Sélection de la langue

Recherche

Enquête portant sur une atteinte aux renseignements personnels à Services publics et Approvisionnement Canada

Le 31 mars 2021


Plaintes en vertu de la Loi sur la protection des renseignements personnels

Description

Services publics et Approvisionnement Canada a subi une atteinte à la vie privée touchant 69 087 fonctionnaires lorsqu’elle a communiqué de façon inappropriée leurs renseignements concernant la paye aux mauvaises institutions du gouvernement du Canada.

Points à retenir

  • L’erreur humaine peut être à l’origine des atteintes à la vie privée. Les atteintes sont plus susceptibles de se produire lorsque des procédures appropriées (contrôles et vérifications) ne sont pas en place ou ne sont pas suivies par les employés.
  • Les plans et les procédures d’une institution pour répondre aux atteintes à la vie privée, y compris, en particulier, la notification en temps opportun des personnes concernées, sont des mesures d’atténuation importantes. La notification en temps opportun permet aux personnes concernées d’évaluer le risque et de prendre des mesures pour se protéger contre les torts possibles résultant de l’atteinte à leurs renseignements personnels.

Aperçu

  1. En février 2020, le Commissariat à la protection de la vie privée du Canada (le « Commissariat » ou le « CPVP ») a reçu des plaintes de fonctionnaires fédéraux selon lesquelles Services publics et Approvisionnement Canada (SPAC) avait communiqué de manière inappropriée leurs renseignements concernant la paye aux mauvaises institutions du gouvernement du Canada (la « communication » ou « l’atteinte à la vie privée »).
  2. SPAC avait déjà informé le Commissariat de cette atteinte à la vie privée concernant les rapports sur les trop-payés du personnel touchant 69 087 fonctionnairesNote de bas de page 1. SPAC avait expliqué qu’à chaque période de paye, il transmet des rapports sur les trop-payés du personnel assortis de renseignements provenant de son système de paye Phénix (« Phénix ») aux institutions clientes. Chaque institution reçoit le rapport portant sur ses propres employés. Cependant, le 4 février 2020, SPAC a transmis aux institutions des rapports contenant des renseignements sur les employés d’autres ministères ou organismes.
  3. Notre enquête a permis de conclure que SPAC a contrevenu à la Loi sur la protection des renseignements personnels (la Loi) en ce qui concerne la communication non autorisée de renseignements personnels. Les plaintes sont donc fondées. À la lumière de notre analyse de la réponse de SPAC relativement à l’atteinte à la vie privée et de la nature des mesures prises par celui-ci afin de remédier aux vulnérabilités qui en étaient la cause, nous sommes également d’avis que les plaintes sont résolues.

Contexte et portée

  1. Notre enquête a porté sur la communication des renseignements personnels et la réponse de SPAC à l’atteinte à la vie privée. Les plaignants ont également soulevé un certain nombre de préoccupations supplémentaires, notamment des questions visant à établir si SPAC avait mis en œuvre les recommandations formulées dans le rapport de 2017 sur le système de paye PhénixNote de bas de page 2 du Commissariat, et sur les préjudices potentiels qui découlent de l’atteinte à la vie privée. Le présent rapport répond également à ces questions.

Méthodologie

  1. Pour parvenir aux conclusions que nous avons formulées au terme de la présente enquête, nous avons consulté des sources ouvertes (dont, à titre d’exemple, l’avis concernant l’atteinte à la vie privée publié par SPAC sur son site Web) et examiné les preuves que nous avons reçues par l’entremise des moyens suivants :
    1. Entrevues téléphoniques avec les responsables des opérations de la Direction générale de l’administration de la paye de SPAC et du Centre des opérations de Phénix;
    2. Observations formulées de vive voix et par écrit par le bureau responsable de l’accès à l’information et de la protection des renseignements personnels de SPAC;
    3. Observations des plaignants, y compris des copies des messages de notification d’atteinte à la vie privée provenant de SPAC et que les personnes ont reçus par l’intermédiaire de leurs ministères ou organismes d’attache.

Résumé de l’enquête

La communication de renseignements par SPAC dans le cadre de l’atteinte à la vie privée

  1. L’article 3 de la Loi définit les renseignements personnels comme les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé, à tout numéro qui lui est propre, à ses empreintes digitales ou à son groupe sanguin, à ses opinions ou ses idées personnelles, etc. La Loi prévoit que les renseignements personnels ne peuvent être communiqués qu’avec le consentement d’un individu [paragraphe 8(1)] ou conformément à l’une des catégories de communication autorisées décrites au paragraphe 8(2) de la Loi.

Contexte de la communication

  1. La Direction générale de l’administration de la paye de SPAC fournit des services de paye et des avantages sociaux aux fonctionnaires des institutions du gouvernement du Canada. Parmi les fondements juridiques en vertu desquels SPAC fournit ces services figure l’article 12 de la Loi sur le ministère des Travaux publics et des Services gouvernementaux, qui prévoit ce qui suit :

    Le ministre fournit les services administratifs et autres prescrits par le gouverneur en conseil et nécessaires pour assurer la rémunération des personnes employées dans un ministère ou un autre secteur de l’administration publique fédérale.

  2. SPAC a fait valoir que ses services de paye comprennent le suivi et la coordination du recouvrement des trop-payés auprès des services financiers et des ressources humaines (RH) des institutions clientes. En particulier, SPAC a recours aux rapports sur les trop-payés du personnel pour informer les institutions des soldes en souffrance au titre des trop-payés, des programmes de remboursement, du statut des employés et des adresses du domicile au cas où l’employé est « inactif » et qu’il faut le joindre pour assurer le recouvrement d’un trop-payé. Selon SPAC, les rapports sur les trop-payés du personnel mettent également en évidence [traduction] « […] les comptes dont les trop-payés seront recouvrés à même les premières sommes disponibles, ce que le ministère peut souhaiter empêcher afin de ne pas causer de difficultés financières à son employé. Les ministères et organismes ont recours à ce rapport dans le cadre de leurs opérations normales de paye bimensuelle. »
  3. L’atteinte à la vie privée trouve son origine dans la production des rapports sur les trop-payés du personnel.

Production des rapports sur les trop-payés du personnel

  1. SPAC a fait valoir que la Direction générale de l’administration de la paye extrait du système Phénix des renseignements sur les employés dont les trop-payés ont été repérés pour produire les rapports sur les trop-payés du personnel. La Direction générale de l’administration de la paye sauvegarde les données dans la feuille de calcul principale, laquelle a été utilisée pour les fins du rapport visant la période de paye précédente, qu’elle scinde ensuite en courriels distincts (chacun étant assorti d’une feuille de calcul) à l’intention de chaque institution. La Direction générale de l’administration de la paye sauvegarde ces courriels dans un dépôt et informe le Centre des opérations de Phénix, auquel incombe la responsabilité d’envoyer les rapports, du fait que l’information est prête à être distribuée.
  2. SPAC a expliqué que l’extraction et le traitement de l’information [traduction] « […] se déroulent à l’extérieur de l’environnement du système de paye Phénix et des mécanismes de contrôle de sécurité intégrés connexes, en partie parce que les intervenants responsables des Ressources humaines et des Finances ne disposent pas de l’accès nécessaire au système de paye et que l’information qui se trouve dans Phénix y est stockée de manière agrégée ».
  3. Bien que SPAC produise des rapports sur les trop-payés du personnel de cette façon depuis 2018, lorsque l’atteinte à la vie privée est survenue en 2020, il ne disposait pas d’un processus dûment documenté assorti de contrôles de la qualité pour la production de ces rapports.

Circonstances de l’atteinte à la vie privée

  1. Le 4 février 2020, au moment de préparer la feuille de calcul principale, la Direction générale de l’administration de la paye n’a pas supprimé certaines données du rapport sur la période de paye précédente. En conséquence, l’information qui se trouvait dans la colonne « Ministère » ne correspondait pas à celle qui figurait dans la colonne « Nom ».
  2. SPAC a transmis à 164 personnes travaillant dans 61 institutionsNote de bas de page 3 des rapports sur les trop-payés du personnel comportant des renseignements concernant des personnes travaillant dans d’autres ministères et organismes. SPAC n’a pas été en mesure de préciser combien de destinataires ont réellement accédé aux rapports. Cependant, SPAC a avisé le Commissariat que peu de temps après qu’il eut envoyés les rapports entachés d’erreurs, des destinataires ont commencé à signaler qu’ils avaient reçu des renseignements concernant des employés d’autres ministères et organismes du gouvernement. En fin de compte, neuf institutions ont affirmé avoir reçu des rapports entachés d’erreurs.
  3. Au cours de notre enquête, nous avons demandé une copie anonymisée de l’information qui se trouvait dans les rapports. Dans sa réponse, SPAC a souligné que tous les rapports entachés d’erreurs comportaient les champs suivants d’information possible, mais que tous les rapports ne contenaient pas de données dans tous les champs :
    1. Nom (prénom et nom de famille de l’employé);
    2. Code d’identification de dossier personnel (CIDP);
    3. Solde des arriérés (montant dû à la Couronne par l’employé, en dollars);
    4. Adresse (y compris l’adresse du domicile, la ville, le code postal et la province);
    5. Code du Ministère;
    6. Bureau de paye/liste de paye (représenté par un nombre);
    7. Code de retenue (ce champ indiquant si Phénix a réellement reconnu l’existence d’une somme due à la Couronne par l’employé);
    8. Statut sur le plan des RH (actif ou inactif);
    9. Entente? (oui ou non);
    10. Montant minimum de la retenue (en dollars);
    11. Autre montant de retenue (oui ou non);
    12. Précision à l’égard du fait que la personne occupait un poste par intérim.

Analyse

  1. Parmi les renseignements communiqués, les éléments suivants qui auraient pu faire l’objet d’une atteinte à la vie privée dans les rapports entachés d’erreurs constituent des renseignements personnels, tels que définis à l’article 3 de la LoiNote de bas de page 4 : nom, CIDP, solde des arriérés, adresse du domicile, entente (oui ou non), montant minimum de la retenue et autre montant de retenue (oui ou non).
  2. Puisque les renseignements personnels ont été envoyés aux mauvaises institutions et qu’ils ont été consultés dans au moins neuf institutions par des destinataires qui n’avaient pas besoin de connaître les renseignements concernant des employés d’autres ministères et organismes du gouvernement, nous avons établi que la communication non autorisée de renseignements personnels a eu lieu, car aucune de ces communications n’était conforme à l’une des dispositions énoncées au paragraphe 8(2) de la Loi.

Conclusion

  1. Pour les raisons exposées ci-dessus, nous sommes d’avis que SPAC a communiqué des renseignements personnels, contrevenant ainsi à l’article 8 de la Loi.

Manière dont SPAC a répondu à l’atteinte à la vie privée

  1. La suite du présent rapport porte sur la question qui consiste à établir si SPAC a depuis lors pris des mesures correctives pour résoudre le problème à la satisfaction du Commissariat. Nous nous sommes tout particulièrement penchés sur la réponse de SPAC à l’atteinte à la vie privée et sur la manière dont celui ci a résolu les vulnérabilités qui étaient à l’origine de l’atteinte.

Empêcher tout autre communication non autorisée de renseignements personnels

  1. Selon la sous-section 6.2.5 de la Directive intérimaire sur les pratiques relatives à la protection de la vie privée, les cadres et les agents principaux qui gèrent des programmes ou des activités comportant la création, la collecte ou le traitement de renseignements personnels sont responsables de mettre en œuvre le plan d’action de l’institution fédérale régissant les atteintes à la vie privée, lorsque cela s’avère nécessaire. Nous avons examiné le Protocole en cas d’atteinte à la vie privée de SPAC. Ce dernier comprend les principales étapes à suivre en cas d’atteinte à la vie privée qui prévoient qu’en cas d’atteinte potentielle ou réelle à la vie privée, il faut intervenir immédiatement pour y mettre fin et la signaler. Les principales étapes à suivre expliquent également que le bureau de première responsabilité de SPAC devrait immédiatement protéger les dossiers compromis afin d’empêcher toute autre communication non autorisée.
  2. SPAC a affirmé que, le jour où l’atteinte à la vie privée est survenue (le 4 février 2020), il a demandé aux institutions concernées de ne pas tenir compte et de détruire les rapports sur les trop-payés du personnel entachés d’erreurs. Trois joursNote de bas de page 5 après l’atteinte à la vie privée, SPAC a demandé aux chefs de la Sécurité des institutions destinataires d’enjoindre leurs services responsables de la technologie de l’information à rechercher et à détruire les rapports entachés d’erreurs se trouvant sur leurs réseaux de courriels respectifs, et à confirmer que cette opération avait bien été menée à termeNote de bas de page 6, en plus de les autoriser à agir en ce sens.
  3. SPAC a assuré un suivi auprès des ministères et organismes pour confirmer que les rapports avaient bel et bien été détruits. Dix-huit jours après que l’atteinte à la vie privée est survenue, SPAC a reçu une confirmation du fait que le dernier ministère visé venait d’exécuter la demande de destruction.
  4. Enfin, en guise de dernière étape, SPAC a demandé à Services partagés Canada d’entreprendre une recherche sur l’ensemble du réseau du gouvernement du Canada afin de s’assurer qu’il ne reste aucune copie des rapports entachés d’erreurs sur les serveurs. La recherche a permis de constater l’existence de copies des rapports sur les serveurs. Cependant, Services partagés Canada n’a pas été en mesure de détruire ces copies sans l’approbation des agents de sécurité des ministères concernés. Suite à l’intervention du Commissariat, SPAC s’est engagé à communiquer par écrit avec les sections responsables de la sécurité, de l’accès à l’information et de la protection des renseignements personnels des ministères touchés pour leur faire part du fait qu’il reste des courriels sur les serveurs.

Possibilité d’utilisation malveillante de renseignements personnels par le truchement du Centre de contact avec la clientèle (CCC)

  1. Dans le cadre de notre enquête, nous avons cherché à savoir si les renseignements personnels compromis par l’atteinte à la vie privée pouvaient faire l’objet d’une utilisation malveillante, par exemple, par le truchement du CCC. SPAC a fait valoir que le CCC demande et vérifie le CIDP, le nom (prénom et nom de famille) et la date de naissance de toute personne qui appelle. L’atteinte à la vie privée n’a pas compromis les dates de naissance. Le CCC peut également demander des éléments d’information supplémentaires afin de vérifier l’identité de la personne qui appelle. Nous avons passé en revue une liste des éléments supplémentaires et noté que l’atteinte à la vie privée n’avait compromis aucun d’entre eux.
  2. Nous avons envisagé la possibilité que les renseignements visés par l’atteinte à la vie privée puissent être combinés à d’autres renseignements – provenant, par exemple, de sources accessibles au public ou obtenues par des moyens malveillants comme l’ingénierie sociale – afin d’obtenir la date de naissance et faire en sorte que puisse survenir une fraude touchant l’identité par l’entremise du CCC. Cependant, nous en sommes venus à la conclusion qu’un tel scénario était peu probable. Au cours de notre évaluation, nous avons observé que l’atteinte était non intentionnelle et non malveillante et que SPAC connaissait tous les destinataires des renseignements par inadvertance et avait communiqué avec chacun d’entre eux. Enfin, nous n’avons reçu aucune preuve du fait que les renseignements personnels compromis dans le cadre de l’atteinte à la vie privée aient fait l’objet d’une utilisation malveillante.

Avis aux personnes touches transmis par SPAC

  1. Selon la sous-section 6.1.2 de la Directive sur les pratiques relatives à la protection de la vie privée, les responsables des institutions fédérales ou leurs délégués ont la responsabilité d’établir des plans régissant les atteintes à la vie privée au sein de leur institution. De surcroît, dans la section 4 des Lignes directrices sur les atteintes à la vie privée il est fortement recommandé à l’institution d’aviser les personnes touchées de l’infraction « dans les meilleurs délais, pour leur permettre de prendre des mesures de protection ou d’atténuer les préjudices causés par le vol d’identité ou les autres torts possibles ».
  2. Le Protocole en cas d’atteinte à la vie privée de SPAC fixe à 13 jours la norme privilégiée de l’institution pour aviser les personnes touchées.
  3. À titre préliminaire, SPAC a expliqué au Commissariat qu’il en était venu à la conclusion que le type de torts en cause tenait à l’impact psychologique qu’avait eu cette situation sur les personnes touchées, celles-ci ayant déjà été victimes de problèmes au niveau de la paye. SPAC a conclu que les personnes touchées ne subiraient, du fait de l’atteinte à la vie privée, aucun tort de nature financière ou physique.
  4. SPAC a émis deux avis d’atteinte à la vie privée à l’intention des personnes touchées le 17 février 2020 (soit neuf jours après que l’atteinte à la vie privée est survenue). Dans un premier temps, SPAC a publié un avis sur son site Web. SPAC a de surcroît fait parvenir aux ministères et organismes d’attache des personnes touchées une lettre d’avis d’atteinte à la vie privée et une liste des employés auxquels celle-ci devrait être acheminée. Selon cette lettre : [traduction] « Les ministères et les organismes doivent transmettre en toute urgence la lettre ci-jointe aux employés touchés dont le nom figure dans le rapport ci-joint ». SPAC a également fait valoir qu’il avait organisé, onze jours après que l’atteinte à la vie privée est survenue, des conférences téléphoniques avec les différents ministères et organismes afin de discuter de la demande et de répondre à toutes questions.
  5. Selon SPAC, les ministères et organismes ont transmis la lettre d’avis d’atteinte à la vie privée aussi tôt que le 17 février 2020. Bien que les plaintes actuelles aient corroboré cette information, certaines plaintes montrent également qu’il a parfois fallu jusqu’à 17 jours pour que d’autres ministères et organismes acheminent les lettres.
  6. Notre enquête a révélé que la lettre d’avis d’atteinte à la vie privée contenait une description générale de l’incident, une liste des renseignements personnels qui avaient été compromis ou qui pourraient l’avoir été, des conseils à l’intention des personnes touchées en ce qui concerne les risques connexes ainsi que les coordonnées d’une personne-ressource à laquelle s’adresser pour obtenir des renseignements supplémentaires. La lettre d’avis ne faisait cependant pas mention du fait que d’autres renseignements, comme le solde des arriérés, une entente (oui ou non), le montant minimum de la retenue et un autre montant de retenue (oui ou non), auraient pu être compromis.
  7. SPAC a déclaré au Commissariat que la lettre d’avis était en format PDF et qu’il s’attendait à ce qu’elle soit transmise sans qu’elle ne fasse l’objet de modifications. Cependant, notre enquête a révélé que, dans certains cas, les ministères et organismes avaient modifié le libellé de ladite lettre en y ajoutant des éléments d’information, voire en en supprimant, avant de la transmettre. Cette constatation signifie que toutes les personnes touchées n’ont pas reçu les mêmes renseignements au sujet de l’atteinte à la vie privée. Par exemple, l’un des ministères a ajouté l’information erronée suivante voulant que SPAC [traduction] « ait envoyé un courriel contenant vos renseignements personnels aux dirigeants principaux des finances et aux dirigeants des ressources humaines de 62 ministères et organismes ». Par ailleurs, une lettre envoyée par un autre ministère omettait la phrase concernant les risques connexes libellée ainsi : [traduction] « Le fait que vos renseignements personnels puissent être utilisés à des fins malveillantes présente un niveau de risque peu élevé, voire aucun risque. »
  8. Notre enquête a par ailleurs révélé l’existence d’un certain nombre d’inexactitudes dans la lettre d’avis de SPAC. Par exemple, contrairement à ce que SPAC avait précisé dans sa lettre à propos des postes détenus par les destinataires non intentionnels, le rapport sur les trop-payés du personnel entaché d’erreurs n’a pas simplement été transmis aux dirigeants principaux des finances et aux responsables des RH. Notre analyse a révélé que 52 des destinataires détenaient un poste allant de sous-ministre adjoint à chef d’équipe et agent de projet.
  9. Nous reconnaissons le fait qu’une description d’un incident peut ne pas comprendre l’ensemble des détails concernant toutes les personnes touchées, ce qui renforce l’idée selon laquelle il convient de fournir les coordonnées d’une personne-ressource qui puisse répondre aux questions, comme SPAC l’a fait en l’espèce. Cependant, en ce qui concerne la liste des renseignements personnels qui ont été compromis ou qui pourraient l’avoir été, nous recommandons vivement qu’il importe de fournir aux personnes touchées des renseignements complets. Ainsi, les personnes concernées peuvent évaluer le risque et prendre les mesures qu’elles jugent nécessaires pour se protéger contre les torts possibles résultant de l’atteinte à leurs renseignements personnels.

Mesures prises par SPAC pour éliminer les vulnérabilités à l’origine de l’atteinte à la vie privée

  1. Depuis l’atteinte à la vie privée, SPAC affirme avoir mis en place un processus et dressé une liste de vérification relative à l’assurance de la qualité en ce qui concerne la production des courriels. La marche à suivre prévoit le téléchargement et une vérification du fait que le modèle ne contient pas par inadvertance de renseignements personnels provenant de la période de paye antérieure. La liste de vérification a été mise à l’épreuve et intégrée dans les processus pertinents de la Direction générale de l’administration de la paye. Le Centre des opérations de Phénix a également été intégré à ce processus. Enfin, des mesures de surveillance ont été ajoutées sous la forme d’une exigence prévoyant l’apposition de certaines signatures une fois que la liste de vérification est dûment remplie. Une copie signée de cette liste est conservée en dossier.
  2. SPAC a également expliqué au Commissariat qu’il a mené une enquête auprès des ministères et organismes afin d’établir si le rapport sur les trop-payés demeurait requis et, si tel est le cas, à quelle fréquence il devrait être produit. À la lumière des résultats de cette enquête, SPAC continuera de faire parvenir les rapports aux ministères et organismes toutes les deux semaines, mais les rapports n’incluront pas l’adresse du domicile de l’employé.
  3. SPAC examine également des solutions de rechange qui lui permettraient de combler les besoins en matière d’information des clients par des mécanismes automatisés, lesquels permettraient de générer les rapports sur les trop-payés ou de tirer parti de la technologie existante afin de permettre aux ministères et organismes clients d’accéder à leurs fichiers de données et rapports respectifs par l’intermédiaire d’un dépôt central. Grâce à la dernière solution, il ne serait plus nécessaire d’envoyer des courriels dans lesquels se trouvent les renseignements sur les trop-payés.

Conclusion et recommandation

  1. À la lumière de ce qui précède, nous considérons que les plaintes sont fondées et résolues. En dépit de l’infraction à l’article 8 de la Loi, il est évident que SPAC a pris les mesures correctives pour remédier à la situation, à la fois au moment où l’atteinte est survenue et par la suite, a atténué le(s) dommage(s) causé(s) par l’atteinte et a diminué la probabilité qu’une telle situation se reproduise. Nous sommes également heureux de constater la rapidité avec laquelle les Canadiens touchés ont été avisés.
Date de modification :