Évaluation des facteurs relatifs à la vie privée pour les activités officielles

Sommaire

Le Bureau du Protocole du ministère des Affaires étrangères et du Commerce international (MAECI) est responsable de l’organisation de toutes les activités officielles et de la mise en place de tous les préparatifs d’accueil nécessaires. Il reçoit des demandes de service de la part du Cabinet du premier ministre, du Bureau du Conseil privé, des secteurs géographiques et des autres ministères.

Dans son rôle, le Bureau du Protocole planifie, coordonne et met en œuvre toutes les activités officielles au Canada et à l’étranger; facilite l’accueil en sol canadien des représentants étrangers et de leurs familles; voit à la planification, à la coordination et au déroulement de toutes les visites officielles au Canada; planifie et coordonne tous les voyages officiels à l’étranger du gouverneur général du Canada, du premier ministre et des ministres du portefeuille du MAECI; et assure la représentation des ministres et des fonctionnaires aux conférences internationales.

Le Bureau du Protocole utilise le système des activit&eacoute;s officielles (SAO) pour l’aider à gérer les activités officielles tenues par le gouvernement du Canada. Le SAO a remplacé le système d’accueil qui avait été initialement mis en place pour le Bureau du Protocole en 1998. Le nouveau SAO intègre de nouvelles fonctionnalités et spécifications en matière de portabilité qui en font un système plus fiable et plus souple.

Le SAO est un système à trois niveaux comprenant :

  1. une application Windows indépendante (client lourd) qui est le niveau de l’interface utilisateur (IU);
  2. une composante pour les règles opérationnelles qui peut fonctionner sur le poste de travail Signet 3 du client; et
  3. un serveur principal SQL 2005 qui sert d’entrepôt de données.

Le SAO est utilisé à l’interne par les employés du Ministère œuvrant au sein de la Direction des événements officiels, située à l’Administration centrale du MAECI. Le bassin des utilisateurs du SAO est composé de neuf (9) employés. Un administrateur s’occupe de la configuration générale du système et gère les utilisateurs qui accèdent aux données relatives aux activités et aux procédures d’inscription.

Par exemple, une activité officielle pourrait tout aussi bien être un déjeuner de quelques personnes qu’un souper d’État regroupant plus de 800 invités. L’utilisateur du SAO saisit les coordonnées des invités afin de pouvoir, par la suite, préparer les plans de table, les menus, les invitations et les cartons de table. Les activités sont des occasions pour les ministres du MAECI de tenir, au nom du gouvernement du Canada, des soupers, des réceptions, des déjeuners, etc.

Quand il saisit des données relatives aux activités, l’utilisateur du SAO recueille les renseignements personnels suivants au sujet des invités :

  • nom de l’invité et de son conjoint (le cas échéant)
  • nom de l’organisation
  • titre
  • adresse
  • numéro de téléphone
  • sexe
  • langue de préférence et instructions spéciales (par exemple, allergies et préférences alimentaires le cas échéant)

L’information personnelle est d’abord recueillie par l’organisateur de l’activité, qui la transmet au Bureau du Protocole qui, à son tour, s’occupe de convier les personnes figurant à la liste des invités.

Au terme de l’évaluation, il a été déterminé que les dispositions de la Loi sur la protection des renseignements personnels étaient adéquatement respectées par le Bureau du Protocole, mais qu’il existait deux (2) risques en matière de protection des renseignements personnels, lesquels pouvaient toutefois être raisonnablement atténués. Le tableau suivant résume les risques identifiés lors de l’EFVP en fonction de leur niveau de risque : faible, moyen ou élevé. Le risque est défini en fonction de son impact et de la probabilité qu’il se produise. La gestion du risque a pour but de maintenir les risques liés à la protection des renseignements personnels dans des limites acceptables. Les risques plus élevés signifient qu’il s’agit de secteurs prioritaires nécessitant la mise en œuvre des mécanismes qui ont été recommandés pour réduire les risques. Le tableau présente divers mécanismes d’atténuation, dont certains sont présentés à titre de solution de remplacement.

ÉlémentNature du risqueNiveau de risqueMécanismes d’atténuation
Il n’y a aucun calendrier pour la conservation ou la suppression des renseignements personnels recueillis à l’aide du SAO.Il n’y a aucun calendrier en place pour la conservation des données.ÉlevéLe Bureau du Protocole du MAECI, en consultation avec le Secrétariat de l’AIPRP, devrait établir un calendrier de conservation et de suppression en vue de se conformer aux exigences de l’Autorisation de disposition de documents.
Selon les pratiques actuelles du MAECI, il incombe aux employés de s’informer des politiques et des procédures relatives à la sécurité et à la protection des renseignements personnels.Les employés ne sont pas tenus de suivre une formation obligatoire exhaustive sur la protection des renseignements personnels ou sur la classification et la désignation des documents.FaibleIl est recommandé au MAECI de mettre en place des mécanismes visant à vérifier si les employés ont suivi les cours pertinents de formation en matière de sensibilisation à la protection des renseignements personnels et à la sécurité qui correspondent à leurs postes et à leurs fonctions. Ces formations devraient être suivies par les employés dans les six mois qui suivent la date d’entrée en fonction au MAECI.