Ignorer la navigation
États-Unis

Transparence des programmes et pratiques de confidentialité (US0069)

Vue d'ensemble

D'un coup d'œil

Plan d'action: Plan d'action des États-Unis 2015-2017

Cycle du plan d'action : 2015

Statut:

Institutions

Institution chef de file : l'Administration, dirigée par le Bureau de la gestion et du budget

Institution(s) de soutien : NA

Domaines politiques

Formations, Espace civique, Liberté d'expression

Revue IRM

Rapport IRM: Rapport IRM de fin de terme aux États-Unis 2015-2017, Rapport à mi-parcours pour les États-Unis 2015-2017

Premiers résultats : n'ont pas changé

Conception i

Vérifiable : Non

Pertinent pour les valeurs OGP : non

Ambition (voir définition): Faible

Implémentation i

Achèvement:

Description

Les informations fédérales doivent être protégées et la protection de la vie privée revêt une importance capitale. L’Administration, dirigée par le Bureau de la gestion et du budget, révisera certaines directives relatives aux responsabilités des organismes fédéraux en matière de protection des informations personnelles. Les directives révisées incluront des principes que les agences devraient utiliser pour promouvoir des pratiques d'information équitables, telles que la transparence et la responsabilité. Les orientations insisteront également sur l'importance d'utiliser des évaluations d'impact sur la vie privée pour analyser la manière dont les agences traitent les informations personnellement identifiables et s'assurer que leurs processus sont conformes à toutes les exigences de confidentialité en vigueur. En outre, les directives révisées inciteront les agences à adopter une approche coordonnée en matière de sécurité de l'information et de protection de la vie privée, notamment en exigeant qu'elles développent et maintiennent une stratégie de surveillance continue pour s'assurer que les contrôles de confidentialité et de sécurité fonctionnent correctement.

Résumé du statut à mi-parcours de l'IRM

Pour plus de détails sur ces engagements, voir le rapport: https://www.opengovpartnership.org/documents/united-states-mid-term-report-2015-2017/

Résumé du statut de fin de session IRM

Engagement 17. Améliorer la transparence des programmes et des pratiques de protection de la vie privée

Texte d'engagement:

Améliorer la transparence des programmes et des pratiques de protection de la vie privée

Les informations fédérales doivent être protégées et la protection de la vie privée revêt une importance capitale. L’Administration, dirigée par le Bureau de la gestion et du budget, révisera certaines directives relatives aux responsabilités des organismes fédéraux en matière de protection des informations personnelles. Les directives révisées incluront des principes que les agences devraient utiliser pour promouvoir des pratiques d'information équitables, telles que la transparence et la responsabilité. Les orientations insisteront également sur l'importance d'utiliser des évaluations d'impact sur la vie privée pour analyser la manière dont les agences traitent les informations personnellement identifiables et s'assurer que leurs processus sont conformes à toutes les exigences de confidentialité en vigueur. En outre, les directives révisées inciteront les agences à adopter une approche coordonnée en matière de sécurité de l'information et de protection de la vie privée, notamment en exigeant qu'elles développent et maintiennent une stratégie de surveillance continue pour s'assurer que les contrôles de confidentialité et de sécurité fonctionnent correctement.

Institution responsable: Bureau de la gestion et du budget

Institutions d'appui: Agences couvertes par la loi sur les directeurs financiers de 1990

Date de début: Non précisé ....... Date de fin: Non Précisé

But de l'engagement

Cet engagement a été créé en partie à la suite d’un hack 2015 d’enregistrements de personnel gouvernemental qui a compromis plus d’un million de 20. L'engagement visait à publier des directives révisées sur le traitement par les agences fédérales des informations d'identification personnelle (PII). Le gouvernement s'attendait à ce que les lignes directrices fassent la promotion de pratiques d'information équitables et soulignent l'importance d'utiliser des évaluations d'impact sur la vie privée pour analyser le traitement des informations personnelles par les agences. Les directives conseillaient également aux agences d'adopter une approche coordonnée de la protection de la vie privée et de la sécurité de l'information, y compris l'élaboration d'une stratégie de surveillance continue.

Statut

À mi-parcours: Substantiel

À mi-parcours, le gouvernement avait considérablement progressé dans la réalisation de cet engagement. Le Bureau de la gestion et du budget a publié un projet de directive concernant la protection de la vie privée à l'intention du public en octobre 2015. Les instructions ont reçu les commentaires 67.

Fin du mandat: Terminé

À la fin du mandat, cet engagement était complet. Le Bureau de la gestion et du budget a publié une version finale des directives (Circulaire A-130) sur 27 July 2016. Avant sa publication, la circulaire avait été mise à jour pour la dernière fois en novembre 2000.

En ce qui concerne les problèmes de confidentialité, l’Annexe I de la Circulaire A-130 décrit les «Responsabilités en matière de gestion des informations personnelles identifiables [PII]» des agences. Les PII font référence aux informations pouvant être utilisées pour identifier des personnes spécifiques. L’annexe s’applique tant aux PII papier qu’électroniques. Comme décrit dans l'annexe, les responsabilités spécifiques incluent la détermination des contrôles et sauvegardes de la confidentialité pertinents pour un système d'information particulier. Les agences doivent également évaluer les niveaux de sensibilité des IPI et le «risque potentiel pour la vie privée de la collecte, de la création, de l'utilisation, de la diffusion et de la maintenance de cette IPI». En ce qui concerne la surveillance continue, l'annexe indique également que les agences doivent «commencer à considérer l'effet sur la vie privée des individus au cours des premières phases de planification et de développement de toute action ou politique. "Ils doivent également" continuer à prendre en compte les implications en matière de vie privée à chaque étape du cycle de vie des données personnelles. "

La section 6, à l’appendice I, porte sur l’adoption par les agences de principes de pratique loyale en matière d’information (PIPP) dans le domaine de la confidentialité et de la sécurité de l’information. Les PIPP sont décrits comme des principes que les agences devraient utiliser lors de l’évaluation des systèmes d’information et des processus et programmes connexes pertinents pour les données personnelles. Les principes fondamentaux des FIPP sont particulièrement pertinents pour cet engagement: «Les agences doivent fournir aux individus un accès approprié aux informations personnelles, ainsi que la possibilité de les corriger ou de les modifier.» Les PIPP indiquent également que «les agences doivent impliquer l'individu dans le processus d'utilisation des informations personnelles, et dans la mesure du possible, obtenir le consentement individuel pour la création, la collecte, l'utilisation, le traitement, le stockage, la maintenance, la diffusion ou la divulgation des données personnelles. " Conformément à la section 3 du même appendice, les agences doivent également désigner un haut responsable de la protection de la vie privée, chargé de veiller à ce que les exigences de confidentialité soient respectées et les risques gérés.

En ce qui concerne la confidentialité et la sécurité des informations, la circulaire A-130 indique que les agences doivent «établir et maintenir un programme de confidentialité complet garantissant la conformité aux exigences de confidentialité applicables, développant et évaluant la politique de confidentialité et gérant les risques liés à la confidentialité». Conformément à cet engagement, la circulaire indique en outre que les agences doivent «procéder à des évaluations des incidences sur la vie privée lors de la conception, de l'acquisition ou de l'utilisation d'un système informatique. . . et rendre les évaluations d'impact sur la vie privée accessibles au public conformément à la politique de la CAMO. »La circulaire demande également aux agences de« maintenir et d'afficher des politiques de confidentialité sur tous leurs sites Web, applications mobiles et autres services numériques ».

Bien que les activités décrites dans le texte d’engagement soient terminées, la circulaire elle-même ne contient aucun délai de mise en œuvre. À la fin du terme, en utilisant des informations accessibles au public, le chercheur en GRI n'a pas été en mesure de vérifier le statut de mise en œuvre de la circulaire auprès des agences fédérales.

At-il ouvert le gouvernement?

Accès à l'information: n'a pas changé

Bien que l’engagement tel qu’il était écrit n’était pas pertinent pour les valeurs de gouvernement ouvert du gouvernement, les éléments relatifs à la confidentialité de la circulaire A-130 sont en effet pertinents pour la valeur de l’accès à l’information du gouvernement. Cela est particulièrement vrai pour les éléments décrits à l'annexe 1 et ceux liés aux FIPP figurant à l'annexe 1, section 6. Cette pertinence découle de leur objectif déclaré, qui est de donner aux individus l’accès à leurs propres informations personnelles identifiables et de leur donner la possibilité de les corriger et de les modifier.

La circulaire ne précise toutefois pas les moyens par lesquels les individus peuvent le faire, ni les processus et les délais que les agences emploieront et respecteront en réponse à de telles demandes. Ces problèmes sont encore aggravés par le statut de mise en œuvre peu clair de la circulaire. Les commentaires de l'Electronic Privacy Information Center corroborent cette évaluation concernant les évaluations d'impact sur la vie privée. Le centre a noté que «les agences fédérales ne parviennent toujours pas à créer et à publier des évaluations d'impact sur la vie privée (« EFVP ») et d'autres évaluations de la vie privée et des libertés civiles requises par la loi.

Bien que les activités menées dans le cadre de l'engagement représentent une première étape importante, l'engagement n'a pas encore abouti à une information plus grande ou de meilleure qualité disponible pour le public.

Reportés?

Au moment de la rédaction, le gouvernement américain n'avait pas encore publié son quatrième plan d'action national. Néanmoins, cet engagement, tel qu'il est écrit, est complet et ne devrait pas être reporté. À l'avenir, il sera important que les agences gouvernementales suivent la mise en œuvre de la nouvelle circulaire.

Ellen Nakashima, «Le fardeau des bases de données OPM a compromis un million de personnes, selon les autorités fédérales» Washington post, 9 July 2015, http://wapo.st/2qg9rxl.

Pour un aperçu des données personnelles, voir Administration générale des États-Unis, «Règles et politiques - Protection des données personnelles - Privacy Act». https://www.gsa.gov/reference/gsa-privacy-program/rules-and-policies-protecting-pii-privacy-act, dernière mise à jour 13 août 2017, consulté 4 octobre 2017.

«Circulaire A-130: Site Web de commentaires archivés», Bureau de la gestion et du budget, https://a130.cio.gov/, consulté 12 Septembre 2011.

Tony Scott, «Gestion des informations fédérales en tant que ressource stratégique», blogue de la Maison Blanche, 27 July 2016, https://obamawhitehouse.archives.gov/blog/2016/07/26/managing-federal-information-strategic-resource, consulté 11 Septembre 2012. La circulaire elle-même est disponible à https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf, consulté 12 Septembre 2011.

«Circulaire n ° A-130 Mémorandum de transmission révisé n ° 4 (28 novembre 2000)», La Maison Blanche, 28 novembre 2000, https://obamawhitehouse.archives.gov/omb/circulars_a130_a130trans4, consulté 12 Septembre 2011.

Ibid., Annexe II-1.

Ibid., Annexe II-2, II-3.

Ibid., Annexe II-3.

Circulaire A-130, 14, https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf, consulté 12 Septembre 2011.

Ibid., 17.

Commentaires écrits fournis au chercheur IRM, 30 October 2017. L'intervenant souhaitait rester anonyme.


Engagements

Open Government Partnership