Vérification du programme de la Sécurité de la vieillesse d’Emploi et Développement social Canada
Article 37 de la Loi sur la protection des renseignements personnels
Septembre 2016
Points saillants
Éléments examinés
Emploi et Développement social Canada (EDSC) est responsable de l’exécution de plus de 70 programmes sociaux, dont le programme de la Sécurité de la vieillesse (SV). Pour les besoins de l’administration de ce programme, le Ministère recueille, utilise et communique des renseignements personnels sur les aînés. Nous avons examiné les mesures prises par EDSC pour gérer et protéger ces renseignements ainsi que celles prises par Services partagés Canada (SPC) pour protéger l’information sur la SV stockée dans son infrastructure des technologies de l’information (TI).
Au cours de la vérification, qui a eu lieu du 18 février 2015 au 31 mars 2016, nous avons examiné les pratiques d’EDSC en matière de gestion des renseignements personnels pour le programme de la SV, y compris les ententes conclues avec des partenaires, les évaluations des risques, les rapports de vérification, les plans ministériels et les plans de sécurité, les dossiers sur les atteintes à la vie privée et les calendriers de conservation et d’élimination. Nous avons aussi examiné la sécurité des TI, y compris la gestion de l’identité et la surveillance de l’accès. Enfin, nous avons interrogé de nombreux fonctionnaires de l’administration centrale du Ministère et de ses quatre régions — Atlantique, Québec, Ontario, Ouest et Territoires. La vérification dont fait état le présent rapport ne comprenait aucun examen des dossiers des clients de la SV.
Importance de l’enjeu
Le programme de la SV compte environ 5,6 millions de clients. Sa clientèle est composée d’aînés, groupe considéré comme vulnérable au vol d’identité et à la fraude. En 2015, près de six millions de Canadiens étaient âgés de 65 ans ou plus, soit plus de 16 % de la population du pays. En 2030, le Canada devrait compter plus de 9,5 millions d’aînés représentant alors 23 % de la population.
Pour recevoir des prestations de la SV, les demandeurs doivent fournir à EDSC des renseignements personnels sensibles, notamment leur numéro d’assurance sociale, des renseignements financiers et d’autres données. Compte tenu du grand nombre de clients et de la sensibilité des renseignements, tout incident mettant en cause la communication non autorisée de ces renseignements pourrait avoir une incidence importante sur les personnes touchées. Par conséquent, les clients de la SV s’attendent à ce qu’EDSC et ses fonctionnaires s’assurent que toutes les mesures nécessaires sont prises pour protéger leurs renseignements personnels contre la consultation, l’utilisation ou la communication inappropriés.
Constatations
EDSC a déjà mis en place de nombreux éléments d’un régime efficace de gestion de la protection de la vie privée. La protection de la vie privée a été définie et reconnue comme l’un des principaux risques du Ministère et elle constitue l’une de ses principales priorités de gestion.
Au cours des dernières années, le Ministère a pris d’importantes mesures pour renforcer la protection des renseignements des clients. Il a entre autres regroupé les codes en vigueur régissant la protection, l’utilisation et la communication des renseignements personnels dans la Loi sur le ministère de l’Emploi et du Développement social afin d’améliorer la reddition de comptes à l’égard de la protection des renseignements personnels; élaboré une nouvelle politique de gestion de la protection de la vie privée; amélioré la formation des employés sur la protection de la vie privée; élaboré des plans d’action sur la protection de la vie privée pour chaque programme d’envergure, y compris le programme de la SV; préparé des plans de travail annuels intégrant la sécurité et la protection de la vie privée; et amélioré le rôle du Comité de protection des renseignements personnels et sécurité de l’information, composé de membres de la haute direction, afin de superviser la réalisation des principaux engagements dans le domaine de la protection de la vie privée.
En outre, le groupe de vérification interne d’EDSC a accompli beaucoup de travail au chapitre de la sécurité et de la protection de la vie privée en appui à la gestion de la protection de la vie privée au Ministère. Les lacunes et les points faibles mentionnés dans le présent rapport de vérification peuvent toutefois nuire à la capacité d’EDSC à s’assurer que les renseignements des clients de la SV sont à l’abri des menaces internes et externes. Plus particulièrement :
- EDSC et SPC partagent des responsabilités en matière de TI concernant les renseignements des clients de la SV, mais il n’existe aucune entente définissant le rôle et les responsabilités de chacun en la matière ou renfermant des dispositions sur la sécurité ou la protection de la vie privée;
- Les systèmes des TI à l’appui du programme de la SV n’ont pas été certifiés ni accrédités comme il se doit;
- Les droits d’accès des employés aux systèmes de la SV ne sont pas toujours retirés en temps opportun ou de manière uniforme et ils ne sont pas limités au minimum requis pour leur permettre de remplir leurs fonctions;
- Il y a des pistes de vérification concernant la consultation et l’utilisation des systèmes de la SV par les employés, mais elles ne sont pas examinées de façon proactive;
- À ce jour, EDSC n’a éliminé aucun dossier électronique et il a un arriéré de dossiers papier à détruire;
- Certaines dispositions importantes concernant la sécurité et la protection de la vie privée sont absentes dans quelques ententes provinciales et fédérales d’échange de renseignements;
- Il faut renforcer les évaluations des risques d’atteinte à la sécurité physique.
Nous avons formulé à l’intention d’EDSC des recommandations visant à combler les lacunes susmentionnées. Les réponses de la direction d’EDSC aux constatations issues de la vérification suivent chaque recommandation énoncée dans le présent rapport.
La vérification portait principalement sur les pratiques de gestion des renseignements personnels d’EDSC, mais nous avons aussi examiné les lacunes qui se rapportent à SPC.
Introduction
À propos d’Emploi et Développement social Canada
- Emploi et Développement social Canada (EDSC) est le ministère du gouvernement du Canada responsable de l’élaboration, de la gestion et de l’exécution des programmes et des services sociaux. Le programme de la Sécurité de la vieillesse (SV) est le régime de retraite le plus important du gouvernement du Canada. Il est financé à même les recettes générales du gouvernement.
- EDSC est l’un des plus grands ministères fédéraux et aussi l’un des plus présents dans les régions. Il compte au-delà de 20 000 employés, dont plus de 65 % travaillent dans les régions. Le réseau de Service Canada – plus de 500 points de service – constitue le principal moyen utilisé par EDSC pour offrir ses programmes directement aux Canadiens.
- Afin de faire face aux exigences croissantes de la charge de travail, aux impératifs en matière d’économie de coûts et à la nécessité de renouveler l’infrastructure des technologies de l’information (TI) vieillissante, EDSC a lancé une initiative visant à passer du système en direct de la SV à une nouvelle plateforme des TI. Au même moment, Services partagés Canada (SPC) a mis en œuvre d’importantes initiatives visant à passer à un nouveau système de courriel, à consolider les centres de données et à transformer les télécommunications.
- EDSC est assujetti à la Loi sur la protection des renseignements personnels ainsi qu’aux politiques et aux directives du Secrétariat du Conseil du Trésor (SCT) portant sur la gestion et la protection des renseignements personnels des Canadiens. En outre, la partie 4 de la loi habilitante du Ministère, la Loi sur le ministère de l’Emploi et du Développement social, établit les règles qui s’appliquent à la protection, à l’utilisation et à la communication des renseignements personnels qu’il détient.
- On trouvera en ligne des renseignements supplémentaires sur EDSC.
Le programme de la Sécurité de la vieillesse
- Le programme de la Sécurité de la vieillesse est le programme d’EDSC qui est doté du budget le plus élevé et qui comporte le plus grand nombre de clients. C’est aussi le programme le plus important du gouvernement du Canada. Il représente près de 40 % des dépenses de programmes d’EDSC en 2016-2017 et il administrait en 2013-2014 plus de 7,1 millions de prestations de la SV.
- Mis en œuvre en 1952, le programme de laSV est le principal pilier du système canadien de revenu de retraite. Sous sa forme actuelle, il comporte trois volets qui procurent ensemble à la plupart des aînés canadiens un revenu annuel garanti, contribuant à réduire les cas de faible revenu parmi ces personnes :
- La pension de base de la Sécurité de la vieillesse consiste en une prestation mensuelle à tous les Canadiens âgés de 65 ans ou plus qui répondent aux exigences relatives à l’âge, au lieu de résidence et au statut juridique;
- Le Supplément de revenu garanti (SRG) est une prestation supplémentaire versée aux aînés à faible revenu vivant au Canada;
- Une allocation est versée aux personnes à faible revenu âgées de 60 à 64 ans dont l’époux ou le conjoint de fait reçoit le SRG ou qui sont veuves.
- En avril 2013, EDSC a lancé un processus d’inscription automatique pour les nouveaux demandeurs de prestations de la SV. En mars 2015, environ 44 % des nouveaux clients de la SV n’avaient pas eu à remplir les formulaires d’inscription papier traditionnels pour recevoir des prestations.
- On trouvera en ligne des renseignements supplémentaires sur le programme de la SV.
Lien entre Services partagés Canada et le programme de la SV
- Services partagés Canada (SPC) a été créé le 4 août 2011 pour gérer l’infrastructure des TI de 42 organisations fédérales partenaires, dont EDSC. Le mandat général de SPC consiste à fournir des services relatifs au courriel, aux centres de données et aux réseaux afin d’appuyer l’exécution des programmes et la prestation des services du gouvernement.
- EDSC et SPC ont tous deux des responsabilités concernant les TI à l’égard des renseignements des clients de la SV. En vertu de la Loi sur Services partagés Canada, SPC est responsable de fournir l’infrastructure des TI utilisée par EDSC. Pour sa part, EDSC est responsable de gérer les renseignements personnels qu’il recueille pour les besoins du programme de la SV. Selon la Loi sur Services partagés Canada, les renseignements personnels qui sont recueillis par toute institution fédérale et qui, pour le compte de cette institution, sont conservés dans les systèmes des TI de SPC ou transitent par ces systèmes ne relèvent pas de SPC pour les besoins de la Loi sur la protection des renseignements personnels. Par conséquent, puisque les renseignements personnels des clients d’EDSC relèvent du Ministère, c’est à lui qu’il incombe de les protéger.
Objet de la vérification
- La vérification a porté principalement sur la protection des renseignements personnels utilisés, communiqués et conservés par EDSC pour les besoins de l’administration du programme de la SV. Elle comprenait un examen du rôle de SPC dans la protection de l’information du programme de la SV contenue dans son infrastructure des TI.
- La vérification avait pour but de déterminer si EDSC avait mis en place des contrôles appropriés pour le programme de la SV — y compris des politiques, des pratiques et des procédures — pour s’acquitter des obligations lui incombant en vertu de la Loi sur la protection des renseignements personnels afin d’assurer une utilisation, une communication et une conservation appropriées des renseignements personnels.
- Compte tenu du rôle de SPC qui consiste à fournir l’infrastructure des TI utilisée par EDSC pour le programme de la SV, nous avons aussi examiné les mesures de sécurité associées aux TI en place à SPC, y compris les politiques, les pratiques et les procédures du Ministère.
- La vérification ne comprenait aucun examen des demandes, des appels ou des dossiers des clients. Elle excluait également les applications Web et les services de renseignements aux clients.
- On trouvera dans la section « À propos de la vérification » du présent rapport des renseignements sur les objectifs, les critères, la portée et l’approche de la vérification.
Observations et recommandations
- Les observations et les recommandations découlant de la vérification sont réparties en six catégories :
- rôle et responsabilités d’EDSC et de SPC en ce qui concerne la protection des renseignements des clients;
- sécurité des TI;
- gestion de l’identité et de l’accès, et surveillance connexe;
- conservation et élimination des renseignements personnels;
- ententes d’échange de renseignements;
- sécurité physique.
Le rôle et les responsabilités d’EDSC et de SPC en ce qui concerne la protection des renseignements des clients de la SV ne sont pas définis
- En vertu du paragraphe 29.2(2) de la Loi sur la gestion des finances publiques, un ministère qui fournit des services de soutien internes à un autre ministère doit conclure une entente écrite à cet égard. Cette entente peut établir une structure claire de gouvernance et de reddition de comptes en définissant le rôle, les responsabilités et les mécanismes de chacune des parties afin de satisfaire aux exigences de la loi, des règlements, des politiques et des normes, et de répondre aux attentes du public.
- En outre, l’entente devrait comprendre des dispositions visant la protection des renseignements personnels, comme le prévoient la Loi sur la protection des renseignements personnels et les politiques du Secrétariat du Conseil du Trésor (SCT) dans le domaine, par exemple la Ligne directrice sur les ententes de services — Éléments essentiels, qui fournit des orientations concernant les ententes de services, y compris celles conclues entre deux ministères fédéraux. Le contenu des ententes peut varier selon la nature de la relation entre les parties concernées, mais cette ligne directrice propose une liste d’éléments essentiels à prévoir dans les ententes, notamment la portée, la gouvernance, la protection des renseignements personnels et la sécurité.
- En vertu de la Politique ministérielle sur la gestion de la protection des renseignements personnels d’EDSC, les ententes conclues entre le Ministère et une entité gouvernementale ou non gouvernementale doivent prévoir des mesures de sécurité et de protection de la vie privée appropriées.
- Compte tenu des exigences susmentionnées et des responsabilités en matière de TI partagées par EDSC et SPC, nous nous attendions à ce que le rôle et les responsabilités des deux ministères au chapitre de la protection des renseignements personnels du programme de la SV soient clairement définis dans une entente. Nous avons examiné un protocole d’entente, une entente administrative, un protocole de fonctionnement et le compte rendu des réunions du comité interministériel et interrogé certains employés d’EDSC et de SPC à ce sujet.
- Nous avons conclu qu’EDSC et SPC avaient conclu une entente administrative écrite pour décrire en termes généraux leur relation d’affaires, mais que cette entente ne précise pas le rôle et les responsabilités de chaque ministère pour les besoins de la protection des renseignements des clients de la SV. Elle ne contient pas non plus de dispositions sur la sécurité et la protection de la vie privée. Par exemple, elle ne prévoit aucune exigence concernant l’évaluation des risques d’atteinte à la vie privée et à la sécurité, la gestion des droits d’accès et la surveillance connexe, le contrôle et la garde des renseignements personnels ni la manière de traiter les atteintes à la vie privée.
- En examinant le Plan d’action 2014-2015 d’EDSC du programme de sécurité des TI, nous avons constaté que le Ministère est conscient de la nécessité de conclure une entente avec SPC afin de préciser davantage leurs rôles respectifs. Ces derniers ont tenté de conclure ce type d’entente, mais sans succès jusqu’à présent.
- En l’absence d’une entente entre EDSC et SPC renfermant des dispositions sur la sécurité et la protection de la vie privée, le rôle et les responsabilités pour la protection des renseignements du programme de la SV ne sont toujours pas définis, si bien que ces renseignements pourraient être consultés, utilisés ou communiqués de manière inappropriée.
- Recommandation : Conformément à la Loi sur la gestion des finances publiques et à la Ligne directrice sur les ententes de services — Éléments essentiels du SCT, EDSC devrait travailler avec SPC pour conclure une entente définissant clairement le rôle et les responsabilités en matière de sécurité des TI et renfermant des dispositions claires et pertinentes pour assurer la sécurité et la protection des renseignements personnels des clients de la SV.
Réponse d’EDSC : EDSC reconnaît l’importance de conclure et de mettre à jour en continu des ententes officielles avec SPC concernant le rôle, les responsabilités et les attentes des deux parties en matière de protection des renseignements personnels. Comme l’a souligné le Commissariat, EDSC a déjà conclu une entente administrative écrite avec SPC et un comité interministériel a été établi pour gérer cette relation.
EDSC convient qu’il doit continuer de mettre à profit sa relation d’affaires existante pour définir clairement le rôle et les responsabilités en matière de sécurité des TI et formuler des dispositions claires et pertinentes pour assurer la sécurité et la protection des renseignements des clients de la SV. Le Ministère collaborera avec SPC pour donner suite à cette recommandation d’ici mars 2017.
Les risques d’atteinte à la vie privée et à la sécurité des TI n’ont pas été entièrement évalués
- La sécurité des technologies de l’information (STI) comprend les mesures de sécurité techniques, physiques et administratives utilisées par les organisations pour protéger l’information électronique qu’elles détiennent. Certaines pratiques de STI efficaces sont essentielles pour satisfaire aux exigences de la Loi sur la protection des renseignements personnels afin de protéger les renseignements personnels des Canadiens.
- La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du SCT définit les exigences de sécurité de base auxquelles les ministères fédéraux doivent satisfaire pour assurer la sécurité de l’information et des TI qui relèvent d’eux. Les ministères doivent notamment veiller à ce que les systèmes et l’infrastructure des TI soient certifiés et accrédités en vertu d’un processus d’Évaluation de sécurité et autorisation (ES et A) avant d’en approuver l’utilisation. Le processus d’ES et A est utilisé pour évaluer et atténuer les risques et les ramener à un niveau raisonnable. Il comprend entre autres des Évaluations des menaces et des risques (EMR) pour déterminer les exigences en matière de sécurité, des énoncés de sensibilité (ES) pour évaluer la sensibilité des renseignements ou des biens ainsi que des Évaluations des facteurs relatifs à la vie privée (EFVP) pour évaluer et atténuer les risques d’atteinte à la vie privée.
- Depuis sa création en 2011, SPC gère l’infrastructure des TI qui contient les renseignements des clients de la SV. Toutefois, EDSC demeure responsable de la gestion des systèmes utilisés pour administrer le programme de la SV. Les renseignements personnels recueillis par EDSC pour les besoins du programme de la SV sont principalement stockés dans deux systèmes des TI : le système en direct de la SV et le Système d’exécution du renouvellement de la technologie de l’information (SERTI). Ces systèmes contiennent des numéros d’assurance sociale, des données biographiques, des renseignements financiers ainsi que d’autres renseignements personnels sensibles. Nous nous attendions à ce que des mesures de sécurité des TI appropriées pour les systèmes et l’infrastructure liés à la SV soient en place à EDSC et SPC.
- Nous avons examiné les politiques et les procédures des TI d’EDSC et de SPC et les évaluations des risques liés aux TI ainsi que les plans d’action connexes pour maîtriser les risques cernés. Nous avons également interrogé certains employés des TI concernant les activités d’ES et A, et les limites et vulnérabilités des systèmes des TI vieillissants.
- Nous avons constaté que le système en direct de la SV n’a pas été certifié ni accrédité comme il se doit. EDSC a reconnu que ce système des TI était vieillissant et il planifie de le remplacer par le SERTI en 2019 dans le cadre de sa Stratégie d’amélioration des services de la SV (SAS de la SV). D’ici là, le Ministère continuera d’utiliser le système en direct de la SV. EDSC nous a informés que les évaluations de sécurité requises avaient été effectuées au moment de la mise en œuvre de ce système il y a plus de 50 ans et que l’EMR la plus récente remonte à 2002. Cependant, l’ensemble du système en direct de la SV n’a fait l’objet d’aucune EMR, EFVP ou ES ni d’aucune autre évaluation des risques récemment.
- Nous nous attendions à ce qu’EDSC prévoie dans son plan visant à remplacer le système de la SV vieillissant une évaluation des risques d’atteinte à la vie privée et à la sécurité en indiquant les activités précises d’ES et A à entreprendre avant la mise en œuvre du système de remplacement. Le fait de ne pas évaluer les risques pourrait entraîner des remaniements coûteux du système ou une situation où il serait impossible d’apporter plus tard des améliorations nécessaires.
- Nous avons constaté qu’aucune EFVP du SERTI n’a été effectuée pour le programme de SV et que la charte de projet de la SAS de la SV n’en prévoit aucune avant l’étape finale du projet. En ce qui concerne les EMR, la charte de projet en prévoit une à chaque étape de la conception du projet, mais aucune n’a encore été effectuée malgré le fait que le SERTI est déjà utilisé.
- Le système en direct de la SV et le SERTI n’ont pas été certifiés ni accrédités comme il se doit par EDSC. L’infrastructure des TI qui héberge les systèmes liés à la SV n’a jamais été certifiée ou accréditée. L’utilisation de l’infrastructure des TI n’a donc jamais été officiellement approuvée. En conséquence, les risques d’atteinte à la vie privée et à la sécurité des TI n’ont pas été pleinement évalués et atténués. EDSC a aussi observé ces lacunes en 2012.
- En l’absence d’une évaluation des risques dans le cadre du processus d’ES et A, il est possible que l’on n’ait pas cerné ni atténué certains risques d’atteinte à la sécurité des renseignements personnels des clients de la SV.
La certification sert à vérifier si les exigences de sécurité établies pour un système ou service particulier sont respectées et si les contrôles et mesures de protection fonctionnent comme prévu. L’accréditation vise à confirmer si la direction a autorisé le fonctionnement du système ou service et si elle a accepté le risque résiduel.
(…) Les ministères doivent avoir leurs systèmes ou services certifiés et accrédités avant d’en autoriser le fonctionnement.
Secrétariat du Conseil du Trésor du Canada,
Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI)
- Recommandations :
Comme l’exige la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du SCT, EDSC devrait certifier et accréditer son système en direct de la SV et le SERTI dans le cadre du processus d’évaluation de la sécurité et d’autorisation (ES et A).
EDSC devrait travailler avec SPC pour s’assurer que l’infrastructure qui héberge le système en direct de la SV et le SERTI a aussi été certifiée et accréditée dans le cadre du processus d’ES et A, comme il se doit.
Réponse d’EDSC : EDSC convient que le système en direct de la SV et le SERTI devraient être certifiés et accrédités en bonne et due forme dans le cadre du processus d’ES et A. Le Ministère communiquera de nouveau avec SPC d’ici septembre 2016 pour lui demander que l’infrastructure hébergeant ces systèmes soit aussi certifiée et accréditée. EDSC prévoit effectuer une ES et A complète pour le SERTI d’ici juillet 2016, pour l’inscription automatique à la SV (catégorie 2) d’ici novembre 2016 et pour l’ensemble de la solution du système en direct de la SV d’ici mars 2017.
Il faut renforcer la gestion de l’identité et de l’accès, et la surveillance connexe
- Les processus de gestion de l’identité et de l’accès (GIA) contrôlent « qui a accès à quoi » dans les systèmes d’information électroniques. Ils sont utilisés pour créer, enregistrer et gérer l’identité des utilisateurs et les autorisations connexes d’accès aux renseignements électroniques du Ministère. La surveillance de l’activité des employés dans les systèmes des TI permet de vérifier si les données sont consultées et utilisées uniquement par des employés ayant un besoin de savoir légitime. Des lacunes dans la GIA et la surveillance pourraient entraîner un accès non autorisé à des renseignements personnels sensibles et à leur communication.
- Nous nous attendions à ce qu’EDSC ait mis en place des contrôles appropriés de l’accès et de la surveillance pour gérer l’accès des employés aux renseignements des clients de la SV. La Directive sur les pratiques relatives à la protection de la vie privée du SCT exige que les institutions fédérales déterminent les fonctions pour lesquelles il existe une raison valable de consulter les renseignements personnels et que cet accès soit limité et surveillé par des mesures administratives, techniques et physiques appropriées. Nous avons examiné les politiques et les procédures d’EDSC concernant la gestion et la surveillance de l’accès ainsi que les vérifications associées à la GIA. Nous avons aussi interrogé certains gestionnaires et des employés chargés de la sécurité des TI à l’administration centrale et dans les régions concernant ces politiques et procédures.
Gestion de l’identité et de l’accès
- EDSC s’est doté d’un processus pour modifier et supprimer les droits d’accès des employés au système en direct de la SV et au SERTI. Le Ministère met aussi en œuvre depuis 2013 un processus d’examen trimestriel pour s’assurer que les droits d’accès sont exacts et à jour pour les deux systèmes. Tous les trimestres, il envoie aux employés des rappels concernant leurs responsabilités à l’égard de la gestion des droits d’accès. Nous avons constaté que, même si des contrôles sont en place pour gérer et examiner les droits d’accès, ces droits ne sont pas modifiés ni supprimés conformément au processus interne d’EDSC lorsqu’un employé quitte le Ministère ou change de fonctions à l’interne, et qu’ils ne sont donc pas mis à jour de façon uniforme et en temps opportun, comme il se doit.
- Nous avons aussi constaté que le profil des utilisateurs du système en direct de la SV n’est pas directement associé aux fonctions du poste et qu’il est difficile par conséquent de l’assigner aux bons utilisateurs. Certaines régions ont créé des documents de référence pour aider les employés à déterminer quel profil d’utilisateur doit être attribué aux employés dans le système en direct de la SV. Ces documents de référence varient d’une région à l’autre et n’ont pas été approuvés par l’administration centrale, si bien que certains employés ont obtenu un droit d’accès plus vaste que d’autres qui accomplissent les mêmes tâches.
Surveillance de l’accès des employés
- Le système en direct de la SV et le SERTI produisent des pistes de vérification qui permettent d’y consigner les activités des utilisateurs, mais les éléments consignés varient d’un système à l’autre. Dans le système en direct de la SV, si un utilisateur consulte les renseignements d’un client sans les mettre à jour, aucune piste de vérification ne sera créée. Dans le SERTI, les pistes de vérification sont créées chaque fois que l’utilisateur met à jour ou consulte des renseignements. EDSC est au courant des limites du système en direct de la SV en ce qui concerne les pistes de vérification.
- Les deux systèmes peuvent produire des pistes de vérification, mais celles-ci ne font l’objet d’aucun examen proactif qui permettrait de déceler en temps opportun tout accès inapproprié ou non autorisé aux renseignements d’un client de la SV. Ce type d’examen est effectué uniquement dans le cadre d’une enquête où l’on soupçonne un accès inapproprié aux systèmes. La surveillance est particulièrement importante lorsque les employés disposent d’un vaste accès aux renseignements personnels.
- Recommandations :
EDSC devrait modifier et retirer certains droits d’accès au système en direct de la SV et au SERTI, conformément à sa procédure interne, et s’assurer que ces droits sont mis à jour de façon uniforme et en temps opportun.
Conformément à la Directive sur les pratiques relatives à la protection de la vie privée du SCT, EDSC devrait s’assurer que l’accès électronique des employés au système en direct de la SV se limite au minimum requis pour leur permettre de remplir leurs fonctions.
Toujours conformément à la Directive sur les pratiques relatives à la protection de la vie privée du SCT, EDSC devrait examiner les pistes de vérification des activités des utilisateurs des systèmes associés à la SV afin de détecter en temps opportun tout accès inapproprié ou non autorisé aux renseignements des clients de la SV.
Réponse d’EDSC : Comme l’a signalé le Commissariat, le Ministère a établi une procédure pour s’assurer que les droits d’accès accordés aux employés sont pertinents. Cette procédure prévoit l’envoi de rappels aux employés ainsi qu’un examen trimestriel des accès. De plus, un programme de formation obligatoire fait prendre encore davantage conscience aux employés de la nécessité de protéger les renseignements personnels de façon appropriée. EDSC estime que ces contrôles lui permettent de gérer adéquatement l’accès des employés aux systèmes.
EDSC convient que l’accès électronique des employés devrait se limiter au minimum requis pour leur permettre de remplir leurs fonctions. Le Ministère établit les accès en fonction du profil des utilisateurs, qui correspond aux responsabilités de leur poste, et permet au programme de gérer à l’échelle nationale sa charge de travail liée au traitement. D’ici décembre 2016, le Ministère examinera également le profil d’utilisateur des employés afin de s’assurer qu’il concorde avec les exigences de leur poste.
EDSC élabore actuellement une approche pour tirer parti des pistes de vérification, évaluer les lacunes actuelles dans les données et définir le rôle et les responsabilités afin de détecter tout accès inapproprié ou non autorisé aux renseignements des clients. Le Ministère élaborera d’ici mars 2017 un plan visant à analyser et à surveiller activement les dossiers de vérification et les fichiers journaux existants de la SV.
Les dossiers sont conservés plus longtemps que nécessaire
- Conformément à l’article 6 de la Loi sur la protection des renseignements personnels et à la Directive sur les pratiques relatives à la protection de la vie privée du SCT, les institutions fédérales doivent établir des calendriers de conservation et d’élimination afin de gérer leurs documents. Ces calendriers prévoient la période pendant laquelle les documents seront conservés avant d’être détruits ou transférés à Bibliothèque et Archives Canada, qui en aura la responsabilité.
- Nous nous attendions à ce qu’EDSC s’assure que les renseignements se rapportant à la SV, qu’ils soient sur support papier ou électronique, soient conservés et éliminés conformément aux calendriers établis. Nous avons examiné le calendrier de conservation et d’élimination d’EDSC et interrogé des fonctionnaires de l’administration centrale et des régions pour connaître leurs pratiques dans le domaine.
- Les dossiers des clients de la SV sont conservés sur support papier et électronique. Selon le calendrier de conservation et d’élimination, une fois qu’un dossier de la SV est clos, le dossier papier doit être conservé pendant six ans, puis éliminé. À l’heure actuelle, les dossiers électroniques ne sont pas éliminés, puisqu’aucun calendrier de conservation et d’élimination ne s’y applique.
- Nous avons constaté que les documents papier étaient conservés dans certaines régions au-delà de la période prescrite de six ans. Nous avons également remarqué qu’EDSC a un arriéré de dossiers papier à détruire, malgré les efforts déployés actuellement pour les éliminer. Au cours de la vérification, nous avons demandé à EDSC de nous confirmer le nombre de dossiers à détruire. Le Ministère n’a pas été en mesure de nous indiquer le nombre de dossiers qui avaient atteint la fin de leur période de conservation et il n’a donc pas pu nous préciser le nombre de dossiers à détruire. La conservation de renseignements personnels au-delà de la période nécessaire accroît le risque d’utilisation ou de communication inappropriée ou de perte de ces renseignements.
- EDSC met actuellement à jour son calendrier de conservation et d’élimination des dossiers de la SV. Le nouveau calendrier maintiendra la période de conservation précédente de six ans et s’appliquera désormais aux documents électroniques. EDSC nous a informés que ce calendrier entrerait en vigueur au printemps 2016.
- Recommandation : Lorsque les nouveaux calendriers de conservation et d’élimination auront été mis en œuvre, EDSC devrait élaborer un plan en vue d’éliminer les dossiers à détruire.
Réponse d’EDSC : EDSC est d’accord avec la recommandation. D’ici novembre 2016, il élaborera un plan en vue d’éliminer les dossiers de la SV conformément au nouveau calendrier de conservation et d’élimination. Comme le souligne le rapport de vérification, EDSC s’efforce déjà d’éliminer les dossiers papier des clients et procède actuellement à la mise à jour du calendrier de conservation et d’élimination des dossiers de la SV. Le nouveau calendrier prévoit l’élimination des dossiers électroniques.
Certaines dispositions importantes concernant la sécurité et la protection de la vie privée sont absentes des ententes d’échange de renseignements
- EDSC a conclu un grand nombre d’ententes d’échange de renseignements (EER) avec les gouvernements fédéral et provinciaux et ceux d’autres pays. Ces ententes portent sur la collecte, l’utilisation et la communication de renseignements personnels se rapportant au programme de la SV.
- Le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels publié en 2010 par le SCT recommande de nombreuses dispositions concernant la sécurité et la protection des renseignements personnels. Il faudrait envisager d’ajouter dans les EER ces dispositions, qui concernent notamment l’objet de l’entente, le fondement en loi qui autorise l’échange de renseignements personnels, les limitations concernant leur utilisation et communication ultérieures, les mesures de protection, l’utilisation et la communication, les processus visant à réagir aux atteintes à la vie privée et à la sécurité, la période maximale de conservation et les méthodes d’aliénation.
- Nous nous attendions à ce que les EER conclues par EDSC et ses partenaires contiennent des dispositions adéquates sur la sécurité et la protection de la vie privée pour protéger les renseignements liés à la SV. Nous avons examiné un échantillon constitué de 23 ententes provinciales, fédérales et internationales ainsi que les outils dont se servent l’administration centrale et les régions pour gérer les EER. Nous avons également interrogé les employés qui communiquent les renseignements se rapportant à la SV au sujet des dispositions concernant la sécurité et la protection de la vie privée contenues dans les ententes.
- Nous avons constaté que bon nombre des dispositions recommandées dans le document d’orientation du SCT en ce qui concerne la sécurité et la protection des renseignements personnels ne figuraient pas dans les EER. De façon générale, les EER conclues avec les partenaires fédéraux et provinciaux comportent les lacunes suivantes :
- les EER ne précisent pas de quelle institution relèvent, en vertu de la loi, les renseignements personnels communiqués et ne mentionnent donc pas à quelle institution il incombe de les corriger en cas d’erreur ou d’omission;
- elles n’énoncent pas les exigences de sécurité de base pour protéger les renseignements personnels;
- elles ne précisent pas la période pendant laquelle chaque partie doit conserver les renseignements personnels;
- elles ne renferment aucune disposition concernant les atteintes à la vie privée;
- elles ne renferment aucune disposition prévoyant la tenue de vérifications des pratiques de gestion des renseignements personnels.
- EDSC est conscient que les ententes d’échange de renseignements portant sur la SV comportent des lacunes en ce qui a trait à la protection de la vie privée et prend depuis 2012 des mesures pour corriger ces lacunes. Le Ministère a conçu pour l’élaboration et l’évaluation des EER un gabarit conforme à l’orientation fournie par le SCT et il a commencé à s’en servir pour établir de nouvelles ententes. Ce gabarit renferme les dispositions qui portent sur les questions de sécurité et de protection de la vie privée qui ne figuraient pas dans les EER que nous avons examinées.
- Recommandation : EDSC devrait élaborer un plan en vue de mettre à jour les EER fédérales et provinciales qui portent sur le programme de la SV en utilisant son nouveau gabarit afin de s’assurer que ces ententes renferment des dispositions adéquates pour assurer la sécurité et la protection de la vie privée.
Réponse d’EDSC : EDSC est d’accord avec cette recommandation. Comme l’a souligné le Commissariat, le Ministère a déjà pris plusieurs mesures afin de corriger les lacunes sur le plan de la protection de la vie privée relevées dans les EER portant sur le programme de la SV.
Depuis 2008, EDSC soumet les EER de la SV à des évaluations fondées sur le risque et élabore des plans de travail connexes fondés sur le risque qui visent en priorité la renégociation des EER existantes. EDSC continuera d’utiliser pour toutes les EER nouvelles ou révisées son gabarit qui, selon le Commissariat, renferme des dispositions adéquates pour assurer la sécurité et la protection de la vie privée tout en respectant les positions ainsi que les lois et règlements des autres instances. Le Ministère mettra la dernière main à son plan fondé sur le risque de 2016-2019 pour les EER d’ici octobre 2016.
Il faut renforcer l’évaluation des risques d’atteinte à la sécurité physique
- Les exigences en matière de sécurité physique pour la protection des renseignements personnels sont énoncées dans diverses politiques et lignes directrices du SCT et de la Gendarmerie royale du Canada, dont la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle et la Norme opérationnelle sur la sécurité matérielle. Selon l’une de ces exigences, les ministères doivent examiner les risques auxquels sont exposées leurs installations, y compris la façon dont les renseignements sont protégés, en procédant à des évaluations des menaces et des risques (EMR).
- Nous nous attendions à ce qu’EDSC ait mis en place des contrôles de sécurité physique adéquats pour protéger les documents papier qui contiennent des renseignements sur les clients de la SV et qui sont conservés dans ses nombreuses installations. Nous avons effectué des visites dans certains bureaux du programme de la SV situés dans trois régions différentes, examiné un échantillon de rapports d’EMR, interrogé des employés de l’administration centrale et des bureaux régionaux d’EDSC et analysé les politiques ministérielles relatives à la sécurité physique.
Stockage des renseignements des clients de la SV
- Nous avons examiné 22 installations d’EDSC, dont quatre grands centres de traitement et 12 Centres Service Canada partout au pays. Nous avons constaté que les contrôles de sécurité physique relatifs au stockage des documents papier contenant des renseignements sur les clients de la SV étaient adéquats. Ces renseignements étaient protégés conformément au Guide de classification de l’information d’EDSC, qui énonce les mesures de sécurité minimales pour le stockage de ces renseignements dans une zone sécurisée approuvée.
Évaluation des menaces et des risques
- Le Manuel des politiques et méthodes de sécurité d’EDSC comprend une liste de vérification des principaux risques d’atteinte à la sécurité physique qu’il faut évaluer lorsque l’on procède à une EMR. En examinant un échantillon de 31 rapports d’EMR, nous avons constaté que certains d’entre eux donnaient davantage de détails que d’autres en ce qui concerne les risques susceptibles de nuire à la protection des renseignements des clients de la SV. Par exemple, seuls quelques rapports donnaient des détails concernant les attestations de sécurité, la formation sur la sécurité et les rapports sur les incidents de sécurité. Il a donc été difficile de comparer la nature des risques évalués d’une région à l’autre.
- Le Manuel d’EDSC exige aussi que chaque installation fasse l’objet d’une EMR, mais nous avons constaté qu’aucune n’avait été réalisée dans certains cas. Il contient certains renseignements sur le processus du Ministère relatif aux EMR, sans toutefois préciser la fréquence appropriée et sans mentionner à quelle entité du Ministère il incombe de donner suite aux recommandations découlant des EMR pour s’assurer que les risques cernés sont atténués.
- EDSC a mis en place un outil national qui permet de suivre la réalisation des EMR et de consigner les recommandations s’y rapportant. Il n’y a toutefois au sein du Ministère aucune fonction centralisée de supervision pour s’assurer que les risques auxquels sont exposés les renseignements des clients de la SV sont évalués et atténués de façon uniforme à l’échelle nationale.
- Les lacunes dans l’évaluation et l’atténuation des risques d’atteinte à la sécurité physique pourraient augmenter la menace de consultation et de communication inappropriées des renseignements des clients de la SV, tant à l’interne qu’à l’externe.
- Recommandations :
EDSC devrait mettre à jour son Manuel des politiques et méthodes de sécurité afin d’y indiquer à quelle fréquence les EMR doivent être menées et à quelle entité il incombe de donner suite aux recommandations découlant des EMR.
EDSC devrait créer une fonction de supervision centralisée pour l’examen des EMR à l’échelle du Ministère.
Réponse d’EDSC : EDSC est d’accord avec la recommandation et reconnaît qu’une mise à jour du Manuel des politiques et méthodes de sécurité s’impose. Le Ministère considère que les EMR s’inscrivent dans une approche globale de sécurité physique. Comme l’a reconnu l’équipe de vérification du Commissariat, les contrôles de sécurité physique relatifs au stockage des documents papier renfermant des renseignements des clients de la SV étaient adéquats.
EDSC mettra à jour le Manuel des politiques et méthodes de sécurité d’ici mars 2017 afin d’y indiquer à quelle fréquence les EMR doivent être menées, d’inscrire les responsabilités d’une fonction de supervision centralisée et de préciser à quelle entité il incombe de donner suite aux recommandations découlant des EMR.
Conclusion
- En vertu de la Loi sur la protection des renseignements personnels, les institutions fédérales doivent protéger le droit des Canadiens à la vie privée.
- EDSC a déjà mis en place de nombreux éléments d’un régime efficace de gestion de la protection de la vie privée. Le risque d’atteinte à la vie privée est considéré comme l’un des principaux risques ministériels et des mesures importantes ont été prises au sein du Ministère au cours des dernières années pour renforcer la protection des renseignements des clients. La mise en œuvre de certaines politiques, pratiques et procédures d’EDSC en matière de sécurité et de protection de la vie privée comporte toutefois des lacunes et des points faibles, entre autres :
- EDSC et SPC partagent des responsabilités en matière de TI concernant les renseignements des clients de la SV, mais il n’existe aucune entente définissant le rôle et les responsabilités de chacun en la matière ou renfermant des dispositions sur la sécurité ou la protection de la vie privée;
- Les systèmes des TI à l’appui du programme de la SV n’ont pas été certifiés ni accrédités comme il se doit;
- Les droits d’accès des employés au système en direct de la SV ne sont pas toujours retirés en temps opportun ou de façon uniforme et ils ne sont pas limités au minimum requis pour leur permettre de remplir leurs fonctions;
- Il y a des pistes de vérification concernant la consultation et l’utilisation des systèmes de la SV par les employés, mais elles ne sont pas examinées de façon proactive;
- EDSC n’a éliminé aucun dossier électronique à ce jour et il a un arriéré de dossiers papier à détruire;
- Certaines dispositions importantes concernant la sécurité et la protection de la vie privée sont absentes des ententes d’échange de renseignements conclues avec des partenaires;
- Il faut renforcer l’évaluation des risques d’atteinte à la sécurité physique.
- Les observations et les recommandations formulées dans le présent rapport visent à renforcer les contrôles de la sécurité et de la protection de la vie privée d’EDSC afin de réduire le risque de consultation, d’utilisation ou de communication non autorisées des renseignements des clients de la SV.
À propos de la vérification
Pouvoir
L’article 37 de la Loi sur la protection des renseignements personnels confère au commissaire à la protection de la vie privée le pouvoir d’examiner les pratiques des ministères et organismes fédéraux en matière de traitement des renseignements personnels.
Objectifs
La vérification visait à déterminer si EDSC avait mis en place des contrôles appropriés pour le programme de la SV — y compris des politiques, des pratiques et des procédures — pour s’acquitter des obligations lui incombant en vertu de la Loi sur la protection des renseignements personnels afin d’assurer une utilisation, une communication et une conservation appropriées des renseignements personnels.
Compte tenu du rôle de SPC qui consiste à fournir l’infrastructure des TI utilisée par EDSC pour le programme de la SV, nous avons aussi examiné les mesures de sécurité associées aux TI de SPC, y compris les politiques, les pratiques et les procédures du Ministère.
Critères
Les critères de la vérification ont été établis d’après la Loi sur la protection des renseignements personnels et les politiques, les directives et les normes du Secrétariat du Conseil du Trésor du Canada s’appliquant à la gestion des renseignements personnels.
Nous nous attendions à constater que :
- Le rôle et les responsabilités d’EDSC et de SPC en ce qui concerne la protection des renseignements du programme de la SV soient clairement définis;
- Du point de vue des TI, des mesures de sécurité appropriées sont en place pour protéger les renseignements, les systèmes et l’infrastructure du programme de la SV;
- Des contrôles de l’accès et de la surveillance appropriés sont en place pour les renseignements du programme de la SV;
- Les renseignements du programme de la SV sont éliminés lorsqu’ils ne sont plus nécessaires;
- Des ententes d’échange de renseignements renfermant des dispositions appropriées concernant la sécurité et la protection de la vie privée ont été conclues;
- Les mesures de sécurité physique qui touchent les renseignements du programme de la SV sont adéquates.
Portée et approche
La vérification portait principalement sur la protection des renseignements personnels recueillis, utilisés et communiqués par EDSC pour les besoins de l’administration du programme de la SV. Elle comprenait également un examen du rôle de SPC à l’égard de la protection de l’information du programme de la SV contenue dans son infrastructure des TI.
Dans le cadre de la vérification, nous avons examiné les pratiques et les procédures utilisées par EDSC pour gérer et protéger les renseignements personnels des clients de la SV. Les éléments probants ont été recueillis grâce à l’examen de documents, à des entrevues auprès de fonctionnaires, à des démonstrations des systèmes et à d’autres procédés de vérification. Les examens ont été réalisés à l’administration centrale d’EDSC et durant les visites dans certains centres de traitement régionaux, bureaux de Service Canada et centres d’appel situés dans les régions. Ces installations ont été choisies parce que la majorité des transactions associées au traitement de la SV et du Supplément de revenu garanti pour l’ensemble du Canada y sont effectuées.
La vérification a commencé le 18 février 2015 et elle était essentiellement achevée le 31 mars 2016.
Normes
La vérification a été effectuée conformément au mandat législatif, aux politiques et aux pratiques du Commissariat à la protection de la vie privée du Canada, et elle respecte l’esprit des normes d’audit recommandées par Comptables professionnels agréés du Canada.
Équipe de vérification
Directeur général : Steven Morgan
Tom Fitzpatrick
Marjorie Platero
Ivan Villafan
Matt Williams
Annexe A : Liste de recommandations
Recommandation | Réponse du Ministère |
---|---|
Le rôle et les responsabilités d’EDSC et de SPC en ce qui concerne la protection des renseignements des clients de la SV ne sont pas définis. | |
Conformément à la Loi sur la gestion des finances publiques et à la Ligne directrice sur les ententes de services — Éléments essentiels du SCT, EDSC devrait travailler avec SPC pour conclure une entente définissant clairement le rôle et les responsabilités en matière de sécurité des TI et renfermant des dispositions claires et pertinentes pour assurer la sécurité et la protection des renseignements personnels des clients de la SV. | EDSC reconnaît l’importance de conclure et de mettre à jour en continu des ententes officielles avec SPC concernant le rôle, les responsabilités et les attentes des deux parties en matière de protection des renseignements personnels. Comme l’a souligné le Commissariat, EDSC a déjà conclu une entente administrative écrite avec SPC et un comité interministériel a été établi pour gérer cette relation. EDSC convient qu’il doit continuer de mettre à profit sa relation d’affaires existante pour définir clairement le rôle et les responsabilités en matière de sécurité des TI et formuler des dispositions claires et pertinentes pour assurer la sécurité et la protection des renseignements personnels des clients de la SV. Le Ministère collaborera avec SPC pour donner suite à cette recommandation d’ici mars 2017. |
Les risques d’atteinte à la vie privée et à la sécurité des TI n’ont pas été entièrement évalués. | |
Comme l’exige la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du SCT, EDSC devrait certifier et accréditer son système en direct de la SV et le SERTI dans le cadre du processus d’évaluation de la sécurité et d’autorisation (ES et A). EDSC devrait travailler avec SPC pour s’assurer que l’infrastructure qui héberge le système en direct de la SV et le SERTI a aussi été certifiée et accréditée dans le cadre du processus d’ES et A, comme il se doit |
EDSC convient que le système en direct de la SV et le SERTI devraient être certifiés et accrédités en bonne et due forme dans le cadre du processus d’ES et A. Le Ministère communiquera de nouveau avec SPC d’ici septembre 2016 pour lui demander que l’infrastructure hébergeant ces systèmes soit aussi certifiée et accréditée. EDSC prévoit effectuer une ES et A complète pour le SERTI d’ici juillet 2016, pour l’inscription automatique à la SV (catégorie 2) d’ici novembre 2016 et pour l’ensemble de la solution du système en direct de la SV d’ici mars 2017. |
Il faut renforcer la gestion de l’identité et de l’accès, et la surveillance connexe. | |
EDSC devrait modifier et retirer certains droits d’accès au système en direct de la SV et au SERTI, conformément à sa procédure interne, et s’assurer que ces droits sont mis à jour de façon uniforme et en temps opportun. | Comme l’a signalé le Commissariat, le Ministère a établi une procédure pour s’assurer que les droits d’accès accordés aux employés sont pertinents. Cette procédure prévoit l’envoi de rappels aux employés ainsi qu’un examen trimestriel des accès. De plus, un programme de formation obligatoire fait prendre encore davantage conscience aux employés de la nécessité de protéger les renseignements personnels de façon appropriée. EDSC estime que ces contrôles lui permettent de gérer adéquatement l’accès des employés aux systèmes. |
Conformément à la Directive sur les pratiques relatives à la protection de la vie privée du SCT, EDSC devrait s’assurer que l’accès électronique des employés au système en direct de la SV se limite au minimum requis pour leur permettre de remplir leurs fonctions. | EDSC convient que l’accès électronique des employés devrait se limiter au minimum requis pour leur permettre de remplir leurs fonctions. Le Ministère établit les accès en fonction du profil des utilisateurs, qui correspond aux responsabilités de leur poste, et permet au programme de gérer à l’échelle nationale sa charge de travail liée au traitement. D’ici décembre 2016, le Ministère examinera également le profil d’utilisateur des employés afin de s’assurer qu’il concorde avec les exigences de leur poste. |
Toujours conformément à la Directive sur les pratiques relatives à la protection de la vie privée du SCT, EDSC devrait examiner les pistes de vérification des activités des utilisateurs des systèmes associés à la SV afin de détecter en temps opportun tout accès inapproprié ou non autorisé aux renseignements des clients de la SV. | EDSC élabore actuellement une approche pour tirer parti des pistes de vérification, évaluer les lacunes actuelles dans les données et définir le rôle et les responsabilités afin de détecter tout accès inapproprié ou non autorisé aux renseignements des clients. Le Ministère élaborera d’ici mars 2017 un plan visant à analyser et à surveiller activement les dossiers de vérification et les fichiers journaux existants de la SV. |
Les dossiers sont conservés plus longtemps que nécessaire. | |
Lorsque les nouveaux calendriers de conservation et d’élimination auront été mis en œuvre, EDSC devrait élaborer un plan en vue d’éliminer les dossiers à détruire. | EDSC est d’accord avec la recommandation. D’ici novembre 2016, il élaborera un plan en vue d’éliminer les dossiers de la SV conformément au nouveau calendrier de conservation et d’élimination. Comme le souligne le rapport de vérification, EDSC s’efforce déjà d’éliminer les dossiers papier des clients et procède actuellement à la mise à jour du calendrier de conservation et d’élimination des dossiers de la SV. Le nouveau calendrier prévoit l’élimination des dossiers électroniques |
Certaines dispositions importantes concernant la sécurité et la protection de la vie privée sont absentes des ententes d’échange de renseignements. | |
EDSC devrait élaborer un plan en vue de mettre à jour les EER fédérales et provinciales qui portent sur le programme de la SV en utilisant son nouveau gabarit afin de s’assurer que ces ententes renferment des dispositions adéquates pour assurer la sécurité et la protection de la vie privée. | EDSC est d’accord avec cette recommandation. Comme l’a souligné le Commissariat, le Ministère a déjà pris plusieurs mesures afin de corriger les lacunes sur le plan de la protection de la vie privée relevées dans les EER portant sur le programme de la SV. Depuis 2008, EDSC soumet les EER de la SV à des évaluations fondées sur le risque et élabore des plans de travail connexes fondés sur le risque qui visent en priorité la renégociation des EER existantes. EDSC continuera d’utiliser pour toutes les EER nouvelles ou révisées son gabarit qui, selon le Commissariat, renferme des dispositions adéquates pour assurer la sécurité et la protection de la vie privée tout en respectant les positions ainsi que les lois et règlements des autres instances. Le Ministère mettra la dernière main à son plan fondé sur le risque de 2016-2019 pour les EER d’ici octobre 2016. |
Il faut renforcer l’évaluation des risques d’atteinte à la sécurité physique. | |
EDSC devrait mettre à jour son Manuel des politiques et méthodes de sécurité afin d’y indiquer à quelle fréquence les EMR doivent être menées et à quelle entité il incombe de donner suite aux recommandations découlant des EMR. | EDSC est d’accord avec la recommandation et reconnaît qu’une mise à jour du Manuel des politiques et méthodes de sécurité s’impose. Le Ministère considère que les EMR s’inscrivent dans une approche globale de sécurité physique. Comme l’a reconnu l’équipe de vérification du Commissariat, les contrôles de sécurité physique relatifs au stockage des documents papier renfermant des renseignements des clients de la SV étaient adéquats. |
EDSC devrait créer une fonction de supervision centralisée pour l’examen des EMR à l’échelle du Ministère. | EDSC mettra à jour le Manuel des politiques et méthodes de sécurité d’ici mars 2017 afin d’y indiquer à quelle fréquence les EMR doivent être menées, d’inscrire les responsabilités d’une fonction de supervision centralisée et de préciser à quelle entité il incombe de donner suite aux recommandations découlant des EMR. |
Annexe B : Définitions
- Énoncé de sensibilité (ES) :
- Document habituellement préparé dans le cadre d’une évaluation des menaces et des risques. L’ES précise les biens pertinents et leur attribue une valeur pour la confidentialité, l’intégrité et la disponibilité en fonction des préjudices qui pourraient raisonnablement être prévus si ces biens étaient compromis.
- Évaluation de la sécurité et autorisation (ES et A) :
- Processus en deux étapes qui assure la sécurité des systèmes d’information. La première étape, c’est-à-dire l’évaluation de la sécurité, consiste à évaluer, à mettre à l’essai et à examiner les contrôles de sécurité d’un système d’information afin de relever les points faibles et de mettre en place les mesures d’atténuation voulues pour les corriger. La deuxième étape, soit l’autorisation, consiste à accepter les risques résiduels après la mise en œuvre des mesures d’atténuation et à approuver l’exploitation d’un système donné pour une période déterminée. L’ES et A était anciennement appelée « certification et accréditation (C et A) ».
- Évaluation des facteurs relatifs à la vie privée (EFVP) :
- Composante de la gestion du risque qui vise à assurer la conformité aux exigences prévues par la Loi sur la protection des renseignements personnels et à évaluer les conséquences sur la protection de la vie privée d’une activité ou d’un programme nouveau ou ayant subi des modifications importantes qui ferait appel à la collecte, à l’utilisation ou à la communication de renseignements personnels.
- Évaluation des menaces et des risques (EMR) :
- Outil servant à évaluer et à comprendre les diverses menaces auxquelles sont exposés les systèmes des TI, les installations, les employés et d’autres biens à un moment précis. L’EMR aide à déterminer le niveau de risque et à recommander une mesure d’atténuation appropriée pour réduire les risques cernés. Elle est réalisée dans le cadre du processus d’évaluation de la sécurité et d’autorisation.
- Gestion de l’identité et de l’accès (GIA) :
- Processus utilisés pour contrôler « qui a accès à quoi » dans les systèmes d’information électroniques. Les processus de GIA servent à créer, à enregistrer et à gérer l’identité des utilisateurs et les autorisations connexes d’accès aux renseignements électroniques.
- Infrastructure de technologie de l’information (TI) :
- Dans le cadre de la présente vérification, ordinateur central IBM sur lequel le système en direct de la SV est exploité, et serveurs Windows et Unix qui hébergent le SERTI. Ces éléments de l’infrastructure des TI sont gérés par Services partagés Canada.
- Sécurité des technologies de l’information (STI) :
- Mesures de sécurité techniques, physiques et administratives utilisées par les organisations pour protéger l’information électronique qu’elles détiennent.
- Stratégie d’amélioration des services de la Sécurité de la vieillesse (SAS de la SV) :
- Projet s’inscrivant dans les efforts continus que déploie EDSC pour améliorer la prestation des services offerts dans le cadre du programme de la SV tout en réduisant les coûts de fonctionnement. Ce projet vise à transformer les processus opérationnels existants, dont bon nombre reposent sur le traitement manuel des dossiers et le recours aux documents papier, afin de les simplifier et de les automatiser. Le projet vise également à remplacer le système en direct de la SV par le SERTI d’ici 2019.
- Système d’exécution du renouvellement de la technologie de l’information (SERTI) :
- Système dont se sert EDSC pour consigner les données des clients pour le programme de la SV. EDSC prévoit de remplacer d’ici 2019 le système en direct de la SV par le SERTI, qui deviendra alors le principal système utilisé pour consigner les données des clients.
- Système en direct de la SV (SV):
- Principal système utilisé à l’heure actuelle pour consigner les données des clients pour le programme de la SV. EDSC remplace actuellement le système en direct de la SV par le SERTI.
- Date de modification :