pour s'assurer que les exigences en matière de protection des renseignements personnels sont respectées.

En dernier lieu, étant donné que les exigences imposées par la loi et les exigences professionnelles relatives au consentement changent souvent et varient d'une province à l'autre, le SCC doit s'assurer qu'il existe une façon cohérente et efficiente de modifier les formulaires de consentement utilisés dans les établissements pour faire en sorte que ces formulaires demeurent à jour et contiennent toutes les clauses nécessaires.

Délais de traitement des demandes de protection des renseignements personnels

Le SCC a réalisé des progrès dans l'amélioration des délais de traitement des demandes de protection des renseignements personnels. Cependant, bien que les processus, les procédures et les outils de contrôle soient compris et utilisés , la quantité de demandes est telle que les employés à tous les niveaux de l'organisation ne sont pas toujours en mesure de respecter le délai de 30 jours. Les niveaux et les méthodes de dotation actuels en matière de récupération et d'expédition de l'information empêchent souvent le respect des délais dans le traitement des demandes.

Le rapport renferme des recommandations afin d'adresser les problèmes cernés. Un plan d'action de la gestion a été élaboré; il figure à l'annexe D.

 

1.0 INTRODUCTION

La Loi sur la protection des renseignements personnels est entrée en vigueur au Canada le 1er  juillet 1983. La Loi :

  • protège les renseignements personnels relevant des institutions fédérales;
  • et donne aux individus le droit d'accès aux renseignements personnels qui les concernent ainsi que le droit d'y faire apporter des corrections.

Conformément à la Loi, les individus ont des droits en ce qui concerne les renseignements personnels que détient à leur sujet le Service correctionnel du Canada (SCC), plus précisément les suivants :

  • Savoir quels renseignements personnels sont recueillis sur eux par les institutions fédérales et les raisons pour lesquelles ces renseignements sont recueillis.
  • Savoir comment seront utilisés ces renseignements personnels, qui y a accès et à quelles fins.
  • Connaître la nature des renseignements personnels conservés par les institutions fédérales, la durée de leur conservation et la façon dont on les élimine.
  • Demander que tout renseignement personnel les concernant qui est utilisé pour la prise de décisions qui les touchent directement soit corrigé s'il n'est pas exact, à jour ou complet.
  • Déposer une plainte auprès du Commissaire à la protection de la vie privée du Canada.

La Loi a également pe rmis de créer le Commissariat à la protection de la vie privée (CPVP). Le commissaire est un protecteur du citoyen nommé par le Parlement pour enquêter sur les plaintes relatives aux demandes de communication de renseignements personnels faites en vertu de la Loi.

En plus de la Loi sur la protection des renseignements personnels, le SCC a communiqué diverses directives du Commissaire relativement à la protection des renseignements personnels. Étant donné que la protection des renseignements personnels touche de nombreux domaines opérationnels au sein du SCC (y compris la sécurité, l'informatique, la gestion des documents, la gestion des ressources humaines, les services de santé, etc.), plusieurs sont liées aux obligations de SCC en vertu de la Loi sur la protection des renseignements personnels.

Au Service correctionnel du Canada, il y a une Division de l'accès à l'information et de la protection des renseignements personnels (AIPRP). Cette division centralise l'application de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels au Service correctionnel du Canada. Elle relève du directeur général, Droits, recours et résolutions qui, à son tour, relève du commissaire adjoint, Politique stratégique et droits de la personne, qui s'est vu déléguer les pleins pouvoirs et qui exerce les fonctions du Ministre en vertu de la Loi sur la protection des renseignements personnels. La Division relève du directeur général de la Direction des droits, recours et résolutions, ainsi que du commissaire adjoint, Politiques et recherche. « La Division de l'AIPRP traite directement avec le public en ce qui concerne les demandes d'accès à l'information et de protection des renseignements personnels et constitue un centre d'expertise permettant au SCC de s'acquitter de ses obligations prévues dans les lois. À cette fin, elle doit veiller à ce que les demandes officielles d'accès à l'information et de protection des renseignements personnels soient remplies à temps, et à promouvoir une culture d'ouverture et de responsabilisation assortie des garanties requises à l'égard de tous les renseignements personnels1. »

1 Site Infonet de l'AIPRP, http://infonet/corp_dev/rights_redress_resolution/atip/about_rrr_atip-fra.shtml

Le Service correctionnel du Canada reçoit, chaque année, en moyenne 5 500 demandes de communication de renseignements personnels de la part de délinquants et environ 500 demandes de la part d'employés du SCC. Pour l'exercice 2003-2004, à la suite de demandes multiples des agents de correction et des délinquants, le SCC a reçu 19 829 demandes. Les demandes multiples ont également accru le nombre de demandes de communication de renseignements personnels reçues en 2004-2005 et l'ont reporté à 16 700 par rapport à l'exercice précédent. La Division de l'AIPRP de l'AC fonctionne à l'intérieur d'un budget légèrement inférieur à 2 100 000 dollars qui permet d'engager un personnel de 37 employés nommés pour une période indéterminée. De ce nombre, 22 sont chargés de l'examen approfondi de toutes les demandes qui transitent par le bureau de l'AIPRP, y compris aussi bien les demandes de protection des renseignements personnels que les demandes d'accès à l'information.

Pour comprendre les préoccupations associées au programme de protection des renseignements personnels du SCC, des discussions préliminaires ont été menées avec le Commissariat à la protection de la vie privée et le bureau de l'Enquêteur correctionnel, ainsi que des spécialistes en la matière au sein du SCC tels que ceux de la Division de l'AIPRP, des Services de santé, des Services de gestion de l'information et de la Division de la sécurité. La section qui suit expose dans les grandes lignes les préoccupations clés définies pendant le processus de planification de la vérification.

  1. Plaintes concernant la protection de la vie privée (déposées auprès du Commissariat à la protection de la vie privée)

Dans le rapport annuel 2005-2006 au Parlement, le Commissaire à la protection de la vie privée cite le SCC comme ayant reçu le plus grand nombre de plaintes relatives aux demandes de communication de renseignements personnels, soit un total de 190 plaintes entre avril 2005 et mars 2006. Ce chiffre inclut toutes les plaintes, y compris celles concernant l'accès (108), la protection des renseignements personnels (39) et les délais prescrits (43) (se référer à l'Annexe A pour les définitions de chaque type). Bien que le rapport fasse remarquer que les institutions qui détiennent une grande quantité de renseignements personnels (tels que le SCC) soient plus susceptibles de recevoir des plaintes, le rapport analyse ensuite davantage ces constatations. Sur les 120 enquêtes que le Commissariat à la vie privée a fermées pendant l'année 2005-2006 concernant l'accès et la protection des renseignements personnels, le rapport a révélé que le SCC comptait 17 plaintes « fondées »2. De ce nombre, environ la moitié ont été liés à l'accès et les autres à l'utilisation et la communication des renseignements personnels, tel que :

    • l'utilisation inappropriée d'une photo d'un employé;
    • information retrouvée par un détenu dans un bac de recyclage; et
    • divulgation d'information relatif à un détenu au mauvais détenu.

2 Selon le Commissariat à la protection de la vie privée, « fondée » signifie que « l'institution fédérale n'a pas respecté les droits d'une personne aux termes de la Loi sur la protection des renseignements personnels ». Commissariat à la protection de la vie privée, rapport annuel au Parlement 2005-2006, http://www.privcom.gc.ca/information/ar/200506/200506_pa_f.asp#015

  1. Délai de traitement des demandes de protection des renseignements personnels

Ces dernières années, le CPVP a indiqué, dans son rapport annuel au Parlement, que le Service correctionnel du Canada ne répondait pas aux demandes de renseignements personnels selon les échéances prévues par la loi. Dans le rapport de 2005-2006, le Commissariat à la protection de la vie privée a signalé que 89 p. 100 des 61 plaintes déposées contre le SCC qui ont fait l'objet d'une enquête et qui portaient sur les délais étaient fondées. Par rapport à d'autres ministères, le SCC se classe au deuxième rang au niveau du pourcentage de plaintes fondées en ce qui a trait au respect des délais.

Le SCC a depuis augmenté le personnel de l'AIPRP et simplifié ses méthodes, mais les réponses aux demandes de communication de renseignements personnels accusent toujours des retards. La Division de l'AIPRP (AC) a pris des mesures spéciales pour réduire l'arriéré de demandes de renseignements personnels pendant les quatre premiers mois de 2005. On a donc pu constater une réduction du nombre de demandes actuelles en retard (autres que celles provenant des agents de correction, mais incluant les demandes soumises en bloc par les délinquants), qui est passé de plus de 1 250 à 150. La Division de l'AIPRP est bien déterminée à observer les échéances prévues par la loi dans une proportion de 90 à 100 %, mais la situation demeure inquiétante. On pense qu'un arriéré de demandes de renseignements personnels pourrait encore une fois poser problème.

  1. Violation de la confidentialité de renseignements personnels

Pour la présente vérification, on a examiné les divers types de violation de la confidentialité qui se sont produites au cours de 2004-2005 et qui ont été signalées à la Division de l'AIPRP à l'AC. Dans la majorité des cas qui ont été signalés, il s'agissait d'ordinateurs portatifs, de disquettes et de dossiers perdus, égarés ou manipulés sans précaution. Les autres tendances importantes étaient la communication accidentelle de renseignements personnels ou leur mauvais acheminement, surtout relatifs aux délinquants mais aussi aux employés et autres individus.

En juillet 2005, la Division de l'AIPRP, en collaboration avec la Division de la sécurité du Ministère, a diffusé un document destiné à clarifier les procédures à suivre pour signaler les manquements possibles aussi bien que confirmés à la protection des renseignements personnels et à encourager les initiatives proactives visant à réduire au minimum le risque que des violations de la confidentialité de renseignements personnels se produisent à l'avenir. Ce document s'intitule :  Manquements à la protection des renseignements personnels : Un guide pour les gestionnaires des régions et des établissements.

  1. Consentement et confidentialité des renseignements sur les soins de santé des délinquants

Le Bureau de l'enquêteur correctionnel (BEC) se dit préoccupé par le processus de consentement éclairé avant de communiquer des renseignements sur la santé mentale et physique du délinquant. Il également exprimé ses préoccupations au sujet de violations possibles de la confidentialité des renseignements portant sur la santé des détenus et du risque que des renseignements médicaux et des renseignements sur les soins de santé mentale n'aboutissent dans les documents du Système de gestion des délinquants (SGD).

  1. Consentement éclairé

Dans son rapport annuel de 2003-2004, l'enquêteur correctionnel a émis des réserves au sujet de la clarté des formulaires de consentement que signent les délinquants. Il s'est demandé si les termes techniques ou juridiques utilisés dans les formulaires dépassaient les capacités de lecture et de compréhension de la plupart des délinquants. Au cours des entrevues réalisées avec les employés du BEC, la préoccupation soulevée voulait que certains formulaires de consentement nationaux soient trop « globaux » et puisse demander le consentement général du délinquant pour divulguer tous les renseignements aux fins d'évaluation des risques. Cette demande pourrait être interprétée comme une violation de leurs droits en matière de protection des renseignements personnels. Les employés du BEC étaient également au courant du fait que certaines unités opérationnelles avaient produit leurs propres formulaires de consentement internes. Ils se sont demandés si les formulaires produits sur place respectaient les exigences juridiques et professionnelles entourant la question du « consentement éclairé ».

La Direction des services de santé du SCC est d'avis que les formulaires de consentement doivent préciser clairement que seule l'information liée au risque et à la gestion du risque sera communiquée à des personnes autres que des professionnels de la santé visées par le cas et que les autres renseignements doivent être tenus confidentiels, conformément aux normes législatives et professionnelles en vigueur. Les formulaires de consentement nationaux, de même que les directives fournies par les professionnels de la santé, visent à satisfaire aux exigences entourant le consentement éclairé.

Dans la réponse du SCC au rapport de l'Enquêteur correctionnel, il est dit qu'« on mènera une vérification interne qui met l'accent sur la protection des renseignements personnels [ .]. [Le SCC] s'assurera que la vérification aborde la question de la confidentialité des renseignements en matière de santé ».

  1. Communication de renseignements confidentiels sur la santé

La politique du SCC prévoit actuellement que les renseignements d'ordre médical relatifs au délinquant seront communiqués seulement avec le consentement du délinquant. Lorsqu'un délinquant donne son consentement à une évaluation psychiatrique ou psychologique ou à un traitement à des fins de gestion de cas, il est réputé avoir également consenti à la communication des résultats à l'équipe de gestion de cas compétente. De plus, cette politique exige que les renseignements communiqués sans consentement le soient sur justification, que ces renseignements soient documentés, et que le délinquant soit informé de la communication à moins qu'on risque de mettre en danger la sécurité d'une autre personne. Dans son rapport annuel de 2003-2004, l'enquêteur correctionnel exprime des craintes au sujet de la communication de renseignements confidentiels sur la santé et de la mesure dans laquelle les employés ont un « besoin de connaître » les renseignements confidentiels sur la santé du délinquant.

Pour les Services de santé du SCC, la question soulevée par le BEC a trait à l'équilibre. Les fournisseurs de soins de santé ont un double mandat : protéger la confidentialité des renseignements sur la santé du délinquant et communiquer aux agents de gestion des cas et aux autres décisionnaires suffisamment de renseignements pertinents pour qu'ils puissent gérer le risque. En d'autres mots, il n'est pas nécessaire de communiquer aux personnes précités tous les détails du diagnostic médical ou de l'état de santé d'un délinquant pour qu'elles soient suffisamment informées. Les Services de santé sont d'avis que les politiques actuelles en place au SCC empêchent la communication inutile des renseignements sur la santé du délinquant.

 

2.0 OBJECTIFS ET PORTÉE DE LA VÉRIFICATION

2.1 Objectifs de la vérification

Les objectifs fixés pour la vérification étaient les suivants :

  • Évaluer le cadre de gestion en place en ce qui a trait à la protection des renseignements personnels.
  • Déterminer si des mesures proactives sont prises pour déceler les cas possibles et réels de violation de la confidentialité des renseignements personnels, et faire enquête sur ces derniers, et pour que des mesures correctives soient prises.
  • Déterminer dans quelle mesure les procédures et les processus appropriés sont en place pour obtenir le consentement éclairé des délinquants en ce qui touche la communication d'information sur la santé.
  • Déterminer dans quelle mesure les procédures et les processus appropriés sont suivis pour s'assurer du traitement rapide des demandes de renseignements personnels.

Le troisième objectif a été examiné de façon spécifique par suite des préoccupations exprimées par l'enquêteur correctionnel dans son rapport annuel de 2003-2004.

Les critères spécifiques utilisés pour la vérification figurent à l'annexe B.

2.2 Portée de la vérification

La vérification a été d'envergure nationale, et le travail de vérification a été effectué dans dix des 54 établissements du SCC, répartis dans les cinq régions et dans cinq (5) administrations régionales (AR) ainsi qu'à l'administration centrale (AC). Le choix de l'emplacement des dix établissements visités s'est fait en consultation avec les Bureaux de première responsabilité de l'AC en fonction des critères suivants :

  • Cote sécuritaire;
  • Fréquence de vérification aux établissements;
  • Données du BPR;
  • Lieu géographique.

Une liste des établissements visités figure à l'annexe C.

La portée de la vérification n'incluait pas les bureaux communautaires. De plus, la vérification n'a pas examiné les contrôles d'accès aux renseignements contenus dans le Système de gestion des délinquants (SGD) ou d'autres systèmes d'information tels que le Système de gestion des ressources humaines (SGRH).

 

3.0 APPROCHE ET MÉTHODOLOGIE

Avant la visite des établissements, un programme de vérification a été élaboré et un essai préliminaire des outils a été effectué à un emplacement dans la région de l'Ontario. Les visites des établissements se sont déroulées en novembre et décembre 2005. Elles comportaient les éléments suivants : observation directe des manquements possibles ou réels à la protection des renseignements personnels, examens de la documentation, examens de dossiers de délinquants, et entrevues avec des détenus et des membres-clés du personnel.

Les équipes de vérification étaient composées d'un membre du personnel de la Direction de la vérification interne, ainsi que d'un coordonnateur de la protection des renseignements personnels et d'un professionnel des soins de santé médicaux.

Les documents examinés à l'échelle nationale étaient, entre autres, le Manuel de conformité de l'AIPRP; diverses Directives du commissaire; le Guide sur les manquements à la protection des renseignements personnels; les manuels d'orientation/d'information du délinquant; les attestations du Cadre de contrôle de la gestion en ce qui touche le consentement à des services de soins de santé; la documentation relative à la formation, à l'orientation et aux séances d'information du personnel sur les exigences en matière de protection des renseignements personnels; et les formulaires de consentement du détenu en usage dans les établissements. Les documents examinés propres aux établissements visités incluent toutes communications dans les établissements qui donnent aux membres du personnel des directives sur les questions de protection des renseignements personnels, ainsi que tout renseignement relatif aux plaintes reçues à l'égard de manquements à la protection des renseignements personnels. À l'aide d'une période d'évaluation de novembre 2004 à novembre 2005, l'équipe de vérification a examiné les dossiers médicaux et psychologiques des délinquants pour s'assurer que les formulaires de consentement nécessaires étaient inclus. Un échantillon aléatoire de 10 fichiers a été examiné à chaque établissement, avec l'exigence que l'examen inclue cinq dossiers médicaux et cinq dossiers psychologiques. L'équipe de vérification a également examiné les fichiers correspondants du Système de gestion des délinquants pour s'assurer que seuls les renseignements pertinents sur les soins de santé mentale ou les soins médicaux étaient inclus dans les rapports utilisés aux fins d'évaluation des risques ou de prises de décisions.

À l'échelle des établissements, des entrevues ont été réalisées auprès de divers gestionnaires et employés tels que le directeur adjoint aux services de gestion, le chef des services administratifs, les coordonnateurs de la protection des renseignements personnels en établissement (s'il y a lieu), les adjoints aux dossiers, les chefs de l'Informatique, les chefs des Ressources humaines, le coordonnateur des Opérations correctionnelles et les réceptionnistes principaux (s'il y a lieu). Ces entrevues visaient à déterminer la mesure dans laquelle le Guide sur les manquements à la protection des renseignements personnels avait été mis en ouvre et si la question du traitement des demandes de protection des renseignements personnels en temps opportun pouvait permettre de réaliser des économies ou des efficiences. Des entrevues dans les établissements ont également été réalisées avec les chefs des Services de santé ainsi qu'avec les chefs des Services de psychologie ainsi que les infirmières et les psychologues des établissements et des détenus. Ces entrevues visaient à déterminer comment le consentement éclairé était géré dans un milieu opérationnel et s'il y avait des problèmes concernant la confidentialité des renseignements sur la santé mentale et physique des délinquants.

À l'échelle régionale, les gestionnaires responsables de la protection des renseignements personnels, de la gestion des documents, de l'informatique, de la sécurité, des soins de santé et des ressources humaines ont été interviewés afin de déterminer s'ils éprouvaient des problèmes de protection des renseignements personnels.

La vérification a également intégré une observation directe à tous les établissements visités pour détecter les manquements possibles et déterminer dans quelle mesure les renseignements personnels des employés et des délinquants étaient gérés et protégés.

Après la fin des visites des établissements, des constatations préliminaires ont été communiquées aux cadres supérieurs sur place et à l'échelle des régions par le biais de comptes rendus. Une fois toutes les visites et toutes les entrevues régionales et nationales achevées, des comptes rendus ont également été effectués auprès de représentants des secteurs des Politiques et de la recherche, ainsi que les Opérations et programmes correctionnels (incluant les Services de santé), Gestion des ressources humaines et les Services corporatifs.

 

4.0 CONSTATATIONS ET RECOMMANDATIONS

4.1 Cadre de gestion

Objectif 1 : Évaluer le cadre de gestion en place en ce qui a trait à la protection des renseignements personnels.

En ce qui a trait au cadre de gestion, l'équipe de vérification s'attendait à ce que la responsabilisation et les responsabilités corporatives à l'administration centrale (AC), aux administrations régionales (AR) et aux unités opérationnelles soient définies et à ce que les politiques, les lignes directrices et les procédures intégrées sur le traitement des renseignements personnels soient documentées et facilement accessibles. L'équipe de vérification s'attendait également à ce que des séances de sensibilisation et de formation aient été menées en rapport avec les questions de protection des renseignements personnels et le traitement des renseignements personnels et à ce que des mécanismes de surveillance et de rapports soient en place à l'AC, aux AR et aux unités opérationnelles pour contrôler le risque associé aux manquements possibles ou réels à la protection des renseignements personnels.

4.1.1 Responsabilisation et responsabilités corporatives

Constatation : La responsabilisation et les responsabilités corporatives en matière de protection des renseignements personnels parmi les secteurs de l'AC ne sont pas complètement définies.

L'équipe de vérification a découvert que le Manuel de conformité de l'AIPRP (en date de novembre 2003) fournissait des renseignements sur le cadre de responsabilisation en matière de protection des renseignements personnels. En ce qui a trait aux responsabilités, le manuel traite brièvement de la délégation de pouvoirs pour les postes-clés tels que ceux du ministre, du commissaire, du sous-commissaire principal, du commissaire adjoint responsable de l'AIPRP (du commissaire adjoint, Politiques et recherche) et des sous-commissaires régionaux, des directeurs, des directeurs de district et certains autres postes désignés dans les régions.

Un examen de la documentation organisationnelle sur l'Infonet du SCC et les discussions avec les gestionnaires de l'AC ont révélé qu'il existe, à l'administration centrale, d'autres secteurs que les Politiques et la recherche qui ont des responsabilités et des mandats-clés qui influent sur le cadre de responsabilisation de l'AIPRP et la Loi sur la protection des renseignements personnels, mais qui ne sont pas indiqués dans le Manuel de conformité de l'AIPRP. Ces secteurs sont notamment :

  • Services corporatifs : les Systèmes de gestion de l'information (SGI) et la Gestion des documents sont les principaux collecteurs, utilisateurs et protecteurs des renseignements personnels ou protégés, relatifs aux employés et aux délinquants;
  • Opérations et programmes correctionnels (OPC) : Les services de sécurité, de réinsertion sociale et de santé sont responsables de quantités considérables de renseignements personnels et protégés sur les délinquants;
  • Gestion des ressources humaines (GRH) : est responsable de la base de données du Système de gestion des ressources humaines qui contient les renseignements personnels sur les employés. Ce secteur est également responsable des Normes nationales de formation (NNF) (qui comprennent des modules de formation sur l'AIPRP), ainsi que la Directive du commissaire (DC) 060 intitulée Code de discipline (qui traite des employés qui font intentionnellement un usage incorrect des renseignements personnels ou protégés).

Tel que mentionné au paragraphe 4.1.4 ci-dessous, certaines de ces divisions ont également mis au point des systèmes de surveillance pour détecter, contrôler et signaler les manquements à la protection des renseignements personnels.

Dans l'ensemble, l'équipe de vérification a constaté que le cadre de responsabilisation a besoin d'amélioration, surtout en ce qui a trait à la détermination et à l'intégration de la responsabilisation et des responsabilités des secteurs tels que les Services corporatifs, les Opérations et programmes correctionnels et la Gestion des ressources humaines en matière de protection des renseignements personnels. En général, divers secteurs travaillent en vase relativement clos à divers aspects de la protection des renseignements personnels sans coordination globale. En l'absence de cadre de responsabilisation complet et intégré, il risque d'y avoir des lacunes ou des chevauchements au chapitre des responsabilités. De plus, dans un organisme décentralisé comme le Service correctionnel du Canada, la capacité de détecter et de corriger les obstacles auxquels le programme fait face est inhibée. De même, il se peut que l'on ne reconnaisse pas les possibilités d'amélioration de programme.

Constatations : Les coordonnateurs de la protection des renseignements personnels locaux et régionaux comprennent clairement leurs rôles et leurs responsabilités.

La vérification a permis de constater que chaque région avait nommé un coordonnateur régional de la protection des renseignements personnels, mais que la classification de ce poste variait d'une région à l'autre (allant de AS-02 à AS-05). Dans trois régions, ce poste relève de la division des services exécutifs, par contre dans les régions de l'Atlantique et du Québec, il relève des services corporatifs.

À l'échelle locale, chaque établissement visité avait attribué les fonctions de coordination de la protection des renseignements personnels à un membre du personnel dans le cadre d'autres fonctions. Dans la plupart des cas, c'était le chef des Services administratifs. Cette personne est également responsable d'autres activités-clés telles que les plaintes et les griefs des délinquants, les réclamations contre l'État, la gestion des documents, etc.

Sur le plan de la protection des renseignements personnels, les coordonnateurs locaux et régionaux sont responsables de fonctions telles que :

  • la coordination et le traitement des demandes (en veillant à ce que les délais imposés par la loi soient respectés);
  • à l'échelle régionale, le traitement des demandes de délinquants dont la date d'expiration du mandat est atteinte (c.-à-d., la date à partir de laquelle ils ne relèvent plus du SCC);
  • la communication officieuse de renseignements aux délinquants et au personnel, au besoin;
  • la participation au processus de présentation de rapports sur les manquements à la protection des renseignements personnels.

De plus, le coordonnateur local et le coordonnateur régional de la protection des renseignements personnels traitent tous deux les demandes formulées par des organismes externes tels que les organismes policiers, les gouvernements provinciaux, les tribunaux, etc. Cette tâche est extrêmement délicate puisqu'elle a trait à la communication des renseignements personnels des délinquants à l'extérieur du SCC et exige un niveau de connaissance élevé de la Loi sur la protection des renseignements personnels et de la Loi sur le système correctionnel et la mise en liberté sous condition (LSCMLC).

Les entrevues réalisées auprès des coordonnateurs locaux et régionaux n'ont pas révélé de problèmes importants en ce qui a trait à la compréhension de leurs rôles et de leurs responsabilités. Les problèmes soulevés étaient davantage liés à la charge de travail et au fait que la protection des renseignements personnels n'était qu'une des nombreuses priorités dont ils étaient responsables.

4.1.2 Cadre des politiques organisationnelles

Constatation : Il existe un cadre organisationnel en matière de protection des renseignements personnels, mais il est fragmenté et sujet à amélioration.

L'équipe de vérification a constaté un certain nombre de Directives du commissaire (DC), de Lignes directrices et d'instructions permanentes qui faisaient référence à la Loi sur la protection des renseignements personnels à titre d'autorité ou donnaient des conseils sur certaines questions liées à la protection des renseignements personnels. Bien qu'elle ne soit pas exhaustive, la liste qui suit énumère les types de politiques stratégiques qui comportent un élément relatif à la protection des renseignements personnels qui se trouve sur l'Infonet du SCC :

  • DC-226 - Utilisation des réseaux électroniques;
  • DC-095 et Lignes directrices - Communication de renseignements aux délinquants;
  • IP-700-01 - Communication de renseignements;
  • DC-803 - Consentement relatif aux évaluations, aux traitements et à la communication de renseignements médicaux;
  • DC-850 - Services de santé mentale;
  • DC-568 - Gestion des renseignements de sécurité;
  • DC-568-6 - Création, contrôle et gestion des dossiers de sécurité préventive;
  • DC-060 - Code de discipline.

Chacune de ces politiques traite brièvement d'un aspect précis de la protection des renseignements personnels ou traite de certaines responsabilités relatives à cette protection.

En plus des documents relatifs aux politiques organisationnelles susmentionnées, l'équipe de vérification a repéré deux autres documents liés à la protection des renseignements personnels :

  1. Manuel de conformité de l'AIPRP

Tous les employés peuvent consulter le Manuel de conformité de l'AIPRP (en date de novembre 2003) sur l'Infonet du SCC. Ce manuel contient divers renseignements, y compris les suivants :

  • la responsabilisation, les rôles et les responsabilités;
  • les renseignements liés au programme, y compris les autorisations juridiques accordées en vertu de la Loi sur la protection des renseignements personnels;
  • un guide étape par étape des processus et des procédures à suivre lors de la demande et du traitement des demandes de renseignements personnels.

Bien que le Manuel de conformité de l'AIPRP fournisse une quantité considérable de renseignements sur le programme de protection des renseignements personnels, il contient de nombreuses références et citations qui sont maintenant périmées. De plus, le lien vers le chapitre 4 (intitulé: « Guide d'usage et de communication de renseignements sur les délinquants ») indique que ce chapitre sera ajouté à une date ultérieure. En août 2006, le chapitre 4 n'avait toujours pas été ajouté au Manuel de conformité sur l'Infonet.

  1. Guide sur les manquements à la protection des renseignements personnels

Le Guide sur les manquements à la protection des renseignements personnels est une brève présentation en PowerPoint intitulée: Manquements à la protection des renseignements personnels: un guide pour les gestionnaires des régions et des établissements. Ce guide a été diffusé à l'échelle nationale en juillet 2005 et affiché sur l'Infonet du SCC en février 2006. Le guide relatif aux manquements à la protection des renseignements personnels fournit un bref aperçu des définitions, des responsabilités et des mesures à prendre en cas de manquement possible ou réel à la protection des renseignements personnels, ainsi que des directives sur les enquêtes et les étapes à suivre une fois qu'un manquement à la protection des renseignements personnels a été découvert.

Constatation : Les directives contenues dans le Guide sur les manquements à la protection des renseignements personnels sont limitées et vagues.

L'équipe de vérification a découvert des lacunes sur le plan stratégique dans le Guide sur les manquements à la protection des renseignements personnels. Premièrement, sa présentation sous forme de document en PowerPoint n'affiche pas un caractère officiel. À titre de document corporatif qui fournit une orientation nationale sur la gestion et la prévention des manquements à la protection des renseignements personnels, le Guide sur les manquements à la protection des renseignements personnels doit être présenté dans un format de politique reconnu.

De plus, l'équipe de vérification a trouvé que le Guide sur les manquements à la protection des renseignements personnels était incomplet et vague à bien des égards. Des préoccupations semblables ont également été exprimées pendant les entrevues réalisées auprès des employés des établissements et des régions. Voici quelques exemples de problèmes décelés :

  • Il n'existe aucune référence au traitement des manquements à la protection des renseignements personnels à l'administration centrale ou au sein de la collectivité (dans le district, le bureau de libération conditionnelle ou l'Établissements résidentiels communautaires);
  • Certains postes cités dans le guide, (p. ex. administrateur régional, AIPRP), n'existent pas;
  • Un certain nombre de termes (p. ex. enquête d'établissement des faits, évaluation de la menace et étude d'impact) ne sont pas clairement définis dans le guide ni compris par les personnes interrogées;
  • Le Guide sur les manquements à la protection des renseignements personnels met l'accent sur les atteintes à la sécurité, mais une référence à la gestion des documents et à l'informatique est faite en passant. Il existe de nombreux autres types de manquements possibles à la protection des renseignements personnels qui n'entrent pas dans ces intitulés;
  • Les processus d'enquête et de rapports n'étaient pas clairs aux yeux des personnes interrogées responsables de la mise en ouvre du guide. Par ailleurs, certains éléments ne concordent pas avec l'organigramme accessible sur l'Infonet intitulé :  Manquements à la protection des renseignements personnels ou à la Politique du gouvernement sur la sécurité - Protocole de déclaration obligatoire;
  • Le Guide sur les manquements à la protection des renseignements personnels contient le passage suivant « À moins que la chose soit clairement superflue, une enquête sur la perte des renseignements doit être effectuée à l'établissement ». Le Guide n'indique pas clairement quel genre de manquement à la protection des renseignements personnels ne nécessiterait aucun processus d'enquête.

Le guide applique actuellement le même processus de report et d'enquête à tous les types de violations, cependant, des révisions au guide pourraient regarder à différents niveaux d'enquêtes selon le degré de risque et d'impact de l'infraction.

En outre, la vérification a trouvé que le Guide donne peu de directives en ce qui concerne les mesures correctives, mais met l'emphase plutôt sur les processus administratifs à suivre si un manquement est détecté.

En général, l'équipe de vérification a trouvé que le guide tente effectivement de donner des directives; cependant, des précisions doivent être apportées relativement à un certain nombre de questions pour assurer une application cohérente à l'échelle du SCC.

4.1.3 Formation et sensibilisation

Constatation : Certains modules de formation sont actuellement donnés en matière de protection des renseignements personnels, mais il est évident que le personnel ne comprend pas clairement ce qui constitue une violation potentielle ou réelle de la confidentialité des renseignements personnels.

À l'échelle nationale, l'équipe de gestion a identifié divers documents utilisés à des fins de formation en ce qui concerne la communication de renseignements personnels, l'évaluation de l'incidence sur la vie privée, l'aperçu du Manuel de conformité de l'AIPRP, et l'aperçu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels à l'intention des gestionnaires. La Division de l'AIPRP utilise ces documents dans diverses séances de formation données au Centre d'apprentissage en gestion correctionnelle et pour offrir une certaine formation ponctuelle dans les régions.

Dans le cadre des Normes nationales de formation (NNF), d'autres modules d'orientation qui comportent une composante de protection des renseignements personnels ont été élaborés, notamment le Programme d'orientation des nouveaux employés (PONE), le Programme de formation des agents de correction (PFAC), et l'Orientation à l'intention des directeurs adjoints et des sous-directeurs. De plus, un examen des sites Infonet des Secteurs a révélé un certain nombre de présentations en PowerPoint produites par les Systèmes de gestion de l'information et la technologie de l'information (Services corporatifs) ainsi que la Division de la sécurité (Opérations et programmes correctionnels) traitant de la protection des renseignements et des biens personnels et protégés du SCC dans le contexte de la protection de la vie privée.

Dans le Guide sur les manquements à la protection des renseignements personnels, on peut lire que l'AIPRP, avec l'aide de la Direction de la sécurité, offrira de la formation sur son utilisation. Cependant, on a informé l'équipe de vérification qu'aucune formation n'avait été donnée avant ou après la distribution de ce guide l'échelle nationale. Au moment de la vérification, aucun module de formation sur ce guide n'avait été élaboré et aucun calendrier de formation n'avait été établi. Bon nombre d'employés interviewés à l'échelle locale et régionale ignoraient l'existence du Guide ou étaient peu familiers avec son contenu.

À l'échelle locale, l'équipe de vérification a confirmé que certains établissements visités avaient organisé des séances de sensibilisation lors de réunions d'employés par exemple et on a trouvé quelques exemples où des courriels ont été envoyés à des employés pour leur rappeler leurs obligations à l'égard du soin et de la protection des renseignements personnels et protégés. L'équipe de vérification n'a reçu aucune information confirmant que les régions avaient tenu des séances de formation ou de sensibilisation.

La vérification a permis de découvrir l'existence de divers degrés de compréhension de la gestion et du traitement des renseignements personnels. Au cours d'inspections visuelles effectuées dans dix établissements et cinq administrations régionales, l'équipe de vérification a cerné diverses préoccupations en matière de protection des renseignements personnels, dont les suivantes :

  • des tableaux de dénombrements sur lesquels étaient inscrits les noms et numéros matricules des détenus, leurs numéros Système d'empreintes digitales (SED), leurs rendez-vous avec des tribunaux de l'extérieur et des visites à l'hôpital clairement visibles aux détenus ou aux visiteurs à l'établissement;
  • des photos des détenus sur lesquelles étaient inscrits leurs noms et numéros SED ont été affichées à l'entrée principale de l'un des établissements;
  • à un autre établissement, il y avait un panneau à la réception qui comprenait l'identification personnelle des visiteurs (telle que le permis de conduire) qui est échangée pour la passe de visiteur de SCC. L'identification personnelle était clairement montrée et d'autres pourraient regarder non seulement le nom du visiteur mais leur photo ainsi que d'autres informations personnelles.
  • des classeurs sans mécanismes de verrouillage qui contenaient des renseignements personnels et protégés;
  • des listes contenant des renseignements personnels, affichées à l'extérieur des bureaux;
  • des renseignements confidentiels ou de nature délicate laissés sans surveillance pendant de longues périodes (p. ex. pour la nuit ou pendant les périodes de congé);
  • une sécurité et un contrôle limités sur les boîtes qui contiennent des renseignements protégés ou confidentiels destinés au déchiquetage.

Lorsque ces préoccupations ont été portées à l'attention des employés chargés de la protection des renseignements personnels, des gestionnaires d'établissements et des gestionnaires régionaux, ils ont indiqué qu'ils ne reconnaissaient pas ces problèmes comme des cas possibles de violation de la confidentialité des renseignements personnels.

Le manque de formation et de sensibilisation régulières relativement aux questions de protection des renseignements personnels risque d'entraîner des violations ainsi que le risque que celles-ci ne soient pas reconnues ni signalées, ni abordées.

4.1.4 Mécanismes de surveillance et de présentation de rapports corporatifs

Constatation : Il existe divers mécanismes de surveillance et de présentation de rapports corporatifs dont le rôle est de détecter les cas de violation qui peuvent avoir des répercussions sur la protection des renseignements personnels, toutefois il y a intégration et analyse limitées de l'information.

Un certain nombre de systèmes organisationnels ont été mis sur pied pour surveiller les cas de violation qui ont des répercussions sur la protection des renseignements personnels et présenter des comptes rendus à ce sujet. Par exemple,

  • Les atteintes à la sécurité sont signalées par le biais d'un réseau appelé : RRS (géré par le Secteur des opérations et des programmes correctionnels);
  • Un groupe au sein des Systèmes de gestion de l'information (SGI) (Secteur des services corporatifs) surveille les cas de violation relatifs aux systèmes de technologie de l'information au sein du SCC tels que le Système de gestion des délinquants (SGD) et en fait rapport;
  • La Gestion des documents utilise des protocoles établis par le Système de documents sur les délinquants (SDD) pour gérer les cas possibles ou réels de violation liés à la perte, à la destruction ou à l'usage incorrect de fichiers imprimés (Secteur des services corporatifs);
  • La Division de l'AIPRP a mis au point un système qui permet d'enregistrer les cas possibles et réels de violation que signalent les régions et les établissements d'après les directives fournies dans le Guide sur les manquements à la protection des renseignements personnels (Secteur des politiques et de la recherche).

L'équipe de vérification a découvert qu'il n'existait aucune coordination entre les divers systèmes de surveillance qui ont été mis sur pied au sein du SCC ni aucune intégration de ces systèmes pour détecter les cas de violation de la protection des renseignements personnels et présenter des comptes-rendus à ce sujet. Ces différents systèmes de surveillance recueillent des renseignements sur divers éléments de violations qui se produisent, dont bon nombre ont des répercussions sur la protection des renseignements personnels. Cependant, il n'y pas d'endroit unique où un portrait complet de l'étendue des cas de violation de la protection des renseignements personnels peut être examiné. De plus, aucune analyse n'est faite au sujet des types de violations plus courants de la protection des renseignements personnels qui se produisent et des moyens possibles de les éviter.

Les systèmes actuels de surveillance et de suivi dépendent beaucoup du fait que les diverses Divisions sont prévenues par les employés de l'AC ou dans les régions, établissements et les districts lorsqu'une violation de la confidentialité des renseignements personnels se produit. L'équipe de vérification a cependant découvert qu'il y avait un manque véritable de clarté au sujet de ce qui constituait, en fait, une violation de la confidentialité des renseignements personnels et de la personne ou division à qui elle doit être signalée. Par exemple, un dossier de délinquant égaré ou mal acheminé pourrait avoir de multiples répercussions en matière de violation au chapitre de la sécurité, de la gestion des documents et de la protection des renseignements personnels. La clarté entourant ce qui constitue une violation signalable de la protection des renseignements personnels s'impose. Dans bien des cas, la portée des violations de la protection des renseignements personnels et protégés transcende divers centres de responsabilité et divers secteurs, ce qui ne permet pas de savoir clairement quel système de surveillance et de rapports doit être utilisé pour assurer le suivi de la violation.

Conclusion

La vérification a permis de découvrir que le cadre gestion de protection des renseignements personnels au sein du SCC est fragmenté, ce qui entraîne des lacunes et, parfois, une orientation vague. Plusieurs secteurs de l'AC travaillent tous d'une certaine façon pour répondre aux engagements du SCC. Cependant, il n'existe pas de coordination globale.

La vérification a également permis de constater que les employés responsables des éléments de la protection des renseignements personnels (p. ex., les employés de la Division de l'AIPRP à l'AC ou les coordinateurs locaux et régionaux) comprennent clairement leurs rôles et responsabilités. Cependant, bon nombre d'employés hors de ces domaines à tous les niveaux de l'organisation, ne sont pas au courant des répercussions possibles de certaines pratiques sur la protection des renseignements personnels, y compris le risque éventuel en cas de communication ou la perte de renseignements. Ce manque de connaissances était évident pendant les visites des établissements tant par le biais de l'observation que par le biais des entrevues.

Enfin, les processus locaux, régionaux et nationaux n'ont pas été clairement définis ni communiqués pour faire en sorte que les cas possibles et réels de violation de la confidentialité de renseignements personnels soient détectées et signalées par les autorités organisationnelles clés.

Recommandation 1 : Que le commissaire adjoint, Politiques et recherche, collabore étroitement avec les autres gestionnaires supérieurs afin de développer un cadre de responsabilisation pour les activités de protection des renseignements personnels au sein du SCC.


Recommandation 2 : Que le commissaire adjoint, Politiques et recherche, s'assure que le cadre des politiques en matière de protection des renseignements personnels (y compris le G uide sur les manquements à la protection des renseignements personnels ) est mieux intégré et fournit une direction claire et consistante.


Recommandation 3 : Que le commissaire adjoint, Politiques et recherche (en collaboration avec le commissaire adjoint, Services corporatifs et le commissaire adjoint, Opérations et programmes correctionnels), examinent les systèmes de rapports et de surveillance actuels pour définir clairement les exigences en matière de rapport et assurer une consolidation et une analyse des renseignements.


Recommandation 4 : Que le commissaire adjoint, Politiques et recherche, en collaboration avec le commissaire adjoint, Gestion des ressources humaines, élaborent un plan stratégique national de communication et de formation en ce qui concerne la protection des renseignements personnels, ainsi que les processus d'enquête et de présentation de rapports.


4.2 Enquêtes et mesures correctives

Objectif 2 : Déterminer si des mesures proactives sont prises pour déceler les cas possibles et réels de violation de la confidentialité des renseignements personnels, et faire enquête sur ces derniers, et pour que des mesures correctives soient prises.

Relativement à cet objectif, on s'attendait à ce qu'un processus soit en place pour faire en sorte que les violations fassent l'objet d'une enquête et que des mesures correctives soient mises en ouvre. Nous nous attendions également à trouver un certain mécanisme de communication en place pour faire en sorte que les leçons retenues soient communiquées à l'échelle de l'organisation.

Il est à noter que les constatations de la vérification relativement à ce deuxième objectif sont clairement liées aux résultats définis sous le premier objectif (cadres de gestion et des politiques). Compte tenu du manque de sensibilisation à ce qui constitue une violation de la confidentialité des renseignements personnels, un manque de compréhension du processus d'enquête et de présentation de rapports et de lacunes en matière de responsabilités (rôles et responsabilités), l'équipe de vérification n'a pas été en mesure d'évaluer la conformité concernant de nombreux aspects du programme. Dans l'ensemble, la vérification a déterminé qu'il y a grand nombre d'exigences qui ne sont pas suivis ou qui ne sont pas appliqués de façon uniforme, mais cette application irrégulière est due en grande partie à différentes interprétations et à une compréhension différente des exigences. Les recommandations formulées sous le premier objectif devraient aider à clarifier ces questions et en assurer la conformité.

Les sections qui suivent traite d'un petit nombre d'autres problèmes précis relatifs à cet objectif, et qui ne sont pas discutés ailleurs dans ce rapport.

4.2.1 Enquêtes sur les manquements et mesures correctives

Constatation : La vérification a permis de constater que des enquêtes sont menées à la suite de certaines violations, mais que l'application et la structure ne sont pas uniformes.

L'équipe de vérification a découvert que des enquêtes sont effectuées relativement à certains types de violations, en particulier celles qui ont un impact considérable (p. ex. la perte d'un ordinateur portatif, des dossiers des délinquants ou des renseignements personnels auxquels les délinquants ont eu accès). Diverses structures et distribution des rapports ont été relevées en ce qui concerne ces enquêtes, en grande partie en raison du manque d'orientation claire à cet égard tel qu'il a été indiqué auparavant sous l'objectif 1.

De plus, étant donné que les employés ne comprenaient pas clairement ce qui constitue une violation de la confidentialité des renseignements personnels, il n'existe pas d'assurance que toutes les violations sont signalées, font l'objet d'une enquête et sont traitées.

En ce qui a trait aux mesures correctives, la vérification a permis de constater qu'il n'existe actuellement aucun moyen de signaler ce qui est fait pour faire suivi aux problèmes détectés pendant les enquêtes sur les violations de la confidentialité des renseignements personnels ou en assurer le suivi. Bien que la vérification ait révélé que des mesures disciplinaires avaient été prises dans certains cas à la suite d'enquêtes, celles-ci ont été gérées à l'échelle locale et n'ont pas nécessairement été signalées dans le cadre du processus de protection des renseignements personnels.

4.2.2 Leçons retenues

Constatation : Certains renseignements sur les leçons retenues ont été trouvés dans l'Infonet du SCC.

L'équipe de vérification s'attendait à ce qu'on donnerait suite aux informations découlant des enquêtes sur les violations afin d'éviter que des incidents semblables ne se reproduisent ailleurs au SCC.

L'équipe de vérification n'a pas pu confirmer que les leçons retenues sont diffusées à l'échelle de l'organisation par la Division de l'AIPRP. Pendant les entrevues réalisées auprès de représentants de l'AIPRP, on a expliqué que la Division reçoit les renseignements sur les violations de la confidentialité des renseignements personnels, mais ils ne rédigent ni diffusent des analyses périodiques des leçons retenues. De même, bien que la Division de l'AIPRP prépare des résumés pour la haute gestion des violations de la confidentialité signalées dans le Rapport annuel du Commissariat à la protection de la vie privée au Canada présenté au Parlement, ces renseignements non plus ne sont pas communiqués aux régions ni aux établissements. Un examen de 82 violations signalées à la division de l'AIPRP pendant l'année fiscale 2005-2006 permet d'observer plusieurs types de violations communs tels que des informations personnelles laissées dans des bacs de recyclage et retrouvées par des détenus (dans un établissement, une telle violation a eu lieu trois fois dans trois mois différents).

L'équipe de vérification a déterminé que la Direction des SGI a préparé des renseignements généraux sur la protection des information et des biens relatifs à la technologie de l'information (TI), mais, pendant les entrevues, peu de coordonnateurs de la protection des renseignements personnels dans les régions et les établissements étaient au courant de ceux-ci. Les renseignements rédigés par la Division de la sécurité du Ministère , tels que les bulletins de sécurité sur la Politique du gouvernement sur la sécurité ont également été trouvés sur l'Infonet du SCC. Le personnel de sécurité interviewé dans les régions et dans les établissements connaissait ces renseignements, mais peu de coordonnateur s de la protection des renseignements personnels étaient au courant de cette ressource.

L'équipe de vérification note que la Division de l'AIPRP a récemment affiché un document intitulé :  Conseils de l'AIPRP sur l'Infonet du SCC. Cette publication (qui date de novembre 2005 et a été affichée sur l'Infonet du SCC en février 2006) met l'accent sur la portée juridique et les pouvoirs légaux de la Loi sur la protection des renseignements personnels. Les entrevues ont révélé qu'il se peut que les éditions futures de Conseils de l'AIPRP incluent des renseignements sur les leçons retenues et les façons d'éviter des violations possibles de la confidentialité des renseignements personnels.

Conclusion

Bien que la vérification ait permis de découvrir que certains cas de violation font actuellement l'objet d'enquête, le processus n'est pas appliqué de façon uniforme et il manque une orientation claire à l'échelle nationale.

L'équipe de vérification a, en outre, conclu que certaines divisions à l'AC déploient actuellement des efforts pour distribuer des rappels de période et diffuser des renseignements sur les cas possibles de violation de la confidentialité de renseignements personnels et les problèmes ainsi que les leçons retenues. Cependant, la Division de l'AIPRP ne communique pas les données, ni les analyses, ni les résultats nationaux concernant les violations de la confidentialité de renseignements personnels ni les leçons retenues aux employés dans les régions, les établissements ou dans la collectivité. Conséquemment, ceci réduit la capacité du SCC d'éviter que des violations semblables ne se produisent pas ailleurs au sein de l'organisation.

Recommandation 5 : Que le commissaire adjoint, Politiques et recherche, s'assure que des renseignements clés tels que les leçons retenues et les exemples de cas de violations courants de la confidentialité des renseignements personnels sont distribués aux niveaux appropriés afin de réduire au minimum le risque que ces violations ne se reproduisent.


4.3 Consentement des délinquants et confidentialité des renseignements sur les soins de santé

Objectif 3 : Déterminer dans quelle mesure les procédures et les processus appropriés sont en place pour obtenir le consentement éclairé des délinquants en ce qui touche la communication d'information sur la santé.

Selon la DC 803, Consentement relatif aux évaluations, aux traitements et à la communication de renseignements médicaux, le consentement du délinquant doit être obtenu pour tous les actes médicaux et tous les actes qui ont trait à la santé mentale, toute participation à une forme quelconque de recherche ainsi que la communication de renseignements de nature médicale. Ce consentement doit être éclairé, ce qui veut dire que le délinquant est en mesure de comprendre et est sensibilisé aux résultats et aux risques possibles. L'équipe de vérification s'attendait à constater que les protocoles sont en place pour s'assurer que les délinquants sont bien informés de ce à quoi ils consentent, que les délinquants comprennent clairement les formulaires de consentement, et que ces formulaires tiennent compte de tous les aspects des exigences imposées par la loi. L'équipe de vérification s'attendait également à découvrir que les professionnels de la santé avaient été formés et sensibilisés aux exigences relatives au consentement éclairé.

La politique du SCC exige l'obtention du consentement du délinquant pour la communication de renseignements de nature médicale, sauf dans certains cas. Les exceptions incluent les cas où :

  • les renseignements portent sur la décision de libérer le délinquant,
  • il y a lieu de croire que le délinquant représente une grave menace pour lui-même ou la sécurité de l'établissement,
  • la communication est mandatée ou autorisée par une loi pertinente (p. ex. la Loi sur le système correctionnel et la mise en liberté sous condition, la Loi sur la protection des renseignements personnels, la législation provinciale relative au signalement de maladies transmissibles, etc.).

En plus de ces exigences, ces renseignements peuvent seulement être communiqués aux membres du personnel qui ont un « besoin de savoir ». En conséquence, l'équipe de vérification s'attendait de trouver seulement les renseignements sur les soins de santé nécessaires sur les dossiers de gestion de cas examinés.

4.3.1 Protocoles relatifs au consentement éclairé

Constatation : Bien qu'il n'existe pas de protocole officiel en place en ce qui concerne le consentement éclairé, des procédures cohérentes étaient généralement suivies par les employés de tous les établissements visités.

Les professionnels de la santé de tous les établissements visités comprenaient parfaitement le concept de consentement éclairé. Bien que les protocoles et les procédures puissent varier légèrement d'un établissement à l'autre, ceux-ci doivent généralement permettre de :

  • fournir au délinquant le formulaire de consentement vierge;
  • fournir au délinquant une explication verbale du formulaire de consentement vierge;
  • fournir au délinquant une explication verbale de la procédure, du traitement ou de l'évaluation proposés et, au besoin, toute question en ce qui concerne la communication des renseignements de nature médicale;
  • répondre verbalement à toutes questions ou toutes préoccupations du délinquant;
  • remplir le formulaire de consentement avant que les services de santé soient fournis.

Aucune préoccupation n'a été soulignée à cet égard.

4.3.2 Formation et sensibilisation au consentement éclairé

Constatation : Bien que le SCC n'ait pas donné de séances de formation ni de séances de sensibilisation spécifiques sur le consentement éclairé, une formation a été donnée aux fournisseurs de soins de santé du SCC dans le cadre de leur accréditation et de leur réglementation professionnelles.

Aucune préoccupation n'a été soulignée à ce chapitre. Les exigences professionnelles et les exigences en matière de réglementation professionnelle imposent aux fournisseurs de soins de santé et aux fournisseurs de soins de santé mentale l'obligation de veiller au consentement éclairé, y compris la communication d'information sur la santé. La vérification a permis de constater que bien qu'aucune formation ne soit disponible au sein du SCC pour s'attaquer à ce problème, les employés du SCC qui travaillent dans les services de santé possèdent la base de connaissances requise à la suite des renseignements obtenus et de la formation acquise par le biais de leurs organismes professionnels respectifs, étant donné que c'est un norme de pratique pour les professionnels de la santé.

4.3.3 Formulaires de consentement

Constatation :  Les formulaires de consentement sont généralement compris par les délinquants.

Les délinquants ont été interrogés, soit seuls, soit en groupe, dans chacun des établissements visités, pour savoir si les formulaires de consentement sont clairs. Dans tous les cas, les délinquants ont déclaré que les formulaires de consentement utilisés par le SCC sont comparables à ce qu'on peut trouver dans le milieu communautaire et sont bien compris. Les délinquants ont également fait remarquer que s'il se produit une situation où ils ne comprennent pas le formulaire écrit, le personnel de soins de santé prendra le temps qu'il faudra pour expliquer les éléments qui ne sont pas clairs.

Aucune préoccupation n'a été mentionnée dans ce domaine.

Constatation : Les établissements ont créé des formulaires de consentement internes pour satisfaire aux exigences législatives et professionnelles provinciales.

L'équipe de vérification a examiné un échantillon de formulaires de consentement utilisés dans les établissements à sécurité minimale, moyenne, et maximale. Bien que le SCC ait créé des formulaires génériques nationaux, bien souvent, ces formulaires ne reflètent pas les exigences professionnelles et législatives particulières qui varient d'une province à l'autre. Pour régler ce problème, de nombreux établissements ont ajouté aux formulaires génériques leurs propres formulaires internes qui tiennent compte des exigences provinciales.

Même si la vérification n'incluait pas un examen détaillé du contenu de ces formulaires modifiés, un risque a été identifié, compte tenu de leur diversité. L'examen superficiel d'un petit échantillon de formulaires a permis de remarquer des problèmes tels que les suivants: les formulaires internes ne sont pas disponibles dans les deux langues officielles ou qui n'incluent pas les mêmes énoncés ou terminologie qui figurent dans le formulaire officiel.

Les personnes interrogées dans les établissements visités ne savaient pas si les formulaires de consentement créés localement avaient été examinés par les Services juridiques du SCC ou les Soins de santé de l'AR pour s'assurer que toutes les exigences ont été respectées. Lorsque les Services de santé de l'AC ont été consultés, ils ont fait remarquer qu'ils étaient au courant de l'existence d'un certain nombre de formulaires de consentement dans les établissements, mais qu'ils n'avaient pas effectué un examen de ceux-ci.

La création de formulaires internes peut avoir des conséquences juridiques puisque le SCC pourrait être tenu responsable si toute clause essentielle du formulaire de consentement était retirée ou modifiée involontairement.

4.3.4 Communication des renseignements sur la santé des délinquants

Constatation : Autre que les évaluations préliminaires et les entrevues sur les besoins immédiats, les fichiers du Système de gestion des délinquants examinés contenaient seulement des renseignements sur les soins de santé raisonnablement liés à l'évaluation des risques.

En examinant les dossiers des délinquants dans le Système de gestion des délinquants (SGD), l'équipe de vérification n'a pas trouvé, dans les Suivis du plan correctionnel, les Registres des interventions ou les Évaluations en vue d'une décision, de renseignements sur les soins de santé des délinquants à moins que ceux-ci ne soit raisonnablement liés à l'évaluation des risques.

Par contre, l'équipe de vérification a remarqué que les évaluations préliminaires et les entrevues sur les besoins immédiats contiennent des renseignements en matière de soins de santé sur tous les délinquants.

L'évaluation préliminaire sert à recueillir des renseignements de base sur le délinquant, à évaluer ses besoins immédiats, à commencer à rassembler les documents essentiels et à faire connaître le SCC au délinquant. L'agent de libération conditionnelle dans la collectivité doit normalement interviewer le délinquant et rédiger le Rapport d'évaluation préliminaire dans les cinq jours ouvrables suivant le prononcé de la peine de ressort fédéral (c à d pendant que le délinquant est sous la garde des autorités provinciales). Toute information recueillie lors de ce processus est enregistrée dans le SGD.

De plus, la politique du SCC exige que l'agent de libération conditionnelle/intervenant de première ligne en établissement doit soumettre le délinquant à l'entrevue sur les besoins immédiats le premier jour ouvrable suivant l'arrivée de celui-ci. La politique indique que le but de l'entrevue est de confirmer les renseignements recueillis au cours de l'évaluation préliminaire et d'entrer les renseignements critiques comme des « alertes », « indicateurs » ou « besoins » au Système de gestion des délinquants (SGD). Les résultats de l'entrevue doivent être consignés au Registre des interventions dans le SGD.

Pour ces deux entrevues, les lignes directrices sur le contenu incluent les informations de base pour le délinquant (p. ex., état civil, langue, citoyenneté, infraction, sentence, etc.), ainsi que des renseignements sur ses besoins médicaux (p. ex., médicaments, allergies), santé mentale (p. ex., antécédents de traitement), sécurité (p. ex., affiliation avec un gang, antagonistes) et risque de suicide (p. ex., tentatives antérieurs, intervention récente).

Les questions suivantes ont été soulevées par rapport à ce processus :

  • utilisation des renseignements - malgré que la politique exige que dans les deux (2) jours ouvrables suivant son arrivée à l'unité de réception, tout détenu doit subir une évaluation effectuée par un membre du personnel infirmier, les personnes en services de santé rencontrées lors de la vérification ont indiqué qu'en pratique, tous les détenus sont recontrés lors de leur arrivée avant qu'ils sont assignés à une cellule. En outre, plusieurs ont noté qu'ils n'ont pas accès au SGD, alors ils ne passent pas en revue l'information receuillie lors du processus de l'évaluation préliminaire ou de l'entrevue des besoins immédiats. Le dossier médical fourni par les autorités locaux ou provinciaux sert plutôt comme source d'information principale.
  • consentement éclairé - bien qu'il existe une directive précise selon laquelle les services de santé ne peuvent communiquer de renseignements sans consentement éclairé, il n'existe pas d'orientation qui indique si ce consentement est requis ou non en ce qui a trait aux renseignements qu'un délinquant révèle sur lui-même au cours de l'évaluation préliminaire ou entrevue d'admission. De plus, il n'existe aucune preuve que les nouveaux délinquants sont sensibilisés au fait que les renseignements qu'ils fournissent aux fins de l'évaluation préliminaire ou l'entrevue des besoins immédiats seront consignés dans le SGD.
  • exactitude des renseignements que les délinquants révèlent sur eux-mêmes - Les agents de libération conditionnelle en établissement et dans la collectivité chargés de recueillir ces renseignements n'ont pas reçu de formation en matière de soins de santé et, par conséquent, peuvent avoir plus de difficulté à évaluer l'exactitude ou l'intégralité des renseignements que leur fournissent les délinquants. Il n'existe aucune preuve que les renseignements que le délinquant fournit sont confirmés ou modifiés par les Services de santé suite à leur évaluation. Étant donné que les dossiers du SGD des délinquants les suivent tout au long de leur peine, le potentiel existe que des données inexactes sur leur santé pourraient être utilisées par les membres du personnel.

D'une perspective de la protection des renseignements personnels, cette information devient accessible aux individus qui peuvent ne pas avoir un "besoin à savoir". En outre, on l'enregistre sans preuve de consentement nécessaire et le potentiel existe pour que l'information non précise de santé puisse être employée par des membres du personnel pour la prise de décisions sans être correctement validée par les Services de santé.

Conclusion

Le personnel des services de santé des établissements visités respectaient les procédures et les processus appropriés pour s'assurer d'obtenir le consentement éclairé des délinquants avant de communiquer des renseignements relatifs à la santé. L'information sur la santé des délinquants rassemblée et gardée par les soins de santé était bien contrôlée et le personnel était au courant des exigences telles que dictées par les normes professionnelles.

Cependant, le SCC doit examiner les renseignements relatifs à la santé recueillies pendant les évaluations préliminaires et les entrevues sur les besoins immédiats afin de déterminer leur pertinence au processus et le besoin de consigner cette information sur la santé des détenus dans le SGD. En outre, des précisions supplémentaires devraient être fournies aux agents de libération conditionnelle en établissement et dans la collectivité en ce qui a trait à la nécessité du consentement éclairé lorsque les délinquants révèlent des renseignements sur eux-mêmes en matière de santé, pour s'assurer que les exigences en matière de protection des renseignements personnels sont respectées.

En dernier lieu, étant donné que les exigences imposées par la loi et les exigences professionnelles relatives au consentement changent souvent et varient d'une province à l'autre, le SCC doit s'assurer qu'il existe une façon cohérente et efficiente de modifier les formulaires de consentement utilisés dans les établissements pour faire en sorte que ces formulaires demeurent à jour et contiennent toutes les clauses nécessaires.

Recommandation 6 : Que le commissaire adjoint, Opérations et programmes correctionnels, examine l'information sur la santé du délinquant consigné au cours de l'évaluation préliminaire et l'entrevue sur les besoins immédiats afin de déterminer la meilleure approche et de fournir les conseils nécessaires.


 

Recommandation 7 : Que le commissaire adjoint, Opérations et programmes correctionnels, veille à ce que tous les formulaires de consentement élaborés sur place soient examinés pour qu'ils soient uniformes, conformes à la loi et applicables.


4.4 Délai de traitement des demandes de renseignements personnels

Objectif 4 : Déterminer dans quelle mesure les procédures et les processus appropriés sont suivis pour s'assurer du traitement rapide des demandes de renseignements personnels.

Pour tenter de répondre aux demandes de renseignements personnels à temps, il est important que le SCC mette en ouvre des procédures pour faciliter ce processus. L'équipe de vérification s'attendait à découvrir que les procédures appropriées avaient été présentées dans les grandes lignes et qu'elles étaient suivies pour appuyer le traitement rapide des demandes de protection des renseignements personnels. Selon la Loi sur la protection des renseignements personnels, le SCC a 30 jours civils pour répondre aux demandes de renseignements personnels. Ce délai commence à partir du jour où la personne reçoit la demande de renseignements personnels, et les renseignements complets doivent être envoyés à l'auteur de la demande au plus tard le 30e jour.

L'équipe de vérification s'attendait à découvrir que les délais imposés par la loi sont respectés pour toutes les demandes de renseignements personnels. L'équipe de vérification s'attendait également à trouver des systèmes de surveillance en place pour s'assurer que le SCC respecte les délais imposés par la loi. Advenant que ces systèmes décèlent des problèmes précis dans le domaine du respect des délais, l'équipe de vérification s'attendait à ce que l'on s'adresse aux retards .

4.4.1 Processus et procédures

Constatation : Les procédures relatives au traitement des demandes de renseignements personnels ont été établies dans le Manuel de conformité de l'AIPRP, et en général, les coordonnateurs de la protection des renseignements personnels les comprennent et les suivent.

Le secteur de l'AIPRP de l'AC a produit un Manuel de conformité de l'AIPRP qui présente dans les grandes lignes les processus et les procédures que chaque palier du SCC doit suivre (c.-à-d. national, régional, et local, selon la demande) lors du traitement des demandes de renseignements personnels. Le processus de 30 jours se traduit par 20 jours ouvrables pour toutes les étapes à franchir. Selon le Manuel de conformité de l'AIPRP, le diagramme qui suit présente dans les grandes lignes les étapes du processus, le nombre de jours alloués à chacune, ainsi que le secteur du SCC responsable à chaque intervalle :

Temps alloué Étapes Nombre de jours utilisés

1 jour
(AIPRP)

Réception de la demande / Clarification de la demande, au besoin

1

1 jour
(AIPRP)

Entrée dans le système de suivi de l'AIPRP (ATIPflow) et présentation de l'avis de récupération par courriel.

2

7 jours
(AC / RÉGION / UNITÉ OPÉRATIONNELLE)

Recherche documentaire (+ numérotation et photocopie) de tous les documents pertinents, y compris la réception de ces documents à la Division de l'AIPRP.

9

5 jours
(AIPRP)

Examen des documents / Processus de consultation, au besoin.

14

2 jours
(AIPRP)

Deuxième processus d'examen.

16

2 jours
(AIPRP)

Préparation du lot de diffusion, y compris l'enlèvement des renseignements dont on a empêché la divulgation à l'intérieur du colis.

18

1 jour
(AIPRP)

Approbation et signature par le fondé de pouvoir.

19

1 jour
(AIPRP)

Envoi postal du lot de diffusion.

20

Le Manuel contient également des détails sur ce qu'exige chaque étape du processus. L'équipe de vérification a découvert que le Manuel de conformité de l'AIPRP est généralement compris et suivi par les coordonnateurs de la protection des renseignements personnels des établissements visités. Bien que les procédures soient faciles à comprendre, le temps nécessaire pour achever effectivement le processus a été défini comme un problème qui sera abordé dans la prochaine section.

4.4.2 Délai de traitement des demandes

Constatation : Bien que les membres du personnel respectent les processus définis dans le Manuel de l'AIPRP, ils ne sont pas toujours en mesure de respecter le délai de 30 jours imposé par la loi.

Une fois que les établissements ont recueilli toute la documentation pertinente, les trousses sont envoyées à l'AIPRP de l'AC aux fins de révision et d'examen approfondi. Le grand nombre de demandes reçues influence le délai dans lequel le SCC y donne suite. Selon l'organigramme le plus récent du secteur de l'AIPRP de l'AC, 22 analystes de l'information travaillent actuellement à l'AC. Les titulaires de ces 22 postes sont chargés de l'examen approfondi de toutes les demandes de renseignements personnels reçues à l'échelle de l'organisme.

Le secteur de l'AIPRP de l'AC assure le suivi du nombre total de demandes de renseignements personnels formulées par le SCC ainsi que du nombre de demandes remplies. L'équipe de vérification a demandé ces données pour les six derniers exercices. Les diagrammes qui suivent montrent le nombre total de demandes reçues ainsi que le pourcentage de demandes remplies à temps :

Exercice Nombre total de demandes de renseignements personnels reçues

2005 - 2006

7 783

2004 - 2005

15 812

2003 - 2004

19 829

2002 - 2003

5 899

2001 - 2002

6 110

2000 - 2001

4 042

*Renseignements fournis par l'AIPRP de l'AC, 2006-07-12

8

*Renseignements fournis par l'AIPRP de l'AC, 2006-07-12

Comme le montre ce graphique, le SCC a réalisé des progrès en ce qui a trait à l'amélioration du délai de traitement des demandes de renseignements personnels, mais il n'est pas encore en mesure de respecter entièrement les délais imposés par la loi. Le raisonnement qui justifiait les réponses en retard a été remis en question aux établissements visités et à l'AIPRP de l'AC. Bien que certains de ces établissements soient en mesure de respecter les délais relatifs aux demandes de renseignements personnels, ceux-ci étaient plutôt des établissements plus petits ou à niveau de sécurité moindre qui reçoivent beaucoup moins de demandes de ce genre. Les établissements plus petits visités pendant la vérification étaient plus susceptibles de communiquer des renseignements de façon informelle aux délinquants. En outre, les demandes de renseignements personnels dans les établissements à niveau de sécurité moindre comportent moins de pages. Étant donné qu'il y a moins de demandes et que ces dernières comptent moins de pages, le traitement représente une tâche moins lourde sur les ressources de l'établissement et la capacité des employés de respecter les délais.

Les établissements visités qui n'ont pas été en mesure de respecter les délais imposés par la loi étaient surtout des établissements plus grands à niveau de sécurité plus élevé. Parmi les établissements où on a remarqué un grand nombre de demandes en retard, les motifs les plus courants invoqués pour justifier les délais prolongés étaient notamment les suivants :

  • les délinquants des établissements à niveau de sécurité plus élevé ont tendance à présenter davantage de demandes pour des motifs litigieux et les demandes de renseignements personnels dans ces établissements comportent souvent un plus grand nombre de pages;
  • la qualité des photocopieurs (c. - à - d. que les photocopieurs tombent en panne ou bloquent régulièrement, ne sont pas à haute vitesse ni à haute résolution) et l'accès à ces photocopieurs posent souvent un problème;
  • dans l'une des régions, on remarque des restrictions à l'égard des services de courrier et de messageries (centralisés par le biais d'un bureau de service régional) qui influe sur la capacité de chaque établissement de respecter les délais fixés.
  • la méthode utilisée pour recueillir, numéroter, et copier les fichiers prend énormément de temps et est extrêmement exigeante sur le plan de la main-d'ouvre;
  • il existe souvent un manque de ressources formées disponibles pour respecter les délais de la communication de renseignements personnels (en raison d'absence ou d'autres exigences opérationnelles ) et la rétention du personnel de bureau formé constitue une préoccupation dans bon nombre d'établissements.

Il faut souligner qu'aucun des établissements sont n'est pourvu des fonds pour les postes dont la responsabilité est de répondre aux demandes de l'AIPRP. Comme il a été mentionné auparavant, les  fonctions de coordination de la protection des renseignements personnels ont été attribuées à des titulaires de postes existants et ces fonctions ne constituent qu'une de leurs nombreuses responsabilités.

Bien que la  Loi sur la protection des renseignements personnels prévoie effectivement une prolongation maximale de 30 jours, ces circonstances sont spécifiques. Elles incluent les cas où :

  • le respect des délais nuit de façon déraisonnable aux activités du Ministère,
  • des consultations qui ne pourront raisonnablement pas se terminer dans le délai original s'imposent,
  • une traduction est requise, ou
  • les renseignements doivent être convertis sous une autre forme.

Bien souvent cependant, le SCC ne peut utiliser ces motifs. Dans le cas de délais qui nuisent de façon déraisonnable aux activités du Ministère, ces circonstances peuvent seulement s'appliquer lorsqu'un secteur d'opérations reçoit des demandes multiples (par exemple, lorsqu'un grand nombre de demandes sont reçues au même établissement). Étant donné que les demandes proviennent le plus souvent de divers établissements à l'échelle du SCC, la prolongation ne s'appliquerait pas.

Selon le rapport fourni par l'AIPRP de l'AC, le tableau qui suit décrit dans les grandes lignes les demandes reçues, traitées à temps, ainsi que le nombre de demandes en retard pour l'exercice 2005-2006 :

Demandes de renseignements personnels pour l'exercice 2005 - 2006

Demandes traitées à temps

5 699

Nombre de jours passés après la date d'échéance :

 

1 à 30 jours

1 164

31 à 60 jours

301

61 à 90 jours

131

91 à 120 jours

77

Plus de 120 jours

411

Total des demandes traitées en retard

2 084

 

 

Demandes totales

7 783

*Renseignements fournis par l'AIPRP de l'AC, 2006-07-12

Bien que des processus et des procédures claires aient été décrits dans les grandes lignes, la grande quantité de demandes fait en sorte qu'il est difficile de les traiter toutes à temps au moyen de la méthode actuelle de récupération et d'examen. En ce moment, en ne respectant pas les délais de 30 jours, le SCC ne se conforme pas à la Loi sur la protection des renseignements personnels.

4.4.3 Surveillance du délai de traitement des demandes

Constatation : Tous les établissements visités ainsi que la Division de l'AIPRP à l'AC ont mis en ouvre des systèmes pour contrôler les délais de traitement des demandes de renseignements personnels.

Les établissements et les bureaux de l'administration régionale sont chargés de la collecte de tous les documents pertinents liés à la demande de renseignements personnels. Tous les établissements et tous les bureaux de l'administration régionale visités ont mis sur pied un journal pour assurer le suivi des dates d'échéance auxquelles ces documents doivent parvenir au bureau de l'AIPRP de l'AC. Ces systèmes de suivi allaient de l'utilisation de programmes d'ordinateur aux notes manuscrites.

À l'échelle nationale, l'AIPRP utilise le programme ATIPflow pour contrôler toutes les étapes du processus de demande de renseignements personnels, y compris la date de réception de la demande, la date d'échéance finale, le moment où l'avis de récupération du document est envoyé à l'établissement ou à l'AR, tous rappels envoyés aux établissements qui n'ont pas reçu les documents à temps, et l'étape du processus où en est le dossier. Dès que les établissements ou l'administration régionale sont en retard dans l'envoi des documents, une note de service leur est envoyée pour informer les responsables que les documents doivent être expédiés à l'AC sans délai.

Bien que ces systèmes de surveillance soient en place, les dossiers continuent d'être traités après la date d'échéance pour les motifs invoqués au paragraphe 4.4.2. Des tentatives ont été faites pour régler les problèmes liés aux retards. Par exemple, dans les cas où des demandes multiples sont formulées à partir du même établissement, on fait appel à des ressources supplémentaires pour engager du personnel occasionnel et louer des photocopieurs afin de permettre de traiter ces demandes le plus rapidement possible. Bien que ces ressources supplémentaires soient utiles, elles ne sont que temporaires et l'arriéré original de demandes subsiste.

Conclusion

Le SCC a réalisé des progrès pour améliorer le délai dans lequel il traite les demandes de renseignements personnels. Cependant, bien que les processus, les procédures et les outils de surveillance soient compris et utilisés, le nombre de demandes fait en sorte que les employés à tous les paliers de l'organisme ne sont pas toujours en mesure de respecter le délai de 30 jours. Les méthodes de récupération et d'expédition de l'information empêchent souvent le traitement rapide des demandes de renseignements personnels. Le problème de la réponse en temps opportun à ces demandes est important puisque, en ne respectant pas les délais imposés par la loi, le SCC ne respecte pas la loi.

Recommandation 8 : Que le commissaire adjoint, Politiques et recherche, examine la situation actuelle pour déterminer la meilleure démarche à suivre afin de respecter les délais imposés par la loi.

 

5.0 CONCLUSION GÉNÉRALE

Les résultats de la présente vérification ont indiqué que le cadre de gestion actuel de la protection des renseignements personnels prévoit certains rôles et certaines responsabilités et fournit une orientation à l'égard de certains aspects de la protection des renseignements personnels au sein du SCC. Toutefois, le cadre comporte des lacunes qui doivent être comblées. L'un des facteurs clés est le fait qu'à l'heure actuelle, de nombreux secteurs et de nombreuses directions de l'AC travaillent en vase clos à des problèmes connexes sans coordination ni communication globale.

Les rôles et responsabilités des employés responsables des éléments de la protection des renseignements personnels aux niveaux national, régional et local sont bien compris, cependant, la vérification a permis de cerner une préoccupation relative à un manque général de compréhension parmi les autres employés de ce qui constitue un manquement potentiel ou réel à la protection des renseignements personnels. Pendant les visites des établissements, l'équipe de vérification a découvert plusieurs exemples de pratiques courantes qui ne permettaient pas d'assurer la protection des renseignements personnels des employés ni des délinquants. Une formation ou une sensibilisation accrue s'impose à cet égard et les rôles et responsabilités devraient être clairement définies, particulièrement par rapport aux processus des rapports et des enquêtes.

Même si la vérification mettait l'accent sur le programme global de protection des renseignements personnels, deux aspects précis ont été examinés plus en détail. En ce qui touche la question du consentement éclairé et de la compréhension des formulaires de consentement des délinquants, la vérification n'a pas permis de cerner de préoccupations majeures. Cependant, il faut préciser les exigences relatives aux renseignements de santé recueillis pendant les évaluations préliminaires et entrevues sur les besoins immédiats et s'assurer qu'un processus d'examen est en place pour tous formulaires internes créés.

Enfin, la vérification a révélé que, bien que le nombre de demandes traitées à temps ait augmenté, le SCC ne respecte toujours pas les délais imposés par la loi à cet égard.

 

Annexe A - Définition des types de plaintes

Les plaintes adressées au Commissariat sont réparties en trois grandes catégories :

Accès :

  • Accès - Une personne n'a pas obtenu tous les renseignements personnels qu'une institution détient à son sujet parce qu'il manque des documents ou des renseignements ou encore parce que l'organisation a invoqué des exceptions afin de ne pas communiquer les renseignements.

  • Correction/annotation - L'institution n'a pas apporté les corrections aux renseignements personnels ou ne les a pas annotés parce qu'elle n'approuve pas les corrections demandées.

  • Langue - Les renseignements personnels n'ont pas été fournis dans la langue officielle demandée.

  • Frais - Des frais ont été exigés pour répondre à la demande de renseignements effectuée en vertu de la Loi sur la protection des renseignements personnels; aucun frais n'est présentement prévu pour l'obtention de renseignements personnels.

  • Répertoire - InfoSource 1 ne décrit pas de façon adéquate le fonds de renseignements personnels que détient une institution.

Protection des renseignements personnels :

  • Collecte - Une institution a recueilli des renseignements personnels qui ne sont pas nécessaires à l'exploitation d'un de ses programmes ou à l'une de ses activités; les renseignements personnels n'ont pas été recueillis directement auprès de la personne concernée; ou la personne n'a pas été informée des fins pour lesquelles les renseignements personnels ont été recueillis.

  • Conservation et retrait - Des renseignements personnels ne sont pas conservés selon les calendriers de conservation et de destruction (approuvés par les Archives nationales et publiés dans InfoSource) : ils sont détruits trop rapidement ou conservés trop longtemps. 

    De plus, les renseignements personnels utilisés à des fins administratives doivent être conservés pendant au moins deux ans après la dernière application d'une mesure administrative, à moins que la personne n'ait consenti à leur retrait. 

  • Utilisation et communication - Des renseignements personnels sont utilisés ou communiqués sans le consentement de la personne qu'ils concernent et ne satisfont pas à l'un des critères de communication permise sans consentement, tels qu'énoncés au paragraphe 8(2) de la Loi.

Délais :

  • Délais - L'institution n'a pas répondu dans les délais prescrits.

  • Avis de prorogation - L'institution n'a pas donné une justification appropriée pour la prorogation; elle a fait la demande de prorogation après le délai initial de 30 jours, ou elle a fixé l'échéance à plus de 60 jours de la date de réception de la demande.

  • Correction/annotation - délais - L'institution n'a pas corrigé les renseignements personnels ou n'a pas annoté le dossier dans les 30 jours suivant la réception de la demande de correction.

1 Source : Commissariat à la protection de la vie privée, rapport annuel au Parlement 2005-2006, http://www.privcom.gc.ca/information/ar/200506/200506_pa_f.asp#015

 

Annexe B - Objectifs et critères

Objectif 1

Évaluer le cadre de gestion mis en place en ce qui a trait à la protection des renseignements personnels

Critères

1.1 Les responsabilités à l'AC, à l'AR et dans les unités opérationnelles ont été clairement établies en matière de protection des renseignements personnels.

1.2 Des politiques, des lignes directrices et des procédures ont été mis en place en matière de protection des renseignements personnels.

1.3 Des séances de sensibilisation et/ou de formation sont offertes sur la protection des renseignements personnels.

1.4 Des mécanismes de surveillance et de contrôle existent à l'AC, à l'AR et dans les unités opérationnelles pour veiller à réduire au minimum les risques de violation de la confidentialité de renseignements personnels.

 

Objectif 2

Déterminer si des mesures proactives sont prises pour déceler les cas possibles et réels de violation de la confidentialité des renseignements personnels, et faire enquête sur ces derniers, et pour que des mesures correctives soient prises.

Critères

2.1 Des mécanismes ont été établis pour veiller à ce que les violations fassent l'objet d'une enquête et que des mesures soient prises pour s'attaquer aux violations de la protection des renseignements personnels et aux problèmes connexes.

2.2 Les leçons tirées sont diffusées dans toute l'organisation, pour éviter que des cas semblables ne se reproduisent.

 

Objectif 3

Déterminer dans quelle mesure les procédures et les processus appropriés sont en place pour obtenir le consentement éclairé des délinquants en ce qui touche la communication d'information sur la santé.

Critères

3.1 Des protocoles ont été établis pour s'assurer que les délinquants sont informés des mesures prises pour protéger les renseignements personnels liés à la santé et des limites touchant la protection de ces renseignements.

3.2 Des séances de formation ou de sensibilisation en matière de consentement éclairé sont offertes aux fournisseurs de soins de santé.

3.3 Des formulaires de consentement clairs et faciles à comprendre des délinquants existent et sont conformes à la politique et aux dispositions législatives pertinentes.

3.4 Les dossiers de gestion de cas ne renferment que les renseignements essentiels en matière de soins de santé.

Objectif 4

Déterminer dans quelle mesure les procédures appropriées sont suivies pour s'assurer du traitement rapide des demandes de renseignements personnels.

 

 

Critères

4.1 Les procédures en place en matière de renseignements personnels sont conformes au Manuel de conformité de l'AIPRP et veillent au traitement efficace des demandes.

4.2 Le personnel respecte les échéances prévues par la loi et les lignes directrices générales pour le traitement des demandes de renseignements personnels.

4.3 Un système a été établi pour contrôler le respect des échéances et s'assurer qu'un suivi des retards est fait, le cas échéant.

 

Nota : Le troisième objectif a été examiné en particulier en réponse aux préoccupations exprimées par l'enquêteur correctionnel dans son rapport annuel de 2003-2004.

Annexe C - Établissements visités

Région de l'Atlantique

Établissement Westmorland

Établissement de Springhill

Administration régionale

 

Région du Québec

Centre fédéral de formation

Établissement Leclerc

Administration régionale

 

Région de l'Ontario

Établissement de Millhaven

Établissement Pittsburgh

Administration régionale

Nota : L'Établissement de Collins Bay a servi de site d'essai.

 

Région des Prairies

Centre psychiatrique régional

Établissement Riverbend

Administration régionale

 

Région du Pacifique

Établissement du Pacifique

Établissement Mountain

Administration régionale


Annexe D - Plans d'action de la gestion

 

Recommandations Responsable principal Plan d'action Échéance

Recommandation 1 : Que le commissaire adjoint, Politiques et recherche, collabore étroitement avec les autres gestionnaires supérieurs afin de développer un cadre de responsabilisation pour les activités de protection des renseignements personnels au sein du SCC.

 

CAPR

  • Préparer, pour le faire approuver par le Comité de direction, un cadre de gestion des renseignements personnels (CGRP) qui décrit les responsabilités de PRP et de gestion des manquements à la PRP et qui établit une culture de conformité à la Loi sur la protection des renseignements personnels et les politiques du Conseil du Trésor sur la PRP (inclure une stratégie de communication et un cadre d'évaluation)
    • examen des modèles actuels du SCC et de la commission de la protection de la vie privée et préparation d'une ébauche de résumé - 30 septembre 2006;
    • consultation des Secteurs et des régions - 31 décembre 2006;
    • présentation du cadre définitif au Comité de direction - 31 mars 2007.

31 mars 2007

Recommandation 2 : Que le commissaire adjoint, Politiques et recherche, s'assure que le cadre des politiques en matière de protection des renseignements personnels (y compris le G uide sur les manquements à la protection des renseignements personnels ) est mieux intégré et fournit une direction claire et consistante.

 

CAPR

  • Préparer, pour la faire approuver par le Comité de direction, une politique sur les relations entre l'AIPRP et les secteurs et régions partenaires du SCC qui décrit les attentes en matière de collaboration en ce qui concerne les demandes d'AIPRP, la protection des renseignements personnels et les politiques relatives à l'AIPRP (inclure une stratégie de communication et un cadre d'évaluation)
    • ébauche terminée;
    • consultation des Secteurs et des régions - 31 décembre 2006;
    • présentation au Comité de direction - 31 mars 2007.
  • Élaborer des procédures qui régissent les relations entre l'AIPRP et des partenaires précis du SCC sur des sujets relatifs à la fonction de chaque partenaire (inclure des plans de communication et des dispositions concernant l'évaluation)
    • ébauche terminée;
    • consultation des partenaires du SCC - 31 décembre 2006
    • présentation au Comité de direction - 31 mars 2007
  • Examiner et terminer l'ébauche d'une politique sur la gestion des manquements à la PRP pour la faire approuver par le Comité de direction (inclure une stratégie de communication et un cadre d'évaluation).
    • nouvelle ébauche de la procédure terminée;
    • consultation de la Division de la sécurité du Ministère -15 octobre 2006
    • consultation des régions et des Secteurs - 31 décembre 2006
    • présentation au Comité de direction - 31 mars 2007

 

31 mars 2007

Recommandation 3 : Que le commissaire adjoint, Politiques et recherche (en collaboration avec le commissaire adjoint, Services corporatifs et le commissaire adjoint, Opérations et programmes correctionnels), examinent les systèmes de rapports et de surveillance actuels pour définir clairement les exigences en matière de rapport et assurer une consolidation et une analyse des renseignements.

 

CAPR

  • Consulter des experts du SCC et du BPR dans le but de trouver les sources d'information sur les manquements et d'évaluer la possibilité d'un système de rapport informatique intégré - 31 décembre 2006
  • Planifier et mettre en ouvre de nouvelles applications permettant l'accès et l'établissement de rapports - 30 juin 2007
  • Évaluer l'efficacité - du 31 mars 2008

31 mars 2008

Recommandation 4 : Que le commissaire adjoint, Politiques et recherche, en collaboration avec le commissaire adjoint, Gestion des ressources humaines, élaborent un plan stratégique national de communication et de formation en ce qui concerne la protection des renseignements personnels, ainsi que les processus d'enquête et de présentation de rapports.

CAPR

  • En consultation avec le DG, Apprentissage et perfectionnement, établir des objectifs pour la formation et l'information ainsi que des indicateurs de rendement - 31 décembre 2006
  • Cerner et concevoir des cours et des outils d'apprentissage appropriés et économiques - 31 mars 2007
  • Mettre les approches à l'essai et procéder à des consultations - 30 septembre 2007
  • Mettre en ouvre - 31 mars 2008

31 mars 2008

Recommandation 5 : Que le commissaire adjoint, Politiques et recherche, s'assure que des renseignements clés tels que les leçons retenues et les exemples de cas de violations courants de la confidentialité des renseignements personnels sont distribués aux niveaux appropriés afin de réduire au minimum le risque que ces violations ne se reproduisent.

 

CAPR

  • Recueillir l'information clé et les types d'information en fonction des répercussions possibles sur la réduction des coûts et de l'incidence des manquements - 31 octobre 2006
  • Déterminer les destinataires de l'information clé qui seront les plus susceptibles d'effectuer efficacement les changements nécessaires - 31 décembre 2006
  • Concevoir et mettre à l'essai les outils les plus efficaces pour la communication de l'information clé - 28 février 2007
  • Évaluer, modifier et mettre en ouvre -31 mars 2007

31 mars 2007

Recommandation 6 : Que le commissaire adjoint, Opérations et programmes correctionnels, examine l'information sur la santé du délinquant consignée au cours de l'évaluation préliminaire et l'entrevue sur les besoins immédiats afin de déterminer la meilleure approche et de fournir les conseils nécessaires.

 

CAOPC

En août 2006, le CAOPC a demandé la création d'un groupe de travail pour examiner le processus d'évaluation préliminaire et d'entrevue sur les besoins immédiats afin de trouver l'approche la plus efficace pour atteindre le rendement voulu et, au besoin, inclure des changements de politiques proposés.

30 juin 2007

Recommandation 7 : Que le commissaire adjoint, Opérations et programmes correctionnels, veille à ce que tous les formulaires de consentement élaborés sur place soient examinés pour qu'ils soient uniformes, conformes à la loi et applicables.

 

CAOPC

Les Services de santé et les Services juridiques examineront tous les formulaires relatifs à la santé actuellement en usage et élaboreront un modèle jugé le plus approprié (p. ex., formulaire générique ou régional).

31 mars 2007

Recommandation 8 : Que le commissaire adjoint, Politiques et recherche, examine la situation actuelle pour déterminer la meilleure démarche à suivre afin de respecter les délais imposés par la loi.

 

 

CAPR

La Division a entrepris plusieurs initiatives visant à augmenter l'efficacité et la rapidité des fonctions de récupération et d'analyse, dont les suivantes :

  • mise en ouvre d'un outil de gestion du savoir afin de fournir des références adéquates et des précédents pour les analystes;
  • conclusion d'une série d'ententes avec la région des Prairies afin de mettre à l'essai des méthodes efficaces d'accès aux fichiers des régions et pour divulguer de l'information de façon officieuse, régulière ou officielle;
  • mise en ouvre des exigences en matière de pratiques exemplaires afin d'assurer la qualité et la cohérence des analyses au sein de la Division;
  • détermination des outils électroniques et des applications (p. ex., ATIPImage) nécessaires afin de réduire l'utilisation de papier;
  • formation améliorée des administrateurs régionaux et distribution, au personnel du SCC, de bulletins d'information et de formation périodiques, portant sur des questions pertinentes;
  • élaboration d'une procédure de dotation fondée sur les compétences afin d'assurer la continuité et le perfectionnement professionnel du personnel.

Le SCC tiendra compte de ces améliorations dans le processus visant à trouver des moyens d'augmenter l'efficacité :

  • recueillir tous les sondages et analyses actuels pertinents préparés par l'AIPRP ou des Divisions semblables dans d'autres organisations et d'autres compétences - terminé;
  • planifier (échéances, ressources et méthodes) d'autres analyses nécessaires des étapes où des retards se produisent et des causes de ces retards - 31 octobre 2006;
  • déterminer les solutions les plus rentables (ressources humaines, techniques, procédures, outils, gestion opérationnelle) - 31 mars 2007;
  • déterminer les besoins en ressources et chercher ces ressources à l'intérieur, puis à l'extérieur de la Division - 31 mai 2007;
  • présenter au Comité de direction - 30 septembre 2007;
  • mettre à l'essai- 31 décembre 2007;
  • évaluer et mettre en ouvre les mesures définitives - 30 juin 2008.

30 juin 2008