Mon dossier ACC

Mon dossier ACC

Sommaire de l’addenda à l’Évaluation des facteurs relatifs à la vie privée (EFRVP) de 2017

Institution fédérale

Anciens Combattants Canada

Fonctionnaire responsable de l’évaluation des facteurs relatifs à la vie privée

Kim Andrews
Directrice générale p.i., Gestion des programmes et de la prestation des services

Responsable de l’institution fédérale ou son délégué pour l’article 10 de la Loi sur la protection des renseignements personnels

Crystal Garrett-Baird
Directrice, Protection des renseignements personnels et gestion de l’information

Nom du programme ou de l’activité de l’institution fédérale

Mon dossier ACC – Interopérabilité pour les demandes de prestations

Description du programme ou de l’activité

Une première évaluation des facteurs relatifs à la vie privée (EFVP) réalisée en 2011 a permis de documenter les risques et les mesures d’atténuation liés à la mise en œuvre de Mon dossier ACC. En 2013, l’EFVP a été mise à jour pour documenter l’évolution du portail.

Les récentes améliorations fonctionnelles qui ont été apportées à Mon dossier ACC permettent maintenant l’échange électronique des renseignements entre Anciens Combattants Canada (ACC) et le ministère de la Défense nationale (MDN). Grâce à l’extraction électronique d’éléments précis du MDN, ACC pourra obtenir en temps réel des renseignements à jour sur les membres encore en service et les vétérans récemment libérés des Forces armées canadiennes (FAC), notamment en ce qui concerne leurs renseignements personnels et les antécédents de leur service, soit l’information nécessaire pour rendre des décisions relatives aux avantages et aux services. La collecte de données sur les antécédents du service et les renseignements personnels auprès du MDN se faisait déjà, mais l’échange électronique de l’information entre les deux ministères est un moyen plus efficace pour recueillir uniquement les éléments d’information requis.

L’addenda à l’EFRVP de 2017 porte sur l’échange automatisé de l’information entre ACC et le MDN par le biais du portail Mon dossier ACC. Cet échange d’information vise deux objectifs :

  • Le couplage des données

    Un processus de validation de l’identité confirmera l’information sur le service des vétérans et des membres encore en service des FAC qui présentent une demande d’avantages et de services d’ACC. Ce processus sera effectué à l’aide du couplage de données pour vérifier le service des membres encore en service et des vétérans récemment libérés des FAC.

  • L’Extraction des données pour les demandes de prestations

    L’extraction électronique d’éléments précis d’information (p. ex. date de libération, type de libération, etc.) du MDN favorisera un processus de demande simplifié pour les membres et les vétérans qui présentent une demande d’avantages et de services d’ACC.

    Les risques cernés dans l’addenda ont été atténués ou éliminés au moyen de plans d’atténuation.

Sommaire de l’Évaluation des facteurs relatifs à la vie privée (EFRVP) 2013

Institution fédérale

Anciens Combattants Canada

Fonctionnaire responsable de l’évaluation des facteurs relatifs à la vie privée

John Walker
Directeur général
Direction générale de la gestion des programmes et de la prestation des services

Responsable de l’institution fédérale ou son délégué pour l’article 10 de la Loi sur la protection des renseignements personnels

Shawn MacDougall
Directeur, Accès à l’information et protection des renseignements personnels (AIPRP)
Coordonnateur de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Mon dossier ACC

Description du programme ou de l’activité

En 2011, dans le cadre de son engagement à l’égard du service à la clientèle, ACC a mis en place un portail en ligne offert aux clients anciens combattants. Ce portail, intitulé « MON DOSSIER ACC », permet aux individus de consulter et mettre à jour des renseignements personnels de base (comme un nom ou une adresse); de communiquer avec le Ministère par messagerie sécurisée; de remplir certaines demandes en ligne; de suivre l’état de certains des services offerts; de modifier leur adresse et les détails de leur dépôt direct; et de changer leurs renseignements ayant trait au dépôt direct. Ce portail n’est qu’un point d’accès additionnel, puisque les clients peuvent toujours demander des renseignements et apporter des changements à leurs renseignements soit en personne ou par téléphone, en appelant le Réseau national des centres d’appels (RNCA).

Une évaluation des facteurs relatifs à la vie privée (EFVP) qui a été réalisée en 2011 a permis de documenter les risques et les mesures d’atténuation. Depuis, des changements ont été apportés à « Mon dossier ACC », et une mise à jour de l’EFVP est nécessaire pour s’assurer que les risques cernés en 2011 ont été réglés, pour documenter l’évolution du portail, et pour déterminer si d’autres risques sont survenus à la suite de ces changements.

Cette EFVP permettra en outre de documenter la relation avec la technologie (Mon dossier ACC) et l’utilisation de cette dernière par le Tribunal des anciens combattants (révision et appel) et des représentants de la Légion royale canadienne (LRC).

Les fonctionnaires d’ACC prévoient que, d’ici le 31 décembre 2015, quelque 18 000 personnes accéderont à leurs renseignements par l’entremise du portail « MON DOSSIER ACC ».

Description des catégories de documents et des fichiers de renseignements personnels associées au programme ou à l’activité

Les catégories de documents et des fichiers de renseignements personnels peuvent être examinés à l’adresse : Chapitre Info Source d’ACC

Autorisation légale relative au programme ou à l’activité

Il est important de souligner que Mon dossier ACC est lié à plusieurs programmes et services au sein d’ACC, chacun d’entre eux étant régi conformément à ses propres autorisations légales.

Ces autorisations légales sont issues de la Loi sur le ministère des Anciens Combattants et de la section 4 de la Politique de communication du gouvernement du Canada.

Identification et catégorisation des secteurs de risques

La section qui suit porte sur les risques soulevés par l’EFVP relativement à un nouveau programme ou à un programme modifié. Une échelle de risque est incluse. L’échelle de risque chiffrée est présentée en ordre croissant : le premier niveau représente le niveau de risque le plus bas pour le secteur; le quatrième niveau représente le niveau de risque le plus élevé pour le secteur. Veuillez consulter l’annexe C de la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT pour en savoir davantage sur l’échelle de risque.

Where risks associated with the enhancements assessed in the 2017 addendum differ from the 2013 PIA, this difference is noted.

  1. Type de programme ou d’activité
    • Administration de programmes/activités et de services – Les renseignements personnels sont utilisés pour prendre des décisions qui touchent directement l’intéressé (p. ex., déterminer l’admissibilité à des programmes, y compris procéder à l’authentification pour permettre l’accès à des programmes ou services, administrer les paiements de programme, les trop-payés ou le soutien à la clientèle, délivrer ou refuser des permis ou des licences, traiter des appels, etc.).
    • Niveau de risque pour la vie privée – 2
       
  2. Type de renseignements personnels recueillis et contexte
    • Renseignements personnels sensibles, y compris des profils détaillés, des allégations ou soupçons, des échantillons de substances corporelles et/ou éléments contextuels particulièrement sensibles entourant les renseignements personnels. Par exemple, le cas où les renseignements personnels révèlent directement par association des détails intimes sur la santé, la situation financière, la religion ou le mode de vie de la personne visée et d’autres personnes, comme les proches.
    • Niveau de risque pour la vie privée – 41
       
  3. Participation des partenaires et du secteur privé au programme ou à l’activité
    • Organisations du secteur privé, organisations internationales ou gouvernements étrangers.
    • Niveau de risque pour la vie privée – 12
       
  4. Durée du programme ou de l’activité
    • Programme à long terme – Programme établi qui a été modifié ou qui est établi sans date de péremption claire.
    • Niveau de risque pour la vie privée – 3
       
  5. Personnes concernées par le programme
    • Le programme touche certains individus à des fins administratives externes.
    • Niveau de risque pour la vie privée – 3
       
  6. Technologie et vie privée
    1. L’activité ou le programme (nouveau ou modifié) comporte-t-il l’implantation d’un nouveau système électronique, logiciel ou programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est implanté pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

      Risque pour la vie privée – Non

    2. L’activité ou le programme nouveau ou modifié exige-t-il une modification de systèmes ou services existants de TI?

      Risque pour la vie privée – Oui

    3. Méthodes d’identification améliorées – Cela comprend la technologie biométrique (comme la reconnaissance faciale, l’analyse de la démarche, la lecture ou le balayage de l’iris, l’analyse des empreintes digitales, la signature ou empreinte vocale, l’identification par radiofréquence (IRF) etc.) ainsi que la technologie d’accès rapide (easy pass), les nouvelles cartes d’identité, y compris les cartes à bande magnétique et les « cartes intelligentes » (c. à d. les cartes d’identité qui sont imbriquées soit dans une antenne, soit dans un écran tactile connecté à un microprocesseur et à une puce mémoire ou seulement à une puce mémoire sans logique programmable).

      Risque pour la vie privée – Non

    4. Recours à la surveillance – Cela comprend les technologies de surveillance tels que les appareils d’enregistrement audio/vidéo, l’imagerie thermique, les appareils de reconnaissance, l’IRF, la surveillance/interception clandestine, le contrôle assisté par ordinateur, y compris les pistes de vérification, la surveillance par satellite, etc.

      Risque pour la vie privée – Non

    5. Utilisation de l’analyse automatisée des renseignements personnels, du couplage de renseignements personnels et des techniques de découverte/acquisition de connaissances – Aux fins de la directive sur l’EFVP, les institutions fédérales doivent préciser quelles activités comportent le recours à des technologies d’analyse, de création, de comparaison, de tri, d’identification ou d’extraction automatiques, d’éléments de renseignements personnels. Ces activités comprendraient le couplage (ou appariement) de renseignements personnels, le couplage de dossiers, l’exploration de renseignements personnels, la comparaison de renseignements personnels, la découverte de connaissances et le filtrage ou l’analyse d’informations. De telles activités comportent une forme ou une autre d’intelligence artificielle et/ou d’apprentissage machine pour découvrir des connaissances (renseignements), des tendances ou des modèles, ou encore pour prédire des comportements.

      Risque pour la vie privée – Non3

  7. 7) Transmission des renseignements personnels
    • Les renseignements personnels sont utilisés dans un système qui comporte des connexions à au moins un autre système.
    • Niveau de risque pour la vie privée – 24
       
  8. 8) Incidences des risques pour l’institution
    • Atteinte à la réputation, embarras, perte de crédibilité. Diminution de la confiance du public, élus placés sous les projecteurs, résultats stratégiques de l’institution compromis, priorité gouvernementale compromise, répercussions sur les secteurs de résultats du gouvernement du Canada.
    • Niveau de risque pour la vie privée – 4
       
  9. 9) Incidences des risques pour l’individu ou l’employé
    • Atteinte à la réputation, embarras.
    • Niveau de risque pour la vie privée – 25