Plateformes des médias sociaux
Institution fédérale
Développement économique Canada pour les régions du Québec (DEC)Fonctionnaire responsable de l'évaluation des facteurs relatifs à la vie privée
Gabrielle JolyCoordonnatrice, Accès à l’information et Affaires parlementaires
Chef de l'institution fédérale ou son délégué pour l'application de l'article 10 de la Loi sur la protection des renseignements personnels
Gabrielle JolyCoordonnatrice, Accès à l’information et Affaires parlementaires
Nom du programme ou de l'activité de l'institution fédérale
Plateformes des médias sociauxDescription du programme ou de l'activité
La présente Évaluation des facteurs relatifs à la vie privée (ÉFVP) mesure les utilisations courantes des comptes officiels de médias sociaux à DEC.Les utilisations évaluées ont trait aux activités qui mettent en jeu les comptes officiels de médias sociaux dont DEC se sert couramment, dans le contexte de l’administration de son programme de communication.
Les utilisations courantes des comptes officiels de médias sociaux ont été classées selon quatre types d’activités d’appui au programme de communication, à savoir :
- Diffusion : La diffusion d’information aux particuliers, aux entreprises et aux intervenants, y compris l’aiguillage des utilisateurs vers les sites Web du gouvernement du Canada.
- Mobilisation : La facilitation des discussions et du dialogue entre DEC et les particuliers, y compris, le cas échéant, la préparation des réponses aux demandes de renseignements du public.
- Gestion de comptes : L’examen et la gestion des messages individuels publiés dans les comptes officiels de médias sociaux de DEC à des fins de modération des discussions, y compris, le cas échéant, la modification ou le retrait de commentaires, ou le blocage d’utilisateurs, qui contreviennent aux normes sur la publication de commentaires.
- Analyse de comptes : La collecte, l’analyse, la mesure et la communication de données sur l’activité des comptes officiels de médias sociaux de DEC et les visites d’utilisateurs pour comprendre et optimiser l’usage des comptes de médias sociaux et sonder l’intérêt du public pour les sujets, les activités ou les événements liés au mandat de DEC. Ces données (sous forme agrégée) servent également à des fins de recherche, de statistiques, d’audit ou d’évaluation des comptes officiels de DEC.
Description des catégories de documents et de fichiers de renseignements personnels associées au programme ou à l'activité
DEC est autorisé à recueillir des renseignements personnels des comptes officiels de médias sociaux dans le contexte de son programme de communication, en vertu de la section 10 de la Loi sur la protection des renseignements personnels.DEC a mis en œuvre des mesures de contrôle et une procédure interne régissant la collecte et l’utilisation de renseignements personnels provenant de ses comptes de médias sociaux. Ainsi, un dossier spécifique a été créé dans le système de gestion de l’information (GCDocs) pour recueillir et archiver les informations recueillies, en vertu de la section 10 de la Loi sur la protection des renseignements. Le dossier permet un accès restreint aux employés de l’équipe des Communications.
Ces derniers recueilleront les renseignements personnels directement auprès du particulier visé, selon ce qui est publié dans les conditions d’utilisation des comptes officiels de médias sociaux.
DEC limitera la collecte de renseignements personnels provenant de ses comptes de médias sociaux à ceux qui sont manifestement nécessaires – plutôt qu’utiles – à la gestion de ses communications sur les médias sociaux.
L’information recueillie dans le cadre de ces activités sera classée sous les fichiers de catégories suivantes :
POU 914 - Communications publiques
POU 938 - Activités de sensibilisation
Détermination et catégorisation des facteurs de risque
La présente section met l’accent sur les caractéristiques du programme de gestion des médias sociaux qui pourraient avoir une incidence sur la vie privée d’un particulier. Toutefois, elle ne vise pas à déterminer la nature exacte de ces risques, mais plutôt le niveau global de risque engendré par cette initiative. La désignation et la classification des risques potentiels ont comme objectif de veiller à ce que la présente ÉFVP soit effectuée de façon proportionnée à ce niveau global de risque.Type de programme
Les renseignements personnels recueillis de comptes officiels de médias sociaux sont utilisés dans le contexte de l’administration du programme de communication de DEC. Dans certains cas, la gestion de comptes de médias sociaux obligera DEC à prendre une décision administrative qui touche directement un particulier (p. ex., modifier, supprimer ou bloquer un contenu qui enfreint les indications relatives aux commentaires, énoncées dans l’avis concernant les médias sociaux). Dans ces cas, l’utilisation administrative des renseignements personnels, tels qu’ils ont été fournis par l’utilisateur, est conforme au but premier de la collecte, à savoir, l’administration du programme de communication.
Niveau du risque : Faible
Type de renseignements personnels et contexte
La gestion des comptes de médias sociaux pourrait prévoir la collecte, l’utilisation, la communication ou la conservation de renseignements personnels généralement considérés de nature non délicate. Les renseignements personnels qui sont recueillis ou utilisés par DEC à partir de ces comptes, le sont dans le contexte de l’administration de son programme de communication, et ils sont recueillis directement auprès du particulier.
Étant donné qu’aucune utilisation secondaire n’est prévue pour les renseignements personnels recueillis et que la fonctionnalité, les conditions d’utilisation et la politique de protection de la vie privée des plateformes sélectionnées ont été examinées par le gouvernement fédéral, l’initiative devrait présenter des risques relativement faibles pour les particuliers.
Niveau du risque : Faible
Partenaires du programme
DEC gère les comptes officiels de médias sociaux au moyen de plateformes de tiers du secteur privé. Le risque de conflit avec les dispositions de la Loi sur la protection des renseignements personnels lors du traitement et de la protection des renseignements personnels est élevé.
Niveau du risque : Élevé
Durée du programme
L’utilisation de comptes officiels de médias sociaux par DEC sera continue et sans date prévue d’échéance. Cette utilisation prolongée présente un risque élevé d’atteinte à la vie privée des particuliers.
En effet, plus la durée de l’initiative se prolonge, plus grand est le risque que des changements soient apportés à la fonctionnalité de la plateforme (et sur lesquels les institutions fédérales n’ont aucun contrôle) ou que l’utilisation des plateformes par DEC change, entraînant la collecte d’une plus grande quantité de renseignements personnels (sous forme individuelle ou agrégée).
Niveau du risque : Élevé
Technologie et vie privée
Les plateformes de médias sociaux évaluées dans le cadre de la présente ÉFVP permettent la création, l’analyse, le tri, l’identification et l’extraction de renseignements personnels. Les renseignements personnels publiés par les particuliers sur les comptes officiels de DEC sont hors du contrôle de ce dernier, puisque les plateformes de médias sociaux sont assujetties aux conditions d’utilisation et aux politiques de protection de la vie privée propres à des tiers. L’utilisation des médias sociaux entraîne donc un risque moyen d’atteinte à la vie privée des particuliers.
Niveau du risque : Moyen
Transmission de renseignements personnels
Les fournisseurs de plateformes peuvent recueillir des renseignements personnels auprès de particuliers (p. ex., le nom, le nom d’utilisateur, le sexe, la date et le lieu de naissance et autres renseignements du profil) lors du processus de création du compte, lequel est hors du contrôle des institutions fédérales. Afin que les utilisateurs soient conscients de ce fait, les comptes officiels de médias sociaux de DEC comprennent un lien vers un avis de confidentialité, qui invite les utilisateurs à prendre connaissance des modalités de service et de la politique de protection de la vie privée des fournisseurs tiers de plateformes.
Compte tenu de la probabilité élevée que l’information publiée par un particulier dans un compte officiel de médias sociaux peut être transmise hors du contrôle de l’institution, les risques d’atteinte à la vie privée des particuliers sont jugés relativement élevés.
Niveau du risque : Élevé
Incidence sur les particuliers en cas d’atteinte à la sécurité des données
Les renseignements personnels recueillis des comptes officiels de médias sociaux par DEC proviennent exclusivement de plateformes de tiers accessibles par le public. Étant donné que les renseignements personnels recueillis seront limités à ceux qui sont nécessaires à l’administration du programme et seront fournis directement et sciemment par les particuliers, l’incidence sur la vie privée des particuliers en cas d’atteinte à la sécurité des données par une institution fédérale est considérée comme étant faible.
Niveau du risque : Faible
Incidence sur l’institution en cas d’atteinte à la sécurité des données
Les renseignements personnels visés par l’initiative seront recueillis de plateformes accessibles au public. Le partage volontaire de renseignements personnels par les particuliers sur ces plateformes réduit considérablement le droit à la protection de la vie privée à l’égard de ces renseignements.
Niveau du risque : Faible
Catégorisation des risques à l’aide d’une échelle des risques communs
Le tableau suivant résume les résultats de l’évaluation normalisée des risques exposée ci-dessus.| Catégories des risques désignés | Cote de risque totale |
|---|---|
| Nombre de secteurs de risque de niveau faible (niveau 1 ou 2) | 5 |
| Nombre de secteurs de risque de niveau moyen (niveau 2 ou 3) | 1 |
| Nombre de secteurs de risque de niveau élevé (niveau 3 ou 4) | 3 |
| Nombre de risques non expliqués ou autres risques possibles liés à la vie privée | o |
| Niveau de risque global pour l’initiative | Modéré à faible |
Conclusions
Selon le résumé ci-dessus et conformément à l’Évaluation de la menace et du risque et de l’examen juridique des conditions d’utilisation et des politiques de protection de la vie privée des plateformes de médias sociaux sélectionnées, les utilisations courantes des comptes officiels de médias sociaux de DEC devraient présenter un risque modéré à faible d’atteinte à la vie privée des particuliers. La présente ÉFVP a mené à la formulation des recommandations suivantes :Avis aux utilisateurs
DEC publiera l’avis suivant à la page Web sur le Protocole d’utilisation des comptes de médias sociaux de DEC. L’avis comprendra des indications relatives aux commentaires et fera état des conséquences du non-respect de ces indications.
« Les renseignements personnels que vous fournissez au gouvernement du Canada par l'entremise de comptes de médias sociaux sont recueillis en vertu de la section 10 de la Loi sur la protection des renseignements personnels.
Cette information est recueillie afin de saisir des conversations (p. ex., questions et réponses, commentaires, j'aime, gazouillis partagés entre vous et DEC. Elle peut être utilisée pour répondre à des demandes, effectuer des évaluations statistiques ainsi qu'à des fins d'établissement de rapports. Tout commentaire en violation avec la loi canadienne sera radié et divulgué aux autorités compétentes. Les commentaires publiés qui enfreignent les règles de participation seront également supprimés. Les renseignements personnels sont dans le fichier de renseignements personnels POU 914 et POU 938. »
Conservation et retrait des renseignements personnels
DEC examinera et contrôlera périodiquement les éléments de renseignements personnels provenant de comptes officiels de médias sociaux et effectuera, au besoin, l’analyse supplémentaire nécessaire pour demeurer conforme à la Loi sur la protection des renseignements personnels et aux instruments de politique connexes.
Usage restreint et communication des renseignements personnels
L’utilisation des renseignements personnels provenant de comptes officiels de médias sociaux sera limitée aux fins premières autorisées auxquelles ils ont été recueillis (c’est-à-dire, appuyer l’administration des communications de DEC). Dans certains cas, les renseignements personnels recueillis des comptes officiels des médias sociaux seront communiqués et utilisés à des fins compatibles avec les fins premières autorisées, prévues par la présente ÉFVP ou au paragraphe 8(2) de la Loi sur la protection des renseignements personnels.
Accès individuel et de contestation de la conformité
DEC décrira la présence des renseignements personnels recueillis par l’entremise de comptes officiels de médias sociaux dans les fichiers POU 914 (Communications publiques) et POU 938 (Activités de sensibilisation), et publiera dans Info Source un rapport annuel sur tous les fonds de renseignements personnels, conformément à la Politique sur la protection de la vie privée.
Sécurité et mesures de protection
DEC limite l’accès aux renseignements personnels recueillis par l’entremise de comptes officiels de médias sociaux aux personnes autorisées qui ont besoin de l’information pour remplir leurs fonctions officielles.
Conformément aux recommandations énoncées dans l’évaluation de la menace et du risque visant les plateformes de médias sociaux sélectionnées, DEC mènera, au besoin, des évaluations de sécurité plus poussées afin d’assurer la conformité aux exigences en matière de sécurité et de protection énoncées dans la Politique sur la protection de la vie privée, la Directive sur les pratiques relatives à la protection de la vie privée et la Politique sur la sécurité du gouvernement, et dans les directives et normes connexes.