Projet d amélioration des activités :

Projet d amélioration des activités : Favoriser la conformité à la Loi sur l accès à l information et la protection de la vie privée Projet conjoint du Bureau du commissaire à l information et à la protection de la vie privée/ontario et du Bureau de l accès à l information et de la protection de la vie privée du ministère de la Santé et des Soins de longue durée Commissaire à l information et à la protection de la vie privée/ontario Ministère de la Santé et des Soins de longue durée Avril 2003

Le Bureau du commissaire à l information et à la protection de la vie privée/ Ontario remercie de son travail M me Carolyn Lentz, chef de service, Bureau de l accès à l information et de la protection de la vie privée, Direction de la gestion ministérielle, Division des services ministériels et du développement organisationnel, ministère de la Santé et des Soins de longue durée. Cette publication est disponible sur le site Web du Bureau du commissaire. This publication is also available in English. Commissaire à l'information et à la protection de la vie privée/ontario 2, rue Bloor Est, Bureau 1400 Toronto (Ontario) M4W 1A8 416-326-3333 1-800-387-0073 Télécopieur : 416-325-9195 ATS (Téléimprimeur) : 416-325-7539 Site Web : www.ipc.on.ca Ministère de la Santé et des Soins de longue durée Division des services ministériels et du développement organisationnel Direction de la gestion ministérielle Bureau de l accès à l information et de la protection de la vie privée 5700, rue Yonge, 5 e étage Toronto (Ontario) M2M 4K5 Renseignements généraux : 416-327-7040 Télécopieur : 416-327-7044

Table des matières Introduction... 1 Aperçu du projet d amélioration des activités... 2 Composantes du projet d amélioration des activités du Bureau de l accès à l information et de la protection de la vie privée... 3 Placement... 3 Capacité organisationnelle... 3 Système de gestion des cas... 4 Responsabilités... 4 Processus... 4 Communications et formation... 5 Continuer d améliorer nos activités... 7 Annexe A Fiche technique sur l accès à l information et la protection de la vie privée... 9 Annexe B Traitement et sécurité des renseignements confidentiels Auto-évaluation à l intention des chefs de service... 13

Introduction En 2000 2001, le Bureau de l accès à l information et de la protection de la vie privée du ministère de la Santé et des Soins de longue durée a lancé un projet d amélioration de ses activités qui comprenait un certain nombre d éléments. Le présent document donne un aperçu du projet et aborde un élément clé : l importance des communications et de la formation pour les différents groupes de clients du ministère afin de favoriser une meilleure compréhension et une plus grande responsabilisation concernant le respect de la Loi sur l accès à l information et la protection de la vie privée. 1

Aperçu du projet d amélioration des activités Le ministère de la Santé et des Soins de longue durée est un grand ministère décentralisé. La question des services de santé est prioritaire pour la population, et le ministère doit mettre en oeuvre un important programme de réformes assorti d engagements gouvernementaux de premier plan. Dans un tel contexte, la gestion d un bureau de l accès à l information et de la protection de la vie privée présente certains défis. Le ministère détient une foule de renseignements personnels en matière de santé en raison des services qu il offre. La sécurité, la confidentialité et la protection des renseignements personnels et des banques de données qu ils détient sont des enjeux de taille pour le ministère. Augmentation du nombre de demandes 1998 2001 2001 2000 1999 1998 1 814 1 744 916 665 Le nombre de demandes d accès que le ministère reçoit augmente constamment depuis quelques années. Bon nombre de ces demandes sont complexes et reflètent l intérêt accru du public, des intervenants et des médias dans les questions liées à la santé et dans les demandes d accès aux renseignements personnels. Il y a quelques années, le ministère a commencé à avoir de la difficulté à respecter le délai de 30 jours fixé par la loi pour répondre aux demandes d accès en raison de hausses spectaculaires du volume de demandes. Après la publication du rapport annuel du Bureau du commissaire à l information et à la protection de la vie privée (CIPVP) en 2000, qui faisait état de la difficulté pour le ministère de respecter le délai de réponse, le CIPVP et le ministère ont entrepris une initiative conjointe visant à trouver des moyens d améliorer le taux de conformité. Avec le concours du Bureau d amélioration des activités du ministère et d un petit groupe consultatif, le Bureau de l accès à l information et de la protection de la vie privée a entrepris un projet d amélioration de ses activités pour s assurer qu il avait la structure et la capacité organisationnelles voulues ainsi que les processus, les outils et d autres mécanismes de soutien appropriés pour être performant et apte à aider le ministère à s acquitter des obligations qui lui incombent en vertu de la Loi. 2

Composantes du projet d amélioration des activités du Bureau de l accès à l information et de la protection de la vie privée Placement Instrument de gestion des cas Processus Capacité organisationnelle Responsabilités Communications et formation Placement Nous avons examiné où dans la structure fonctionnelle du ministère le Bureau de l accès à l information et de la protection de la vie privée devrait se situer. Il a été décidé de faire passer le Bureau de la Direction des services juridiques à la Direction de la gestion ministérielle qui relève de la Division des services ministériels et du développement organisationnel. Capacité organisationnelle Étant donné la hausse du volume de travail, nous avons également examiné la capacité et les ressources du Bureau de l accès à l information et de la protection de la vie privée. Pour établir la structure et le niveau de ressources appropriés du Bureau, nous avons intégré la planification de la relève dans le modèle organisationnel. Un poste de chef d équipe a été créé afin de soutenir le chef de service et un poste d aide-conseiller de premier échelon a été établi pour traiter les demandes courantes et ainsi libérer les conseillers et leur donner plus de temps pour s occuper des dossiers plus complexes. Une formation a également été donnée au personnel du Bureau. Cette initiative se poursuit à mesure que nous élaborons un programme de formation plus global doté d un curriculum et de modules et fondé sur une définition claire des connaissances, compétences et attitudes de base que doivent posséder des conseillers capables de donner un rendement supérieur. L apprentissage consiste pour le personnel à approfondir sa connaissance de la Loi, en particulier les aspects qui portent sur la protection de la vie privée, et à améliorer ses capacités d interprétation; à mieux comprendre l organisation du ministère, de ses différentes activités et de ses documents; à améliorer les techniques utilisées pour conseiller les clients, négocier avec eux et les influencer afin d offrir un service à la clientèle efficace. 3

Système de gestion des cas Le nombre élevé de demandes justifiait une méthode de contrôle et de suivi plus efficace. Après un examen de systèmes possibles de gestion des cas, de suivi et de déclaration, nous avons opté pour celui qu utilisent le ministère des Richesses naturelles et la plupart des ministères fédéraux pour administrer l accès à l information et la protection de la vie privée. Ce système est l ATIP, un produit de PRIVASOFT, conçu spécialement pour les bureaux d accès à l information et de protection de la vie privée. Le système de gestion des cas, ATIPflow, saisit les renseignements en temps réel sur le statut et le déroulement des processus d accès à l information, les accusés de réception, les recherches de documents, les avis aux tiers, les décisions et les appels. Le système permet également une affectation rapide des demandes et des tâches ainsi que l automatisation de la correspondance, et regroupe les notes, les documents de réponse et les mesures prises pour faciliter la recherche et la récupération des renseignements. Les renseignements et les rapports sur la gestion des cas contribuent à cerner rapidement les problèmes et permettent un règlement plus rapide. Un autre élément du système, ATIPimage, comprend des capacités d imagerie qui permettent d extraire électroniquement les parties de texte à ne pas divulguer et d établir un index électronique des décisions relatives à l accès. Cette fonction permet de réduire les activités fastidieuses de photocopie, d extraction manuelle et de pagination. Les éléments de recherche et de contrôle électroniques permettent de trouver des doubles ou des documents semblables pour faire en sorte qu ils soient traités de la même manière. Cet outil permet aux employés de consacrer plus de temps à leur rôle de conseillers qu à des tâches administratives. Il permettra également de produire facilement des rapports réguliers à l intention des cadres supérieurs de chaque division du ministère pour les aider dans leurs activités de contrôle et d intervention. Responsabilités Les rôles et les attributions du Bureau de l accès à l information et de la protection de la vie privée, des personnes-ressources chargées de trouver les documents dans chacune des divisions ou directions du ministère, des décideurs, des services juridiques et des communications ont été précisés. On a réitéré que l observation de la Loi ne relève pas seulement du Bureau de l accès à l information et de la protection de la vie privée mais de tout le ministère. Processus Nous nous sommes penchés sur les occasions d améliorer les processus et le soutien disponibles au ministère relativement à l accès à l information et à la protection de la vie privée. Par exemple, des 4

représentants du Bureau de l accès à l information et de la protection de la vie privée assistent à la réunion hebdomadaire du comité des attachés de direction pour examiner les dossiers et discuter des questions à traiter. Nous avons collaboré avec la Direction des services juridiques pour simplifier les processus et les relations hiérarchiques, puis avec la Direction des communications et de l information pour simplifier la gestion des questions d accès et de protection de la vie privée. Communications et formation Nous avons élaboré un certain nombre de produits et entrepris des activités pour mieux faire connaître et comprendre l accès à l information et la protection de la vie privée au sein du ministère. Nos objectifs en matière de communications et de formation étaient les suivants : Offrir un cours de recyclage sur les dispositions de base de la Loi sur l accès à l information et la protection de la vie privée, et expliquer les procédés et échéanciers à respecter au sein du ministère; Préciser les rôles et les responsabilités; S assurer que les gens comprennent les services et le soutien qu offre le Bureau de l accès à l information et de la protection de la vie privée ainsi que les objectifs du projet d amélioration des activités. Notre public cible était constitué des personnes-ressources avec qui le Bureau communique au sein de chaque division ou direction du ministère, des décideurs (directeurs, directeurs exécutifs et sousministres adjoints), des chefs de service et du personnel. Nous avons réitéré que la Loi sur l accès à l information et la protection de la vie privée repose sur les principes fondamentaux que sont l ouverture et la responsabilisation et qu elle joue un rôle clé dans le renforcement de la démocratie. Nous avons également insisté sur le fait que le projet d amélioration des activités s inscrivait dans notre détermination à offrir des services de qualité et à faire en sorte que nous soyons capables de nous acquitter de nos obligations de respecter l esprit et la lettre de la Loi. Les activités et produits de communication comprenaient ce qui suit : Des notes de service du sous-ministre ont été envoyées à tous les employés, renforçant les messages susmentionnés. On a rédigé des fiches techniques expliquant les principaux éléments et principes de la Loi, les responsabilités du ministère, le rôle du Bureau du commissaire à l information et à la protection de la vie privée et le processus d appel, et donnant différents renseignements et conseils au personnel (voir exemple à l annexe A, page 9). 5

Dans le bulletin des employés du ministère Inside Health, nous avons fait paraître des articles sur l accès à l information et sur les progrès réalisés relativement au projet d amélioration des activités. Nous avons élaboré un site intranet comprenant des fiches d information, des boîtes à outils et des grilles de saisie à l intention des personnes-ressources dans les divisions ou les directions et des décideurs. Le site comprend également des liens vers d autres sites Web tels que ceux du CIPVP et du Secrétariat du conseil de gestion de l Ontario pour des renseignements sur les décisions des appels et les ressources disponibles en matière de protection de la vie privée. De concert avec d autres secteurs du ministère, nous avons élaboré un instrument d autoévaluation et un guide de pratiques exemplaires à l intention des chefs de service sur la sécurité et la confidentialité des renseignements (voir exemple, annexe B, p. 13). Les activités et produits de formation comprenaient ce qui suit : Nous avons présenté des modules de formation des personnes-ressources dans les divisions ou les directions sur leurs rôles et responsabilités, les stratégies pour faire face aux demandes de renseignements volumineuses et complexes, et la façon de bien communiquer les décisions sur l accès. Nous avons organisé et dispensé les séances de formation aux personnes-ressources en place et continuons de le faire pour les nouvelles personnes-ressources. Nous avons présenté un module d orientation aux cadres supérieurs et aux directeurs qui portait sur leurs rôles et responsabilités à titre de décideurs. Des représentants du Bureau de l accès à l information et de la protection de la vie privée ont assisté à des réunions du comité des cadres supérieurs de chaque division du ministère pour offrir ce module. Sur demande, nous avons fait des exposés aux réunions du personnel et des cadres des directions. Nous avons également présenté des séances d orientation à l intention du nouveau personnel politique du bureau du ministre et du bureau du ministre associé. En 2001, malgré le nombre élevé de demandes d accès aux renseignements personnels et à d autres renseignements (environ 2 000), le ministère a respecté la Loi dans 83,3 % des cas, soit 20 % de plus que l année précédente et le taux le plus élevé jamais atteint au ministère de la Santé et des Soins de longue durée. Taux de conformité % de demandes ayant reçu une réponse dans le délai prescrit de 30 jours % 100 80 60 40 20 0 1998 1999 2000 2001 Année civile 6

Continuer d améliorer nos activités En 2002, il n a pas été facile de soutenir les améliorations et de respecter la Loi en raison de la grève dans la fonction publique de l Ontario. Cependant, nous continuerons à apporter des améliorations dans les secteurs suivants : Poursuite des communications et de la formation pour les nouveaux directeurs, chefs de services, employés et personnes-ressources dans les divisions ou les directions; Élaboration de sondages internes pour évaluer la qualité des services, des processus, des produits et des relations avec les clients du Bureau de l accès à l information et de la protection de la vie privée afin de déterminer les secteurs où d autres améliorations doivent être apportées; Établissement de relations au ministère et à l extérieur (p. ex., réseautage, échange de renseignements sur les pratiques optimales et participation aux initiatives ministérielles touchant l accès à l information et la protection de la vie privée dans la fonction publique ontarienne); Schématisation et documentation du fonctionnement du Bureau de l accès à l information et de la protection de la vie privée pour déterminer les améliorations à apporter, assurer l uniformité et établir l orientation du nouveau personnel; Formation continue du personnel du Bureau de l accès à l information et de la protection de la vie privée afin d établir une expertise sur la façon de donner des conseils stratégiques et d offrir des services efficaces. Pour de plus amples renseignements, prière de communiquer avec : Carolyn Lentz, chef de service Bureau de l accès à l information et de la protection de la vie privée Direction de la gestion ministérielle 416-327-2361 Angela Coke, directrice Direction de la gestion ministérielle 416-326-5725 Division des services ministériels et du développement organisationnel Ministère de la Santé et des Soins de longue durée 7

Annexe A Fiche technique sur l accès à l information et la protection de la vie privée 9

Fiche technique sur l accès à l information et la protection de la vie privée Accès à l information et protection de la vie privée La Loi sur l accès à l information et la protection de la vie privée (la Loi) donne aux particuliers le droit de demander accès aux renseignements personnels qui les concernent et à la plupart des documents généraux que détient le gouvernement. Par ailleurs, la Loi exige que le gouvernement protège les renseignements personnels contenus dans ses documents. La Loi repose sur les principes suivants : Des citoyens informés sont essentiels au processus démocratique. La transparence est essentielle à la reddition de comptes et la Loi fait partie de ce processus. Chaque personne a le droit fondamental d accéder aux renseignements personnels qui la concernent et que le gouvernement recueille et utilise. À titre de ministère régi par la Loi, nous devons : concevoir et mettre en oeuvre des systèmes de gestion des documents qui protègent adéquatement les renseignements personnels et les documents confidentiels. La Loi comprend des règles qui régissent la collecte, la conservation, l utilisation et la divulgation des renseignements personnels dont le ministère a la garde ou le contrôle; protéger les documents contre la destruction ou les dommages accidentels; protéger la confidentialité et la sécurité des renseignements personnels, des renseignements du Conseil des ministres et du Conseil exécutif, et des renseignements de tiers; répondre aux demandes d accès dans le délai de 30 jours prescrit par la Loi et soit rendre les documents disponibles, soit refuser l accès, soit invoquer des circonstances exceptionnelles qui causent un retard. (Les personnes-ressources dans les divisions ou les directions ont 20 jours ouvrables pour faire parvenir leur réponse au Bureau de l accès à l information et de la protection de la vie privée du ministère et 15 jours ouvrables s il s agit d une demande délicate.) La réponse doit comprendre une explication écrite motivant le refus et informant les auteurs de demande de leur droit de porter la décision en appel; répondre aux demandes de rectification des renseignements personnels; au besoin, défendre les décisions rendues en vertu de la Loi dans le cadre d appels. Bureau du commissaire à l information et à la protection de la vie privée (CIPVP) et appels La Loi accorde aux particuliers le droit de porter une décision en appel devant le CIPVP. Le CIPVP est un tribunal administratif indépendant qui mène des enquêtes et inspecte des documents; il peut soit maintenir la décision du ministère, soit rendre une ordonnance ayant force exécutoire concernant la divulgation. Le Bureau de l accès à l information et de la protection de la vie privée coordonne la réponse du ministère dans le cas d appels devant le CIPVP et représente le ministère dans le processus de médiation. Le CIPVP mène aussi des enquêtes sur les plaintes d atteinte à la vie privée. Faits et conseils concernant l accès à l information Le nombre de demandes présentées au ministère ne cesse d augmenter : 665 en 1998 916 en 1999 1 714 en 2000 1 814 en 2001 Si une demande vous est assignée, posez-vous la question suivante : Peut-on déterminer clairement les renseignements que l auteur de la demande veut obtenir? Sinon, des explications permettront d économiser du temps et de l énergie. N oubliez pas : Presque tout constitue un document et peut faire l objet d une demande d accès en vertu de la Loi. Vos notes ne sont pas des renseignements personnels et peuvent faire l objet d une demande d accès. Alors, faites preuve de jugement en prenant vos notes. Les courriels sont des documents et peuvent faire l objet d une demande d accès. N oubliez pas que vous pouvez obtenir de l aide : Si vous avez des questions ou des préoccupations, communiquez immédiatement avec la personneressource de la division ou de la direction concernée ou le conseiller en programmes du Bureau de l accès à l information et de la protection de la vie privée. Renseignements Si vous avez des questions ou des préoccupations concernant le processus d accès à l information au ministère, veuillez téléphoner au Bureau de l accès à l information et de la protection de la vie privée au : 416-327-7040

Annexe B Traitement et sécurité des renseignements confidentiels Auto-évaluation à l intention des chefs de service 13

DGM Direction de la gestion ministérielle Traitement et sécurité des renseignements confidentiels Auto-évaluation à l intention des chefs de service Ministère de la Santé et des Soins de longue durée 2001

Traitement et sécurité des renseignements confidentiels Table des matières Introduction... 1 Rôles et responsabilités... 2 Personnes-ressources au ministère... 3 Contrôles de gestion et responsabilités... 4 Sécurité physique... 5 Sécurité des documents... 7 Documents du Conseil des ministres/présentations au Conseil des ministres... 8 Sécurité des données et du courrier électronique... 9 Sécurité des télécopieurs... 10 Sécurité des communications vocales... 11 Annexe A Sites Web connexes... 12

Traitement et sécurité des renseignements confidentiels Auto-évaluation à l intention des chefs de service Introduction Les employés du ministère de la Santé et des Soins de longue durée sont souvent appelés à préparer ou à manipuler des renseignements délicats et confidentiels. Il faut prendre en compte et chercher à réduire le risque que des personnes ou des organismes non autorisés accèdent à ces renseignements et les utilisent à mauvais escient. Le présent document d auto-évaluation, les fiches de conseils qui l accompagnent et la liste des sites Web connexes ont été élaborés pour aider les chefs de service à éviter la divulgation de renseignements confidentiels à des particuliers ou organismes non autorisés et à établir des procédures pour assurer le traitement et le stockage sécuritaires des documents qui les contiennent. Les instruments et ressources contenus dans le présent document : renforcent les exigences du serment d entrée en fonction et de confidentialité que tous les fonctionnaires de l Ontario s engagent à respecter; soutiennent les chefs de service et les employés en précisant leurs responsabilités et en leur fournissant des directives sur la façon d assurer l intégrité des renseignements confidentiels; font en sorte que seuls les employés autorisés ont accès aux documents confidentiels et que ceux-ci ne sont pas utilisés à des fins autres que celles auxquelles ils étaient destinés; aident le personnel des programmes à élaborer des procédures internes touchant le traitement et la sécurité des renseignements confidentiels. 1

Rôles et responsabilités Les chefs de service sont responsables de ce qui suit : conformément à la Directive sur les conflits d intérêts et les restrictions après-emploi à l intention des fonctionnaires, à la Loi sur l accès à l information et la protection de la vie privée (la Loi) et au serment d entrée en fonction et de confidentialité, protéger les renseignements confidentiels dont ils ont la garde ou le contrôle contre la divulgation non autorisée à des particuliers ou des organismes; passer en revue les lois, les lignes directrices, les processus et les procédures qui touchent la sécurité des documents et s appliquent à leur secteur de programme; élaborer et tenir à jour des procédures internes qui renforcent les exigences relatives à la sécurité et au traitement efficace des renseignements confidentiels; faire en sorte que tous les renseignements confidentiels dont ils ont le contrôle soient identifiés, traités et protégés par des mesures de sécurité raisonnables; s assurer que les renseignements confidentiels dont ils ont la garde ou le contrôle sont protégés contre les dommages physiques et contre l accès, les modifications, le retrait ou la destruction non autorisés; veiller à ce que des calendriers de conservation bien définis aient été établis pour tous les renseignements confidentiels dont ils ont le contrôle immédiat et qu ils soient conformes aux lois ainsi qu aux politiques et directives gouvernementales connexes; assurer le transfert au moment opportun ou la destruction sécuritaire des renseignements confidentiels dont ils ont la garde conformément aux calendriers de conservation des documents et aux normes gouvernementales; revoir régulièrement ces renseignements avec les employés et sensibiliser ceux-ci à leur obligation de protéger les renseignements confidentiels dont ils ont la garde ou le contrôle contre la divulgation non autorisée à des particuliers ou à des organismes conformément à la Directive sur les conflits d intérêts et les restrictions après-emploi à l intention des fonctionnaires, à la Loi sur l accès à l information et la protection de la vie privée (la Loi) et au serment d entrée en fonction et de confidentialité; s assurer que les employés connaissent et comprennent les lois, les lignes directrices, les processus et les procédures qui touchent la sécurité des documents et s appliquent à leur secteur de programme, et qu ils reçoivent la formation voulue à cette fin. 2

Les employés sont responsables de ce qui suit : conformément à la Directive sur les conflits d intérêts et les restrictions après-emploi à l intention des fonctionnaires, à la Loi sur l accès à l information et la protection de la vie privée (la Loi) et au serment d entrée en fonction et de confidentialité, protéger les renseignements confidentiels dont ils ont la garde ou le contrôle contre la divulgation non autorisée à des particuliers ou des organismes; passer en revue et comprendre les lois, les lignes directrices, les processus et les procédures qui touchent la sécurité des documents confidentiels et s appliquent à leur secteur de programme; faire en sorte que tous les renseignements confidentiels dont ils ont la garde ou le contrôle soient identifiés, traités et protégés conformément aux processus et procédures internes; s assurer que les renseignements confidentiels dont ils ont la garde ou le contrôle sont protégés contre les dommages physiques et contre l accès, les modifications, le retrait ou la destruction non autorisés conformément aux processus et procédures internes; informer leur chef de service immédiatement si la sécurité de renseignements confidentiels a été violée ou compromise. Personnes-ressources au ministère Pour des renseignements concernant : Les présentations au Conseil des ministres : Bureau de coordination des affaires ministérielles, renseignements généraux : 416-327-8530 L accès à l information et la protection de la vie privée : renseignements généraux : 416-327-7040 La sécurité informatique : spécialiste de la politique sur la sécurité informatique : 613-548-6613 La sécurité physique : Service de gestion des installations, renseignements généraux : 416-327-7189 3

Contrôles de gestion et responsabilités Oui Non 1. Un plan de sensibilisation à la sécurité à l intention des gestionnaires et des employés a-t-il été élaboré et mis en oeuvre? 2. Les politiques, les procédures et les normes de sécurité ont-elles été communiquées au personnel? 3. La direction rappelle-t-elle périodiquement au personnel et à d autres personnes qui utilisent les renseignements, p. ex., les consultants, leur obligation de protéger les renseignements délicats et confidentiels? 4. La direction rappelle-t-elle périodiquement au personnel les responsabilités que comporte le serment d entrée en fonction et de confidentialité? 5. Le personnel et d autres personnes qui utilisent les renseignements ont-ils reçu de l information ou une formation sur la Loi sur l accès à l information et la protection de la vie privée? 6. Des entrevues de fin d emploi ont-elles lieu avec les employés qui quittent la fonction publique pour leur rappeler leurs obligations de confidentialité et récupérer les biens matériels appropriés (p. ex., clés, cartes d accès, etc.)? 7. Si des tiers ont accès à des renseignements confidentiels (p. ex., courrier, déchiquetage, services d ITI sous-traités à des entreprises de l extérieur), les rôles, les responsabilités, la propriété, la confidentialité, les conséquences d infractions et les obligations spécifiques en matière de sécurité leur ont-ils été expliqués? 4

Sécurité physique Oui Non 1. Existe-t-il un processus permettant de restreindre l accès des visiteurs dans les secteurs où se trouvent des documents confidentiels? 2. Les employés interceptent-ils les inconnus qu ils voient dans les zones opérationnelles (p. ex., en leur demandant «Puis-je vous aider?», «Cherchez-vous quelqu un?»)? Les employés savent-ils qu ils ne doivent pas permettre à des personnes de les suivre sauf s ils connaissent ces personnes et si celles-ci ont la permission d être là? 3. La porte qui donne accès à votre lieu de travail est-elle verrouillée après les heures de bureau habituelles? 4. Les employés ont-ils accès à du matériel ou des meubles sécurisés pour entreposer les documents, les fichiers électroniques et leurs effets personnels? 5. Les renseignements sont-ils protégés pendant et après les heures de bureau contre l accès par des personnes non autorisées? 6. Le personnel classe-t-il les documents confidentiels dans un endroit sécurisé ou verrouillé lorsque ces documents ne sont pas utilisés ou à la fin de la journée? 7. Existe-t-il une politique de rangement qui consiste à ne rien laisser traîner sur les bureaux une fois la journée de travail terminée? 8. Les salles où sont rangés des documents qui contiennent des renseignements délicats et confidentiels sont-elles verrouillées? 9. Les clés qui donnent accès aux classeurs et aux locaux verrouillés sontelles contrôlées? 5

Sécurité physique (suite) Oui Non 10. Les employés comprennent-ils qu ils sont responsables de la sécurité de leur carte d accès et qu ils doivent informer sans délai leur chef de service si cette carte est endommagée ou volée? 11. Les clés ou les cartes d accès des employés qui quittent la fonction publique sont-elles systématiquement récupérées? 12. S il y a lieu, les combinaisons des serrures sont-elles changées régulièrement? Sont-elles changées lorsque le personnel quitte la direction, le programme, l établissement? 13. Les nouvelles combinaisons sont-elles communiquées aux utilisateurs autorisés de façon confidentielle? 14. Les livreurs (p. ex., messagers, facteurs, etc.) sont-ils escortés en tout temps pendant leur travail? 15. Existe-t-il un mécanisme ou un processus permettant d identifier et d informer la direction des violations à la sécurité? Ce processus est-il à jour? 16. Les utilisateurs comprennent-ils la marche à suivre s ils découvrent que la sécurité de renseignements a été remise en cause? 17. La direction prend-elle les mesures nécessaires pour régler les problèmes de sécurité et renforcer les procédures au besoin? 6

Sécurité des documents Oui Non 1. Les documents confidentiels ou délicats sont-ils identifiés? 2. Les renseignements sont-ils accessibles uniquement aux personnes autorisées par la direction du secteur de programme? 3. Le nombre de copies produites de documents confidentiels est-il contrôlé? Ces copies sont-elles distribuées uniquement aux personnes qui en ont besoin? 4. Toutes les copies de documents confidentiels et hautement délicats sont-elles ramassées après les réunions? 5. Les brouillons ou les doubles qui ne sont plus utilisés sont-ils déchiquetés ou détruits dès que possible? 6. Les documents qui doivent être détruits sont-ils gardés en lieu sûr jusqu à leur destruction? (Outre les documents de papier, sont aussi compris les bandes magnétiques, les microfiches, etc.) 7. Les documents confidentiels ou délicats sont-ils déchiquetés avant d être placés dans les bacs à recyclage? 8. Des mécanismes ont-ils été établis pour surveiller et contrôler le déplacement de documents confidentiels vers d autres bureaux du ministère ou à l extérieur du ministère (pour des raisons liées au travail)? 9. Les enveloppes devant contenir des documents confidentiels sontelles identifiées? 10. Les renseignements qui ne sont plus nécessaires pour le travail sont-ils archivés de manière appropriée? 7

Documents du Conseil des ministres/présentations au Conseil des ministres Oui Non 1. Des mécanismes ont-ils été établis pour déterminer clairement le statut confidentiel de certains documents (p. ex., estampille, titre de haut de page ou de bas de page indiquant qu il s agit d un document confidentiel [«Confidential Document»] ou de conseils confidentiels au Conseil des ministres [«Confidential Advice to Cabinet»])? 2. Les versions précédentes des présentations au Conseil des ministres (MB-20), etc. comportent-elles la mention «Draft» ou «Ébauche» suivie du numéro de version au haut de chaque page? 3. Le format approprié est-il utilisé (p. ex., «Confidential Document» ou «Confidential Advice to Cabinet») pour les versions finales des documents destinés au Conseil des ministres et au Conseil de gestion du gouvernement? 4. Le transport des présentations au Conseil des ministres (MB-20) est-il confié à du personnel désigné du ministère? 5. Des enveloppes doubles sont-elles utilisées pour envoyer des présentations au Conseil des ministres ou d autres documents très délicats à l extérieur du ministère? 6. Est-ce qu on décourage le personnel d apporter des présentations au Conseil des ministres pour travailler à l extérieur du ministère? 8

Sécurité des données et du courrier électronique Oui Non 1. Les écrans d ordinateur sont-ils installés sur les bureaux de manière à ce que les passants ou les visiteurs ne puissent pas les voir? 2. Demande-t-on aux utilisateurs de ne pas laisser les ordinateurs sans surveillance et de sortir du système quand ils n utilisent pas les ordinateurs? 3. Le personnel comprend-il que le courrier électronique n est pas un moyen sûr d envoyer des renseignements confidentiels ou délicats? 4. Des renseignements confidentiels ou délicats utilisés pour la rédaction d ébauches sont-ils imprimés uniquement lorsqu on en a besoin? 5. Des imprimantes isolées ou spécialisées sont-elles utilisées pour imprimer des renseignements délicats afin d assurer la confidentialité? 6. Des mécanismes ont-ils été établis pour faire en sorte que seules les personnes autorisées aient accès aux renseignements confidentiels stockés dans les réseaux? 7. L accès aux ordinateurs est-il protégé par mot de passe pour éviter qu ils soient utilisés par des personnes non autorisées? 8. Les mots de passe, y compris ceux utilisés pour le courrier électronique, sont-ils changés régulièrement? 9. Le personnel comprend-il et suit-il la politique interdisant l échange de mots de passe pour le courrier électronique? 10. Les mots de passe, les comptes de courrier électronique et les privilèges d accès des employés qui quittent la fonction publique sont-ils annulés? 11. Les disquettes et les bandes de sauvegarde sont-elles enlevées des ordinateurs et placées en lieu sûr lorsqu elles ne sont pas utilisées ou pendant les heures non ouvrables? 12. Les disques durs sont-ils effacés (dix fois au moyen d un logiciel spécialisé) pour assurer la suppression des données lorsqu on se débarrasse de l ordinateur ou qu il est renvoyé au fournisseur? 9

Sécurité des télécopieurs Oui Non 1. Les télécopieurs se trouvent-ils dans des endroits où les visiteurs n ont généralement pas accès? 2. Les documents confidentiels qui sont envoyés par télécopieur portentils la mention «Confidential» ou «Confidentiel»? 3. Demande-t-on aux employés de contre-vérifier les numéros de télécopieur lorsqu ils envoient des documents confidentiels ou délicats? 4. Le destinataire est-il informé à l avance que des renseignements confidentiels ou délicats sont envoyés? 5. Appelle-t-on le destinataire après l envoi pour confirmer que le document envoyé par télécopieur a été reçu en toute sécurité? 6. Les procédures d envoi (p. ex., vérifier les numéros de télécopieur, appeler avant et après l envoi, etc.) sont-elles affichées près du télécopieur? 7. Les employés savent-ils comment utiliser les dispositifs de sécurité (p. ex., boîte aux lettres confidentielle) de l équipement de télécopie qui permettent de protéger l envoi et la réception de renseignements confidentiels? 10

Sécurité des communications vocales Oui Non 1. Les employés identifient-ils les clients de façon satisfaisante avant de discuter ou de divulguer des renseignements confidentiels au téléphone? 2. Les employés savent-ils qu ils ne devraient pas discuter de renseignements confidentiels ou délicats dans des messages laissés dans les boîtes vocales? 3. Les employés savent-ils qu ils ne devraient pas utiliser de téléphone cellulaire ou de téléphone sans fil pour discuter de renseignements confidentiels ou délicats? 4. Les employés savent-ils qu ils ne devraient pas permettre à une personne qui les appelle d un téléphone cellulaire ou d un téléphone sans fil de discuter de renseignements confidentiels, même s ils utilisent eux-mêmes un téléphone ordinaire? 5. Les employés savent-ils qu ils ne devraient pas utiliser un téléphone cellulaire ou un téléphone sans fil pour vérifier leurs messages dans leur boîte vocale? 6. Les employés savent-ils qu ils ne devraient pas utiliser un téléphone cellulaire ou un téléphone sans fil pour faire des achats payés au moyen d une carte de crédit et particulièrement d une carte de crédit du ministère? 11

Annexe A Sites Web connexes 1. Direction des politiques ministérielles http://intra.cpb.gov.on.ca Ce site contient des directives, des politiques et des lignes directrices s appliquant aux secteurs de l administration, des finances et de la gestion des ressources humaines. Elles sont regroupées en cinq secteurs de gestion principaux : responsabilité; planification des activités et gestion financière; approvisionnement; gestion de l ITI; gestion des ressources humaines. La directive sur la responsabilité (que l on retrouve dans le site précité) jette les bases de la définition des normes de gestion dans des secteurs clés tels que la gestion financière, la gestion des ressources humaines et les politiques administratives. Elle établit un cadre de responsabilisation, qui comprend des définitions ainsi que des éléments et principes clés, et précise les responsabilités des fonctionnaires. 2. Directive sur la gestion des renseignements consignés http://intra.cpb.gov.on.ca/html/ Mgmtrecd.html Outre la directive complète touchant la gestion des renseignements consignés, ce site comprend des liens vers les deux sites décrits ci-dessous qui contiennent des fiches de renseignements, des bulletins d information, des lignes directrices et des renseignements sur les pratiques optimales. Fiches de renseignements http://www.archives.gov.on.ca/french/rimdocs/index.html Cette section contient une série de fiches de renseignements qui traitent notamment de la sécurité et de l intégrité des renseignements consignés. Bulletins d information http://www.archives.gov.on.ca/french/rimdocs/infolist.htm Ces bulletins traitent de sujets particuliers touchant la gestion des renseignements consignés. 3. Directive sur la sécurité informatique http://intra.hsc.gov.on.ca/security Cette directive énonce les responsabilités et les exigences touchant la mise en oeuvre, la gestion et le contrôle de la sécurité informatique au ministère. 4. Directive sur l accès à l information et la protection de la vie privée (dans le contexte de la Loi) http://intra.cpb.gov.on.ca/html/freinfpd.html La Loi sur l accès à l information et la protection de la vie privée s applique aux ministères, aux organismes, au Bureau du Conseil des ministres et au Cabinet du Premier ministre de l Ontario. 12

5. Bureau de l information et de la protection de la vie privée http://www.gov.on.ca/mbs/ french/fip Ce site contient des renseignements sur les règles de confidentialité et notamment le texte de loi ainsi qu un manuel en ligne. La version anglaise comprend également un résumé des ordonnances du Bureau du commissaire à l information et à la protection de la vie privée. 6. Directive sur les conflits d intérêts et les restrictions après-emploi http://intra.cpb.gov.on.ca/ pdf/coi.pdf La deuxième partie de cette directive traite des exigences obligatoires des dispositions sur les conflits d intérêts qui s appliquent à tous les fonctionnaires. 7. Programme de renseignements médicaux du Programme de gestion des cas de maladies, de blessures et d adaptation des conditions de travail http://intra.hropenweb.gov.on.ca Le programme de renseignements médicaux du Programme de gestion des cas de maladies, de blessures et d adaptation des conditions de travail souligne la marche à suivre pour obtenir des renseignements médicaux sur les employés et les exigences à respecter concernant le traitement et le stockage de ces données. La section 4.2, qui traite de la gestion des documents, propose des solutions pour le stockage et le traitement des dossiers médicaux confidentiels des employés. 8. Loi sur la santé et la sécurité au travail http://www.gov.on.ca/lab/ohs/ohse.htm La Loi sur la santé et la sécurité au travail prévoit qu aucun employeur ne doit chercher à avoir accès aux dossiers médicaux concernant un travailleur sans obtenir le consentement écrit de cette personne, sauf sur ordonnance d un tribunal judiciaire ou administratif ou pour se conformer à une autre loi. Par conséquent, les ministères doivent assurer la confidentialité et la sécurité des renseignements médicaux sur leurs employés. La loi énonce les responsabilités de base des membres des comités mixtes sur la santé et la sécurité au travail concernant la confidentialité des renseignements. 9. Loi de 1997 sur la sécurité professionnelle et l assurance contre les accidents du travail http://www.gov.on.ca/mbs/english/publications/statregs/contents.html Les renseignements concernant les accidents du travail et les maladies professionnelles sont recueillis en vertu de l article 22 de la Loi de 1997 sur la sécurité professionnelle et l assurance contre les accidents du travail et du Règlement 101 pris en application de la loi. Tous les documents sont confidentiels et conservés par l employeur. 10. Loi sur les jeunes contrevenants http://lois.justice.gc.ca/fr/y-1/index.html Les exigences touchant la protection des renseignements confidentiels concernant les jeunes contrevenants sont énoncées aux articles 38, Protection de la vie privée des adolescents, à 45, Non-communication et destruction des dossiers. 13

Commissaire à l'information et à la protection de la vie privée/ontario 2, rue Bloor Est, Bureau 1400 Toronto (Ontario) M4W 1A8 416-326-3333 1-800-387-0073 Télécopieur : 416-325-9195 ATS (Téléimprimeur) : 416-325-7539 Site Web : www.ipc.on.ca Ministère de la Santé et des Soins de longue durée Division des services ministériels et du développement organisationnel Direction de la gestion ministérielle Bureau de l accès à l information et de la protection de la vie privée 5700, rue Yonge, 5 e étage Toronto (Ontario) M2M 4K5 Renseignements généraux : 416-327-7040 Télécopieur : 416-327-7044