Annual Report to Parliament 2021-2022 on the Administration of the Privacy Act

On this page

• Introduction
• Organizational structure
  • RCMP
  • Access to Information and Privacy (ATIP) Branch
• Delegation Order
• Performance 2021-2022
  • Compliance
  • Requests received and closed
  • Completion time and extensions
  • Disposition of completed requests
  • Consultations with other institutions
  • Active outstanding requests from previous reporting periods
  • Active outstanding complaints from previous reporting periods
• Training and awareness
• Policies, guidelines, procedures and initiatives
  • ATIP Modernization
• Summary of key issues and actions taken on complaints or audits
  • Complaints and investigations
  • Court action
• Monitoring compliance
• Material privacy breaches
• Privacy Impact Assessments
• Public interest disclosures
• Appendix A - Delegation Order
• Appendix B – Statistical Report on the Privacy Act
• Appendix C - Supplemental Statistical Report on the Privacy Act

Introduction

The Royal Canadian Mounted Police (RCMP) depends on an informed public in order to maintain the trust and confidence of Canadians. In this regard, compliance with both the Access to Information Act (ATIA) and the Privacy Act (PA) is of critical importance. The purpose of the PA is to provide individuals with a right of access to personal information about themselves. The Act provides a right of access to information in accordance with the principles that government information should be available to the public and that necessary exceptions should be limited and specific. The RCMP takes these responsibilities seriously, and is committed to meeting the expectations of Canadians while protecting the integrity of the investigations undertaken on their behalf.

That said, the RCMP's Access to Information and Privacy (ATIP) program—which denotes both the dedicated ATIP personnel in the ATIP Branch in Ottawa as well as supporting personnel in divisions and business lines across the country—has faced numerous challenges over the past decade, which has hampered its ability to meet its obligations under both the ATIA and PA. As outlined in last year's annual report, the RCMP is taking concrete steps to improve its ATIP program and ultimately meet its obligations. Implementation on the RCMP's ambitious modernization effort, led by a comprehensive strategy, Access Granted: Restoring Trust in the RCMP's Access to Information and Privacy Program and supporting action plan is well underway.

This annual report outlines the first year of the implementation of the five-year strategy, and the RCMP is pleased to be able to report some significant improvements. We encourage all Canadians to monitor our progress through our public website.

While the RCMP has made significant strides over the past year, this reporting period was not without its challenges. The ongoing impact of the COVID-19 pandemic, as well as significant operational demands during the reporting period had negative impacts on the RCMP's compliance with the PA. Nevertheless, the RCMP ATIP Branch adapted to these challenges, and continues to examine new and innovative ways of working in order to meet the expectations of Canadians.

The RCMP is pleased to outline in this annual report details of the manner in which it discharged its responsibilities in relation to the Act during the reporting period. The report is prepared and tabled in Parliament in accordance with section 72(1) of the PA.

Organizational structure

Royal Canadian Mounted Police (RCMP)

For nearly 150 years, the RCMP has been Canada's national police service. As a federal, provincial, territorial and municipal policing body, the RCMP is unique in the world. The RCMP provides federal policing services to all Canadians and policing services under contract to the three territories, eight provinces, and more than 180 municipalities, including more than 750 detachments across Canadian communities, 600 Indigenous communities and three international airports.

The RCMP's mandate is multifaceted and includes preventing and investigating crime; maintaining peace and order; enforcing laws; contributing to national security; ensuring the safety of state officials, visiting dignitaries and foreign missions; and, providing vital operational support services to other police and law enforcement agencies within Canada and abroad.

The organization is subdivided into 16 divisions (ten provinces, three territories, National Division, Depot and National Headquarters in Ottawa), each of which is under the direction of a Commanding Officer or Director General. National Headquarters includes nine business lines and is structured as follows: Federal Policing; Contract and Indigenous Policing; Specialized Policing Services; Corporate Management and Comptrollership; Human Resources; Internal Audit and Evaluation; Legal Services; Professional Responsibility Sector; and, Strategic Policy and External Relations.

Access to Information and Privacy (ATIP) Branch

The RCMP established the ATIP Branch in 1983, as the central contact point for matters arising from both the ATIAand PA. The ATIP Branch falls within the RCMP's Strategic Policy and External Relations Directorate.

Traditionally, the Director of the ATIP Branch acts on behalf of the head of the institution as the Departmental ATIP Coordinator for the RCMP. The ATIP Coordinator ensures compliance with both the spirit and the intent of the ATIA and PA, as well as all associated regulations and guidelines. During this reporting period, the new Director General position of ATIP was also created, primarily tasked with leading the Program's broad modernization effort, as well as the new Privacy director to lead the Privacy Policy stream of the ATIP Branch.

Functionally, the ATIP Branch is divided into two areas:

Policy Team

This team monitors and develops internal policies, procedures and guidelines for the collection, retention, disposition, use and disclosure of all personal and non-personal information for RCMP-wide applications. These dedicated professionals provide policy advice and expertise to the RCMP on privacy-related issues, including supporting the drafting and development of Privacy Impact Assessments (PIAs). The team also offers support within the program to the ATIP analysts and the RCMP ATIP Coordinator, provides guidance to RCMP business lines and divisions across Canada with respect to sections 4 to 8 of the PA. In addition, the team reviews and creates internal policies that reflect Treasury Board Secretariat (TBS) policies and directives as well as expectations of the Office of the Privacy Commissioner (OPC) in order to meet its obligations in relation to the Info Source: Sources of Federal Government and Employee Information and PIAs within the RCMP.

Disclosure Team (Operations)

This team processes all formal requests under the ATIA and PA, including: working with requesters to discuss scope and clarity of their submissions; opening requests; and, tasking and receiving/importing records to and from Liaison Officers (LOs) within the RCMP's various business lines and divisions from across the country. The team also reviews records and provides disclosed pages to requesters, process informal access to information requests, review, and respond to complaints received through both the Offices of the Information Commissioner (OIC) and OPC.

It must be mentioned that significant efforts were undertaken during fiscal year 2021-22 to restructure and modernize the reporting structure of the Branch. While these changes were not implemented during the reporting period, they will be firmly in place next year. An overview of these efforts can be found in Section 6 of this report.

When tasking requests, the ATIP Branch works closely with LOs and record holders, known as Office of Primary Interest (OPIs). Some responsibilities of the LOs and OPIs include:

Liaison Officers (LOs)

LOs are responsible for forwarding all ATIP requests to the appropriate personnel (OPIs) within their business lines or divisions. Other responsibilities include: tracking submissions to ensure responsive records are sent by OPIs to the ATIP Branch; ensuring responses are on time; and documenting, and communicating internal RCMP ATIP processes to all who facilitate the processing of requests.

Office of Primary Interest (OPI)

As the record holders, some of the OPIs' responsibilities include: providing electronic copies of the responsive records; reviewing records for duplication; ensuring that the information falls within the scope of the request; notifying the ATIP Branch if records are voluminous; and, advising the Branch or LO if an extension is required.

Delegation Order

The Departmental ATIP Coordinator has full authority to administer the legislation. A copy of the signed Delegation Order is included in Appendix A. Of note, due to the approved reorganization of the Branch (see Section 6), this delegation order is being updated to reflect the new operational structure.

Performance

This section provides an overview of the RCMP's performance with respect to information requested under the PA for the 2021-2022 reporting year. The completed statistical report is found in Appendix B, and the supplemental statistical report is found in Appendix C.

The ATIP Branch also continued to work closely with its partners and stakeholders in finding solutions and reviewing processes to ensure that it responded to Canadians' requests in a satisfactory and timely manner.

Compliance

The ATIP Branch saw an increase in compliance for the number of requests closed within the legislated time frames under the PA. In the 2021-2022 fiscal year, compliance increased to 46.1% from 32.8% in the previous fiscal year. The increase is due, in part, to modifications in processes within the Branch, resulting in efficiencies and the utilization of contractors to complete files in order to address legislative compliance.

Requests received and closed

As noted in the Statistical Report in Appendix B, the RCMP received a total of 4,290 new requests under the PA in 2021-2022. In addition, there were 3,253 requests outstanding from the previous reporting periods for a total of 7,543 requests. Of these, 4,081 requests were completed and 3,462 carried over to the 2022-2023 fiscal year.

Generally, privacy requests cover a variety of topics, including information on police operational files, such as motor vehicle accidents, and employment files.

As demonstrated below, there has been an increase in the number of requests received compared to the previous reporting period. The number of requests received increased by less than 2% compared to the previous fiscal year and increased by 17% compared to the 2019-2020 fiscal year.

The graph also demonstrates that the number of requests closed this reporting period increased by 13% compared to the previous fiscal year, and was 10% lower than the 2019-2020 fiscal year.

Completion time and extensions

The ATIP Branch completed 1,153 (28%) requests in 30 days or less. During the reporting period, 733 (18%) requests were completed within 31-60 days, 326 (8%) were completed in 61-120 days, and 1,869 (46%) were completed in more than 120 days.

Of the requests that were closed, extensions between 16 to 30 days were sought on 3,275 files. This can be attributed, in part, to the number of requests with a large volume of pages, but more specifically to the ongoing challenges faced by the ATIP program that were exasperated by COVID-19.

Disposition of completed requests

Of the 4,081 requests completed in the 2021-2022 fiscal year, the dispositions of completed requests were as follows:

• 2,322 (56.9%) requests were disclosed in part;
• 974 (23.9%) requests were abandoned by requesters;
• 347 (8.5%) requests had no records located;
• 259 (6.3%) requests were fully disclosed;
• 171 (4.2%) requests had all material exempted;
• 8 (0.2%) requests were neither confirmed nor denied; and,
• 0 (0%) requests had all material excluded.

Consultations for other institutions

The number of consultations received and completed over the last three reporting periods has decreased significantly, which could possibly be a result of COVID-19 pandemic restrictions. During the current reporting period, the RCMP completed 86 consultations, totalling 3,077 pages reviewed. Of the 86 completed consultations, 56 were received from other Government of Canada institutions and 30 were received from other organizations.

Active outstanding requests from previous reporting periods

At the conclusion of the 2021-2022 fiscal year, a total of 3,462 requests were outstanding. Of those outstanding, 22% were carried over within legislated timelines, and 78% were carried over beyond legislated timelines. The fiscal years the carried over requests were received in are as follows:

• 2,567 (74.2%) received in 2021-2022;
• 500 (14.5%) received in 2020-2021;
• 219 (6.3%) received in 2019-2020;
• 145 (4.2%) received in 2018-2019;
• 15 (0.4%) received in 2017-2018;
• 8 (0.2%) received in 2016-2017; and,
• 8 (0.2%) received in 2015-2016 or earlier.

Active Outstanding Complaints from Previous Reporting Periods

At the conclusion of the reporting period, a total of 64 complaints were outstanding. The fiscal years the outstanding complaints were received in are as follows:

• 42 (65%) received in 2021-2022;
• 10 (16%) received in 2020-2021;
• 5 (8%) received in 2019-2020;
• 3 (5%) received in 2018-2019;
• 0 (0%) received in 2017-2018;
• 4 (6%) received in 2016-2017; and,
• 0 (0%) received in 2015-2016 or earlier.

Training and awareness

Continuous learning is a priority for the RCMP and the ATIP Branch is no exception. ATIP Branch staff are encouraged to seek out relevant courses and other learning opportunities as a means to enhance their knowledge and to improve their skills. For the 2021-2022 reporting year, the ATIP Branch held regular information sharing sessions where Branch staff discussed files and shared best practices. Informal briefings were also held to advise Branch staff of the implementation of new procedures to respond to the COVID-19 pandemic. As new technological tools were introduced to support remote collaboration during the pandemic, the RCMP was able to leverage these tools (particularly videoconferencing) to provide a number of training sessions to employees. In-house training and orientation was also provided to new ATIP Intake staff and virtual training was provided to ATIP LO's in several divisions and business lines across the country, including the Canadian Criminal Real Time Identification Services, Protective Policing, H Division (Nova Scotia) and J Division (New Brunswick).

During the reporting period, the ATIP Branch, in conjunction with the RCMP's Learning and Development Unit produced the Access to Information and Privacy Fundamentals online course available to all categories of RCMP employees. In addition to increasing their knowledge of the ATIA and the PA, this course also provides employees with a better understanding of their responsibilities when responding to information requests and best practices when managing personal information. While only live for a brief period of time within the reporting period, the course was taken by over 1,800 personnel, representing approximately 6% of the overall workforce.

Policies, guidelines, procedures and initiatives

ATIP Modernization

In November 2020, the Information Commissioner of Canada released the results of a systemic investigation of the RCMP's ATIP program, entitled Access at issue: The need for leadership. The report was highly critical of the RCMP's ATIP program and identified fifteen (15) recommendations for improvement. Subsequently, the Minister of Public Safety issued a Direction to the RCMP to action the recommendations of the OIC's review and submit a strategy outlining a way forward to be developed in consultation with the TBS. In response, the RCMP developed a comprehensive strategy entitled Access Granted: Restoring Trust in the RCMP's Access to Information Program, supported by a concrete action plan, outlining initiatives to modernize the program.

In developing the strategy, the RCMP recognized that it must not only have a robust capacity to respond to Canadians when they request access to information held by the RCMP, but also be able to provide strategic advice and guidance on privacy issues to ensure that program and policy development is done in full consideration of the various privacy impacts that could occur. It is for this reason that privacy is also a main focus of the RCMP's ATIP Modernization strategy. The RCMP is committed to implementing this strategy over the course of the next five years, to increase compliance rates and enhance public transparency. The RCMP has posted the strategy, and is providing quarterly updates, on the RCMP external website, and we encourage all Canadians to visit the site and monitor our progress https://www.rcmp-grc.gc.ca/en/access-information-and-privacy-programs-modernization-strategy.

Over the reporting period of this annual report, the RCMP has made significant progress in implementing the strategy. While more detail can be found on our external website, some key initiatives include:

• Restructure and reorganization of the ATIP Branch: The RCMP's modernization strategy recognizes that the RCMP's ATIP program has not been sufficiently resourced to provide the necessary attention on privacy in the digital age. As such, a critical element was to outline an organizational chart that provides the RCMP with the required capacity to support proactive and thoughtful analysis of privacy issues. As a result, the RCMP identified that a new privacy stream, with personnel dedicated to the review of privacy-related requests, the resolution of privacy complaints and breaches as well as a robust privacy policy capacity, was necessary for the organization's success. As such, the RCMP designed and began to implement a reorganization of the ATIP Branch. The new structure separates the Branch into three streams; Information (responsible for meeting the RCMP's obligations under the ATIA); Privacy Protection (responsible for meeting the RCMP's obligations under the PA); and Operational Support (responsible for providing critical support services for the entire Branch, such as intake, quality assurance, training and operational policy). Each stream is led by a dedicated director, with the Branch now reporting to a Director General. These changes are bringing new personnel into the Branch as well, with the ATIP Branch nearly doubling in size over the next five years. While these changes were authorized during the reporting period, and the RCMP was able to onboard the new Director of the Privacy, meaningful implementation did not commence until the 2022-23 fiscal year. The RCMP looks forward to providing more detail on this effort in our next annual report.
• New ways of working: The RCMP engaged PricewaterhouseCooper (PwC) to assist with its modernization efforts. Specifically, PwC performed a diagnostic review of the ATIP program, which included a Lean management approach to optimize the ATIP process for the program. Following the review, they rolled out the PERFORM training regime, which is designed to support culture and business process changes. Specifically, this training included the introduction to new skills and tools that were applied to day-to-day work. With the conclusion the training in December 2021, surveys issued to personnel indicated increases in employee expectations on effective management of workloads, employee motivation and open communications about wellbeing. To ensure that new business processes continue, sustainability plans were created for the Branch and are monitored monthly and updated quarterly.
• Focus on training: As part of broader modernization efforts, the RCMP ATIP Branch aggressively promoted the new training course to personnel, which directly resulted in the positive enrollment rate. Additional efforts are underway to develop new training and course offerings for ATIP Branch personnel and the broader organization that will be in place for the next reporting period. In fact, expanding training delivery forms a key part of the Branch's human resources strategy for ATIP modernization, succession planning, and employee retention. Further, the RCMP is examining the development of new training modules that focus specifically on privacy, including enhanced guidance on the development of PIAs.
• Sharing best practices: The RCMP is not the only organization modernizing their ATIP programs – change is underway across the Government of Canada. In order to ensure that the RCMP was benefiting from the lessons learned and work underway by its partners, and that partners were aware of work underway at the RCMP, an interdepartmental working group was established to exchange best practices and identify areas for collaboration.

The ATIP Branch continued to review its processes to improve operational effectiveness. During the reporting period of 2021-2022, the ATIP Branch accomplished the following:

• Reviewed employee work arrangements due to the COVID-19 pandemic restrictions and established new telework agreements as well as a reintegration protocol to allow more flexibility for its employees;
• Updated the Disclosure and Intake teams' standard operating procedures, which was part of the ATIP Branch's efforts to formalize its internal processes;
• Enhanced internal processes for facilitating the transfer of files within the RCMP, including the creation of national shared drives for classified information;
• Modified guidelines to address its on-time and backlog files, enabling processing efficiencies;
• Worked with business lines and divisional LOs to develop guidelines, standards and awareness communiques to further facilitate RCMP ATIP modernization; and,
• Continued to lead the interdepartmental working group for the development of business continuity plans specifically for ATIP programs, which led to greater information sharing among the participating departments.

Additionally, the ATIP Policy Unit completed the following:

• Completed a gaps analysis of the various operational and organizational policies related to ATIP, and developed a work plan to update them over the next five years;
• Updated Standard Operating procedures in the unit relating to Privacy Act 8(2) disclosures;
• Participated in quarterly meetings with the OPC's Government Advisory Directorate resulting in better communication concerning ongoing initiatives and consultations;
• Published new guidance on privacy breaches and privacy impact assessments to the Infoweb to raise awareness and enhance the RCMP's reporting of privacy breaches, supported by direct training on breaches to several departmental business lines;
• Participated in the established National Technologies Onboarding Program weekly core meetings to establish processes and address the RCMP's commitments related to the OPC's recommendations on the Clearview AI investigation;
• Participated in the Race-Based Data Collection Working Group;
• Actively engaged in the effort to procure and deploy Body Worn Cameras within the RCMP to ensure that privacy considerations were incorporated at the outset; and,
• Re-established the Exempt Bank Working Group.

The RCMP did not seek nor receive authority for any new collection or new consistent use of Social Insurance Numbers during the reporting period.

Summary of key issues and actions taken on complaints or audits

Complaints and investigations

During this reporting period, the RCMP continued to work collaboratively with the OPC to address complaints as efficiently as possible.

As part of this modernization strategy, a team of analysts dedicated to complaints was formed. Comprised of six employees, including consultants, the ATIP Branch's complaints team continued to enable the RCMP to respond more efficiently to complaints received through the OPC. This new unit not only ensured robust responses to complaints, but also worked proactively to identify and address issues before complaints were made.

Section 8 of the Statistical Report, found in Appendix B, provides data on the complaints received and closed. Specifically, for the 2021-2022 reporting period, the RCMP received and provided the following under the PA:

Section 31

The RCMP received 172 Section 31 notices, which represents 4.6% of all requests closed during the reporting period. The majority of the complaints received related to delays and deemed refusals, which can be attributed to the ongoing RCMP backlog and to the complex and/or voluminous nature of requests. Under this section, the OPC formally notifies the institution of their intent to investigate a complaint received.

Section 33

The RCMP received 11 Section 33 notices. Under this section, the OPC requests representations from both the complainant and the institution pursuant to an ongoing complaint investigation.

Section 35

The RCMP received 90 Section 35 notices. Under this section, the OPC issues a finding's report, which may include recommendations, for founded complaints upon the conclusion of the investigation.

Court action

Four court proceedings were actioned with respect to privacy requests processed within this current fiscal year, and three were discontinued during the reporting period.

Monitoring compliance

The ATIP Branch monitors compliance through weekly and monthly statistical reports, which include compliance rates, the number of files completed on time and those that are delayed, as well as complaints. Performance Dashboards to further identify trends and assist the ATIP Branch in strategically developing efficiencies were also created. The Branch's Management team reviews the weekly and monthly reports to manage workload and to determine any upcoming issues where processes could be improved. The reports are provided to the RCMP's Chief Strategic Policy and External Relations Officer (CSPERO), the Chief Administrative Officer (CAO) and the Commissioner in an effort to improve accountability.

The ATIP Branch is currently working to bolster its data reporting function by onboarding new technology and processes. This new technology will enable the ATIP Branch to be more strategic and transparent, by automatically capturing pertinent data to assist the ATIP Branch with its planning and public reporting as well as to identify areas where efficiencies may be found.

Material privacy breaches

As Canada's national police force, the RCMP is trusted to handle and protect the personal information of Canadians with professionalism and integrity. The RCMP places the utmost importance on this responsibility. To safeguard the personal information in its care, the RCMP has strict policies and procedures in place to prevent unauthorized access and disclosure across the organization. However, even with these rigorous procedures in place, privacy breaches still occur, often as a result of human error or failure to comply with RCMP policy. With every privacy breach, the RCMP takes steps to improve its processes to ensure that similar incidents do not occur again.

When a privacy breach is detected, the RCMP ATIP Branch follows the TBS guidelines to determine the privacy risks and reports all breaches, deemed material as per TBS guidelines, to the OPC and TBS.

During fiscal year 2021-2022, the RCMP reported a total of 13 material privacy breaches to the OPC and TBS. The following is a brief description of those breaches:

1. A third party company contracted by the RCMP's Canadian Firearms Program (CFP) for printing and mailing services was subject to a ransomware attack. This breach was discovered by the company's cyber security experts and was reported to the Canadian Centre for Cyber Security who determined that there was 60% chance that the data was not extracted. Affected individuals were notified of the incident via published notices on both the TBS website and the CFP website.
2. A retired RCMP member requested a copy of their medical file and discovered the file contained psychological reports and eye exam reports of two other employees. The employee returned the misfiled records to the RCMP. An RCMP employee then properly filed the documents, but failed to note the names of those impacted by the breach. As a result, the RCMP was unable to notify the affected parties. The unit is organizing privacy training for their employees and is exploring alternatives to paper records to avoid this type of incident from recurring.
3. A partially completed RCMP Security Form containing sensitive personal information related to twenty individuals was inadvertently copied to another individual. The unintended recipient deleted the message and the affected individuals, whose addresses were known, were notified. To prevent a recurrence, the employee involved completed supplementary security awareness training and the unit began using a new system that requires applicants to enter their information directly into an online portal instead of submitting and transmitting paper or scanned documents between applicants and unit personnel.
4. A certified criminal records check was mailed to the wrong recipient. The report was returned to the RCMP and the affected individual was notified. Employees of the unit were reminded to take extra care when processing these types of correspondence given their high level of sensitivity.
5. In an email sent to the family members of victims of the PS752 aviation disaster, an employee inadvertently copied, rather than blind copied, the distribution list. As such, the personal email addresses of the individuals were visible to all recipients. Recipients were asked to delete the original email and all affected parties were notified of the incident.
6. During a security screening course administered by the Canadian Police College (CPC), a video of recorded pre-employment polygraph was shown to participants to demonstrate the use of specific interviewing techniques. During the course, a participant recognized the individual in the video as an employee from their same agency. It was determined that CPC had not obtained the individual's consent to use their personal information for this purpose. When the breach was identified, course participants were asked to maintain confidentiality and not further discuss or disseminate the information shown, the video was removed from the course content and the affected individual was notified.
7. A supervisor sent an email to their manager seeking guidance concerning an employee's leave requirements but mistakenly included the employee's specific medical information/situation. Employees of the unit were reminded of their obligation to protect personal information and to not include specific references to employees and their medical information when seeking general guidance. The manager deleted the email and the affected individual was notified.
8. An RCMP Forensic Laboratory Service employee's work briefcase was stolen from their vehicle while at their personal residence. This briefcase contained hard copy files relating to five different investigations of serious offences. All five files contained personal information about identifiable individuals. The employee had authorization to take the files home as part of a remote work arrangement, however inadvertently left them in their vehicle overnight. Employees of the unit were reminded of the protocols in place to protect sensitive information and all affected individuals were notified.
9. A certified criminal records check was mailed to the wrong recipient. The recipient returned the record to the RCMP and the affected individual was notified. Employees of the unit were required to review the documented procedures and verify that the product and the envelope match prior to mail out.
10. A human resources employee sent a manager a screenshot of an employee's leave balance; however, the image inadvertently included another employee's medical note and sensitive correspondence. The recipient deleted the message and the affected individual was notified. The employee was instructed of the proper way to insert/share screenshots and reminded of their obligation to protect personal information.
11. Personal information related to an individual was inadvertently released to their landlord in an access to information release package. The recipient deleted the information and the affected individual was notified. The ATIP employee was reminded of their obligation to protect personal information.
12. Three criminal records checks were inadvertently mailed to the wrong recipients. The recipients returned to records to the RCMP and the affected individuals were notified. The unit conducted an investigation of their workflows to determine how these errors occurred and ways to mitigate similar breaches from occurring. As a result of this review, the unit has mandated hourly breaks for all employees and hired additional staff to ensure employees remain focused, take their time and have less volume to process overall. The unit is also exploring electronic means of transmitting records checks to clients which would eliminate the need to physically mail out correspondence.
13. An RCMP employee used the Police Records Information Management Environment (PRIME-BC) database to provide an individual's phone number and city to a relative. It was later discovered that individual is estranged from the relative and believes the relative may harm the individual. While the RCMP was unable to recover the information from the relative, they took operational steps to safeguard the individual. The employee who committed this breach was provided operational guidance and the incident was noted on their performance file.

Privacy Impact Assessments

During the reporting period, the RCMP completed one PIA for the Disability Case Management Solution as well as one PIA addendum to the existing Automated Licence Plate Recognition Program PIA. The PIA and the addendum were submitted to the OPC and TBS during the 2021‐2022 fiscal year.

Disability Case Management (DCM) Solution - Privacy Impact Assessment

The RCMP has procured a web-based DCM software solution specifically designed to support early intervention, proactive disability case management, return-to-work and workplace accommodation best practices and workflows. The implementation of this information technology solution will:

1. capture and protect members personal, injury/illness and medical information, as well as details regarding return-to-work plans and the duty to accommodate;
2. support effective coordination of case management activities among internal stakeholders to ensure the necessary supports for ill or injured members and facilitate successful and safe return to work;
3. minimize the administrative burden for approximately 100 disability management, occupational health and accommodation practitioners across the Force through built-in service standards, auto-generation of pre-defined disability case management tasks and working tools;
4. provide members with easy access to information pertinent to their case and facilitate the communication and submission of documents;
5. provide management with status information on employees that fall within their hierarchy; and,
6. provide management with on-demand reporting capability.

The DCM Solution allows for all information related to a disability management and accommodation case to be housed in one system, accessible as appropriate to the stakeholders involved. It will ensure both medical and non-medical documentation is complete and that RCMP management has real-time reporting on key metrics and trends in disability management. The DCM Solution will promote consistency in disability management across divisions; identify trends in workplace and health issues and gaps; enhance process efficiencies; and, will inform changes to the Occupational Health Management and Accommodation Program policies and strategies. In addition, it will allow management to monitor and evaluate disability management and accommodation efforts through management dashboards and the generation of pre-defined and custom reports.

Although a web-based DCM Solution may introduce certain challenges for the RCMP in the protection and handling of personal information, privacy remains central to the administration and service delivery of these Human Resource Programs.

The DCM Solution may present a moderate to high risk to the privacy of individuals. Although the inherent privacy impacts associated with the administration of the DCM Solution are likely more moderate than stated, the privacy risks attached to the collection and use of health information increases the program's overall risk rating.

In recognition of the inherent privacy risks associated with the performance and administration of the DCM Solution, the RCMP and/or its contractor are expected to implement important controls to manage and mitigate potential privacy issues.

Addendum to the Automated Licence Plate Recognition (ALPR) Program – British Columbia RCMP Border Integrity

The British Columbia RCMP Border Integrity Program will use utility pole mounted static ALPR cameras with a very narrow field of view (licence plates only). These cameras will be deployed at key points along the US/Canada International border to assist in the fight against illegal migration and cross border criminality. This initiative is separate and distinct from the BC ALPR Program currently in use by the BC Highway Patrol. Unlike BC Highway Patrol, the Border Integrity unit will not be running licence plates against Canadian Police Information Centre (CPIC) or the Insurance Corporation of British Columbia (ICBC) data sets instantaneously for hits.

The purpose of collecting the licence plate information is strictly for investigational purposes (i.e., cross border smuggling and criminality). As such, investigators would not know if the information captured had any evidentiary relevance unless a plate surfaced during the course of the investigation. This information would not likely be known immediately, so within seven (7) days investigators could then go back and review the data for that period. If no relevant information is captured, all data collected for that time frame would be automatically purged. Any relevant hit information would be retained for investigational purposes as per established retention periods.

A thorough review of the original PIA was conducted by the ATIP Branch. Recommendations were provided to the Program Manager to ensure that privacy risks were assessed and measures proposed to mitigate them.

In addition, during the fiscal year the RCMP ATIP Branch received 11 new PIAs, 48 new PIA questionnaires to determine the need for a PIA and responded to over 30 PIA‐related queries.

Public interest disclosures

During the 2021-2022 fiscal year, 51 disclosures were made pursuant to paragraph 8(2)(m) of the PA, which allows for disclosure when either the public interest in disclosure clearly outweighs any invasion of privacy that could result from the disclosure, or the disclosure would clearly benefit the individual to whom the information relates. The disclosures related to either the duty status of charged RCMP employees or the release of dangerous offenders into communities across Canada. In accordance with subsection 8(5) of the PA, the OPC was notified of all such disclosures in writing.

Appendix A - Delegation Order

Access to Information Act and Privacy Act Delegation Order

The Minister of Public Safety and Emergency Preparedness, pursuant to section 73 of the Access to Information Act and of the Privacy Act, hereby designates the persons holding the position set out in the schedule hereto, or the persons occupying on an acting basis those positions, to exercise the powers and functions of the Minister as the head of a government institution, that is, the Royal Canadian Mounted Police, under the section of the Act set out in the Schedule opposite each position. This designation replaces and nullifies all such designations previously signed and dated by the Minister.

Signed, at the City of Ottawa, this 4 day of December, 2015

The Honourable Ralph Goodale, P.C., M.P.
Minister of Public Safety and Emergency Preparedness

Appendix B – Statistical Report on the Privacy Act

Name of institution

Royal Canadian Mounted Police

Reporting period

April 1, 2021 to March 31, 2022

Section 1: Requests under the Privacy Act

Section 2: Informal requests

Section 3: Requests Closed During the Reporting Period

3.5 Complexity

3.6. Closed requests

3.7 Deemed refusals

Section 4: Disclosures Under Subsections 8(2) and 8(5)

Section 5: Requests for Correction of Personal Information and Notations

Section 6: Extensions

Section 7: Consultations Received From Other Institutions and Organizations

Section 8: Completion time of consultations on Cabinet Confidences

Section 9: Complaints and investigations notices received

Section 10: Privacy Impact Assessments (PIA) and Personal Information Banks (PIB)

Section 11: Material privacy breaches

Section 12: Resources related to the Privacy Act

Note: Enter values to three decimal places.

Appendix C - Supplemental Statistical Report on the Privacy Act

Section 1: Capacity to Receive Requests

Section 2: Capacity to Process Records

Section 4: Open Requests and Complaints Under the Privacy Act

Section 5: Social Insurance Number (SIN)

Did your institution receive authority for a new collection or new consistent use of the SIN in 2021-2022?

No

Rapport annuel au parlement 2021-2022 de la GRC sur l'administration de la Loi sur la protection des renseignements personnels

Sur cette page

• Introduction
• Structure organisationnelle
  • Gendarmerie Royale du Canada (GRC)
  • Sous-direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP)
• Ordonnance de délégation de pouvoirs
• Rendement
  • Conformité
  • Demandes reçues et fermées
  • Délai de traitement et prorogation
  • Issue des demandes réglées
  • Consultations reçues d'autres institutions
  • Demandes actives en suspens des périodes de référence antérieures
  • Plaintes actives en suspens des périodes de référence antérieures
• Formation et sensibilisation
• Politiques, lignes directrices, procédures et initiatives
  • Modernisation de l'AIPRP
• Résumé des principaux enjeux soulevés et mesures prises à la suite de plaintes ou d'audits
  • Plaintes et enquêtes
  • Poursuites en justice
• Surveillance de la conformité
• Atteintes substantielles à la vie privée
• Évaluations des facteurs relatifs à la vie privée
• Communication de renseignements pour des raisons d'intérêt public
• Annexe A – Ordonnance de délégation de pouvoirs
• Annexe B – Rapport statistique sur la Loi sur la protection des renseignements personnels
• Annexe C – Rapport statistique supplémentaire sur la Loi sur la protection des renseignements personnels

Introduction

La Gendarmerie royale du Canada (GRC) s'engage à faire preuve d'ouverture, de transparence et de responsabilité envers les services qu'elle fournit tout en protégeant les renseignements personnels qu'elle recueille. En ce sens, nous prenons au sérieux les responsabilités qui nous incombent en vertu de la Loi sur l'accès à l'information (LAI) et de la Loi sur la protection des renseignements personnels (LPRP), et nous continuerons de nous efforcer de répondre aux attentes des Canadiens, tout en protégeant le public et en veillant à l'intégrité des enquêtes que nous menons en son nom. La LPRP donne aux particuliers le droit d'accéder aux renseignements les concernant détenus par le gouvernement, sous réserve d'exceptions précises et limitées. Elle protège aussi les renseignements personnels des particuliers en empêchant d'autres personnes d'y avoir accès et leur donne un contrôle important sur la collecte, la conservation, l'utilisation et la communication de ces renseignements. Pour une organisation qui, de par son mandat principal, recueille et protège quotidiennement des renseignements personnels, le respect de la LPRP est de la plus haute importance pour la GRC.

Comme l'indiquait le rapport annuel de l'an dernier, la Sous-direction de l'AIPRP de la GRC a dû relever de nombreux défis au cours des dix dernières années. La GRC reconnaît et accepte qu'elle doit améliorer son programme d'AIPRP afin de respecter ses obligations. C'est pourquoi la GRC s'est engagée dans un ambitieux effort de modernisation, dirigé par une stratégie générale intitulée Accès accordé : Rétablir la confiance dans le Programme d'accès à l'information et de protection des renseignements personnels de la GRC et d'un plan d'action connexe.

Le présent rapport annuel décrit la première année de la mise en œuvre d'une stratégie quinquennale, et la GRC est heureuse de pouvoir faire état de certaines améliorations importantes par rapport au rapport annuel de l'an dernier. Nous encourageons tous les Canadiens à se tenir informés de l'effort de modernisation en cours et à suivre nos progrès sur notre site Web public à https://www.rcmp-grc.gc.ca/fr/strategie-modernisation-du-programme-dacces-a-linformation-et-protection-des-renseignements.

Bien que la GRC ait fait d'importants progrès au cours de l'année écoulée, la présente période de référence n'a pas été exempte de difficultés. L'incidence continue de la pandémie de COVID‑19 ainsi que les demandes opérationnelles importantes imposées à l'organisation au cours de la période de référence ont continué d'avoir des répercussions négatives sur la conformité de la GRC à la Loi. Néanmoins, la Sous-direction de l'AIPRP de la GRC a continué de s'adapter à ces défis et d'examiner des façons nouvelles et novatrices de travailler afin de répondre aux attentes des Canadiens.

La GRC est heureuse de présenter dans ce rapport annuel les détails de la manière dont elle s'est acquittée de ses responsabilités à l'égard de la LAI au cours de la période de référence. Le présent rapport est établi et déposé au Parlement conformément au paragraphe 72(1) de la Loi sur la protection des renseignements personnels.

Structure organisationnelle

Gendarmerie Royale du Canada (GRC)

Depuis près de 150 ans, la GRC est le service de police national du Canada. En tant que corps policier fédéral, provincial, territorial et municipal, la GRC est unique au monde. Elle fournit des services de police fédérale à tous les Canadiens et des services de police contractuels aux trois territoires, à huit provinces et à plus de 180 municipalités, notamment plus de 750 détachements dans les collectivités canadiennes, 600 dans les collectivités autochtones et trois dans des aéroports internationaux.

Le mandat de la GRC comporte plusieurs volets, notamment prévenir la criminalité et mener des enquêtes, maintenir la paix et l'ordre, faire respecter les lois, contribuer à la sécurité nationale, veiller à la sécurité des représentants de l'État, des dignitaires en visite et des membres de missions étrangères, de même que fournir des services essentiels de soutien opérationnel à d'autres organismes de police et d'application de la loi au Canada et à l'étranger.

L'organisation compte seize divisions (dix provinces, trois territoires, la Division nationale, la Division Dépôt et la Direction générale à Ottawa), qui ont toutes à leur tête un commandant divisionnaire ou un directeur général. La Direction générale est organisée selon les neuf secteurs d'activité suivants : Services de police fédérale, Services de police contractuels et autochtones, Services de police spécialisés, Gestion générale et contrôle, Ressources humaines, Vérification interne et évaluation, Services juridiques, Secteur de la responsabilité professionnelle ainsi que Politiques stratégiques et relations extérieures.

Sous-direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP)

La GRC a créé la Sous-direction de l'AIPRP en 1983, comme point de contact central pour les questions découlant de la LAI et de la LPRP. La Sous-direction de l'AIPRP relève de la Direction des politiques stratégiques et des relations extérieures de la GRC.

D'ordinaire, le directeur de la Sous-direction de l'AIPRP agit au nom du chef de l'institution en tant que coordonnateur ministériel de l'accès à l'information et de la protection des renseignements personnels pour la GRC. Il veille à ce que la GRC se conforme à l'esprit et à l'intention de la LAI et de la LPRP ainsi qu'à l'ensemble des règlements et des lignes directrices qui en découlent. Toutefois, au cours de la présente période de référence, nous avons aussi créé le nouveau poste de directeur général de l'AIPRP, dont la tâche principale consiste à diriger le vaste effort de modernisation.

Sur le plan fonctionnel, la Sous-direction de l'AIPRP se divise en deux équipes.

Équipe des politiques

Cette équipe surveille et conçoit les politiques, les procédures et les lignes directrices internes relativement à la collecte, à la conservation, à l'élimination, à l'utilisation et à la communication des renseignements personnels et non personnels traités par les applications de la GRC. Les professionnels dévoués formulent des conseils stratégiques à la GRC et apportent une expertise sur les questions liées à la protection des renseignements personnels, notamment en appuyant la rédaction et la conception d'évaluations des facteurs relatifs à la vie privée (EFVP). L'équipe apporte également un soutien aux analystes de l'AIPRP et au coordonnateur de l'AIPRP de la GRC, prodigue des conseils aux secteurs d'activité et aux divisions de la GRC partout au Canada en ce qui concerne les articles 4 à 8 de la LPRP.De plus, l'équipe examine et crée des politiques internes qui tiennent compte des politiques et des directives du Secrétariat du Conseil du Trésor (SCT) ainsi que des attentes du Commissariat à la protection de la vie privée (CPVP) afin de respecter ses obligations relatives à InfoSource : Sources de renseignements du gouvernement fédéral et sur les fonctionnaires fédéraux et aux EFVP au sein de la GRC.

Équipe chargée de la divulgation (Opérations)

Cette équipe traite les demandes officielles en vertu de la LAI et de la LPRP. À cette fin, elle doit travailler avec les demandeurs pour discuter de la portée et préciser leurs demandes, ouvrir des demandes, attribuer des tâches ainsi que recevoir et importer des dossiers à destination et en provenance des agents de liaison des différents secteurs d'activité et des différentes divisions de la GRC dans tout le pays. L'équipe examine également les dossiers et fournit les pages communiquées aux demandeurs, traite les demandes informelles d'accès à l'information, examine les plaintes reçues par le biais du Commissariat à l'information et du CPVP et y répond.

Il convient de mentionner que des efforts importants ont été entrepris au cours de l'exercice 2021-2022 pour restructurer et moderniser la structure hiérarchique de la Sous-direction. Bien que ces changements n'aient pas été mis en œuvre au cours de la période de référence, ils seront fermement en place l'année prochaine. La section 6 du présent rapport donne un aperçu de ces efforts.

Lors de l'attribution des demandes, la Sous-direction travaille en étroite collaboration avec les agents de liaison et les détenteurs de dossiers, appelés bureaux de première responsabilité. Les responsabilités assumées par les agents de liaison et les bureaux de première responsabilité sont les suivantes, entre autres :

Agents de liaison

Ils sont chargés de transmettre les demandes d'AIPRP au personnel approprié (bureau de première responsabilité) de leur secteur d'activité ou de leur division. Les autres responsabilités comprennent notamment faire le suivi des demandes pour s'assurer que les bureaux de première responsabilité envoient des documents conformes à la Sous-direction de l'AIPRP, veiller à ce que les documents soient envoyés à temps ainsi que consigner les processus internes de la GRC en matière d'AIPRP et les diffuser aux personnes qui participent au traitement des demandes.

Bureaux de première responsabilité

Ils sont les détenteurs des dossiers et doivent, entre autres responsabilités, fournir des copies électroniques des documents visés par les demandes, examiner les documents pour vérifier s'il y a duplication, s'assurer que l'information entre dans le cadre de la demande, aviser la Sous-direction de l'AIPRP si les documents sont volumineux et aviser la Sous-direction ou l'agent de liaison si une prorogation est nécessaire.

Ordonnance de délégation de pouvoirs

Le coordonnateur ministériel de l'accès à l'information et de la protection des renseignements personnels a pleine autorité pour appliquer la législation. Une copie de l'ordonnance de délégation signée figure à l'annexe A. Il convient de noter qu'en raison de la réorganisation approuvée de la Sous-direction (voir la section 6), cette ordonnance de délégation est mise à jour pour refléter la nouvelle structure opérationnelle.

Rendement

La présente section donne un aperçu du rendement de la GRC en ce qui concerne les renseignements demandés au titre de la LPRP pour l'exercice de référence 2021-2022. Le rapport statistique complet se trouve à 'annexe B, et le rapport statistique supplémentaire se trouve à l'annexe C.

Conformité

La Sous-direction de l'AIPRP a observé une hausse de la conformité quant au nombre de demandes fermées dans les délais prescrits par la LPRP. Au cours de l'exercice 2021-2022, la conformité est passée à 46,1 %, contre 32,8 % au cours de l'exercice 2020-2021. Cette augmentation repose en partie sur les modifications apportées aux processus au sein de la Sous-direction, qui ont permis de réaliser des gains d'efficacité. La Sous-direction de l'AIPRP a également fait appel à des experts-conseils pour traiter des dossiers afin d'observer la loi.

Demandes reçues et fermées

Comme l'indique le rapport statistique de l'annexe B, la GRC a reçu 4 290 nouvelles demandes en vertu de la LPRP en 2021-2022. De plus, il y avait 3 253 demandes en suspens depuis la période de référence précédente, pour un total de 7 543 demandes. De ce nombre, 4 081 demandes ont été réglées et 3 462 ont été reportées à l'exercice 2022-2023.

En règle générale, les demandes relatives à la protection des renseignements personnels couvrent un éventail de sujets, notamment des renseignements sur des dossiers opérationnels de la police, comme les accidents de la route et les dossiers d'emploi.

Comme il est montré ci-dessous, il y a eu une augmentation du nombre de demandes reçues par rapport à la période de référence précédente. Le nombre de demandes reçues a augmenté de moins de 2 % par rapport à l'exercice précédent et a augmenté de 17 % par rapport à l'exercice 2019-2020.

Le graphique montre également que le nombre de demandes fermées au cours de la présente période de référence a augmenté de 13 % par rapport à l'exercice précédent, et a été inférieur de 10 % à l'exercice 2019-2020.

Délai de traitement et prorogation

La Sous-direction de l'AIPRP a réglé 1 153 (28 %) de ses demandes en 30 jours ou moins. Au cours de la période de référence, 733 (18 %) des demandes ont été réglées dans un délai de 31 à 60 jours, 326 (8 %) dans un délai de 61 à 120 jours et 1 869 (46 %) dans un délai supérieur à 120 jours.

Parmi les demandes qui ont été fermées, des prorogations de 16 à 30 jours ont été demandées pour 3 275 dossiers. On peut l'expliquer, en partie, par le nombre de demandes comportant un grand nombre de pages, mais plus particulièrement par les défis continus auxquels le programme d'AIPRP est confronté et qu'a exaspérés la COVID-19.

Issue des demandes réglées

Les 4 081 demandes réglées au cours de l'exercice 2021-2022 se ventilent comme suit :

• 2 322 (56,9 %) demandes ont été communiquées en partie;
• 974 (23,9 %) demandes ont été abandonnées par les demandeurs;
• 347 (8,5 %) demandes n'ont pas permis de trouver de documents;
• 259 (6,3 %) demandes ont été entièrement communiquées;
• 171 (4,2 %) demandes visaient des documents faisant l'objet d'exceptions;
• 8 (0,2 %) demandes n'ont été ni confirmées ni infirmées;
• aucune (0 %) demande n'a fait l'objet d'une exclusion totale.

Consultations reçues d'autres institutions

Le nombre de consultations reçues et réglées au cours des trois dernières périodes de référence a considérablement diminué, ce qui pourrait être le résultat des restrictions liées à la pandémie de COVID-19. Au cours de la période actuelle, la GRC a mené à bien 86 consultations, pour un total de 3 077 pages traitées. Sur les 86 consultations effectuées, 56 ont été reçues d'autres institutions fédérales, et 30 provenaient d'autres organismes.

Demandes actives en suspens des périodes de référence antérieures

À la fin de l'exercice 2021-2022, 3 462 demandes étaient en suspens. Parmi ces demandes, 22 % ont été reportées dans les délais prévus par la loi et 78 % ont été reportées au-delà des délais prévus par la loi. Les demandes reportées ont été reçues au cours des exercices suivants :

• 2 567 (74,2 %) reçues en 2021-2022;
• 500 (14,5 %) reçues en 2020-2021;
• 219 (6,3 %) reçues en 2019-2020;
• 145 (4,2 %) reçues en 2018-2019;
• 15 (0,4 %) reçues en 2017-2018;
• 8 (0,2 %) reçues en 2016-2017; et
• 8 (0,2 %) reçues en 2015-2016 ou avant.

Plaintes actives en suspens des périodes de référence antérieures

À la fin de la période de référence, 64 plaintes étaient en suspens. Les plaintes en suspens ont été reçues au cours des exercices suivants :

• 42 (65 %) reçues en 2021-2022;
• 10 (16 %) reçues en 2020-2021;
• 5 (8 %) reçues en 2019-2020;
• 3 (5 %) reçues en 2018-2019;
• 0 (0 %) reçue en 2017-2018;
• 4 (6 %) reçues en 2016-2017; et
• 0 (0 %) reçue en 2015-2016 ou avant.

Formation et sensibilisation

L'apprentissage continu est une priorité pour la GRC, et la Sous-direction de l'AIPRP ne fait pas exception. La Sous-direction de l'AIPRP encourage ses employés à suivre des cours pertinents et à profiter d'autres possibilités d'apprentissage afin d'accroître leurs connaissances et de perfectionner leurs compétences. Pour l'exercice de référence 2021-2022, la Sous-direction de l'AIPRP a tenu des séances régulières d'échange d'information au cours desquelles les employés ont discuté de dossiers et mis en commun des pratiques exemplaires. Des séances d'information informelles ont également eu lieu pour informer le personnel de la Sous-direction de la mise en œuvre de nouvelles procédures pour répondre à la pandémie de COVID-19. Comme de nouveaux outils technologiques ont été introduits pour soutenir la collaboration à distance pendant la pandémie, la GRC a pu tirer parti de ces outils (en particulier la vidéoconférence) pour offrir des séances de formation aux employés. Une formation et une orientation à l'interne ont également été offertes aux nouveaux employés de l'AIPRP et une formation virtuelle a été offerte aux agents de liaison de l'AIPRP dans plusieurs divisions et secteurs d'activité au pays, notamment les Services canadiens d'identification criminelle en temps réel, la Police de protection, la Division H (Nouvelle-Écosse) et la Division J (Nouveau-Brunswick).

Au cours de la période de référence, la Sous-direction de l'AIPRP, en collaboration avec le Groupe de l'apprentissage et du perfectionnement de la GRC, a produit le cours en ligne Cours de base sur l'accès à l'information et la protection des renseignements personnels offert à toutes les catégories d'employés de la GRC. En plus d'accroître leurs connaissances de la LAI et de la LPRP, ce cours permet aux employés de mieux comprendre leurs responsabilités lorsqu'ils répondent à des demandes de renseignements et les pratiques exemplaires en matière de gestion des renseignements personnels. Bien qu'il n'ait été offert que pendant une courte période au cours de la période de référence, le cours a été suivi par plus de 1 800 employés, ce qui représente environ 6 % de l'effectif.

Politiques, lignes directrices, procédures et initiatives

Modernisation de l'AIPRP

En novembre 2020, le commissaire à l'information du Canada a publié les résultats d'une enquête systémique sur le programme d'AIPRP de la GRC, intitulée Question d'accès : Le besoin de leadership. Le rapport était très critique à l'égard du programme d'AIPRP de la GRC et contenait quinze (15) recommandations d'amélioration. Par la suite, le ministre de la Sécurité publique a ordonné à la GRC de donner suite aux recommandations du Commissariat à l'information, de présenter une stratégie décrivant la voie à suivre et de la concevoir en consultation avec le Secrétariat du Conseil du Trésor (SCT). En réponse, la GRC a conçu une stratégie générale intitulée Accès accordé : Rétablir la confiance dans le Programme d'accès à l'information et de protection des renseignements personnels de la GRC, accompagnée d'un plan d'action concret, décrivant les initiatives visant à moderniser le programme.

Lors de la conception de la stratégie, la GRC a reconnu qu'elle devait non seulement disposer d'une solide capacité de répondre aux Canadiens qui demandent un accès à des renseignements qu'elle détient, mais aussi être en mesure de prodiguer des conseils et de fournir une orientation stratégique sur les questions de protection des renseignements personnels afin de s'assurer que la conception des programmes et des politiques se fait en tenant pleinement compte des diverses répercussions possibles sur la vie privée. C'est pour cette raison que la protection des renseignements personnels est également un point central de la stratégie de modernisation de l'AIPRP de la GRC. La GRC s'est engagée à mettre en œuvre cette stratégie au cours des cinq prochaines années afin d'augmenter les taux de conformité et d'améliorer la transparence publique. La GRC a publié la stratégie, et fournit des mises à jour trimestrielles, sur son site Web externe. Nous encourageons tous les Canadiens à visiter le site https://www.rcmp-grc.gc.ca/fr/strategie-modernisation-du-programme-dacces-a-linformation-et-protection-des-renseignements et à suivre nos progrès.

Au cours de la période de référence du présent rapport annuel, la GRC a fait des progrès importants dans la mise en œuvre de la stratégie. Bien que l'on puisse trouver de plus amples renseignements sur notre site Web externe, les principales initiatives sont notamment les suivantes :

• Restructuration et réorganisation de la Sous-direction de l'AIPRP : La stratégie de modernisation de la GRC reconnaît que le programme d'AIPRP de la GRC n'a pas été doté des ressources suffisantes pour accorder l'attention nécessaire à la protection des renseignements personnels à l'ère numérique. À ce titre, un élément essentiel consistait à créer un organigramme qui donne à la GRC la capacité nécessaire pour soutenir une analyse proactive et réfléchie des questions de protection des renseignements personnels. En conséquence, la GRC a déterminé qu'un nouveau volet de protection des renseignements personnels doté en personnel affecté à l'examen des demandes liées à la protection des renseignements personnels ainsi qu'à la résolution des plaintes et des atteintes à la vie privée, assorti d'une solide capacité en matière de politique de protection des renseignements personnels, était nécessaire au succès de l'organisation. C'est pourquoi la GRC a conçu et commencé à mettre en œuvre une réorganisation de la Sous-direction de l'AIPRP. La nouvelle structure divise la Sous-direction en trois volets : Information (responsable du respect des obligations de la GRC prévues par la LAI), Protection des renseignements personnels (responsable du respect des obligations de la GRC prévues par la LPRP) et Soutien opérationnel (responsable de la prestation de services de soutien essentiels à l'ensemble de la Sous-direction, comme l'accueil, l'assurance de la qualité, la formation et la politique opérationnelle). Chaque volet est dirigé par un directeur spécialisé, et la Sous-direction relève désormais d'un directeur général. Ces changements entraînent également l'arrivée de nouveaux employés au sein de la Sous-direction, dont la taille va presque doubler au cours des cinq prochaines années. Bien que ces changements aient été autorisés au cours de la période de référence et que la GRC ait pu accueillir le nouveau directeur de la protection des renseignements personnels, leur mise en œuvre concrète n'a pas commencé avant l'exercice 2022-2023. La GRC a hâte de fournir de plus amples renseignements sur ces travaux dans son prochain rapport annuel.
• Nouvelles méthodes de travail : La GRC a engagé PricewaterhouseCooper (PwC) pour l'aider dans ses efforts de modernisation. Plus précisément, PwC a effectué un examen diagnostique du programme d'AIPRP, qui comprenait une approche de gestion allégée visant à optimiser les processus d'AIPRP pour le programme. Après l'examen, il a déployé le régime de formation PERFORM, conçu pour soutenir les changements de culture et de processus opérationnels. Plus précisément, cette formation comprenait l'introduction de nouvelles compétences et de nouveaux outils qui ont été appliqués au travail quotidien. Après la conclusion de la formation en décembre 2021, les enquêtes menées auprès du personnel ont révélé une augmentation des attentes des employés en matière de gestion efficace de la charge de travail, de motivation des employés et de communication ouverte sur le bien-être. Pour garantir la poursuite des nouveaux processus opérationnels, des plans de durabilité ont été créés pour la Sous-direction et font l'objet d'un suivi mensuel et d'une mise à jour trimestrielle.
• Accent sur la formation : Dans le cadre des efforts plus vastes de modernisation, la Sous-direction de l'AIPRP de la GRC a fait une promotion dynamique du nouveau cours de formation auprès du personnel, ce qui a directement entraîné une hausse du taux d'inscription. D'autres travaux sont en cours pour concevoir de nouvelles formations et de nouveaux cours pour le personnel de la Sous-direction de l'AIPRP et l'ensemble de l'organisation qui seront en place pour la prochaine période de référence. En fait, l'élargissement de la prestation de la formation constitue un élément essentiel de la stratégie des ressources humaines de la Sous-direction en vue de la modernisation de l'AIPRP, de la planification de la relève et du maintien en poste des employés. De plus, la GRC examine la possibilité de créer de nouveaux modules de formation axés sur la protection des renseignements personnels, y compris des directives améliorées sur la tenue des EFVP.
• Mise en commun des pratiques exemplaires : La GRC n'est pas la seule organisation à moderniser ses programmes d'AIPRP. Des changements sont en cours dans l'ensemble du gouvernement du Canada. Afin de s'assurer que la GRC profite des leçons retenues et des travaux en cours chez ses partenaires, et que ces derniers soient au courant des travaux en cours à la GRC, un groupe de travail interministériel a été créé pour mettre en commun les pratiques exemplaires et déterminer les domaines de collaboration.

La Sous-direction de l'AIPRP a poursuivi l'examen de ses processus afin d'en améliorer l'efficacité opérationnelle. Au cours de la période de référence 2021-2022, la Sous-direction de l'AIPRP a accompli les tâches suivantes :

• examen des régimes de travail des employés en raison des restrictions liées à la pandémie COVID‑19 et établissement de nouveaux accords de télétravail ainsi que d'un protocole de réintégration afin d'offrir plus de souplesse à ses employés;
• mise à jour des procédures opérationnelles réglementaires de l'Équipe chargée de la divulgation et de l'accueil, ce qui faisait partie des efforts de la Sous-direction de l'AIPRP pour officialiser ses processus internes;
• amélioration des processus internes pour faciliter le transfert des dossiers au sein de la GRC, y compris la création de lecteurs partagés nationaux pour les renseignements classifiés;
• modification des lignes directrices pour traiter les dossiers en cours et les dossiers en retard, ce qui a permis d'améliorer l'efficacité du traitement;
• collaboration avec les secteurs d'activité et les agents de liaison divisionnaires pour concevoir des lignes directrices, des normes et des communiqués de sensibilisation afin de faciliter davantage la modernisation de l'AIPRP de la GRC;
• direction continue du groupe de travail interministériel chargé de dresser des plans de continuité des activités pour les programmes d'AIPRP, ce qui a permis un meilleur échange de l'information entre les ministères participants.

De plus, le Groupe des politiques de l'AIPRP a accompli les tâches suivantes :

• analyse des lacunes des diverses politiques opérationnelles et organisationnelles liées à l'AIPRP, et création d'un plan de travail pour les mettre à jour au cours des cinq prochaines années;
• mise à jour des procédures opérationnelles réglementaires du Groupe concernant les communications en vertu du paragraphe 8(2) de la Loi sur la protection des renseignements personnels;
• participation à des réunions trimestrielles avec la Direction des services-conseils au gouvernement du CPVP, ce qui a permis d'améliorer la communication concernant les initiatives et les consultations en cours;
• publication de nouvelles directives sur les atteintes à la vie privée et les évaluations des facteurs relatifs à la vie privée sur Infoweb afin d'accroître la sensibilisation et d'améliorer le signalement des atteintes à la protection des renseignements personnels par la GRC, soutenue par une formation directe sur les atteintes à la protection des renseignements personnels à plusieurs secteurs d'activité du ministère;
• participation aux réunions hebdomadaires de base du Programme national d'intégration des technologies afin d'établir des processus et d'aborder les engagements de la GRC liés aux recommandations du CPVP sur l'enquête Clearview AI;
• participation au groupe de travail sur la collecte de données fondées sur la race;
• participation active à l'acquisition et au déploiement de caméras corporelles au sein de la GRC afin de s'assurer que les facteurs relatifs à la vie privée sont intégrés dès le départ;
• rétablissement du Groupe de travail sur les fichiers inconsultables.

La GRC n'a ni demandé ni reçu d'autorisation pour une nouvelle collecte ou une nouvelle utilisation systématique des numéros d'assurance sociale au cours de la période de référence.

Résumé des principaux enjeux soulevés et mesures prises à la suite de plaintes ou d'audits

Plaintes et enquêtes

Au cours de la période de référence, la GRC a continué de travailler en collaboration avec le CPVP pour rationaliser les processus de traitement des dossiers de plaintes. À la suite de la publication de l'enquête systémique du Commissariat en novembre 2020 sur la GRC et ses pratiques en matière d'AIPRP, des mesures concrètes ont été prises pour examiner et mettre à jour les pratiques internes afin de s'assurer que la GRC respecte ses obligations prévues aux deux lois.

Dans le cadre de la présente stratégie de modernisation, une équipe d'analystes spécialisés dans les plaintes a été formée. Composée de six employés, dont des experts-conseils, l'équipe des plaintes de la Sous-direction de l'AIPRP a continué de permettre à la GRC de répondre plus efficacement aux plaintes reçues par l'intermédiaire du Commissariat à l'information et du Commissariat à la protection de la vie privée. Cette nouvelle équipe a non seulement donné des réponses solides aux plaintes, mais a également travaillé de façon proactive pour déceler et régler les problèmes avant le dépôt des plaintes.

La section 8 du rapport statistique, qui se trouve à l'annexe B, fait état des données relatives aux plaintes reçues et réglées. Plus précisément, pour la période de référence 2021-2022, la GRC a reçu et fourni les éléments suivants en vertu de la LPRP :

Article 31

La GRC a reçu 172 avis en vertu de l'article 31, ce qui représente 4,6 % de toutes les demandes fermées au cours de la période de référence. La majorité des plaintes reçues concernaient des retards et des présomptions de refus, ce qui peut être attribué à l'arriéré actuel de la GRC et à la nature complexe ou volumineuse des demandes. En vertu de cet article, le Commissariat à la protection de la vie privée avise officiellement l'institution de son intention d'enquêter sur une plainte reçue concernant une demande.

Article 33

La GRC a reçu 11 avis en vertu de l'article 33. En vertu de cet article, le Commissariat à la protection de la vie privée demande des observations du plaignant et de l'institution dans le cadre d'une enquête sur une plainte en cours.

Article 35

La GRC a reçu 90 avis en vertu de l'article 35. En vertu de cet article, le CPVP a présenté les conclusions de son enquête, qui peuvent comprendre des recommandations, sur les plaintes fondées.

Poursuites en justice

Quatre procédures judiciaires ont été engagées concernant des demandes liées à la protection des renseignements personnels traitées pendant l'exercice en cours, et trois ont été arrêtées pendant la période de référence et abandonnées.

Surveillance de la conformité

La Sous-direction de l'AIPRP surveille la conformité au moyen de rapports statistiques hebdomadaires et mensuels, qui font état des taux de conformité, du nombre de dossiers traités à temps et de ceux qui sont retardés, ainsi que des plaintes. Des tableaux de bord du rendement ont également été créés afin de mieux cerner les tendances et d'aider la Sous-direction à réaliser stratégiquement des gains d'efficacité. L'équipe de gestion de la Sous-direction examine les rapports hebdomadaires afin de gérer la charge de travail et de déterminer les enjeux à venir, pour lesquels les processus pourraient être améliorés. Les rapports sont fournis au dirigeant principal des Politiques stratégiques et des Relations extérieures (DPPSRE) de la GRC, au dirigeant principal de l'Administration (DPA) et au commissaire dans le but d'améliorer la responsabilisation.

La Sous-direction de l'AIPRP s'efforce actuellement de renforcer sa fonction de communication des données en adoptant une nouvelle technologie et de nouveaux processus. Cette nouvelle technologie permettra à la Sous direction d'être plus stratégique et transparente, en saisissant automatiquement les données pertinentes pour l'aider dans sa planification et ses rapports publics, ainsi que pour cerner les domaines où des gains d'efficacité peuvent être réalisée.

Atteintes substantielles à la vie privée

En tant que force de police nationale du Canada, la GRC est censée traiter et protéger les renseignements personnels des Canadiens avec professionnalisme et intégrité. La GRC accorde la plus grande importance à cette responsabilité. Pour protéger les renseignements personnels qu'elle a en sa possession, la GRC a mis en place des politiques et des procédures rigoureuses pour empêcher toute communication et tout accès non autorisés au sein de l'organisation. Cependant, même avec ces procédures rigoureuses en place, des atteintes à la vie privée se produisent toujours, souvent à la suite d'une erreur humaine. Dans le cas de chaque atteinte à la vie privée, la GRC prend des mesures pour améliorer ses processus et s'assurer que des incidents similaires ne se reproduisent pas.

Lorsqu'une atteinte à la vie privée est décelée, la Sous-direction de l'AIPRP de la GRC suit les directives du SCT pour déterminer les risques d'atteinte à la vie privée et signale toutes les atteintes, jugées importantes, au Commissariat à la protection de la vie privée et au SCT.

Au cours de l'exercice 2021-2022, la GRC a signalé au CPVP et au SCT 13 atteintes substantielles à la vie privée. Ci dessous figure une brève description de ces atteintes :

1. Une entreprise tierce retenue par la GRC dans le cadre du Programme canadien des armes à feu (PCAF) pour des services d'impression et d'expédition a fait l'objet d'une attaque par rançongiciel. Des experts en cybersécurité de l'entreprise ont découvert cette infraction et l'ont signalée au Centre canadien de cybersécurité qui a déterminé qu'il y avait 60 % de chances que les données n'avaient pas été extraites. Des avis publiés sur le site Web du Secrétariat du Conseil du Trésor et sur celui du Programme canadien des armes à feu ont permis d'informer les personnes touchées par l'incident.
2. Un membre retraité de la GRC a demandé une copie de son dossier médical et a découvert que le dossier contenait des rapports psychologiques et des rapports d'examen de la vue de deux autres employés. Le membre à la retraite a retourné les documents mal classés à la GRC, mais ces documents ont été immédiatement placés dans les dossiers appropriés sans que personne ne note les noms des personnes concernées. En conséquence, la GRC n'a pas été en mesure d'aviser les parties concernées. Le groupe organise une formation sur la protection des renseignements personnels pour ses employés et étudie des solutions de rechange aux dossiers papier pour éviter que ce type d'incident ne se reproduise.
3. Un formulaire de sécurité de la GRC partiellement rempli contenant des renseignements personnels de nature délicate sur vingt personnes a été envoyé par inadvertance en copie à une autre personne. Le destinataire involontaire a supprimé le message et les personnes concernées, dont les adresses étaient connues, ont été informées. Pour éviter que cela ne se reproduise, l'employé concerné a suivi une formation supplémentaire de sensibilisation à la sécurité et le groupe a commencé à utiliser un nouveau système qui oblige les candidats à entrer leurs renseignements directement dans un portail en ligne au lieu de soumettre et de transmettre des documents papier ou numérisés entre les candidats et le personnel du groupe.
4. Une vérification certifiée de casier judiciaire a été postée au mauvais destinataire. Le rapport a été retourné à la GRC et la personne concernée a été informée. On a rappelé aux employés du groupe qu'ils doivent faire preuve d'une grande prudence lorsqu'ils traitent ce type de correspondance, compte tenu de son caractère très délicat.
5. Dans un courriel envoyé aux membres des familles des victimes de la catastrophe aérienne PS752, un employé a, par inadvertance, copié la liste de distribution au lieu de la copier en aveugle. Ainsi, tous les destinataires ont pu voir les adresses électroniques personnelles des personnes concernées. Les destinataires ont été invités à supprimer le courriel original et toutes les parties concernées ont été informées de l'incident.
6. Lors d'un cours sur les enquêtes de sécurité donné par le Collège canadien de police, une vidéo d'un polygraphe enregistré avant l'embauche a été montrée aux participants afin de décrire l'utilisation de certaines techniques d'entrevue. Pendant le cours, un participant a reconnu la personne dans la vidéo, c.-à-d. un employé de son propre organisme. Il a été déterminé que le Collège canadien de police n'avait pas obtenu le consentement de la personne pour utiliser ses renseignements personnels à cette fin. Lorsque l'atteinte a été relevée, il a été demandé aux participants au cours de maintenir la confidentialité et de ne plus discuter ou diffuser l'information montrée, la vidéo a été retirée du contenu du cours et la personne concernée a été informée.
7. Un superviseur a envoyé un courriel à son directeur pour lui demander des conseils concernant les besoins en congés d'un employé, mais a inclus par erreur des renseignements médicaux précis de l'employé et son état. On a rappelé aux employés du groupe leur obligation de protéger les renseignements personnels et de ne pas inclure de références précises au sujet des employés et de leurs renseignements médicaux lorsqu'ils demandent des conseils généraux. Le gestionnaire a supprimé le courriel et la personne concernée a été informée.
8. Le porte-documents de travail d'un employé du Service des laboratoires judiciaires de la GRC a été volé dans son véhicule, à sa résidence personnelle. Ce porte-documents contenait des dossiers papier relatifs à cinq enquêtes différentes sur des infractions graves. Les cinq dossiers contenaient des renseignements personnels sur des personnes identifiables. L'employé avait l'autorisation d'emporter les dossiers chez lui dans le cadre d'un régime de travail à distance, mais il les a laissés par inadvertance dans son véhicule pendant la nuit. On a rappelé aux employés du groupe les protocoles en place pour protéger les renseignements de nature délicate et toutes les personnes concernées ont été informées.
9. Une vérification certifiée de casier judiciaire a été postée au mauvais destinataire. Le destinataire a renvoyé le dossier à la GRC et la personne concernée a été informée. Les employés du groupe e ont dû revoir les procédures consignées et vérifier que le produit et l'enveloppe correspondent avant l'envoi.
10. Un employé des ressources humaines a envoyé à un gestionnaire une capture d'écran du solde des congés d'un employé. Cependant, l'image incluait par inadvertance la note médicale d'un autre employé et de la correspondance confidentielle. Le destinataire a supprimé le message et la personne concernée a été informée. L'employé a été informé de la manière correcte d'insérer et de partager des captures d'écran et on lui a rappelé son obligation de protéger les renseignements personnels.
11. Des renseignements personnels sur une personne ont été communiqués par inadvertance à son propriétaire dans une trousse d'accès à l'information. Le destinataire a supprimé les renseignements et la personne concernée a été informée. On a rappelé à l'employé de l'AIPRP son obligation de protéger les renseignements personnels.
12. Trois vérifications de casier judiciaire ont été envoyées par inadvertance aux mauvais destinataires. Les destinataires ont renvoyé les dossiers à la GRC et les personnes concernées ont été informées. Le groupe a mené une enquête sur ses flux de travail afin de déterminer la manière dont ces erreurs se sont produites et les moyens d'empêcher que des erreurs similaires ne se reproduisent. À la suite de cet examen, le groupe a imposé des pauses horaires à tous les employés et a embauché du personnel supplémentaire pour s'assurer que les employés restent concentrés, prennent leur temps et traitent dans l'ensemble un volume inférieur. Le groupe étudie également les moyens électroniques de transmettre les vérifications de dossiers aux clients, ce qui éliminerait la nécessité d'envoyer physiquement la correspondance par la poste.
13. Un employé de la GRC a utilisé la base de données PRIME-BC (Police Records Information Management Environment) pour fournir le numéro de téléphone et la ville d'une personne à un parent. On a découvert par la suite que cette personne était brouillée avec le parent et qu'elle croyait que ce dernier pouvait lui faire du mal. Bien que la GRC n'ait pas été en mesure de récupérer l'information auprès du parent, elle a pris des mesures opérationnelles pour protéger la personne. L'employé qui a commis cette atteinte a reçu des conseils opérationnels et l'incident a été noté dans son dossier de rendement.

Évaluations des facteurs relatifs à la vie privée

Au cours de la période de référence, la GRC a réalisé une EFVP pour la solution de gestion des cas d'invalidité ainsi qu'un addenda à l'EFVP actuelle du Programme de reconnaissance automatique des plaques d'immatriculation. L'EFVP et l'addenda ont été soumis au CPVP et au Secrétariat du Conseil du Trésor au cours de l'exercice 2021-2022.

Solution de gestion des dossiers d'invalidité – Évaluation des facteurs relatifs à la vie privée

La GRC a fait l'acquisition d'une solution logicielle Web de gestion des dossiers d'invalidité (GDI) spécialement conçue pour appuyer l'intervention précoce, la gestion proactive des dossiers d'invalidité, le retour au travail et les pratiques exemplaires et flux de travail en matière d'adaptation du milieu de travail. La mise en œuvre de cette solution informatique permettra ce qui suit :

1. saisir et protéger les renseignements personnels, les renseignements médicaux ainsi que les renseignements sur les blessures et les maladies des membres, de même que les détails concernant les plans de retour au travail et l'obligation de prendre des mesures d'adaptation;
2. soutenir une coordination efficace des activités de gestion des dossiers entre les intervenants internes afin d'apporter les soutiens nécessaires aux membres malades ou blessés et de faciliter un retour au travail réussi et sécuritaire;
3. minimiser le fardeau administratif d'une centaine de praticiens de la gestion de l'invalidité, de la santé au travail et de la prise de mesures d'adaptation dans l'ensemble de la Gendarmerie grâce à des normes de service intégrées, à la génération automatique de tâches prédéfinies de gestion des dossiers d'invalidité et à des outils de travail;
4. fournir aux membres un accès facile aux renseignements pertinents propres à leur dossier de même que faciliter la communication et la soumission de documents;
5. fournir à la direction des renseignements sur l'état des employés qui relèvent de sa hiérarchie;
6. fournir à la direction une capacité de production de rapports sur demande.

La solution de GDI permet d'héberger tous les renseignements relatifs à un dossier de gestion d'invalidité et de mesures d'adaptation dans un seul système, accessible comme il se doit aux intervenants concernés. Elle permettra de s'assurer que la documentation médicale et non médicale est complète et que la direction de la GRC dispose de rapports en temps réel sur les principaux paramètres et les principales tendances en matière de gestion des invalidités. La solution de GDI favorisera l'uniformité de la gestion des invalidités dans toutes les divisions; elle permettra de cerner les tendances et de déceler les lacunes en matière de santé et de milieu de travail, d'améliorer l'efficacité des processus et d'orienter les changements apportés aux politiques et aux stratégies de la Gestion de la santé au travail et du Programme de mesures d'adaptation. En outre, elle permettra à la direction de suivre et d'évaluer la gestion de l'invalidité et les efforts d'adaptation grâce à des tableaux de bord de gestion et à la génération de rapports prédéfinis et personnalisés.

Bien qu'une solution Web de GDI puisse présenter certains défis pour la GRC en matière de protection et de traitement des renseignements personnels, la protection des renseignements personnels demeure un élément central de l'administration et de la prestation de services de ces programmes de ressources humaines.

La solution de GDI peut présenter un risque modéré à élevé pour la protection des renseignements personnels. Bien que les répercussions inhérentes sur la protection des renseignements personnels liées à l'administration de la solution de GDI soient probablement plus modérées que ce qui est indiqué, les risques pour la protection des renseignements personnels liés à la collecte et à l'utilisation de renseignements sur la santé augmentent la cote générale de risque du programme.

En reconnaissance des risques inhérents à la protection des renseignements personnels liés à l'exécution et à l'administration de la solution de GDI, la GRC et son expert-conseil sont censés mettre en place des mesures de contrôle importantes pour gérer et atténuer les problèmes potentiels de protection des renseignements personnels.

Addenda au Programme de reconnaissance automatique des plaques d'immatriculation (RAPI) – Intégrité des frontières de la GRC en Colombie-Britannique

Le Programme de l'intégrité des frontières de la GRC en Colombie-Britannique utilisera des caméras de RAPI statiques montées sur des poteaux électriques avec un champ de vision très étroit (plaques d'immatriculation uniquement). Ces caméras seront déployées à des points stratégiques le long de la frontière internationale entre le Canada et les États-Unis afin de contribuer à la lutte contre l'immigration illégale et la criminalité transfrontalière. Cette initiative est séparée et distincte du Programme de RAPI de la Colombie-Britannique actuellement exécuté par la BC Highway Patrol. Contrairement à la BC Highway Patrol, le Groupe de l'intégrité des frontières ne comparera pas instantanément les plaques d'immatriculation aux ensembles de données du Centre d'information de la police canadienne (CIPC) ou de l'Insurance Corporation of British Columbia (ICBC) pour trouver des correspondances.

La collecte des renseignements sur les plaques d'immatriculation est strictement destinée à des fins d'enquête (c.‑à‑d. la contrebande transfrontalière et la criminalité). En tant que tels, les enquêteurs ne sauraient pas si les renseignements recueillis ont une valeur probante, à moins qu'une plaque ne fasse surface au cours de l'enquête. Cette information ne serait probablement pas connue immédiatement, de sorte que dans les sept (7) jours, les enquêteurs pourraient alors revenir en arrière et examiner les données pour cette période. Si aucune information pertinente n'est saisie, toutes les données recueillies pour cette période seront automatiquement effacées. Tout renseignement pertinent sur les occurrences serait conservé à des fins d'enquête, conformément aux périodes de conservation établies.

La Sous-direction de l'AIPRP a effectué un examen approfondi de l'EFVP originale. Des recommandations ont été formulées à l'intention du gestionnaire de programme pour veiller à l'évaluation des risques liés à la protection des renseignements personnels et à la proposition de mesures pour atténuer ces risques.

De plus, au cours de l'exercice, la Sous-direction de l'AIPRP de la GRC a reçu 11 nouvelles EFVP, 48 nouveaux questionnaires pour déterminer la nécessité d'une EFVP et a répondu à plus de 30 demandes de renseignements liées à l'EFVP.

Communication de renseignements pour des raisons d'intérêt public

Au cours de l'exercice 2021-2022, 51 communications ont été faites en application de l'alinéa 8(2)m) de la LPRP, qui autorise la communication lorsque des raisons d'intérêt public justifient nettement une éventuelle violation de la vie privée ou lorsque l'individu concerné en tirerait un avantage certain. Toutes les communications se rapportaient soit à la situation professionnelle d'employés de la GRC visés par des accusations ou à la mise en liberté de délinquants dangereux dans des collectivités au Canada. Conformément au paragraphe 8(5) de la LPRP, le CPVP a été avisé par écrit de toutes ces communications.

Annexe A – Ordonnance de délégation de pouvoirs

Ordonnance de délégation de pouvoirs en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels

En vertu de l'article 73 de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, le ministre de la Sécurité publique et de la Protection civile délègue aux titulaires des postes mentionnés dans la présente l'annexe, ou aux personnes occupant à titre intérimaire lesdits postes, les attributions dont il est, en qualité de responsable d'une institution fédérale, c'est‑à‑dire, la Gendarmerie royale du Canada, investi par les articles de la loi mentionnés en regard de chaque poste. Cette délégation annule et remplace toute autre délégation précédemment datée et signée par le ministre.

Signé, à Ottawa, ce 4e jour de décembre 2015

L'honourable Ralph Goodale, P.C., M.P.
Ministre de la Sécurité publique et de la Protection civile

Annexe B – Rapport statistique sur la Loi sur l'accès à l'information

Nom de l'institution

Gendarmerie royale du Canada

Période de référence

1 avril 2021 au 31 mars 2022

Section 1: Demandes en vertu de la Loi sur la protection des renseignements personnels

Section 2: Demandes informelles

Section 3: Demandes fermées pendant la période d'établissement de rapport

3.5 Complexité

3.6. Demandes fermées

3.7 Présomption de refus

Section 4: Communication en vertu des paragraphes 8(2) et 8(5)

Section 5: Demandes de correction de renseignements personnels et mentions

Section 6: Prorogations

Section 7: Demandes de consultation reçues d'autres institutions et organisations

Section 8: Délais de traitement des demandes de consultation sur les documents confidentiels du Cabinet

Section 9: Avis de plaintes et d'enquêtes reçus

Section 10: Évaluations des facteurs relatifs à la vie privée (ÉFVP) et fichiers de renseignements personnels (FRP)

Section 11: Atteintes à la vie privée

Section 12: Ressources liées à la Loi sur la protection des renseignements personnels

Annexe C – Rapport statistique supplémentaire sur la Loi sur la protection des renseignements personnels

Section 1 : Capacité de recevoir des demandes en vertu de la Loi sur la protection des renseignements personnels

Section 2: Capacité de traiter les documents en vertu de la Loi sur la protection des renseignements personnels

Section 4: Demandes ouvertes et plaintes en vertu de la Loi sur la protection des renseignements personnels

Section 5: Numéro d'assurance sociale (NAS)

Votre institution a-t-elle reçu l'autorisation de procéder à une nouvelle collecte ou à une nouvelle utilisation cohérente du NAS en 2021-2022?

Non

Rapport annuel au parlement 2021-2022 sur la Loi sur l’accès à l’information

Sur cette page

• Introduction
• Structure organisationnelle
  • Gendarmerie royale du Canada (GRC)
  • 2.2 Sous-direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP)
• Ordonnance de délégation de pouvoirs
• Rendement en 2021-2022
  • Conformité
  • Demandes reçues et fermées
  • Sources des demandes
  • Pages traitées
  • Délai de traitement
  • Prorogations
  • Consultations reçues d'autres institutions
  • Demandes actives en suspens des périodes de référence antérieures
  • Plaintes actives en suspens des périodes de référence antérieures
• Formation et sensibilisation
• Politiques, lignes directrices, procédures et initiatives
  • Modernisation de l'AIPRP
• Résumé des principaux enjeux soulevés et mesures prises à la suite de plaintes ou d'audits
  • Plaintes et enquêtes
  • Poursuites en justice
• Surveillance de la conformité
• Rapport sur les frais d'accès à l'information aux fins de la Loi sur les frais de service
• Annexe A – Ordonnance de délégation de pouvoirs
• Annexe B – Rapport statistique sur la Loi sur l'accès à l'information
• Annexe C – Rapport statistique complémentaire sur la Loi sur l'accès à l'information

Introduction

La Gendarmerie royale du Canada (GRC) dépend d'un public informé afin de conserver la confiance des Canadiens. À ce titre, la conformité à la Loi sur l'accès à l'information (LAI) et à la Loi sur la protection des renseignements personnels (LPRP) est d'une importance capitale, non seulement en ce qui concerne nos obligations prévues par la loi, mais aussi les efforts plus généraux de l'organisation. La LAI a pour objectif de renforcer la responsabilité et la transparence des institutions fédérales afin de promouvoir une société ouverte et démocratique. Elle prévoit un droit d'accès à l'information conformément aux principes selon lesquels les renseignements gouvernementaux doivent être accessibles au public et les exceptions nécessaires doivent être limitées et précises. La GRC prend au sérieux les responsabilités qui lui incombent en vertu de ces lois et continue de s'efforcer de répondre aux attentes des Canadiens, tout en protégeant le public et l'intégrité des enquêtes menées en son nom. Toutefois, le Programme d'accès à l'information et de protection des renseignements personnels (AIPRP) de la GRC a fait face à de nombreux défis au cours des dix dernières années, ce qui a nui à sa capacité de respecter ses obligations prévues par les deux lois.

Comme le soulignait le rapport annuel de l'année dernière, la GRC accepte et reconnaît pleinement les défis auxquels elle est confrontée et elle doit améliorer son programme d'AIPRP afin de respecter ses obligations. C'est pourquoi la GRC s'est engagée dans un ambitieux effort de modernisation, dirigé par une stratégie générale intitulée Accès accordé : Rétablir la confiance dans le Programme d'accès à l'information et de protection des renseignements personnels de la GRC et d'un plan d'action connexe.

Le présent rapport annuel décrit la première année de la mise en œuvre d'une stratégie quinquennale, et la GRC est heureuse de pouvoir faire état de certaines améliorations importantes par rapport au rapport annuel de l'an dernier. Nous encourageons tous les Canadiens à se tenir informés de l'effort de modernisation en cours et à suivre nos progrès sur notre site Web public.

Bien que la GRC ait fait d'importants progrès au cours de l'année écoulée, la présente période de référence n'a pas été exempte de difficultés. L'incidence continue de la pandémie de COVID-19 ainsi que les demandes opérationnelles importantes imposées à l'organisation au cours de la période de référence ont continué d'avoir des répercussions négatives sur la conformité de la GRC à la Loi. Néanmoins, la Sous-direction de l'AIPRP de la GRC a continué de s'adapter à ces défis et d'examiner des façons nouvelles et novatrices de travailler afin de répondre aux attentes des Canadiens.

La GRC est heureuse de présenter dans ce rapport annuel les détails de la manière dont elle s'est acquittée de ses responsabilités à l'égard de la LAI au cours de la période de référence. Le présent rapport est établi et déposé au Parlement conformément à l'article 94 de la LAI.

Structure organisationnelle

Gendarmerie royale du Canada (GRC)

Depuis près de 150 ans, la GRC est le service de police national du Canada. En tant que corps policier fédéral, provincial, territorial et municipal, la GRC est unique au monde. Elle fournit des services de police fédérale à tous les Canadiens et des services de police contractuels aux trois territoires, à huit provinces et à plus de 180 municipalités, notamment plus de 750 détachements dans les collectivités canadiennes, 600 dans les collectivités autochtones et trois dans des aéroports internationaux.

Le mandat de la GRC comporte plusieurs volets, notamment prévenir la criminalité et mener des enquêtes, maintenir la paix et l'ordre, faire respecter les lois, contribuer à la sécurité nationale, veiller à la sécurité des représentants de l'État, des dignitaires en visite et des membres de missions étrangères, de même que fournir des services essentiels de soutien opérationnel à d'autres organismes de police et d'application de la loi au Canada et à l'étranger.

L'organisation compte seize divisions (dix provinces, trois territoires, la Division nationale, la Division Dépôt et la Direction générale à Ottawa), qui ont toutes à leur tête un commandant divisionnaire ou un directeur général. La Direction générale est organisée selon les neuf secteurs d'activité suivants : Services de police fédérale, Services de police contractuels et autochtones, Services de police spécialisés, Gestion générale et contrôle, Ressources humaines, Vérification interne et évaluation, Services juridiques, Secteur de la responsabilité professionnelle ainsi que Politiques stratégiques et relations extérieures.

Sous-direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP)

La GRC a créé la Sous-direction de l'AIPRP en 1983, comme point de contact central pour les questions découlant de la LAI et de la LPRP. La Sous-direction de l'AIPRP relève de la Direction des politiques stratégiques et des relations extérieures de la GRC.

D'ordinaire, le directeur de la Sous-direction de l'AIPRP agit au nom du chef de l'institution en tant que coordonnateur ministériel de l'accès à l'information et de la protection des renseignements personnels pour la GRC. Il veille à ce que la GRC se conforme à l'esprit et à l'intention de la LAI et de la LPRP ainsi qu'à l'ensemble des règlements et des lignes directrices qui en découlent. Toutefois, au cours de la présente période de référence, nous avons créé le nouveau poste de directeur général de l'AIPRP, dont la tâche principale consiste à diriger le vaste effort de modernisation.

Sur le plan fonctionnel, la Sous-direction de l'AIPRP se divise en deux équipes.

Équipe des politiques

Cette équipe surveille et conçoit les politiques, les procédures et les lignes directrices internes relativement à la collecte, à la conservation, à l'élimination, à l'utilisation et à la communication des renseignements personnels et non personnels traités par les applications de la GRC. Les professionnels dévoués formulent des conseils stratégiques à la GRC et apportent une expertise sur les questions liées à l'accès à l'information et à la protection des renseignements personnels, notamment en appuyant la rédaction et la conception d'évaluations des facteurs relatifs à la vie privée (EFVP). L'équipe apporte également un soutien aux analystes de l'AIPRP et au coordonnateur de l'AIPRP de la GRC, formule des conseils aux secteurs d'activité et aux divisions de la GRC partout au Canada en ce qui concerne la LPRP, la LAI et les politiques, directives et lignes directrices du Secrétariat du Conseil du Trésor (SCT).De plus, l'équipe examine et crée des politiques internes qui tiennent compte des politiques et des directives du SCT ainsi que des attentes du Commissariat à l'information et du Commissariat à la protection de la vie privée (CPVP) afin de respecter ses obligations relatives à InfoSource : Sources de renseignements du gouvernement fédéral et sur les fonctionnaires fédéraux et aux EFVP au sein de la GRC.

Équipe chargée de la divulgation (Opérations)

Cette équipe traite toutes les demandes officielles en vertu de la LAI et de la LPRP. À cette fin, elle doit travailler avec les demandeurs pour discuter de la portée et préciser leurs demandes, ouvrir des demandes, attribuer des tâches ainsi que recevoir et importer des dossiers à destination et en provenance des agents de liaison des différents secteurs d'activité et des différentes divisions de la GRC dans tout le pays. L'équipe examine également les dossiers et fournit les pages communiquées aux demandeurs, traite les demandes informelles d'accès à l'information, examine les plaintes reçues par le biais du Commissariat à l'information et du CPVP et y répond.

Il convient de mentionner que des efforts importants ont été entrepris au cours de l'exercice 2021-2022 pour restructurer et moderniser la structure hiérarchique de la Sous-direction. Bien que ces changements n'aient pas été mis en œuvre au cours de la période de référence, ils seront fermement en place l'année prochaine. La section 6 du présent rapport donne un aperçu de ces efforts.

Lors de l'attribution des demandes, la Sous-direction travaille en étroite collaboration avec les agents de liaison et les détenteurs de dossiers, appelés bureaux de première responsabilité. Les responsabilités assumées par les agents de liaison et les bureaux de première responsabilité sont les suivantes, entre autres :

Agents de liaison

Ils sont chargés de transmettre les demandes d'AIPRP au personnel approprié (bureau de première responsabilité) de leur secteur d'activité ou de leur division. Les autres responsabilités comprennent notamment faire le suivi des demandes pour s'assurer que les bureaux de première responsabilité envoient des documents conformes à la Sous-direction de l'AIPRP, veiller à ce que les documents soient envoyés à temps ainsi que consigner les processus internes de la GRC en matière d'AIPRP et les diffuser aux personnes qui participent au traitement des demandes.

Bureaux de première responsabilité

Ils sont les détenteurs des dossiers et doivent, entre autres responsabilités, fournir des copies électroniques des documents visés par les demandes, examiner les documents pour vérifier s'il y a duplication, s'assurer que l'information entre dans le cadre de la demande, aviser la Sous-direction de l'AIPRP si les documents sont volumineux et aviser la Sous-direction ou l'agent de liaison si une prorogation est nécessaire.

Ordonnance de délégation de pouvoirs

Le coordonnateur ministériel de l'accès à l'information et de la protection des renseignements personnels a pleine autorité pour appliquer la législation. Une copie de l'ordonnance de délégation signée figure à l'annexe A. Il convient de noter qu'en raison de la réorganisation approuvée de la Sous-direction (voir la section 6), cette ordonnance de délégation est mise à jour pour refléter la nouvelle structure opérationnelle.

Rendement

La présente section donne un aperçu du rendement de la GRC en ce qui concerne les renseignements demandés en vertu de la Loi sur l'accès à l'information pour l'exercice de référence 2021-2022. Le rapport statistique complet se trouve à l'annexe B, et le rapport statistique supplémentaire se trouve à l'annexe C.

En 2021-2022, la Sous-direction de l'AIPRP de la GRC a dirigé la coordination générale des exigences de publication proactive du projet de loi C-58 pour la GRC. Elle a travaillé avec différentes unités internes qui étaient chargées des documents d'information, en veillant à ce que la GRC satisfasse aux exigences législatives.

La Sous-direction de l'AIPRP a également continué de travailler en étroite collaboration avec ses partenaires et des intervenants pour trouver des solutions et revoir les processus afin de s'assurer qu'elle répondait aux demandes des Canadiens de manière plus adéquate et plus rapide.

Conformité

La Sous-direction de l'AIPRP a observé une hausse de la conformité quant au nombre de demandes fermées dans les délais prescrits par la LAI. Au cours de l'exercice 2021-2022, la conformité est passée à 40,1 %, contre 26,4 % en 2020-2021. Cette augmentation repose en partie sur les modifications apportées aux processus au sein de la Sous-direction, qui ont permis de réaliser des gains d'efficacité, et au recours à des experts-conseils pour régler des dossiers afin d'assurer la conformité à la loi.

Demandes reçues et fermées

Comme l'indique le rapport statistique de l'annexe B, la GRC a reçu 5 423 nouvelles demandes en vertu de la LAI en 2021-2022. De plus, il y avait 5 835 demandes en suspens depuis la période de référence précédente, pour un total de 11 258 demandes. De ce nombre, 5 085 ont été réglées et 6 173 ont été reportées à l'exercice financier de 2022-2023.

En règle générale, les demandes d'accès à l'information couvrent un éventail de sujets, notamment des renseignements sur les contrats, les coûts et les dépenses des programmes, ainsi que des renseignements concernant des questions de sécurité, des documents de dossiers opérationnels et la gestion de la GRC.

Comme il est montré ci dessous, il y a eu une augmentation modérée du nombre de demandes reçues par rapport à la période de référence précédente. En outre, le nombre de demandes fermées au cours de cette période de référence a connu une hausse de 48 % comparativement à l'exercice précédent, et de 2 % par rapport à l'exercice 2019-2020. Cette augmentation est liée en partie à la modernisation de la Sous-direction ainsi qu'à plusieurs améliorations de processus et à l'aide d'experts-conseils.

Sources des demandes

Au cours de l'exercice 2021-2022, 5 423 demandes ont été reçues. Ces demandes provenaient des sources suivantes :

• 3 149 (58 %) du public;
• 1 272 (23 %) d'entreprises;
• 275 (5 %) des médias;
• 173 (3 %) d'organismes;
• 142 (3 %) du milieu universitaire;
• 412 (8 %) ont refusé de s'identifier.

Pages traitées

Le niveau de production de la Sous-direction quant au nombre de pages traitées en vertu de la LAI au cours de l'exercice 2021-2022 a augmenté de 80 % comparativement à l'exercice 2020-2021, mais a reculé de 15 % par rapport à l'exercice 2019-2020. Ce résultat est attribuable à la modernisation de la Sous-direction ainsi qu'à plusieurs améliorations de processus et à l'aide d'experts-conseils.

Délai de traitement

La Sous-direction de l'AIPRP a été en mesure de régler 1 356 demandes (27 %) en 30 jours ou moins. Au cours de la période de référence, 772 (15 %) des demandes ont été réglées dans un délai de 31 à 60 jours, 408 (8 %) dans un délai de 61 à 120 jours et 2 549 (50 %) dans un délai supérieur à 120 jours.

Prorogations

L'article 9 de la LAI permet aux institutions de proroger les délais prévus par la loi pour répondre à une demande au-delà de 30 jours.

Pour les demandes fermées au cours de la période de référence 2021-2022, la GRC a demandé 1 450 prorogations en vertu de l'alinéa 9(1)a), qui porte sur l'entrave déraisonnable au fonctionnement. En tout, 11 prorogations ont été demandées en vertu de l'alinéa 9(1)b), qui porte sur les consultations nécessaires. Aucune prorogation en vertu de l'alinéa 9(1)c) n'a été prise pour la consultation d'un tiers. Bien que la GRC s'efforce d'éviter les prorogations, la réalité opérationnelle unique de l'organisation exige parfois un délai supplémentaire pour traiter les demandes en vertu de la Loi. Par exemple, pendant les incendies de forêt (d'août à septembre 2021) et les inondations (de novembre 2021 à la mi-janvier 2022) en Colombie-Britannique, plusieurs détachements ont été touchés par des problèmes structurels à divers niveaux, d'autres ont dû fermer et beaucoup étaient en alerte d'évacuation. Des prorogations ont été demandées pour toutes les demandes dans ces zones touchées.

Consultations reçues d'autres institutions

Au cours de la période de référence, la GRC a effectué 375 consultations, totalisant 32 661 pages traitées. Sur les 375 consultations effectuées, 292 ont été reçues d'autres institutions fédérales, et 83 d'autres organismes.

Le nombre de consultations reçues et réglées au cours de la présente période de référence a augmenté de manière importante en raison des restrictions liées à la pandémie de COVID-19 et de l'incapacité des autres institutions fédérales à traiter les demandes. Le nombre de pages examinées a augmenté de 151 % au cours de la période de référence 2020-2021 et a diminué de 50 % par rapport à l'exercice 2019-2020. La GRC attribue cette diminution à l'incidence de la COVID‑19 sur les opérations des ministères et des organismes partenaires, plutôt qu'à une tendance plus large de réduction des demandes.

Demandes actives en suspens des périodes de référence antérieures

À la fin de l'exercice 2021-2022, 6 173 demandes étaient en suspens. Parmi ces demandes en suspens, 14 % ont été reportées dans les délais prévus par la loi et 86 % ont été reportées au-delà des délais prévus par la loi. Les demandes reportées ont été reçues au cours des exercices suivants :

• 2 993 (48,4 %) reçues en 2021-2022;
• 1 975 (32 %) reçues en 2020-2021;
• 534 (8,7 %) reçues en 2019-2020;
• 328 (5,3 %) reçues en 2018-2019;
• 275 (4,5 %) reçues en 2017-2018;
• 51 (0,8 %) reçues en 2016-2017; et
• 17 (0,3 %) reçues en 2015-2016 ou avant.

Plaintes actives en suspens des périodes de référence antérieures

À la fin de la période de référence, 373 plaintes étaient en suspens. Les plaintes en suspens ont été reçues au cours des exercices suivants :

• 263 (71 %) reçues en 2021-2022;
• 39 (10 %) reçues en 2020-2021;
• 36 (10 %) reçues en 2019-2020;
• 8 (2 %) reçues en 2018-2019;
• 5 (1 %) reçues en 2017-2018;
• 14 (4 %) reçues en 2016-2017; et
• 8 (2 %) reçues en 2015-2016 ou avant.

Formation et sensibilisation

L'apprentissage continu est une priorité pour la GRC, et la Sous-direction de l'AIPRP ne fait pas exception. La Sous-direction de l'AIPRP encourage ses employés à suivre des cours pertinents et à profiter d'autres possibilités d'apprentissage afin d'accroître leurs connaissances et de perfectionner leurs compétences. Pour l'exercice de référence 2021-2022, la Sous-direction de l'AIPRP a tenu des séances régulières d'échange d'information au cours desquelles les employés ont discuté de dossiers et mis en commun des pratiques exemplaires. Des séances d'information informelles ont également eu lieu pour informer le personnel de la Sous-direction de la mise en œuvre de nouvelles procédures pour répondre à la pandémie de COVID‑19. Comme de nouveaux outils technologiques ont été introduits pour soutenir la collaboration à distance pendant la pandémie, la GRC a pu tirer parti de ces outils (en particulier la vidéoconférence) pour offrir des séances de formation aux employés. Une formation et une orientation à l'interne ont également été offertes aux nouveaux employés de l'AIPRP et une formation virtuelle a été offerte aux agents de liaison de l'AIPRP dans plusieurs divisions et secteurs d'activité au pays, notamment les Services canadiens d'identification criminelle en temps réel, la Police de protection, la Division H (Nouvelle-Écosse) et la Division J (Nouveau-Brunswick).

Au cours de la période de référence, la Sous-direction de l'AIPRP, en collaboration avec le Groupe de l'apprentissage et du perfectionnement de la GRC, a produit le cours en ligne Cours de base sur l'accès à l'information et la protection des renseignements personnels offert à toutes les catégories d'employés de la GRC. En plus d'accroître leurs connaissances de la LAI et de la LPRP, ce cours permet aux employés de mieux comprendre leurs responsabilités lorsqu'ils répondent à des demandes de renseignements et les pratiques exemplaires en matière de gestion des renseignements personnels. Bien qu'il n'ait été offert que pendant une courte période au cours de la période de référence, le cours a été suivi par plus de 1 800 employés, ce qui représente environ 6 % de l'effectif.

Politiques, lignes directrices, procédures et initiatives

Modernisation de l'AIPRP

En novembre 2020, le commissaire à l'information du Canada a publié les résultats d'une enquête systémique sur le programme d'AIPRP de la GRC, intitulée Question d'accès : Le besoin de leadership. Le rapport était très critique à l'égard du programme d'AIPRP de la GRC et contenait quinze (15) recommandations d'amélioration. Par la suite, le ministre de la Sécurité publique a ordonné à la GRC de donner suite aux recommandations du Commissariat à l'information, de présenter une stratégie décrivant la voie à suivre et de la concevoir en consultation avec le Secrétariat du Conseil du Trésor (SCT). En réponse, la GRC a conçu une stratégie générale intitulée Accès accordé : Rétablir la confiance dans le Programme d'accès à l'information et de protection des renseignements personnels de la GRC, accompagnée d'un plan d'action concret, décrivant les initiatives visant à moderniser le programme.

La GRC s'est engagée à mettre en œuvre cette stratégie au cours des cinq prochaines années afin d'augmenter les taux de conformité et d'améliorer la transparence publique. La GRC a publié la stratégie, et fournit des mises à jour trimestrielles, sur son site Web externe. Nous encourageons tous les Canadiens à visiter le site https://www.rcmp-grc.gc.ca/fr/strategie-modernisation-du-programme-dacces-a-linformation-et-protection-des-renseignements et à suivre nos progrès.

Au cours de la période de référence du présent rapport annuel, la GRC a fait des progrès importants dans la mise en œuvre de la stratégie. Bien que l'on puisse trouver de plus amples renseignements sur notre site Web externe, les principales initiatives sont notamment les suivantes :

• Restructuration et réorganisation de la Sous-direction de l'AIPRP : Comme il a été mentionné précédemment, la Sous-direction de l'AIPRP entreprend une restructuration et une réorganisation importantes afin de s'assurer qu'elle apporte les ressources et le leadership nécessaires pour remplir ses obligations prévues par la LAI et la LPRP, et répondre aux attentes des Canadiens. La nouvelle structure divise la Sous-direction de l'AIPRP en trois volets : Information (responsable du respect des obligations de la GRC prévues par la LAI), Protection des renseignements personnels (responsable du respect des obligations de la GRC prévues par la LPRP) et Soutien opérationnel (responsable de la prestation de services de soutien essentiels à l'ensemble de la Sous-direction, comme l'accueil, l'assurance de la qualité, la formation et la politique opérationnelle). Chaque volet est dirigé par un directeur spécialisé, et la Sous-direction relève désormais d'un directeur général. Ces changements entraînent également l'arrivée de nouveaux employés au sein de la Sous-direction, dont la taille va presque doubler au cours des cinq prochaines années. Bien que ces changements aient été autorisés au cours de la période de référence, leur mise en œuvre concrète n'a pas commencé avant l'exercice 2022-2023. La GRC a hâte de fournir de plus amples renseignements sur cet effort dans son prochain rapport annuel.
• Nouvelles méthodes de travail : La GRC a engagé PricewaterhouseCooper (PwC) pour l'aider dans ses efforts de modernisation. Plus précisément, PwC a effectué un examen diagnostique du programme d'AIPRP, qui comprenait une approche de gestion allégée visant à optimiser les processus d'AIPRP pour le programme. Après l'examen, il a déployé le régime de formation PERFORM, conçu pour soutenir les changements de culture et de processus opérationnels. Plus précisément, cette formation comprenait l'introduction de nouvelles compétences et de nouveaux outils qui ont été appliqués au travail quotidien. Après la conclusion de la formation en décembre 2021, les enquêtes menées auprès du personnel ont révélé une augmentation des attentes des employés en matière de gestion efficace de la charge de travail, de motivation des employés et de communication ouverte sur le bien-être. Pour garantir la poursuite des nouveaux processus opérationnels, des plans de durabilité ont été créés pour la Sous-direction et font l'objet d'un suivi mensuel et d'une mise à jour trimestrielle.
• Accent sur la formation : Dans le cadre des efforts plus vastes de modernisation, la Sous-direction de l'AIPRP de la GRC a fait une promotion dynamique du nouveau cours de formation auprès du personnel, ce qui a directement entraîné une hausse du taux d'inscription. D'autres efforts sont en cours pour concevoir de nouvelles formations et de nouveaux cours pour le personnel de la Sous-direction de l'AIPRP et l'ensemble de l'organisation qui seront en place pour la prochaine période de référence. En fait, l'élargissement de la prestation de la formation constitue un élément essentiel de la stratégie des ressources humaines de la Sous-direction en vue de la modernisation de l'AIPRP, de la planification de la relève et du maintien en poste des employés.
• Mise en commun des pratiques exemplaires : La GRC n'est pas la seule organisation à moderniser ses programmes d'AIPRP. Des changements sont en cours dans l'ensemble du gouvernement du Canada. Afin de s'assurer que la GRC profite des leçons retenues et des travaux en cours chez ses partenaires, et que ces derniers soient au courant des travaux en cours à la GRC, un groupe de travail interministériel a été créé pour mettre en commun les pratiques exemplaires et déterminer les domaines de collaboration.

La Sous-direction de l'AIPRP a poursuivi l'examen de ses processus afin d'en améliorer l'efficacité opérationnelle. Au cours de la période de référence 2021-2022, la Sous-direction de l'AIPRP a accompli les tâches suivantes :

• examen des régimes de travail des employés en raison des restrictions liées à la pandémie COVID‑19 et établissement de nouveaux accords de télétravail ainsi que d'un protocole de réintégration afin d'offrir plus de souplesse à ses employés;
• mise à jour des procédures opérationnelles réglementaires de l'Équipe chargée de la divulgation et de l'accueil, ce qui faisait partie des efforts de la Sous-direction de l'AIPRP pour officialiser ses processus internes;
• amélioration des processus internes pour faciliter le transfert des dossiers au sein de la GRC, y compris la création de lecteurs partagés nationaux pour les renseignements classifiés;
• modification des lignes directrices pour traiter les dossiers en cours et les dossiers en retard, ce qui a permis d'améliorer l'efficacité du traitement;
• collaboration avec les secteurs d'activité et les agents de liaison divisionnaires pour concevoir des lignes directrices, des normes et des communiqués de sensibilisation afin de faciliter davantage la modernisation de l'AIPRP de la GRC;
• direction continue du groupe de travail interministériel chargé de dresser des plans de continuité des activités pour les programmes d'AIPRP, ce qui a permis un meilleur échange de l'information entre les ministères participants;
• collaboration à des conférences mensuelles avec le Commissariat à l'information, ce qui a permis de rationaliser les processus.

Résumé des principaux enjeux soulevés et mesures prises à la suite de plaintes ou d'audits

Plaintes et enquêtes

Au cours de la présente période de référence, la GRC a continué de travailler en collaboration avec le Commissariat à l'information pour rationaliser les processus de traitement des dossiers de plaintes. À la suite de la publication de l'enquête systémique du Commissariat en novembre 2020 sur la GRC et ses pratiques en matière d'AIPRP, des mesures concrètes ont été prises pour examiner et mettre à jour les pratiques internes afin de s'assurer que la GRC respecte ses obligations prévues par les deux lois.

Comme l'indique son rapport annuel, https://www.oic-ci.gc.ca/fr/ressources/rapports-publications/rapport-annuel-2021-2022, le Commissariat à l'information a connu un afflux important de plaintes au cours de la période de référence. Pendant que le Commissariat s'efforçait de répondre à ces plaintes et d'enquêter, les ministères et les organismes ont dû réagir en conséquence pour appuyer l'enquête et répondre aux demandes de renseignements de l'agent du Parlement. La GRC n'a pas fait exception à la règle et a dû réagir en conséquence pour s'assurer qu'elle répondait aux attentes. Dans le cadre de sa stratégie de modernisation, elle a formé une équipe d'analystes spécialisés dans les plaintes. Composée de six employés, dont des experts-conseils, l'équipe chargée des plaintes de la Sous-direction de l'AIPRP continue de permettre à la GRC de répondre plus efficacement aux plaintes reçues par l'intermédiaire du Commissariat. Cet nouveau groupe assure non seulement une réponse solide au Commissariat, mais elle travaille aussi de façon proactive pour cerner et régler les problèmes avant qu'une plainte ne soit déposée. De plus, dans le cadre de son engagement à faire preuve de leadership dans la résolution des problèmes liés à l'AIPRP, la haute direction a participé activement au processus de gestion des plaintes, y compris à ses engagements écrits avec le Commissariat à l'information.

La section 8 du rapport statistique (annexe B) fait également état de données relatives aux plaintes reçues et fermées. Plus précisément, pour la période de référence 2021-2022, la GRC a reçu et fourni les éléments suivants en vertu de la LAI :

Article 32

La GRC a reçu 456 avis, ce qui représente près de 9 % des demandes fermées pendant la période de référence. La majorité des plaintes reçues concernent des retards et des présomptions de refus, ce qui peut être attribuable au fait que la GRC accuse du retard et reçoit des demandes complexes ou volumineuses. En vertu de cet article, le Commissariat à l'information informe officiellement l'institution de son intention d'enquêter sur une plainte reçue concernant une demande.

Paragraphe 30(5)

La GRC a reçu 30 avis. En vertu de ce paragraphe, si le Commissariat à l'information refuse ou cesse d'enquêter sur une plainte, il en informe le plaignant, l'institution et, le cas échéant, tout tiers ainsi que le commissaire à la protection de la vie privée.

Article 35

La GRC a effectué 122 représentations officielles. En vertu de cet article, le Commissariat à l'information offre aux institutions la possibilité d'effectuer une représentation dans le cadre d'une enquête en cours sur une plainte.

Article 37

La GRC a reçu neuf rapports initiaux. En vertu de cet article, le Commissariat conclut que la plainte est bien fondée et fournit à l'institution les conclusions de son enquête, des recommandations précises pour remédier au problème et, le cas échéant, un délai précis dans lequel le Commissariat peut s'attendre à un plan de mise en œuvre des recommandations. L'institution doit alors décider de mettre en œuvre ou non les recommandations.

Poursuites en justice

Trois procédures judiciaires ont été engagées concernant des demandes d'accès traitées au cours du présent exercice, et trois ont été réglées pendant la période de référence et rejetées.

Surveillance de la conformité

La Sous-direction de l'AIPRP surveille la conformité au moyen de rapports statistiques hebdomadaires et mensuels, qui font état du taux de conformité, du nombre de dossiers traités à temps et de ceux qui sont retardés, ainsi que des plaintes. Des tableaux de bord du rendement ont été créés afin de mieux cerner les tendances et d'aider la Sous-direction de l'AIPRP à réaliser stratégiquement des gains d'efficacité. L'équipe de gestion de la Sous-direction examine les rapports hebdomadaires afin de gérer la charge de travail et de déterminer les enjeux à venir, pour lesquels les processus pourraient être améliorés. Les rapports sont fournis au dirigeant principal des Politiques stratégiques et des Relations extérieures (DPPSRE) de la GRC, au dirigeant principal de l'Administration (DPA) et au commissaire dans le but d'améliorer la responsabilisation.

La Sous-direction de l'AIPRP s'efforce actuellement de renforcer sa fonction de communication des données en adoptant une nouvelle technologie et de nouveaux processus. Cette nouvelle technologie permettra à la Sous-direction d'être plus stratégique et transparente, en saisissant automatiquement les données pertinentes pour l'aider dans sa planification et ses rapports publics, ainsi que pour cerner les domaines où des gains d'efficacité peuvent être réalisée.

Rapport sur les frais d'accès à l'information relatifs à la Loi sur les frais de service

En vertu de la LAI, le responsable d'une institution fédérale peut exiger des frais pour les services d'accès à l'information. Les frais ne peuvent pas excéder les coûts liés à la prestation des services. Conformément à la Directive provisoire concernant l'administration de la Loi sur l'accès à l'information, la GRC renonce à tous les frais prescrits par la Loi et son règlement d'application à l'exception des frais de demande de 5 $ établis à l'alinéa 7(1)a) du Règlement. En vertu de la LAI, le responsable de l'institution peut également renoncer à tout ou partie d'un droit ou rembourser tout ou partie d'un droit payé.

La Loi sur les frais de service exige qu'une autorité responsable fasse annuellement rapport au Parlement sur les frais perçus par l'institution.

En ce qui concerne les frais perçus en vertu de la Loi sur l'accès à l'information, les renseignements ci‑dessous sont déclarés conformément à l'article 20 de la Loi sur les frais de service.

Les frais de demande de 5 $ sont les seuls frais exigés pour une demande d'accès à l'information. Pour la période de référence 2021-2022, la GRC a perçu des recettes de 26 325 $ pour 5 265 demandes d'accès et a renoncé à des frais de 1 235 $ pour 247 demandes d'accès. Cette situation s'explique en grande partie par l'incapacité de déposer les frais en temps opportun en raison des restrictions liées à la pandémie de COVID-19.

Le coût de fonctionnement du segment d'accès à l'information de la Sous-direction de l'AIPRP de la GRC pour 2021-2022 s'élève à 5,03 millions de dollars.

Annexe A – Ordonnance de délégation de pouvoirs

Ordonnance de délégation de pouvoirs en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels

En vertu de l'article 73 de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, le ministre de la Sécurité publique et de la Protection civile délègue aux titulaires des postes mentionnés dans la présente annexe, ou aux personnes occupant à titre intérimaire lesdits postes, les attributions dont il est, en qualité de responsable d'une institution fédérale, c'est-à-dire, la Gendarmerie royale du Canada, investi par les articles de la loi mentionnés en regard de chaque poste. Cette délégation annule et remplace toute autre délégation précédemment datée et signée par le ministre.

Signé, à Ottawa, ce 4e jour de décembre 2015

L'honourable Ralph Goodale, P.C., M.P.
Ministre de la Sécurité publique et de la Protection civile

Annexe B – Rapport statistique sur la Loi sur l'accès à l'information

Nom de l'institution

Gendarmerie royale du Canada

Période de référence

1 avril 2021 au 31 mars 2022

Section 1 : Demandes en vertu de la Loi sur l'accès à l'information

Section 2 : Demandes informelles

Section 3 : Demandes à la Commissaire à l'information pour ne pas donner suite à une demande

Section 4 : Demandes fermées pendant la période d'établissement de rapports

4.5 Complexité

4.6 Demandes fermées

4.7 Présomption de refus

Section 5: Prorogations

Section 6: Frais

Section 7: Demandes de consultation reçues d'autres institutions et organisations

Section 8 : Délais de traitement des demandes de consultation sur les documents confidentiels du Cabinet

Section 9: Enquêtes et comptes rendus de conclusion

Section 10 : Recours judiciaires

Section 11: Ressources liées à la Loi sur l'accès à l'information

Remarque : Entre des valeurs à trois décimales.

Annexe C – Rapport statistique supplémentaire sur la Loi sur l'accès à l'information

Section 1 : Capacité de recevoir des demandes en vertu de la Loi sur l'accès à l'information

Section 2: Capacité de traiter les documents en vertu de la Loi sur l'accès à l'information

Section 3 : Demandes ouvertes et plaintes en vertu de la Loi sur l'accès à l'information