Second SNC Lavalin executive sentenced
April 24, 2024 — Ottawa, Ontario
Un second exécutif de SNC-Lavalin condamné
24 avril 2024 — Ottawa (Ontario)
Un groupe criminel organisé manque de chance
5 avril 2024 — Toronto (Ontario)
Organized crime group runs out of luck
April 5, 2024 — Toronto, Ontario
Tipster helps solve a gun smuggling case
April 4, 2024 — Cornwall, Ontario

MyCFP Safety Course Report Portal

Overview and privacy impact assessment initiation

Government institution

Royal Canadian Mounted Police

Head of the government institution or delegate for section 10 of the Privacy Act

Danielle Golden
Director of Privacy
Access to Information and Privacy Branch

Senior official or executive responsible for the privacy impact assessment

Joe Oliver
Senior Director, Strategy and Innovation
Canadian Firearms Program

Name and description of the program or activity of the government institution

Canadian Firearms Program

Legal authority for the program or activity

Firearms Act

Standard or institution-specific personal information bank

Canadian Firearms Program, RCMP PPU 100
Canadian Firearms Information System (CFIS), RCMP PPU 037
Inquiries by Firearms Owners, Licence Applicants, and the general public, RCMP PPU 007

Description of the project, initiative or change

The Royal Canadian Mounted Police (RCMP) Canadian Firearms Program (CFP) is modernizing its service delivery, a period of transformation and automation expected to evolve over five years. The upcoming changes are driven by government priorities led by the Minister of Public Safety and the Minister of Justice and Attorney General of Canada to improve the safety of our cities and communities and reduce gun violence by modernizing systems that are aging and can no longer support functionalities needed, are largely paper-based, and prone to significant error rates. These issues are further compounded by the inability of existing systems and processes to easily adapt to changing legislation, and by client expectations that services should be faster, easier and available at any time.

The MyCFP Safety Course Report Portal resides on the same cloud-based solution, the Canadian Firearms Digital Services Solution (CFDSS or "MyCFP") as does Online PAL (PIA submitted March 2023). CFDSS will require the collection and use of personal information to determine eligibility for the licencing and registration requirements of firearms as is required today by existing paper or electronic methods. CFDSS is a Microsoft cloud-based service that will coexist with the existing Canadian Firearms Information System (CFIS) until all functionality is fully integrated. Information collected in the MyCFP Safety Course Report Portal is stored and will operate in the RCMP's secure cloud Protected B environment and will interface with the on premise CFIS.

Purpose and scope of the privacy impact assessment

This PIA on the MyCFP Safety Course Report Portal is the second in a series of PIAs that is developed as the program's new online public-facing system evolves to ensure that the RCMP meets its legal obligations under the Privacy Act, and to ensure that privacy risks are identified, assessed, and mitigated. This initiative permits online submissions of safety course training information by certified Instructors who are responsible for reporting on behalf of their province's Chief Firearms Officer, a substantial modification to the collection of personal information by the CFP from a paper-based system to an online, cloud-based service.

The scope of the PIA is restricted to the change in how the CFP collects personal information related to safety course training. The same personal information for paper-based safety course reports will be collected by the Portal in accordance with the Firearms Act. Personal information collected in the Portal will only be used to determine the existence of an existing client/instructor profile in CFIS. Data linkages against the CFIS exist to verify individual identity.

Privacy analysis

Based on this assessment, privacy impacts associated with the collection and use of personal information in the MyCFP Safety Course Report Portal are expected to be moderate. Recommendations from the privacy impact assessment process, once fully completed, are expected to reduce these risks to a low (or acceptable) level. In addition, opportunities to improve the CFP's privacy practices through policy and technical measures were considered throughout the development of the PIA.

Risk area identification and categorization

A) Type of program or activity

Personal information is used for the administration of the Firearms Act (for example to facilitate legislative requirements) and may involve compliance and enforcement activities (for example as required for reasons of public safety and law enforcement).

Level of risk to privacy: Low to moderate risk

B) Type of personal information involved and context

Personal information, with no contextual sensitivities after the time of collection, provided by the individual with consent to also use personal information held by another source.

Level of risk to privacy: Low risk

C) Program or activity partners and privacy sector involvement

Within the institution, with other government institutions, federal, provincial or territorial, and municipal governments and private sector organizations, international organizations and/or foreign governments.

Level of risk to privacy: Elevated risk

D) Duration of the program or activity

Long-term program or activity

Level of risk to privacy: Moderate risk

E) Program population

The program's use of personal information for external administrative purposes affects certain individuals.

Level of risk to privacy: Moderate risk

F) Technology and privacy

  1. Does the new or substantially modified program or activity involve implementation of a new electronic system or the use of a new application or software, including collaborative software (or groupware), to support the program or activity in terms of the creation, collection or handling of personal information?

    Risk to privacy: Yes

  2. Does the new or substantially modified program or activity require any modifications to information technology legacy systems?

    Risk to privacy: No

  3. Does the new or substantially modified program or activity involve implementation of new technologies or one or more of the following activities:
    • Enhanced identification methods;

      Risk to privacy: No

    • Surveillance;

      Risk to privacy: No

    • Automated personal information analysis, personal information matching and knowledge discovery techniques?

      Risk to privacy: No

Level of risk to privacy: Moderate risk

G) Personal information transmission

Personal information collected by Instructors/SDAs and the RCMP using the myCFP Safety Course Report Portal will be shared or transmitted between internal groups who are involved in the administration of the Firearms Act, to support the CFP's delivery of services, or with law enforcement partners. The solution operates in the RCMP's secure Protected B Cloud environment, in compliance with the Government of Canada's security policies. Access to the solution is provided through multi-factor authentication using GCKey; access to personal information by internal users is role-based, and the solution provides robust auditing capabilities to monitor user authentication of system user's activity. External transmissions from the solution to students rely on GCNotify.

Level of risk to privacy: Low risk

H) Potential risk that in the event of a privacy breach, there will be an impact on the individual or employee

Although information collected from Instructors/Examiners related to their certification as Instructor is work-related, it is still considered personal information under the Privacy Act however information collected from Instructors is also not particularly sensitive. Personal information collected as part of the MyCFP Safety Course Report Portal process from student's includes their name, contact information, date of birth, and their test results that when combined or if the student is not successful the reason for failure is documented may be considered sensitive personal information. A breach resulting in the disclosure of personal information could result in loss of privacy, and potential embarrassment to the individual (with a failed test score). There may be some harm to the individuals (psychological) involved), however the impact is Moderate.

Level of risk to privacy: Moderate risk

Portail de rapports sur les cours de sécurité MonPCAF

Vue d'ensemble et lancement de l'évaluation des facteurs relatifs à la vie privée

Institution gouvernementale

Gendarmerie royale du Canada

Chef de l'institution gouvernementale ou délégué pour l'article 10 de la Loi sur la protection des renseignements personnels

Danielle Golden
Directrice de la Protection des renseignements personnels
Sous-direction de l'accès à l'information et de la protection des renseignements personnels

Haut fonctionnaire ou cadre responsable de l'évaluation des facteurs relatifs à la vie privée

Joe Oliver
Directeur principal, Stratégie et Innovation
Programme canadien des armes à feu

Nom et description du programme ou de l'activité de l'institution gouvernementale

Programme canadien des armes à feu

Autorité légale du programme ou de l'activité

Loi sur les armes à feu

Standard or institution-specific personal information bank

Programme canadien des armes à feu, GRC PPU 100
Système canadien d'information relative aux armes à feu (SCIRAF), GRC PPU 037
Requêtes des propriétaires d'armes à feu, des demandeurs de permis et du grand public, GRC PPU 007

Description du projet, de l'initiative ou du changement

Le Programme canadien des armes à feu (PCAF) de la Gendarmerie royale du Canada (GRC) modernise sa prestation de services et cette période de transformation et d'automatisation devrait s'étendre sur cinq ans. Les changements à venir s'inscrivent dans le cadre de priorités gouvernementales dirigées par le ministre de la Sécurité publique et le ministre de la Justice et procureur général du Canada qui visent à améliorer la sécurité de nos villes et de nos collectivités et à réduire la violence armée en modernisant des systèmes vieillissants qui ne remplissent plus les fonctions requises, qui reposent en grande partie sur des supports papier et qui sont sujets à des taux d'erreur importants. Ces problèmes sont exacerbés par le fait que les systèmes et les processus en place ne peuvent pas s'adapter facilement à l'évolution de la législation et aux attentes des clients qui souhaitent des services plus rapides, plus conviviaux et disponibles en tout temps.

Le Portail de rapports sur les cours de sécurité MonPCAF réside dans la même solution infonuagique, c'est à dire la Solution de services en ligne du Programme canadien des armes à feu (SSLPCAF ou « MonPCAF »), que la demande de Permis de possession et d'acquisition (PAL) en ligne (ÉFVP soumise en mars 2023). La SSLPCAF devra recueillir et utiliser des renseignements personnels pour déterminer l'admissibilité au permis et à l'enregistrement d'armes à feu, comme c'est le cas aujourd'hui avec les méthodes papier ou électroniques. La SSLPCAF est un service infonuagique de Microsoft qui coexistera avec le Système canadien d'information relative aux armes à feu (SCIRAF) en place jusqu'à ce que toutes les fonctionnalités soient entièrement intégrées. Les renseignements recueillis dans le Portail de rapports sur les cours de sécurité MonPCAF seront stockés et utilisés dans l'environnement infonuagique sécurisé protégé B de la GRC et seront compatibles avec le SSLPCAF hébergé dans les serveurs de la GRC.

Objectif et portée de l'évaluation des facteurs relatifs à la vie privée

L'ÉFVP sur le Portail de rapports sur les cours de sécurité MonPCAF est la deuxième d'une série d'ÉFVP élaborées au fur et à mesure de l'évolution du nouveau système en ligne du programme destiné au public, afin de garantir que la GRC respecte ses obligations légales en vertu de la Loi sur la protection des renseignements personnels et que les risques liés à la protection de la vie privée sont cernés, évalués et atténués. Cette initiative permet aux instructeurs accrédités responsables de faire rapport au nom du contrôleur des armes à feu provincial de soumettre en ligne des renseignements sur la formation de sécurité. Il s'agit d'un changement important dans la cueillette de renseignements personnels par le PCAF, qui passe d'un système sur papier à un système infonuagique en ligne.

La portée de l'ÉFVP se limite au changement dans la façon dont le PCAF recueille des renseignements personnels en lien avec la formation de sécurité. Les renseignements personnels recueillis dans le portail seront les même que dans les rapports sur la formation de sécurité sur papier, conformément à la Loi sur les armes à feu. Les renseignements personnels recueillis dans le portail ne seront utilisés que pour vérifier s'il y a un profil client/instructeur dans le SCIRAF. Du couplage de données avec le SCIRAF sera effectué pour vérifier l'identité de l'individu et le statut de l'accréditation de l'instructeur/ examinateur.

Analyse des facteurs relatifs à la vie privée

D'après cette évaluation, les incidences sur la vie privée associées à la cueillette et à l'utilisation de renseignements personnels dans le Portail de rapports sur les cours de sécurité MonPCAF devraient être modérées. Les recommandations qui découlent du processus d'évaluation des facteurs relatifs à la vie privée, une fois achevées, devraient ramener ces risques à un niveau faible (ou acceptable). En outre, les possibilités d'amélioration des pratiques du PCAF en matière de protection de la vie privée par des mesures stratégiques et techniques ont été prises en compte tout au long de l'élaboration de l'ÉFVP.

Identification et catégorisation des secteurs de risque

A) Type de programme ou d'activité

Les renseignements personnels sont utilisés pour l'administration de la Loi sur les armes à feu (p. ex. pour respecter les exigences législatives), notamment par des activités de conformité et d'application de la loi (p. ex. pour des raisons de sécurité publique et d'application de la loi).

Niveau de risque pour la vie privée : faible à modéré

B) Type de renseignements personnels et contexte

Renseignements personnels qui ne sont pas de nature délicate après le moment de la cueillette et qui sont fournis par un individu qui consent aussi à l'utilisation des renseignements personnels détenus par une autre source.

Niveau de risque pour la vie privée : faible

C) Partenaires du programme ou de l'activité et participation du secteur privé

Au sein de l'institution, avec d'autres institutions gouvernementales, les gouvernements fédéral, provinciaux ou territoriaux, les administrations municipales et les organisations du secteur privé, les organisations internationales et/ou les gouvernements étrangers.

Niveau de risque pour la vie privée : élevé

D) Durée du programme ou de l'activité

Programme ou activité à long terme.

Niveau de risque pour la vie privée : modéré

E) Personnes visées par le programme

L'utilisation des renseignements personnels à des fins administratives externes touche certaines personnes.

Niveau de risque pour la vie privée : modéré

F) Technologie et vie privée

  1. L'activité ou le programme nouveau ou considérablement modifié comprend t il la mise en œuvre d'un nouveau système électronique ou l'utilisation d'une nouvelle application ou d'un nouveau logiciel, y compris un logiciel de collaboration (ou logiciel de groupe), pour appuyer le programme ou l'activité dans la création, la cueillette ou le traitement des renseignements personnels?

    Risque pour la vie privée : oui

  2. L'activité ou le programme nouveau ou considérablement modifié exige t il de modifier les anciens systèmes informatiques?

    Risque pour la vie privée : non

  3. L'activité ou le programme nouveau ou considérablement modifié exige t il la mise en œuvre de nouvelles technologies ou d'une ou plusieurs des activités suivantes :
    • Méthodes d'identification améliorées

      Risque pour la vie privée : non

    • Surveillance

      Risque pour la vie privée : non

    • Analyse automatisée des renseignements personnels, mise en correspondance des renseignements personnels et techniques de découverte de connaissances

      Risque pour la vie privée : non

Niveau de risque pour la vie privée : modéré

G) Transmission de renseignements personnels

Les renseignements personnels recueillis par les instructeurs/APS et la GRC dans le Portail de rapports sur les cours de sécurité MonPCAF seront diffusés ou transmis entre des groupes internes qui participent à l'administration de la Loi sur les armes à feu, afin d'appuyer la prestation des services du PCAF, ou avec des partenaires d'application de la loi. La solution fonctionne dans l'environnement infonuagique sécurisé protégé B de la GRC, conformément aux politiques de sécurité du gouvernement du Canada. L'accès à la solution est assuré par une authentification multifactorielle à l'aide d'une cléGC, l'accès aux renseignements personnels par les utilisateurs internes est fondé sur les rôles et la solution fournit des capacités de vérification robustes pour contrôler l'authentification des utilisateurs dans le système. Les transmissions externes de la solution aux étudiants reposent sur GCNotification.

Niveau de risque pour la vie privée : faible

H) Risque qu'une violation de la vie privée ait une incidence sur l'individu ou l'employé

Bien que les renseignements recueillis auprès des instructeurs/examinateurs concernant leur accréditation en tant qu'instructeur soient liés au travail, ils sont quand même considérés comme des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels, mais ils ne sont pas de nature particulièrement délicate. Les renseignements personnels recueillis auprès des étudiants dans le cadre du processus du Portail de rapports sur les cours de sécurité MonPCAF comprennent leur nom, leurs coordonnées, leur date de naissance et leurs résultats d'examen. Ces renseignements, lorsqu'ils sont combinés, ou si l'étudiant n'a pas réussi l'examen et que la raison de l'échec est documentée, peuvent être considérés comme des renseignements personnels de nature délicate. Une violation entraînant la divulgation de renseignements personnels pourrait entraîner une perte de vie privée et pourrait gêner la personne (si elle a échoué l'examen). Les personnes touchées pourraient subir un certain préjudice (psychologique), mais cette incidence est modérée.

Niveau de risque pour la vie privée : modéré

Date de modification :