Ontarionhq
Divulgation d’un acte répréhensible en vertu de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles (LPFDAR) 2013-2014
En 2010, des dénonciations ont été faites à l'officier supérieur de la GRC désigné en vertu de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles (LPFDAR). Le commissaire Paulson a conclu, à la suite d'une enquête administrative rigoureuse menée pour l'application de la LPFDAR, que ces allégations avaient mis au jour des problèmes systémiques dans (a) l'administration d'un marché de services passé avec un fournisseur tiers (le « marché ») et (b) l'application des directives régissant l'exercice des pouvoirs financiers de signer. Il a été déterminé que la conduite alléguée constituait un acte répréhensible du type visé à l'alinéa 8(b) de la LPFDAR, c'est-à-dire un usage abusif de fonds publics.
L'enquête a révélé que les problèmes systémiques relatifs à l'administration du marché découlaient d'un malentendu entre la GRC et l'entrepreneur quant aux modalités de rémunération. Les pratiques de facturation applicables en vertu du marché présentaient une certaine ambiguïté et se prêtaient par conséquent à différentes interprétations. Il est ressorti de l'enquête que la GRC avait fait des versements en trop à l'entrepreneur, mais qu'il n'y avait eu aucune tentative de violation intentionnelle des conditions du marché.
Le manque de conformité aux directives régissant l'exercice des pouvoirs financiers de signer n'a donné lieu à aucun paiement irrégulier ni à aucune perte de fonds publics.
Le marché en question n'est plus en vigueur. Comme il est expliqué ci-dessous, les mesures correctives faisant suite à la conclusion d'acte répréhensible en sont à différents stades de mise en œuvre. Aucun employé n'a tiré profit de cet acte répréhensible confirmé.
Recommandations relatives à l'acte répréhensible confirmé :
- Faire appel à un expert de l'industrie pour participer à la passation de tout nouveau marché de cette nature avec un intervenant du secteur privé afin que les conditions soient énoncées avec une plus grande précision.
- Voir à ce que soient clairement énoncées les conditions de tout nouveau marché avec un fournisseur tiers de ce genre. En particulier, il est recommandé d'y prévoir :
- des dispositions précises en matière de paiement ainsi qu'une définition claire des rôles et des responsabilités que doit reconnaître et respecter tout fournisseur tiers de ce genre;
- des paramètres précis concernant les renvois à des fournisseurs tiers de ce genre;
- un mécanisme efficace pour le règlement de tout différend entre la GRC et un fournisseur tiers de ce genre.
- Déterminer s'il y a lieu d'avoir un avocat à temps plein au sein du Programme.
- Procéder à un examen interne des factures et des dépenses du fournisseur tiers pour en vérifier la conformité aux conditions du marché et à l'article 34 de la Loi sur la gestion des finances publiques (LGFP), puis prendre les mesures nécessaires pour recouvrer tout paiement excédentaire, le cas échéant.
- Soumettre le Programme à un examen de gestion complet portant sur la gouvernance, la reddition de comptes et l'intendance au sein de la GRC.
- Procéder à un examen des contrôles internes établis pour tous les aspects du Programme aux fins d'évaluation de la conformité à la LGFP et aux autres directives connexes.
Mesures correctives faisant suite à la conclusion d'acte répréhensible :
Sous la supervision du commissaire de la GRC, la direction a pris les mesures correctives décrites ci-dessous pour donner suite aux recommandations de l'agent supérieur désigné :
- En consultation avec des experts de l'industrie, la GRC a effectué un examen complet du modèle de fonctionnement qu'appliquait le Programme à l'époque, exercice qui a porté sur les thèmes de la gouvernance, de la reddition de comptes et de l'intendance. Le plan d'action dressé à la suite de cet examen est maintenant en voie d'exécution. Les recommandations à mettre en œuvre concernent le peaufinage et la normalisation du processus en vigueur, l'examen des capacités et des délégations de pouvoirs actuelles, la modification des règles de gouvernance, le renforcement des obligations redditionnelles et l'amélioration des mécanismes de contrôle.
- La GRC a revu le modèle de fonctionnement du Programme, qui ne prévoit plus le recours à un fournisseur tiers pour les services de ce genre. Dans le cadre du nouveau modèle, un poste permanent sera classifié et doté en vue de la direction du Programme.
- Si un jour il était nécessaire d'engager un fournisseur tiers pour le Programme, la GRC accepte les recommandations concernant les conditions à inclure dans le marché qui serait passé avec lui.
- La direction a effectué un examen interne des factures et des dépenses du fournisseur tiers, dont il est ressorti qu'il ne restait aucun trop-payé à recouvrer.
- Au cours de l'exercice 2010-2011, le dirigeant principal des Finances et de l'Administration de la GRC a entrepris un examen complet des contrôles internes du Programme aux fins d'évaluation de la conformité à la LGFP et aux autres directives connexes. Cet examen a permis de déterminer et de mettre en œuvre des mesures pour améliorer les actuelles pratiques de gestion financière et de reddition de comptes en la matière.
- En ce qui concerne la recommandation relative à la présence d'un avocat à temps plein au sein du Programme, l'évaluation de la question se poursuit.
Disclosure of wrongdoing under the Public Servants Disclosure Protection Act (PSDPA) 2013-2014
Disclosures of wrongdoing under the PSDPA were received by the RCMP Senior Officer designated under the PSDPA in 2010. Following a thorough administrative investigation for the purposes of the PSDPA, Commissioner Paulson concluded that the allegations revealed systemic issues in the: (a) administration of a contract for services with a third party service provider ("the Contract"); and (b) exercise of financial signing authorities inconsistent with policy directives. It was determined that these allegations amounted to wrongdoing in breach of section 8(b) of the PSDPA, specifically a misuse of public funds.
The investigation identified that the systemic issues in the administration of the Contract occurred as a result of differing interpretations between the RCMP and the contractor regarding the compensation structure in the Contract. There was a degree of ambiguity regarding the billing practices to be applied under the Contract and there were varying interpretations of how the billing should occur. The investigation identified that the RCMP paid some excess billing to the contractor. Therefore, while payments were made that were not in compliance with the terms of the Contract, the investigation did not identify any deliberate attempt to violate the provisions of the Contract.
No improper payments or any losses of public money occurred as a direct result of any financial signing authorities which were exercised inconsistently with policy directives.
The Contract has since expired. Corrective action has been initiated in relation to the findings of wrongdoing and as explained below is in various stages of implementation. No employee profited as a result of this founded wrongdoing.
Recommendations in relation to the founded wrongdoing:
- Engage an industry subject matter expert to assist in the procurement process for all future similar contracts with private industry so future contracts use terms that are well more precisely defined.
- Ensure clarity within the terms of future contracts with similar third party service providers. In particular it was recommended that in future, the contractual terms should include:
- Specific payment provisions and well-defined roles and responsibilities for future similar third party service providers, which are recognized and respected;
- Specific parameters for referrals to similar third party service providers;
- An effective conflict resolution mechanism for any disputes between the RCMP and a similar third party service provider.
- Examine the requirements for full-time legal counsel within the Program ("the Program").
- Carry out an internal review of the third party service provider's billing and expense invoices to determine whether this was consistent with the terms and conditions of the Contract and ensure compliance with s. 34 of the Financial Administration Act (FAA). The RCMP should take the necessary steps to recover any overpayment, if applicable.
- Perform a comprehensive Management Review of the Program covering governance, accountability and stewardship within the RCMP.
- Carry out a review of the internal controls in place for all aspects of the Program to evaluate compliance with the Financial Administration Act and other related policy directives.
Corrective action taken in relation to the findings of wrongdoing:
Under the direction of the RCMP Commissioner, management has taken corrective action in response to the designated Senior Officer's recommendations to be implemented. The actions taken include the following steps:
- In consultation with industry experts, the RCMP conducted a comprehensive review of the Program's then-business model, including governance, accountability and stewardship. As a result of the review, an action plan was formulated and is now being implemented. Recommendations to be implemented include refinement and standardization of existing process, examination of current capacity and delegated authorities, changes in governance, strengthening of accountabilities, and improvement of control mechanisms.
- The RCMP revised its business model for the Program, which no longer includes a third party provider for such services. As part of the revised business model, a permanent position to lead the Program will be classified and staffed.
- If in future there is a need to engage a third party service provider for the Program, the RCMP accepts the recommendations concerning the terms of future contracts with a similar third party service provider.
- Management conducted an internal review of the third party service provider's billing and expense invoices. As a result it was determined that there are no outstanding, recoverable overpayments.
- During the fiscal year 2010-2011, the RCMP Chief Financial and Administrative Officer undertook a comprehensive review of the Program's internal controls with respect to FAA compliance and other related policy directives. The review resulted in the identification and implementation of measures to enhance existing procedures for financial management and reporting practices.
- With regard to the recommendation concerning full-time legal counsel within the Program, this matter is being assessed on an ongoing basis.
Le modèle STAR
Qu'est-ce que le modèle STAR?
L'acronyme STAR signifie « Situation, Tâche, Action, Résultat ». Ce modèle utilisé par la GRC fait état d'exemples de comportement illustrant un rendement utile à l'évaluation des compétences. Assurez-vous d'employer ce modèle pour expliquer de manière détaillée les circonstances, les mesures que vous avez prises et le résultat de ces mesures afin de décrire votre expérience policière.
Information recherchée
Situation : Décrivez la situation de l'exemple de façon claire et concise.
- Quel était votre rôle?
- Qui était concerné?
- Quelle information importante a influencé vos décisions?
Tâche : Décrivez clairement la tâche que vous deviez accomplir.
- À quelle difficulté vous êtes-vous heurté?
Action : Décrivez de manière claire et détaillée les mesures que vous avez prises.
- Décrivez ce que vous avez fait concrètement.
Résultat : Décrivez clairement quel était le résultat.
- Qu'avez-vous accompli?
L'exemple suivant illustre le modèle STAR que nous vous demandons de préparer pour présenter les deux exemples que vous devez fournir pour chaque compétence liée à votre expérience policière.
Exemple
- Compétence :
Aptitude à mener des enquêtes et expérience dans le domaine.
- Situation :
Au cours des trois dernières années, j'ai supervisé un groupe des enquêtes générales. En juillet et en août derniers, il y a eu une vague de vols par effraction dans des entreprises un peu partout dans la ville. Les premières enquêtes menées par les policiers ont fourni peu de preuves permettant de cibler des suspects possibles. Cela dit, j'ai constaté que les modes opératoires étaient semblables dans la plupart de ces infractions.
- Tâche :
J'étais chargé de coordonner les activités et d'enquêter sur les vols par effraction afin de repérer les suspects et de prendre les mesures voulues.
- Action :
J'ai recueilli de l'information sur tous les vols par effraction perpétrés dans la ville pour lesquels le mode opératoire était semblable. Par la suite, je suis entré en contact avec des sources humaines pour savoir s'ils avaient de l'information au sujet de cette série de vols. J'ai communiqué avec l'agent des relations avec les médias, qui a rédigé un communiqué de presse demandant l'aide du public pour obtenir de l'information sur ces vols. J'ai aussi rencontré l'équipe du Groupe des crimes contre les biens et recueilli des renseignements sur des suspects possibles. J'ai été capable d'identifier deux suspects principaux, les deux travaillant indépendamment avec d'autres complices. J'ai ensuite mis en œuvre un plan d'action afin de prendre des mesures à l'égard de ces suspects. J'ai demandé l'aide d'agents d'infiltration afin de confirmer l'endroit où se trouvait l'un des suspects. J'ai organisé et présidé une réunion le 10 septembre à laquelle ont participé des policiers des divers groupes d'enquête. J'y ai présenté un plan opérationnel que j'avais élaboré à des fins de discussion.
- Résultat :
Quelques jours plus tard, le premier suspect a été arrêté et traduit en justice pour de nombreux cas d'introduction par effraction. Le 15 septembre, on a procédé à la mise en œuvre du plan opérationnel ciblant le deuxième suspect. Le 28 septembre, je l'ai appréhendé et au bout du compte, il a plaidé coupable à diverses accusations d'introduction par effraction.
The S.T.A.R. Format
What is the S.T.A.R. format?
S.T.A.R. stands for Situation, Task, Action and Result. The S.T.A.R. format is used by the RCMP to capture behavioural examples of relevant performance to assess competencies. Please ensure to use this format to provide a complete description of the circumstances, the actions taken, and the results of your actions to describe your functional police experience.
We're looking for
Situation: In brief, clearly describe the situation surrounding your example.
- What was your role?
- Who was involved?
- What were the important details that impacted your decisions?
Task: In brief, clearly describe what the task you were called upon to do was.
- What was your specific challenge?
Action: In more detail, clearly describe what action(s) you took.
- Describe what you actually did.
Result: In brief, clearly describe what the result was.
- What did you accomplish?
The following example demonstrates the S.T.A.R. format we are seeking as you prepare the two (2) required examples for each competency relating to your Functional Police Experience.
Example
- Competency:
Experience and ability to conduct investigations.
- Situation:
Over the past three years I was the supervisor of a general investigations unit. During the months of July and August of last year, there was a rash of business break and enters occurring throughout the city. Initial investigations by responding officers to these break and enters yielded little evidence to focus on potential suspects. However, I noticed that there were similarities in most of these break and enters, with matching modus operandi (MO's).
- Task:
It was my job to co-ordinate and investigate the break and enters in an effort to locate the suspects and follow up accordingly.
- Action:
I gathered information on all break and enters occurring in the city with similar MO's. I then contacted some human sources to find out if they had any information pertaining to the rash of break and enters. I liaised with the Media Relations Officer, who prepared a media release soliciting public assistance for any information pertaining to these break and enters. I also met with the Property Crime Unit and gathered intelligence on possible suspects. I was able to identify two main suspects, both working independently with other accomplices. I then implemented an action plan to deal with these suspects. I requested the assistance of our undercover investigators to confirm the location of one suspect. I conducted a meeting on September 10 consisting of police officers from all the different investigative units. I chaired this meeting and presented an operational plan which I had developed for discussion.
- Results:
Within a couple of days the first suspect was arrested and taken before the courts for numerous break and enter offences. On September 15, the operational plan on the second suspect was implemented. On September 28, I arrested the second suspect and he eventually pled guilty to numerous break and enter charges.
Access to Information and Privacy (ATIP) online request pilot project
Executive summary
Table of contents
Why the Privacy Impact Assessment was necessary
Privacy Impact Assessment objectives
Privacy Impact Assessment findings and risk summary
Purpose
The Government of Canada is modernizing service to Canadians while increasing its open information environment. To improve service quality and ease of access for citizens, and to reduce processing costs for institutions, the Government of Canada is beginning to transform platforms supporting the administration of Access to Information and Privacy. Canadians are allowed, for the first time, to submit and pay for Access to Information requests online with the goal of having this capability available to all departments as soon as feasible.
Citizenship and Immigration Canada has undertaken this pilot initiative which allows for ATIP requests to be submitted quickly and efficiently by maximizing online technology. In its initial pilot phase, the Access to Information and Privacy Online Request Service allows clients to submit requests and fees online for Citizenship and Immigration Canada and the two other participating departments, Shared Services Canada and the Treasury Board of Canada Secretariat. Upon the successful implementation of this pilot, the service will be expanded to other federal government institutions.
Description
This Privacy Impact Assessment is a tri-institutional initiative for Access to Information and Privacy Online Request Service. This service provides an e-requesting platform which enables this new electronic request process; thereby eliminating the need to send and receive information and fee payments by mail. The scope of this Privacy Impact Assessment encompasses the electronic collection of personal information while re-examining the collection, use, disclosure and retention within the interoperability of this single window e-request service. This Assessment covers the data flow of the information through the system, from the point of collection by Citizenship and Immigration Canada to the point of reception of the information by the appropriate Access to Information and Privacy Division of the three participating institutions.
Why the Privacy Impact Assessment was necessary
In order to ensure compliance with the Privacy Act and associated Treasury Board Secretariat privacy policies, this Privacy Impact Assessment examined privacy risks which may be associated with this online service. Identified privacy risks were mitigated, reduced or eliminated by implementing specific response measures.
Privacy Impact Assessment objectives
To assess, reduce and mitigate potential risks associated with the collection of personal information over the internet and enabling the secure transfer of the personal information to the target institution.
To resolve any privacy issues that may be of potential public concern.
The Access to Information and Privacy Online Request Pilot leverages Citizenship and Immigration Canada's existing ePayment system (via the Receiver General Buy Button) used in a variety of electronic client service applications, along with lessons learned from these initiatives. The pilot also leverages the Secure File Transfer infrastructure managed by Public Works and Government Services Canada to ensure secure transmission of data between Citizenship and Immigration Canada and pilot departments.
Privacy Impact Assessment findings and risk summary
The online request intake process is safeguarded appropriately to ensure the secure transmission of client information up to the Protected B level. Once requests enter the e-service secure transmission to the appropriate receiving institutions is made via the Public Works and Government Services Canada's Secure File Transfer solution at a Protected B level. The transmission contains the request, any attachments that were uploaded, along with a copy of the proof of payment. Successful transmission is confirmed by the receiving department to Citizenship and Immigration Canada via an automated file server confirmation. The file servers at each receiving departments are also configured to send an email notification to their respective generic Access to Information and Privacy mailbox to notify them of the presence of a new request.
Once Citizenship and Immigration Canada receives the automated confirmation from a receiving institution that a request has been transmitted successfully, request-specific information will be purged from Citizenship and Immigration Canada's system. For reporting purposes, only basic transactional logs will be retained by Citizenship and Immigration Canada: logging time of request, type of request and intended department.
Action plan – Risk mitigation
The Government of Canada takes the protection of Canadians' information very seriously. The Privacy Impact Assessment's analysis of the risks was made against the ten universal privacy and fair information practice principles of the Canadian Standards Association Model Code for the Protection of Personal Information. In addition, it includes details on the technology such as the service design, the threat analysis and description of the technical safeguards provided to protect personal information.
The participating departments are ensuring compliance with the Privacy Act and associated Treasury Board Secretariat privacy policies with clear recommendations on how to mitigate any possible risks.
The Threat and Risk Assessment recommendations address ongoing safeguards implemented to protect personal information. In addition, security measures relating to privacy risks of this pilot will be assessed at mid-pilot with an appropriate privacy management plan developed to mitigate the possibility of residual risks.
Once the information is uploaded into the federal institution's Access to Information and Privacy processing system, the standard retention and disposal period will begin. All non-transitory information collected for a request will be retained for two years after the last administrative action within the ATIP tracking tool.
To ensure compliance with the Directive on the Social Insurance Number, individuals are asked not to provide their Social Insurance Number during the online application process, including when attaching documentation to support claims of a right of access under the Access to Information Act and the Privacy Act.
The Privacy Notice Statement is viewed with a prompt of acknowledgement before any information is entered into the online tool. The notice informs the requestor that this information is initially being collected by Citizenship and Immigration Canada but only for transmission to the intended institution.
Security management
A Threat and Risk Assessment on this pilot system was completed during the production implementation. Risks to confidentiality, availability and integrity of information stored and processed by this system were mitigated by implementing safeguards. The Receiver General Buy Button and Secure File Transfer infrastructure are common services that have already been certified and accredited for use by all federal departments and agencies.
The Government of Canada cannot guarantee the security of electronic mail; therefore a caution about sending sensitive personal information via e-mail was placed on the e-request highlighting this risk. The caveat stating that, "If you are concerned about the confidentiality of information, including your personal information, in transit, you should consider sending it directly to a government institution by secure means". If the requestor has concerns, supporting documents should be mailed to the appropriate department.
Projet pilote de demandes en ligne lié à l'accès à l'information et la protection des renseignements personnels (AIPRP)
Sommaire
Table des matières
Justification de la nécessité de l'évaluation des facteurs relatifs à la vie privée
Objectifs de l'évaluation des facteurs relatifs à la vie privée
Résultats de l'évaluation des facteurs relatifs à la vie privée et résumé des risques
Plan d'action – Atténuation des risques
Objet
Le gouvernement du Canada a entrepris de moderniser les services qu'il offre aux Canadiens, tout en augmentant son environnement d'information ouverte. Afin d'améliorer la qualité des services offerts et de faciliter l'accès pour les citoyens, ainsi que pour réduire les coûts de traitement pour les institutions, le gouvernement du Canada a entrepris de transformer les plateformes à l'appui de la gestion de l'accès à l'information et la protection des renseignements personnels. Ce projet permet, pour la première fois, aux citoyens du Canada, de présenter une demande d'accès à l'information et d'en faire le paiement en ligne, le tout dans l'optique d'offrir cette possibilité à l'ensemble des ministères aussitôt que possible.
Citoyenneté et Immigration Canada a entrepris un projet pilote qui permet de soumettre rapidement et efficacement des demandes d'AIPRP en maximisant la technologie en ligne. Au cours de la première phase de ce projet pilote, le service de demandes en ligne d'accès à l'information et de protection des renseignements personnels permet aux clients de présenter une demande d'accès à l'information et d'en faire le paiement en ligne pour Citoyenneté et Immigration Canada, ainsi que pour les deux autres ministères participants suivants : Services partagés Canada et le Secrétariat du Conseil du Trésor du Canada. Une fois la mise en œuvre de ce projet pilote réussie, le service sera étendu à d'autres institutions du gouvernement fédéral.
Description
L'évaluation des facteurs relatifs à la vie privée est une initiative à laquelle participent trois institutions et qui constitue un service de demandes en ligne touchant l'accès à l'information et la protection des renseignements personnels. Ce service offre une plateforme en ligne pour ce nouveau processus de demandes électroniques. Il permet d'éliminer le besoin d'échanger de l'information et de faire des paiements par courrier. L'évaluation des facteurs relatifs à la vie privée comprend la collecte électronique des renseignements personnels et un réexamen du processus de collecte, d'utilisation, de divulgation, de conservation et d'élimination des renseignements personnels à l'intérieur de ce service de demandes électroniques à guichet unique. La portée de cette évaluation englobe le flux des données dans le système : du point de collecte par Citoyenneté et Immigration Canada, au point de réception par la division d'accès à l'information et de protection des renseignements personnels de l'institution destinataire parmi les trois institutions participantes.
Justification de la nécessité de l'évaluation des facteurs relatifs à la vie privée
Afin de veiller au respect de la Loi sur la protection des renseignements personnels et aux politiques connexes du Secrétariat du Conseil du Trésor du Canada sur la protection de la vie privée, l'évaluation des facteurs relatifs à la vie privée a examiné les risques d'entrave à la vie privée pouvant être liés à ce service en ligne. Les risques déterminés ont été atténués, diminués ou éliminés par la mise en œuvre de mesures précises.
Objectifs de l'évaluation des facteurs relatifs à la vie privée
-
Évaluer, réduire et atténuer les risques possibles d'entrave à la vie privée associés à la collecte de renseignements personnels en ligne et permettre la transmission sécuritaire de ces renseignements à l'institution concernée.
-
Résoudre les problèmes de protection de la vie privée susceptibles d'inquiéter le public.
Le Projet pilote de demandes en ligne d'accès à l'information et de protection des renseignements personnels tire profit du système de paiement en ligne existant de Citoyenneté et Immigration Canada (par l'intermédiaire du bouton d'achat du Receveur général), qui est utilisé dans une variété d'applications de service aux clients, ainsi que des leçons tirées dans le cadre de ce type d'initiatives. Ce projet pilote tire également profit de l'architecture de transfert sécurisé des fichiers gérée par Travaux publics et Services gouvernementaux Canada afin de garantir une transmission sécuritaire des données entre Citoyenneté et Immigration Canada et les ministères participant à l'initiative pilote.
Résultats de l'évaluation des facteurs relatifs à la vie privée et résumé des risques
Le processus d'acceptation des demandes en ligne est protégé de façon appropriée pour garantir la transmission sécurisée des renseignements de client jusqu'au niveau protégé B. Une fois les demandes entrées, elles sont acheminées à l'institution concernée par l'entremise de la Solution de transferts de fichiers sécurisés de Travaux publics et Services gouvernementaux Canada au niveau protégé B. La transmission comprend la demande, les pièces jointes téléchargées, ainsi qu'une copie de la preuve de paiement. Le ministère destinataire informe Citoyenneté et Immigration Canada qu'il a bien reçu la transmission en lui envoyant une confirmation automatique par l'intermédiaire du serveur de fichiers. Les serveurs de fichiers des ministères destinataires sont également configurés pour transmettre un avis par courriel à leur boîte aux lettres respective d'accès à l'information et de protection des renseignements personnels afin d'informer les autres ministères de la présence d'une nouvelle demande.
Une fois que Citoyenneté et Immigration Canada a reçu la confirmation automatisée de l'institution destinataire indiquant qu'elle a bien reçu la demande, l'information propre à la demande sera supprimée du système de Citoyenneté et Immigration Canada. Aux fins d'établissement de rapports, seuls des renseignements transactionnels de base seront conservés par Citoyenneté et Immigration Canada : heure d'ouverture de session de la demande, type de demande et ministère destinataire.
Plan d'action – Atténuation des risques
Le gouvernement du Canada prend très au sérieux la protection des renseignements personnels des Canadiens. L'analyse des risques de l'évaluation des facteurs relatifs à la vie privée a été effectuée conformément aux dix principes universels de gestion équitable et de protection des renseignements du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. De plus, elle comprend de l'information détaillée sur la technologie comme la conception du service, l'évaluation des menaces et la description des mesures de protection techniques fournies qui permettent de protéger les renseignements personnels.
Les ministères participants s'assurent de respecter la Loi sur la protection des renseignements personnels et les politiques connexes du Secrétariat du Conseil du Trésor du Canada sur la protection de la vie privée, et appliquent des recommandations précises sur la façon d'atténuer tout risque possible.
Les recommandations sur l'évaluation des menaces et des risques touchent les mesures de protection courantes pour protéger les renseignements personnels. De plus, les mesures de sécurité liées aux risques d'entrave à la vie privée du projet pilote seront évaluées en milieu de projet à l'aide d'un plan de gestion approprié visant à atténuer la possibilité de risques résiduels.
Une fois que l'information a été téléchargée dans le système de traitement d'accès à l'information et protection des renseignements personnels de l'institution fédérale concernée, la période de conservation et d'élimination des renseignements personnels commencera. L'ensemble des données permanentes colligées pour une demande sera conservé pour une période de deux ans suivant la dernière intervention administrative effectuée par l'intermédiaire de l'outil de suivi de l'AIPRP.
Pour être conforme à la Directive sur le numéro d'assurance sociale, on demande aux personnes de ne pas fournir leur numéro d'assurance sociale dans le cadre du processus de demande en ligne, y compris lorsqu'elles fournissent des documents à l'appui d'une demande d'accès à l'information en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.
L'avis de déclaration sur la protection des renseignements personnels s'affiche avec une invite de confirmation de lecture avant que le demandeur puisse saisir des renseignements à l'aide de l'outil en ligne. Cet avis informe le demandeur que ces renseignements sont colligés à l'origine par Citoyenneté et Immigration Canada, mais seulement pour leur transmission à l'institution concernée.
Gestion de la sécurité
Une évaluation des menaces et des risques liés à ce système pilote a été effectuée au cours de l'étape de mise en œuvre. Les risques à la confidentialité, la disponibilité et l'intégrité des renseignements stockés et traités par ce système ont été atténués par la mise en œuvre de mesures de protection. Le bouton du Receveur général et l'infrastructure de transfert de fichiers sécurisés sont des services communs qui ont déjà été certifiés et accrédités pour être utilisés par les ministères et les organismes fédéraux.
Le gouvernement du Canada ne peut pas garantir la sécurité du courrier électronique; par conséquent, il a émis une mise en garde au sujet de la transmission de renseignements personnels sensibles par courriel en soulignant les risques associés aux demandes électroniques. Voici cette mise en garde : Si vous avez des préoccupations quant à la confidentialité des données, y compris celles de nature personnelle, pendant la transmission, nous vous conseillons d'avoir recours à des méthodes de transmission sécurisées pour les acheminer directement à l'institution gouvernementale concernée. Si le demandeur a des préoccupations à ce sujet, il devrait transmettre les documents à l'appui par courrier postal au ministère approprié.
Vérification de la destruction des fichiers électroniques relatifs aux dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule
Rapport final: janvier 2013
Ce rapport fut revu en considération de la Loi sur l'accès à l'information et la Loi sur la protection des reseignement personnels; l'information publiée est NON-CLASSIFIÉE.
Table des matières
- Acronymes et abréviations
- 1 Contexte
- 2 Objectif, portée et méthode
- 2.1 Objectif
- 2.2 Portée
- 2.3 Méthode
- 2.4 Énoncé de conformité
- 3 Principales constatations
- 3.1 Destruction des fichiers électroniques du SCIRAF
- 4 Conclusion
- Réponse de la gestion à la vérification
- Annexe A - Objectifs et critères de vérification
Acronymes et abréviations
- CAF - Contrôleur des armes à feu
- DPI - Dirigeant principal de l'information
- GRC - Gendarmerie royale du Canada
- PCAF - Programme canadien des armes à feu
- PGC - Procureur général du Canada
- SCIRAF - Système canadien d'information relatif aux armes à feu
- SPS - Services de police spécialisés
1. Contexte
Le 25 octobre 2011, la Loi modifiant le Code criminel et la Loi sur les armes à feu (projet de loi C-19) visant à supprimer l'obligation pour les particuliers et les entreprises d'enregistrer les armes à feu sans restrictions Footnote 1 a été déposée à la Chambre des communes. Le projet de loi C-19 (sous son titre abrégé - Loi sur l'abolition du registre des armes d'épaule) a reçu la sanction royale le 5 avril 2012, supprimant l'obligation d'enregistrer les armes à feu sans restrictions. La Province de Québec a demandé une injonction pour porter en appel la Loi sur l'abolition du registre des armes d'épaule et le 5 avril 2012, la Cour supérieure du Québec a émis une ordonnance en vertu de laquelle les résidents et les entreprises du Québec doivent continuer d'enregistrer les armes à feu sans restrictions.
Le Programme canadien des armes à feu (PCAF), aux Services de police spécialisés (SPS) de la GRC, est le secteur de service responsable de l'administration de la Loi sur les armes à feu et de ses règlements d'application concernant les permis ainsi que la possession, le transport, l'utilisation et l'entreposage des armes à feu au Canada de même que du soutien opérationnel direct à l'application de la loi pour toutes les enquêtes et demandes d'information ayant trait aux armes à feu. Le 10 septembre 2012, la Cour supérieure du Québec a rendu une décision favorable à la Province de Québec et a ordonné au Procureur général du Canada (PGC) Footnote 2 de fournir à la Province de Québec copie des fichiers des armes à feu sans restrictions relatives au Québec. Une fois ces données fournies, le PCAF cessera d'enregistrer les armes à feu sans restrictions du Québec et détruira les fichiers connexes. Le PGC a interjeté appel et, dans l'intervalle, le PCAF a été avisé de ne pas appliquer les changements entraînés par la Loi sur l'abolition du registre des armes d'épaule aux particuliers et aux entreprises établis au Québec. Footnote 3
La Loi sur l'abolition du registre des armes d'épaule comporte l'obligation de détruire tous les fichiers relatifs à l'enregistrement des armes à feu sans restrictions qui relèvent du commissaire aux armes à feu Footnote 4 et des contrôleurs des armes à feu (CAF). De manière précise, les dispositions transitoires de la Loi exigent ce qui suit :
- « 29. (1) Le commissaire aux armes à feu veille à ce que, dès que possible, tous les registres et fichiers relatifs à l'enregistrement des armes à feu autres que les armes à feu prohibées ou les armes à feu à autorisation restreinte qui se trouvent dans le Registre canadien des armes à feu, ainsi que toute copie de ceux-ci qui relève de lui soient détruits.
- (2) Chaque contrôleur des armes à feu veille à ce que, dès que possible, tous les registres et fichiers relatifs à l'enregistrement des armes à feu autres que les armes à feu prohibées ou les armes à feu à autorisation restreinte qui relèvent de lui, ainsi que toute copie de ceux-ci qui relève de lui soient détruits. »
L'organisation du PCAF compte un CAF désigné pour chaque province et territoire. Les CAF sont chargés de la prise de décision et du travail administratif en ce qui a trait aux permis, aux autorisations de transport et de port et aux cessions d'armes à feu par les particuliers et les entreprises. Le lien entre le permis et l'enregistrement peut amener le CAF à conserver une copie tangible du fichier d'enregistrement d'une arme à feu sans restrictions, d'où la précision dans les dispositions transitoires qu'elles s'appliquent aussi aux CAF. Sauf dans cinq provinces, les CAF sont nommés par le gouvernement fédéral et relèvent du directeur des Opérations des CAF au PCAF. Dans les cinq autres provinces - l'Ontario, le Québec, le Nouveau-Brunswick, l'Île-du-Prince-Édouard et la Nouvelle-Écosse - les CAF sont nommés par les provinces et rendent compte au ministre fédéral de la Sécurité publique en vertu d'accords de contribution.
Les dossiers relatifs à l'enregistrement des armes sans restrictions existent à la fois sous forme électronique et tangible (papier ou autre format). Les fichiers électroniques (données réelles) dont conservés dans le Système canadien d'information relatif aux armes à feu (SCIRAF) et les dossiers tangibles sont conservés dans les bureaux du PCAF et des CAF. Le SCIRAF est le système d'information qui héberge tous les fichiers électroniques relatifs aux permis, enregistrements, cessions d'armes à feu et autorisations de transport et de port d'armes à autorisation restreinte.
La Loi sur les armes à feu et ses règlements d'application donnent son cadre au SCIRAF. Le PCAF est propriétaire de l'application et le Secteur du dirigeant principal de l'information (DPI) de la GRC est responsable de l'architecture de la base de données ainsi que de l'administration et de la maintenance du SCIRAF. Le SCIRAF offre un soutien à l'administration et à l'exécution à tous les partenaires qui œuvrent à la délivrance de permis aux détenteurs/utilisateurs d'armes à feu, à l'enregistrement de toutes les armes à feu à autorisation restreinte ou prohibées et à la délivrance d'autorisations liées aux armes à feu à autorisation restreinte. Le Bureau central de traitement du PCAF traite les demandes de permis et d'enregistrement. La délivrance et la révocation des certificats d'enregistrement d'armes à feu relèvent de la responsabilité du registraire. En avril 2012, le SCIRAF comptait environ 7,5 millions de fichiers d'enregistrement d'armes à feu sans restrictions et demandes d'enregistrement et de cession connexes.
Le 5 avril 2012, le PCAF a cessé de délivrer des certificats d'enregistrement pour les armes sans restrictions, sauf pour les particuliers et les entreprises établis au Québec. Le 20 mai 2012, le PCAF a désactivé ses systèmes en ligne pour éviter que des particuliers et des entreprises n'enregistrent des armes sans restrictions, à moins qu'ils soient établis dans la province de Québec. Ces mesures avaient été mises au point par le PCAF en collaboration avec le Secteur du DPI pour se conformer à la Loi sur l'abolition du registre des armes d'épaule et à ses dispositions transitoires. Les étapes prévues détaillent le travail que nécessitera la destruction de tous les dossiers, électroniques et tangibles, des entrepôts d'information de la GRC et du PCAF, exception faite des fichiers concernant les agences publiques Footnote 5 et les particuliers et les entreprises établis au Québec, qui seront conservés.
Le Secteur du DPI a entrepris en octobre 2012 la destruction de tous les fichiers électroniques que l'on savait liés à l'enregistrement des armes sans restrictions que contenait le SCIRAF (à l'exception des fichiers concernant le Québec et les agences publiques).
2. Objectif, portée et méthode
2.1 Objectif
La présente vérification visait à donner une assurance raisonnable que les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes à feu qui ne sont ni prohibées ni à autorisation restreinte ont été détruits conformément aux exigences inscrites dans les dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule.
2.2 Portée
La portée de la mission de vérification englobait tous les fichiers électroniques Footnote 6 du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions (exception faite du Québec et des agences publiques).
La vérification ne comportait pas de recherche de fichiers électroniques qui auraient dû être conservés par le PCAF dans le SCIRAF conformément à la Loi sur les armes à feu, puisqu'elle ne cadrait pas dans la portée de la Loi sur l'abolition du registre des armes d'épaule.
2.3 Méthode
La planification de la vérification a pris fin en novembre 2012 et a compris l'examen de documents, une revue générale du processus et l'entrevue de personnel du PCAF et du Secteur du DPI. Les sources utilisées pour élaborer les critères de vérification comprenaient COBIT 5 : Cadre de référence en matière de gouvernance et gestion des technologies de l'information. L'objectif et les critères de vérification sont présentés à l'Annexe A.
La partie examen de la vérification a été achevée en décembre 2012 et recourait aux techniques suivantes :
- observation sur place de la destruction des fichiers électroniques du SCIRAF;
- création et exécution de demandes d'information pour déterminer si les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions existaient toujours;
- à l'aide d'outils de vérification assistés par ordinateur, analyse des rapports du Secteur du DPI et du PCAF et décompte de données clés du SCIRAF, qui ont servi à déterminer si des fichiers électroniques avaient par inadvertance échappé à la destruction;
- confirmation obtenue du directeur général du Programme canadien des armes à feu et du dirigeant principal de l'Information de la GRC que les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions ont été détruits.
Un comité de supervision, qui comptait des membres de tierces parties, a apporté conseils et orientation au long de la mission de vérification. Le comité de supervision s'est réuni à chaque étape importante de la vérification. Des vérificateurs de tierces parties ont prêté leur expertise technique avant, pendant et après les tests sur la destruction des fichiers électroniques du SCIRAF liés à l'enregistrement d'armes sans restrictions.
2.4 Énoncé de conformité
La mission de vérification a été planifiée, menée et conclue en fonction des normes de vérification interne du gouvernement du Canada.
3. Principales constatations
3.1 Destruction des fichiers électroniques du SCIRAF
Les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions ont été détruits comme l'exigeaient les dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule.
L'on s'attendait à ce que tous les fichiers électroniques Footnote 7 du SCIRAF que l'on savait liés à l'enregistrement des armes sans restrictions (exception faite du Québec et des agences publiques) aient été détruits.
Le Secteur du DPI a détruit les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement des armes sans restrictions, à partir des spécifications du PCAF, en écrasant les données du SCIRAF. Tous les fichiers que l'on savait liés à l'enregistrement d'armes sans restrictions qui pouvaient être traités par ce premier traitement en lot ont été détruits de cette façon. L'équipe de vérification était sur place pour observer des parties clés du processus de destruction. Pendant la destruction initiale, des anomalies ont été observées qui ont nécessité des mesures ultérieures.
Après la destruction initiale des fichiers électroniques, la base de données qui restait dans le SCIRAF a été interrogée pour déterminer si des données que l'on savait liées à l'enregistrement d'armes sans restrictions avaient échappé par erreur à la destruction. Au terme de l'analyse menée à l'aide d'outils de vérification assistés par ordinateur, on a confirmé les anomalies qui nécessitaient une validation supplémentaire du PCAF et du Secteur du DPI par rapport à l'obligation de destruction.
Le PCAF et le Secteur du DPI ont corrigé les anomalies qui avaient échappé à l'écrasement des données d'origine. Ces anomalies concernaient un nombre minime de fichiers électroniques dont les caractéristiques différaient des fichiers électroniques ciblés à l'origine pour être détruits dans le SCIRAF.
D'autres interrogations et tests de confirmation à l'aide d'outils de vérification assistés par ordinateur ont été menés pour s'assurer que les fichiers électroniques et les anomalies avaient bien été détruits dans le SCIRAF. L'analyse des résultats des tests de confirmation a confirmé la destruction effective de ces fichiers.
Le résultat des premiers tests de confirmation et interrogations ont validé que tous les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions ont été détruits.
4. Conclusion
Conformément aux exigences inscrites dans les dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule, tous les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes à feu sans restrictions (exception faite du Québec et des agences publiques) ont été détruits.
Réponse de la gestion à la vérification
Un plan de mise en œuvre a été élaboré pour préparer le Programme canadien des armes à feu (PCAF) à exécuter les modifications à la Loi sur les armes à feu et à ses règlements d'application découlant du projet de loi C-19. Le plan de mise en œuvre prévoyait la destruction de toutes les données associées aux fichiers d'enregistrement des armes sans restrictions détenues dans le Système canadien d'information relatif aux armes à feu (SCIRAF), à l'exception des armes enregistrées par des entreprises ou des particuliers résidant dans la Province de Québec et des armes enregistrées au nom des agences publiques.
La destruction des données ciblées dans l'application du SCIRAF, conformément aux dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule, a été réussie. Le personnel du Programme canadien des armes à feu et du dirigeant principal de l'Information se sont efficacement attelés à une tâche très difficile, qui a connu le succès dont fait état le rapport.
Peter Henschel, sous-commissaire
Services de police spécialisés
Gendarmerie royale du Canada
Annexe A - Objectif et critères de vérification
Objectif: Donner une assurance raisonnable que les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes à feu qui ne sont ni prohibées ni à autorisation restreinte ont été détruits conformément aux exigences inscrites dans les dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule.
Critère 1 : Un plan a été établi pour la destruction des fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions (à l'exception du Québec et des agences publiques).
Critère 2 : Les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions (à l'exception du Québec et des agences publiques) ont été effectivement détruits.
Audit of the Destruction of Electronic Records Pertaining to the Transitional Provisions in the Ending the Long-gun Registry Act
Final Report: January 2013
This report has been reviewed in consideration of the Access to Information Act and the Privacy Act. The published information is UNCLASSIFIED.
Table of Contents
- Acronyms and Abbreviations
- 1 Background
- 2 Objective, Scope and Methodology
- 2.1 Objective
- 2.2 Scope
- 2.3 Methodology
- 2.4 Statement of Conformance
- 3 Audit Finding
- 3.1 Destruction of Electronic Records in CFIS
- 4 Conclusion
- Management's Response to the Audit
- Appendix A - Audit Objective and Criteria
Acronyms and Abbreviations
- AGC - Attorney General of Canada
- CFIS - Canadian Firearms Information System
- CFO - Chief Firearms Officer
- CFP - Canadian Firearms Program
- CIO - Chief Information Officer
- RCMP - Royal Canadian Mounted Police
- SPS - Specialized Policing Services
1. Background
On October 25, 2011, An Act to Amend the Criminal Code and the Firearms Act (Bill C-19) with the intent to remove the requirement for individuals and businesses to register non-restricted firearms Footnote 1 was introduced in the House of Commons. Bill C-19 (short title - Ending the Long-gun Registry Act) received Royal Assent on April 5, 2012, removing the requirement for non-restricted firearms to be registered. The Province of Quebec filed an injunction to appeal the Ending the Long-gun Registry Act and on April 5, 2012, the Quebec Superior Court issued a court order that requires residents and businesses in Quebec to continue to register non-restricted firearms.
The RCMP's Canadian Firearms Program (CFP) is the service line within the RCMP's Specialized Policing Services (SPS) responsible for the administration of the Firearms Act and its associated regulations that govern possession, licensing, transportation, use, registration and storage of firearms in Canada as well as providing operational support to law enforcement agencies in all firearm-related inquiries and investigations. On September 10, 2012, the Quebec Superior Court ruled in favour of the Province of Quebec and instructed the Attorney General of Canada (AGC) Footnote 2 to provide the Province of Quebec with a copy of the non-restricted firearms records relating to Quebec. Once the data has been provided, the CFP will stop registering non-restricted firearms for Quebec and destroy the related records. The AGC filed an appeal, and in the interim, the CFP has been advised not to apply the Ending the Long-gun Registry Act changes to individuals and businesses residing in Quebec. Footnote 3
Ending the Long-gun Registry Act includes the requirement that all records related to the registration of non-restricted firearms under the control of the Commissioner of Firearms Footnote 4 and the Chief Firearms Officers (CFOs) be destroyed. Specifically, the Act's Transitional Provisions require that:
- " 29.(1) The Commissioner of Firearms shall ensure the destruction as soon as feasible of all records in the Canadian Firearms Registry related to the registration of firearms that are neither prohibited firearms nor restricted firearms and all copies of those records under the Commissioner's control.
- (2) Each chief firearms officer shall ensure the destruction as soon as feasible of all records under their control related to the registration of firearms that are neither prohibited firearms nor restricted firearms and all copies of those records under their control."
The organization of the CFP includes a CFO appointed for each province and territory. CFOs are responsible for decision-making and administrative work related to licences, authorizations to transport, authorizations to carry, and confirming the purpose of the transfer of restricted and prohibited firearms by individuals and businesses. The connection between licensing and registration may result in the CFO retaining a hard copy of a record related to the registration of a non-restricted firearm, hence the requirement that the Transitional Provisions also apply to CFOs. The CFOs in all but five provinces are federally appointed and report to the CFP's Director of CFO Operations. In the remaining provinces of Ontario, Quebec, New Brunswick, Prince Edward Island, and Nova Scotia, the CFOs are provincially appointed and are accountable to the federal Minister of Public Safety through contribution agreements.
Records related to the registration of non-restricted firearms exist in both electronic and hard copy (paper or other media) form. Electronic records (live data) are held in the Canadian Firearms Information System (CFIS), and hard copy records are held within the CFP and CFO offices. CFIS is the information system that contains all electronic records related to licences, registrations, transfers of firearms, and authorizations to transport and carry restricted firearms.
The Firearms Act and its regulations establish the basic framework for CFIS. The CFP is the business owner of the CFIS application and the RCMP's Chief Information Officer (CIO) Sector is responsible for the database architecture, and the administration and maintenance of the system. CFIS provides administrative and enforcement support to all partners involved in licensing of firearms owners/users, registration of firearms and the issuance of authorizations related to restricted firearms. The CFP's Central Processing Site processes licence and registration applications. The issuance and revocation of firearms registration certificates is the responsibility of the Registrar. As of April 2012, there were approximately 7.5 million non-restricted firearms registration records as well as non-restricted registration and transfer applications associated to those registration records in CFIS.
On April 5, 2012, the CFP stopped issuing registration certificates for non-restricted firearms except for individuals and businesses residing in Quebec. On May 20, 2012, the CFP disabled its online systems to prevent individuals and business from registering non-restricted firearms unless they reside in the province of Quebec. These actions were part of the CFP's steps, developed in collaboration with the CIO Sector, to address the Ending the Long-gun Registry Act and to enact the Transitional Provisions. The steps detail the work involved in destroying all records, both electronic and hard copy, from the RCMP/CFP information stores, except those records related to public agencies Footnote 5 and individuals and businesses residing in Quebec, which will be retained.
The CIO Sector commenced the destruction of all electronic records identified as being related to the registration of non-restricted firearms in CFIS (with the exception of Quebec and public agencies) in October 2012.
2. Objective, Scope and Methodology
2.1 Objective
The objective of this audit was to provide reasonable assurance that the electronic records in CFIS identified as being related to the registration of firearms that are neither prohibited firearms nor restricted firearms were destroyed as required by the Transitional Provisions in the Ending the Long-gun Registry Act.
2.2 Scope
The scope of this audit included all electronic records Footnote 6 identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) in CFIS.
The audit did not include testing for electronic records that should have been retained by the CFP in CFIS to remain compliant with the Firearms Act as this was outside the scope of the Ending the Long-gun Registry Act.
2.3 Methodology
The planning portion of the audit was completed in November 2012 and included documentation review, process walkthrough, and interviews with CFP and CIO Sector staff. Sources used to develop audit criteria include COBIT 5: A Business Framework for the Governance and Management of IT. The audit objective and criteria are available in Appendix A.
The examination portion of the audit was completed in December 2012 and included the following techniques:
- observed on-site the destruction of electronic records in CFIS;
- created and ran queries to determine if electronic records identified as being related to the registration of non-restricted firearms still existed in CFIS;
- analysed, with computer-assisted audit tools, CIO Sector and CFP reports and counts of key information in CFIS, which were used to determine if any electronic records were erroneously omitted from destruction;
- obtained confirmation from the Director General, Canadian Firearms Program and the RCMP's Chief Information Officer that the electronic records identified as being related to the registration of non-restricted firearms in CFIS were destroyed.
An oversight committee, including third party members, provided ongoing advice and guidance throughout the audit engagement. Oversight committee meetings were held at each significant stage of the audit. Third party auditors provided technical expertise before, during and after the testing of the destruction of electronic records related to the registration of non-restricted firearms in CFIS.
2.4 Statement of Conformance
The audit engagement was planned, conducted and reported in accordance with the Internal Auditing Standards for the Government of Canada.
3. Audit Finding
3.1 Destruction of Electronic Records in CFIS
Electronic records identified as being related to the registration of non-restricted firearms were destroyed in CFIS as required by the Transitional Provisions of the Ending the Long-gun Registry Act.
It was expected that all electronic records Footnote 7 identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) in CFIS would be destroyed.
The CIO Sector destroyed electronic records identified as being related to the registration of non-restricted firearms from CFIS, based on CFP specifications, by overwriting existing information in CFIS. All records identified as being related to the registration of non-restricted firearms that could be processed by the initial batch process were destroyed in this manner. The audit team was on-site to observe key parts of the destruction process. Anomalies were identified during the initial destruction that would require further actions.
Following the initial destruction of the electronic records, the resulting CFIS database was further queried to determine if information identified as being related to the registration of non-restricted firearms was erroneously omitted from destruction. The results of the analysis, conducted with computer-assisted audit tools, confirmed the anomalies that required further validation from the CFP and CIO Sector against the requirement for destruction.
The CFP and the CIO Sector addressed the anomalies that had not been captured in the initial overwrite. These anomalies related to a minority of electronic records whose characteristics differed from the electronic records that were initially targeted for destruction in CFIS.
Additional queries and confirmation tests using computer-assisted audit tools were performed to ascertain that the electronic records and anomalies had been destroyed in CFIS. Analysing the results of the confirmation tests confirmed the destruction of these records.
The results of the initial queries and confirmation tests validate that all electronic records identified as being related to the registration of non-restricted firearms were destroyed in CFIS.
4. Conclusion
In compliance with the Transitional Provisions in the Ending the Long-gun Registry Act, all electronic records identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) were destroyed in CFIS.
Management Response to the Audit
An Implementation Plan was developed to proactively position the Canadian Firearms Program (CFP) to support the changes to the Firearms Act and associated Regulations introduced by Bill C-19. The Implementation Plan included the destruction of all data associated to non-restricted firearm registration records held within the Canadian Firearms Information System (CFIS) with the exception of firearms registered to businesses or individuals residing in the province of Quebec or firearms recorded to a Public Agency.
The destruction of the target data within the CFIS application, as per the Transitional Provisions in the Ending the Long-gun Registry Act, was successful. The staff at the Canadian Firearms Program and Chief Information Officer implemented a very challenging task effectively, leading to a successful result as identified in the report.
Peter Henschel, Deputy Commissioner
Specialized Policing Services
Royal Canadian Mounted Police
Appendix A-Audit Objective and Criteria
Objective:
To provide reasonable assurance that the electronic records in the Canadian Firearms Information System (CFIS) identified as being related to the registration of firearms that are neither prohibited firearms nor restricted firearms are destroyed as required by the Transitional Provisions in the Ending the Long-gun Registry Act.
Criterion 1: A plan was established for the destruction of electronic records identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) in CFIS.
Criterion 2: Electronic records identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) were appropriately destroyed in CFIS.
Interpersonal Workplace Relationship Policy
Executive summary
The Interpersonal Workplace Relationship Policy (IWRP) is designed to address potential Conflict of Interest (COI) issues that may arise when RCMP employees become involved in interpersonal relationship within the workplace. In particular, the policy creates an employee obligation to report the existence of a relationship between supervisors/persons in authority and subordinates which may raise COI concerns. The purpose of the policy is to manage conflicts of interest, ensure public confidence in the integrity and management of the RCMP, provide a safe and respectful workplace, protect employees from abuse of authority and harassment that may arise as a result of an imbalance of power between employees in the workplace and support the operational effectiveness of the RCMP. Specific concerns over the nature of the information that is to be collected have been taken into consideration and precautions in the handling of reports are addressed through the application standard document handling security procedures employed to protect IWRP reports which will be placed on the employee Conflict of Interest File.
The PIA Type referenced in this material is Departmental in nature and is restricted to internal RCMP Human Resource (HR) processes. This is a new PIA produced in support of a policy initiative as articulated in paragraph 1. The Government of Canada (GOC) institution is the Royal Canadian Mounted Police which is headed by Commissioner Robert Paulson and the Delegated Officer for this policy is the OIC Access to Information & Privacy, Ottawa. A/Commissioner Craig MacMillan, Professional Integrity Officer, has been assigned overall responsibility for this PIA. Assistance has been provided by the A/Director, Professional Standards & External Review, Ottawa, Insp. John A. MacDonald.
The IWRP is a chapter of a new RCMP Conflict of Interest Directive which provides the framework for dealing with COI and supports measures implemented to address conflicts of interest, preferential treatment, apprehension of bias, and abuse of authority or power in the workplace. Legal authorities are primarily drawn from the RCMP Act & Regulations, the Public Servants Disclosure Protection Act, and Values and Ethics Code for the Public Sector, which in turn are supported by policy and procedures relevant to the collection, use and retention of information. The Privacy Act and the Access to Information Act also impact the management of this policy. Personal information gathered pursuant to this policy will be managed consistent with the existing Personal Information Bank (PIB) governing information pertaining to Public Service Employees (PSE 915) and the modification of an existing PIB governing information pertaining to Regular and Civilian Members of the RCMP (RCMP PPE 815).
The Section II PIA Risk Analysis matrix indicates an average score of 1.83 (on a scale of 1-4) which can be categorized as "low-moderate". Statistically, this suggests that the risk to privacy inherent in this new policy, despite the highly sensitive personal nature of the information that is being gathered, is tolerable. Given that the reporting processes involved in this policy are rudimentary paper-driven reports (highly restricted access) vs. automated, large scale data "vacuuming" across multiple government departments or business lines, the risk is further diminished. Therefore, no further steps, other than what are currently in place in the RCMP to guard sensitive information, are required.
Nevertheless, it is category #2 "Type of Personal Information Involved and Context" which raises the most concern and is therefore given additional weight. This policy requires that employees disclose limited information about romantic/sexual interpersonal workplace relationships (between supervisors/persons in authority and subordinates) to the employer. Extensive consultation has taken place in order to devise appropriate measures to handle this information and to determine to what extent the employer can use it to mitigate risk. Legal advice was sought in this regard and the feedback was incorporated into the overall language of the policy. It was determined through these processes that there are no legal prohibitions against the gathering of this information so long as it is used for the purpose for which it is collected.
Politique sur les relations interpersonnelles en milieu de travail
Sommaire
La Politique sur les relations interpersonnelles en milieu de travail (PRIMT) a été élaborée pour traiter les situations de conflit d'intérêts (CI) que pourrait entraîner en milieu de travail une relation interpersonnelle établie entre employés de la GRC. La politique oblige l'employé à révéler l'existence d'une relation établie entre un superviseur ou une personne en autorité et un subalterne et qui pourrait susciter des inquiétudes quant à un CI. Le but de la politique est de gérer les conflits d'intérêts, de préserver la confiance de la population en l'intégrité et la gestion de la GRC, de fournir aux employés un milieu de travail sûr et empreint de respect, de protéger les employés contre les abus d'autorité et le harcèlement qui pourraient découler du déséquilibre des pouvoirs entre employés d'un milieu de travail donné et d'appuyer l'efficacité opérationnelle de la GRC. Nous avons tenu compte des inquiétudes exprimées quant à la nature des renseignements à recueillir et avons pris des précautions pour que les rapports soient traités selon les procédures normales de sécurité des documents afin de protéger les rapports PRIMT destinés au dossier de conflits d'intérêts de l'employé.
Le type d'EFVP dont il est question dans les pages qui suivent est de nature ministérielle et ne sert qu'aux processus internes des Ressources humaines de la GRC. Il s'agit d'une EFVP produite au soutien d'une politique, comme le prévoit le paragraphe 1. L'institution du gouvernement du Canada (GC) est la Gendarmerie royale du Canada que dirige le commissaire Robert Paulson et l'officier désigné aux fins de la politique est l'officier responsable de la Sous-direction de l'accès à l'information et de la protection des renseignements personnels à Ottawa. Le commissaire adjoint Craig MacMillan, agent d'intégrité professionnelle, s'est vu confier la responsabilité globale de cette EFVP. Il a été soutenu par le directeur intérimaire des Normes professionnelles et Examens externes à Ottawa, l'inspecteur John A. MacDonald.
La PRIMT est un chapitre de la nouvelle Directive de la GRC sur les conflits d'intérêts qui encadre le traitement des CI et soutient les mesures mises en place pour s'occuper des conflits d'intérêts, des traitements préférentiels, des perceptions de parti pris et des abus de pouvoir en milieu de travail. La PRIMT tire sa légitimité de la Loi sur la GRC et du Règlement afférent, de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles et du Code de valeurs et d'éthique de la fonction publique du Conseil du Trésor, qui à leur tour sont soutenus par des politiques et des procédures régissant la collecte, l'utilisation et la conservation de renseignements. La Loi sur la protection des renseignements personnels et la Loi sur l'accès à l'information ont aussi une incidence sur la gestion de cette politique. Les renseignements personnels recueillis en application de la politique seront gérés conformément à l'actuel Fichier de renseignements personnels (FRP) pour les renseignements visant les employés de la fonction publique (PSE 915) et à une version modifiée de l'actuel FRP pour les renseignements visant les membres réguliers et les membres civils de la GRC (RCMP PPE 815).
La matrice d'analyse du risque de l'EFVP de la Section II révèle une note moyenne de 1,83 (sur une échelle de 1 à 4), ce qu'on pourrait qualifier de « faible à modéré ». Du point de vue statistique, cela signifie que le risque pour la vie privée imputable à la politique, malgré la nature personnelle très délicate des renseignements recueillis, est tolérable. Puisque la procédure de signalement prévue par la politique recourt à des rapports papiers rudimentaires (accès très limité) plutôt qu'à l'aspiration automatisée à grande échelle de données provenant de multiples ministères ou secteurs d'activité, le risque s'en trouve encore réduit. Par conséquent, il n'est pas nécessaire de prendre aucune autre mesure que ce qui est déjà en place à la GRC pour protéger les renseignements de nature délicate.
Néanmoins, puisque c'est le genre de renseignements personnels en cause et leur contexte (catégorie 2) qui soulève le plus d'inquiétude, nous accordons plus de poids à ce facteur dans la pondération. La politique oblige les employés à révéler à l'employeur des renseignements limités sur des relations de nature romantique ou sexuelle en milieu de travail (entre un superviseur ou une personne en autorité et un subalterne). Une consultation étendue a été tenue pour mettre en place les mesures qui conviennent à ce genre de renseignements et pour déterminer dans quelle mesure l'employeur peut les utiliser en vue d'atténuer les risques. Nous avons demandé conseil aux Services juridiques à cet égard et avons tenu compte de leur rétroaction dans le libellé de l'ensemble de la politique. Ces mesures nous ont permis de déterminer qu'aucune loi n'interdisait de recueillir les renseignements de cette nature, pourvu qu'ils soient utilisés aux fins pour lesquelles ils ont été recueillis.
- Date modified: