Audit of the Destruction of Quebec Electronic Records Pertaining to the Transitional Provisions in the Ending the Long-gun Registry Act

Final Report

October 2015

An assessment of this report with respect to provisions in the Access to Information Act produced no exemptions; therefore this report is presented in its entirety.

Table of Contents

• Acronyms and abbreviations
• Executive summary
• Management's response to the audit
• 1. Background
  • 1.1 Canadian Firearms Program
  • 1.2 Ending the Long-gun Registry Act
• 2. Objective, scope and methodology
  • 2.1 Objective
  • 2.2 Scope
  • 2.3 Methodology
  • 2.4 Statement of conformance
• 3. Audit finding
  • 3.1 Destruction of Quebec electronic records in CFIS
• 4. Conclusion
• Appendix A – Audit objective and criteria

Acronyms and abbreviations

CFIS

Canadian Firearms Information System

CFO

Chief Firearms Officer

CFP

Canadian Firearms Program

CIO

Chief Information Officer

IM/IT PROGRAM

Information Management/Information Technology Program

RCMP

Royal Canadian Mounted Police

SPS

Specialized Policing Services

Executive summary

The Ending the Long-gun Registry Act, which came into force on April 5, 2012 removes the requirement for non-restricted firearms to be registered. The Act's Transitional Provisions include the requirement that all records related to the registration of non-restricted firearms under the control of the Commissioner of Firearms and the Chief Firearms Officers be destroyed. The Act does not require the destruction of records related to the reporting of non-restricted firearms held by public agencies (e.g. law enforcement and certain government departments). The reporting of information on these firearms to the Registrar of Firearms is dealt with under the Public Agents Firearms Regulations.

The destruction of all electronic records in the Canadian Firearms Information System (CFIS) identified as being related to the registration of non-restricted firearms, with the exception of those related to Quebec took place in October 2012.

Due to court proceedings that took place between April 5, 2012 and March 27, 2015, the registration of non-restricted firearms in Quebec continued and the destruction of related records was held in abeyance until the Supreme Court of Canada rendered a decision in this regard. On March 27, 2015, the Supreme Court of Canada ruled that section 29 of the Ending the Long-gun Registry Act was constitutionally valid and that the Province of Quebec did not have a legal right to the non-restricted Quebec firearms registration records.

This audit report focuses on the results of the steps the Canadian Firearms Program undertook to destroy electronic records identified as being related to the registration of non-restricted Quebec firearms in CFIS.

The results of this audit indicate that, in accordance with the Transitional Provisions in the Ending the Long-gun Registry Act, all electronic records identified as being related to the registration of non-restricted Quebec firearms were destroyed in CFIS.

Management's response to the audit

An Implementation Plan, specific to the non-restricted firearm registration records for residents of Quebec, was developed by the RCMP Canadian Firearms Program (CFP) and Chief Information Officer (CIO). This plan, to be executed once a decision was rendered by the Supreme Court of Canada, would support the changes to the Firearms Act and associated Regulations introduced by Bill C-19.

The Implementation Plan included the destruction of all data associated with these non-restricted firearm registration records held within the Canadian Firearms Information System (CFIS).

In April 2015, the destruction of the target data within the CFIS application, as per the Transitional Provisions in the Ending the Long-gun Registry Act, was successfully completed.

Peter Henschel, Deputy Commissioner
Specialized Policing Services
Royal Canadian Mounted Police

1. Background

1.1 Canadian Firearms Program

The RCMP's Canadian Firearms Program (CFP) is the service line within the RCMP's Specialized Policing Services (SPS) responsible for the administration of the Firearms Act and its associated regulations that govern possession, licensing, transportation, use, registration and storage of firearms in Canada. As well, the CFP provides operational support to law enforcement agencies in all firearm-related inquiries and investigations.

A Chief Firearms Officer (CFO) is appointed for each province and territory. The CFOs in all but five provinces are federally appointed and report to the CFP's Director of Firearms Regulatory Services. In the remaining provinces of New Brunswick, Nova Scotia, Ontario, Prince Edward Island, and Quebec, the CFOs are provincially appointed. CFOs are responsible for decision-making and administrative work related to licences, authorizations to transport, authorizations to carry, and confirming the purpose of the transfer of restricted and prohibited firearms by individuals and businesses.

The Firearms Act and its regulations establish the basic framework for the Canadian Firearms Information System (CFIS). CFIS is the information system that contains all electronic records related to licences, registrations, transfers of firearms, and authorizations to transport and carry restricted firearms. The CFP is the business owner of the CFIS application and the RCMP's Information Management/Information Technology Program (IM/IT Program) is responsible for the database architecture, and the administration and maintenance of the system. CFIS information provides administrative and enforcement support to all partners involved in licensing of firearms owners/users, registration of firearms and the issuance of authorizations related to restricted firearms.

1.2 Ending the Long-gun Registry Act

On October 25, 2011, An Act to Amend the Criminal Code and the Firearms Act (Bill C-19), with the intent to remove the requirement for individuals and businesses to register non-restricted firearms^{Footnote 1}, was introduced in the House of Commons. Bill C-19 (short title - Ending the Long-gun Registry Act) received Royal Assent on April 5, 2012, removing the requirement for non-restricted firearms to be registered. The Ending the Long-gun Registry Act also includes the requirement that all records related to the registration of non-restricted firearms under the control of the Commissioner of Firearms^{Footnote 2} and the CFOs be destroyed.

Specifically, the Act's Transitional Provisions require that:

• " 29.(1) The Commissioner of Firearms shall ensure the destruction as soon as feasible of all records in the Canadian Firearms Registry related to the registration of firearms that are neither prohibited firearms nor restricted firearms and all copies of those records under the Commissioner's control.
• (2) Each chief firearms officer shall ensure the destruction as soon as feasible of all records under their control related to the registration of firearms that are neither prohibited firearms nor restricted firearms and all copies of those records under their control."

The Act does not require the destruction of records related to the reporting of non-restricted firearms held by public agencies (e.g. law enforcement and certain government departments). The reporting of information on these firearms to the Registrar of Firearms is dealt with under the Public Agents Firearms Regulations.

The Province of Quebec filed an injunction to appeal the Ending the Long-gun Registry Act and to obtain non-restricted Quebec firearms registration records held by the Government of Canada. On April 5, 2012, the Quebec Superior Court issued a court order that required residents and businesses in Quebec to continue to register non-restricted firearms.

The destruction of all CFIS electronic records identified as being related to the registration of non-restricted firearms, with the exception of those related to Quebec took place in October 2012, and was the subject of an audit carried out by RCMP Internal Audit. The resulting audit report was approved by the Commissioner of the RCMP in January 2013.^{Footnote 3}

Due to court proceedings that took place between April 5, 2012 and March 27, 2015, the registration of non-restricted firearms in Quebec continued and the destruction of related records was held in abeyance until the Supreme Court of Canada rendered a decision in this regard. On March 27, 2015, the Supreme Court of Canada ruled that section 29 of the Ending the Long-gun Registry Act was constitutionally valid and that the Province of Quebec did not have a legal right to the non-restricted Quebec firearms registration records. Accordingly, the IM/IT Program commenced the destruction of all electronic records (live data) identified as being related to the registration of non-restricted Quebec firearms in CFIS in April 2015.^{Footnote 4}

2. Objective, scope and methodology

2.1 Objective

The objective of this audit was to provide reasonable assurance that the electronic records in CFIS identified as being related to the registration of Quebec firearms that are neither prohibited firearms nor restricted firearms are destroyed as required by the Transitional Provisions in the Ending the Long-gun Registry Act.

2.2 Scope

The scope of this audit included all electronic records in CFIS identified as being related to the registration of non-restricted Quebec firearms.

The audit did not include testing for electronic records that should have been retained by the CFP in CFIS to remain compliant with the Firearms Act as this was outside the scope of the Ending the Long-gun Registry Act.

2.3 Methodology

The planning portion of the audit was completed in April 2015 and included documentation review, process walkthroughs, and interviews with CFP and IM/IT Program staff. Sources used to develop audit criteria include COBIT 5: A Business Framework for the Governance and Management of IT. The audit objective and criteria are available in Appendix A.

The examination portion of the audit was completed in May 2015 and included the following techniques:

• observed on-site the destruction of Quebec electronic records in CFIS;

• created and ran scripts to determine if electronic records identified as being related to the registration of non-restricted Quebec firearms still existed in CFIS;

• analysed, with computer-assisted audit tools, IM/IT Program and CFP reports and counts of key information in CFIS to determine if any electronic records were omitted from destruction;

• obtained confirmation from the Director General, CFP and the RCMP's CIO that the electronic records identified as being related to the registration of non-restricted Quebec firearms in CFIS were destroyed.

The methodology used was identical to that which had been developed and executed for the Audit of the Destruction of Electronic Records Pertaining to the Transitional Provisions in the Ending the Long-gun Registry Act.

2.4 Statement of conformance

The audit engagement conforms with the Internal Auditing Standards for the Government of Canada, as supported by the results of the quality assurance and improvement program.

3. Audit finding

3.1 Destruction of Quebec electronic records in CFIS

Based on CFP-defined specifications, the IM/IT Program developed a batch process to destroy electronic records identified as being related to the registration of non-restricted Quebec firearms in CFIS, by overwriting the existing CFIS information. All records identified as being related to the registration of non-restricted Quebec firearms that could be processed by the initial batch process were destroyed in this manner. Reports were generated before and after the destruction to confirm that the expected number of records had been destroyed. The audit team was on-site to observe key parts of the destruction process and reviewed the generated reports.

These reports and subsequent database queries identified records related to the registration of non-restricted Quebec firearms that were omitted from destruction. These records required further validation from the CFP and IM/IT Program against the requirement for destruction.

The CFP and the IM/IT Program addressed the identified records that had not been captured in the initial overwrite. These related to a minority of electronic records whose characteristics differed from the electronic records that were initially targeted for destruction in CFIS.

Additional queries and confirmation tests using computer-assisted audit tools were performed to ascertain that all targeted electronic records had been destroyed in CFIS. Analysing the results of the confirmation tests confirmed the destruction of these records. The results of the initial queries and confirmation tests validate that all electronic records identified as being related to the registration of non-restricted Quebec firearms were destroyed in CFIS.

4. Conclusion

In compliance with the Transitional Provisions in the Ending the Long-gun Registry Act, all electronic records identified as being related to the registration of non-restricted Quebec firearms were destroyed in CFIS.

Appendix A – Audit objective and criteria

Objective:
To provide reasonable assurance that the electronic records in CFIS identified as being related to the registration of Quebec firearms that are neither prohibited firearms nor restricted firearms are destroyed as required by the Transitional Provisions in the Ending the Long-gun Registry Act.

• Criterion 1:
  A plan was established by the CFP for the destruction of electronic records in CFIS identified as being related to the registration of non-restricted Quebec firearms.
• Criterion 2:
  Electronic records identified as being related to the registration of non-restricted Quebec firearms were appropriately destroyed in CFIS.

Projet de loi prévoyant la création d’un nouveau régime de relations de travail à la GRC

Le 9 mars 2016, le gouvernement du Canada a déposé le projet de loi C-7 visant la création d'un nouveau régime de relations de travail pour les membres et les réservistes de la GRC. Si elle est adoptée, la nouvelle loi donnera suite à la décision de la Cour suprême du Canada dans le dossier Association de la police montée de l'Ontario c. Canada (Procureur général), selon laquelle des éléments clés du programme des relations fonctionnelles existant étaient inconstitutionnels.

Le projet de loi C-7 respecte la décision de la Cour suprême du Canada et le rôle important que joue la GRC en tant que service de police national du Canada. Même s'il prévoit des éléments de négociation collective similaires à ceux de certains services de police canadiens, le projet de loi C-7 prévoit aussi des restrictions générales liées à la dotation et aux pensions qui s'appliquent également aux négociations collectives avec d'autres employés de la fonction publique fédérale. Mais surtout, le projet de loi C-7 assure aux membres le droit d'exercer les libertés que leur garantit la Charte, dont la liberté d'association.

Les Canadiens voudront savoir ce que fait la GRC en prévision de la transformation de son régime de relations de travail – il s'agira d'une organisation syndicale indépendante de la gestion – et pourquoi elle a déjà pris des mesures concrètes à la suite de la décision de la Cour suprême.

Dissolution du Programme des représentants des relations fonctionnelles (PRRF)

Les membres de la GRC ne sont pas syndiqués – ils sont représentés par les RRF. En janvier 2015, la Cour suprême du Canada a déclaré que l'imposition du PRRF était inconstitutionnelle. Le gouvernement du Canada devait rectifier la situation au cours de la prochaine année, et a par la suite obtenu une prolongation jusqu'au 16 mai 2016.

La dissolution du PRRF, entreprise en février, sera achevée d'ici le 17 mai 2016. Cependant, en attendant l'adoption du projet de loi C-7 et l'accréditation d'un agent de négociation, les membres de la GRC doivent continuer d'avoir accès à des conseils et à du soutien personnalisés ainsi qu'à un mode de représentation pour le règlement de problèmes liés au milieu de travail. C'est pourquoi, au début de février 2016, le commissaire a lancé le Programme de services en milieu de travail pour les membres.

Fin de la cotisation au Fonds de recours juridique des membres de la Gendarmerie

À la suite de la décision de la Cour suprême, la GRC a récemment opté de suspendre les retenues salariales pour la cotisation au Fonds de recours juridique des membres de la Gendarmerie. Étant donné les rapports qu'entretient le PRRF avec le Fonds, continuer à déduire de la solde les frais d'adhésion au Fonds au moyen du Système de paye des membres risquait d'être perçu comme une pratique de travail inéquitable et abusive. Il importe de souligner que le Fonds existe encore et qu'on s'emploie à examiner des options pour le paiement des cotisations.

Accès aux réseaux de communication de la GRC par les associations intéressées

La GRC a déployé des efforts considérables pour établir des lignes directrices afin d'assurer l'uniformité, la transparence et la neutralité des échanges avec les membres et les organisations syndicales intéressées. Pour ces raisons, la GRC ne permettra à aucune organisation d'utiliser ses ressources. Cette démarche est conforme aux pratiques de travail courantes.

Par conséquent, en février 2015, on a indiqué aux membres de la GRC qu'il leur est interdit d'utiliser les systèmes internes (courriels, systèmes radio) pour diffuser des renseignements au sujet d'un modèle de relations de travail quelconque ou d'organisations syndicales éventuelles. La politique énoncée à l'art. 1.1. du chap. III.2., Correspondance et messages, du Manuel d'administration de la GRC stipule ceci : « On réserve l'usage des réseaux ou des systèmes de communication de la GRC aux affaires officielles internes. » Les employés qui désirent prendre part à de telles activités doivent le faire dans leur temps libre et utiliser leurs propres ressources et locaux et leur propre matériel.

Exclusion du projet de loi C-7 des questions liées au harcèlement et à l'inconduite

Le gouvernement du Canada a exclu le harcèlement et l'inconduite du régime de négociation collective proposé afin de refléter les pouvoirs conférés en vertu de la Loi sur la Gendarmerie royale du Canada.

Le nouveau processus en matière de déontologie (qui est entré en vigueur en novembre 2014 en vertu de la Loi visant à accroître la responsabilisation de la Gendarmerie royale du Canada) a intégré la Politique sur la prévention et la résolution du harcèlement du Conseil du Trésor au système de la GRC régissant l'enquête et le règlement des plaintes de harcèlement, et les appels à cet égard.

Le nouveau processus d'enquête et de règlement de la GRC en ce qui concerne les plaintes de harcèlement, fruit de consultations approfondies, permet de traiter de manière globale et efficace les plaintes de harcèlement, il favorise les règlements à l'amiable et la restauration des relations lorsque cela est possible, mais il prévoit aussi des droits procéduraux pour les plaignants et les intimés lorsqu'une enquête est lancée.

En ce qui concerne les plaintes de harcèlement, les décideurs ont le pouvoir d'imposer des mesures disciplinaires à l'intimé s'il y a lieu, sans devoir lancer une procédure nouvelle, puisque le harcèlement constitue désormais une contravention distincte aux termes du Code de déontologie de la GRC. En outre, les plaignants et les intimés peuvent se prévaloir d'un processus d'appel aux termes duquel certains appels peuvent être interjetés devant un tribunal externe indépendant, le Comité externe d'examen de la GRC.

Renseignements généraux

Communiqué du commissaire - Lancement du nouveau Programme de services en milieu de travail pour les membres

Date d'émission : 2016-02-04

Alors que s'amorce l'étape suivante de la transition au nouveau régime de relations de travail, j'aimerais annoncer le lancement du Programme de services en milieu de travail pour les membres (PSMTM).

Ce programme a été créé par suite du jugement de la Cour suprême du Canada dans l'affaire Association de la police montée de l'Ontario c. Canada (Procureur général), qui déclarait inconstitutionnel l'imposition du Programme des représentants des relations fonctionnelles (PRRF).

Pendant plus de 41 ans, le PRRF a fait partie intégrante de la GRC. Tout au long de cette période, les représentants des relations fonctionnelles ont fait preuve d'un dévouement individuel et collectif dont nous leur sommes reconnaissants.

Cela dit, compte tenu de la fin définitive du PRRF le 17 mai 2016, mon équipe de gestion et moi-même souhaitons assurer la continuité de la prestation d'avis, de soutien et de conseils pour les questions liées au travail jusqu'à ce qu'un agent de négociation soit nommé.

D'ici la mise en œuvre complète du PSMTM le 17 mai 2016, vous êtes invités à communiquer avec votre RRF ou sous-représentant, qui continueront à fournir des services mais de façon différente, d'ici à ce que soient sélectionnés les nouveaux conseillers en services en milieu de travail pour les membres (CSMTM).

Les CSMTM seront affectés dans les divisions, selon un processus de sélection juste et transparent. Que ce soit en devenant CSMTM ou en faisant appel au CSMTM de votre choix, vous aurez la possibilité de contribuer à votre milieu de travail. Le processus de sélection se déroulera au cours des prochaines semaines, mais à des moments différents selon la division où vous travaillez. Vous trouverez des renseignements sur le processus dans le nouveau site InfoWeb du PSMTM, dont le lancement se fait aujourd'hui.

Ce nouveau site fournit de l'information sur le rôle des nouveaux conseillers ainsi que sur les nombreux programmes et services offerts en dehors du PSMTM, tels les Services d'aide aux employés, le Programme de gestion informelle des conflits, le Système de soutien par les pairs et le Système de rapports en milieu de travail.

Pendant la transition vers le nouveau cadre de travail, les gestionnaires doivent prendre connaissance de la nouvelle politique et des modifications qui ont été apportées aux politiques connexes. Quant aux membres, ils doivent se familiariser avec les organisations syndicales et les relations de travail.

Pendant cette période de transition, nous ne devons pas perdre de vue notre priorité absolue, la primauté des opérations. Sachez que les relations de travail sont une priorité pour la GRC et que je vous fournirai de l'information dès qu'elle sera disponible.

Bob Paulson
Commissaire

Communiqué du commissaire - Fin des retenues salariales pour la cotisation au Fonds de recours juridique des membres de la Gendarmerie

Date d'émission : 2016-02-19

La GRC entend conclure les retenues salariales pour la cotisation au Fonds de recours juridique des membres de la Gendarmerie le 30 mars prochain.

Par sa décision dans l'affaire Association de la police montée de l'Ontario c. le Procureur général du Canada, la Cour suprême du Canada a déterminé que l'imposition du Programme des représentants des relations fonctionnelles (PRRF) était inconstitutionnelle.

De nouvelles dispositions législatives seront adoptées qui offriront aux membres l'option d'accréditer un agent négociateur chargé de représenter leurs intérêts auprès de l'employeur, le Conseil du Trésor.

Le maintien des retenues pour les cotisations par le système de la paie pourrait être interprété comme une pratique déloyale de travail en raison des liens étroits entre le PRRF et le Fonds de recours juridique depuis sa création.

Le Fonds de recours juridique pourra vous transmettre des directives concernant vos options futures quant au maintien des cotisations

Bob Paulson
Commissaire

Communiqué du Dirigeant principal des Ressources humaines - Relations de travail à la GRC

Date d'émission : 2015-02-17

Le 16 janvier dernier, la Cour suprême du Canada (CSC) a rendu sa décision dans l'affaire Association de la police montée de l'Ontario c. Procureur général du Canada, qui proclame l'inconstitutionnalité du régime de relations du travail actuel de la Gendarmerie royale du Canada.

On a mis sur pied un groupe de travail interministériel comprenant le Secrétariat du Conseil du Trésor, la Sécurité publique et la GRC.

La CSC suspend les effets de son jugement pour 12 mois, durant lesquels le Programme des représentants des relations fonctionnelles demeurera en vigueur.

Par suite de ce jugement, de nombreux groupes d'intérêts préconiseront des positions particulières, et nous prévoyons que ces démarches se poursuivront dans les jours et les mois qui viennent. La GRC a récemment reçu des demandes d'utilisation de nos ressources pour distribuer de l'information concernant la décision. J'attire votre attention sur le paragraphe III.2.1.1 du Manuel d'administration de la GRC, « On réserve l'usage des réseaux ou des systèmes de communication de la GRC aux affaires officielles internes », comme le réseau de courriel et les systèmes radio. Ainsi, ces systèmes ne peuvent être utilisés pour soutenir ou promouvoir un modèle de relations de travail ou une association particulière, ou s'y opposer, et de diffuser de l'information sur le sujet. Les employés qui désireraient participer à de telles démarches doivent le faire dans leur temps libre en n'utilisant que leurs propres ressources, leurs installations et leurs équipements.

Nous nous engageons à vous tenir à jour sur les progrès réalisés dans ce dossier.

Sous-commissaire Daniel Dubeau
Dirigeant principal des Ressources humaines

Proposed legislation to create a new RCMP labour relations regime

On March 9, 2016, the Government of Canada introduced legislation (Bill C-7) to create a new labour relations regime for RCMP members and reservists. If passed, the legislation would address the Supreme Court of Canada decision in the Mounted Police Association of Ontario (MPAO) v. Attorney General of Canada case, which found key parts of the current RCMP labour relations regime to be unconstitutional.

Bill C-7 respects the Supreme Court of Canada's decision and the important role of the RCMP as Canada's national police force. While the proposed legislation is in line with some police jurisdictions in Canada as far as elements of collective bargaining, Bill C-7 includes general restrictions related to staffing and pensions that are precluded from collective bargaining for other federal public servants as well. Most importantly, Bill C-7 will ensure members are able to exercise their Charter-protected freedoms, including freedom of association.

Canadians may be interested in understanding what the RCMP is doing to prepare for this significant change to its labour relations regime — one that would be independent from RCMP management — and why the RCMP has already taken specific action in response to the Supreme Court's decision.

The dissolution of the Staff Relations Representative Program (SRRP)

RCMP members are not unionized and have been represented through the SRRP. The Supreme Court of Canada's decision in January 2015 determined that the imposition of the SRRP was unconstitutional. The Court gave the Government of Canada one year to address this, and then granted an extension to May 16, 2016.

As a result, the dissolution of the SRRP began this February and will be completed by May 17, 2016. However, until Bill C-7 is passed and a bargaining agent becomes certified, RCMP members still need a mechanism to receive individual advice, support, guidance and workplace representation with respect to workplace issues. That is why the RCMP Commissioner introduced the Member Workplace Services Program in early February 2016.

Cessation of payroll deductions for the Mounted Police Members Legal Fund

As a result of the Supreme Court's decision, the RCMP recently moved to stop members' payroll deductions for membership fees to the MPMLF. Given the relationship between the SRRP and the MPMLF, continuing to deduct legal fund membership fees via the RCMP Member Pay System could be seen as inappropriate and an unfair labour practice. It should be noted that the MPMLF still exists and that it is seeking other options for the payment of dues.

Access to RCMP communications networks by interested associations

The RCMP has made considerable efforts to put appropriate guidelines in place for consistency, transparency and neutrality in our dealings with members and emerging interested employee organizations. For these reasons, the RCMP is not allowing any association to use RCMP resources. This approach is consistent with standard labour practices.

Given this, RCMP members were advised in February 2015 that internal systems (e.g. email and radio systems) are not to be used to disseminate information on any particular labour relations model or employee organization. RCMP Administration Manual, ch III. 2.1.1, refers to correspondence and messages, and states "RCMP communications networks or systems will only be used for official business." Should employees wish to participate in related activities, they must do so on their own time and using their own resources, facilities and equipment.

The exclusion of harassment and conduct matters from Bill C-7

The Government of Canada excluded harassment and conduct from the proposed collective bargaining regime to reflect the legislative authorities under the Royal Canadian Mounted Police Act.

The new RCMP member conduct process (which came into force in November 2014 under the Enhancing Royal Canadian Mounted Police Accountability Act) effectively integrated the Treasury Board Policy on Harassment Prevention and Resolution into the broader RCMP system for harassment complaint investigation, resolution and appeals.

The new RCMP Investigation and Resolution of Harassment Complaints process, which was developed through extensive consultation, now provides for a comprehensive, seamless means to respond to harassment complaints, one that provides for informal resolution and relationship repair efforts to be undertaken when appropriate, but that also provides for procedural rights for complainants and respondents once an investigation is initiated.

The decision makers in respect of harassment complaints have the authority to impose conduct measures on respondents where appropriate, without having to initiate an entirely new proceeding, as harassment is now a specifically identified contravention of the RCMP Code of Conduct. In addition, complainants and respondents have access to an appeals process that provides for certain appeals to be subject to a review by an external, independent tribunal, the RCMP External Review Committee.

Background

Commissioner's Broadcast - Launch of new Member Workplace Services Program

Date issued: 2016-02-04

As we move into the next phase of our labour relations transition, I would like to announce the launch of the Member Workplace Services Program (MWSP).

The new program was created in response to the Supreme Court of Canada's ruling in Mounted Police Association of Ontario (MPAO) v. Attorney General of Canada that found the imposition of the Staff Relations Representative Program (SRRP) unconstitutional.

The SRRP has been an integral part of the Force for more than 41 years. We appreciate the dedication and the individual and collective efforts from all the staff relations representatives over the years.

However, with the dissolution of the SRRP to be completed by May 17, 2016, my management team and I wanted to ensure the continuity of advice, support and guidance with workplace issues until a bargaining agent becomes certified.

Until the MWSP is fully implemented on May 17, 2016, you are encouraged to contact your existing SRR or sub-representative as they will continue to provide services in a modified role until the new Member Workplace Advisors (MWA) are selected.

MWAs will be allocated by division, using a fair and transparent selection process. You will have the opportunity to be involved and contribute to your workplace by becoming an MWA or by selecting your preferred advisor. The selection process will roll out over the next few weeks, depending on your division. Details on this process can be found on the new MWSP Infoweb site that launched today.

The new site also outlines the role of the new advisors and the many programs and services that are already in place to assist you outside of the MWSP, such as Employee Assistance Services, the Informal Conflict Management Program, the Peer to Peer System and the Workplace Reporting System.

As we transition to the new framework, managers must familiarize themselves with the related new policy and other related policy amendments, while members must familiarize themselves with employee organizations and labour relations.

During this period of change, we must remain focused on our top priority, the primacy of operations. Please know that labour relations is a priority for the RCMP and I remain committed to providing information to you as it becomes available.

Bob Paulson
Commissioner

Commissioner's Broadcast - Mounted Police Members Legal Fund payroll deductions to end

Date issued: 2016-02-19

The RCMP will cease members payroll deductions for membership fees to the Mounted Police Members Legal Fund (MPMLF) on March 30, 2016.

The Supreme Court of Canadas decision in Mounted Police Association of Ontario - v. Attorney General of Canada determined that the imposition of the Staff Relations Representative Program (SRRP) was unconstitutional.

New legislation will be coming into force giving regular members the choice to certify a bargaining agent to represent their interests with the Employer, Treasury Board.

Continuing to deduct MPMLF membership fees via the Member Pay System could be seen as an unfair labour practice due to the extensive relationship between the SRRP and the MPMLF since its inception.

You may receive information directly from the MPMLF as to your future options to maintain this payment.

Bob Paulson
Commissioner

Chief Human Resources Officer Broadcast - Labour Relations in the RCMP

Date issued: 2015-02-17

On January 16, 2015, the Supreme Court of Canada (SCC) rendered its decision in Mounted Police Association of Ontario v. Attorney General of Canada, declaring that the current labour relations regime in the Royal Canadian Mounted Police (RCMP) is unconstitutional.

An interdepartmental project group has been established to review this decision that includes Treasury Board of Canada Secretariat, Public Safety Canada and the RCMP.

The SCC suspended its declaration for a period of 12 months. As a result, the Staff Relations Representative Program will remain in effect during the suspension period.

Many interest groups are advocating specific positions as a result of this ruling and we anticipate this will continue in the days and months ahead. The RCMP has recently received requests to use our resources to distribute information pertaining to the ruling. I draw your attention to the RCMP Administration Manual, ch III. 2.1.1, "RCMP communications networks or systems will only be used for official business," which includes email and radio systems. As such, these systems shall not be used to promote and/or advocate for or against a particular labour relations model or a particular association, or to disseminate information on the subject. Should employees wish to participate in these activities, they must do so on their own time and using their own resources, facilities and equipment.

We are committed to keeping all employees informed as this project moves forward.

Deputy Commissioner Daniel Dubeau
Chief Human Resources Officer

TEAM application

Executive summary

On January 1, 2010, Treasury Board Ministers approved the policy on the Stewardship of Financial Management Systems (FMS). This policy took effect immediately, replacing the policy on Financial Systems and Controls dated October 1, 1996. The objective of this policy is to ensure that financial management systems deliver more accurate, reliable, accessible and timely financial information.

To achieve these objectives, the policy on the Stewardship of Financial Management Systems sets out the responsibilities of deputy heads as they relate to financial management systems:

1. Providing leadership and strategic direction for their departmental FMS, business processes and data;
2. Ensuring prudent investments are made in FMS that meet operational requirements and that are aligned with the strategic direction for FMS across government, in compliance with Treasury Board directions;
3. Allocating appropriate resources to ensure a timely implementation of standardized configurations of FMS, common financial management business processes and common enterprise data requirements as defined by the Office of the Comptroller General (OCG);
4. Assigning a departmental representative to the relevant FMS cluster group, where they will actively participate to ensure that departmental business needs are considered in that forum while adhering to OCG direction for FMS.

This report contains a Privacy Impact Assessment (PIA) for seven business functions supported by the TEAM application. TEAM provides financial and material functions for both the RCMP and Public Safety Canada (PSC). This means that the TEAM application supports the organization's responsibility for Budget Accountability, Expenditure Control, Revenue Management, Materiel Management, Earned Independence, Corporate Systems Integration (CSI), Project & Portfolio Management and Investment Planning.

Although an administrative system, TEAM provides a vital role in the managerial process of the two departments and provides the information required by the Government of Canada (GoC) in the Public Accounts and processes all financial transactions for the two departments. TEAM is an integrated system procured from SAP by the GoC through the Treasury Board Secretariat (TBS) Shared Systems Initiative.

As part of the ongoing commitment to maintain the latest versions of the SAP product suite to capitalize on shared efforts, the RCMP successfully upgraded SAP version 4.7 to latest SAP ECC 6.0 product in November 2011. As a result of this upgrade, it positioned the RCMP to support the ongoing development of the new business functions in TEAM and will support future GoC initiatives.

The subjects of this Privacy Impact Assessment are the following seven business functions that relate to personal information in TEAM:

1. Direct Deposit (DD)
   Solution which pays employees directly to their bank accounts for travel related claims;
2. Housing Rental Calculations (HRC)
   Solution which captures spousal and dependent information to produce housing rental calculations;
3. Salary Forecasting (SF)
   Solution which uses employee classification and salary information to produce salary forecasts;
4. Travel (TR)
   Solution that supports all aspects of travel authorization and claims processing;
5. Shift Scheduling (SS)
   Solution for Members and employees which allows work shifts to be scheduled electronically;
6. Extra Duty Pay (EDP)
   Solution for extra duty pay entitlements for Members that streamlines the approval and payment process through to the Member Pay System (MPS);
7. Delegation Financial Signing Authority (DFSA)
   Solution to assign signature cards to select employees to grant them specific levels of financial authority.

Though the TEAM application contains limited personal data, its risk profile is significantly influenced by the number of financial-related processes that are supported and the breadth of its user base throughout the RCMP organization.

The following are the primary recommendations:

1. Personal Information Banks (PIB)

Treasury Board Secretariat has developed Standard Personal Information Banks to describe personal information that may be found in records created, collected and maintained by most government institutions to support common internal functions, programs and activities. Section 11 of the Privacy Act requires that government institutions describe their personal information holdings in the relevant section(s) of Info Source. As a result, it is mandatory that the RCMP register with TBS any missing PIBs applicable to the TEAM business functions as part of the programs responsibility.

Recommendation #1: The RCMP ensures that Standard Personal Information Bank numbers PSU 931, PSE 903, PSU 935, and PSE 904 are registered with TBS as related to TEAM, by September 30, 2015. This guarantees that the RCMP is compliant in posting up-to-date PIB information in Info Source where the creation, collection and maintenance of employee personal information is concerned. These standard PIBs support the collection of personal information by the RCMP for the purposes of the seven TEAM business functions that are the subject of this Privacy Impact Assessment.

2. Unclear control of personal information

TEAM is used to capture personal information to support the following business functions; Direct Deposit, Shift Scheduling, Housing Rental Calculations, Salary Forecasting, Delegation of Financial Signing Authority, Travel, and Extra Duty Pay. The RCMP has both custody and control of personal information while the information is resident in TEAM. The RCMP provides personal information to Public Works and Government Services Canada (PWGSC) with the understanding that the personal information provided is used directly in relation to the purposes for which it is intended and in accordance with applicable legislation or regulation. The method of sharing the information did not change with the new architecture; however this is an opportune time to formalize the confidentiality agreement between parties (i.e. RCMP and PWGSC).

Recommendation #2: Development of a formal agreement for information provided to third parties that acknowledges their legal responsibility for the protection of personal information provided to them in accordance with the Privacy Act. A plan to address all formal agreements will be prepared by March 31, 2016. All formal agreements will either be provided to the OPC or will be available on demand by March 31, 2017.

3. PIA executive summary

The Treasury Board Directive on Privacy Impact Assessments and the RCMP PIA Policy Admin Manual III.12.3.2.12 requires that an Executive Summary is posted to the corporate website to advise the general public on how their personal information is being collected, used, disclosed, retained and disposed. The summary also outlines the privacy risks linked to the collection of personal information for the purpose of TEAM as well as the mitigating measures developed by the RCMP to reduce and/or eliminate these risks. The publication of the Summary should be done considering security requirements and other confidentiality or legal considerations.

Recommendation #3: The RCMP posts a TEAM PIA Executive Summary, in both official languages, to the corporate website that explains the purpose of the TEAM PIA and outlines the mitigating measures developed by the RCMP to reduce and/or eliminate these risks by December 31, 2015.

4. Risk Mitigation Plan Implementation, Threat and Risk Assessment - TEAM

A Threat and Risk Assessment (TRA) was conducted for the TEAM system in 2014. The assessment determined the safeguards necessary to mitigate risk to the appropriate level based on the sensitivity and criticality of the assets being evaluated. The assessment is in compliance with the Policy on Government Security (PGS) and Operational Security Standard: Management of Information Technology Security (MITS), both issued by Treasury Board of Canada Secretariat. The report concluded that the business function improvements in TEAM necessitated that the TEAM system will be required to communicate with additional systems/devices beyond the existing connections. These systems are: Human Resource Management Information System (HRMIS), Fax Server, Bar Code reader, Managed Secure File Transfer Server, Solution Manager Server, Database Servers, SAP Content Server, uPerform Server, Email Server, SAP router, Production Mainframe. The TEAM system was found to be at a medium level of assessed risk. The RCMP's target risk is low as per the TRA conducted by the CIO Sector. Safeguards were recommended to lower the risk and the recommendations were prioritized. A Risk Mitigation Plan was developed and accepted by the RCMP DSO. They were as follows:

1. Public Safety to implement Strong 2 Factor Authentication (2FA) in order to access TEAM from their network. COMPLETED
2. Control-M agent needs to be moved within the Protected B TEAM environment. COMPLETED
3. Bar Code credential file residing on the Telnet Server must be encrypted or properly safeguarded to prevent unauthorized access to TEAM. Status: Interim solution approved, but yet to be completed.
4. Remote Vendor access process to the TEAM Production environment must be determined and approved. Status: Process identified, but yet to be completed.
5. uPerform Help File Server must be moved within the Protected B TEAM environment as it is a component of the system. COMPLETED

Recommendation #4: To achieve the RCMP's target risk of low for the TEAM system; it is required that all recommended safeguards be implemented within 24 months' time as outlined in the 2014 TEAM Threat and Risk Assessment dated March 7, 2014. At this point, 3 of the 5 recommended safeguards have been implemented.

5. Notice at collection of data – TEAM self-serve portal

In completing the PIA, a gap was identified in relation to communicating with the user the purpose and authority for collection of data in this new functionality. The portal should be updated to include this information.

Recommendation #5: Additional information should be added to the self-serve TEAM portal to ensure the understanding of the purpose and authority for the collection of personal data by September 30, 2015.

Application TEAM

Sommaire

Le 1^er janvier 2010, les ministres du Conseil du Trésor ont approuvé la Politique sur la gérance des systèmes de gestion financière (SGF). Cette politique est entrée en vigueur immédiatement et a remplacé la Politique sur la gérance des systèmes de gestion financière du 1^er octobre 1996. Elle vise à garantir que tous les systèmes de gestion financière fournissent, en temps opportun, de l'information financière exacte, fiable et accessible.

À ce titre, la Politique sur la gérance des systèmes de gestion définit les responsabilités des administrateurs généraux à l'égard des systèmes de gestion financière :

1. Assurer le leadership et l'orientation stratégique en matière de SGF, de données et de processus opérationnels;
2. Veiller à réaliser des investissements conservateurs en matière de SGF qui répondent aux exigences opérationnelles et qui sont harmonisés à l'orientation stratégique des SGF dans l'ensemble du gouvernement, conformément aux directives du Conseil du Trésor (CT);
3. Allouer des ressources appropriées pour assurer la mise en œuvre opportune des configurations normalisées du SGF, des processus opérationnels communs de gestion financière et des exigences communes en matière de données opérationnelles définis par le Bureau du contrôleur général (BCG);
4. Nommer un représentant ministériel auprès du regroupement d'utilisateurs des SGF concerné, qui sera chargé de veiller activement à la prise en compte des besoins opérationnels du ministère dans le cadre de ce forum et au respect de l'orientation fournie par le BCG au sujet des SGF.

Le présent rapport comprend une évaluation des facteurs relatifs à la vie privée (EFVP) qui touche sept fonctions opérationnelles prises en charge par l'application TEAM. Le système TEAM procure des fonctions de gestion financière et d'actifs à la GRC et à Sécurité publique Canada (SPC). L'application TEAM appui donc l'organisation en matière de responsabilité budgétaire, de contrôle des dépenses, de gestion des recettes, de gestion du matériel, d'indépendance acquise, d'intégration des systèmes généraux, la gestion de portefeuilles et de projets et la planification des investissements.

Bien qu'il s'agisse d'un système administratif, TEAM joue un rôle crucial dans le processus de gestion des deux organisations, permettant de transmettre aux Comptes publics les données exigées par le gouvernement du Canada (GC) et de traiter toutes les opérations financières des deux organisations. TEAM est un système intégré que le GC a acquis auprès de SAP dans le cadre de l'Initiative des systèmes partagés (ISP) du Secrétariat du Conseil du Trésor (SCT).

Dans le cadre de l'engagement continu de maintenir les versions les plus récentes de la suite de produits SAP pour tirer parti des efforts communs, la GRC a mis à jour son système de la version SAP 4.7 à la version SAP ECC 6.0 en novembre 2011. Avec cette mise à niveau, la GRC a été en mesure de prendre en charge le développement continu de nouvelles fonctions opérationnelles TEAM et des initiatives ultérieures du GC.

Les objets de cette EFVP sont les sept fonctions opérationnelles suivantes qui se rapportent aux renseignements personnels dans TEAM :

1. Dépôt direct
   Solution qui permet de déposer le remboursement de frais de déplacement directement dans le compte bancaire d'un employé.
2. Calculs des allocations de logement
   Solution qui permet de consigner des renseignements sur les conjoints et les personnes à charge afin de produire le calcul des allocations de logement.
3. Prévisions salariales
   Solution qui permet d'utiliser des renseignements sur la classification et le salaire de l'employé pour établir des prévisions salariales.
4. Voyages
   Solution qui prend en charge tous les aspects du traitement des demandes d'autorisation de voyager et des remboursements de frais.
5. Établissement des horaires
   Solution pour les membres et les employés qui permet de planifier les horaires de quarts de travail de manière électronique.
6. Paye pour fonctions supplémentaires
   Solution pour les versements des payes pour fonctions supplémentaires des membres qui simplifie les processus d'approbation et de paiement par l'entremise du Système de rémunération des membres (SRM).
7. Pouvoir de signer des documents financiers
   Solution qui permet d'attribuer des cartes de signature à des employés sélectionnés afin de leur accorder des niveaux précis de pouvoirs financiers.

Même si l'application TEAM contient peu de données personnelles, son profil de risque est fortement influencé par le nombre de processus financiers qu'elle prend en charge et l'ampleur de la base d'utilisateurs à l'échelle de la GRC.

Voici les principales recommandations :

1. Fichiers de renseignements personnels (FRP)

Le SCT a élaboré les fichiers de renseignements personnels ordinaires pour décrire les renseignements personnels que l'on retrouve dans les dossiers créés, recueillis et conservés par la plupart des institutions du gouvernement dans le cadre de leurs fonctions, activités et programmes internes courants. De plus, selon l'article 11 de la Loi sur la protection des renseignements personnels, les institutions fédérales sont tenues de décrire leurs fonds de renseignements personnels dans les sections pertinentes d'Info Source. Par conséquent, la GRC doit obligatoirement inscrire auprès du SCT tous les FRP qui s'appliquent aux fonctions opérationnelles de TEAM dans le cadre de la responsabilité du programme.

Recommandation 1 : La GRC doit s'assurer que les numéros des FRP PSU 931, PSE 903, PSU 935 et PSE 904 sont inscrits auprès du SCT comme étant liés à TEAM d'ici le 30 septembre 2015. De cette façon, la GRC s'assure de sa conformité lors de la publication de renseignements FRP à jour dans Info Source (création, collecte et tenue à jour des renseignements personnels des employés). Ces FRP ordinaires prennent en charge la collecte de renseignements personnels par la GRC pour les sept fonctions opérationnelles TEAM visées par la présente EFVP.

2. Ambiguïté liée au contrôle des renseignements personnels

TEAM est utilisé pour consigner des renseignements personnels en appui aux fonctions opérationnelles Dépôt direct, Établissement des horaires, Calcules des allocations de logement, Prévisions salariales, Pouvoir de signer des documents financiers, Voyages et Paye pour fonctions supplémentaires. La GRC garde et contrôle les renseignements personnels alors qu'ils se trouvent dans TEAM. La GRC fournit des renseignements personnels à Travaux publics et Services gouvernements Canada (TPSGC), étant entendu que les renseignements personnels fournis sont utilisés directement aux fins prévues, et ce conformément aux lois et aux règles applicables. La méthode de mise en commun des renseignements n'a pas changé dans la nouvelle architecture, mais il s'agit d'un bon moment pour officialiser l'entente de confidentialité entre les parties (GRC et TPSGC).

Recommandation 2 : La GRC doit élaborer une entente officielle au sujet des renseignements transmis à un tiers comme quoi celui-ci reconnaît sa responsabilité légale d'assurer la protection des renseignements personnels qui lui sont transmis en conformité avec la Loi sur la protection des renseignements personnels. Un plan pour élaborer les ententes formelles sera établi d'ici le 31 mars 2016. Toutes les ententes officielles seront fournies au CPVP ou seront disponibles sur demande d'ici le 31 mars 2017.

3. Sommaire de l'EFVP

La Directive sur l'évaluation des facteurs relatifs à la vie privée du Conseil du trésor et le Manuel d'administration des politiques d'EFVP III.12.3.2.12 requièrent la publication d'un sommaire sur le site Web ministériel afin d'informer le public sur la manière dont les renseignements personnels sont collectés, utilisés, divulgués, conservés et éliminés. Le sommaire décrit également les risques relatifs à la protection des renseignements personnels liés à la collecte de renseignements personnels dans le cadre de l'utilisation de TEAM, de même que les mesures d'atténuation élaborées par la GRC pour réduire ou éliminer ces risques. La publication du sommaire doit tenir compte des exigences en matière de sécurité et d'autres facteurs juridiques et relatifs à la confidentialité.

Recommandation 3 : La GRC doit publier, dans les deux langues officielles, le sommaire de l'EFVP de TEAM sur son site Web pour expliquer l'objectif de l'EFVP de TEAM et décrire les mesures d'atténuation élaborées par la GRC afin de réduire ou d'éliminer ces risques au plus tard le 31 décembre 2015.

4. Mise en œuvre du plan d'atténuation des risques, Évaluation des menaces et des risques – TEAM

Une évaluation des menaces et des risques (EMR) du système TEAM a été effectuée en 2014. L'évaluation a permis de cerner les mesures de sécurité nécessaires pour atténuer les risques au niveau approprié en fonction de la sensibilité et du caractère critique des actifs évalués. L'évaluation était conforme à la Politique sur la sécurité du gouvernement (PSG) et à la norme opérationnelle de sécurité Gestion de la sécurité des technologies de l'information (GSTI) du SCT. Le rapport conclut que les améliorations à apporter aux fonctions opérationnelles dans TEAM nécessitent que le système TEAM communique avec des systèmes/dispositifs au-delà des connexions existantes : système d'information sur la gestion des ressources humaines (SIGRH), serveurs de télécopie, lecteurs de code à barres, serveur pour la Gestion de transfert sécurisé de fichier, serveur Solution Manager, serveurs de bases de données, serveurs de contenu SAP, serveur uPerform, serveur de courrier électronique, routeur SAP, ordinateur central de production. Le niveau de risque évalué du système TEAM est moyen. Le niveau de risque cible de la GRC est faible selon l'EMR effectuée par le secteur du DPI. Des mesures de sécurité ont été recommandées pour réduire le risque et les recommandations ont été priorisées. Un plan d'atténuation des risques a été élaboré et accepté par l'ASM de la GRC :

1. SPC doit mettre en œuvre une authentification forte à deux facteurs pour ceux qui ont besoin d'accéder à TEAM à partir de son réseau. TERMINÉ
2. L'agent Control-M doit être transféré dans l'environnement TEAM protégé B. TERMINÉ
3. Le fichier de justificatif de code à barres qui se trouve sur le réseau Telnet doit être chiffré ou protégé adéquatement afin d'empêcher tout accès non autorisé à TEAM. Statut : Une solution provisoire a été approuvée, mais n'a pas encore été mise en œuvre.
4. Le processus d'accès à distance des fournisseurs à l'environnement de production TEAM doit être établi et approuvé. Statut : Un processus a été déterminé, mais n'a pas encore été mis en œuvre.
5. Le serveur uPerform Help File doit être transféré dans l'environnement TEAM protégé B puisqu'il s'agit d'un composant du système. TERMINÉ

Recommandation 4 : Pour atteindre le niveau de risque cible faible de la GRC pour le système TEAM, il faut que toutes les mesures de sécurité recommandées soient mise en œuvre au cours de la période de 24 mois déterminée dans l'Évaluation des menaces et des risques du système TEAM 2014 publiée le 7 mars 2014. À ce stade, trois des cinq mesures de protection recommandées ont été mises en œuvre.

5. Avis de collecte de données personnelles – Portail libre-service TEAM

La réalisation de l'EFVP a permis de relever une lacune sur la manière d'informer l'utilisateur de l'objet et de l'autorité responsable de la collecte de données dans cette nouvelle fonctionnalité. Le Portail devrait être mis à jour afin d'inclure cette information.

Recommandation 5 : Des renseignements supplémentaires devraient être ajoutés au Portail libre-service TEAM afin d'informer les utilisateurs de l'objet et de l'autorité responsable de la collecte de données au plus tard le 30 septembre 2015.

RECOL/CAFC System Merger

Executive summary

This report is a Privacy Impact Assessment (PIA) for the merged databases: the RCMP's web-based system, Reporting Economic Crime On-Line (RECOL) database and the Canadian Anti-Fraud Centre (CAFC) database (formally known as PhoneBusters). Both of these databases are Canadian repositories for the reporting of domestic and trans-national criminal fraud complaints.

The merging of these databases will provide better coordination of efforts at all levels to deal more effectively with the problem of fraud across jurisdictions. The scope of this PIA encompasses the integration of data collection from RECOL and the CAFC into one common national fraud complaint database. For clarification the updated RECOL reporting system will be now called CAFC Public Facing Module. The updated CAFC Call-Taker system will now be called CAFC Call-Taker Module. Both of these applications will feed into the CAFC centralized Oracle database located in the CPIC Data Centre in Ottawa.

The purpose of the old and new systems is to collect and store data generated by complainants and victims of fraudulent activities. Furthermore it will be used to gather and analyze intelligence information to assist law enforcement and investigative bodies involved in detecting, prosecuting and preventing fraud and other economic crime.

In the current CAFC environment in North Bay, Ontario, the CAFC accepts unverified complaints from the public related to identity theft and a variety of fraud schemes. The information is obtained through direct communication by telephone, facsimile, e-mail and regular mail. The security cleared bilingual call-takers record pertinent information that is voluntarily provided into the CAFC system (PhoneBusters). In the new system (CAFC Call-Taker), the Call-Takers duties will not change except adding the information into a web application instead of a windows application. The new system will also have new features and an up-to-date look. A complainant filing with the CAFC may receive a material copy of their complaint by making a formal request. The CAFC, for privacy reasons, asks that the request go through their local police or through the RCMP Access to Information and Privacy Branch. The filer can amend their original complaint by calling the call-taker centre.

With the new application, a number of Law Enforcement agencies will be granted access to the system in order to query data against the CAFC database. For those Law Enforcement agencies that will not have access to the system, they will request further information from the CAFC in North Bay by phone or e-mail. The CAFC Criminal Intelligence Analytical Unit (CIAU) will run queries for these Law Enforcement Agencies that do not have access to the CAFC system. The CIAU will disseminate complaint information on a priority basis, through intelligence reports emanating from the CAFC CIAU.

History of old applications

PhoneBusters commenced in 1993, as an OPP initiative, with a mandate to identify, investigate, and prosecute illegal telemarketers from Montreal who were preying on residents in Ontario and all across Canada. By 1997, PhoneBusters evolved from an investigative unit into a fraud complaint intake and intelligence centre that provides crime prevention and criminal investigative support. The complaint database maintained by the CAFC became an important tool for law enforcement. In 2001, the RCMP joined PhoneBusters as a contributing partner and it became the PhoneBusters National Call Center and is jointly managed and operated by the Ontario Provincial Police (OPP), Industry Canada's Competition Bureau and the RCMP Federal Coordination Centre. The CAFC is located in North Bay, Ontario.

Another way for complainants to currently report fraud and other economic crime is through RECOL, a secure web-based fraud reporting system which accepts almost any type of criminal fraud complaint via the World-Wide Web. The condition is that there needs to be some Canadian content involved, such as a victim/suspect domiciled in Canada or that the occurrence touched Canadian jurisdictional parameters. RECOL operates in a secure environment similar to what exists in Internet banking, i.e., secure socket layering and appropriate firewall devices.

Originally RECOL was designed and built primarily to keep pace with the advancement of technology and to offer victims an easy way to report economic crime across jurisdictions. A person or organization could use RECOL as a single point of contact to lodge a fraud complaint. RECOL is being mapped to a data standard format coordinated through the Public Safety Interoperability Directorate (PSID) under the auspices of Public Safety and Emergency Preparedness Canada (PSEPC). RECOL is a project recognized under the G-8 Law Enforcement Projects Sub-Group (LEPSG) agenda items. However the new CAFC Public Facing Module will now incorporate the most recent Government of Canada Web Standards (accessibility, usability, interoperability) directives. Currently all RECOL complaints are forwarded electronically through a virtual private network (VPN) to the National Crime Database (NCDB). Partners that have access to NCDB will access and retrieve their information from NCDB. Partners that do not have access to NCDB will have a secure mailbox (secure socket layer, SSL) in the RECOL domain to access and retrieve their information. Presently, the RCMP and the OPP are the only law enforcement agencies receiving direct RECOL notifications. It is expected within the next year that the information supplied to NCDB will stop as a new analytical database is being developed within the RCMP Federal Coordination Centre.

The CAFC Public Facing Module is an RCMP initiative and was developed by the Federal Coordination Centre to replace RECOL. To comply with government regulations, filers will now have to go to the Government of Canada GCKey webpage and sign-in with or register for a GCKey user ID and password prior to accessing the CAFC Public Facing Module which will replace the existing RECOL system. The CAFC Public Facing Module will automate complaint information analysis and directly send the information to the CAFC Oracle database. The CAFC Public Facing data includes personal identifiers such as name, date of birth, address, crime type, suspect information, victim information, filer information and narrative. Prior to the filer entering the information, the filer is presented with the fact that consent to the referral of the information to law enforcement is permitted by them submitting the information via the Internet.

New applications

The new CAFC system will include 3 modules for 3 different user bases. One application will be called CAFC Public-Facing Module and used by public only users. The second application will be called CAFC Call-Taker Module and used mostly by the Centre in North Bay (call-takers, SeniorBusters, Criminal Intelligence Analyst Unit) and by CIO support personnel. The third application will be called CAFC Law Enforcement Module and will be used by approved Law Enforcement partners. The CAFC Public-Facing and CAFC Call-Taker Module will write data to a centralized oracle database. The CAFC Law Enforcement Module will be used only to query a portion of the data stored in the centralized oracle database.

The new CAFC system will support the integrated policing philosophy. This initiative would provide complainants with alternate means of reporting fraud intelligence to law enforcement and accredited investigative bodies, while allowing the collection of complaint information into one centralized national law enforcement repository. Should the filer experience problems in logging onto the CAFC Public Facing Module or has difficulty while filing a complaint, bilingual support personnel would be available through the CAFC. Furthermore, it will reduce the number of duplicate records as the new CAFC Public Facing Module and the CAFC Call-Taker Module will both feed daily into a centralized CAFC Oracle database.

The new CAFC system will provide better criminal information and investigative support to law enforcement agencies through the quick and effective exchange of tactical and strategic information on a national and international basis. This will be done in accordance with the legal parameters for information sharing among respective jurisdictions. The efficiency of the CAFC Criminal Intelligence Analytical Unit will be greatly enhanced with a more robust national CAFC Oracle database.

The new CAFC system will standardize, encourage, and centralize fraud complaint reporting, thereby providing a better overall perspective on fraud activity in Canada. The information stored in the CAFC Oracle database would become one of the main sources of data in Canada for fraud statistics and trend analysis.

Personal information will be collected from complaint filers. At the onset, all filers will be informed of the purpose for collecting personal information and, they must accept that their information may be disclosed to relevant law enforcement agencies. This agreement by the filer must be done in order for their complaint to be included in the CAFC Oracle database. Filers will be further advised that if they are the victim of an ongoing fraud that they should immediately contact their police force of jurisdiction. Once a filer has given consent, all complaint data will be automatically channeled through the CAFC Public Facing Module and stored into the CAFC Oracle database. As has been stated, the information may be subsequently disclosed to law enforcement agencies for the purpose for which it was obtained, as per paragraph 8(2)(a) of the Canadian Privacy Act. The RCMP intends to exercise control over personal information disclosure to the law enforcement partners through privacy compliant MOUs. The CAFC Joint Management Team will be the approval authority granting agencies access to the data related to the CAFC`s mandate. Access to non CAFC related data will be granted by the RCMP Federal Coordination Centre located in Ottawa.

The records contained within the CAFC centralized database will be purged after 20 years from the date of creation. Since the primary purpose of the information is to identify trends, recurring Modus operandi, along with providing suspects, victims and witness information to law enforcement, the retention period will enable analysts to prevent future crimes, solve existing cases by sharing the intelligence information with local, national and international police agencies. The retention period for the operational fraud files will remain as is in their respective Occurrence/Records Management Systems (ORMS), as CAFC data resides as a separate data set on its own database.

The information gathered through the CAFC Oracle database would also be used for the purposes of planning, forecasting, training and intelligence evaluation. The RCMP will ensure that aggregate data and non-personal information will be used for such purposes.

In accordance with Departmental Security Branch and the Threat and Risk Assessment completed, the following privacy risks and mitigating strategies have been established.

• The risk of a technical attack against the application and database will be safeguarded by having the system operate in a highly controlled network environment. An Application scan will be done for the CAFC Public Facing and CAFC Call Taker Modules. The application in the Internet Presence Environment (IPE) will be behind a Web Application Firewall (WAF).
• The risk of unauthorized or unnecessary access to the applications will be safeguarded by having CAFC devices stored in a physically secure location. Law enforcement partners, CAFC and RCMP users will be granted access by the CAFC Policy administrator who will require non-RCMP users to sign Memorandums of Understanding to ensure privacy legislation is adhered to. All users will be required to have a Government of Canada GCKey or an Entrust Token to gain access to the database.
• The risk of the database being compromised will be safeguarded by having the system run on the RCMP ROSS system which will be located in a secure Ottawa location.
• The risk of security incidents will be safeguarded by monitoring, ISP intrusion detection, WAF and Secure Tokens.

In conclusion, the privacy issues and/or risks identified in this PIA can be resolved through the development, documentation and implementation of the resolutions outlined. The appropriate procedures and processes will ensure compliance with the Access to Information Act and the Privacy Act.

La fusion du système RECOL et la base de données du CAFC

Résumé

La présente est une Évaluation des facteurs relatifs à la vie privée (EFVP) pour la base de données qui naîtra de la fusion de la base de données Web de la GRC Signalement en direct des crimes économiques (RECOL) et de la base de données du Centre anti-fraude du Canada (CAFC) (anciennement PhoneBusters). Chacune de ces bases est un dépôt canadien où enregistrer les plaintes de fraude nationale et transnationale.

La fusion de ces bases de données facilitera la coordination des efforts de tous pour lutter plus efficacement contre le problème de la fraude d'un territoire à l'autre. L'EFVP porte sur l'intégration de la collecte de données du RECOL et du CAFC dans une seule base de données nationale en matière de fraude. À des fins de clarté, le système de signalement RECOL modernisé s'appellera le Module public CAFC et le système de prise d'appels du CAFC modernisé s'appellera le Module opérateur CAFC. Ces deux applications seront liées à la base de données centralisée Oracle du CAFC, hébergée au Centre de données du CIPC à Ottawa.

Ces systèmes, dans leur version nouvelle comme ancienne, servent à recueillir et à stocker l'information transmise par les plaignants et les victimes d'activités frauduleuses. On s'en servira aussi pour recueillir et analyser des renseignements afin d'aider les organismes d'application de la loi et d'enquête qui participent à la détection, à la poursuite et à la prévention de la fraude et d'autres crimes économiques.

Dans son environnement actuel à North Bay, en Ontario, le CAFC accepte du public des plaintes non vérifiées de vol d'identité et de divers stratagèmes de fraude. L'information lui parvient par communication directe, soit par téléphone, par télécopieur, par courriel ou par la poste. Un préposé bilingue qui a une habilitation de sécurité note au système du CAFC (PhoneBusters) l'information pertinente fournie volontairement. Avec le nouveau système (Module opérateur CAFC), les fonctions du préposé ne changent pas, sinon qu'il versera l'information dans une application Web plutôt que dans une application Windows. On en profitera pour renouveler l'imagerie et pour ajouter des caractéristiques nouvelles au système. Le plaignant qui fait un signalement au CAFC pourra en recevoir une copie en en faisant la demande. Pour des raisons de confidentialité, le CAFC souhaite que la demande soit faite à la police locale ou à la Direction de l'accès à l'information et de la protection des renseignements personnels de la GRC. Le plaignant peut modifier sa plainte d'origine en appelant au poste de réception des plaintes.

Plusieurs organismes d'application de la loi se verront octroyer l'accès à la nouvelle application afin de pouvoir en consulter la base de données. Quant à ceux qui n'y auront pas accès, ils pourront faire des demandes de renseignement au CAFC à North Bay, par téléphone ou par courriel. Le Groupe de l'analyse du renseignement criminel du CAFC (GARC) interrogera les bases de données pour les organismes d'application de la loi qui n'y auront pas accès. Le GARC produira des rapports de renseignements afin de diffuser l'information tirée des plaintes de manière prioritaire.

Origine des applications

Initiative de l'OPP, PhoneBusters a vu le jour en 1993 avec le mandat de démasquer des télévendeurs frauduleux installés à Montréal qui ciblaient des Ontariens et des Canadiens d'ailleurs, de mener l'enquête nécessaire et de les traîner devant la justice. En 1997, PhoneBusters n'était plus tant un groupe d'enquêteurs qu'un centre de réception des plaintes de fraude et de production de renseignement qui appuyait la prévention du crime et les enquêtes criminelles. La base de données des plaintes tenue par le CAFC est devenue un outil précieux pour les organismes d'application de la loi. En 2001, la GRC est devenue partenaire contributeur de PhoneBusters et le centre est devenu le Centre national d'appels PhoneBusters cogéré et coexploité par la Police provinciale de l'Ontario, le Bureau de la concurrence d'Industrie Canada et le Centre fédéral de coordination de la GRC. Le CAFC est situé à North Bay, en Ontario.

Les plaignants ont un autre outil pour signaler la fraude et autres crimes économiques : RECOL, un système Web sécurisé qui accepte le signalement de pratiquement tous les types de fraude sur la Toile. La seule condition posée est qu'il doit y avoir une composante canadienne en cause, par exemple la victime ou le suspect vivrait au Canada ou l'incident se déroulerait en partie au Canada. Le système RECOL fonctionne dans un environnement sécurisé semblable à ce qu'on trouve dans le domaine bancaire c.-à-d. protocole SSL et modules pare-feu adéquats.

À l'origine, le système RECOL a été conçu et lancé surtout pour suivre le rythme de l'évolution de la technologie et pour offrir aux victimes une façon facile de signaler des crimes économiques où qu'ils soient. Le système RECOL offrait aux particuliers et aux organisations un guichet unique où se plaindre d'une fraude. Le système RECOL est cartographié à un format de données standard sous la coordination de la Direction générale de l'interopérabilité en matière de sécurité publique (DGISP), sous la direction de Sécurité publique et Protection civile Canada (SPPCC). Le système RECOL est un projet qui figure au programme du Sous-groupe du G8 sur les projets d'action policière (SGPAP). Le nouveau Module public CAFC satisfera les normes Web les plus récentes du gouvernement du Canada (accessibilité, facilité d'emploi, interopérabilité). À l'heure actuelle, toutes les plaintes enregistrées au système RECOL empruntent un réseau privé virtuel (RPV) pour arriver à la Base nationale de données criminelles (BNDC). Les partenaires qui ont accès à la BNDC ont accès à ses données et peuvent les récupérer. Quant à ceux qui n'ont pas accès à la BNDC, ils ont une boîte aux lettres sécurisée (protocole SSL) dans le domaine RECOL afin d'accéder aux données et de les récupérer. Pour le moment, seules la GRC et l'OPP reçoivent des avis directement du système RECOL. L'on s'attend à ce que le transfert d'information à la BNDC cesse au cours de la prochaine année, quand le Centre fédéral de coordination de la GRC aura mis en œuvre la base de données d'analyse à laquelle il travaille actuellement.

Le Module public CAFC est une initiative de la GRC et a été conçu par le Centre fédéral de coordination pour remplacer le système RECOL. Comme l'exigent les règles gouvernementales, les plaignants devront dorénavant accéder à la page Web CléGC et soit ouvrir une session à l'aide de leur ID d'utilisateur CléGC et de leur mot de passe, soit s'enregistrer afin d'obtenir un ID d'utilisateur CléGC et un mot de passe avant d'accéder au Module public CAFC qui remplacera le système RECOL actuel. Le Module public CAFC automatisera l'analyse des données des plaintes et transmettra directement l'information à la base de données Oracle du CAFC. Les données du Module public CAFC comptent des renseignements personnels : nom, date de naissance, adresse, type de crime, information sur le suspect, information sur la victime, information sur le plaignant et narratif. Avant que le plaignant ne saisisse l'information, on l'avise qu'en envoyant l'information par Internet, il consent à ce qu'elle soit transmise aux organismes d'application de la loi.

Nouvelles applications

Le nouveau système du CAFC comptera trois modules destinés à trois publics d'utilisateurs distincts. Le module appelé Module public CAFC ne sera utilisé que par des utilisateurs publics. Le module appelé Module opérateur CAFC sera utilisé surtout par le personnel du Centre à North Bay (préposés à la réception, SeniorBusters, Groupe de l'analyse du renseignement criminel) et par le personnel de soutien du DPI. Un troisième module, appelé Module enquête CAFC, sera utilisé par les partenaires d'application de la loi autorisés. Les données inscrites au Module public et au Module opérateur seront saisies dans une base de données Oracle centralisée. Le Module enquête CAFC ne servira qu'à interroger une partie des données stockées dans la base de données Oracle centralisée.

Le nouveau système CAFC appuiera la philosophie de la police intégrée. Il offrira aux plaignants de nouvelles façons de signaler la fraude aux organismes d'application de la loi et aux organes d'enquête accrédités, et permettra aux enquêteurs de compiler toute l'information sur les plaintes dans un seul dépôt national centralisé. Si le plaignant éprouvait des difficultés à entrer dans le Module public CAFC ou à y saisir sa plainte, il pourra compter sur l'aide du personnel de soutien bilingue du CAFC. En outre, ce nouveau système réduira le nombre de doublons dans les dossiers, puisque le nouveau Module public CAFC et le Module opérateur CAFC alimenteront tous les jours la base de données centralisée Oracle du CAFC.

Le nouveau système du CAFC fournira aux organismes d'application de la loi un meilleur soutien en information criminelle et en enquête grâce à l'échange efficace et rapide d'information tactique et stratégique d'envergure nationale et internationale, dans le respect des paramètres légaux applicables au partage d'information entre territoires de compétence. La base de données nationale Oracle du CAFC étant plus robuste, elle augmentera de beaucoup l'efficacité du Groupe de l'analyse du renseignement criminel.

Le nouveau système du CAFC favorisera le signalement des plaintes de fraude, les normalisera et les centralisera, ce qui donnera une meilleure perspective globale sur l'activité de fraude au Canada. L'information stockée dans la base de données Oracle du CAFC deviendra l'une des principales sources de données au Canada pour les statistiques sur la fraude et pour l'analyse des tendances.

Des renseignements personnels seront recueillis sur les plaignants. Dès le départ, on les avisera que pour qu'on puisse recueillir des renseignements personnels, ils doivent accepter que leurs données soient communiquées aux organismes d'application de la loi visés. Le plaignant doit consentir à cette divulgation afin que sa plainte soit versée à la base de données Oracle du CAFC. On avisera aussi le plaignant que s'il est victime d'une fraude en cours, il doit communiquer immédiatement avec le service de police compétent. Une fois que le plaignant aura donné son consentement, toutes les données de sa plainte seront automatiquement transmises du Module public CAFC à la base de données Oracle du CAFC où elles seront stockées. Comme on l'a vu, l'information pourra être communiquée à des organismes d'application de la loi aux fins pour lesquelles elle a été recueillie, conformément à l'alinéa 8(2)a) de la Loi sur la protection des renseignements personnels du Canada. Pour que la communication de renseignements personnels à ses partenaires de l'application de la loi respecte la LPRP, la GRC entend leur faire signer des PE à cet effet. L'équipe de cogestion du CAFC aura le pouvoir d'autoriser l'accès des services aux données liées au mandat du CAFC. Quant aux données non liées au CAFC, l'accès y sera octroyé par le Centre fédéral de coordination de la GRC situé à Ottawa.

Les dossiers de la base de données centralisée du CAFC seront éliminés 20 ans après la date de leur création. Puisque le but premier de l'information est de révéler des tendances et des modes opératoires récurrents, et de fournir aux organismes d'application de la loi des renseignements sur les suspects, les victimes et les témoins, la période de rétention permettra aux analystes de prévenir de futurs crimes et de résoudre des dossiers existants en partageant renseignements et information avec les services de police locaux, nationaux et internationaux. La période de rétention des dossiers opérationnels concernant des fraudes demeure inchangée dans les systèmes de gestion des dossiers (SGD) de leurs propriétaires, puisque les données du CAFC résident séparément, dans leur propre base de données.

L'information recueillie dans la base de données Oracle du CAFC devrait aussi servir à des fins de planification, de prévision, de formation et d'évaluation du renseignement. La GRC veillera à ce que seules des données globales et non des renseignements personnels soient utilisées à de telles fins.

Selon la Sous-direction de la sécurité ministérielle, et selon l'évaluation de la menace et des risques effectuée, certains risques en matière de vie privée ont été cernés et des stratégies d'atténuation ont été élaborées en conséquence. Les voici :

• Pour prévenir le risque d'une attaque technique contre l'application et la base de données, on exploitera le système dans un environnement de réseau d'accès très contrôlé. On procédera au nettoyage de l'application à la fois dans le Module public CAFC et dans le Module opérateur CAFC. L'application dans l'Internet Presence Environment (IPE) sera protégée par un pare-feu d'applications Web (WAF).
• Pour prévenir le risque d'un accès non autorisé aux applications, on hébergera les appareils du CAFC en un lieu physiquement sécurisé. Les utilisateurs, qu'ils soient chez des partenaires de l'application de la loi, au CAFC ou à la GRC, devront obtenir l'accès au système auprès de l'administrateur de la politique du CAFC qui exigera des utilisateurs extérieurs à la GRC qu'ils signent un protocole d'entente par lequel ils s'engageront à respecter les lois protégeant la vie privée. Les utilisateurs devront avoir une CléGC du gouvernement du Canada ou un jeton Entrust pour accéder à la base de données.
• Pour prévenir le risque que la base de données soit compromise, le système tournera sur le système ROSS de la GRC, situé dans un lieu sécurisé à Ottawa.
• Pour prévenir le risque d'incidents de sécurité, on assurera de la surveillance, on détectera les intrusions chez le FSI, on mettra en place un pare-feu d'applications Web et on imposera des jetons de sécurité.

En conclusion, les problèmes et les risques en matière de vie privée relevés dans l'évaluation des facteurs relatifs à la vie privée peuvent être écartés par le développement, la mise par écrit et la mise en œuvre des résolutions mentionnées. Les méthodes et procédés pertinents nous permettront de respecter les dispositions de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.

Forward regulatory plan

A forward regulatory plan is a public list or description of anticipated regulatory changes or actions that a department intends to bring forward or undertake in a specified time frame. It is intended to give consumers, business, other stakeholders and trading partners greater opportunity to inform the development of regulations and to plan for the future. It should be noted that this forward regulatory plan will be adjusted and updated over time as RCMP's operating environment also changes over time.

This plan provides information on planned and potential regulatory initiatives that the RCMP expects to bring forward over the next two years. It also identifies public consultation opportunities and a departmental contact point for each regulatory initiative.

• Forward Regulatory Plan 2024-2026
• Forward Regulatory Plan 2023-2025
  • Amendment to the Criminal Record Verification for Civil Purposes Fee Regulations
  • Amendments to the Commissioner's Standing Orders (Conduct)
  • Repealing the Automated Fingerprint Identification System Fees Regulations
• Forward Regulatory Plan 2022-2024
  • Amendments to the Commissioner's Standing Orders (grievances and appeals)
• Forward Regulatory Plan 2021-2023
  • Amendments to the Commissioner's Standing Orders (Conduct)
• Regulatory Stock Review Plan: 2019-2022

Plan prospectif de la réglementation

Le plan prospectif de la règlementation se présente sous la forme d'une liste ou d'une description, accessible au public, qui répertorie les modifications réglementaires qu'un ministère entend, effectivement ou potentiellement, apporter dans un délai établi. Il a pour objet de donner aux consommateurs, aux entreprises ainsi qu'aux autres intervenants et partenaires commerciaux la possibilité d'intervenir au niveau de l'élaboration des règlements et de planifier l'avenir. Il importe néanmoins de noter que ce plan est appelé à être modifié et mis à jour au fur et à mesure que le contexte opérationnel de la GRC évolue.

Le présent plan fournit des renseignements sur les initiatives de réglementation prévues ou possibles que la GRC entend, effectivement ou potentiellement, mener au cours des deux prochaines années. Il décrit également les possibilités de consultation publique et fournir des renseignements relatifs à la personne ressource du ministère pour chacune de ces initiatives.

• Plan prospectif de réglementation 2024-2026
• Plan prospectif de réglementation 2023-2025
  • Règlement sur le prix à payer pour la vérification de casiers judiciaires à des fins civiles
  • Modifications des Consignes du commissaire (déontologie)
  • Abrogation du Règlement sur le prix à payer par les usagers du système automatisé d'identification dactyloscopique
• Plan des activités de réglementation à venir – 2022-2024
  • Modifications des Consignes du commissaire (griefs et appels), DORS/201-289 [CC (griefs et appels)].
• Plan des activités de réglementation à venir – 2021-2023
  • Modifications des Consignes du commissaire (déontologie)
• Plan d'examen des règlements existants : 2019-2022

Date de modification :

1969-12-31