Évaluation des facteurs relatifs à la vie privée pour le programme de bourses internationales

Sommaire exécutif

Le programme de bourses internationales distribue environ 11 millions de dollars en bourses à des étudiants étrangers qui souhaitent étudier au Canada. Il est destiné aux étudiants méritoires qui veulent poursuivre des études postsecondaires ou des programmes de recherche au Canada et aux Canadiens voulant profiter des bourses de réciprocité offertes par des gouvernements étrangers. L’objectif est de former de futurs dirigeants, de faciliter l’échange des idées et de permettre aux chercheurs étrangers et aux futurs leaders d'opinion de contribuer, à leur retour dans leur pays, à la connaissance qu'ont leur pays du Canada et à leur compréhension du Canada, ce qui permettra de mieux faire connaître le Canada et de promouvoir ses intérêts au niveau mondial. Le Canada est déterminé à encourager la participation aux partenariats d'études et de recherches internationales qui favorisent une meilleure compréhension entre les peuples, forment des citoyens et des leaders mondiaux et contribuent au développement des nations. Affaires étrangères et Commerce international Canada (MAECI) est responsable de la participation du gouvernement du Canada aux grands programmes de bourses internationales. Le MAECI offre un soutien aux chercheurs internationaux au Canada, et, réciproquement, des gouvernements étrangers aident souvent des boursiers canadiens inscrits dans des établissements de leurs pays.

Une évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisée dans le cadre de l'engagement du Ministère en matière de protection des renseignements personnels. Le processus d’évaluation visait également à satisfaire aux exigences relatives à la Gestion de la sécurité des technologies de l'information (GSTI), qui prévoient que les applications d’entreprise du Ministère doivent faire l’objet d’une évaluation en matière de sécurité et de protection de la vie privée.

Au moment où l’évaluation des facteurs relatifs à la vie privée a été achevée, le programme était administré par le Bureau canadien de l'éducation internationale (BCEI) en vertu d’un accord de contribution conclu avec le MAECI. Le BCEI a hébergé et administré le site Web www.scholarships.gc.ca et les bases de données contenant les renseignements sur les récipiendaires des bourses et sur les anciens. À ce moment, le MAECI avait un contrôle minime ou inexistant sur l’environnement Web pour ce qui était de questions comme la collecte des données, la gestion, la conservation, l’élimination ou la sécurité.

Au même moment, le MAECI a sollicité le concours du BCEI à titre d’administrateur des bourses pour assurer le traitement des demandes de bourses reçues par le MAECI d’étudiants et de chercheurs internationaux (non canadiens). Les renseignements personnels reçus des étudiants dans le cadre des divers programmes peuvent comprendre les éléments suivants : coordonnées, détails de nature délicate des projets de recherche projetés, copies des visas étudiants et des permis d’études, et noms des institutions et des programmes d’études.

Les renseignements sur les personnes présentant des demandes étaient stockés dans quatre bases de données principales :

  1. Bourses du MAECI pour les non-Canadiens, qui contenaient les renseignements personnels des candidats ainsi que leur projet de recherche;
  2. Les bourses du MAECI pour les Canadiens
  3. Les bourses de projet du MAECI
  4. Le programme à l’intention des anciens

En plus de ce qui précède, le Ministère et les responsables du Programme ont recueilli des renseignements personnels associés au fonctionnement des comités et des groupes de travail suivants afin de gérer le Programme de bourses internationales :

  1. Renseignements personnels liés aux comités de sélection, normalement des professeurs d’université canadiens
  2. Renseignements personnels liés aux personnes participant à des missions de collaboration – faisant la promotion de partenariats entre des établissements postsecondaires canadiens et latino-américains.
  3. Le contenu des projets de recherche fourni par les candidats peut contenir des renseignements personnels.

Il existait des risques inhérents associés à la saisie, à la collecte, à la conservation et à la circulation de l’information dans le contexte des caractéristiques de fonctionnement de l’outil Web de l’administrateur des bourses, ainsi que du programme de bourses. L’EFVP a permis de cerner certains risques et a décrit des stratégies d’atténuation détaillées associées à chaque risque. Vous trouverez ci-dessous de brèves recommandations tirées de l’EFVP pour réduire les niveaux de risque de l’initiative.

  • Recommandation 1 : Dans le cadre de l’obligation du Ministère de rendre des comptes et de son engagement à protéger les renseignements personnels, les étapes suivantes ont été recommandées pour atténuer les risques liés à l’obligation de rendre des comptes :
    1. La Direction de l'éducation internationale et de la jeunesse devrait nommer un gardien des données qui serait responsable de la gestion du contenu et de l’application des politiques et procédures conformément aux mandats et exigences prescrits par la loi;
    2. Il faut aussi que le Ministère investisse dans l’élaboration de procédures normalisées de fonctionnement (PNF), de politiques, d’ententes d’échange institutionnel et juridictionnel (pays) de données, et qu’il consigne des éléments probants du processus de décision concernant les renseignements personnels sous la garde du programme;
    3. Le MAECI doit également élaborer une stratégie de communication afin de communiquer son rôle, ses politiques et les exigences législatives au personnel, à l’administrateur des bourses, aux comités de sélection, aux pays hôtes et aux établissements d’enseignement supérieur.
    4. d) Le MAECI choisira un nouvel administrateur des bourses au moyen d’un processus concurrentiel, lorsque l’accord avec l’administrateur actuel (BCEI) expirera. La demande de proposition et le nouveau contrat doivent tous deux comprendre des clauses appropriées obligeant le futur administrateur des bourses à protéger les renseignements personnels recueillis et gérés conformément à la Loi sur la protection des renseignements personnels et aux modalités établies par le MAECI.
  • Recommandation 2 : Pendant l’administration du programme, des renseignements personnels de tiers sont parfois nécessaires pour des raisons opérationnelles. Afin d’atténuer la collecte de renseignements personnels sans consentement, il est recommandé que le MAECI passe régulièrement en revue les exigences relatives aux renseignements personnels de tiers et qu’il élimine les renseignements personnels qui ne sont pas nécessaires et qui peuvent mener à la collecte de renseignements personnels de tiers (p. ex. nom de membres de la famille, références, etc.).
  • Recommandation 3 : À la suite de l’EFVP, le Ministère a décidé de demander à l’administrateur des bourses d’arrêter la collecte des numéros d’assurance sociale (NAS) et de détruire les données existantes sur les NAS détenues par l’administrateur des bourses. Les institutions fédérales doivent limiter la collecte et leur utilisation du NAS aux fins administratives et non administratives expressément autorisées par une loi ou un règlement, ou aux fins d'un programme ou d'une activité établie en vertu d'une autorisation parlementaire et approuvé par le Conseil du Trésor. Les lois et règlements dans lesquels on fait expressément référence au NAS et les programmes et activités autorisés pour la collecte et l'utilisation du NAS sont énumérés à l’Annexe A de la Directive sur le numéro d’assurance sociale du SCT. Le cadre juridique du MAECI ne comprend pas de disposition pour la collecte des numéros d’assurance sociale. Le MAECI devait prendre les mesures suivantes pour atténuer les risques dans ce domaine :
    1. mettre en place un processus par lequel le Ministère communique officiellement sa politique au sujet de la collecte des numéros d’assurance sociale à l’administrateur des bourses;
    2. élaborer et consigner des processus et procédures appropriés, en collaboration avec l’administrateur des bourses et l’Agence du revenu du Canada (ARC), pour détruire tous les numéros d’assurance sociale sous la garde de l’administrateur des bourses jusqu’à maintenant;
    3. demander des avis juridiques concernant la manière dont le programme des Bourses de recherche postdoctorale pourrait être imposable, ainsi que les moyens appropriés par lesquels le Ministère pourrait communiquer les renseignements personnels des récipiendaires à l’ACR.
  • Recommandation 4 : Conserver des registres comme justificatif à l’appui de la gestion des renseignements personnels :
    1. Il est recommandé que les responsables du programme de bourses internationales (GLEP) élaborent des politiques claires pour la conservation et l’élimination des renseignements personnels. Dans le cadre de cet ensemble de politiques, il est recommandé que le MAECI prenne des mesures pour déterminer la période de conservation en fonction des exigences du programme à long terme. Une fois déterminée, la période de conservation doit trouver son expression dans le fichier de renseignements personnels et être communiquée aux administrateurs contractuels du programme et trouver également son expression dans les énoncés de confidentialité.
    2. De plus, le MAECI doit communiquer ses obligations en matière de protection des renseignements personnels à l’administrateur des bourses, aux autres pays partenaires et aux établissements d’enseignement supérieur. On conseille au MAECI de mettre au point des ententes sur l’échange de renseignements entre le Ministère et ses nombreux partenaires au sujet du programme.
    3. Dans le cadre de ce programme, le MAECI a l’obligation d’échanger les renseignements sur les étudiants avec des gouvernements étrangers et des établissements d’enseignement supérieur étrangers en fonction des lois et conditions locales. Bien que le MAECI et le gouvernement du Canada ne soient pas en mesure de dicter à ces pays comment traiter les renseignements personnels, les ententes d’échange de renseignements réduiront les risques d’utilisation inappropriée des renseignements personnels.
    4. Le MAECI doit également déployer tous les efforts nécessaires pour protéger les renseignements personnels associés au comité de sélection.
  • Recommandation 5 : Les mesures de sécurité associées aux renseignements personnels recueillis et gérés dans le cadre du programme de bourses internationales doivent correspondre au degré de sensibilité de l’information recueillie. Le MAECI doit prendre les mesures suivantes pour atténuer les risques existants :
    1. entreprendre une évaluation de la menace et des risques (EMR);
    2. mettre les procédures de sécurité et les plans d’urgence sur papier et les communiquer à ceux qui doivent les connaître;
    3. évaluer et déterminer la désignation de sécurité adéquate pour les fonds de données;
    4. envisager de planifier l’élaboration de contrôles d’accès qui permettraient la création de pistes de vérification pour l’utilisateur et, surtout, un accès aux données à des fins administratives;
    5. et, à terme, achever les plans pour le rapatriement du système, du site Web et des données au Ministère.

Des plans d’action ont été mis au point en fonction des risques cernés et des mesures d’atténuation recommandées. Au moment où l’EFVP a été achevée, le MAECI établissait l’ordre de priorité des mesures associées requises pour donner suite aux recommandations et aux stratégies d’atténuation des risques.

Bien que ces stratégies d’atténuation des risques n’aient pas entièrement éliminé les risques, elles les ont suffisamment réduits pour que le Ministère et sa haute direction puissent les assumer et s’attendre raisonnablement à ce que les risques en voie de se concrétiser soient détectés par les processus de surveillance avant qu’ils ne deviennent insoutenables. Ces risques résiduels devaient être gérés conformément aux tâches, pouvoirs, prérogatives et responsabilités conférés à l’administrateur général.