Évaluation des facteurs relatifs à la vie privée à l'intention du Conseiller en responsabilité sociale des entreprises (RSE) de l'industrie extractive

Sommaire exécutif

Le Bureau du conseiller en responsabilité sociale des entreprises (RSE) de l’industrie extractive a été fondé en 2009 dans le cadre de la Stratégie de RSE du gouvernement du Canada pour les sociétés extractives présentes à l’étranger.Dans l’ensemble, cette stratégie est conçue pour aider les entreprises minières, pétrolières et gazières canadiennes à s’acquitter de leurs responsabilités sociales et environnementales dans le cadre de leurs activités à l’étranger.Le Bureau du conseiller en RSE a le mandat d’examiner les pratiques de RSE des entreprises canadiennes qui œuvrent à l’étranger et de conseiller les intervenants au sujet des pratiques exemplaires reconnues et des normes de rendement approuvées.

Le Bureau a bâti sa réputation sur les principes de transparence, menant à terme de vastes consultations nationales et internationales auprès des intervenants et établissant (et communiquant) les droits et obligations des deux parties. Cependant, une fois que le Bureau a déterminé la nécessité de la collecte de renseignements personnels (les coordonnées des membres des panels, des demandeurs et des parties répondantes ainsi que leurs opinions personnelles et expériences de vie), il a été soumis aux obligations de conformité supplémentaires de la Loi sur la protection des renseignements personnels, du Règlement sur la protection des renseignements personnels et de la gouvernance connexe. Par conséquent, une évaluation des facteurs relatifs à la vie privée(ÉFVP) a été élaborée en vue d’évaluer les répercussions sur la vie privée en cause, de cerner les risques d’entrave à la vie privée et d’élaborer des mesures d’atténuation de ces risques selon les nécessités.

Bien que les principes de transparence et l’obligation de protéger les informations confidentielles demeurent intacts, certains problèmes d’administration doivent être réglés afin d’être conforme aux exigences de la législation et de la gouvernance à l’appui. Tous les problèmes qui ont été cernés sont de nature administrative – il n’y a pas de problèmes de conformité qui pourraient empêcher le Bureau d’avancer sur la voie prévue.

En résumé, le Bureau du conseiller en RSE effectue la collecte des renseignements personnels limités provenant de la population canadienne en général. L’ÉFVP a permis d’identifier quelques éléments obligatoires qui devaient être traités dans le cadre du programme afin de se conformer à la Loi sur la protection des renseignements personnels. Cependant, aucun des risques cernés (énumérés ci-dessous) n’empêche le programme d’aller de l’avant. Dès que ces risques seront atténués, les renseignements personnels seront recueillis, utilisés et divulgués conformément à la Loi sur la protection des renseignements personnels du gouvernement fédéral. Au moment où l’ÉFVP a été achevée,

  1. L’avis fourni aux personnes au moment de la collecte ne répondait pas aux exigences obligatoires régissant la fourniture d’avis et nécessitait des mises à jour pour tenir compte de l’objectif de la collecte et des divulgations prévues.
  2. Le fichier de renseignements personnels particulier enregistré auprès du Secrétariat du Conseil du Trésor ne reflétait pas les utilisations et divulgations prévues des renseignements personnels qui sont recueillis. Il exigeait aussi des mises à jour pour refléter plus fidèlement la catégorie de personnes que les renseignements personnels concernent.
  3. Les renseignements personnels soumis par les participants pourraient être pris par la conseillère ou ses employés au-delà des frontières dans des pays qui ne disposent pas des mêmes protections de la vie privée que le Canada. Il s’agirait d’un risque important – le programme exigeait qu’une politique officielle soit établie pour soit NE PAS transporter l’information au-delà des frontières soit informer les particuliers de ce risque avant la collecte des renseignements personnels.
  4. Le MAECI disposait d’un manuel de traitement détaillé, mais devait mettre à jour sa gouvernance sous la forme d’un Protocole de protection des renseignements personnels, d’un Protocole en cas d’atteinte à la vie privée et de lignes directrices relatives à l’Évaluation des facteurs relatifs à la vie privée. Chacun de ces trois éléments constitue une exigence des directives du SCT d’avril2010. Il ne s’agissait pas là d’un facteur pour le Bureau du conseiller, mais d’une chose qui devrait être examinée par le Coordonnateur de l’accès à l’information et de la protection des renseignements personnels du MAECI. Ce processus est actuellement en cours.
  5. Les agents responsables des programmes du Bureau du conseiller en RSE devraient collaborer avec le personnel de gestion de l’information et le Secrétariat de l’AIPRP afin de déterminer les normes privilégiées de conservation et de destruction et de solliciter, auprès de l’archiviste en chef, l’autorisation de détruire les documents.
  6. Le MAECI devrait mettre à jour ses modules de formation afin de refléter l’information qui est exigée dans les directives du SCT d’avril 2010. Même si l’on peut comprendre que le ministère se concentre actuellement sur la communication des responsabilités en vertu de la Loi sur l’accès à l’information, la priorité devrait être accordée à la formation des personnes qui traitent les renseignements personnels concernant leurs rôles et responsabilités dans la protection de ces renseignements.
  7. Le MAECI devrait collaborer avec les webmestres du Ministère afin que le lien vers le Secrétariat de l’accès à l’information et de la protection des renseignements personnels soit corrigé. Actuellement, la page de destination indique une déclaration d’erreur.
  8. Le MAECI devrait envisager de dater les sommaires des évaluations des facteurs relatifs à la vie privée afin que les personnes puissent savoir quand les programmes ont été évalués pour la dernière fois. Il ne s’agit pas d’une exigence obligatoire, mais cette procédure est considérée comme une pratique exemplaire de l’industrie.À la suite de l’ÉFVP, veuillez trouver ci-dessous une liste des risques et de leurs mesures d’atténuation pour le Bureau du conseiller en RSE et, dans certains cas, pour le MAECI à un niveau général.
ÉlémentNature du risqueNiveau du risqueMécanismes d’atténuation
FaibleModéréÉlevé
1
  • Avis
  • Utilisation
  • Divulgation
L’avis qui est fourni au moment de la collecte ne reflète pas fidèlement les utilisations et divulgations prévues pour l’information personnelle.  XL’énoncé d’avis doit être mis à jour avant la collecte des renseignements personnels. Un projet d’avis est présenté par l’entremise de la présenteÉFVP.
2
  • Avis
  • Utilisation
  • Divulgation
Le fichier de renseignements personnels particulier pour le programme ne reflète pas fidèlement toutes les utilisations et divulgations prévues pour l’information personnelle.  XLes agents responsables du programme du Bureau du conseiller devraient collaborer avec les responsables de l’AIPRP afin que l’entrée du FRP soit mise à jour et publiée dans Info Source.
3
  • Divulgation
  • Protection
Il est possible que les employés du Bureau du conseiller transportent des renseignements personnels avec eux dans les pays qui n’ont pas les mêmes dispositions que le Canada en matière de protection des renseignements personnels.  XLe conseiller est en train d’examiner les options et choisira soit 1) de ne pas transporter des renseignements personnels avec eux quand ils voyagent dans d’autres pays ou 2) de fournir un avis aux participants sur les risques associés aux voyages transfrontières au moment de la collecte, leur permettant de faire un choix éclairé quant à la participation.
4
  • Responsabilité
  • Sauvegarde
La gouvernance au sein du MAECI nécessite une mise à jour pour répondre aux exigences des nouvelles directives du SCT et de la Loi sur la protection des renseignements personnels du gouvernement fédéral. X Le MAECI devrait envisager d’élaborer son propre protocole interne de protection des renseignements personnels, fondé sur le modèle du SCT ainsi que de créer un protocole en cas d’atteinte à la vie privée et des lignes directrices sur l’évaluation des facteurs relatifs à la vie privée.
5
  • Conservation
Actuellement, il n’existe aucune norme de conservation ou autorisation de destruction définie pour le programme. Les renseignements personnels risquent donc d’être détruits avant d’avoir obtenu l’autorisation nécessaire ou d’être conservés plus longtemps qu’il ne le convient. X Le Bureau du conseiller en RSE devrait collaborer avec la Direction de l’information du MAECI et le Secrétariat de l’AIPRP afin de définir les normes de conservation privilégiées et de solliciter, auprès de l’archiviste national, l’autorisation de détruire les documents.
6
  • Responsabilité
  • Utilisation
  • Divulgation
  • Protection
Actuellement, le matériel de formation du MAECI ne répond pas aux exigences des directives du MAECI d’avril2010. Les agents responsables du programme risquent de ne pas être conscients de leur responsabilité de protéger les renseignements personnels.X  Le MAECI devrait mettre à jour le matériel de formation en matière de protection des renseignements personnels pour répondre aux exigences des directives d’avril 2010. Un plan officiel de formation en matière de protection des renseignements personnels est recommandé afin de faire en sorte que ceux qui traitent les renseignements personnels connaissent leurs obligations.
7
  • Ouverture
Le lien vers l’information concernant l’AIPRP sur le site Web du MAECI ne fonctionne pas, empêchant les personnes de faire des recherches sur la façon dont ils peuvent accéder à leurs renseignements personnels.X  Le MAECI devrait mettre à jour le lien vers la page de destination de l’accès à l’information et de la protection des renseignements personnels à la disposition du public sur leur site Web car il ne fonctionne pas actuellement.
8
  • Ouverture
À l’heure actuelle, le MAECI ne date pas ses sommaires des ÉFVP sur le Web. Les personnes ne seraient donc pas au courant de la date où les programmes ont été évalués pour la dernière fois.X  Bien qu’il ne s’agisse pas d’une exigence, la datation des sommaires des ÉFVP est considérée comme une pratique exemplaire et devrait être envisagée par le MAECI.