4 avril 2024 — Cornwall (Ontario)
27 mars 2024 — Ottawa (Ontario)
March 27, 2024 — Ottawa, Ontario
MyCFP Safety Course Report Portal
Overview and privacy impact assessment initiation
Government institution
Royal Canadian Mounted Police
Head of the government institution or delegate for section 10 of the Privacy Act
Danielle Golden
Director of Privacy
Access to Information and Privacy Branch
Senior official or executive responsible for the privacy impact assessment
Joe Oliver
Senior Director, Strategy and Innovation
Canadian Firearms Program
Name and description of the program or activity of the government institution
Canadian Firearms Program
Legal authority for the program or activity
Firearms Act
Standard or institution-specific personal information bank
Canadian Firearms Program, RCMP PPU 100
Canadian Firearms Information System (CFIS), RCMP PPU 037
Inquiries by Firearms Owners, Licence Applicants, and the general public, RCMP PPU 007
Description of the project, initiative or change
The Royal Canadian Mounted Police (RCMP) Canadian Firearms Program (CFP) is modernizing its service delivery, a period of transformation and automation expected to evolve over five years. The upcoming changes are driven by government priorities led by the Minister of Public Safety and the Minister of Justice and Attorney General of Canada to improve the safety of our cities and communities and reduce gun violence by modernizing systems that are aging and can no longer support functionalities needed, are largely paper-based, and prone to significant error rates. These issues are further compounded by the inability of existing systems and processes to easily adapt to changing legislation, and by client expectations that services should be faster, easier and available at any time.
The MyCFP Safety Course Report Portal resides on the same cloud-based solution, the Canadian Firearms Digital Services Solution (CFDSS or "MyCFP") as does Online PAL (PIA submitted March 2023). CFDSS will require the collection and use of personal information to determine eligibility for the licencing and registration requirements of firearms as is required today by existing paper or electronic methods. CFDSS is a Microsoft cloud-based service that will coexist with the existing Canadian Firearms Information System (CFIS) until all functionality is fully integrated. Information collected in the MyCFP Safety Course Report Portal is stored and will operate in the RCMP's secure cloud Protected B environment and will interface with the on premise CFIS.
Purpose and scope of the privacy impact assessment
This PIA on the MyCFP Safety Course Report Portal is the second in a series of PIAs that is developed as the program's new online public-facing system evolves to ensure that the RCMP meets its legal obligations under the Privacy Act, and to ensure that privacy risks are identified, assessed, and mitigated. This initiative permits online submissions of safety course training information by certified Instructors who are responsible for reporting on behalf of their province's Chief Firearms Officer, a substantial modification to the collection of personal information by the CFP from a paper-based system to an online, cloud-based service.
The scope of the PIA is restricted to the change in how the CFP collects personal information related to safety course training. The same personal information for paper-based safety course reports will be collected by the Portal in accordance with the Firearms Act. Personal information collected in the Portal will only be used to determine the existence of an existing client/instructor profile in CFIS. Data linkages against the CFIS exist to verify individual identity.
Privacy analysis
Based on this assessment, privacy impacts associated with the collection and use of personal information in the MyCFP Safety Course Report Portal are expected to be moderate. Recommendations from the privacy impact assessment process, once fully completed, are expected to reduce these risks to a low (or acceptable) level. In addition, opportunities to improve the CFP's privacy practices through policy and technical measures were considered throughout the development of the PIA.
Risk area identification and categorization
A) Type of program or activity
Personal information is used for the administration of the Firearms Act (for example to facilitate legislative requirements) and may involve compliance and enforcement activities (for example as required for reasons of public safety and law enforcement).
Level of risk to privacy: Low to moderate risk
B) Type of personal information involved and context
Personal information, with no contextual sensitivities after the time of collection, provided by the individual with consent to also use personal information held by another source.
Level of risk to privacy: Low risk
C) Program or activity partners and privacy sector involvement
Within the institution, with other government institutions, federal, provincial or territorial, and municipal governments and private sector organizations, international organizations and/or foreign governments.
Level of risk to privacy: Elevated risk
D) Duration of the program or activity
Long-term program or activity
Level of risk to privacy: Moderate risk
E) Program population
The program's use of personal information for external administrative purposes affects certain individuals.
Level of risk to privacy: Moderate risk
F) Technology and privacy
- Does the new or substantially modified program or activity involve implementation of a new electronic system or the use of a new application or software, including collaborative software (or groupware), to support the program or activity in terms of the creation, collection or handling of personal information?
Risk to privacy: Yes
- Does the new or substantially modified program or activity require any modifications to information technology legacy systems?
Risk to privacy: No
- Does the new or substantially modified program or activity involve implementation of new technologies or one or more of the following activities:
- Enhanced identification methods;
Risk to privacy: No
- Surveillance;
Risk to privacy: No
- Automated personal information analysis, personal information matching and knowledge discovery techniques?
Risk to privacy: No
- Enhanced identification methods;
Level of risk to privacy: Moderate risk
G) Personal information transmission
Personal information collected by Instructors/SDAs and the RCMP using the myCFP Safety Course Report Portal will be shared or transmitted between internal groups who are involved in the administration of the Firearms Act, to support the CFP's delivery of services, or with law enforcement partners. The solution operates in the RCMP's secure Protected B Cloud environment, in compliance with the Government of Canada's security policies. Access to the solution is provided through multi-factor authentication using GCKey; access to personal information by internal users is role-based, and the solution provides robust auditing capabilities to monitor user authentication of system user's activity. External transmissions from the solution to students rely on GCNotify.
Level of risk to privacy: Low risk
H) Potential risk that in the event of a privacy breach, there will be an impact on the individual or employee
Although information collected from Instructors/Examiners related to their certification as Instructor is work-related, it is still considered personal information under the Privacy Act however information collected from Instructors is also not particularly sensitive. Personal information collected as part of the MyCFP Safety Course Report Portal process from student's includes their name, contact information, date of birth, and their test results that when combined or if the student is not successful the reason for failure is documented may be considered sensitive personal information. A breach resulting in the disclosure of personal information could result in loss of privacy, and potential embarrassment to the individual (with a failed test score). There may be some harm to the individuals (psychological) involved), however the impact is Moderate.
Level of risk to privacy: Moderate risk
Portail de rapports sur les cours de sécurité MonPCAF
Vue d'ensemble et lancement de l'évaluation des facteurs relatifs à la vie privée
Institution gouvernementale
Gendarmerie royale du Canada
Chef de l'institution gouvernementale ou délégué pour l'article 10 de la Loi sur la protection des renseignements personnels
Danielle Golden
Directrice de la Protection des renseignements personnels
Sous-direction de l'accès à l'information et de la protection des renseignements personnels
Haut fonctionnaire ou cadre responsable de l'évaluation des facteurs relatifs à la vie privée
Joe Oliver
Directeur principal, Stratégie et Innovation
Programme canadien des armes à feu
Nom et description du programme ou de l'activité de l'institution gouvernementale
Programme canadien des armes à feu
Autorité légale du programme ou de l'activité
Loi sur les armes à feu
Standard or institution-specific personal information bank
Programme canadien des armes à feu, GRC PPU 100
Système canadien d'information relative aux armes à feu (SCIRAF), GRC PPU 037
Requêtes des propriétaires d'armes à feu, des demandeurs de permis et du grand public, GRC PPU 007
Description du projet, de l'initiative ou du changement
Le Programme canadien des armes à feu (PCAF) de la Gendarmerie royale du Canada (GRC) modernise sa prestation de services et cette période de transformation et d'automatisation devrait s'étendre sur cinq ans. Les changements à venir s'inscrivent dans le cadre de priorités gouvernementales dirigées par le ministre de la Sécurité publique et le ministre de la Justice et procureur général du Canada qui visent à améliorer la sécurité de nos villes et de nos collectivités et à réduire la violence armée en modernisant des systèmes vieillissants qui ne remplissent plus les fonctions requises, qui reposent en grande partie sur des supports papier et qui sont sujets à des taux d'erreur importants. Ces problèmes sont exacerbés par le fait que les systèmes et les processus en place ne peuvent pas s'adapter facilement à l'évolution de la législation et aux attentes des clients qui souhaitent des services plus rapides, plus conviviaux et disponibles en tout temps.
Le Portail de rapports sur les cours de sécurité MonPCAF réside dans la même solution infonuagique, c'est à dire la Solution de services en ligne du Programme canadien des armes à feu (SSLPCAF ou « MonPCAF »), que la demande de Permis de possession et d'acquisition (PAL) en ligne (ÉFVP soumise en mars 2023). La SSLPCAF devra recueillir et utiliser des renseignements personnels pour déterminer l'admissibilité au permis et à l'enregistrement d'armes à feu, comme c'est le cas aujourd'hui avec les méthodes papier ou électroniques. La SSLPCAF est un service infonuagique de Microsoft qui coexistera avec le Système canadien d'information relative aux armes à feu (SCIRAF) en place jusqu'à ce que toutes les fonctionnalités soient entièrement intégrées. Les renseignements recueillis dans le Portail de rapports sur les cours de sécurité MonPCAF seront stockés et utilisés dans l'environnement infonuagique sécurisé protégé B de la GRC et seront compatibles avec le SSLPCAF hébergé dans les serveurs de la GRC.
Objectif et portée de l'évaluation des facteurs relatifs à la vie privée
L'ÉFVP sur le Portail de rapports sur les cours de sécurité MonPCAF est la deuxième d'une série d'ÉFVP élaborées au fur et à mesure de l'évolution du nouveau système en ligne du programme destiné au public, afin de garantir que la GRC respecte ses obligations légales en vertu de la Loi sur la protection des renseignements personnels et que les risques liés à la protection de la vie privée sont cernés, évalués et atténués. Cette initiative permet aux instructeurs accrédités responsables de faire rapport au nom du contrôleur des armes à feu provincial de soumettre en ligne des renseignements sur la formation de sécurité. Il s'agit d'un changement important dans la cueillette de renseignements personnels par le PCAF, qui passe d'un système sur papier à un système infonuagique en ligne.
La portée de l'ÉFVP se limite au changement dans la façon dont le PCAF recueille des renseignements personnels en lien avec la formation de sécurité. Les renseignements personnels recueillis dans le portail seront les même que dans les rapports sur la formation de sécurité sur papier, conformément à la Loi sur les armes à feu. Les renseignements personnels recueillis dans le portail ne seront utilisés que pour vérifier s'il y a un profil client/instructeur dans le SCIRAF. Du couplage de données avec le SCIRAF sera effectué pour vérifier l'identité de l'individu et le statut de l'accréditation de l'instructeur/ examinateur.
Analyse des facteurs relatifs à la vie privée
D'après cette évaluation, les incidences sur la vie privée associées à la cueillette et à l'utilisation de renseignements personnels dans le Portail de rapports sur les cours de sécurité MonPCAF devraient être modérées. Les recommandations qui découlent du processus d'évaluation des facteurs relatifs à la vie privée, une fois achevées, devraient ramener ces risques à un niveau faible (ou acceptable). En outre, les possibilités d'amélioration des pratiques du PCAF en matière de protection de la vie privée par des mesures stratégiques et techniques ont été prises en compte tout au long de l'élaboration de l'ÉFVP.
Identification et catégorisation des secteurs de risque
A) Type de programme ou d'activité
Les renseignements personnels sont utilisés pour l'administration de la Loi sur les armes à feu (p. ex. pour respecter les exigences législatives), notamment par des activités de conformité et d'application de la loi (p. ex. pour des raisons de sécurité publique et d'application de la loi).
Niveau de risque pour la vie privée : faible à modéré
B) Type de renseignements personnels et contexte
Renseignements personnels qui ne sont pas de nature délicate après le moment de la cueillette et qui sont fournis par un individu qui consent aussi à l'utilisation des renseignements personnels détenus par une autre source.
Niveau de risque pour la vie privée : faible
C) Partenaires du programme ou de l'activité et participation du secteur privé
Au sein de l'institution, avec d'autres institutions gouvernementales, les gouvernements fédéral, provinciaux ou territoriaux, les administrations municipales et les organisations du secteur privé, les organisations internationales et/ou les gouvernements étrangers.
Niveau de risque pour la vie privée : élevé
D) Durée du programme ou de l'activité
Programme ou activité à long terme.
Niveau de risque pour la vie privée : modéré
E) Personnes visées par le programme
L'utilisation des renseignements personnels à des fins administratives externes touche certaines personnes.
Niveau de risque pour la vie privée : modéré
F) Technologie et vie privée
- L'activité ou le programme nouveau ou considérablement modifié comprend t il la mise en œuvre d'un nouveau système électronique ou l'utilisation d'une nouvelle application ou d'un nouveau logiciel, y compris un logiciel de collaboration (ou logiciel de groupe), pour appuyer le programme ou l'activité dans la création, la cueillette ou le traitement des renseignements personnels?
Risque pour la vie privée : oui
- L'activité ou le programme nouveau ou considérablement modifié exige t il de modifier les anciens systèmes informatiques?
Risque pour la vie privée : non
- L'activité ou le programme nouveau ou considérablement modifié exige t il la mise en œuvre de nouvelles technologies ou d'une ou plusieurs des activités suivantes :
- Méthodes d'identification améliorées
Risque pour la vie privée : non
- Surveillance
Risque pour la vie privée : non
- Analyse automatisée des renseignements personnels, mise en correspondance des renseignements personnels et techniques de découverte de connaissances
Risque pour la vie privée : non
- Méthodes d'identification améliorées
Niveau de risque pour la vie privée : modéré
G) Transmission de renseignements personnels
Les renseignements personnels recueillis par les instructeurs/APS et la GRC dans le Portail de rapports sur les cours de sécurité MonPCAF seront diffusés ou transmis entre des groupes internes qui participent à l'administration de la Loi sur les armes à feu, afin d'appuyer la prestation des services du PCAF, ou avec des partenaires d'application de la loi. La solution fonctionne dans l'environnement infonuagique sécurisé protégé B de la GRC, conformément aux politiques de sécurité du gouvernement du Canada. L'accès à la solution est assuré par une authentification multifactorielle à l'aide d'une cléGC, l'accès aux renseignements personnels par les utilisateurs internes est fondé sur les rôles et la solution fournit des capacités de vérification robustes pour contrôler l'authentification des utilisateurs dans le système. Les transmissions externes de la solution aux étudiants reposent sur GCNotification.
Niveau de risque pour la vie privée : faible
H) Risque qu'une violation de la vie privée ait une incidence sur l'individu ou l'employé
Bien que les renseignements recueillis auprès des instructeurs/examinateurs concernant leur accréditation en tant qu'instructeur soient liés au travail, ils sont quand même considérés comme des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels, mais ils ne sont pas de nature particulièrement délicate. Les renseignements personnels recueillis auprès des étudiants dans le cadre du processus du Portail de rapports sur les cours de sécurité MonPCAF comprennent leur nom, leurs coordonnées, leur date de naissance et leurs résultats d'examen. Ces renseignements, lorsqu'ils sont combinés, ou si l'étudiant n'a pas réussi l'examen et que la raison de l'échec est documentée, peuvent être considérés comme des renseignements personnels de nature délicate. Une violation entraînant la divulgation de renseignements personnels pourrait entraîner une perte de vie privée et pourrait gêner la personne (si elle a échoué l'examen). Les personnes touchées pourraient subir un certain préjudice (psychologique), mais cette incidence est modérée.
Niveau de risque pour la vie privée : modéré
- Date de modification :