Évaluer, planifier et préparer

Motifs de la collecte de renseignements

Les OSP devraient recueillir des renseignements si des répercussions inégales sont observées chez les Autochtones, les Noirs et les personnes racialisées, si des plaintes sont formulées de façon persistante en ce qui a trait à des obstacles systémiques en lien avec la race ou s’il y a une perception généralisée dans le public que des obstacles ou des préjugés systémiques existent en lien avec la race au sein de l’organisation.

L’orientation que donne la CODP dans son document intitulé Politique et directives sur le racisme et la discrimination raciale précise qu’« une organisation ou une institution devrait procéder à la collecte et à l’analyse de données lorsqu’elle a, ou devrait avoir, des raisons de croire qu’il pourrait exister chez elle des barrières systémiques ou des situations de discrimination et de perpétuation des désavantages historiques ».

Évaluer et planifier

Norme 1. Évaluer et planifier en vue d’observer la Loi, ses règlements d’application et les normes

Les OSP doivent définir leurs objectifs et leurs priorités en matière de collecte et d’utilisation de renseignements personnels pour procéder à des analyses afin de repérer et de surveiller les manifestations de racisme systémique et les disparités raciales.

Les OSP doivent planifier et se préparer suffisamment en vue d’observer et de mettre en œuvre la Loi, ses règlements d’application et les normes. Pour ce faire, elles sollicitent les observations des communautés, des intervenants et des partenaires en cause.

Justification

La planification et la préparation sont partie intégrante de la compréhension des exigences et de la garantie du respect de la Loi, de ses règlements d’application et des normes.

Lignes directrices

Déterminer quels sont les renseignements personnels nécessaires pour l’application de la Loi afin de repérer et de surveiller les iniquités raciales dans les répercussions, ainsi que de contribuer à promouvoir l’équité raciale et le traitement équitable dans les programmes, services et fonctions.

Avant de recueillir, d’utiliser ou de divulguer des renseignements personnels, les organisations devraient tenir compte des éléments suivants (généralement selon l’ordre suivi) : 

Commentaires formulés par les communautés :

Prendre régulièrement part à des échanges avec les Autochtones, les Noirs et les communautés racialisées, les intervenants, les clients et les partenaires, afin de comprendre leurs priorités, leurs préoccupations, leurs besoins et leurs intérêts relativement à la collecte, à la gestion, à l’utilisation et à l’analyse de renseignements.

Objectifs et priorités de l’organisation :

Dégager des objectifs clairs poursuivis par l’organisation pour la collecte et l’utilisation de renseignements personnels sous le régime de la Loi. Eu égard aux éléments requis ou autorisés par les règlements, les OSP devraient passer en revue les politiques, pratiques, services et programmes pertinents afin d’établir un ordre de priorité quant à savoir comment déceler et suivre les éventuelles inégalités raciales systémiques. (Consulter le guide Comptez‑moi! de la CODP).

Il sera toujours nécessaire de combiner les renseignements personnels relatifs à la race avec d’autres renseignements afin de préciser l’incidence de la race sur les répercussions. Les organisations devraient examiner les renseignements personnels qu’il leur est nécessaire de recueillir, ou qui sont déjà recueillis légalement aux fins de la prestation de leurs programmes, et qui pourraient également servir à repérer et à surveiller les inégalités raciales systémiques.

La détermination des objectifs organisationnels peut également inclure le fait de préciser les mesures de rendement à suivre afin de repérer et de surveiller les manifestations de racisme systémique et les disparités raciales, ou de mesurer les progrès au chapitre de l’égalité raciale. Les OSP devraient envisager de surveiller les répercussions des décisions clés sur les interactions d’un client avec un service ou un système (voir l’annexe A pour un exemple).

Évaluation de l’incidence sur la vie privée (EIVP) :

Réaliser une EIVP afin de cerner les conséquences sur la vie privée, les risques en cause et les stratégies d’atténuation. Le CIPVP a élaboré une ressource utile intitulée Planning for Success: Privacy Impact Assessment Guide.

Ressources et formation :

Évaluer et passer en revue les ressources, les capacités et les compétences organisationnelles nécessaires pour recueillir, utiliser, divulguer, gérer et anonymiser les renseignements, les analyser, et produire des publications et des rapports. Cette démarche comprend l’examen des processus, des technologies de l’information et des capacités logicielles existantes, ainsi que l’évaluation de l’expertise et des compétences nécessaires pour se conformer aux normes. Dans la plupart des cas, il est nécessaire de former les employés, les dirigeants, les consultants et les mandataires de l’organisation afin de garantir la bonne mise en œuvre des normes (voir la norme 4).

Communication publique et liaison :

Faire connaître au public, aux communautés en cause et aux clients les objectifs et les plans de l’organisation en lien avec les renseignements colligés. Cette démarche comprend les communications externes et les processus utilisés pour informer les particuliers de leurs droits en matière de protection de la vie privée et les renseigner sur les politiques et protocoles suivis par une OSP.

Les droits des Autochtones quant à la gouvernance des données

Les OSP devraient tenir compte des droits des communautés et des organisations autochtones d’exercer un pouvoir et un contrôle et de participer à la prise de décisions quant à la collecte, à la gestion, à l’utilisation et à la divulgation des renseignements se rapportant aux Autochtones et aux communautés autochtones, conformément à la législation pertinente en matière de protection de la vie privée.

Les facteurs à considérer lorsqu’il s’agit de gérer les données relatives aux Autochtones diffèrent selon les communautés et les organisations métisses, inuites et des Premières Nations. Il existe des buts communs, notamment l’accent mis sur l’importance de la participation, de la transparence, de la propriété et du contrôle autochtones des renseignements, notamment en ce qui concerne la façon dont les renseignements sont recueillis, utilisés, gérés, analysés, interprétés et rapportés publiquement.

Les principes de gouvernance des données relatives aux Autochtones visent à garantir que les renseignements recueillis auprès des communautés autochtones sont utilisés pour habiliter les communautés en les dotant de savoirs et d’outils leur permettant de travailler à la poursuite de répercussions positives dans la communauté.

La transparence est au premier plan dans l’établissement des relations, sur la participation proactive et sur les partenariats stratégiques de gouvernance des données avec le gouvernement ou d’autres organismes, institutions et agences de prestation de service publics généraux.

Des ententes de partage de données entre les OSP et les communautés autochtones, leurs représentants et partenaires peuvent constituer un moyen efficace de respecter les droits des Autochtones quant à la gouvernance des données, mais de telles ententes doivent être prises dans l’observation des exigences de la Loi et de la législation qui s’applique en matière de protection de la vie privée.

Gouvernance et reddition de comptes

Norme 2. Établir les attributions de l’organisation

Les OSP doivent instaurer des mécanismes et des règles de reddition de comptes, ainsi que des attributions organisationnelles sans équivoques pour tous les aspects de la collecte, de la gestion, de l’utilisation (y compris l’analyse), de la divulgation et de l’anonymisation des renseignements personnels, ainsi que de l’établissement de rapports faisant état de l’information. Au moins un gestionnaire doit être chargé de superviser et de veiller au respect de la Loi, de ses règlements d’application et des normes.

Justification

La clarté des attributions organisationnelles aide les OSP à se conformer à la Loi, favorise la transparence, valorise l’imputabilité quant à la gestion adéquate des renseignements personnels, ainsi que l’établissement de rapports aux fins énoncées dans la Loi, ses règlements d’application et les normes. 

Lignes directrices

Les OSP devraient collaborer avec leurs spécialistes de la gestion des documents et des renseignements, de la protection de la vie privée et de la sécurité en vue de garantir que la collecte, l’utilisation, la divulgation, la gestion, la sécurité, l’anonymisation et l’élimination des documents contenant des renseignements personnels se déroulent conformément aux normes, à la législation qui s’applique en matière de protection de la vie privée et à la Loi de 2006 sur les Archives publiques et la conservation des documents, le cas échéant.

Les OSP devraient mettre en œuvre des pratiques en matière de gouvernance et de reddition de comptes comme celles que voici : 

• Affecter une personne chargée de la protection de la vie privée, comme un agent de protection de la vie privée ou un cadre supérieur à qui on a délégué les responsabilités d’une « personne responsable » au sens de la LAIPVP ou de la LAIMPVP en ce qui a trait à la protection de la vie privée, pour veiller à ce qu’un membre de la haute direction prenne part à la protection de la vie privée,
• Instaurer des mécanismes d’établissement de rapports (pour faire état des activités générales de conformité, ainsi que de violations de la vie privée et de la sécurité),
• Tenir un registre des renseignements personnels (pour savoir quels sont les renseignements personnels détenus, connaître leur sensibilité, où ils sont consignés, le motif pour lequel ils sont recueillis, utilisés et divulgués),
• Mettre en œuvre un plan de gestion de la protection de la vie privée afin de se conformer aux normes, ce qui comprend notamment des mesures de surveillance, d’évaluation et d’examen de ses politiques, pratiques et mesures de contrôle en matière de protection de la vie privée et de sécurité.

Norme 3. Fournisseurs de service tiers agissant au nom des OSP

Les OSP sont imputables pour les activités liées à la Loi menées par un tiers fournisseur de services agissant en leur nom. Les OSP doivent veiller à ce que les tiers comprennent et observent toutes les exigences de la Loi, de ses règlements d’application et des normes.

Justification

En cas de sous-traitance d’un service ou d’une activité, une OSP continue d’être imputable de l’observation de la Loi et de la législation qui s’applique en matière de protection de la vie privée. Il est nécessaire, aux fins de la protection de la vie privée, de veiller à ce que les tiers se plient à toutes les exigences de la Loi lorsqu’ils agissent au nom de l’OSP.

Lignes directrices

Les ententes prises avec des tiers devraient exiger l’observation des obligations en matière de protection de la vie privée prévues par la Loi et par toute autre loi qui s’applique, notamment la LAIMPVP ou la LAIMPVP.

Les ententes devraient exiger que les tiers fournisseurs de service aient pris connaissance des exigences de la Loi et des normes, ainsi que de la législation qui s’applique en matière de protection de la vie privée, des autres obligations législatives visant la collecte, l’utilisation, la divulgation, l’anonymisation, la gestion et l’élimination des renseignements et l’établissement de rapports, ainsi que des protocoles d’intervention de la direction de l’OSP dans les cas de violation de la vie privée et d’incidents liés à la sécurité.

En cas de recours à des fournisseurs de service en sous-traitance, qui auront accès à des renseignements personnels ou prendront part à leur collecte, à leur utilisation (y compris leur analyse) et à leur divulgation, il convient de consulter des spécialistes de la gestion juridique et documentaire et de la gestion de l’approvisionnement et des renseignements aux fins suivantes : 

• Évaluer les risques d’atteintes à la vie privée et à la sécurité, ainsi que la sensibilité des renseignements en cause;

• Élaborer un plan de protection des renseignements en vue de garantir la protection de l’accès et des droits à la vie privée. Ce sont là des éléments clés de l’élaboration des ententes avec les tiers;

• Se renseigner soigneusement sur les éventuels fournisseurs de service afin d’évaluer leurs connaissances et leurs capacités et déterminer s’ils sont en mesure de remplir les exigences imposées à l’OSP en matière de protection de la vie privée, définies dans les ententes d’approvisionnement conclues;

• Vérifier et surveiller les activités du fournisseur de services pendant la durée de l’entente afin de garantir la conformité.

Formation et ressources de soutien

Norme 4. Formation des employés, des administrateurs, des consultants et des mandataires à l’exécution de leurs fonctions

Les OSP doivent offrir de la formation et des ressources de soutien pertinente et utile à leurs employés et administrateurs qui recueillent des renseignements personnels ou y ont accès, afin de veiller à ce qu’ils comprennent sans équivoque comment se conformer aux exigences de la Loi, de ses règlements d’application et des normes.

Les OSP doivent veiller à ce que leurs consultants et mandataires qui recueillent des renseignements personnels ou y ont accès aient de la formation et des ressources de soutien pertinentes et utiles afin de garantir qu’ils comprennent sans équivoque comment se conformer aux exigences de la Loi, de ses règlements d’application et des normes.

Justification

La formation et les ressources de soutien sont essentielles à la bonne application des normes.

Lignes directrices

Les employés, administrateurs, consultants et mandataires des organisations devraient suivre la formation nécessaire avant de commencer à s’acquitter de leurs fonctions. Ils devraient recevoir de la formation régulièrement par la suite, au besoin, afin de s’assurer qu’ils continuent de se conformer. En plus d’informer sur la façon de protéger les renseignements personnels, les formations devraient notamment avoir pour objectif de consolider les compétences et les capacités en ce qui a trait à la sécurité culturelle et à l’action contre le racisme.

Des ressources devraient consolider l’apprentissage et permettre de maintenir les connaissances. Elles devraient aussi comporter des outils pertinents pour appliquer les compétences et les techniques acquises.

La formation et les ressources de soutien devraient être réexaminées et évaluées régulièrement de façon qu’elles demeurent pertinentes et utiles. Il faut aussi les dispenser avec efficacité aux employés, administrateurs, consultants et mandataires voulus.