Le système de paye Phénix a compromis le droit à la vie privé d’employés de la fonction publique fédérale
Plainte présentée en vertu de la Loi sur la protection des renseignements personnels (la Loi)
Résumé
- Le Commissariat à la protection de la vie privée (CPVP) a reçu trois plaintes relativement au système de paye Phénix (Phénix). Selon les plaignants, Services publics et Approvisionnement Canada (SPAC) a divulgué de manière inappropriée les renseignements personnels de tous les employés de la fonction publique fédérale (les « employés »Note de bas de page 1) à un maximum de 70 000 employés par l’entremise de Phénix. Toujours de l’avis des plaignants, SPAC était au courant d’un problème potentiel lié à la protection de la vie privée dès le 18 janvier 2016, soit bien avant le déploiement du système, mais n’a rien fait pour corriger la situation.
- Dans ses premières déclarations au Commissariat, SPAC a indiqué qu’un certain nombre de cas d’atteinte à la vie privée s’était produit. Selon SPAC, les incidents impliquaient un nombre limité de ministères, ne portaient que sur les noms d’employés et les codes d’identification de dossier personnel (CIDP) et les renseignements n’avaient été divulgués qu’à un nombre limité de fonctionnaires fédéraux. De plus, SPAC a soutenu qu’à son avis, le risque pesant sur les personnes touchées était « très faible ». Enfin, SPAC nous a informés que pour au moins deux cas, les problèmes ayant mené aux atteintes à la vie privée n’avaient pas été résolus.
- Notre enquête a révélé que les cas d’atteinte à la vie privée et les vulnérabilités du système de paye Phénix allaient bien au-delà de ce que SPAC nous avait signalé au départ. Nous avons en effet établi qu’au moins 11 cas d’atteinte à la vie privée s’étaient produits et que les renseignements en cause incluaient le nom des employés, leur CIDP et l’information sur leur salaire. Par ailleurs, la majorité des vulnérabilités étudiées avait une portée pangouvernementale, ce qui signifie que l’information de l’ensemble des employés inscrits au système de paye Phénix au moment de chacun des incidents était à risque. Nous avons établi que dans certains des cas d’atteinte à la vie privée, des renseignements pouvaient être modifiés et des opérations, effectuées. De plus, nous avons déterminé que certaines vulnérabilités demeurent, et que celles ci pourraient mener à d’autres incidents.
- Notre enquête a déterminé que les atteintes à la vie privée étaient le résultat d’une combinaison de tests inadéquats, d’erreurs de codage et d’une insuffisance au chapitre des mécanismes de surveillance et de contrôle du système Phénix. Chacun de ces problèmes est examiné dans les pages qui suivent.
- À la lumière des cas d’atteinte à la vie privée mis au jour par notre enquête, nous avons conclu que les plaintes sont fondées. Les motifs sur lesquels s’appuient nos conclusions sont décrits ci-après.
- Nous avons joint à nos conclusions des recommandations pour aider SPAC à résoudre les problèmes qui ont contribué aux incidents. Les voici :
- Recommandation 1 : Vérifier les accès au système
- Recommandation 2 : Améliorer les procédures d'essais
- Recommandation 3 : Améliorer la gestion des risques pour la sécurité
- Recommandation 4 : Atténuer les risques de préjudice réel en réduisant les vulnérabilités potentielles touchant le centre d'appels
- Recommandation 5 : Informer les personnes touchées
- Recommandation 6 : Effectuer un examen des pages dotées d'une sécurité au niveau des lignes
- Le 15 mai 2017, SPAC a répondu à nos recommandations. Nous demandons à SPAC de faire un suivi auprès du Commissariat dans six mois afin de rendre compte des progrès réalisés dans la mise en œuvre de nos recommandations.
- La première partie du présent rapport décrit l’enquête que nous avons menée ainsi que les faits qu’elle a permis d’établir. Le rapport expose ensuite notre analyse des principaux faits sur lesquels s’appuient nos conclusions. Enfin, la dernière partie du rapport présente nos recommandations et les réponses de SPAC à celles ciNote de bas de page 2.
Portée de l’enquête et méthodologie
- Notre enquête portait à la fois sur la communication des renseignements personnels contenus dans le système Phénix et sur les vulnérabilités qui y ont conduit. Aux fins du présent rapport, « atteintes à la vie privée » renvoient à des incidents pour lesquels il existe suffisamment de données probantes pour conclure qu’une communication non autorisée de renseignements personnels s’est produite. De plus, il n’est pas nécessaire que les renseignements soient communiqués à des parties étrangères à la fonction publique. Une communication non autorisée inclut l’accès à des données par des personnes qui n’ont pas besoin de connaître les renseignements personnels visés. La vulnérabilité renvoie à des conditions précises, comme une erreur de codage, qui pourraient mener à une communication non autorisée. Notre enquête a mis au jour des données prouvant à la fois l’existence de vulnérabilités et d’atteintes à la vie privée.
- Lorsque nous avons demandé à SPAC de nous fournir des observations, ses fonctionnaires n’ont pas été en mesure de nous livrer une information complète. Par conséquent, afin d’établir les faits énoncés ci-après, nous avons dû consulter de nombreux documents, mener plusieurs entrevues avec des fonctionnaires de SPAC et demander des éclaircissements à plusieurs reprises relativement à ce qui nous semblait être des déclarations ou des données incohérentes.
- Nous avons ensuite rédigé un énoncé des faits que nous avons fait valider par SPAC. À partir de ces faits, nous avons remis à SPAC nos conclusions et nos recommandations. Le 15 mai 2017, SPAC a donné suite à ces recommandations.
Contexte
- SPAC est responsable de l’administration de la paye pour plus de 100 ministères, organismes et sociétés d’État, lesquels emploient collectivement quelque 290 000 fonctionnaires. En 2009, le gouvernement du Canada a approuvé l’Initiative de transformation de l’administration de la paye de SPAC, laquelle visait à mettre à jour le système de rémunération en place à l’époque.
- L’Initiative comprend deux projets distincts : le Projet de regroupement des services de paye et le Projet de modernisation des services et des systèmes de paye. Le Projet de regroupement des services de paye avait pour but de centraliser les services de paye offerts aux ministères et aux organismes. Son objectif ultime est de faire passer les services de rémunération de tous les ministères à un centre de paye centralisé.
- Selon SPAC, le regroupement des services de paye représentait un concept fondamental sous-tendant la modernisation de la paye. Le Projet de modernisation des services de paye visait quant à lui à remplacer le système de paye du gouvernement par un nouveau système exploitant un logiciel commercial, en l’occurrence Phénix. Phénix a été conçu pour accroître l’automatisation de certains processus administratifs et offrir quelques fonctions de libre-service aux utilisateurs tout en s’intégrant au système de gestion des ressources humaines du gouvernementNote de bas de page 3.
- Durant nos entrevues, les fonctionnaires de SPAC ont expliqué que le système de paye Phénix est fondé sur l’architecture des applications PeopleSoftNote de bas de page 4. Cette dernière est structurée comme une suite de modules composés de pages. Le système comprend en majorité des composantes et des fonctions commerciales de PeopleSoft; toutefois, certains de ses aspects ont été personnalisés par SPAC pour répondre aux exigences précises du gouvernement.
- Le déploiement de Phénix s’est déroulé sur deux phases. La première, qui a débuté le 24 février 2016, a permis le passage en ligne de 34 organisations gouvernementales. SPAC a soutenu que les renseignements personnels d’environ 120 000 employés ont été transférés vers le système Phénix entre février et avril 2016. Le reste des organisations gouvernementales sont passées en ligne au cours de la deuxième phase, laquelle a débuté le 21 avril 2016. À ce moment là, les renseignements personnels d’environ 170 000 autres employés ont été transférés vers le système Phénix.
- Phénix compte des utilisateurs institutionnels et individuels. Les rôles des utilisateurs individuels qui ont été en cause dans la présente enquête sont les suivants : les conseillers en rémunération, les agents financiers, les gestionnaires Note de bas de page 5 et les employés. L’accès aux renseignements personnels détenus dans le système de paye Phénix qui est accordé à un utilisateur dépend de la fonction qu’il assume. Par exemple, les gestionnaires doivent normalement avoir accès aux renseignements des employés sous leur supervisionNote de bas de page 6. Les conseillers en rémunération d’un ministère ou d’un organisme doivent, quant à eux, pouvoir accéder aux renseignements des employés de leur organisation d’appartenance.
- SPAC n’a pas été en mesure de préciser avec exactitude le nombre de conseillers en rémunération, d’agents financiers et de gestionnaires qui utilisaient Phénix au moment de chaque cas d’atteinte à la vie privée. Il nous a toutefois fourni un instantané représentatif. Ainsi, en janvier 2017, 1 679 conseillers en rémunération, 558 agents financiers et 21 419 gestionnaires utilisaient Phénix.
- Trois types d’organisations utilisent Phénix :
- Les organisations des centres de paye à qui des services de rémunération sont offerts directement à partir du Centre des services de paye de la fonction publique de Miramichi, au Nouveau-Brunswick. Ceux-ci n'ont pas de conseiller en rémunération à l'interne.
- Les organisations de services Web, qui utilisent leurs propres systèmes de gestion des ressources humaines, lesquels sont intégrés à Phénix. Ces organisations ont leurs propres conseillers en rémunération pour administrer les opérations de la paye dans Phénix.
- Les organisations ayant un accès direct, dont les conseillers en rémunération traitent les opérations directement dans Phénix, indépendamment du Centre des services de paye de la fonction publique.
- Dans bon nombre de cas que nous avons étudiés, des personnes ont eu accès à des renseignements personnels auxquels elles n’auraient pas dû avoir accès d’après leur fonction.
Renseignements généraux concernant les cas d’atteinte à la vie privéeNote de bas de page 7
- Les entrevues menées auprès de fonctionnaires de SPAC ont révélé que Phénix présentait des vulnérabilités au chapitre de la protection de la vie privée dès son lancement. Certaines de ces vulnérabilités avaient même été relevées avant le déploiement du 24 février 2016. SPAC avait pris des mesures pour les éliminer avant le lancement du système Phénix, mais ces mesures n’ont pas permis de les supprimer.
- Ces vulnérabilités ont mené à des atteintes à la vie privée. Plus précisément, certaines personnes ont eu accès à des renseignements personnels auxquels elles n’auraient pas dû avoir accès en fonction de leur rôle et ont vu (souvent involontairement) les renseignements personnels d’employés hors de leur organisation d’appartenance. En général, les vulnérabilités étudiées avaient une portée pangouvernementale, ce qui signifie que les renseignements de l’ensemble des employés inscrits au système de paye Phénix au moment de chacun des incidents étaient accessibles aux utilisateurs assumant la fonction en jeu. Toutefois, la portée des atteintes à la vie privée était limitée aux renseignements auxquels les utilisateurs en question avaient eu accès. De plus, d’après nos discussions avec les fonctionnaires de SPAC, il pourrait continuer à y avoir des vulnérabilités dans PhénixNote de bas de page 8, lesquelles pourraient causer d’autres cas d’atteinte à la vie privée à l’avenir.
- Nous avons classé en trois catégories les problèmes ayant contribué aux vulnérabilités qui, à leur tour, ont mené aux incidents liés à la vie privée.
Catégorie 1 : Atteintes à la vie privée liées à la sécurité au niveau des lignes
- La « sécurité au niveau des lignes »Note de bas de page 9 est un mécanisme important de contrôle d’accès aux données de PeopleSoft. Cette fonction permet à l’exploitant du système de s’assurer que non seulement l’accès est accordé d’après le rôle de l’utilisateur (c. à d. employé, gestionnaire, conseiller en rémunération), mais également d’après son organisation d’appartenance (p. ex. un conseiller en rémunération ne devrait avoir accès qu’aux données des employés de son organisation).
- Les problèmes relevant de cette catégorie d’incidents s’expliquent par le fait que la sécurité au niveau des lignes n’a pas pu être mise en place de manière appropriée dans certaines pages du système Phénix. Plus précisément, cette fonction n’a pas été activée pour certaines pages utilisées par les conseillers en rémunération. En pratique, les recherches effectuées dans ces pages sur des employés ont produit des résultats qui n’étaient pas restreints à l’organisation ou aux organisations ciblées.
- Un correctif a été mis au point pour activer la fonction de sécurité au niveau des lignes pour les pages touchées. Toutefois, cette mesure n’a été appliquée que pour les pages signalées par les conseillers en rémunération des organisations; ainsi, la vulnérabilité pourrait être présente dans d’autres pages. Selon SPAC, quelque 1 676 pages pourraient encore être touchées par cette vulnérabilité.
- Nous avons relevé six cas d’atteinte à la vie privée liés à la sécurité au niveau des lignes.
Catégorie 2 : Atteintes à la vie privée liées à des erreurs de codage
- Un codage sur mesure (PeopleCodeNote de bas de page 10) a été ajouté aux pages d’un module utilisé par les gestionnaires (le Module gestion de tempsNote de bas de page 11) pour répondre aux exigences précises du gouvernement canadien. Des problèmes ont été rencontrés avec ce codage, faisant en sorte que les mesures prises pour restreindre l’accès aux données d’après l’organisation d’appartenance des gestionnaires n’ont pas toujours été appliquées. Lorsque les gestionnaires effectuaient une certaine séquence d’actions, le codage était contourné et une recherche sur les employés de leur organisation d’appartenance affichait les renseignements de l’ensemble des employés du gouvernement (par groupe de 300 résultats).
- Un correctif a été mis au point pour modifier le codage personnalisé de manière à ce que la fonction de sécurité soit toujours activée. Avant que ce changement soit apporté, une autre solution rapide avait été tentée, par laquelle la fonction d’enregistrement des paramètres de recherche était supprimée avant une recherche sur des employés. Cependant, cette solution ne couvrait pas toutes les pages utilisées par les gestionnaires (c. à d. la page Liste travaux).
- Nous avons relevé trois cas d’atteinte à la vie privée liés à des erreurs de codage.
Catégorie 3 : Atteintes à la vie privée liées à des erreurs de saisie par les utilisateurs
- La troisième catégorie d’incident est liée à des erreurs commises par des utilisateurs du système Phénix. Par exemple, dans un cas donné, un employé agissant à titre d’administrateur système disposant de droits d’accès spéciaux a commis une erreur, accordant ainsi à tous les conseillers en rémunération du gouvernement un accès illimité à une page du système. À partir de cette page, les conseillers en rémunération pouvaient voir et modifier l’information sur le salaire de n’importe quel employé inscrit au système Phénix et effectuer certaines mesures administratives. Dans un autre cas, une employée qui consultait son bordereau de paye dans Phénix a pu voir les renseignements personnels d’une autre employée. Dans les deux cas, les erreurs commises par des utilisateurs semblent avoir contribué aux incidents. SPAC a traité ces erreurs au cas par cas.
- Nous avons relevé deux cas d’atteinte à la vie privée liés à des erreurs de saisie par les utilisateurs.
Vérification et examen de SPAC
- Actuellement, SPAC n’effectue aucune surveillance ou vérification quant aux personnes qui accèdent aux renseignements personnels contenus dans Phénix. Selon les fonctionnaires de SPAC, une telle fonctionnalité aurait un effet important sur le rendement de Phénix. Ainsi, SPAC se fie aux utilisateurs pour lui signaler les atteintes à la vie privée ou les vulnérabilités qui impliquent un accès non autorisé aux renseignements personnels contenus dans Phénix. D’après SPAC, la capacité de vérifier l’accès aux renseignements personnels « n’existe pas pour un système ayant un nombre similaire d’utilisateurs répartis dans un nombre aussi important d’organisations ».
- Même si SPAC ne vérifie pas l’accès à l’information (c’est-à-dire la consultation de cette dernière), il a soutenu qu’il peut toutefois vérifier les opérations effectuées dans Phénix. Cependant, il n’a fourni aucune donnée démontrant qu’il effectue régulièrement de telles vérifications. Au contraire, selon la documentation qu’il a fournie, « puisque l’exécution de la fonction de vérification de PeopleSoft peut avoir un effet sur le rendement du système, l’équipe de conception de Phénix a limité le recours aux vérifications à des éléments de données très précis ».
- SPAC a indiqué qu’après avoir été mis au courant des cas d’atteinte à la vie privée et des vulnérabilités dont il a été question précédemment, il a vérifié les opérations d’ajout, de modification et de suppression d’information par des utilisateurs.
- À plusieurs reprises, SPAC a assuré au Commissariat que d’après ses vérifications, aucune opération inappropriée liée aux atteintes à la vie privée ou aux vulnérabilités n’avait eu lieu; toutefois, en examinant les registres de vérification que le ministère nous a fournis, nous avons constaté ce qui semblait être une opération inappropriée. Questionné sur cette disparité, SPAC a confirmé qu’une opération inappropriée avait eu lieu dans le cas décrit dans le rapport d’incident 03685524 (voir l’annexe). SPAC a depuis soutenu qu’aucune autre opération inappropriée liée aux atteintes à la vie privée ou aux vulnérabilités n’avait eu lieu.
- SPAC nous a informés qu’il effectue actuellement un examen systématique des pages utilisées par les conseillers en rémunération pour déterminer si des vulnérabilités demeurent. SPAC s’est engagé à terminer cet examen d’ici le 30 juin 2017.
Notification des personnes touchées par SPAC
- SPAC a indiqué qu’en raison du nombre important de personnes touchées par les atteintes à la vie privée et les vulnérabilités, il a choisi d’aviser les employés par l’entremise d’un message transmis par la sous-ministre de SPAC le 21 juillet 2016. Le message a également été publié en ligne.
- Voici ce que mentionnait le message à propos des cas d’atteinte à la vie privée survenus entre février et avril 2016 :
« […] plusieurs gestionnaires de quatre ministères ont signalé qu’ils avaient accès au nom et au numéro d’identification d’employés d’autres ministères. Ces cas ont été résolus. »
- Le 1er novembre 2016, le message en ligne a été mis à jour pour inclure ce qui suit :
« Le 26 juillet 2016, le Ministère a été informé que deux employés provenant de deux ministères étaient capables d’accéder aux renseignements personnels d’autres employés et pouvaient lancer des mouvements de paye à approuver. Ces problèmes ont été résolus. »
- Dans ses déclarations au Commissariat, SPAC a indiqué que « même si la notification des personnes touchées est considérée comme une pratique exemplaire par les politiques [du Secrétariat du Conseil du Trésor], il ne s’agit pas d’une mesure obligatoire ». En référence à sa décision de transmettre les notifications susmentionnées, SPAC a expliqué avoir jugé que « l’effet négatif potentiel [des atteintes à la vie privée et des vulnérabilités] était […] très faible ». Pour en arriver à la décision d’aviser les employés touchés comme il l’a fait, SPAC a pris en considération « les avantages d’informer les personnes concernées par rapport au préjudice potentiel d’alarmer inutilement le public ».
Articles pertinents de la Loi sur la protection des renseignements personnels
- Pour rendre notre décision, nous avons examiné les articles 3 à 8 de la Loi sur la protection des renseignements personnels (la Loi).
- L’article 3 de la Loi définit les renseignements personnels comme les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment : les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé, à tout numéro qui lui est propre, à ses empreintes digitales ou à son groupe sanguin, à ses opinions personnelles, etc.
- la Loi prévoit que les renseignements personnels ne peuvent être communiqués qu’avec le consentement d’un individu – paragraphe 8(1) – ou conformément à l’une des catégories de communication autorisée décrites au paragraphe 8(2) de la Loi.
Analyse
Des renseignements personnels étaient ils en cause dans les incidents signalés?
- D’après notre enquête, les renseignements en cause dans les incidents signalés incluaient le nom d’employés, le CIDP, l’information sur le salaire et, dans au moins un cas, la date de naissance et l’adresse domiciliaire d’employés de la fonction publique fédérale. Ces données sont considérées comme des renseignements personnels aux termes de la Loi.
Les renseignements personnels en cause ont ils été communiqués de manière inappropriée?
- Nous avons établi qu’au cours de chaque cas d’atteinte à la vie privée, certains renseignements personnels ont été communiqués à des employés de la fonction publique fédérale. Aucune des communications relevées ne cadre avec les dispositions prévues au paragraphe 8(2) de la Loi.
Quelle a été l’ampleur des communications inappropriées?
- Puisque SPAC n’a pas la capacité de surveiller la consultation des renseignements personnels contenus dans Phénix, il n’a pas pu préciser le nombre exact d’occasions où un accès non autorisé à des renseignements personnels a eu lieu. Toutefois, nous avons pu établir que pour bon nombre des vulnérabilités étudiées, les renseignements personnels de tous les employés du système Phénix étaient à risque au moment des faits.
Les renseignements personnels en cause qui ont été communiqués de manière inappropriée ont ils été utilisés à mauvais escient?
- Nous n’avons trouvé aucune preuve selon laquelle les renseignements personnels divulgués auraient été utilisés à mauvais escient. Toutefois, puisque nous n’avons pas été en mesure de déterminer l’ampleur des communications, nous ne pouvons affirmer avec certitude qu’aucune donnée personnelle n’a été utilisée à des fins inappropriées.
SPAC était il au courant des problèmes potentiels liés à la protection de la vie privée du système Phénix avant le déploiement de ce dernier?
- La personne qui a déposé la plainte a allégué que SPAC était au courant des vulnérabilités du système Phénix avant le déploiement du système. Notre enquête a confirmé que SPAC était en effet au courant du fait que les gestionnaires pouvaient voir le nom et le CIDP d’employés ne relevant pas d’eux avant le déploiement de Phénix (voir le rapport d’incident 03591514 en annexe). Cette vulnérabilité avait une portée pangouvernementale, ce qui signifie que tous les gestionnaires qui avaient accès à Phénix à ce moment là pouvaient consulter les renseignements personnels d’employés au sein de leur organisation d’appartenance. Même si SPAC a déployé des efforts pour régler ce problème, celui ci n’était pas résolu au moment du déploiement de Phénix.
- En ce qui concerne les autres vulnérabilités décrites ci-dessus, nous n’avons relevé aucune preuve indiquant que SPAC était au courant de leur existence avant le déploiement de Phénix. Toutefois, nous constatons que les procédures d’essai de SPAC n’ont pas permis de relever ces vulnérabilités avant qu’elles soient signalées par des utilisateurs.
Quelle sorte de préjudice pourrait découler de la communication non autorisée des renseignements personnels en cause?
- Même si nous n’avons relevé aucune donnée indiquant que les renseignements personnels en cause ont été communiqués à des personnes à l’extérieur du gouvernement, nous avons observé des cas d’employés espionnant les données d’autres ministères et de SPAC. Par exemple, en avril 2017, SPAC nous a signalé un autre cas d’atteinte à la vie privée qui impliquait un employé contractuel, lequel utilisait Phénix pour espionner les membres de sa famille employés de la fonction publique fédéraleNote de bas de page 12. Selon SPAC, cet incident n’est pas lié aux vulnérabilités étudiées dans notre enquête. Toutefois, SPAC a indiqué que les renseignements personnels de nature délicate des personnes touchées ont été divulgués à au moins une personne en dehors du gouvernement. Par conséquent, il est clair que la communication inappropriée de renseignements personnels pose un risque de préjudice pour les personnes touchées, lequel pourrait se traduire par une utilisation inappropriée de leurs renseignements personnels par des employés du gouvernement.
- De manière générale, le vol d’identité et la fraude financièreNote de bas de page 13 sont des préjudices potentiels qui peuvent découler d’une communication non autorisée de renseignements personnels. Par exemple, le nom et le CIDP d’un employé peuvent être combinés à d’autres renseignements recueillis auprès de sources d’information publiquesNote de bas de page 14 ou à d’autres données obtenues par des techniques de piratage psychologiqueNote de bas de page 15 afin d’usurper l’identité d’une personne et apporter des changements à ses comptes financiers ou obtenir un accès frauduleux à des fondsNote de bas de page 16.
- Outre les sources d’information publiques et les techniques de piratage psychologique, des sources d’information protégées qui requièrent un accès spécial peuvent également fournir des renseignements personnels. Par exemple, certains conseillers en rémunération ont accès à une base de données gouvernementale appelée le Fichier central. Un conseiller en rémunération pourrait utiliser le nom et le CIDP d’un employé pour accéder à ses renseignements personnels dans le Fichier central, dont son numéro d’assurance sociale, sa date de naissance et l’adresse de son domicile. Dans des circonstances normales, les conseillers en rémunération n’ont accès qu’au nom et au CIDP d’employés précis. Toutefois, s’ils ont accès au nom et au CIDP de tous les employés du gouvernement, ils peuvent accéder aux renseignements personnels de n’importe quel employé du Fichier central.
- Notre enquête n’a pas mis au jour de données probantes suggérant que les renseignements personnels des employés du gouvernement ont été communiqués à des personnes en dehors du gouvernement du Canada par suite des incidents visés par le présent rapport. De plus, nous n’avons relevé aucune donnée probante indiquant qu’un vol d’identité ou une fraude ait eu lieu. Toutefois, nous avons découvert qu’au moins une opération inappropriée a été effectuée. Par conséquent, selon nous, les cas d’atteinte à la vie privée présentent un risque potentiel de préjudice réel.
- Une évaluation des risques prend en compte tant la gravité du préjudice potentiel que la probabilité que le préjudice en question se concrétise. Pour évaluer la probabilité qu’un tel préjudice se produise par suite des vulnérabilités présentes dans le système Phénix, il faut connaître l’ampleur des cas d’atteinte à la vie privée. Cependant, SPAC n’a pas été en mesure de nous fournir le nombre de personnes ayant accédé de manière inappropriée aux renseignements personnels en cause. Par conséquent, nous ne pouvons pas formuler de commentaires au sujet de la probabilité qu’un préjudice précis se matérialise en raison des cas d’atteinte à la vie privée liés à Phénix.
- Outre les préjudices potentiels qui peuvent découler d’une mauvaise utilisation intentionnelle des renseignements, il existe aussi la possibilité que ce préjudice soit causé par une mauvaise utilisation accidentelle de ceux-ci. Par exemple, un conseiller en rémunération qui travaille sur les dossiers d’une organisation donnée peut ne pas remarquer qu’il a accès aux renseignements personnels de personnes en dehors de cette organisation. Cette situation peut entraîner des erreurs. Par exemple, il est possible que des modifications soient apportées au mauvais dossier dans le cas où des personnes ont un nom semblable ou identique. Par ailleurs, comme ce fut le cas avec l’incident 03685524 (voir annexe), le statut d’emploi d’un employé peut être affecté de manière négative. L’accès injustifié à des renseignements personnels augmente le risque de préjudice causé par une erreur humaine.
SPAC a t il éliminé toutes les vulnérabilités du système Phénix?
- Selon SPAC, les vulnérabilités liées au codage personnalisé ont été éliminées (problèmes de catégorie 2). SPAC a indiqué avoir examiné chaque page contenant le codage sur mesure afin de s’assurer qu’il ne reste aucune vulnérabilité. Jusqu’à présent, aucun autre cas d’atteinte à la vie privée lié au codage personnalisé n’a été signalé depuis que SPAC a résolu le problème.
- SPAC a soutenu qu’il traite les vulnérabilités liées aux erreurs de saisie d’utilisateurs (problèmes de catégorie 3) au cas par cas. Toutefois, nous constatons que SPAC s’est fié aux autres ministères pour relever et signaler les incidents liés à ce type de vulnérabilité. Cette façon de faire suggère que même si SPAC a résolu ce type d’incident, il ne dispose pas des mécanismes de surveillance et de contrôle qui lui permettraient de relever d’éventuelles vulnérabilités liées à une erreur de saisie par un utilisateur ou de reconnaître les cas d’atteinte à la vie privée causés par de telles vulnérabilités s’ils devaient se produire.
- Les vulnérabilités liées à la sécurité au niveau des lignes demeurent une préoccupation (problèmes de catégorie 1). Cette crainte est fondée sur le nombre de pages qui demeurent problématiquesNote de bas de page 17 et sur l’incapacité de SPAC de détecter de manière proactive les vulnérabilités. SPAC s’est engagé à examiner chaque page utilisant la sécurité au niveau des lignes d’ici le 30 juin 2017. Jusqu’à ce que cet examen soit terminé, il demeure possible que des vulnérabilités persistent.
SPAC a t il fourni aux personnes concernées des renseignements opportuns sur les cas d’atteinte à la vie privée et sur les vulnérabilités?
- SPAC a publié deux notifications publiques concernant les cas d’atteinte à la vie privée. La première a été transmise le 21 juillet 2016 et faisait uniquement allusion au cas 03591514 (voir annexe). Aucun des cas d’atteinte à la vie privée impliquant des conseillers en rémunération ni les vulnérabilités existantes liées à la sécurité au niveau des lignes n’ont été mentionnés à ce moment. De plus, nous notons que la notification peut avoir donné l’impression que la vulnérabilité en cause était limitée à quatre ministères, alors que tel n’était pas le cas. La vulnérabilité était de portée pangouvernementale.
- Le 1er novembre 2016, SPAC a informé les employés que deux employés avaient été capables d’accéder aux renseignements personnels d’autres employés et de lancer des mouvements de paye à approuver. Cette notification faisait uniquement allusion aux cas 03645195 et 03663251 (voir annexe). Comme pour la première notification, SPAC a utilisé une formulation qui pouvait donner l’impression que la vulnérabilité n’impliquait que deux employés de deux ministères alors qu’en fait, elle était de portée pangouvernementale et existait par ailleurs encore au moment de l’avis.
- Pour justifier le moyen emprunté pour informer les employés, SPAC a mentionné les Lignes directrices sur les atteintes à la vie privée du Secrétariat du Conseil du Trésor. L’article 2 de ces lignes directrices prévoit ce qui suit :
« […] il est fortement recommandé à l’institution d’aviser toute personne dont les renseignements personnels ont été ou pourraient avoir été volés, perdus ou communiqués sans autorisation, surtout si l’atteinte :
- touche des données personnelles de nature délicate comme des renseignements financiers ou médicaux, p. ex., le numéro d’assurance sociale;
- risque d’entraîner un vol d’identité ou une fraude similaire;
- risque autrement de causer un préjudice ou un embarras à la carrière, la réputation, la situation financière, la sécurité, la santé ou le mieux-être d’une personne.
L’institution devrait aviser les personnes touchées de l’infraction dans les meilleurs délais, pour leur permettre de prendre des mesures de protection ou d’atténuer les préjudices causés par le vol d’identité ou les autres torts possiblesNote de bas de page 18 (caractères gras ajoutés).
- Dans ses observations, SPAC a déclaré avec raison qu’aviser les personnes est une « pratique exemplaire » ou, selon les termes des Lignes directrices sur les atteintes à la vie privée, qu’il est « fortement recommandé » de le faire. Néanmoins, nous remarquons que cette pratique exemplaire est en place, en partie, pour permettre aux personnes touchées de prendre des mesures afin de se protéger d’un préjudice potentiel qui pourrait découler de l’atteinte à leur vie privée.
- De notre point de vue, SPAC n’a pas fourni aux employés suffisamment d’information en temps opportun pour leur permettre d’évaluer avec justesse le risque qu’ils encourraient et de prendre les mesures qu’ils jugeaient nécessaires pour se protéger d’un éventuel préjudice.
Conclusion
- À la lumière de ce qui précède, les plaintes sont fondées.
Recommandations
- Le 1er mai 2017, nous avons remis notre rapport de conclusions assorti de recommandations à SPAC. Nous avons demandé au ministère de nous indiquer s’il accepterait ou non ces recommandations.
- Le 15 mai 2017, le ministère a informé le Commissariat qu’il était d’accord avec toutes nos recommandations. Toutefois, les mesures proposées pour y répondre ne semblaient pas toutes cohérentes avec l’intention déclarée de SPAC.
- Nos recommandations, la réponse de SPAC à celles-ci et nos commentaires subséquents sont présentés ci-dessousNote de bas de page 19.
- Nous demandons à SPAC de faire un suivi auprès du Commissariat dans six mois afin de rendre compte des progrès réalisés dans la mise en œuvre de nos recommandations.
Recommandation 1 : Vérifier les accès au système
- Le respect de la vie privée est une valeur fondamentale pour la population canadienne et un élément essentiel au maintien de la confiance du public envers le gouvernement. Nous rappelons donc à SPAC qu’il se doit d’être constamment conscient des renseignements personnels en sa possession et de s’assurer que leur accès est limité aux personnes qui doivent, de façon légitime, les connaître. La surveillance et la vérification de l’accès aux renseignements personnels sont des moyens de s’acquitter de cette responsabilité.
- Notre enquête a révélé que SPAC ne vérifie pas l’accès aux renseignements personnels contenus dans le système Phénix.
- Le ministère réalise des vérifications portant sur les opérations effectuées dans Phénix, mais ne le fait que de manière ponctuelle et limitée.
- La Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor (la Directive) offre une orientation à cet égard. Selon le paragraphe 6.2.21 de la Directive, les ministères doivent :
Prendre des mesures appropriées pour s’assurer que l’accès aux renseignements personnels, leur utilisation et leur divulgation sont surveillés et documentés, afin de pouvoir identifier en temps opportun l’accès ou le traitement inapproprié ou non autorisé aux renseignements personnelsNote de bas de page 20. (caractères gras ajoutés)
[…] inclure une fonction de journal de vérification de la sécurité dans tous les systèmes de TI… [et] intégrer des outils de détection des incidents automatisés et en temps réel dans les systèmes à risque élevéNote de bas de page 21.
- En ce qui concerne la question de la vérification des opérations, SPAC a répondu à notre recommandation en disant qu’il est en train de « mettre en place une surveillance systémique des tableaux de vérification de Phénix, ce qui permettra de déceler de façon proactive les situations dans lesquelles des utilisateurs ont modifié de manière inappropriée des renseignements dans le système ». SPAC s’est également engagé à concevoir des requêtes pour permettre aux ministères de surveiller les activités des conseillers en rémunération d’ici le 30 juin 2017.
- SPAC a aussi pris l’engagement d’instaurer un système plus robuste de surveillance des mesures effectuées par les gestionnaires, les analystes des ressources humaines et les autorisateurs ayant les pouvoirs cités à l’article 33 d’ici le 31 mars 2018.
- En ce qui concerne la question de la surveillance de l’accès aux renseignements personnels, SPAC a indiqué qu’il n’a « encore trouvé aucune solution concrète pour surveiller les pages consultées par les utilisateurs ». Toutefois, en réponse à une demande de précision de notre part, le ministère a indiqué qu’il a à cœur de trouver une telle solution et qu’il étudie actuellement la possibilité d’utiliser la capacité de surveillance employée par l’Agence du revenu du Canada. Nous continuerons de communiquer avec SPAC au sujet de cette question jusqu’à ce que le ministère trouve une solution concrète.
Recommandation 2 : Améliorer les procédures d’essais
- Le système Phénix doit respecter des exigences précises afin de protéger les renseignements personnels qui y sont consignés. Les essais effectués sur le système constituent un processus essentiel pour évaluer la mesure dans laquelle il satisfait à ces exigences. Notre enquête a révélé que les procédures d’essai de SPAC concernant le système Phénix n’étaient pas suffisantes pour en évaluer la conformité aux exigences en matière de protection de la vie privée. Cette lacune a mené à des situations dans lesquelles les fonctionnaires de SPAC ont été forcés de se fier au signalement fait par les organisations pour connaître les vulnérabilités qui touchaient les renseignements personnels. Cet état de fait suggère une faiblesse au chapitre des procédures d’essai touchant les solutions proposées.
- Une fois les vulnérabilités signalées, le ministère n’a pas été en mesure de s’assurer que les mesures qu’il avait prises permettaient d’éliminer réellement les vulnérabilités observées. Par exemple, lorsqu’un problème signalé a été corrigé, SPAC n’a pas cherché à savoir si d’autres pages ou si d’autres codages présentaient le même problème. Cette situation a fait en sorte que des vulnérabilités semblables ont persisté.
- Par ailleurs, nous avons observé que la chaîne de courriels est la principale méthode employée par SPAC pour gérer les incidents liés à la sécurité et préparer ses interventions connexes. Selon nous, il ne s’agit pas d’une bonne pratique pour assurer une sécurité efficace.
- À la lumière de ce qui précède, nous recommandons que SPAC mette au point des procédures d’essai et d’intervention plus solides afin de pouvoir éliminer de manière proactive les vulnérabilités touchant la protection de la vie privée, de tester plus efficacement les solutions proposées aux vulnérabilités connues et d’améliorer ses interventions en cas d’incidents liés à la sécurité.
- Dans sa réponse, SPAC a indiqué avoir effectué un examen de son processus de gestion des changements pour le système Phénix et avoir fourni une formation obligatoire aux membres de l’équipe responsable du système de paye. De plus, le ministère s’est engagé à examiner son processus d’intervention en cas d’incidents liés à la sécurité.
- À notre avis, SPAC a démontré qu’il reconnaît l’existence du problème et qu’il a pris des mesures pour appliquer notre deuxième recommandation.
Recommandation 3 : Améliorer la gestion des risques pour la sécurité
- La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) exige des ministères qu’ils gèrent les risques pour la sécurité touchant l’information et les biens de technologie de l’information (TI) tout au long du cycle de vie de leurs programmes et services. Les activités de gestion des risques pour la sécurité incluent, entre autres, les évaluations des menaces et les risques (EMR), les vérifications, les analyses des répercussions sur les activités et les évaluations des facteurs relatifs à la vie privée (EFVP). Compte tenu des risques pour la sécurité des renseignements personnels que notre enquête a mis au jour, nous recommandons que SPAC effectue les évaluations nécessaires pour cerner les risques et les vulnérabilités potentiels du système Phénix.
- Le ministère a consenti à effectuer une EFVP et une EMR d’ici avril 2018.
- Le fait que ces évaluations n’aient pas encore été complétées crée des risques importants en matière de protection de la vie privée. C’est pourquoi nous nous serions attendus à ce qu’elles aient déjà été réalisées ou à ce qu’elles aient été entreprises avec un empressement plus grand que ce que traduit l’échéancier proposé par le ministère.
Recommandation 4 : Atténuer les risques de préjudice réel en traitant les vulnérabilités potentielles touchant le centre d’appels
- Les vulnérabilités liées à la protection de la vie privée qui touchent le système Phénix augmentent la possibilité que les renseignements personnels qu’il contient soient utilisés à mauvais escient. Comme il a été mentionné précédemment, le piratage psychologique est une méthode qui consiste à utiliser l’information divulguée résultante d’atteinte à la vie privée pour obtenir d’autres renseignements personnels et éventuellement modifier les renseignements sur les salaires. Cette situation fait des employés du Centre des services de paye de la fonction publique et du Centre des pensions du gouvernement du Canada des cibles parfaites pour le piratage psychologique. Par exemple, une personne peut utiliser les renseignements obtenus de manière illégitime en combinaison avec des données obtenues de sources ouvertes pour se faire passer pour un employé auprès du Centre des services de paye ou du Centre des pensions et modifier les renseignements d’un compte (le compte dans lequel les fonds sont déposés, par exemple).
- À la lumière des risques posés par le piratage psychologique, nous recommandons à SPAC de prendre des mesures afin de réduire la vulnérabilité accrue qui touche l’information dont se servent les employés du Centre des services de paye de la fonction publique et du Centre des pensions du gouvernement du Canada.
- Dans sa réponse à notre recommandation, SPAC a indiqué que le « centre d’appels est très au fait des risques détectés ». Toutefois, le ministère n’a pas démontré qu’il a pris une quelconque mesure spéciale pour conscientiser les employés du Centre des services de paye de la fonction publique et du Centre des pensions du gouvernement du Canada en ce qui a trait aux risques accrus liés aux vulnérabilités relevées par notre enquête. Par conséquent, à notre avis, SPAC n’a pas démontré qu’il a pris des mesures suffisantes pour appliquer notre quatrième recommandation.
Recommandation 5 : Informer les personnes touchées
- Les personnes touchées par des cas d’atteinte à la vie privée et les vulnérabilités connexes doivent être mises au courant pour pouvoir prendre les mesures qui conviennent afin de se protéger des préjudices potentiels, dont le vol d’identité et la fraude financière. Selon nous, SPAC n’a pas fourni aux employés suffisamment d’information pour qu’ils puissent évaluer le risque qu’ils encourraient et prendre les mesures qu’ils jugeaient nécessaires. Par conséquent, nous recommandons à SPAC de revoir ses pratiques de notification en cas d’atteinte à la vie privée pour s’assurer que, dorénavant, les personnes touchées soient suffisamment informées pour prendre des mesures appropriées afin de se protéger. De plus, nous recommandons à SPAC d’émettre un avis sur l’ampleur des cas d’atteinte à la vie privée liés à Phénix et des vulnérabilités connexes.
- Dans sa réponse à nos recommandations, SPAC a affirmé qu’il publiera « d’autres détails sur la protection des renseignements personnels contenus dans Phénix » sur son site Web. Toutefois, le ministère ne s’est pas engagé à aviser les personnes touchées de l’ampleur des cas d’atteinte à la vie privée liés à Phénix et des vulnérabilités connexes. Le fait est troublant compte tenu du fait que nous avons noté un écart entre le message transmis par le ministère aux employés concernés et ce qu’il savait des incidents et des vulnérabilités qui touchaient le système Phénix. Par conséquent, à notre avis, SPAC n’a pas démontré qu’il a l’intention d’appliquer notre cinquième recommandation.
Recommandation 6 : Effectuer un examen des pages dotées d’une sécurité au niveau des lignes
- Les cas d’atteinte à la vie privée et les vulnérabilités de catégorie 1 étaient liés à la fonction de sécurité au niveau des lignes de certaines pages de Phénix. Selon SPAC, pour s’assurer qu’il ne reste aucune vulnérabilité liée à cette fonction, il doit examiner chaque page qui utilise cette fonction. Le ministère s’est engagé à le faire d’ici le 30 juin 2017. Nous demandons à SPAC de remplir cet engagement et d’informer le Commissariat lorsqu’il aura terminé.
- SPAC s’est engagé à examiner chaque page utilisant la sécurité au niveau des lignes d’ici le 30 juin 2017.
Annexe 1 – Renseignements sur les cas d’atteinte à la vie privée
Description des incidents signalés
L’équipe de gestion de la sécurité de Phénix est chargée de répondre aux signalements de vulnérabilités et d’atteintes à la sécurité. Ces dernières incluent les vulnérabilités et les cas d’atteinte à la vie privée qui ont été étudiés par le Commissariat.
Notre enquête a mis au jour 11 cas d’atteinte à la vie privée qui impliquaient la communication non autorisée de renseignements personnels. Ces cas ont été signalés à l’équipe de gestion de la sécurité de Phénix par des utilisateurs du système d’autres organisations. Les cas signalés renvoient à des incidents pour lesquels il existe suffisamment de données probantes pour conclure qu’une communication non autorisée a eu lieu. Toutefois, les problèmes ayant mené à ces incidents n’ont pas commencé le jour où ces derniers ont été découverts. D’après les discussions tenues avec les fonctionnaires de SPAC, il est probable que bon nombre des vulnérabilités rapportées ont existé depuis le moment où Phénix a été lancé jusqu’à celui où l’équipe de gestion de la sécurité de Phénix les a traitées.
Chacun des cas d’atteinte à la vie privée est décrit ci-après. Les cas portent le numéro de rapport d’incident que leur a fourni l’équipe de gestion de la sécurité de Phénix.
RI 03596311 – catégorie 1
Le 4 mars 2016, le ministère du Patrimoine canadien a signalé à SPAC que quatre de ses agents financiers avaient pu voir et autoriser des payes du cycle en cours pour de nombreux comptes de paye de la Gendarmerie royale du Canada (GRC). Cet accès dépassait celui qui est accordé aux agents financiers lequel leur permet de voir ou d’approuver certaines opérations. L’information en jeu incluait le montant de la paye ainsi que le nom et le CIDP des employés. Les agents financiers de Patrimoine canadien pouvaient aussi approuver certains éléments (dont les heures supplémentaires, les rajustements de la paye, la rémunération d’intérim) des comptes de paye de la GRC. SPAC a indiqué que les agents financiers de Patrimoine canadien avaient approuvé tous ces éléments (au nombre de 1 556) avant de réaliser qu’une erreur s’était produite.
Le 5 mars 2016, l’équipe de gestion de la sécurité a révoqué l’accès à Phénix de tous les agents financiers de Patrimoine canadien. Selon SPAC, cet incident était lié aux processus liés au transfert d’un employé.
Le 8 mars 2016, l’équipe de gestion de la sécurité a résolu le problème. Les fonctionnaires de SPAC ont expliqué que le problème avait été difficile à cerner et qu’il avait fallu du temps pour le corriger. En outre, ils ont déclaré que la vulnérabilité était probablement présente depuis le jour où Phénix a été lancé.
Selon SPAC, le ministère a examiné toutes les opérations approuvées en cause pour s’assurer que les employés de la GRC recevaient une paye du montant approprié.
RI 03611946 – catégorie 1
Le 11 avril 2016, l’Agence du revenu du Canada (ARC) a indiqué que ses conseillers en rémunération pouvaient voir l’information sur les salaires de tous les employés du gouvernement. La portée de cette vulnérabilité était pangouvernementaleNote de bas de page 22. SPAC n’a pas été en mesure de nous fournir la date exacte à laquelle la vulnérabilité est apparue. Selon SPAC, cette dernière serait attribuable à une tentative échouée d’activer la fonction de sécurité au niveau des lignes à la page Chèques paie.
SPAC a indiqué ne pas avoir retiré l’accès à la page concernée, car une telle mesure aurait fait en sorte que les employés n’auraient pas été payés. Le 17 avril 2016, la fonction de sécurité au niveau des lignes a été ajoutée à la page et le problème a été résolu.
RI 03645195 – catégorie 1
Le 21 juin 2016, Téléfilm Canada a informé SPAC qu’une conseillère en rémunération de son équipe pouvait voir le nom et le CIDP d’employés ne faisant pas partie de son organisme. Dans ce cas-ci, ce sont les pages Mise à jour données déclarants et Création données déclarants qui étaient touchées. Cette vulnérabilité avait une portée pangouvernementale, ce qui signifie que tous les conseillers en rémunération pouvaient voir l’information sur le salaire de tous les employés. Selon SPAC, la vulnérabilité aurait été causée par une tentative échouée d’activer la fonction de sécurité au niveau des lignes dans les pages concernéesNote de bas de page 23. SPAC a indiqué que la vulnérabilité était sans doute présente depuis le lancement de Phénix.
Le 28 juin 2016, un rapport d’incident a été créé; toutefois, le dossier n’a été affecté à un analyste que le 25 juillet 2016.
Le 27 juillet 2016, SPAC a ajouté la fonction de sécurité au niveau des lignes aux pages en question dans un environnement d’essai. Le 2 août 2016, un correctif a été appliqué dans Phénix.
RI 3663251 – catégorie 1
Le 27 juillet 2016, le Commissariat à la protection de la vie privée (le Commissariat) a indiqué qu’un conseiller en rémunération pouvait voir le nom, le CIDP et l’information sur le salaire de tous les employés du gouvernement. Dans ce cas-ci, ce sont les pages Mise à jour données déclarants et Paiement de transition employé qui étaient touchées. Le conseiller en rémunération aurait également pu apporter des changements qui auraient fait en sorte qu’un employé n’aurait pas reçu une paye de transition. Cette vulnérabilité avait une portée pangouvernementale, ce qui signifie que tous les conseillers en rémunération pouvaient voir et modifier l’information sur le salaire de tous les employés. Selon SPAC, la vulnérabilité aurait été causée par une tentative échouée d’activer la fonction de sécurité au niveau des lignes dans les pages concernées. SPAC a aussi déclaré que la vulnérabilité était probablement présente depuis le jour où Phénix a été lancé. Cet incident est identique à celui qu’a rapporté Téléfilm Canada (voir le RI 03645195).
Le 27 juillet 2016, SPAC a ajouté la fonction de sécurité au niveau des lignes aux pages en question dans un environnement d’essai. Le 2 août 2016, un correctif a été appliqué dans Phénix.
RI 03647905 – catégorie 1
Le 5 juillet 2016, un conseiller en rémunération du Bureau du Commissaire à la magistrature fédérale (CMF) a signalé à SPAC qu’il pouvait voir le nom et le CIDP d’employés ne faisant pas partie de son organisation d’appartenance lorsqu’il utilisait la fonction de recherche sur la page Ex libre-service rendement des cadres supérieurs. SPAC a indiqué que cette vulnérabilité touchait 149 employés de 9 organisations. Les renseignements en cause incluaient le nom, le CIDP et le montant de la rémunération au rendement des employés concernés. Selon SPAC, la vulnérabilité aurait été présente depuis le 13 mai 2016 (c’est-à-dire le jour où la page a été mise en ligne).
Le 5 juillet 2016, l’accès à cette page a été révoqué. Pour régler le problème, SPAC a ajouté la fonction de sécurité au niveau des lignes à la page Ex libre-service rendement des cadres supérieurs. Le 20 juillet 2016, une solution a été appliquée dans Phénix.
RI 03695691 – catégorie 1
Le 31 octobre 2016, SPAC a été informé du fait qu’une autre page n’avait pas été dotée de la fonction de sécurité au niveau des lignes. En effet, le Bureau du surintendant des institutions financières (BSIF) a signalé à SPAC que son conseiller en rémunération pouvait voir les renseignements de tous les employés du gouvernement de la page Classement employés (emplois). Les renseignements personnels visibles sur cette page incluaient le nom, le CIDP et le salaire des employés. SPAC a indiqué que la vulnérabilité avait une portée pangouvernementale, ce qui signifie que tous les conseillers en rémunération pouvaient voir l’information de tous les employés. Toutefois, aucun changement ne pouvait être apporté à la page en question. En outre, la vulnérabilité était probablement présente depuis le jour où Phénix a été lancé.
Le 1er novembre 2016, SPAC a retiré l’accès à cette page.
Pour résoudre le problème, SPAC a retiré l’accès à cette page de façon permanente. Le ministère a affirmé le 9 novembre 2016 qu’il avait déterminé que l’accès à cette page n’était pas requis.
RI 03591514 – catégorie 2
Le 24 février 2016, jour de la première phase de lancement de Phénix, une gestionnaire de la Commission de la fonction publique (CFP) a informé SPAC qu’elle pouvait voir le nom et le CIDP de tous les employés de son organisation. Cette vulnérabilité avait une portée pangouvernementale, ce qui signifie que tous les gestionnaires des 34 organisations inscrites à Phénix à ce moment là avaient accès au nom et au CIDP de n’importe quel employé au sein de leur organisation d’appartenance. Selon SPAC, les gestionnaires n’auraient dû avoir accès qu’aux renseignements des employés sous leur supervision.
SPAC a expliqué qu’il s’agissait d’un problème connu, qui avait été souligné dans les versions préliminaires d’une évaluation des facteurs relatifs à la vie privéeNote de bas de page 24 (EFVP) avant le lancement de Phénix. Le problème était lié à une fonction qui autorisait les gestionnaires à sélectionner les employés pour lesquels ils souhaitaient obtenir des renseignements. Pour éliminer cette vulnérabilité, la décision a été prise de retirer cette fonction; toutefois, selon SPAC, une erreur humaine aurait entraîné l’échec de la mise en place de cette solution lorsque Phénix a été mis en ligne.
SPAC a désactivé la fonction permettant de sélectionner les employés le jour même où l’incident lui a été signalé.
RI 03602149 – catégorie 2
Le 15 mars 2016, SPAC a été informé par la CFP qu’une gestionnaire pouvait voir le nom et le CIDP de « tous les employés fédéraux » lorsqu’elle effectuait une recherche sur l’un de ses employés. La même situation a par la suite été signalée par la Commission de l’immigration et du statut de réfugié (CISR) du Canada, la Commission canadienne des grains (CCG) et le ministère de la Défense nationale (MDN).
Les pages en cause relevaient du Module gestion de temps. Les voici :
- Gestion horaires
- Approbation Heures : page utilisée pour approuver les opérations de paye pour des heures supplémentaires.
- Exceptions : page utilisée par les gestionnaires pour visualiser des exceptions ou des messages d’erreurs relativement aux comptes d'employés.
- Feuille temps : page utilisée par les gestionnaires pour saisir des heures travaillées pour le compte d'employés.
- Détails heures payables : page utilisée par les gestionnaires pour visualiser les détails des heures à rémunérer qui ont été créées. Les gestionnaires peuvent voir les heures qui ont été payées ainsi que le nom des personnes ayant approuvé les paiements.
- Sommaires heures payables : page qui fournit un résumé des heures à rémunérer qui ont été créées par l’entremise des fonctions de gestion du temps.
Le 4 avril 2016, l’équipe de gestion de la sécurité a révoqué l’accès à Phénix pour quatre gestionnaires des organisations ayant signalé les cas d’atteinte à la vie privée.
SPAC a indiqué que le problème était lié au codage personnalisé qu’il avait intégré aux pages utilisées par les gestionnaires. Le 7 avril 2016, l’équipe de gestion de la sécurité a installé ce qu’elle croyait être un correctif. Plus précisément, l’équipe a retiré la fonctionnalité permettant d’enregistrer les paramètres de recherche sur les pages concernées. Toutefois, le correctif s’est révélé inefficace et le même problème a de nouveau été signalé le 26 juillet 2016 (RI 03660361, voir ci-dessous).
Cette vulnérabilité avait une portée pangouvernementale, ce qui signifie que tous les gestionnaires qui utilisaient Phénix à ce moment là avaient accès aux renseignements personnels de tous les employés des organisations inscrites dans le système. Ces gestionnaires pouvaient également approuver des requêtes effectuées dans le Module gestion de temps. Les renseignements en jeu incluaient le nom et le CIDP des employés. SPAC a aussi déclaré que la vulnérabilité était probablement présente depuis le jour où Phénix a été lancé.
RI 03660361 – catégorie 2
Cet incident est lié à celui qui a fait l’objet du RI 03602149.
Le 12 juillet 2016, la CFP a signalé à SPAC que ses gestionnaires pouvaient toujours consulter les données de « tous les employés dans Phénix ». SPAC a indiqué que, comme c’était le cas pour l’incident 03602149, le problème était lié à un codage personnalisé qu’il avait intégré aux pages utilisées par les gestionnaires.
Le 25 juillet 2016, l’incident a été confié à un analyste.
Le 28 juillet 2016, SPAC a informé les organisations concernées qu’il avait retiré l’accès à la page en question (c’est-à-dire la page Liste travaux).
Le 1er août 2016, le ministère a appliqué un correctif pour résoudre le problème. Ce correctif venait modifier le codage sur mesure afin d’activer une fonction de sécurité qui limiterait l’accès des gestionnaires aux seuls employés sous leur supervision. Contrairement à l’intervention précédente – qui consistait à désactiver une fonction de recherche – ce correctif devait résoudre la cause fondamentale du problème.
Cette vulnérabilité avait une portée pangouvernementale, ce qui signifie que tous les gestionnaires avaient accès aux renseignements personnels de tous les employés des organisations inscrites dans le système au moment de l’incident. Ces gestionnaires pouvaient également approuver des requêtes effectuées dans le Module gestion de temps. Les renseignements en jeu étaient les mêmes que ceux de l’incident du RI 03602149. Selon SPAC, la vulnérabilité était probablement présente depuis le jour où Phénix a été lancé.
SPAC a indiqué avoir examiné chaque page contenant le codage sur mesure afin de s’assurer que le correctif avait été appliqué là où il le fallait.
RI 03640919 – catégorie 3
Le 13 juin 2016, Immigration, Réfugiés et Citoyenneté Canada (IRCC) a été informé par le ministère de la Justice Canada qu’une employée de ce dernier pouvait voir les renseignements personnels (le nom, le CIDP, la date de naissance, l’adresse domiciliaire) d’une autre employée lorsqu’elle consultait son bordereau de paye dans le module libre-service de Phénix (page Chèques paie). IRCC a informé SPAC du problème le 14 juin 2016.
Le 21 juin 2016, SPAC a corrigé l’information de manière à ce que l’employée de Justice Canada ne puisse plus voir les renseignements de l’employée d’IRCC.
Selon SPAC, le problème avait été causé par l’intégration d’une information incorrecte du système ministériel des ressources humaines dans Phénix. SPAC a indiqué que l’erreur ne provenait pas de Phénix.
Le ministère a aussi déclaré avoir informé l’employée touchée du fait que ses renseignements avaient été communiqués de manière inappropriée. Il s’est aussi assuré qu’aucune opération financière inappropriée n’avait été effectuée.
RI 03685524 – catégorie 3
À la fin du mois de septembre 2016, un employé de SPAC assumant une fonction d’administrateur système a retiré l’accès à la page Par sécurité ligne paieNote de bas de page 25 pour tous les conseillers en rémunération. Il s’agit d’une mesure manuelle courante, effectuée pour chaque cycle de paye. Le 29 septembre 2016, l’employé devait redonner l’accès à cette page aux conseillers en rémunération. Or, ce faisant, il a donné à ces derniers l’accès à la page Par ligne paie, laquelle est normalement réservée aux utilisateurs de SPAC. Conséquemment, tous les conseillers en rémunération pouvaient consulter les renseignements de tous les employés et apporter des modifications à leur paye. Le jour même, plusieurs conseillers en rémunération ont signalé le problème. Dès qu’il a été avisé de l’erreur, SPAC a retiré l’accès à la page Par ligne paie.
À la suite de l’incident, SPAC a examiné toutes les opérations qui avaient été effectuées durant la période où les conseillers en rémunération avaient accès à la page Par ligne paie. L’examen a révélé qu’une opération inappropriée avait eu lieu. Plus précisément, un conseiller en rémunération chargé d’administrer les services de paye de la Station canadienne de recherche dans l’Extrême Arctique (SCREA) a tenté d’embaucher un employé, mais il l’a inscrit comme un employé de SPAC plutôt que de la SCREA. SPAC a indiqué que l’erreur avait été relevée le jour même où elle s’était produite, et qu’elle avait été corrigée.
SPAC a indiqué qu’il entend automatiser la procédure qui consiste à retirer l’accès à la page Par sécurité ligne paie et à le restaurer de manière à éviter que cette erreur se reproduise.
Tableau récapitulatif des incidents
CatégorieNote de bas de page 26 | Numéro du rapport d’incident | Rôle de l’utilisateur | Description de l’incident | Ampleur | Organi-sation ayant signalé l’incident | Date du signalement de l’incident à SPAC | Date de résolution du problème |
---|---|---|---|---|---|---|---|
1 | 03611946 | CRNote de bas de page 27 | Tous les CR ont pu voir le nom, le CIDP et les renseignements sur le salaire de tous les employés à partir du lancement de Phénix. | Pangouver-nementaleNote de bas de page 28 | ARC | 11 avril 2016 | 17 avril 2016 |
03596311 | AFNote de bas de page 29 | 4 AF de Patrimoine canadien pouvaient voir et approuver certaines opérations dans les comptes de paye de certains employés de la GRC. | 1 556 em-ployés de la GRC touchés. La vulnérabilité était probable-ment présente depuis le lancement de Phénix. | Patrimoine canadien | 4 mars 2016 | 15 mars 2016 | |
03645195 | CR | Tous les CR pouvaient voir le nom, le CIDP et les renseignements sur le salaire de tous les employés. | Pangouver-nementale | Téléfilm Canada | 21 juin 2016 | 2 août 2016 | |
3663251 | CR | Tous les CR pouvaient voir le nom, le CIDP et les renseignements sur le salaire de tous les employés et pouvaient apporter des changements aux comptes des employés qui auraient eu une incidence sur leur paye. | Pangouver-nementale | CPVP | 27 juillet 2016 | 2 août 2016 | |
03647905 | CR | Tous les CR pouvaient voir le nom, le CIDP et le montant de la rémunération au rendement de tous les employés recevant une rémunération au rendement qui étaient inscrits dans Phénix. | Pangouver-nementale (149 em-ployés de 9 organi-sations) | CMF | 5 juillet 2016 | 20 juillet 2016 | |
03696591 | CR | Tous les CR pouvaient voir et modifier les renseignements personnels de tous les employés. | Pangouver-nementale | BSIF | 31 octobre 2016 | 1er novembre 2016 | |
2 | 03591414 | Gestion-naire | Tous les gestionnaires pouvaient voir le nom et le CIDP de tous les employés au sein de leur organisation d’appartenance. | Pangouver-nementale | Patrimoine canadien | 24 février 2016 | 24 février 2016 |
03602149 | Gestion-naire | Tous les gestionnaires pouvaient voir le nom, le CIDP et les renseignements sur la paye de tous les employés au sein de leur organisation d’appartenance. | Pangouver-nementale | CFP, CISR, CCG et MDN | 15 mars 2016 | 1er août 2016 | |
03660361 | Gestion-naire | Tous les gestionnaires pouvaient voir le nom et le CIDP de tous les employés au sein de leur organisation d’appartenance. | Pangouver-nementale | CFP | 12 juillet 2016 | 1er août 2016 | |
3 | 03640919 | Employé | Une employée de Justice Canada pouvait voir les renseignements personnels (le nom, le CIDP, la date de naissance, l’adresse domiciliaire) d’une autre employée lorsqu’elle consultait son bordereau de paye dans le module libre service de Phénix (page Chèque paie). | Rensei-gnements personnels d’une employée en jeu | IRCC | 13 juin 2016 | 21 juin 2016 |
03685524 | CR | Tous les CR pouvaient accéder aux renseignements sur la paye de tous les employés et pouvaient apporter des rectificatifs à leur paye. | Pangouver-nementale à partir du 29 septembre 2016 | BSGG | 30 septembre 2016 | 30 septembre 2016 |
Annexe 2 – Réponse de SPAC à nos recommandationsNote de bas de page 30
Recommandations | Position de SPAC | Réponse de la direction |
---|---|---|
1- Vérifier l’accès à l’information Compte tenu de la nature délicate des renseignements personnels contenus dans Phénix et du préjudice potentiel qui pourrait découler de la mauvaise utilisation de ces renseignements, nous recommandons à SPAC de mettre au point et de mettre en place des mécanismes de contrôle pour surveiller et consigner l’accès aux renseignements personnels contenus dans le système. SPAC devrait notamment procéder à un examen systématique des registres plutôt que de se fier uniquement à une analyse ponctuelle comme il le fait actuellement. |
D’accord, avec commentaires. | SPAC prend très au sérieux la protection des renseignements personnels des employés. La vision stratégique du Projet de modernisation des services de paye inclut un principe selon lequel les conseillers en rémunération du Centre de paye de SPAC, des bureaux satellites et des bureaux de paye peuvent, à tout moment, accéder aux dossiers de n’importe quel employé des ministères et des organismes qu’ils servent et les traiter dans l’exercice de leurs obligations courantes. Les mesures de contrôle qui sont en place pour protéger les renseignements personnels des employés dans ce modèle sont les suivantes :
Tous les rôles liés au système Phénix font actuellement l’objet d’un examen. L’accès à l’information fait actuellement l’objet d’une restructuration pour les rôles existants, et de nouveaux rôles sont créés pour répondre à des besoins précis. Les rôles de Phénix continueront d’évoluer avec le déploiement des nouvelles fonctionnalités, mais leur examen devrait être terminé d’ici le 30 juin 2017. Tel qu’il est mentionné dans votre rapport, SPAC n’a pas encore trouvé de solution concrète pour surveiller les pages consultées par les utilisateurs. Toutefois, SPAC a entrepris de mettre en place une surveillance systémique des tableaux de vérification de Phénix, ce qui lui permettra de cerner proactivement les situations dans lesquelles des utilisateurs ont modifié de manière inappropriée des renseignements dans le système. Notre priorité absolue est la conception de requêtes visant à permettre aux ministères de surveiller les activités des conseillers en rémunération; cette fonction devrait être en place d’ici le 30 juin 2017. SPAC prend également d’autres mesures pour s’assurer que les conseillers en rémunération sont bien au fait de leur rôle et de leurs responsabilités, dont le fait de protéger les renseignements personnels des employés et limiter la portée de leur travail à leur portefeuille respectif. Les mesures visant l’application uniforme de conséquences pour les conseillers en rémunération qui accèdent de manière inappropriée aux données d’employés sont sur le point d’être confirmées. Ensuite, il faudra mettre en place un processus de surveillance plus rigoureux des mesures prises par les gestionnaires délégués en vertu de l’article 33, les analystes des ressources humaines et les autorisateurs des pouvoirs cités en fonction de l’article 33. Cela n’était pas la pratique sous le Système régional de paye, et il faudra procéder à une analyse et à l’élaboration d’un nouveau processus auxquels participeront SPAC et ses ministères clients. Un plan provisoire de conception et de mise en œuvre pour le nouveau processus devrait être prêt d’ici le 31 mars 2018. SPAC engagera une tierce partie pour examiner ce plan ainsi que son plan d’action. |
2- Améliorer les procédures d’essais Nous recommandons que SPAC mette au point une procédure d’essai et d’intervention plus rigoureuse afin de pouvoir aborder de manière proactive les vulnérabilités, de tester plus efficacement les solutions proposées aux vulnérabilités connues et d’améliorer son intervention en cas d’incidents liés à la sécurité. |
D’accord. | La mise en place de Phénix inclut une période de stabilisation. Celle-ci devait prendre un an, mais elle se terminera finalement à la fin de 2017. Le processus de stabilisation de Phénix a inclus un examen de l’intégralité du processus de gestion des changements apportés au système. Un nouveau processus a été lancé en février 2017, et tous les membres de l’équipe Phénix ont suivi une formation obligatoire. À présent, tout changement apporté à Phénix doit prévoir ce qui suit :
SPAC examinera son processus d’intervention en cas d’incidents liés à la sécurité. Cet examen sera terminé d’ici le 30 septembre 2017. |
3- Améliorer la gestion des risques pour la sécurité Compte tenu des risques pour la sécurité des renseignements personnels que notre enquête a mis au jour, nous recommandons que SPAC effectue les évaluations nécessaires pour cerner les risques et les vulnérabilités potentiels du système Phénix. |
D’accord, avec commentaires. | SPAC a rédigé l’ébauche d’une évaluation des facteurs relatifs à la vie privée (EFVP) pour le système Phénix, laquelle est actuellement mise à jour pour refléter la portée plus large de l’examen qui y est mené (y compris les pratiques d’expansion du système) et pour y intégrer les changements qui ont été apportés aux activités depuis que le système a été activé. L’EFVP devrait être terminée au plus tard en avril 2018. Une évaluation des menaces et des risques à jour sera produite au cours du présent exercice (2017 2018), conformément aux recommandations. Cette évaluation devrait être achevée d’ici avril 2018. |
4- Atténuer les risques de préjudice réel en traitant les vulnérabilités potentielles touchant le centre d’appels. À la lumière des risques posés par le piratage psychologique, nous recommandons à SPAC de prendre des mesures pour atténuer la vulnérabilité accrue qui touche l’information dont se servent les employés du Centre des services de paye de la fonction publique et du Centre des pensions du gouvernement du Canada. |
D’accord, avec commentaires. | Le centre d’appels est très au fait des risques détectés. Tous les employés ont été formés et sensibilisés à l’importance de confirmer l’identité de la personne (soit qui appelle ou qui est appelée) en validant les identifiants clés avant de discuter de renseignements personnels. Si, à un moment donné, les membres du personnel du centre d’appels ne sont pas certains de l’identité de leur interlocuteur, l’appel doit être interrompu et la personne doit être dirigée vers un gestionnaire pour une identification plus poussée. |
5- Informer les personnes touchées. Nous recommandons à SPAC de revoir ses pratiques de notification en cas d’atteinte à la vie privée pour s’assurer qu’à l’avenir, les personnes touchées sont suffisamment informées pour prendre des mesures appropriées afin de se protéger. De plus, nous recommandons à SPAC d’émettre un avis sur l’ampleur des cas d’atteinte à la vie privée liés à Phénix et des vulnérabilités connexes. |
D’accord. | Le protocole de SPAC en cas d’atteinte à la vie privée, lequel a été officiellement mis en œuvre en mars 2016, fournit une orientation relativement aux notifications des personnes touchées. Le protocole suit les lignes directrices du Secrétariat du Conseil du Trésor (SCT) en matière de notification en cas d’atteinte à la vie privée. À la lumière des conclusions de cette enquête, SPAC révisera son protocole afin de vérifier s’il est suffisamment rigoureux. De plus, nous bonifierons l’information déjà publiée sur le site Web avec d’autres détails sur la protection des renseignements personnels contenus dans Phénix. |
6- Achever l’examen des pages dotées d’une sécurité au niveau des lignes. SPAC s’est engagé à examiner chaque page qui utilise la fonction de sécurité au niveau des lignes d’ici le 30 juin 2017. Nous demandons à SPAC de remplir cet engagement et d’informer le Commissariat une fois cet examen terminé. |
Cet examen devrait être achevé d’ici le 30 juin 2017. Comme le demande le Commissariat, les résultats lui seront communiqués. |
- Date de modification :