Statistique Canada prend des mesures raisonnables pour sauvegarder les données du recensement transférées à services partagés Canada
Plainte présentée en vertu de la Loi sur la protection des renseignements personnels
Le 7 mai 2018
Résumé de l’enquête
- Le Commissariat à la protection de la vie privée (le Commissariat) a reçu une plainte au titre de la Loi sur la protection des renseignements personnels (la Loi) contre Statistique Canada portant sur ses pratiques de traitement des renseignements personnels. Plus particulièrement, le plaignant, alléguait que Statistique Canada aurait communiqué de manière inappropriée des renseignements confidentiels recueillis dans le cadre du Recensement de la population de 2016 et de recensements antérieurs (les données ou les données de recensement) à Services partagés Canada (SPC) lorsqu’il a transféré son infrastructure informatique à SPC.
- Le plaignant alléguait également que la communication de données de recensement à SPC contreviendrait aux dispositions de la Loi sur la statistique. Même si Statistique Canada peut avoir assermenté les employés de SPC en tant que « personnes réputées être employées » aux termes de la Loi sur la statistique, Statistique Canada n’assurerait pas une supervision efficace des actions des employés de SPC. De plus, le plaignant a fait valoir que les données conservées dans les centres de données de SPC seraient communiquées à d’autres institutions, ce qui créerait, par conséquent, un risque de communication non autorisée à ces institutions. Il alléguait également que même si l’information est cryptée, il existerait un risque de communiquer des données confidentielles de recensement déchiffrées pour être traitées.
- Après notre examen des observations présentées par le plaignant et Statistique Canada, le Commissariat est convaincu que Statistique Canada n’a pas communiqué de renseignements personnels, en contravention de la Loi, lorsqu’il a transféré son infrastructure informatique à SPC, comme il était légalement tenu de le faire. En outre, nous estimons que Statistique Canada a pris des mesures raisonnables pour définir sa relation avec SPC et pour veiller à ce que des considérations en matière de protection des renseignements personnels et de sécurité soient prises en compte pour protéger les données de recensement lors du transfert de la responsabilité de son infrastructure de technologie de l’information (TI) à SPC. Nous avons par conséquent déterminé que la plainte est non fondée. Les motifs appuyant nos conclusions sont présentés ci-après.
Contexte
- En vertu de la Loi sur la statistiqueNote de bas de page 1, Statistique Canada est tenu de recueillir, compiler, analyser, dépouiller et publier des renseignements statistiques portant sur les activités commerciales, industrielles, financières, sociales, économiques et générales de la population canadienne et sur l’état de celle-ci.
- Statistique Canada recueille des renseignements personnels conformément à son mandat défini dans la Loi sur la statistique. Les articles 3 et 22 de la Loi sur la statistique décrivent en détail les divers sujets sur lesquels Statistique Canada peut recueillir de l’information dans le cadre de ses programmes statistiques. Six programmes de haut niveau de Statistique Canada peuvent recueillir des renseignements personnels. Dans la majorité des cas, les renseignements personnels se rapportent au programme du recensement et de la statistique sociale de Statistique Canada; on peut toutefois également trouver des renseignements personnels dans le programme des statistiques économiques.
- Associée au pouvoir de recueillir des renseignements, la Loi sur la statistique exige également que les renseignements demeurent confidentiels et ne soient pas diffusés d’une manière qui permettrait d’identifier une personne, sous réserve de certaines exceptions.
- SPC a été créé le 4 août 2011 pour aider le gouvernement fédéral à gérer son infrastructure de TI. En vertu de la Loi sur Services partagés Canada (LSPC)Note de bas de page 2, SPC est responsable de la gestion des services d’infrastructure de TI liés au courrier électronique, aux centres de données et aux réseaux utilisés par 43 institutions fédérales (que SPC désigne comme des organisations partenaires), y compris Statistique Canada. Un décret, publié le 15 novembre 2011Note de bas de page 3, décrit le transfert à SPC du contrôle et de la supervision de l’unité responsable des services de courrier électronique, de centres de données et de réseaux de l’administration publique fédérale, tel qu’il est indiqué dans l’annexe.
- L’article 6 de la LSPC énonce, entre autres, que le gouverneur en conseil peut préciser les institutions gouvernementales qui sont tenues d’obtenir les services par l’intermédiaire de SPC et qui ne sont pas autorisées à en assurer elles-mêmes la prestation.
- Des décrets ont été émis conformément à l’article 6 de la LSPC. Le Décret 2015¬1071Note de bas de page 4, publié le 16 juillet 2015, précise, entre autres, les services que le ministre désigné doit fournir par l’intermédiaire de SPC, et dresse la liste des divers ministères ou autres entités qui doivent, ou peuvent, obtenir des services de TI par l’intermédiaire de SPC. Conjointement, les dispositions de la LSPC et du Décret prévoient que Statistique Canada doit exclusivement obtenir certains services de TI auprès de SPC, y compris les services liés aux centres de données et aux réseaux.
Enquête
Observations formulées par le plaignant
- Dans ses observations présentées au Commissariat, le plaignant alléguait que la Loi sur la statistique n’autoriserait pas Statistique Canada à communiquer des renseignements statistiques confidentiels à SPC comme il le fait depuis 2011, et faisait valoir que Statistique Canada ne maintiendrait pas le niveau de protection des renseignements confidentiels sur le répondant et des données administratives qui est exigé en vertu de la Loi sur la statistique.
- Outre les allégations relevées dans les paragraphes 1 et 2 du présent rapport, le plaignant s’est également dit préoccupé par le fait que l’on ne sait pas si les employés de SPC qui ont accès aux données confidentielles de recensement ont prêté serment en vertu de la Loi sur la statistique, et quelles sont les répercussions si Statistique Canada refuse de faire prêter serment à un employé de SPC qui doit participer au fonctionnement des centres de données où sont conservées des données confidentielles. Il alléguait également que Statistique Canada ne pouvait pas établir de procédures opérationnelles obligatoires pour le traitement de ses données, et qu’il n’a aucun accès immédiat et garanti aux sites où il conserve ses données à des fins d’inspection, ou ne peut garantir la collaboration de SPC aux vérifications de la sécurité des données.
- Le plaignant a soulevé une préoccupation globale selon laquelle Statistique Canada ne peut se retirer de la relation imposée avec SPC, et qu’il lui est interdit de fournir lui-même des services informatiques aux centres de données ou d’obtenir ces services de toute autre tierce partie.
- Le plaignant a également mentionné un reportage de la CBC sur une vulnérabilité de la TI à SPCNote de bas de page 5 et remis en question les mesures de protection et la vulnérabilité potentielle des renseignements archivés dans les centres de données partagés administrés par SPC.
Observations formulées par Statistique Canada
- Selon Statistique Canada, SPC a le mandat de regrouper et de simplifier la prestation des services d’infrastructure de TI dans l’ensemble du gouvernement du Canada. SPC assume désormais la responsabilité de tous les centres de données du gouvernement du Canada, y compris l’ancien centre de données de Statistique Canada du pré Tunney. Tous les nouveaux projets de Statistique Canada, y compris le recensement, mettent en œuvre des solutions reposant sur les services de SPC.
- Statistique Canada nous a avisés que l’infrastructure requise pour la collecte, le traitement et la diffusion des données de recensement se trouve dans un secteur d’un centre de données de SPC situé à Gatineau que l’on appelle l’« enclave du recensement » et le centre de données du pré Tunney de SPC.
- Statistique Canada a indiqué que l’enclave du recensement était configurée avec des services semblables (p. ex. matériel, pare-feu, réseaux, zones) et est essentiellement une annexe du centre de données du pré Tunney de SPC. Les deux centres de données sont reliés par une connexion haute vitesse sécurisée. L’infrastructure du recensement déployée dans l’enclave du recensement est physiquement séparée (c.-à-d. qu’il n’y a pas de connexion physique) de l’infrastructure de tous les autres partenaires déployée au centre de données de SPC à Gatineau. Les armoires dans lesquelles les systèmes de l’enclave du recensement sont installés sont verrouillées pour prévenir les accès physiques non autorisés. Il a été déterminé que le niveau de sécurité de l’enclave du recensement était équivalent à celui du centre de données du pré Tunney de SPC.
- En ce qui concerne l’allégation du plaignant selon laquelle la communication de données de recensement contreviendrait à la Loi sur la statistique, Statistique Canada a indiqué que la Loi sur la statistique exige que tous les renseignements recueillis ou obtenus sous l’autorité de cette loi qui peuvent identifier une personne, une entreprise ou une organisation doivent demeurer confidentiels et ne peuvent être communiqués que sous réserve de conditions rigoureuses, comme le consentement de la personne, de l’entreprise ou de l’organisation qui a fourni les renseignements. Statistique Canada prétendait qu’il ne contrevenait pas à la Loi sur la statistique puisqu’aucune donnée n’a été « transférée » à SPC. SPC est plutôt devenu responsable et a pris le contrôle de l’infrastructure du centre de données, ainsi que des employés qui en assuraient le fonctionnement et qui antérieurement relevaient de Statistique Canada. Tous les employés de SPC qui ont accès à l’infrastructure du centre de données du pré Tunney de SPC, ainsi qu’à l’enclave du recensement de SPC à Gatineau, sont, à titre de fournisseurs de services, considérés comme des employés aux termes de la Loi sur la statistique et assujettis au serment et aux mêmes mesures de sécurité que les employés de Statistique Canada.
- Statistique Canada a indiqué que nombre de contrôles en place permettent de répondre à cette plainte concernant la protection de la vie privée. Premièrement, Statistique Canada n’a pas autorisé l’accès aux données de recensement aux employés de SPC. Comme il est indiqué ci-dessus, Statistique Canada a veillé à ce que tous les employés de SPC qui ont accès à l’infrastructure de TI qui contient des données de recensement soient considérés comme des employés aux termes de la Loi sur la statistique et soient assujettis au serment, et soient tenus de garder confidentielles les données de recensement, même s’ils ne sont pas tenus sur le plan opérationnel d’ouvrir des dossiers précis ou de visualiser les contenus.
- De plus, Statistique Canada a indiqué que tous les employés de SPC qui ont accès à l’infrastructure du recensement détiennent la cote de sécurité « secret », qui dépasse la classification de sécurité des données de recensement, et que la cote de sécurité de niveau secret exige également que ces employés de SPC aient un niveau de fiabilité hautement approfondie.
- Statistique Canada a également soutenu que l’infrastructure de TI du recensement est physiquement séparée de toutes les autres infrastructures de la TI du gouvernement du Canada afin que seuls les employés de SPC qui sont expressément autorisés puissent avoir accès à l’infrastructure qui renferme et traite les données de recensement.
- Statistique Canada a fait valoir que son entente avec SPC pour les services liés à la TI a pour but d’assurer l’intégrité et la disponibilité des données de Statistique Canada. L’entente ne prévoit pas l’accès aux données de recensement par SPC. Selon Statistique Canada, SPC n’utilise pas les données de recensement, et celles-ci ne lui sont pas communiquées.
- Statistique Canada a indiqué qu’il a élaboré un plan d’évaluation et d’autorisation de sécurité (plan d’EAS) approfondi fondé sur les profils de contrôle ITSG-33Note de bas de page 6 recommandés pour les renseignements Protégé B, touchant tous les systèmes de recensement, y compris les plateformes utilisées pour l’infrastructure, fournies par SPC, à l’endroit où sont installés ces systèmes de recensement. À la fin de ce processus, une analyse approfondie axée sur le risque a été réalisée, à l’aide de la méthodologie harmonisée d’évaluation des menaces et des risques (MHEMR) du Centre de la sécurité des télécommunications (CST). Il a été déterminé que les autres risques résiduels (y compris les risques liés à la protection de la vie privée) n’excèdent pas la tolérance au risque, comme il est défini dans le programme du recensement.
- Statistique Canada a également remis de nombreux documents de référence au Commissariat dans le cadre de sa réponse à la présente plainte. Les paragraphes suivants décrivent certains des documents que nous avons analysés durant l’enquête.
- La Directive sur la sécurité des renseignements statistiques de nature délicate de Statistique Canada passe en revue les mesures de sécurité mises en œuvre pour les renseignements statistiques et impose, à la section 6.4, des obligations au directeur de la Division des opérations de la TI de Statistique Canada pour veiller à ce que les procédures et les contrôles appropriés soient en place pour protéger tous les renseignements statistiques de nature délicate, y compris les renseignements archivés dans l’infrastructure de TI gérée par un partenaire externe, comme SPC. La Directive exige également que le personnel des partenaires externes, y compris SPC, qui ont besoin d’avoir accès, à des fins professionnelles, au courrier électronique, aux centres de données et aux réseaux qui contiennent des renseignements statistiques de nature délicate, prête serment, conformément à la Loi sur la statistique, et que le nombre de personnes réputées être employées soit limité pour qu’il soit le plus faible possible.
- Statistique Canada nous a indiqué que son Évaluation des menaces et des risques (EMR), effectuée dans le cadre de son évaluation générique des facteurs relatifs à la vie privée de ses opérations et qui consigne les diverses menaces à l’égard de ses opérations statistiques, tient compte des personnes réputées être employées provenant de SPC.
- Statistique Canada nous a également fourni une copie de l’entente administrative entre Services partagés Canada et Statistique Canada (l’entente administrative) ainsi que de l’entente complémentaire à l’entente administrative (l’entente complémentaire). Les deux ententes sont entrées en vigueur en mai 2017, soit après le dépôt de la plainte auprès du Commissariat.
- L’entente administrative définit la relation générale entre SPC et Statistique Canada, et décrit les responsabilités de chaque organisation. Entre autres, l’entente administrative indique que SPC doit protéger son infrastructure de TI et les données connexes en transit, au repos et en cours d’utilisation; respecter les politiques, processus et procédures du gouvernement du Canada applicables, notamment concernant la conformité en matière de sécurité, de protection des renseignements personnels et de Gestion de la sécurité des technologies de l’information; et collaborer avec Statistique Canada à la gestion de la cybersécurité et de sécurité la TI.
- L’entente complémentaire décrit plus en détail les attentes propres à la relation continue entre les deux organisations. En particulier, l’entente complémentaire indique que Statistique Canada conserve les responsabilités visant à assurer la protection des renseignements statistiques de nature délicate, qui seront toujours protégés en fonction de critères explicites, de l’évaluation des risques et de contrôles, y compris :
- les employés de SPC prêtent serment pour respecter les exigences de la Loi sur la statistique;
- l’établissement de protocoles de fonctionnement et la surveillance des employés de SPC qui sont considérés comme des personnes réputées être employées de Statistique Canada;
- la documentation sur la sécurité des services actuels et d’entreprise.
- Comme il est indiqué ci-dessus, des personnes réputées être employées peuvent être embauchées pour participer aux opérations statistiques. Statistique Canada a fourni une copie de sa Directive sur l’utilisation de personnes réputées être employées qui prévoit à la section 6.5 que le directeur général, Direction générale de l’informatique, a la responsabilité de gérer l’accès des employés de SPC aux renseignements protégés de Statistique Canada, y compris :
- de déterminer quels employés de SPC ont besoin d’y avoir accès;
- dans le cas de ces employés, de veiller à ce que les procédures de mise en œuvre appropriées (décrites dans les annexes de la Directive) soient suivies;
- de remettre au Comité des politiques un rapport annuel sur l’accès des employés de SPC.
- Toute action qui contrevient aux politiques de sécurité du gouvernement du Canada ou de Statistique Canada pourrait entraîner des sanctions administratives, disciplinaires ou légales dans les cas de mauvaise conduite ou de négligence. La nature des sanctions variera selon la nature de l’infraction. Les employés, y compris les personnes réputées être employées, qui enfreignent les dispositions relatives à la confidentialité de la Loi sur la statistique s’exposent à des poursuites et sont passibles, sur déclaration de culpabilité, d’une amende et/ou d’une peine d’emprisonnement.
- Statistique Canada a également fourni des documents qui appuient sa relation avec SPC pour offrir des services d’infrastructure de TI en vue de faciliter le Recensement de 2016, y compris :
- Entente sur les niveaux de service conclue entre SPC et Statistique Canada pour le service de sécurité réseau et le transfert de fichiers sécurisé dans le cadre du programme du Recensement de 2016 (pour la période allant d’avril 2014 à mars 2017)
- EMR de Statistique Canada pour le Recensement de 2016
- Lettre d’engagement du projet du Recensement de 2016 de SPC
- Protocole de fonctionnement du Recensement de la population de 2016 de SPC
- Plan d’évaluation et d’autorisation de sécurité du Recensement de 2016
- Énoncé des risques acceptables pour les systèmes du Recensement de 2016
- Plan de continuité des activités de Statistique Canada pour les services et les opérations de TI
- Selon la lettre d’engagement du Recensement de la population de 2016 de SPC, l’objectif du partenariat entre SPC et Statistique Canada vise à s’assurer que les services d’infrastructure de TI requis pour appuyer le Recensement de 2016 soient fournis conformément aux exigences de Statistique Canada de même qu’aux normes, au mandat et aux objectifs de SPC.
- La lettre d’engagement définit l’engagement de SPC et présente également l’approche, la portée, le financement et la gouvernance du projet, ainsi que les rôles et les responsabilités des membres du projet. Les services d’infrastructure de TI fournis par SPC comprennent : l’architecture d’entreprise, les centres de données, les services de télécommunication (voix et données) et les services de sécurité de la TI.
- L’entente sur les niveaux de service conclue entre SPC et Statistique Canada constitue une entente pour la prestation de services de TI pour veiller à ce que les éléments et les engagements appropriés aient été pris afin que SPC puisse offrir des services de TI uniformes à Statistique Canada. Cette entente vise :
- à définir clairement la propriété des services, la responsabilisation, les rôles ou les responsabilités;
- à fournir une description claire, concise et mesurable de la prestation de services à Statistique Canada;
- à faire en sorte que les perceptions de la prestation des services prévus correspondent à la prestation et au soutien réels des services.
- Le Protocole de fonctionnement du Recensement de la population de 2016 de SPC établit que, en tant que ministère de services communs de TI, SPC a la responsabilité de fournir l’infrastructure permettant d’appuyer les services de TI et de voix à Statistique Canada comme il est énoncé dans la Politique sur la sécurité du gouvernement (PSG)Note de bas de page 7. Le Protocole de fonctionnement est axé sur la prestation de services par SPC en appui au projet du Recensement de 2016 durant la phase de production du recensement. Le Protocole offre une description du concept d’opérations durant la période de production du Recensement de 2016. Le niveau de détail du document permet le soutien et la supervision de la prestation des services fournis comme il est défini dans la lettre d’engagement du projet du Recensement de 2016 signée par Statistique Canada et SPC.
- Le Protocole de fonctionnement documente les services actuels de production du Recensement de 2016 de SPC :
- les processus et les procédures de soutien et de prestation;
- définit les rôles et les responsabilités visant à appuyer la prestation du projet de Recensement de 2016;
- décrit les composantes de service, les processus de SPC, ainsi que les fonctions opérationnelles quotidiennes qui recoupent les services du projet du Recensement de 2016.
- Nous avons également examiné l’EMR de Statistique Canada pour le Recensement de 2016. Le document d’EMR évaluait les mesures de sécurité qui protègent cinq systèmes internes du Recensement de 2016 et offrait à Statistique Canada les renseignements sur les risques requis pour appuyer la prise de décisions éclairées en regard des exigences de sécurité pour le Recensement de 2016.
- Le plan d’évaluation et d’autorisation de sécurité (plan d’EAS) fournit une évaluation des contrôles de sécurité utilisés dans le Recensement de 2016 visant à déterminer si les contrôles proposés sont adéquats et respectent les exigences de sécurité du système. Le plan d’EAS détermine les tâches et les produits livrables qui permettaient à SPC et à Statistique Canada d’être persuadés que l’introduction de ce système dans l’environnement de production n’entraînerait pas des risques inacceptables. Les applications et les systèmes existants, individuellement et collectivement, continueront :
- d’être exploités selon un niveau de risque résiduel acceptable permettant le traitement de l’information et la protection de sa confidentialité, de son intégrité, de sa disponibilité et de sa valeur;
- d’être conformes à la PSG, à la NGSTI (norme sur la sécurité des technologies de l’information [NSTI]), ainsi qu’aux politiques et aux exigences de sécurité, aux normes techniques et aux procédures opérationnelles établies pour ses infrastructures ainsi qu’à celles des systèmes et des applications individuels;
- de ne pas créer de vulnérabilités ou d’interdépendances involontaires dans d’autres systèmes;
- de fonctionner, comme prévu, sans causer de nouveaux risques dans l’infrastructure du Ministère. Un système donné ne doit pas réduire la disponibilité d’autres systèmes. La position de sécurité de l’ensemble des systèmes du Ministère dans la zone de sécurité ne doit pas non plus être réduite en raison d’un système donné.
Autre
- Dans le cadre du processus de planification du recensement, Statistique Canada procède à un essai environ deux ans avant chaque recensement. La dernière EFVP reçue par le Commissariat remonte à mai 2014, avant le Recensement de la population et l’Enquête nationale auprès des ménages de 2016. Étant donné que le Recensement de 2016 comprenait un nouveau contenu et des changements aux procédures de collecte antérieures, l’EFVP évaluait les risques liés à la protection de la vie privée et les mesures d’atténuation des essais du programme du Recensement de 2014 pour traiter les éléments qui ont changé depuis 2011.
- En réponse à l’EFVP de Statistique Canada, le Commissariat a formulé plusieurs recommandations sur la collecte de nouveau contenu et également sur les systèmes qui relèvent du contrôle de SPC. En particulier, nous avons recommandé que Statistique Canada modifie l’EFVP pour indiquer les systèmes techniques qui relèvent du contrôle de SPC et inclure les évaluations des risques relatifs à la vie privée réalisées par SPC concernant l’infrastructure technique sous sa responsabilité.
Application
- Pour rendre notre décision, nous avons pris en considération les articles 3 et 8 de la Loi. Nous avons également tenu compte des articles 5 et 6 de la Loi sur la statistique et des articles 6 et 16 de la LSPC.
- L’article 3 de la Loi définit les renseignements personnels comme les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment : les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge, ou à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé, à tout numéro qui lui est propre, à ses empreintes digitales ou à son groupe sanguin, à ses opinions personnelles, etc.
- En vertu de l’article 8 de la Loi, les renseignements personnels qui relèvent d’une institution fédérale ne peuvent être communiqués, à défaut du consentement de l’individu qu’ils concernent, que dans les cas prévus au paragraphe 8(2).
- Le paragraphe 5(2) de la Loi sur la statistique prévoit que le ministre peut faire usage des services d’employés de l’administration publique fédérale pour l’exercice de toute fonction de Statistique Canada en vertu de la Loi sur la statistique. Ces personnes sont considérées comme des « personnes réputées être employées » de Statistique Canada.
- L’article 6 de la Loi sur la statistique prévoit que toute personne employée ou réputée être employée en application de la Loi doit prêter serment ou faire l’affirmation solennelle.
- L’article 6 de la LSPC énonce, entre autres, que le gouverneur en conseil peut préciser les services que le ministre doit offrir par l’intermédiaire de SPC, les services que le ministre peut offrir par l’intermédiaire de SPC, ainsi que les modalités à l’égard de la prestation de ces services.
- L’article 16 de la LSPC précise que, aux fins de la Loi sur la protection des renseignements personnels, les renseignements personnels recueillis par toute autre institution gouvernementale qui sont conservés, pour le compte de cette institution, dans l’infrastructure de TI de SPC ou transigent par elle, ne relèvent pas de SPC.
Analyse
- Compte tenu des allégations du plaignant, et de notre mandat, notre enquête visait à déterminer si Statistique Canada avait contrevenu à l’article 8 de la Loi en transférant les données de recensement recueillies en vertu de la Loi sur la statistique à l’infrastructure de TI de SPC. Notre enquête a également cherché à évaluer si Statistique Canada avait pris des mesures suffisantes pour superviser le traitement par SPC des données de recensement en son nom, conformément à ses obligations en vertu de la Loi.
- Étant donné que Statistique Canada est assujetti à un régime de confidentialité strict en vertu de la Loi sur la statistique et qu’il n’est pas autorisé, sous réserve de certaines exceptions, à communiquer les renseignements qu’il recueille d’une manière qui pourrait être liée à des personnes identifiables, le Commissariat a d’abord tenté de déterminer si le transfert de données de recensement à l’infrastructure de TI de SPC est conforme aux exigences de la Loi.
- La LSPC accorde à SPC le mandat de transformer, de mettre en place et de faire fonctionner l’infrastructure de TI du gouvernement. Conformément à la LSPC, SPC est responsable d’offrir des services d’infrastructure de TI à Statistique Canada. À la suite d’un décret rendu en vertu de la LSPC, Statistique Canada fait partie de la clientèle obligatoire de SPC pour les services de courrier électronique, de centres de données et de réseaux.
- À la lumière de l’article 16 de la LSPC, les renseignements personnels qui sont recueillis par toute institution fédérale et qui, pour le compte de cette institution, sont conservés dans les systèmes des TI de SPC ou transigent par ces systèmes ne relèvent pas de SPC pour les besoins de la LoiNote de bas de page 8. Par conséquent, même si les données peuvent être archivées dans les systèmes des TI de SPC, Statistique Canada conserve le contrôle et la responsabilité globale des données au sens de la Loi.
- Cette interprétation est conforme aux politiques du SCT qui imposent aux institutions gouvernementales le fardeau de prendre des mesures pour protéger les renseignements personnels qu’elles ont recueillis, même lorsque ceux-ci sont transférés à d’autres qui peuvent traiter les renseignements personnels en leur nomNote de bas de page 9.
- Compte tenu du mandat de SPC de fournir des services et une infrastructure de TI à Statistique Canada, nous sommes convaincus que tout transfert de renseignements personnels de Statistique Canada à SPC à ces fins est autorisé par la LSPC et n’est pas contraire à la Loi sur la protection des renseignements personnels.
- Néanmoins, la protection de la vie privée doit être prise en compte lors du transfert de renseignements personnels à l’infrastructure de TI de SPC. Étant donné que le contrôle et la propriété des renseignements personnels transférés à l’infrastructure de TI de SPC continuent de relever de l’organisation partenaire – Statistique Canada dans le cas qui nous occupe – cette dernière doit faire preuve de prudence pour veiller à ce qu’elle continue de respecter ses obligations en matière de protection des renseignements personnels, conformément à l’esprit, à l’intention et aux exigences de la Loi.
- Les renseignements personnels doivent être gérés conformément aux pratiques équitables en matière d’information énoncées dans les articles 4 à 8 de la Loi, le Règlement sur la protection des renseignements personnelsNote de bas de page 10, la Politique sur la protection de la vie privée du SCTNote de bas de page 11, la Directive sur les pratiques relatives à la protection de la vie privéeNote de bas de page 12 et d’autres instruments de politique sur la protection des renseignements personnels.
- La Politique sur la protection de la vie privée exige que les institutions établissent des mesures lorsque des renseignements personnels sont en cause pour veiller à ce qu’elles satisfassent aux exigences de la Loi lorsqu’il s’agit de conclure des contrats avec des organisations du secteur privé ou d’établir des accords ou des ententes avec des organisations du secteur public. Cela inclut de s’assurer que des clauses appropriées relatives à la protection des renseignements personnels figurent dans les contrats ou les ententes. Les institutions doivent également respecter les exigences de la Politique sur la sécurité du gouvernementNote de bas de page 13 pour la protection des biens du gouvernement, y compris l’information, et doivent mettre en œuvre des mesures de sauvegarde visant à préserver la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique.
- Par conséquent, la protection de la vie privée doit être l’un des principaux facteurs à prendre en considération pour le transfert de renseignements personnels à l’infrastructure de TI de SPC. Il est essentiel de pouvoir compter sur une entente qui définit la relation opérationnelle avec SPC, et qui définit également les rôles, les responsabilités et les attentes de chacune des parties liés à la TI dans le cas du transfert, de la protection ou de la transmission de renseignements personnels. Cela permettra également de veiller à ce que l’organisation partenaire reçoit des garanties plus solides que des mécanismes de sécurité adéquats ont été mis en œuvre pour protéger les renseignements personnels.
- Notre enquête a évalué les mesures prises par Statistique Canada pour définir sa relation avec SPC et pour veiller à ce que des considérations en matière de protection des renseignements personnels et de sécurité soient prises en compte lors du transfert de données de recensement à l’infrastructure de TI de SPC, y compris les mesures prises pour atténuer les risques de communication non autorisée.
- Comme il est indiqué ci-dessus, Statistique Canada a fourni un certain nombre de documents au Commissariat qui font état de son entente avec SPC. Statistique Canada a également défini les contrôles mis en place pour protéger les données de recensement sur l’infrastructure de TI de SPC. La relation opérationnelle continue entre Statistique Canada et SPC a également été définie par l’intermédiaire de l’entente administrative et de l’entente complémentaire, qui définissent la responsabilité de Statistique Canada à l’égard de la protection de renseignements statistiques de nature délicate, les responsabilités de SPC pour protéger son infrastructure de TI, ainsi que les contrôles mis en œuvre en rapport avec les employés de SPC.
- À la suite de notre examen, nous sommes convaincus que Statistique Canada a pris des mesures raisonnables pour définir sa relation avec SPC et pour veiller à ce que les ententes et les contrôles nécessaires sont en place pour permettre à SPC de fournir des services de TI à Statistique Canada et d’en assurer la prestation. À notre avis, Statistique Canada a pris des mesures pour exercer un certain niveau de contrôle sur le traitement des données statistiques par SPC, et a fait preuve de diligence dans le transfert des données à l’infrastructure de TI de SPC.
- En ce qui concerne les préoccupations du plaignant concernant le risque de communication non autorisée des données de Statistique Canada conservées dans l’infrastructure de TI de SPC, y compris sa préoccupation selon laquelle il existe un risque de communication de données confidentielles de recensement lorsqu’elles sont déchiffrées pour être traitées, nous notons que Statistique Canada a, en collaboration avec SPC, mis en place une combinaison de mesures techniques et opérationnelles visant à réduire le risque de communication non autorisée. Notamment, par l’intermédiaire d’une EMR, Statistique Canada a évalué les menaces et les vulnérabilités des systèmes qui pourraient avoir des répercussions négatives sur la prestation des services, a déterminé le niveau de risque, en fonction des mesures de sécurité en place et des vulnérabilités, et a formulé des recommandations qui permettront de ramener les risques à un niveau acceptable. En outre, Statistique Canada a mené un processus exhaustif d’EAS pour veiller à ce que tous les risques résiduels se situent dans des limites acceptables de tolérance aux risques, comme le définit le programme du recensement.
- Le plaignant s’est également dit préoccupé par le fait que Statistique Canada ne peut établir de procédures opérationnelles obligatoires pour le traitement de ses données, et qu’il n’a pas un accès immédiat garanti aux sites dans lesquels ses données sont conservées à des fins d’inspection ou la garantie que SPC collaborera aux vérifications de la sécurité des données.
- Nous reconnaissons que des défis peuvent être liés aux rôles et aux responsabilités de SPC ainsi qu’à son rôle à titre de fournisseur de services de TI à Statistique Canada. Néanmoins, comme il est indiqué ci-dessus, nous sommes convaincus que Statistique Canada a pris des mesures pour exercer un certain niveau de contrôle sur le traitement des données statistiques par SPC. Statistique Canada a défini ses attentes, ainsi que sa relation administrative et opérationnelle avec SPC dans plusieurs documents et ententes, comme il est indiqué dans le présent rapport. Les éléments de preuve dont nous disposons indiquent qu’aussi bien Statistique Canada que SPC assument la responsabilité liée à la protection des données statistiques de Statistique Canada et qu’ils collaborent étroitement à cette fin.
- Nous constatons que SPC a également reconnu qu’il doit veiller à ce que tous les processus et mécanismes de sécurité soient en place pour gérer adéquatement les fonds de renseignements qui lui sont confiés dans le cadre de ses services d’entreprise, notamment mettre en œuvre tous les contrôles de sécurité et de protection de la vie privée nécessaires et faciliter l’accès aux données des partenaires pour répondre à toutes les obligations législatives et administrativesNote de bas de page 14. De plus, SPC reconnaît que, dans la pratique, la protection des renseignements personnels qu’il conserve au nom d’autres institutions gouvernementales est une « responsabilité partagée »Note de bas de page 15. Par conséquent, cela touche à la fois SPC et les partenaires qui s’appuient sur les services offerts par SPC. Les deux travaillent ensemble en vue de protéger les renseignements personnels.
- Le plaignant a également soulevé des préoccupations concernant l’autorité de Statistique Canada de faire prêter serment à des employés de SPC à titre de personnes réputées être employées en vertu de la Loi sur la statistique, la question de savoir si les employés de SPC ayant accès aux données confidentielles du recensement ont, en fait, prêté serment en vertu de la Loi sur statistique, et le fait que Statistique Canada ne peut assurer une supervision adéquate des actions de ces employés de SPC.
- Selon Statistique Canada, tous les employés de SPC qui ont accès à l’infrastructure du recensement sont réputés être des employés en vertu de la Loi sur la statistique et assujettis au serment et aux mêmes dispositions relatives à la sécurité que les employés de Statistique Canada. Cela est également formulé dans la Directive sur l’utilisation de personnes réputées être employées de Statistique Canada. Comme il est indiqué ci-dessus, Statistique Canada s’est engagé à surveiller les employés de SPC qui ont le statut de personnes réputées employées.
- Compte tenu du fait que Statistique Canada a l’autorisation, en vertu de la Loi sur la statistique, d’utiliser les services d’employés qui ne travaillent pas pour Statistique Canada, y compris les employés de SPC, et les mesures générales qu’il a mises en place pour atténuer les risques d’accès non autorisé, nous sommes d’avis qu’il n’y a pas infraction à la Loi sur la protection des renseignements personnels du fait que Statistique Canada exerce son autorité de cette façon.
- Statistique Canada conserve la responsabilité de la prestation continue de ses programmes et de la protection de ses données de nature délicate, même lorsqu’elles sont archivées sur l’infrastructure gérée par SPC. À cet égard, les fonctions imposées au statisticien en chef en vertu de la Loi sur la statistique restent les mêmes, et il ne nous semble pas que l’exigence d’utiliser les services de SPC soit nécessairement incompatible avec le rôle prévu pour Statistique Canada dans la Loi sur la statistique. Le transfert de la propriété de l’infrastructure de TI à SPC a plutôt forcé Statistique Canada à travailler en étroite collaboration avec SPC pour s’assurer que des politiques et des processus sont en place pour lui permettre d’exercer ce rôle et ses responsabilités.
- En conclusion, même si le plaignant a soulevé des préoccupations légitimes concernant le transfert de la gestion de l’infrastructure informatique de Statistique Canada à SPC, Statistique Canada est tenu par la Loi d’utiliser les services de SPC et a, compte tenu de la preuve qui nous a été présentée, pris les mesures appropriées pour atténuer les risques associés au transfert. À la lumière de ce qui précède, et en l’absence d’éléments de preuve précis indiquant un manquement de la part de Statistique Canada ou de SPC pour assurer une protection adéquate des données transférées à l’infrastructure de SPC, nous ne pouvons conclure qu’il y a eu infraction à la Loi, compte tenu des circonstances.
Décision
- À la lumière de ce qui précède, nous sommes d’avis que Statistique Canada n’enfreint pas les exigences de l’article 8 de la Loi, et nous considérons que cette plainte n’est pas fondée.
- Date de modification :