Pratiques relatives au retrait des renseignements personnels de certaines institutions fédérales
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Article 37 de la Loi sur la protection des renseignements personnels
RAPPORT FINAL
2010
Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3
613‑947-1698, 1-800-282-1376
Télécopieur : 613‑947-6850
ATS : 613‑992-9190
Suivez-nous sur Twitter : @privacyprivee
© Ministre des Travaux publics et Services gouvernementaux Canada 2010
No de catalogue IP54-34/2010
ISBN 978-1-100-52314-9
Cette publication se trouve également sur notre site Web au www.priv.gc.ca
Points principaux
Éléments examinés
Le gouvernement du Canada recueille des renseignements personnels afin d’appuyer les politiques publiques et d’assurer l’exécution de programmes et la prestation de services. Les renseignements contenus dans des dossiers sans intérêt archivistique ou historique sont éliminés lorsqu’ils atteignent la fin de leur période de conservation prévue, ou que des données sont conservées sur des ordinateurs obsolètes. Notre vérification a porté sur la façon dont certaines institutions fédérales gèrent la destruction de renseignements personnels.
Bibliothèque et Archives Canada offre des services d’entreposage de dossiers et autres services connexes à plus de 90 institutions fédérales. Ces services peuvent comprendre la destruction de dossiers sans intérêt archivistique ou historique à la fin de leur période de conservation. Bibliothèque et Archives Canada détruit les dossiers en question après avoir obtenu l’accord de l’institution cliente. Nous avons examiné le programme de destruction de papier de rebut à l’extérieur du Ministère et les ententes contractuelles avec les entreprises de déchiquetage privées. Nous avons également étudié les politiques, les évaluations de la menace et du risque, les documents des contrats et les dossiers associés.
En outre, la vérification a porté sur la distribution du surplus d’ordinateurs qui ont été donnés dans le cadre du Programme des ordinateurs pour les écoles du gouvernement du Canada, ainsi que des ordinateurs vendus aux enchères publiques par la Distribution des biens de la Couronne qui relève de Travaux publics et Services gouvernementaux Canada. Nous avons examiné les dossiers de programme, observé les processus et les pratiques mis en place dans les installations du Programme des ordinateurs pour les écoles et vérifié des ordinateurs en surplus provenant d’institutions fédérales.
Importance de l'examen
Les mandats législatifs des ministères et organismes fédéraux permettent la collecte de renseignements personnels de nature délicate. Que ce soit pour présenter une demande de prestations du Régime de pensions du Canada ou de la Sécurité de la vieillesse, remplir des formulaires de recensement ou produire une déclaration de revenus, les personnes, en général, n’ont pas la possibilité de refuser la collecte et l’utilisation de leurs renseignements personnels par le gouvernement fédéral.
La mise en place de contrôles assurant le retrait sécuritaire des renseignements personnels est un élément essentiel de la gestion de dossiers. La communication non autorisée de renseignements personnels pourrait avoir des conséquences graves pour les personnes concernées, notamment des pertes financières découlant d’un vol d’identité ou d’une fraude, l’humiliation, l’atteinte à la réputation ou une atteinte à la sécurité personnelle.
Conformément à la Loi sur la protection des renseignements personnels, les ministères et organismes fédéraux sont tenus de protéger les renseignements en attente de retrait avec le même soin que les renseignements utilisés dans l’exécution de programmes et la prestation de services. Il est primordial que le gouvernement assure la protection de ces renseignements s’il veut maintenir la confiance du public envers sa capacité de préserver la confidentialité de l’information qui lui est confiée.
Constatations
Nous avons constaté que Bibliothèque et Archives Canada possède un ensemble adéquat de politiques et de procédures sur le retrait des dossiers du gouvernement fédéral qui respectent les exigences de la Loi sur la protection des renseignements personnels et de la Loi sur la Bibliothèque et les Archives du Canada, ainsi que celles des politiques, des directives et des normes du Conseil du Trésor.
Bibliothèque et Archives Canada a pris des mesures pour assurer la protection des renseignements personnels en attente d’un retrait. La méthode de traitement des documents envoyés ailleurs pour être détruits est similaire dans toutes les régions visitées, ce qui donne lieu à un processus de préparation et de transport de dossiers est uniforme.
Toutefois, nous avons remarqué que Bibliothèque et Archives Canada n’effectue pas systématiquement le suivi des pratiques de destruction des entreprises de déchiquetage hors site. L’examen des documents a révélé que deux des quatre entreprises de déchiquetage n’ont pas respecté leurs obligations contractuelles. Plus précisément, les travailleurs contractuels s’occupant de la destruction des dossiers ne possédaient pas la cote de sécurité requise, la taille des rebuts de déchiquetage ne respectait pas les exigences du contrat et les documents n’avaient pas été éliminés dans les délais prévus.
Selon les politiques du Conseil du Trésor, les ministères et organismes fédéraux doivent s’assurer que l’aliénation des biens excédentaires se fait d’une manière qui empêche la communication de renseignements de nature délicate. Le matériel informatique du gouvernement fédéral qui est en bon état et considéré comme étant excédentaire est donné au Programme des ordinateurs pour les écoles ou écoulé par la Distribution des biens de la Couronne de Travaux publics et Services gouvernementaux Canada.
Le Programme des ordinateurs pour les écoles est exécuté par des organismes sans but lucratif ayant conclu une entente avec Industrie Canada. Le Programme recueille et remet à neuf les ordinateurs excédentaires provenant de dons publics et d’autres sources, et les distribuent à des écoles, à des bibliothèques et à des organismes d’enseignement sans but lucratif. Industrie Canada est responsable de la gestion du matériel que le gouvernement fédéral donne au Programme.
Conformément aux politiques du Conseil du Trésor, les ministères et organismes gouvernementaux ont la responsabilité de supprimer les renseignements avant de donner les ordinateurs excédentaires au Programme des ordinateurs pour les écoles. En 1994‑1995, le commissaire à la protection de la vie privée a rapporté que des institutions fédérales ne satisfaisaient pas à cette exigence. Les lacunes relevées il y a 15 ans persistent encore aujourd’hui. Nous avons constaté que de nombreux ordinateurs contenaient des renseignements personnels (noms, adresses, dates de naissance, numéros d’assurance sociale, etc.), des renseignements classifiés ou des documents protégés par le secret professionnel des avocats. Les renseignements que contenaient certains disques durs étaient d’une nature tellement délicate que nous avons immédiatement pris des mesures pour les retourner au ministère d’origine.
D’autre part, bien que des politiques et des procédures adéquates relativement au Programme des ordinateurs pour les écoles soient en place, nous avons constaté qu’Industrie Canada n’a établi aucun protocole pour l’analyse et le traitement des lacunes en matière de sécurité qui lui sont signalées par les ateliers et les entrepôts du Programme des ordinateurs pour les écoles grâce aux questionnaires annuels sur la sécurité.
La Distribution des biens de la Couronne de Travaux publics et Services gouvernementaux Canada assure l’aliénation d’un faible nombre d’ordinateurs excédentaires du gouvernement fédéral, comparativement au nombre d’ordinateurs envoyés au Programme des ordinateurs pour les écoles. Un grand nombre des ordinateurs vendus par la Distribution des biens de la Couronne n’ont pas de disque dur, ce qui atténue le risque d’une atteinte à la protection des renseignements personnels. De plus, les institutions se défaisant de leur matériel doivent certifier par écrit que tous les biens excédentaires ne contiennent plus de renseignements désignés ou classifiés. La Distribution des biens de la Couronne n’effectuera pas la cession d’un bien sans cette certification. Pris dans leur ensemble, les facteurs ci‑dessus atténuent le risque d’une communication de données découlant de la vente d’un ordinateur excédentaire.
Bibliothèque et Archives Canada et Industrie Canada ont formulé leurs réponses. Celles‑ci suivent les recommandations présentées dans le présent rapport.
Introduction
1. Le retrait de dossiers gérés par les institutions fédérales est régi par la Loi sur la Bibliothèque et les Archives du Canada. La Loi confère au bibliothécaire et archiviste du Canada la responsabilité de surveiller l’élimination de renseignements et de préserver les dossiers gouvernementaux ayant un intérêt archivistique ou historique.
2. Le bibliothécaire et archiviste du Canada émet des autorisations de disposition de documents (ADD) qui permettent aux institutions fédérales de réaliser leur plan d’élimination. L’ADD n’oblige pas les institutions à détruire les dossiers; elle donne le feu vert à l’élimination de documents qui ne seront pas conservés à des fins historiques ou archivistiques. Les principes ci‑dessous guident la décision d’éliminer des dossiers sans intérêt archivistique ou historique :
- les renseignements ne sont plus nécessaires aux fins auxquelles ils ont été obtenus ou compilés;
- la conservation des renseignements pendant plus longtemps que prévu pourrait nuire injustement aux intérêts de la personne à laquelle ils se rapportent.
3. Les institutions fédérales sont tenues d’éliminer leurs dossiers d’une manière sûre. Bibliothèque et Archives Canada (BAC) offre des services d’entreposage de documents et des services connexes à environ 90 entités fédérales. Une fois que le bibliothécaire et archiviste du Canada a obtenu le consentement pour le retrait des dossiers, il revient à l’administrateur général de l’institution fédérale de décider du moment et de la façon d’éliminer les dossiers sans intérêt archivistique ou historique. Un des services offerts aux clients par les Centres de services régionaux (CSR) de BAC est l’élimination de dossiers. Dans certains cas, il s’agit de dossiers entreposés dans un CSR dont la période de conservation est échue; dans d’autres, il s’agit de dossiers transférés à un CSR par l’institution d’origine à des fins d’élimination seulement. Lorsque BAC joue un tel rôle, il assume la responsabilité du retrait des dossiers en toute sécurité. Si BAC n’obtient pas le consentement écrit pour effectuer le retrait, les dossiers sont retournés au ministère ou à l’organisme d’origine pour qu’ils soient éliminés. À partir de ce moment, c’est le ministère ou l’organisme qui a la responsabilité de mettre en œuvre un mécanisme de retrait sécuritaire.
4. Le gouvernement fédéral achète chaque année un très grand nombre d’ordinateurs afin de remplacer le matériel obsolète, ce qui génère un volume important d’ordinateurs excédentaires devant être aliénés. Les ordinateurs pouvant être remis à neuf sont aliénés sous forme de don au Programme des ordinateurs pour les écoles (OPE), qui est exécuté par des organismes sans but lucratif ayant conclu des ententes de contribution et de licence avec Industrie Canada. Industrie Canada est responsable de l’élaboration et de la communication de normes nationales pour le Programme OPE, dont des politiques ayant trait aux processus de sécurité et de nettoyage des ordinateurs. Les ordinateurs excédentaires peuvent également être transférés à la Distribution des biens de la Couronne de Travaux publics et Services gouvernementaux Canada (TPSGC) pour qu’ils soient vendus aux enchères publiques. Peu importe la méthode d’aliénation utilisée, le ministère ou l’organisme d’origine est tenu de vider (effacer) la mémoire du matériel ou des ordinateurs excédentaires avant leur aliénation.
5. Travaux publics et Services gouvernementaux Canada peut également avoir un rôle à jouer dans le retrait des dossiers papier. Le Ministère offre des services de soutien aux institutions fédérales, dont la conclusion d’ententes (d’approvisionnement) avec des entreprises d’élimination (déchiquetage) de dossiers. Le Programme de la sécurité industrielle de TPSGC a été établi afin de protéger les biens désignés et classifiés du gouvernement, ce qui comprend les renseignements. En ce qui concerne le retrait de dossiers, le Programme remplit cette fonction en s’assurant que les entreprises chargées de l’élimination de documents possèdent la cote de sécurité requise et respectent les dispositions contractuelles en matière de sécurité.
Problème persistants liés au retrait inadéquat des renseignements personnels
6. L’absence de contrôles liés au processus de retrait a entraîné une des plus graves atteintes à la protection des renseignements personnels ayant fait l’objet d’une enquête par le Commissariat à la protection de la vie privée (CPVP). En juillet 1998, plusieurs tonnes de renseignements confidentiels et classifiés concernant des milliers de Canadiennes et de Canadiens — qui ont été recueillis par le gouvernement fédéral — ont été retrouvés dans l’entrepôt d’une entreprise, regroupés en balles et prêts à être envoyés à l’étranger. L’entreprise avait été embauchée pour déchiqueter et recycler les dossiers, mais elle comptait plutôt vendre les documents intacts au plus offrant parce que les feuilles de papier rapportaient un plus grand bénéfice que la vente de papier déchiqueté sur le marché du recyclage.
7. Ces documents comprenaient des déclarations de revenus de personnes, des dossiers d’immigration, des documents relatifs aux libérations conditionnelles et des dossiers sur le régime de retraite d’employés. Les Archives nationales du Canada avaient envoyé une partie des documents à l’entreprise de déchiquetage à des fins de retrait en vertu d’un contrat conclu par TPSGC.
8. Des preuves attestent clairement que les Archives nationales du Canada et TPSGC étaient au courant des difficultés financières et techniques ainsi que des problèmes liés à la sécurité de l’entreprise lorsqu’ils lui ont accordé une cote de sécurité permettant à cette dernière de transporter et de déchiqueter des dossiers fédéraux. À l’époque, le CPVP avait formulé un certain nombre de recommandations, notamment :
- que les Archives nationales du Canada aient recours à des services de déchiquetage hors site à condition que l’entreprise puisse garantir que des mesures de sécurité adéquates sont prises et que le déchiquetage s’effectue sous surveillance constante;
- que TPSGC examine ses processus d’attribution de cotes de sécurité pour les contrats nécessitant le traitement de renseignements personnels, et s’assure que les contrats comprennent des dispositions appropriées sur la confidentialité.
9. Par le passé, les ministères et organismes fédéraux ne vidaient pas systématiquement les ordinateurs excédentaires. Le Programme OPE — créé en 1993 et géré par Industrie Canada — recueille, répare et remet à neuf les ordinateurs excédentaires qui lui sont donnés par le gouvernement fédéral et le secteur privé et les distribue à des écoles, à des bibliothèques municipales et à des organismes d’enseignement sans but lucratif partout au pays. Jusqu’à ce jour, le Programme OPE a remis à neuf et distribué plus d’un million d’ordinateurs.
10. Dans son rapport annuel de 1994‑1995, le commissaire à la protection de la vie privée a indiqué qu’environ 95 % de tous les ordinateurs donnés au Programme OPE par les institutions fédérales contenaient des données et des programmes, et ce, malgré les politiques du Conseil du Trésor selon lesquelles les ordinateurs doivent être vidés avant d’en faire don. Bien que le commissaire ait constaté des progrès à cet égard l’année suivante (de 35 à 45 % des ordinateurs avaient été vidés), il a souligné qu’il était possible de faire mieux.
Objet de la vérification
11. La vérification avait pour objet de déterminer si BAC, le Programme OPE d’Industrie Canada et TPSGC avaient mis en œuvre des politiques, des procédures, des processus et des contrôles adéquats garantissant un retrait sécuritaire des renseignements personnels. Une méthode de retrait sécuritaire fournit l’assurance que les renseignements ne peuvent pas être récupérés ou reconstitués.
12. Ces entités ont un rôle à jouer dans l’élimination de renseignements ou l’aliénation de biens excédentaires au nom d’autres ministères et organismes fédéraux. La vérification a porté sur leurs rôles respectifs à cet égard.
13. La vérification n’a pas porté sur l’examen des pratiques en matière de retrait des renseignements personnels des ministères et organismes fédéraux qui dépendent des trois entités vérifiées pour l’élimination de leurs renseignements et l’aliénation de leurs biens excédentaires. De plus, bien que nous ayons visité des entreprises de déchiquetage du secteur privé et des installations du Programme OPE, la vérification ne visait pas à examiner leurs activités en détail. Des renseignements sur la portée, les critères et l’approche de la vérification se trouvent dans la partie Au sujet de la vérification de ce rapport.
Observations et recommandations
Élimination hors site de dossiers au nom de Bibliothèque et Archives Canada
14. Selon le paragraphe 6(3) de la Loi sur la protection des renseignements personnels, les institutions fédérales doivent procéder au retrait des renseignements personnels conformément aux règlements, aux directives ou aux lignes directrices du Conseil du Trésor. La sécurité des renseignements personnels est essentielle au respect des exigences en matière de protection prévues par la Loi. Des mesures et des contrôles appropriés doivent être mis en place afin d’empêcher que les renseignements personnels soient compromis pendant leur cycle de vie, à savoir du moment de leur collecte à celui de leur élimination par des moyens approuvés.
15. La Politique sur la sécurité du gouvernement et ses normes connexes établissent des mesures de sécurité de base (minimales) afin de protéger et de préserver la confidentialité et l’intégrité des biens du gouvernement, dont les renseignements personnels. Les institutions fédérales doivent effectuer leurs propres évaluations pour déterminer si des mesures plus serrées sont nécessaires.
La gestion des dispositions sur la sécurité des contrats de déchiquetage hors site est généralement conforme aux politiques du Conseil du Trésor
16. Conformément aux politiques du Conseil du Trésor, un entrepreneur doit posséder la cote de sécurité appropriée avant d’entreprendre les travaux. La Norme de sécurité et de gestion des marchés prévoit une exception à cette règle : l’étape visant à vérifier que l’entrepreneur répond aux exigences avant de lui accorder l’accès à des renseignements désignés peut être remplacée par une clause contractuelle si cette dernière est appuyée par une évaluation de la menace et des risques. La clause portant sur les délais doit stipuler que toutes les exigences de sécurité doivent être respectées dans les six mois suivant l’adjudication du marché.
17. Nous avons examiné les dossiers de contrat de quatre entités du secteur privé qui offrent des services d’élimination de documents hors site à Bibliothèque et Archives Canada (BAC). Nous nous attendions à ce que leurs installations et leur personnel aient reçu la cote de sécurité requise avant le début des travaux prévus. Nous nous attendions également à ce que les dossiers comprennent les principaux documents relatifs aux enquêtes sur la sécurité.
18. Les entreprises ayant conclu un marché avec le gouvernement doivent signer un accord sur la sécurité avec Travaux publics et Services gouvernementaux Canada (TPSGC). Aux termes de l’accord, le responsable principal de la sécurité (RPS) de l’entreprise est chargé de la protection des renseignements du gouvernement. Le RPS doit également signer un certificat d’enquête de sécurité et profil de sécurité, indiquant ainsi qu’il reconnaît toutes les exigences associées à l’enquête de sécurité et accepte de les respecter. Une liste de vérification des exigences relatives à la sécurité doit être remplie pour tous les marchés pour lesquels TPSGC est l’autorité contractante. La liste de vérification permet d’établir les modalités qui figureront dans le marché afin de s’assurer de la mise en place d’un nombre suffisant de contrôles appropriés pour protéger les biens du gouvernement.
19. Tous les dossiers de contrat examinés comprenaient un certificat d’enquête de sécurité et profil de sécurité, ainsi qu’une liste de vérification des exigences relatives à la sécurité. Trois des quatre dossiers contenaient un accord sur la sécurité.
20. Nous avons constaté qu’un des marchés de déchiquetage hors site avait été accordé environ six mois avant que l’entrepreneur ait reçu la cote de sécurité requise. L’entente, conclue par TPSGC et par l’entreprise de déchiquetage en 2001, établissait un programme d’élimination de documents hors site pour certains ministères et organismes fédéraux, dont BAC. Une clause relative aux délais telle que requise par la Norme de sécurité et de gestion des marchés du Conseil du Trésor ne figurait pas dans l’entente, et le délai n’était pas appuyé par une évaluation de la menace et des risques. Étant donné que l’agent de négociation des marchés concerné ne travaillait plus pour TPSGC au moment de la vérification, nous n’avons pas pu examiner les circonstances ayant entraîné la décision de permettre à l’entreprise de déchiquetage de commencer le travail avant l’attribution d’une cote de sécurité. Le contrat a été prolongé en 2007, puis de nouveau en 2009. Pour ces deux prolongations, les cotes de sécurité pour les installations et le personnel avaient été obtenues.
Des contrôles adéquats permettent de protéger les renseignements personnels en attente de retrait
21. La Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor énonce les processus et les contrôles visant à assurer la gestion de biens protégés et classifiés en attente d’élimination. Elle définit les caractéristiques d’une installation d’entreposage appropriée permettant d’empêcher l’accès non autorisé à ces biens, ainsi que le vol ou la perte de ceux-ci, et contient des mesures visant à protéger les dossiers du moment où ils sont transportés à l’extérieur de l’organisation jusqu’à l’étape de l’élimination. Nous nous attendions à ce que BAC ait établi des protocoles pour satisfaire aux exigences prévues par la Norme.
22. Nous avons examiné les politiques et les procédures pertinentes et parlé aux employés de cinq Centres de services régionaux de BAC. Nous avons visité les installations dans deux régions afin d’observer la préparation et le transport de dossiers de BAC vers les entreprises de déchiquetage hors site. Les entreprises visitées nous ont fourni des renseignements sur leurs processus de retrait et les mesures visant à protéger les dossiers en attente d’élimination.
23. Nous avons constaté que BAC a mis en œuvre un ensemble adéquat de politiques et de procédures administratives ayant trait au retrait des dossiers. La méthode de traitement des documents destinés à être éliminés hors site est similaire dans toutes les régions visitées, ce qui signifie que le processus de protection de dossiers en transit est uniforme.
24. Les documents sont placés dans des boîtes, puis mis à l’écart et entreposés dans un endroit sûr dont l’accès est limité. Une fois qu’une quantité suffisante de dossiers a été accumulée, on communique avec l’entreprise de déchiquetage pour qu’elle vienne en faire la collecte. Des employés de BAC sont chargés de surveiller le processus de collecte du début jusqu’à la fin; ils doivent notamment s’assurer que le cadenas de la porte du véhicule est verrouillé et que l’indicateur d’effraction a été posé une fois que le chargement est terminé. Une feuille de route sur laquelle figure le numéro de l’indicateur est alors remplie. Tous les contrats stipulent que les dossiers doivent être transportés aux installations de l’entrepreneur aussitôt que possible.
25. Dès que le véhicule arrive aux installations de déchiquetage, on appose un timbre sur la feuille de route. Une copie de celle-ci, à laquelle est joint l’indicateur d’effraction, est retournée à BAC pour confirmer la réception des documents. Les dossiers sont ensuite placés dans un endroit désigné pour le traitement. Toutes les entreprises de déchiquetage que nous avons visitées avaient une salle sécurisée pour l’entreposage et le déchiquetage des dossiers de BAC.
26. En nous fondant sur notre examen des contrats de déchiquetage hors site ainsi que des politiques et des procédures établies, nous pouvons conclure que les contrôles en place sont adéquats et permettent d’assurer la protection des renseignements personnels destinés à être éliminés.
Il n'y a pas de critères de déchiquetage uniformes pour les renseignements protégés
27. La Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor fournit des exigences de base (minimales) relatives à la sécurité matérielle afin de s’assurer que les documents protégés et classifiés sont éliminés de manière sûre. Les exigences visent à rendre impossible la reconstitution de renseignements figurant sur du papier déchiqueté.
28. Aux fins de la présente vérification, nous avons principalement examiné l’élimination hors site de renseignements cotés « Protégé A » ou « Protégé B ». Les dossiers cotés « Protégé B » contiennent des renseignements de nature particulièrement délicate dont la communication non autorisée pourrait vraisemblablement causer un préjudice sérieux à une personne, à une organisation ou à un gouvernement.
29. BAC gère également l’élimination de renseignements classifiés dont la communication non autorisée pourrait causer un préjudice à l’intérêt national. Toutefois, ces dossiers sont éliminés à l’interne dans un environnement sous haute surveillance.
30. Conformément aux politiques du Conseil du Trésor, la norme minimale pour le déchiquetage de documents cotés « Protégé A » ou « Protégé B » exige que le papier soit coupé en bandes d’une largeur d’au plus 10 mm (⅜ po). Nous nous attendions à ce que les critères de tous les marchés soient uniformes et respectent ou dépassent les exigences de la norme minimale.
31. Nous avons constaté que les exigences des contrats variaient. Deux des contrats exigeaient que les documents protégés soient coupés en bandes ayant une largeur d’au plus 6,36 mm (¼ po). Cette exigence concorde avec la norme sur la sécurité de BAC, selon laquelle :
Les dossiers papier doivent être éliminés dans un environnement sécurisé et en temps opportun par désintégration ou par déchiquetage, la largeur des bandes ainsi coupées ne devant pas dépasser ¼ po. [traduction]
32. Dans un des deux autres contrats, les documents devaient être coupés en bandes d’une largeur d’au plus ⅜ po, ce qui correspond à la largeur maximale permise par les politiques du Conseil du Trésor. L’autre contrat stipulait que les documents devaient être « coupés en travers », c’est-à-dire déchiquetés en bandes d’une largeur maximale de ⅜ po, puis déchiquetés une deuxième fois en bandes d’une largeur de ⅝ po. Une seule entreprise offre des services de destruction de dossiers à BAC dans deux régions. Les critères de déchiquetage varient d’un contrat à l’autre.
33. Bien que les politiques du Conseil du Trésor énoncent des critères de base (minimaux) pour le déchiquetage de documents, les ministères et les organismes fédéraux peuvent mettre en œuvre des mesures de sécurité supérieures aux normes de base. BAC a conclu que des critères de déchiquetage supérieurs à la norme minimale étaient nécessaires pour que les documents de nature délicate ne puissent pas être reconstitués. Par conséquent, il a établi une exigence plus stricte, soit le déchiquetage en bandes de ¼ po, dans sa norme sur la sécurité. Cette exigence n’est pas toujours respectée.
34. Recommendation:BAC devrait s’assurer que les modalités des contrats d’élimination de documents hors site respectent sa propre norme sur la sécurité.
Réponse de Bibliothèque et Archives Canada : En consultation avec Travaux publics et Services gouvernementaux Canada et les Services de sécurité ministériels de BAC, les agents de négociation des marchés de BAC feront en sorte que tous les contrats accordés pour des services de déchiquetage hors site comprendront des critères de déchiquetage uniformes qui atteignent ou dépassent les normes minimales en matière de sécurité de l’organisation.
La destruction des dossiers ne fait pas systématiquement l'objet d'un suivi
35. La Norme de sécurité et de gestion des marchés du Conseil du Trésor stipule que les politiques et les procédures organisationnelles devraient indiquer les conditions des inspections prévues et imprévues des lieux de travail des entrepreneurs et les mesures de protection des déchets de nature délicate jusqu’à leur destruction par une méthode approuvée. Afin de satisfaire aux exigences du Conseil du Trésor et d’atténuer les risques d’une nouvelle atteinte à la protection des données (voir les paragraphes 6 et 7 du présent rapport), l’archiviste national, dans une lettre adressée au commissaire à la protection de la vie privée en 2002, a fourni l’assurance que BAC comptait mettre en œuvre un protocole de vérification rigoureux et détaillé pour les contrats de destruction de dossiers hors site.
36. Nous nous attendions à ce que BAC ait mis en œuvre un régime de suivi efficace, accompagné de documents à l’appui qui démontrent que BAC surveille systématiquement les activités des entreprises de déchiquetage hors site grâce à des inspections périodiques et à des vérifications annuelles. BAC a affirmé qu’il effectue des inspections annuellement, mais il était incapable de fournir des preuves à l’appui. Les dossiers que BAC nous a fournis ainsi que notre examen des rapports d’inspection rédigés par TPSGC soulignent l’importance d’effectuer systématiquement un suivi de la conformité.
Une entreprise de déchiquetage est suspendue du Programme de la sécurité industrielle
Le Programme de la sécurité industrielle de TPSGC fournit une cote de sécurité aux lieux de travail ou aux employés d’entrepreneurs qui doivent avoir accès à des renseignements protégés, des biens ou des lieux de travail dont l’accès est restreint, ainsi qu’une cote relative à la capacité de protéger des documents désignés. Un entrepreneur doit remplir les critères de sécurité prescrits avant que la cote de sécurité ne puisse lui être accordée.
TPSGC effectue des inspections de suivi (renouvellement) à tous les deux ans afin de s’assurer que les entrepreneurs continuent à respecter les exigences en matière de sécurité. Une habilitation de sécurité d’un lieu de travail — et l’autorisation de traiter des renseignements protégés — peut être suspendue si l’entrepreneur ne corrige pas les lacunes relevées pendant l’inspection.
Un agent de sécurité industrielle de TPSGC a effectué une inspection de renouvellement auprès d’une entreprise de déchiquetage en septembre 2009. L’agent a observé un certain nombre de lacunes entraînant la non‑conformité de l’entreprise par rapport à ses obligations contractuelles. En particulier, les employés n’avaient pas fait l’objet d’une enquête sur la sécurité appropriée et la largeur moyenne des rebuts du déchiquetage était plus élevée que les critères précisés dans le contrat dans une proportion de 50 %. Le contenu des dossiers nous laisse croire que l’entreprise ne respectait pas ses obligations depuis bon nombre d’années.
On a accordé à l’entité un délai de 90 jours pour corriger les lacunes. Étant donné qu’on n’a pas obtenu de réponse de l’entreprise, celle-ci a été suspendue du Programme de la sécurité industrielle. La suspension a été annulée une fois que TPSGC s’est assuré que des mesures correctives avaient été prises pour satisfaire à toutes les exigences en matière de sécurité.
Une entreprise contrevient aux principales exigences du contrat
En 2002, BAC a effectué une inspection imprévue d’une entreprise de déchiquetage, ainsi qu’une inspection de suivi deux ans plus tard. Initialement, les inspecteurs de BAC se sont vus refuser l’accès aux installations, en contravention aux exigences du contrat. Lorsqu’on leur a fourni l’accès aux installations, les inspecteurs ont trouvé des palettes remplies de matériel qui avait été envoyé à l’entrepreneur à des fins de destruction 12 journées auparavant. L’entrepreneur aurait dû détruire ces dossiers dans les 72 heures suivant leur réception, conformément aux exigences du contrat.
37. En résumé, deux des quatre entreprises fournissant des services de destruction hors site à BAC avaient contrevenu à leurs obligations contractuelles. Il s’agit d’un fait important étant donné que les raisons du non-respect des exigences se rapportaient aux principaux éléments qui caractérisent un processus d’élimination hors site sécurisé, à savoir :
- des personnes ayant accès à des renseignements de nature délicate possèdent la cote de sécurité appropriée;
- les renseignements sont détruits d’une façon qui en rend la reconstitution impossible;
- les dossiers sont éliminés en temps opportun afin d’atténuer le risque d’un accès non autorisé.
38. Faute de preuve du contraire, il semblerait que BAC n’a jamais établi clairement à qui revenait la responsabilité du respect de l’engagement pris par l’archiviste national en 2002, en ce qui a trait au suivi des contrats de destruction de dossiers hors site, et cette responsabilité n’a jamais été communiquée au personnel approprié.
39. La responsabilité d’effectuer et de consigner des inspections et des vérifications imprévues doit être bien comprise. Sans des responsabilités claires et une mise en œuvre adéquate, les entreprises de déchiquetage peuvent contourner les exigences contractuelles.
40. De plus, évaluer la conformité aux exigences contractuelles présuppose l’existence d’une infrastructure administrative qui surveille l’ensemble du processus de destruction. Sauf exception, les entreprises de déchiquetage ne sont pas tenues de fournir une déclaration signée à BAC, qui indique la date de destruction des fichiers. Une telle déclaration est également connue comme un certificat de destruction. L’obtention de ce certificat ainsi que les activités de surveillance systématiques permettraient à BAC de prouver qu’il a fait preuve de diligence requise en s’assurant que les entreprises de déchiquetage respectent leurs obligations contractuelles.
41. Recommandation: BAC devrait mettre en œuvre un processus de surveillance des activités des entreprises chargées de la destruction de dossiers hors site afin de fournir la certitude que les exigences en matière de protection de la vie privée et de sécurité sont respectées de façon uniforme; BAC devrait également s’assurer que les contrats de déchiquetage hors site comprennent une clause exigeant que le fournisseur de services émette un certificat de destruction, indiquant la date à laquelle on a détruit les fichiers et le nom de l’employé de l’entrepreneur autorisé qui a effectué la destruction ou qui a en été témoin.
Réponse de Bibliothèque et Archives Canada :: Il y aura des clauses types dans les contrats de déchiquetage hors site afin d’assurer un niveau approprié d’activités de surveillance périodique. Il y aura notamment une clause type exigeant que les fournisseurs de services émettent des certificats de destruction, indiquant la date à laquelle on détruit les fichiers et le nom de l’employé de l’entrepreneur autorisé qui a effectué la destruction ou qui en a été témoin.
Les agents de négociation des contrats de BAC feront preuve de diligence en travaillant avec les Services de sécurité ministériels de BAC et Travaux publics et Services gouvernementaux Canada pour créer des mécanismes de surveillance efficaces et rentables afin d’assurer une conformité avec les exigences en matière de protection de la vie privée et de sécurité précisées dans les contrats.
Les Services de sécurité ministériels de BAC dirigeront des inspections périodiques d’entreprises de déchiquetage hors site dans la région de la capitale nationale (RCN) en collaboration avec la Gestion du matériel et les Centres de services régionaux qui se trouvent dans la RCN. Les Services de sécurité ministériels élaboreront un outil de vérification et travailleront avec les Centres de services régionaux de BAC en vue d’effectuer des inspections ailleurs au Canada.
Les dossiers de contrats contiendront toute la documentation nécessaire afin de démontrer le respect des modalités des contrats.
Industrie Canada — Ordinateurs pour les écoles
42. Le Programme des ordinateurs pour les écoles (OPE) a été créé en 1993. Des organismes sans but lucratif liés par des ententes de contribution et des contrats de licence avec Industrie Canada qui en assurent le fonctionnement. Dans le cadre du Programme, on fait la collecte et la remise à neuf d’ordinateurs excédentaires reçus des gouvernements fédéral, provinciaux et municipaux, des entreprises du secteur privé et des particuliers. Le matériel ainsi remis à neuf est alors distribué dans des écoles, des bibliothèques, des organismes d’enseignement sans but lucratif, ainsi que dans des communautés autochtones. Il y a plus de 40 ateliers et entrepôts du Programme OPE à l’échelle du Canada.
43. Industrie Canada est responsable de l’élaboration et de la diffusion de normes nationales du Programme OPE, y compris des politiques touchant la sécurité et les processus de nettoyage d’ordinateurs. Les titulaires de licence doivent assurer la mise en œuvre de telles politiques et le respect des normes nationales.
44. Selon la Directive du Conseil du Trésor sur l’aliénation du matériel en surplus, le Programme OPE a un droit de premier refus sur tout le matériel informatique excédentaire des ministères et organismes fédéraux. Par matériel informatique, on entend les ordinateurs personnels et portables, les serveurs, les imprimantes, les modems, les disques durs et les cartes réseau.
Des politiques et des mesures de contrôle sont en vigueur
45. Il y a toujours un risque que le matériel informatique excédentaire contienne des renseignements protégés classifiés s’il n’est pas nettoyé. Même si la sécurité des données est la responsabilité de l’organisme donateur, toute exposition d’information par inadvertance peut compromettre la sécurité et la protection de la vie privée, et mettre en cause l’intégrité du Programme OPE. Nous nous attendions donc à constater l’existence de politiques, de procédures et de mesures de contrôle pour atténuer ce risque.
46. Nous avons analysé les politiques et procédures de sécurité du Programme OPE, ainsi que les accords entre Industrie Canada et les titulaires de licence. Ces documents expliquent en détail les rôles, les responsabilités et les exigences en matière de rapports, en plus de proposer des mesures élémentaires permettant d’assurer le respect des exigences sur le plan de la sécurité physique, du personnel et des technologies de l’information du Programme.
47. Même s’il y a des politiques et procédures judicieuses en vigueur, Industrie Canada ne concilie pas le nombre d’ordinateurs donnés par des institutions fédérales dans le cadre du Programme OPE avec le nombre d’ordinateurs nettoyés dans le cadre du processus de remise à neuf du Programme. Les rapports statistiques visent à mesurer la production (ordinateurs envoyés aux clients du Programme OPE), et non la provenance des ordinateurs. En l’absence d’un mécanisme de production de rapports, il se peut que des ordinateurs soient perdus ou volés et qu’on ne puisse pas les retracer. Il est important de souligner ce détail, car les ordinateurs excédentaires ne sont pas systématiquement nettoyés avant d’être envoyés aux installations du Programme — tel qu’il est précisé au paragraphe 54 du présent rapport.
Les lacunes relevées dans les questionnaires en matière de sécurité ne sont pas corrigées systématiquement
48. Selon les ententes de contribution et la politique de sécurité du Programme OPE, les ateliers et les aires d’entreposage doivent avoir des dispositifs de protection appropriés pour empêcher tout accès non autorisé au matériel excédentaire. Les ateliers du Programme peuvent avoir des exigences particulières pour la protection en raison de leur emplacement, de leur secteur d’activité et de l’inventaire des biens. Comme les besoins en matière de sécurité peuvent varier, les titulaires de licence doivent tous effectuer une autoévaluation annuelle de sécurité. Les résultats sont inscrits dans un questionnaire sur la sécurité des ateliers du Programme et envoyés à Industrie Canada.
49. Les questionnaires servent à élaborer les profils de sécurité des installations du Programme OPE, à évaluer le respect de la politique de sécurité, ainsi qu’à recommander des mesures correctives, s’il y a lieu. Industrie Canada peut également utiliser l’information pour les besoins d’inspection des sites. Nous avons fait l’analyse des questionnaires sur la sécurité présentés au cours de 2008-2009 et de 2009-2010. De nombreux questionnaires contenaient des réponses indiquant un non-respect de la politique du Programme. En général, les lacunes étaient liées à l’entreposage et au suivi des disques rigides et au filtrage de sécurité des employés.
50. Comme les questionnaires mettent l’accent sur les lacunes éventuelles en matière de sécurité, nous avons déterminé s’ils font l’objet d’une analyse systématique et d’un suivi auprès des titulaires de licence du Programme OPE. Selon les résultats de l’analyse des dossiers et des discussions avec le personnel d’Industrie Canada, il n’en est rien. Les questionnaires fournissent des indicateurs clés de non-respect des exigences de sécurité du Programme. Les lacunes qui ne sont pas corrigées peuvent compromettre les biens du Programme, notamment les renseignements personnels.
51. Recommandation : Industrie Canada devrait établir un mécanisme pour s’assurer que toutes les lacunes de sécurité relevées aux ateliers du Programme OPE sont analysées et corrigées en temps opportun.
Réponse d’Industrie Canada : Même s’il y a des mécanismes déjà en vigueur (c’est-à-dire des visites sur les lieux), le Programme des ordinateurs pour les écoles reconnaît les résultats et les recommandations du rapport, lesquels indiquent des améliorations possibles. Le Programme élaborera un plan d’ici la fin du troisième trimestre de l’exercice 2010-2011 en vue de régler ce problème.
Les ordinateurs reçus des institutions fédérales contiennent des données de nature délicate
52. Selon la politique du Conseil du Trésor, les ministères et organismes doivent éliminer toute information protégée et classifiée des ordinateurs avant de procéder à leur aliénation. Même si le Programme OPE reçoit du matériel excédentaire, il n’a pas, dans le cadre de son mandat ou de son rôle, à assurer le respect de cette exigence de la politique du Conseil du Trésor.
53. Dans le contexte du Programme OPE, les ordinateurs excédentaires sont considérés aliénés au moment où les ministères et organismes transfèrent la propriété du matériel au Programme OPE. Nous avons déterminé si les ordinateurs ont été nettoyés de leurs données avant d’être envoyés aux installations du Programme.
54. Nous avons effectué des tests de vérification sur un échantillon de 1 093 ordinateurs dans des ateliers du Programme OPE à Halifax, Truro, Gatineau, Toronto, Winnipeg et Vancouver. L’échantillon comprenait des ordinateurs provenant de 31 institutions fédérales. De tous les ordinateurs vérifiés, 458 (environ 42 %) étaient munis de disques rigides qui n’avaient pas été complètement effacés par le ministère ou l’organisme avant d’être donnés au Programme OPE, contrevenant ainsi à la politique du Conseil du Trésor. De ces ordinateurs, 123 disques rigides ont été retenus comme éléments de preuve en vue d’une analyse. Nous avons effectué une analyse judiciaire détaillée sur quelques-uns des disques rigides. Dans certains cas, la nature de l’information qui s’y trouvait était à ce point délicate que nous avons immédiatement pris les mesures nécessaires pour renvoyer les disques rigides aux ministères d’où ils provenaient.
Aperçu de l’information trouvée sur les disques rigides d’ordinateurs :
- Noms, adresses, dates de naissance et numéros d’assurance sociale de personnes souhaitant avoir accès à divers programmes et services du gouvernement;
- Fichiers protégés par le secret professionnel des avocats;
- Information classifiée;
- Dossiers personnels d’employés de la fonction publique fédérale.
55. Le Programme OPE n’était pas destiné à devenir un service de nettoyage de disques rigides pour les institutions fédérales. Si un tel mandat avait été prévu, les installations et le personnel du Programme auraient à subir les mêmes processus de filtrage de sécurité que le font les entrepreneurs avant qu’on leur donne l’accès à l’information protégée et classifiée du gouvernement.
56. Les résultats de la vérification indiquent que les ministères et organismes fédéraux ne font pas preuve de diligence requise en assurant le nettoyage des ordinateurs avant de les donner au Programme OPE, en dépit de la politique du Conseil Trésor qui exige cette pratique. Les résultats démontrent également que les lacunes soulignées il y a quinze ans par le commissaire à la protection de la vie privée existent encore de nos jours. Tant que la situation n’aura pas été corrigée, la vie privée de la population canadienne demeurera compromise.
57. Recommandation : Industrie Canada devrait travailler avec le Secrétariat du Conseil du Trésor en vue de demander aux ministères et organismes du gouvernement fédéral de fournir au Programme OPE un document signé attestant que tous les ordinateurs excédentaires et les biens connexes donnés ne contiennent pas d’information protégée ou classifiée.
Réponse d’Industrie Canada : Même si le Programme n’a pas le mandat ni la responsabilité de s’assurer que les ordinateurs excédentaires ne contiennent pas d’information protégée ou classifiée, il est bien placé pour jouer un rôle d’appui à la politique du Conseil du Trésor et encourager les ministères et organismes fédéraux à exercer la diligence requise en veillant à ce que les ordinateurs soient nettoyés avant l’envoi au Programme.
Le Programme OPE collaborera avec le Conseil du Trésor et avec tous les autres ministères et organismes fédéraux afin d’élaborer et de mettre en œuvre un nouveau rapport d’attestation du matériel excédentaire.
Le Programme OPE tiendra des séances de consultation avec les intervenants à l’automne 2010 et prévoit mettre en œuvre le nouveau rapport d’attestation du matériel excédentaire au plus tard en avril 2011.
Le Programme fournit un degré de certitude que les données sont effacées des ordinateurs excédentaires
58. Dans le cadre de la vérification, on ne visait pas à analyser en détail le fonctionnement des ateliers du Programme OPE. Toutefois, en déterminant que de nombreux ordinateurs reçus d’institutions fédérales contenaient des données de nature délicate, nous avons analysé le processus de remise à neuf de six ateliers dans cinq régions. Nous avons déterminé s’il existe des mesures de contrôle pour atténuer le risque d’une atteinte à la protection des données. Nous avons reçu de l’information de la part d’employés d’ateliers et nous avons observé les processus qui servent à traiter les ordinateurs reçus en don. Nous avons également testé un échantillon d’ordinateurs remis à neuf dont la distribution aux clients du Programme OPE a été autorisée.
59. Même si les méthodes d’exploitation visant à gérer les disques rigides diffèrent légèrement d’un atelier à l’autre, nous avons constaté qu’une méthode normalisée de remise à neuf est suivie. En voici un aperçu.
*Recyclage des produits électroniques Canada
Source : Industrie Canada – Ordinateurs pour les écoles
60. Même s’il incombe au donateur de veiller à ce que les disques rigides des ordinateurs soient nettoyés (effacés), la politique du Programme OPE exige — comme mesure de précaution additionnelle — que tous les ordinateurs soient nettoyés avant leur distribution. On appose normalement une étiquette sur les disques rigides au moment de leur réception avant de les envoyer à une station de nettoyage pour en supprimer (effacer) le contenu. Dès qu’un ordinateur a été remis à neuf et muni d’un disque rigide, on effectue un deuxième test pour s’assurer que le disque rigide a bel et bien été nettoyé. On installe alors des logiciels et on effectue quelques derniers tests de rendement avant d’autoriser la distribution aux clients. Nous avons choisi au hasard 414 disques rigides pour les besoins des tests et nous avons constaté qu’ils étaient tous nettoyés.
61. En fonction du travail de vérification effectué, nous avons conclu que les méthodes de fonctionnement du Programme OPE comprennent des mesures de contrôle judicieuses pour atténuer le risque de distribuer aux clients des ordinateurs contenant des renseignements personnels sur les disques rigides.
Travaux publics et Services gouvernementaux Canada — Distribution des biens de la Couronne
Les facteurs compensatoires atténuent le risque d'une atteinte à la protection des données
62. Comme nous l’avons déjà mentionné, c’est au Programme des ordinateurs pour les écoles (OPE) que les ministères et organismes fédéraux doivent offrir en premier lieu tout leur matériel informatique excédentaire. Si le matériel n’a aucune utilité pour le Programme, il est alors transféré à la Distribution des biens de la Couronne (DBC), une direction au sein de Travaux publics et Services gouvernementaux Canada (TPSGC). DBC se défait de tous les biens excédentaires du gouvernement fédéral par la vente, la distribution ou l’aliénation. Les biens excédentaires peuvent être vendus sur les lieux où ils ont été déclarés excédentaires, ou bien dans un centre de services régional de DBC. En général, les ventes se déroulent par l’entremise du site Web d’enchères en ligne de DBC.
63. Les ministères et organismes sont les seuls responsables d’empêcher la diffusion non autorisée d’information contenue dans des biens excédentaires, quelle que soit la méthode d’aliénation utilisée. Qu’un ordinateur excédentaire soit donné au Programme OPE ou y soit transféré pour sa vente par l’entremise d’une enchère publique, la responsabilité de veiller à ce que l’ordinateur ne contienne pas d’information classifiée ou protégée incombe à l’institution fédérale d’origine (celle qui a aliéné le matériel). DBC n’est pas responsable de s’assurer que les institutions respectent cette obligation. Elle ne reçoit pas non plus de fonds pour fournir aux institutions fédérales un service de nettoyage de disques rigides. Dans de nombreux cas, en outre, DBC ne prend pas possession du matériel excédentaire; ce dernier demeure chez l’institution fédérale d’origine jusqu’au moment où il est vendu. Nous avons fait l’examen des processus et méthodes de DBC et nous avons vérifié les ordinateurs excédentaires à un entrepôt de DBC; l’inventaire des autres entrepôts ne comptait pas d’ordinateurs au moment de notre visite sur les lieux.
64. Nous avons constaté qu’un certain nombre de facteurs atténuent le risque de vendre des ordinateurs excédentaires contenant des données. Parmi ces facteurs, nous constatons l’exigence que les institutions qui choisissent d’aliéner le matériel fournissent un rapport de surplus (RDS). Le RDS énumère le matériel excédentaire, et les gestionnaires de matériel des ministères doivent y confirmer qu’on a tenu compte de toutes les exigences en matière de sécurité. En apposant sa signature sur le RDS, le gestionnaire atteste que le matériel excédentaire ne contient aucun renseignement classifié ou désigné (protégé). DBC ne se départira d’aucun matériel sans un RDS signé.
65. Par rapport au volume d’ordinateurs dont se départissent les institutions fédérales dans le cadre du Programme OPE, le nombre d’ordinateurs qui sont aliénés par l’entremise de DBC est faible. En 2009, le gouvernement fédéral a donné plus de 60 000 ordinateurs au Programme OPE. À titre de comparaison, DBC en a vendu 1 440. Une très grande majorité de ces ordinateurs — y compris ceux que nous avons testés — ont par ailleurs été vendus sans disque rigide.
66. Bien qu’aucun système ne soit infaillible, si l’on tient compte de l’ensemble des facteurs compensatoires susmentionnés, on peut conclure que l’aliénation d’ordinateurs par l’entremise de la DBC de TPSGC pose un risque minime à la protection de la vie privée.
Conclusion
67. Le paragraphe 6(3) de la Loi sur la protection des renseignements personnels oblige les institutions fédérales à procéder au retrait des renseignements personnels conformément aux règlements, aux instructions ou aux directives du Conseil du Trésor. Préserver la sécurité des renseignements personnels jusqu’à leur retrait au moyen d’une méthode approuvée constitue un élément essentiel pour répondre aux exigences en matière de protection établies en vertu de la Loi.
68. Bibliothèque et Archives Canada possède un ensemble complet de politiques, procédures et pratiques administratives pour gérer la destruction de documents du gouvernement fédéral. Les exigences en matière de sécurité intégrées aux contrats de destruction hors site sont conformes aux politiques du gouvernement et elles fournissent des mesures de contrôle adéquates afin d’assurer le transport, l’entreposage et la destruction de documents de façon sécuritaire.
69. Même s’il est indispensable d’établir des politiques, des procédures et des mesures de contrôle judicieuses, il faut être constamment assuré que l’on en tient compte. Dans le cadre de ses fonctions, Bibliothèque et Archives Canada présume que les entreprises de déchiquetage hors site respectent les exigences en matière de sécurité des contrats. Toutefois, il n’existe aucun mécanisme qui prouve que c’est le cas. En l’absence d’une méthode de surveillance efficace, les entreprises de déchiquetage peuvent — délibérément ou non — contourner les obligations contractuelles conçues pour protéger la vie privée, et ce, sans conséquence.
70. Les ministères et organismes du gouvernement fédéral sont les seuls responsables d’empêcher la diffusion non autorisée de renseignements contenus dans leurs biens excédentaires, quelle que soit la méthode d’aliénation utilisée. La très grande majorité des ordinateurs excédentaires sont donnés au Programme des ordinateurs pour les écoles. Selon la politique du Conseil du Trésor, ces ordinateurs doivent être nettoyés de toute information classifiée et protégée avant d’être donnés. Nous avons constaté que les ordinateurs en provenance de 28 des 31 institutions fédérales que nous avons visitées (environ 90 %) ne satisfaisaient pas à cette exigence. Il faut un effort concerté pour consolider la responsabilité en respectant cette exigence de la politique. Tant qu’on n’y arrive pas, la vie privée de la population canadienne demeurera exposée au risque.
Au sujet de la vérification
Autorisation
L’article 37 de la Loi sur la protection des renseignements personnels donne au commissaire à la protection de la vie privée le pouvoir d’examiner les pratiques des organismes du gouvernement fédéral relatives au traitement des renseignements personnels.
Objectif
La vérification avait comme objectif de déterminer si certaines institutions fédérales ont élaboré et mis en œuvre des mesures de contrôle appropriées — notamment des politiques et des procédures — pour s’assurer que les renseignements personnels sont détruits de manière sécuritaire.
Critères
Les critères de la vérification proviennent de la Loi sur la protection des renseignements personnels, de la Loi sur la Bibliothèque et les Archives du Canada, de la Politique sur la sécurité du gouvernement du Canada et des normes connexes.
Nous nous attendions à trouver ce qui suit :
- des politiques et procédures appropriées sont en vigueur pour protéger les renseignements personnels qui doivent être détruits;
- les pratiques d’aliénation sont conformes avec les exigences décrites dans la Politique sur la sécurité du gouvernement du Canada et la Norme opérationnelle sur la sécurité matérielle;
- la destruction hors site des documents respecte les exigences des contrats sur le plan de la sécurité et les entités du secteur privé qui exécutent de tels services font l’objet d’une surveillance et d’une vérification constantes;
- l’ensemble des données est effacé des ordinateurs excédentaires avant que ceux-ci soient donnés au Programme des ordinateurs pour les écoles ou vendus par l’entremise de la Distribution des biens de la Couronne de Travaux publics et Services gouvernementaux Canada.
Portée et méthode
Bibliothèque et Archives Canada, Travaux publics et Services gouvernementaux Canada et Industrie Canada (Programme des ordinateurs pour les écoles) jouent un rôle dans de la destruction de documents ou l’aliénation de biens excédentaires au nom d’autres institutions fédérales. L’analyse a été adaptée à leurs rôles respectifs à ce sujet, en mettant l’accent sur les mesures — les politiques, procédures, processus et mesures de contrôle — en vigueur pour assurer le retrait des renseignements personnels de façon sécuritaire.
Les éléments probants ont été obtenus par différents moyens, notamment des examens sur les lieux, des entrevues et des renseignements recueillis dans le cadre d’un échange de correspondance. Nous avons également fait l’analyse des politiques et des procédures, ainsi que des systèmes et des fichiers sur lesquels elles sont fondées. En dernier lieu, nous avons testé des ordinateurs excédentaires reçus d’institutions fédérales dans le cadre du Programme des ordinateurs pour les écoles.
Les activités de vérification ont été exécutées à Bibliothèque et Archives Canada et à Travaux publics et Services gouvernementaux Canada dans la région de la capitale nationale, ainsi qu’à Halifax, Dartmouth, Toronto, Winnipeg et Vancouver. Nous nous sommes rendus dans six ateliers du Programme des ordinateurs pour les écoles et trois entreprises du secteur privé qui offrent des services de destruction de documents hors site à Bibliothèque et Archives Canada. Le choix des sites précis a été fait à la suite d’une consultation auprès de représentants de l’organisation.
Le travail de vérification a été en grande partie terminé le 31 mars 2010.
Normes
La vérification a été exécutée conformément au mandat conféré par la loi, ainsi qu’aux politiques et pratiques du Commissariat à la protection de la vie privée du Canada, et s’est déroulée en respectant les normes de vérification que recommande l’Institut canadien des comptables agréés.
Équipe de vérification
Directeur général : Steven Morgan
Michael Fagan
Bill Wilson
Subhas Roy (consultant)
Matthew Williams (consultant)
Annexe-Liste de recommandations
Recommandation | Réponse |
---|---|
BAC devrait s’assurer que les modalités des contrats d’élimination de documents hors site respectent sa propre norme sur la sécurité. | En consultation avec Travaux publics et Services gouvernementaux Canada et les Services de sécurité ministériels de BAC, les agents de négociation des marchés de BAC feront en sorte que tous les contrats accordés pour des services de déchiquetage hors site comprendront des critères de déchiquetage uniformes qui atteignent ou dépassent les normes minimales en matière de sécurité de l’organisation. |
BAC devrait mettre en œuvre un processus de surveillance des activités des entreprises chargées de la destruction de dossiers hors site afin de fournir la certitude que les exigences en matière de protection de la vie privée et de sécurité sont respectées de façon uniforme; BAC devrait également s’assurer que les contrats de déchiquetage hors site comprennent une clause exigeant que le fournisseur de services émette un certificat de destruction, indiquant la date à laquelle on a détruit les fichiers et le nom de l’employé de l’entrepreneur autorisé qui a effectué la destruction ou qui a en été témoin. | Il y aura des clauses types dans les contrats de déchiquetage hors site afin d’assurer un niveau approprié d’activités de surveillance périodique. Il y aura notamment une clause type exigeant que les fournisseurs de services émettent des certificats de destruction, indiquant la date à laquelle on détruit les fichiers et le nom de l’employé de l’entrepreneur autorisé qui a effectué la destruction ou qui en a été témoin. Les agents de négociation des contrats de BAC feront preuve de diligence en travaillant avec les Services de sécurité ministériels de BAC et Travaux publics et Services gouvernementaux Canada pour créer des mécanismes de surveillance efficaces et rentables afin d’assurer une conformité avec les exigences en matière de protection de la vie privée et de sécurité précisées dans les contrats. Les Services de sécurité ministériels de BAC dirigeront des inspections périodiques d’entreprises de déchiquetage hors site dans la région de la capitale nationale (RCN) en collaboration avec la Gestion du matériel et les Centres de services régionaux qui se trouvent dans la RCN. Les Services de sécurité ministériels élaboreront un outil de vérification et travailleront avec les Centres de services régionaux de BAC en vue d’effectuer des inspections ailleurs au Canada. Les dossiers de contrats contiendront toute la documentation nécessaire afin de démontrer le respect des modalités des contrats. |
Industrie Canada devrait établir un mécanisme pour s’assurer que toutes les lacunes de sécurité relevées aux ateliers du Programme OPE sont analysées et corrigées en temps opportun. | Même s’il y a des mécanismes déjà en vigueur (c’est-à-dire des visites sur les lieux), le Programme des ordinateurs pour les écoles reconnaît les résultats et les recommandations du rapport, lesquels indiquent des améliorations possibles. Le Programme élaborera un plan d’ici la fin du troisième trimestre de l’exercice 2010-2011 en vue de régler ce problème. |
Industrie Canada devrait travailler avec le Secrétariat du Conseil du Trésor en vue de demander aux ministères et organismes du gouvernement fédéral de fournir au Programme OPE un document signé attestant que tous les ordinateurs excédentaires et les biens connexes donnés ne contiennent pas d’information protégée ou classifiée. | Même si le Programme n’a pas le mandat ni la responsabilité de s’assurer que les ordinateurs excédentaires ne contiennent pas d’information protégée ou classifiée, il est bien placé pour jouer un rôle d’appui à la politique du Conseil du Trésor et encourager les ministères et organismes fédéraux à exercer la diligence requise en veillant à ce que les ordinateurs soient nettoyés avant l’envoi au Programme. |
Supports de substitution
- PDF (1,2 Mo) Accessibilité non vérifiée
- Date de modification :