Programme de développement économique du Québec

Sommaire exécutif

Introduction

Ce rapport présente le résultat de l’analyse ainsi que les constatations, les conclusions et les recommandations découlant d’une évaluation des facteurs relatifs à la vie privée (ci-après « ÉFVP » ou « évaluation ») qui a été effectuée en lien avec les programmes et initiatives liés à l’octroi de subventions et contributions de Développement économique du Canada pour les régions du Québec (DEC).

À propos des programmes de DEC

Selon sa loi constituante entrée en vigueur le 5 octobre 2005, Développement économique du Canada pour les régions du Québec a pour mission de promouvoir le développement économique à long terme des régions du Québec. Le mandat de DEC est de favoriser le démarrage et la croissance de petites et moyennes entreprises et d’organismes à but non lucratif. Elle les aide à devenir plus concurrentielles, plus innovatrices et plus productives. De même, elle contribue au dynamisme de toutes les régions du Québec en portant une attention particulière aux collectivités à faible croissance économique.

Par l’intermédiaire de ses bureaux d’affaires et de ses conseillers, l’Agence a une présence bien ancrée dans l’ensemble des régions du Québec. Elle agit auprès des entreprises, surtout des petites et moyennes entreprises, ainsi que des organismes à but non lucratif. C’est principalement en apportant son soutien financier pour la réalisation de projets que l’Agence parvient à les appuyer dans leurs démarches de développement.

Outre son Programme de développement économique du Québec (PDEQ) et le programme de Croissance économique régionale par l’innovation (CERI) , l’Agence contribue à la conception et à la mise en œuvre de  programmes nationaux et d’initiatives ponctuelles ciblées.

Raisons à l’appui de la décision de mener cette ÉFVP

La Directive sur l'évaluation des facteurs relatifs à la vie privée publiée par le Conseil du Trésor du Canada (CT) le 1er avril 2010 précise que toutes les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels qui mettent sur pied, parrainent ou financent des programmes, des projets ou des initiatives qui impliquent la collecte, l’utilisation ou le partage de renseignements personnels, doivent envisager la tenue d’une ÉFVP avant d’aller de l’avant avec leurs projets et initiatives.

Ainsi, et conformément aux avis reçus de la part du Secrétariat du Conseil du Trésor (SCT), une ÉFVP fut donc menée au cours de l’exercice financier 2013-2014, et le rapport daté du 23 décembre 2013 en arriva au constat selon lequel « la collecte de renseignements personnels aux fins du PDEQ est très restreinte et que, même s’il arrive que des renseignements personnels soient pris en considération par l’Agence, les décisions découlant de ce processus ne sont pas prises à l’égard des individus concernés par ces renseignements mais plutôt à l’égard de la viabilité des projets proposés. Les renseignements personnels recueillis dans le cadre des activités reliées au PDEQ ne servent donc pas à des « fins administratives » au sens de la Loi sur la protection des renseignements personnels ». En conséquence, le rapport concluait qu’« il n’y a donc pas lieu de créer un fichier de renseignements personnels à leur égard ». Cependant, dans au moins un cas, l’Agence a, au cours de l’année 2014, recueilli des renseignements personnels qui pourraient éventuellement servir à la prise de décisions administratives ayant des conséquences pour un entrepreneur. Il fut alors déterminé qu’il était possible que d’autres dossiers de clients donnent lieu à la collecte de renseignements personnels similaires qui pourraient eux-aussi servir à la prise de décisions affectant des individus. En conséquence et conformément aux exigences du paragraphe 9(4) de la Loi sur la protection des renseignements personnels l’Agence a décidé de créer un fichier de renseignements personnels et de demander la mise à jour du rapport d’ÉFVP du 23 décembre 2013, afin qu’il reflète le nouveau contexte opérationnel du PDEQ. Un rapport à cet effet fut ainsi complété en date du 30 décembre 2015 et fit état de conclusions similaires.

Or, avec la récente mise en œuvre du système informatique Cortex, du programme Croissance économique régionale par l'innovation (CERI) ainsi que de certaines initiatives telles que le Fonds pour les femmes en entreprenariat, il fut déterminé qu’une nouvelle évaluation était requise afin d’inclure des renseignements personnels supplémentaires tels que le niveau et le champ d’éducation, l’appartenance à la communauté LGBTQ2, ainsi que le statut d’étudiant, tout en assurant la sécurité de nos systèmes informatiques afin de préserver l’intégrité de ces renseignements. L’EFVP présente donc le résultat de l’analyse ainsi que les constatations, conclusions et recommandations découlant du nouvel examen des pratiques de DEC reliées à l’administration des programmes et initiatives concernant l’octroi de subventions et contributions.

Objectifs de cette ÉFVP

La présente ÉFVP a donc eu pour objectifs :

  • de vérifier les fondements juridiques des programmes et initiatives de l’Agence liés à l’octroi de subventions et contributions;
  • de déterminer si tous les aspects de ces programmes et initiatives sont conformes aux exigences et, surtout, à l’esprit des dispositions pertinentes de la Loi sur la protection des renseignements personnels ainsi qu’aux principes généralement reconnus en matière de protection de la vie privée;
  • d’identifier les risques associés à la mise en œuvre de ces programmes et initiatives; et
  • de formuler, le cas échéant, des recommandations visant à assurer la conformité avec le cadre législatif et politique applicable et à éliminer ou, à tout le moins, atténuer les risques identifiés.

Constatations et conclusions

La protection des renseignements personnels dans le cadre des programmes et initiatives liés à l’octroi de subventions et contributions

L’examen a permis d’établir que la collecte de renseignements personnels aux fins des programmes et initiatives de DEC est très restreinte et que, même s’il arrive que des renseignements personnels soient pris en considération par l’Agence, les décisions découlant de ce processus ne sont pas prises à l’égard des individus concernés par ces renseignements, mais plutôt à l’égard d’organisations, en fonction de projets proposés. Les renseignements personnels recueillis dans le cadre de ces activités reliées ne servent donc pas à des « fins administratives » au sens de la Loi sur la protection des renseignements personnels.

Les résultats de l’analyse du facteur de risque suggèrent que les programmes et initiatives liés à l’octroi de subventions et contributions de DEC ne posent pas de risques significatifs à la vie privée des individus et que, dans la mesure où l’Agence fait preuve de vigilance raisonnable, il n’y a pas lieu de prendre des mesures spéciales afin d’assurer leur protection.

Conclusions :

L’administration des programmes et initiatives liés à l’octroi de subventions et contributions entraîne la collecte et la création d’un volume extrêmement restreint de renseignements personnels. L’évaluation a par ailleurs confirmé que ces renseignements personnels ne servent que très rarement à une fin administrative au sens de l’article 3 de la Loi sur la protection des renseignements personnels (« usage de renseignements personnels concernant un individu dans le cadre d’une décision le touchant directement »). Cela dit, il peut arriver que des renseignements personnels soient requis afin de déterminer l’admissibilité à un programme ou que des renseignements personnels d’ordre financier relatifs aux individus acceptant de se porter garant du remboursement d’une contribution consentie par l’Agence soient aussi recueillis.

En conséquence, la présente ÉFVP a mené à la formulation des recommandations suivantes :

Recommandation 1 - Conservation et disposition des renseignements personnels

Nous recommandons que des audits de visualisation soient réalisés de façon sporadique afin de contrôler les accès aux documents contenus dans Content Server ainsi que des renseignements contenus dans les systèmes de subventions et contributions. De plus, nous recommandons que les données du système Hermès Programmes et Cortex soient désormais inclues dans le calendrier de conservation et ainsi, soient archivées ou supprimées en vertu de normes clairement établies.

Recommandation 2 - Sauvegarde des renseignements personnels

Nous recommandons qu’une nouvelle évaluation des risques relativement aux bases de données financières soit effectuée lorsque de nouveaux systèmes sont mis en œuvre et qu’un paramètre soit mis en place afin de générer des alertes lorsque des dispositifs non gouvernementaux ou non sécurisés sont branchés aux systèmes de l’Agence.

Recommandation 3 - Limitation du droit d’accès

Nous recommandons de limiter l’accès aux états financiers des clients externes aux personnes pertinentes et concernées au sein de l’Agence.

En savoir plus sur DEC